Nokia ファイアウォールには TCP リセットが必要です (rst) または TCP 確認応答 (ack) syslog イベントを転送する前に、ポート 256 で IBM
QRadar から転送します。
このタスクについて
Nokia Firewall TCP 要求は、 QRadar がオンラインであり、syslog イベントを受信できるように設計されたオンライン状況要求です。 有効なリセットまたは確認を QRadarから受信した場合、Nokia Firewall は UDP ポート 514 で QRadar へのイベントの転送を開始します。 デフォルトでは、 QRadar は TCP ポート 256 からのオンライン状況要求に応答しません。
オンライン状況要求に応答するには、Nokia ファイアウォールから Check Point イベントを受信する QRadar
Console または Event Collector で IPtables を構成する必要があります。
手順
- SSH を使用して、root ユーザーとして QRadar にログインします。
ログイン: root
パスワード: <password>
- 以下のコマンドを入力して、IPtables ファイルを編集します。
vi /opt/qradar/conf/iptables.pre
IPtables 構成ファイルが表示されます。
- 以下のコマンドを入力して、ポート 256 で TCP リセットを使用して Nokia ファイアウォールに応答するように QRadar に指示します。
-A INPUT -s <IP address> -p tcp --dport 256 -j REJECT --reject-with
tcp-reset
ここで、 <IP address> は、 Nokia ファイアウォールの IP アドレスです。 イベントを QRadar
Console または Event Collectorに送信する Nokia Firewall IP アドレスごとに TCP リセットを含める必要があります。以下に例を示します。
-A INPUT -s <IP_address1>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset
-A INPUT -s <IP_address2>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset
-A INPUT -s <IP_address3>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset
- IPtables の構成を保存します。
- 以下のコマンドを入力して、 QRadar内の IPtables を更新します。
./opt/qradar/bin/iptables_update.pl
- Nokia Firewall から Syslog イベントを受信する追加の QRadar Event Collectors を構成するには、ステップ 1 から 5 を繰り返します。
これで、イベントを QRadarに転送するように Nokia ファイアウォールを構成する準備ができました。