高度な iptables ルールの例

QRadarへのアクセスの制御、インバウンド・データ・ソースの制限、およびトラフィックのリダイレクトを向上させるために、iptables ルールを構成できます。以下の例では、iptables を手動で調整することで、ご使用のネットワークに対するより深い洞察を得られます。

iptables での SSH へのアクセスのブロック

コンソールおよび非管理対象ホストは、すべてのインバウンド要求の SSH を許可します。ホストがデプロイメントに追加されると、管理対象ホストは、 QRadar Consoleからの SSH アクセスを許可し、コンソールはインバウンド接続用にポート 22 をオープンします。ポート 22 のインバウンド接続を制限するには、ホストの iptables ルールを変更します。

暗号化された接続を切断する可能性のある他の管理対象ホストからの SSH アクセスをコンソールでブロックできます。

-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP

QRadar システムに対する ICMP の使用可能化

/opt/qradar/conf/iptables.pre ファイルに以下のルールを追加することにより、 QRadar システムから ping 応答を使用可能にすることができます。

-A INPUT -p icmp -j ACCEPT

以下のスクリプトを実行して、/etc/sysconfig/iptables ファイル内にエントリーを作成します。

重要:

-s
source.ip.address

フィールドを追加することにより、このルールを特定のホストに制限できます。

不要なデータ・ソースのブロック

ログ・ソースまたは netflow データ・ソースなどのデータ・ソースを、元のデバイスを無効にするのではなく、短時間ブロックできます。特定のホストをブロックするために、以下のような項目を /opt/qradar/conf/iptables.preに追加することができます。

ルーターからの netflow をブロックする場合:

-A INPUT -p udp -s <IP Address> --dport 2055 -j REJECT

別のソースからの Syslog をブロックする場合:


-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT

特定のサブネットからの Syslog をブロックする場合:


-A INPUT -p tcp -s <IP Address> --dport 514 -j REJECT

-A INPUT -p udp -s <IP Address> --dport 514 -j REJECT