QRadar ネットワーク・サービスへのアクセスは、最初に iptables を使用してホスト上で制御されます。 iptables ルールは、デプロイメント環境の要件に基づいて調整および構成されます。 Ariel 検索、ストリーミング、および暗号化 (トンネリング) の使用時の各ポートは、各種 iptables ルールを更新できます。
このタスクについて
IPv4 および IPv6 に対する iptables ルールを構成および確認できます。 以下の手順は、iptables を手動で調整する方法を示しています。
手順
- SSH を使用して、root ユーザーとして QRadar にログインします。
ログイン: <root>
パスワード: <password>
- 以下のコマンドを入力して、プレ・ルール iptables ファイルを編集します。
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
iptables.pre 構成ファイルが表示されます。
- 以下のコマンドを入力して、ポスト・ルール iptables ファイルを編集します。
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
iptables.post 構成ファイルが表示されます。
- QRadar が特定のポート番号にアクセスするための以下の規則を追加します。ここで、 portnumber はポート番号です。
特定のポート入力の UDP トラフィックを受け入れる場合:
-A INPUT -m udp -p udp --dport <portnumber> -j
ACCEPT
特定のポート入力の TCP トラフィックを受け入れる場合:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <portnumber>
-j ACCEPT
- iptables 構成を保存します。
- 以下のスクリプトを実行して、変更内容を伝搬させます。
/opt/qradar/bin/iptables_update.pl
- 以下のコマンドを入力して、既存の iptables を確認します。
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v