5.0 IBM® QRadar® SOAR プラグイン 5.0 ・アプリケーションを構成する前に、 SOAR CA 証明書を QRadar コンソール にコピーして、 SOAR インバウンド宛先へのアクセスを許可する必要があります。
始める前に
IBM Security SOAR for IBM Cloud Pak® for Security ( CP4S ) インスタンスに接続する場合は、 CP4S クラスタに関連付けられた IP アドレスとそのドメイン名の DNS マッピングが構成されていることを確認します。 この情報は、 QRadar Console と QRadar SOAR Plug-in コンテナの両方に提供する。 CP4S クラスタ、 cases-rest、 cases-stomp、 cases-openwire エンドポイントのIPアドレスとホスト名を指定する必要があります。
手順
- IBM Security SOAR Platform 用に CA 証明書を構成するには、以下の手順を実行します。
- SSH を使用して、root ユーザーとして QRadar コンソール にログインします。
- 以下のコマンドを入力して、ディレクトリーを変更します。
cd /opt/qradar/conf/trusted_certificates
- 次のコマンドを入力して、 SOAR 証明書をインストールします。
/opt/qradar/bin/getcert.sh <IP_or_Hostname_of_SOAR> <Port_of_the_SOAR_incoming_queue>
例えば、コマンドは次のようなものになります。 /opt/qradar/bin/getcert.sh
mysoar.ibm.com 65000
- 次のコマンドを入力して、 QRadar イベント収集サービスを再始動します。
- SOAR for IBM Cloud Pak for Security インスタンスに CA 証明書を設定するには、以下の手順に従う:
- CP4S がインストールされているクラスターの Red Hat OpenShift Container Platform コンソールを開きます。
- ナビゲーション・ページで、 を選択します。
- 「プロジェクト: すべてのプロジェクト」 を選択し、 cases-openwireを検索します。
- 「cases-openwire」 経路をクリックして、 「経路の詳細」 ウィンドウを開きます。
- 「TLS 設定」の下で、 「証明書」 フィールドの値をコピーして、 .crt ファイルに保存します。
例えば、 <hostname>_cases_openwire_ca.crtのような名前を .crt ファイルに付けることができます。
注:「証明書」 の値が空の場合は、 「ワークロード」 設定で証明書の値を見つけます。
- ナビゲーション・ウィンドウで、 を選択します。
- isc-cases-openwire-default-cert または isc-cases-stomp-default-certを検索します。
証明書の内容は 「データ」 セクションにあります。
- .crt ファイルを QRadar コンソール上の /opt/qradar/conf/trusted_certificates の場所にコピーします。
- 次のコマンドを入力して、 QRadar イベント収集サービスを再始動します。
次に実行するタスク
インバウンド宛先へのアクセスを構成した後、 許可サービス・トークンを作成 して、 SOARによって行われる API 呼び出しを認証します。