IBM® QRadar® と SOARの間の接続を構成する必要があります。
始める前に
SOAR 環境のインバウンド宛先へのアクセスを許可するために、CA 証明書を QRadar コンソール にコピーしたことを確認してください。 詳しくは、 インバウンド宛先へのアクセスの構成を参照してください。IBM Security SOARによって行われる API 呼び出しを認証するために、許可サービス・トークンを作成する必要があります。 詳しくは、 許可サービス・トークンの作成を参照してください。
手順
- QRadar コンソール に管理者としてログインします。
- 「管理」 タブの 「IBM QRadar SOAR プラグイン」 セクションで、 「構成」をクリックします。
「アクセス」 タブで、構成情報を指定します。
- QRadar 宛先名、サービス・トークン、 SOAR URL を設定する。
| 構成設定 |
説明 |
QRadar 宛先名
|
この IBM QRadar SOAR Plug-in の統合の宛先ロケーションの固有の名前。
QRadar SOAR プラグイン 4.0以降、このフィールドは、複数の QRadar インスタンスと単一の SOAR プラットフォームとの同期をサポートします。 宛先名は、 QRadar インスタンスごとに固有でなければなりません。
重要: 宛先名を変更すると、既存のオープン・ケースがすべて更新され、新しい値が保管されます。
|
許可サービス・トークン
|
QRadar SOAR プラグインによって行われる API 呼び出しの認証に使用される許可サービス・トークン。 重要: トークンには、 QRadarを使用してアプリケーションを構成するための完全な管理権限が必要です。
詳しくは、 許可サービス・トークンの作成を参照してください。
|
SOARサーバー URL
|
SOAR プラットフォームサーバーの URL。
URL の文字列は http:// または https:// で始まらなければならない。
|
- 該当する場合は、SOAR forIBM Cloud Pak® for Security の接続パラメーターを設定します。
CP4Smodeチェックボックスを選択すると、SOAR forIBM Cloud Pak for Security への接続を設定するためのフィールドがさらに表示されます。
| 構成設定 |
説明 |
CP4S モード
|
Select this checkbox when you want to escalate QRadar offenses to SOARはIBM Cloud Pak for Securityのために cases.
|
REST URL
|
SOAR APIへのアクセスに使用される URL。
URL の文字列は、 https:// で始まり、 cases-rest の接頭辞を含んでいなければならない。 例えば、https:// CUSTOMER-INSTANCE .cases-rest.xdr.security.ibm.comです。
|
STOMP ホスト
|
STOMP メッセージング・プロトコル ( cases-stomp affix を含む) へのアクセスに使用されるホスト名。 例えば、 CUSTOMER-INSTANCE .cases-stomp.xdr.security.ibm.comなどです。
|
STOMP ポート
|
SOAR for IBM Cloud Pak for Security STOMP プロトコルにアクセスするために、STOMP URL で使用するポート。
|
OpenWire ホスト
|
OpenWire プロトコルへのアクセスに使用されるホスト名 ( cases-openwire 接辞を含む)。
QRadarは OpenWireプロトコルを使用して、SOAR forIBM Cloud Pak for Securityに犯罪を促進する。
例えば、 CUSTOMER-INSTANCE .cases-openwire.xdr.security.ibm.com
|
OpenWire ポート
|
OpenWire ホスト名で使用するポート。
|
- 認証に使用する SOAR API キー資格情報を構成します。
| 構成設定 |
説明
|
API 鍵 ID
|
認証に使用される SOAR API キー・アカウントの ID。
|
API 鍵の秘密鍵
|
SOAR API 鍵アカウントの秘密鍵。
|
SOAR forIBM Cloud Pak for Security で API キーを作成するには、グローバル・ロールにAPI キー権限が必要です。 API キーが 設定で作成されていることを確認します。 で API キーを作成しないでください。
MSSP 構成で SOAR を使用する場合は、API キーが子組織にプッシュされ、適切なアクセス権限があることを確認してください。 詳しくは、 最小システム要件を参照してください。
- デプロイメントがマネージド・セキュリティー・サービス・プロバイダー (MSSP) 用に構成されている場合は、 SOAR 組織設定を構成します。
| 構成設定 |
説明 |
複数組織のサポート
|
QRadar ドメインと複数の SOAR 組織との間のマッピングをサポートするには、このチェック・ボックスを選択します。
このオプションは、 SOAR for Managed Security Service Providers デプロイメントでは必須です。
|
組織名
|
SOARの組織名(またはCP4SSのアカウント名)。 組織CP4S のアカウント ID)はサポートされていません。
|
マネージド・セキュリティー・サービス・プロバイダー (MSSP) 用に構成された SOAR プラットフォーム に接続する場合、 「組織名」 は構成組織の名前です。 構成組織は、
アイコンで識別できます。
- セキュア接続を使用するようにアプリケーションを構成します。
| 構成設定 |
説明 |
安全に接続
|
CA 署名証明書を検証するには、このチェック・ボックスを選択します。
自己署名型の SSL 証明書を使用するオンプレミス環境での展開、または SSL の証明書に関する問題が発生している展開の場合、 「Connect Securely」 のチェックを外し、検証は行われないものの正常な接続が確立されるようにする必要がある場合があります。
|
- 信頼できる証明書をアプリの永続ストレージにアップロードします。
永続ストレージは /store/docker/volumes/qapp-<app-id>/<cert_name.cer>にあります。
アプリケーション ID を見つけるには、 /opt/qradar/support/qappmanager と入力し、 「アプリケーション定義」 セクションで 「IBM QRadar SOAR プラグイン」 を見つけます。
- app.config」に、「
cafileオプションを証明書の絶対パスに設定する。
- QRadar API を使用して、 QRadar SOAR プラグイン ・アプリケーションを再始動します。
以下の例は、API10.0を使用してサービスを再起動するためのcurlコマンドを示している。
curl -s -X POST -u <USER> -H 'Version: 19.0' -H 'Accept: application/json' &&
'https://<QRADAR_IP_ADDRESS/api/gui_app_framework/applications/<QAPP_ID>?status=STOPPED'
curl -s -X POST -u <USER> -H 'Version: 19.0' -H 'Accept: application/json' &&
'https://<QRADAR_IP_ADDRESS/api/gui_app_framework/applications/<QAPP_ID>?status=RUNNING'
QRadar のインストール済み環境によっては、API のバージョンが異なる場合があります。 他のバージョンでのAPIコールの使用については、QRadarAPIドキュメントを参照してください。
- 残りの構成設定を構成します。
| 構成設定 |
説明 |
SOAR タイムアウト (秒)
|
QRadar SOAR プラグイン ・アプリケーションがタイムアウトになる前に SOAR への接続を試行する時間の長さ。
デフォルト値は 30 秒です。
|
ログレベル・デバッグを有効にする
|
QRadar SOAR Plug-in アプリケーションと resilient-circuitsの両方で DEBUG レベルのロギングを有効にするには、このチェック・ボックスを選択します。
|
SOAR の構成を有効にする
|
QRadar SOAR プラグイン・アプリケーションで SOARのフィールド、アクション、およびメッセージ宛先を作成できるようにするには、このチェック・ボックスを選択します。
これらの設定は、 QRadar と SOAR プラットフォームの間の双方向通信に必要です。
|
プロキシー構成
|
ご使用の構成でプロキシー・サーバーを介した接続が必要な場合は、このチェック・ボックスを選択します。
このチェック・ボックスを選択すると、追加のプロキシー設定が表示されます。
|
- 「検証と構成」をクリックします。
検証プロセスでは、以下の設定が検査されます。
- SOAR Server URL に接続することができる。
- QRadar ID フィールドが SOARにあります。
- 許可サービス・トークンは有効です。
- プロキシー接続 (構成されている場合) は有効です。
検証プロセスが終了すると、構成ページの最後に以下のメッセージが表示されます。Connection and Configuration Verified Successfully
- 「複数組織サポート」 が有効になっている場合は、マッピングを構成します。
- 「マッピング」 タブをクリックします。
- QRadar ドメインおよび SOAR 子組織をマップします。
- 「構成のプッシュ (Configuration Push)」 をクリックして、構成変更を子組織にプッシュします。
SOARでは、 「構成組織」 ページに移動して、構成のプッシュが正常に完了したことを確認できます。
- QRadarの QRadar SOAR Plug-in アプリケーション構成ウィンドウの 「アクセス」 タブで、 「保存」をクリックします。
結果
QRadar SOAR プラグイン ・アプリケーションをサポートするために、以下のオブジェクトが作成されます。 不等号括弧で囲まれた QRadar 宛先は、アプリケーションの構成時に指定した QRadar 「宛先名」 の値によって決定されます。
表 1. QRadar SOAR プラグイン 5.x アプリケーション・オブジェクトの作成
| オブジェクト・タイプ |
説明
|
| メッセージ宛先 (message destination) |
qradar_<QRadar_Destination>
この宛先は、 QRadar SOAR プラグイン ・アプリケーションによって処理されるすべてのアクションの統合メッセージ・キューです。
|
| インバウンド宛先 |
qrp_inbound_<QRadar_Destination>
インバウンド宛先は、 QRadarからのメッセージの読み取りおよび書き込みを行う組織ごとのキューです。
|
| ルール |
以下のルールが作成されます。
close_offense for <QRadar_Destination>同期が有効になっている場合、この自動化ルールは、関連する QRadar オフェンスまたは SOAR ケースのいずれかがクローズされたときにクローズします。
qradar_note for <QRadar_Destination>同期が有効になっている場合、この自動化ルールは、ケースとオフェンスの間でメモを同期します。
Add to QRadar reference set for
<QRadar_Destination>この規則は、MSSP デプロイメントには適用されません。
カスタム・アクションが有効になっている場合、この手動ルールを使用して、 QRadar 「宛先名」 フィールドで定義されている QRadar インスタンスの QRadar リファレンス・セットにケース成果物を送信できます。
QRadar Ariel Query for <QRadar_Destination>カスタム・アクションが有効になっている場合、この手動ルールを使用して、 QRadar 「宛先名」 フィールドで定義されている QRadar インスタンス内のケース成果物に対して Ariel 照会を実行できます。
|