Configurando a autenticação baseada em certificado no QRadar

Em uma comunicação do tipo “ TLS ” (de ponta a ponta) entre IBM Disconnected Log Collector e IBM QRadar, a comunicação baseada em certificados é utilizada para estabelecer uma cadeia de confiança na qual o hardware e o software são validados desde a entidade final até o certificado raiz. TCP

Antes de iniciar

Deve-se ter um certificado raiz que foi emitido por uma autoridade de certificação (CA) confiável. Geralmente, você usa o mesmo certificado raiz nos computadores Disconnected Log Collector e QRadar . Certifique-se de que o certificado raiz tenha um nome significativo, como root-ca.cer. O arquivo client_root_ca.crt deve estar no formato X.509.

Se o assinante usar uma CA intermediária, o certificado raiz da CA intermediária também deverá ser importado no armazenamento confiável. Neste caso, use o seu próprio confiável em vez do armazenamento confiável do servidor QRadar .

Importante: Se existirem vários Disconnected Log Collectors no ambiente, execute as etapas a seguir apenas uma vez no sistema QRadar ao qual o Disconnected Log Collector se conecta:

Procedimento

  1. Use SSH para fazer login no Event Collector, Event Processorou QRadar Console que recebe eventos da instância Disconnected Log Collector .
  2. Copie o certificado raiz para o diretório /etc/pki/ca-trust/source/anchors .
  3. Se você estiver usando seu próprio armazenamento confiável, digite os comandos a seguir para incluir a autoridade de certificação do certificado de cliente e a autoridade de certificação intermediária em seu próprio armazenamento confiável:
    keytool -import -alias client_root_ca -file client_root_ca.crt -keystore clientca
    
    keytool -import -alias client_int_ca -file client_int_ca.crt -keystore clientca
    
    Importante:
    • O arquivo client_root_ca.crt deve estar no formato X.509.
    • Execute o segundo comando apenas se o seu certificado for assinado por uma CA intermediária.
  4. Se você estiver usando o armazenamento confiável padrão, digite o comando a seguir para atualizá-lo:
    update-ca-trust
  5. Para configurar a solicitação de assinatura de certificado (CSR) do servidor, crie um arquivo de texto com estas informações:
    [ default ]
    # Change the following line to include the FQDN and IP address of the QRadar console or host
    SAN = DNS:<ec.example.com>,IP:<IP_address>
    [ req ]
    default_bits = 2048                        # RSA key size; change to 4096 if required by your
    organization
    encrypt_key = no                           # Protect private key
    default_md = sha256                        # MD to use
    utf8 = yes                                 # Input is UTF-8
    string_mask = utf8only                     # Emit UTF-8 strings
    prompt = no                                # Prompt for DN
    distinguished_name = server_dn             # DN template
    req_extensions = server_reqext             # Desired extensions
    [ server_dn ]
    organizationName = <your_organization_name>
    organizationalUnitName = <your_organizational_unit_name>
    commonName = <common_name>                 # Should match a listed SAN
    [ server_reqext ]
    keyUsage = critical,digitalSignature,keyEncipherment
    extendedKeyUsage = serverAuth,clientAuth
    subjectKeyIdentifier = hash
    subjectAltName = $ENV::SAN
  6. Salve o arquivo de texto como /tmp/tls-server.conf ou em seu local preferencial
  7. Gerar uma solicitação de assinatura de certificado do servidor (CSR) digitando o comando a seguir:
    openssl req -new -config /tmp/tls-server.conf -out /tmp/tls-server.csr -keyout /tmp/tlsserver.key

    Um arquivo CSR do servidor é salvo em /tmp/tls-server.csre um arquivo de chave privada é salvo em /tmp/tls-server.key

  8. Envie a CSR para sua autoridade de certificação interna ou comercial para assinatura, de acordo com suas instruções.

    O procedimento pode envolver a abertura do arquivo CSR e a cópia de um bloco de texto codificado que está contido entreBEGINeENDmarcadores.

  9. Copie o certificado do servidor devolvido para o diretório /tmp ou o seu local preferido.
  10. Certifique-se de que o certificado do cliente esteja no formato PEM ( Base64 ASCII). Se o certificado estiver no formato DER (binário), converta-o em formato PEM digitando o comando a seguir:
    openssl x509 -inform der -in <certificate_file_name>.der -out <certificate_file_name>.pem
    Dica: A extensão do arquivo de um certificado não indica necessariamente o método de codificação usado. Por exemplo, um certificado com a .cer extensão pode ter a codificação Base-64 ou DER. Geralmente, você escolhe o método de codificação durante o procedimento de solicitação de certificado. Procure na Internet por informações sobre comandos OpenSSL que convertem certificados de um formato para outro.
    O arquivo ` PEM ` contém um bloco de texto codificado que está entre as tagsBEGINeENDmarcadores.
  11. Se a sua CA utilizar uma CA intermediária para assinar certificados, certifique-se de que o certificado da CA intermediária esteja no formato “ PEM ” ( Base64 ASCII). Se o certificado estiver no formato “ DER ” (binário), converta-o para o formato “ PEM ” (consulte a etapa anterior). Em seguida, anexe o certificado de autoridade de certificação intermediário ao certificado do servidor assinado digitando o comando a seguir:
    cat <intermediate_ca_file_name>.pem >> <signed_server_certificate_file_name>.pem
  12. Se o certificado do servidor da loja que você recebeu não estiver no formato PKCS#12, como o Distinguished Encoding Rules ( DER ), converta o certificado do cliente para o formato PKCS#12. Digite o comando a seguir e escolha uma senha segura quando solicitado:
    openssl pkcs12 -inkey /tmp/tlsserver.key -in <signed_server_certificate_file_name>.pem -export -out dlc-server.pfx
  13. Quando solicitado, escolha uma senha segura.
  14. Copie o certificado do servidor para o computador QRadar no diretório /opt/qradar/conf/key_stores . Se a pasta /key_stores não existir, crie-a.

Resultados

É possível configurar a origem de log Disconnected Log Collector em QRadar usando o arquivo dlc-server.pfx criado.

O que fazer a seguir

Configurando a comunicação entre TLS e TCP com QRadar