TLS のsyslogデータを QRadar Console
TLS シースログログソースプロトコルを使用して、シースログログソース情報をコンソール QRadar®
on Cloud またはイベントプロセッサに直接送信できます。 データ・ゲートウェイを使用する必要はありません。
手順
- カスタマーサポートチケットを開き、 TLS のsyslog証明書をリクエストしてください。
QRadar on Cloud によって提供される証明書は、認証局 (CA) によって署名され、90 日ごとに更新する必要があります。
サポート・チケットで確認を受け取ったら、ログ・ソースを構成できます。 - 「管理」 タブで、 「アプリケーション」 セクションに移動し、 QRadar 「ログ・ソース管理」 アイコンをクリックします。
- 「+ 新規ログ・ソース」をクリックし、 「単一ログ・ソース」をクリックします。
- 「ログ・ソース・タイプの選択」 ページで、ログ・ソース・タイプを選択し、 「プロトコル・タイプの選択」をクリックします。
- 「プロトコル・タイプの選択」 ページで、プロトコルを選択し、 「ログ・ソース・パラメーターの構成」をクリックします。
- ログ・ソースの共通パラメーターを構成します。「ターゲット・イベント・コレクター」 を「コンソール」または「イベント・プロセッサー」に設定できます。
- ログ・ソースのプロトコル固有のパラメーターを構成します。
- 「ログ・ソース ID」 フィールドを更新します。
- TLS の「リスンポート」フィールドに、6514と入力します。TLS のsyslogで使用可能なポートは、6514、6515、6516、6517、および6518のみです。
- 「サーバー証明書タイプ」 フィールドで、 PKCS12 「証明書チェーンとパスワード」を選択します。証明書は、Let 's Encrypt によって署名され、90 日ごとに更新されます。
- IBM® サポート・チケットで提供されている PKCS12 サーバー証明書パス と PKCS12 パスワード の値を入力します。
- 「保存」をクリックします。
- 「管理」 タブで、 「変更のデプロイ」をクリックします。
- logs-という接頭部が付いた QRadar on Cloud インスタンスの完全修飾ドメイン・ネーム (FQDN) にトラフィックを送信するようにネットワーク・デバイスを構成します。
たとえば、ファイアウォールを設定して、 QRadar on CloudTLS のsyslog情報を.に送信するようにします。 コンソール・アドレスが console-######.qradar.ibmcloud.comの場合は、ファイアウォールの syslog 構成で宛先として logs-console-######.qradar.ibmcloud.com を入力します。
- syslog イベントを QRadar on Cloudに送信するデバイスで、CA (Let 's Encrypt) がトラストストアに追加されていることを確認します。サード・パーティーのログ・ソースを構成するときに、CA ルート証明書を追加しなければならない場合があります。 CA サイト ( https://letsencrypt.org/certificates/) から証明書をダウンロードします。