Em uma comunicação do tipo “ TLS ” (de ponta a ponta) entre IBM
Disconnected Log Collector e IBM
QRadar, a comunicação baseada em certificados é utilizada para estabelecer uma cadeia de confiança na qual o hardware e o software são validados desde a entidade final até o certificado raiz. TCP
Antes de iniciar
Deve-se ter um certificado raiz que foi emitido por uma autoridade de certificação (CA) confiável. Geralmente, você usa o mesmo certificado raiz nos computadores Disconnected Log
Collector e QRadar . Certifique-se de que o certificado raiz tenha um nome significativo, como root-ca.cer. O arquivo client_root_ca.crt deve estar no formato X.509.
Se o assinante usar uma CA intermediária, o certificado raiz da CA intermediária também deverá ser importado no armazenamento confiável. Neste caso, use o seu próprio confiável em vez do armazenamento confiável do servidor QRadar .
Importante: Se existirem vários Disconnected Log
Collectors no ambiente, execute as etapas a seguir apenas uma vez no sistema QRadar ao qual o Disconnected Log
Collector se conecta:
Procedimento
- Use SSH para fazer login no Event Collector, Event Processorou QRadar
Console que recebe eventos da instância Disconnected Log
Collector .
- Copie o certificado raiz para o diretório /etc/pki/ca-trust/source/anchors .
- Se você estiver usando seu próprio armazenamento confiável, digite os comandos a seguir para incluir a autoridade de certificação do certificado de cliente e a autoridade de certificação intermediária em seu próprio armazenamento confiável:
keytool -import -alias client_root_ca -file client_root_ca.crt -keystore clientca
keytool -import -alias client_int_ca -file client_int_ca.crt -keystore clientca
Importante:
- O arquivo client_root_ca.crt deve estar no formato X.509.
- Execute o segundo comando apenas se o seu certificado for assinado por uma CA intermediária.
- Se você estiver usando o armazenamento confiável padrão, digite o comando a seguir para atualizá-lo:
- Para configurar a solicitação de assinatura de certificado (CSR) do servidor, crie um arquivo de texto com estas informações:
[ default ]
# Change the following line to include the FQDN and IP address of the QRadar console or host
SAN = DNS:<ec.example.com>,IP:<IP_address>
[ req ]
default_bits = 2048 # RSA key size; change to 4096 if required by your
organization
encrypt_key = no # Protect private key
default_md = sha256 # MD to use
utf8 = yes # Input is UTF-8
string_mask = utf8only # Emit UTF-8 strings
prompt = no # Prompt for DN
distinguished_name = server_dn # DN template
req_extensions = server_reqext # Desired extensions
[ server_dn ]
organizationName = <your_organization_name>
organizationalUnitName = <your_organizational_unit_name>
commonName = <common_name> # Should match a listed SAN
[ server_reqext ]
keyUsage = critical,digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
subjectKeyIdentifier = hash
subjectAltName = $ENV::SAN
- Salve o arquivo de texto como /tmp/tls-server.conf ou em seu local preferencial
- Gerar uma solicitação de assinatura de certificado do servidor (CSR) digitando o comando a seguir:
openssl req -new -config /tmp/tls-server.conf -out /tmp/tls-server.csr -keyout /tmp/tlsserver.key
Um arquivo CSR do servidor é salvo em /tmp/tls-server.csre um arquivo de chave privada é salvo em /tmp/tls-server.key
- Envie a CSR para sua autoridade de certificação interna ou comercial para assinatura, de acordo com suas instruções.
O procedimento pode envolver a abertura do arquivo CSR e a cópia de um bloco de texto codificado que está contido entreBEGINeENDmarcadores.
- Copie o certificado do servidor devolvido para o diretório /tmp ou o seu local preferido.
- Certifique-se de que o certificado do cliente esteja no formato PEM ( Base64 ASCII). Se o certificado estiver no formato DER (binário), converta-o em formato PEM digitando o comando a seguir:
openssl x509 -inform der -in <certificate_file_name>.der -out <certificate_file_name>.pem
Dica: A extensão do arquivo de um certificado não indica necessariamente o método de codificação usado. Por exemplo, um certificado com a .cer extensão pode ter a codificação Base-64 ou DER. Geralmente, você escolhe o método de codificação durante o procedimento de solicitação de certificado. Procure na Internet por informações sobre comandos OpenSSL que convertem certificados de um formato para outro.
O arquivo ` PEM ` contém um bloco de texto codificado que está entre as tagsBEGINeENDmarcadores.
- Se a sua CA utilizar uma CA intermediária para assinar certificados, certifique-se de que o certificado da CA intermediária esteja no formato “ PEM ” ( Base64 ASCII). Se o certificado estiver no formato “ DER ” (binário), converta-o para o formato “ PEM ” (consulte a etapa anterior). Em seguida, anexe o certificado de autoridade de certificação intermediário ao certificado do servidor assinado digitando o comando a seguir:
cat <intermediate_ca_file_name>.pem >> <signed_server_certificate_file_name>.pem
- Se o certificado do servidor da loja que você recebeu não estiver no formato PKCS#12, como o Distinguished Encoding Rules ( DER ), converta o certificado do cliente para o formato PKCS#12. Digite o comando a seguir e escolha uma senha segura quando solicitado:
openssl pkcs12 -inkey /tmp/tlsserver.key -in <signed_server_certificate_file_name>.pem -export -out dlc-server.pfx
- Quando solicitado, escolha uma senha segura.
- Copie o certificado do servidor para o computador QRadar no diretório /opt/qradar/conf/key_stores . Se a pasta /key_stores não existir, crie-a.
Resultados
É possível configurar a origem de log Disconnected Log
Collector em QRadar usando o arquivo dlc-server.pfx criado.