prem에서 QRadar 에 대한 연결 구성

온라인 편집

IBM® QRadar Proxy 에 대한 관리자 역할이 있는 사용자는 플랫폼이 해당 배치에서 QRadar® API및 지원되는 버전의 QRadar 앱에 연결할 수 있도록 IBM QRadar on prem 배치에 연결할 수 있습니다. 연결 설정을 입력하면 사용자와 사용자가 고유한 인증 토큰, QRadar 사용자 이름 및 비밀번호 또는 둘 다를 추가할 수 있습니다. 그런 다음 QRadar SIEM 대시보드 및 QRadar 데이터가 있는 기타 대시보드를 보거나 QRadar User Behavior Analytics와 같은 지원되는 QRadar 앱에 액세스하십시오.

시작하기 전에

QRadar Proxy에서 QRadar에 연결하려면 다음과 같은 정보가 필요합니다.

  • 공용 대면 관리 IP 주소 또는 호스트 이름입니다. QRadar 호스트 이름을 판별하거나 변경하려면 네트워크 설정 관리 (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_siem_ntw_man_set.html) 에서 qchange_netsetup 명령을 사용하십시오.
  • 호스트 포트 자세한 정보는 QRadar 포트 사용 (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_qradar_adm_common_ports.html) 을 참조하십시오.
  • QRadar SSL 인증서(선택사항). 자세한 정보는 SSL 인증서 (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_qradar_adm_ssl.html) 를 참조하십시오.
  • 인증 토큰(대시 보드를 채우는 데 필요함). 자세한 정보는 권한 부여된 서비스 관리 (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_qradar_adm_man_auth_service.html) 를 참조하십시오.
  • QRadar 사용자 이름 및 비밀번호 (지원되는 앱에 액세스하는 데 필요함). 자세한 정보는 사용자 계정 작성 (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/t_qradar_adm_create_user_acct.html) 을 참조하십시오.

이 태스크에 대한 정보

QRadar 의 최소 지원 버전은 7.4.3입니다.

중요: QRadar 배치 및 플랫폼 배치는 네트워크에서 서로 직접 액세스할 수 있어야 합니다. 방화벽이 한 배치에서 다른 배치로 차단하지 않는지 확인하십시오.

플랫폼 계정마다 하나의 QRadar 또는 QRadar on Cloud 배치만 사용할 수 있습니다. 예를 들어, 여러 고객 계정을 관리하는 관리 서비스 제공자인 경우 다른 플랫폼 계정을 사용하여 각 QRadar 배치에 액세스하십시오.

프로시저

  1. 메뉴 > 연결 > QRadar 프록시로 이동하여 IBM QRadar 옵션을 선택하십시오.
  2. 배치에 대한 연결 세부사항을 추가하십시오.
    1. QRadar 앱 및 API에 액세스하려면 연결 이름 및 연결에 대한 설명을 지정하십시오.
    2. 데이터 소스 또는 지원되는 QRadar 앱에 대한 QRadar 관리 IP 주소 또는 호스트 이름 및 포트를 지정하십시오.
    3. 백그라운드 서비스 (예: IBM Detection and Response CenterQRadar간의 연결) 를 사용하려면 서비스 인증 토큰을 입력하십시오. 이 토큰은 SEC 토큰이라고도 합니다. QRadar권한 부여된 서비스 창에서 토큰을 작성합니다. 자세한 정보는 권한 부여된 서비스 추가 (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/t_qradar_adm_add_auth_serv.html) 를 참조하십시오.
  3. 배치에 대한 QRadar 인증 신임 정보를 추가하십시오.
    1. QRadar API를 사용하려면 사용자 인증 토큰을 입력하십시오. QRadar Proxy 관리자인 경우 사용자 자신의 사용자 토큰을 입력하는 대신 연결 세부사항 섹션에 입력한 서비스 인증 토큰을 사용하도록 선택란을 선택할 수 있습니다.
      중요: 사용자는 자신의 인증 토큰을 입력해야 합니다.
    2. 지원되는 QRadar 앱 (예: QRadar User Behavior Analytics) 에 액세스하려면 3a단계에서 입력한 인증 토큰에 도면 전환하지 않고 사용자 고유의 QRadar 사용자 이름 및 비밀번호를 제공하십시오. (사용자는 고유한 사용자 이름 및 비밀번호를 입력해야 합니다.)
      팁:
      • QRadar에서 인증에 SAML을 사용하는 경우 지원되는 앱에 액세스할 때 SAML ID 제공자를 통해 QRadar에 로그인하기 때문에 사용자 이름 및 비밀번호를 입력할 필요가 없습니다.
      • 잘못된 신임 정보를 사용하여 너무 많은 로그인을 시도하는 경우 QRadar 설정에 따라 해당 계정이 잠기게 됩니다. 나중에 다시 로그인하십시오. 자세한 정보는 prem의 QRadar 에서 잠금 방지를 참조하십시오.
  4. QRadar Console의 로그인 메시지에서 사용자가 로그인하기 전에 동의를 제공해야 하는 경우, 사용자가 플랫폼에서 QRadar 에 로그인할 수 있도록 이용 약관 선택란을 선택하십시오.
  5. 연결이 신뢰할 수 있는 인증 기관에서 서명한 인증서를 사용하는 경우 인증서를 추가할 필요가 없습니다.
    팁: 신뢰할 수 있는 인증 기관은 내부 또는 공용일 수 있습니다.
  6. 인증서가 자체 서명되었는지 여부를 판별하려면 인증서가 내부적으로 서명되었는지 또는 사용자 정의 서명되었는지 판별을 참조하십시오.
    팁: 디코딩된 인증서가 공통 이름을 localhost.localdomain 또는 로컬 도메인으로 표시하는 경우 자체 서명된 인증서입니다.
  7. 인증서를 추가하려면 다음 단계를 완료하십시오.
    1. QRadar 7.4.3의 http://<qradar_host_ip>:9381/intermediate-qradar-ca_ca.crt에서 인증서 체인을 다운로드하십시오. 해당 파일의 모든 인증서 컨텐츠를 복사하여 인증서 섹션에 붙여넣으십시오.
    2. QRadar Proxy 앱에서 지원하는 QRadar 의 이전 버전에서는 http://<qradar_host_ip>:9381/vault-qrd_ca.pem에서 루트 CA 인증서를 다운로드하십시오. http://<qradar_host_ip>:9381/vault-qrd_ca_int.pem에서 중간 CA 인증서를 다운로드하십시오. 두 파일의 인증서 컨텐츠에 있는 모든 인증서 컨텐츠를 복사하여 인증서 섹션에 붙여넣으십시오.
  8. 저장을 클릭한 후 탐색 패널에서 상태를 확인하여 연결이 성공적인지 확인하십시오.

결과

더 이상 프록시 연결이 필요하지 않은 경우 QRadar Proxy 페이지에서 제거할 수 있습니다. 사용자는 새 연결이 구성될 때까지 프록시에 연결할 수 없습니다.

통합 문제가 발생하면 QRadar 일반 상태 체크리스트 (https://www.ibm.com/support/pages/node/876874) 를 참조하십시오.

다음에 수행할 작업

QRadar 프록시 인증 토큰을 추가하여 QRadar 대시보드에 액세스 QRadar 사용자 이름 및 비밀번호를 추가하여 QRadar 앱에 액세스