Configurando o Acesso aos Destinos de Entrada

Novo em 5.0 Antes de configurar o aplicativo IBM® QRadar® SOAR Plug-in 5.0 , deve-se copiar os certificados de autoridade de certificação SOAR para o QRadar Console para permitir o acesso aos destinos de entrada SOAR .

Antes de iniciar

Se você se conectar a uma instância do IBM Security SOAR for IBM Cloud Pak® for Security ( CP4S ), certifique-se de que o mapeamento de DNS para o endereço IP associado ao cluster CP4S e seu nome de domínio esteja configurado. Forneça essas informações para o Console QRadar e o contêiner do Plug-in QRadar SOAR. Você deve fornecer o endereço IP e os nomes de host do cluster CP4S e os pontos de extremidade cases-rest, cases-stomp e cases-openwire .

Procedimento

  1. Para configurar certificados de CA para o IBM Security SOAR Platform, siga estas etapas:
    1. Usando SSH, efetue login no QRadar como o usuário raiz
    2. Digite o comando a seguir para alterar diretórios.
      cd /opt/qradar/conf/trusted_certificates
    3. Instale o certificado SOAR digitando este comando:
      /opt/qradar/bin/getcert.sh <IP_or_Hostname_of_SOAR> <Port_of_the_SOAR_incoming_queue>

      Por exemplo, o comando pode ser semelhante a este, /opt/qradar/bin/getcert.sh mysoar.ibm.com 65000

    4. Reinicie o serviço de coleção de eventos do QRadar digitando este comando:
      systemctl restart ecs-ep
  2. Para configurar certificados CA para uma instância do SOAR for IBM Cloud Pak for Security, siga estas etapas:
    1. Abra o console do Red Hat OpenShift Container Platform para o cluster no qual o CP4S foi instalado
    2. Na página de navegação, selecione Rede > Rotas.
    3. Selecione Projeto: Todos os Projetos e procure cases-openwire.
    4. Clique na rota cases-openwire para abrir a janela Detalhes da rota .
    5. Sob configurações TLS, copie o valor no campo Certificado e salve-o em um arquivo .crt .

      Por exemplo, é possível nomear o arquivo .crt semelhante a esse: <hostname>_cases_openwire_ca.crt.

      Observação:

      Se o valor Certificado estiver vazio, localize o valor do certificado nas configurações de Cargas de trabalho .

      1. Na janela de navegação, selecione Cargas de trabalho: > Segredos..
      2. Procure por isc-cases-openwire-default-cert ou isc-cases-stomp-default-cert

        O conteúdo do certificado está na seção Dados

    6. Copie o arquivo .crt no local /opt/qradar/conf/trusted_certificates no QRadar Console.
    7. Reinicie o serviço de coleção de eventos do QRadar digitando este comando:
      systemctl restart ecs-ep

O que fazer a seguir

Após configurar o acesso aos destinos de entrada, crie um token de serviço autorizado para autenticar as chamadas API que são feitas por SOAR.