IBM Security QRadar データ・ソースへの接続

IBM Security QRadar データ・ソースを IBM Cloud Pak® for Security プラットフォームに接続し、アプリケーションやダッシュボードで QRadar セキュリティ・データを収集および分析できるようにします。 Universal Data Insights コネクタを使用すると、セキュリティ製品全体で連携検索が可能になります。

1. メニュー ＞ 接続 ＞ データソース。
2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
3. IBM QRadar および QRadar On Cloud」をクリックし、 「次へ」をクリックします。
4. データ・ソースへの接続を構成します。
   1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
   2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
   3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
   4. 管理 IP またはホスト名フィールドで、 IBM Cloud Pak for Security プラットフォームがデータソースと通信できるように、データソースの IP アドレスを設定します。 この情報は必須であり、 QRadar コンソールの管理 IP アドレス値に対応します。
   5. 「ホスト・ポート」 フィールドで、データ・ソース・ホストに関連付けられているポート番号を設定します。 ポートは、デフォルトでは 443 です。
5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
   1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
   2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
   3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
   4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
   重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
6. オプション: プライベートに署名された Security Sockets Layer (SSL) 証明書を使用して QRadar が構成されている場合は、接続証明書を追加します。
   1. QRadar がプライベート署名 SSL 証明書を使用して構成されているかどうかを判別するには、 ssh を使用して root ユーザーとして QRadar コンソールに接続し、次のコマンドを入力します。

      openssl x509 -in /etc/httpd/conf/certs/cert.cert -noout -issuer

      そのコマンドが以下の場合、出力は次のようになります。issuer= /CN=QRadar Local CAQRadar は、プライベートに署名された SSL 証明書を使用して構成されます。
   2. プライベートに署名された SSL 証明書が、 QRadar コンソールへのアクセスに使用するものと同じホスト名または IP アドレスを使用しているかどうかを判別するには、次のコマンドを入力します。

      openssl x509 -in /etc/httpd/conf/certs/cert.cert -noout -text | grep -A1 "X509v3 Subject Alternative Name"

      以下の出力は、このコマンドの出力例です。

      X509v3 Subject Alternative Name: 
                      DNS: example.com、DNS: 192.0.2.0、IP Address: 192.0.2.0

      QRadarコンソールへのアクセスに使用するホスト名または IP アドレスが出力に含まれている場合は、サーバー名標識 (オプション) フィールドに何も入力しないでください。

      出力がQRadarコンソールへのアクセスに使用するホスト名または IP アドレスと一致せず、出力にホスト名が含まれている場合は、出力のホスト名をサーバー名標識 (オプション) フィールドに入力します。 あるいは、IP アドレスを「Server Name Indicator (オプション)」 フィールドに入力します。

   3. IBM QRadar 「証明書 (オプション)」 フィールドに、証明書を入力します。
      QRadar 7.4.0 以降では、プライベート署名証明書は以下の場所にあります。

      • /opt/qradar/ca/www/root-qradar-ca_ca.crt
      • /opt/qradar/ca/www/intermediate-qradar-ca_ca.crt

      QRadar 7.4.0 以降では、HTTP 証明書をカスタマイズしていない場合、デフォルトのプライベート署名証明書は以下の場所にあります。

      • http://< consoleip>: 9381/root-qradar-ca_ca.crt
      • http://< consoleip>: 9381/intermediate-qradar-ca_ca.crt

   デフォルトの QRadar 証明書を変更した場合は、インポートした証明書を指定する必要があります。 QRadar SSL 証明書を変更した場合、新しいルート証明書と中間証明書は通常 /etc/pki/ca-trust/source/anchors/<file_name>.crtにあります。

   QRadar 証明書の詳細については、 証明書が内部署名付きかカスタム署名付きかを判断する、および SSL証明書https://www.ibm.com/docs/en/qsip/7.5?topic=tasks-ssl-certificates を参照してください。

7. オプション： STIX属性のマッピングをカスタマイズする必要がある場合は、 Customize attribute mappingをクリックし、JSON blobを編集して、新規または既存のプロパティを関連するターゲット・データ・ソース・フィールドにマッピングします。
8. ID およびアクセス権限を構成します。
   1. 「構成の追加」をクリックします。
   2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
   3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
   4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
   5. 「 認証トークン 」フィールドに、接続を確立するデータ・ソースの固有 ID を入力します。 同じ認可されたサービス・トークンを、 IBM Cloud Pak for Security プラットフォームの異なるコネクターに使用することができます。
      認証トークンを取得するには、以下の手順を実行します：

      1. QRadar コンソールで 「管理」 タブを開きます。
      2. 「許可サービス」に移動します。
      3. 「新規許可サービスの追加」を選択します。
      4. ユーザー・ロールを作成します。

         ユーザー・ロールには、イベントおよびフローの表示権限（特に、 違反、 ログ・アクティビティ、およびネットワーク・アクティビティ ）が必要です。 QRadar Connected Assets and Risk コネクタを構成するときに同じ認証トークンを使用する場合は、トークンにも Assets 権限が必要です。

      5. 認証トークンを作成した後、それをコピーして貼り付けます。
      6. QRadarをデプロイします。
   6. 「追加」をクリックします。
   7. 構成を保存して接続を確立するには、 「完了」をクリックします。
   追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。

   データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。

   ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

   このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

9. 構成を編集するには、以下の手順を実行します。
   1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
   2. Configurations セクションで、 Edit Configuration ( ) をクリックします。
   3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。