Novo em 5.0 Antes de configurar o aplicativo IBM® QRadar® SOAR Plug-in 5.0 , deve-se copiar os certificados de autoridade de certificação SOAR para o QRadar Console para permitir o acesso aos destinos de entrada SOAR .
Antes de iniciar
Se você se conectar a uma instância do IBM Security SOAR for IBM Cloud Pak® for Security ( CP4S ), certifique-se de que o mapeamento de DNS para o endereço IP associado ao cluster CP4S e seu nome de domínio esteja configurado. Forneça essas informações para o Console QRadar e o contêiner do Plug-in QRadar SOAR. Você deve fornecer o endereço IP e os nomes de host do cluster CP4S e os pontos de extremidade cases-rest, cases-stomp e cases-openwire .
Procedimento
- Para configurar certificados de CA para o IBM Security SOAR Platform, siga estas etapas:
- Usando SSH, efetue login no QRadar como o usuário raiz
- Digite o comando a seguir para alterar diretórios.
cd /opt/qradar/conf/trusted_certificates
- Instale o certificado SOAR digitando este comando:
/opt/qradar/bin/getcert.sh <IP_or_Hostname_of_SOAR> <Port_of_the_SOAR_incoming_queue>
Por exemplo, o comando pode ser semelhante a este, /opt/qradar/bin/getcert.sh
mysoar.ibm.com 65000
- Reinicie o serviço de coleção de eventos do QRadar digitando este comando:
- Para configurar certificados CA para uma instância do SOAR for IBM Cloud Pak for Security, siga estas etapas:
- Abra o console do Red Hat OpenShift Container Platform para o cluster no qual o CP4S foi instalado
- Na página de navegação, selecione .
- Selecione Projeto: Todos os Projetos e procure cases-openwire.
- Clique na rota cases-openwire para abrir a janela Detalhes da rota .
- Sob configurações TLS, copie o valor no campo Certificado e salve-o em um arquivo .crt .
Por exemplo, é possível nomear o arquivo .crt semelhante a esse: <hostname>_cases_openwire_ca.crt.
Observação:Se o valor Certificado estiver vazio, localize o valor do certificado nas configurações de Cargas de trabalho .
- Na janela de navegação, selecione ..
- Procure por isc-cases-openwire-default-cert ou isc-cases-stomp-default-cert
O conteúdo do certificado está na seção Dados
- Copie o arquivo .crt no local /opt/qradar/conf/trusted_certificates no QRadar Console.
- Reinicie o serviço de coleção de eventos do QRadar digitando este comando:
O que fazer a seguir
Após configurar o acesso aos destinos de entrada, crie um token de serviço autorizado para autenticar as chamadas API que são feitas por SOAR.