Não é possível se conectar ao servidor de feed TAXII

IBM® QRadar® Threat Intelligence não pode se conectar ao servidor de feed TAXII. É possível testar a disponibilidade de conexão executando um comando curl dentro do contêiner do Docker e simulando a solicitação.

Procedimento

  1. Use SSH para efetuar login no QRadar Console como o usuário raiz e execute o comando a seguir para determinar o contêiner do Docker do app QRadar Threat Intelligence :
    /opt/qradar/support/qappmanager
  2. Use SSH para efetuar login como o usuário raiz no host gerenciado no qual o app QRadar Threat Intelligence está instalado e, em seguida, execute o comando a seguir para efetuar login no contêiner do Docker:
    # /opt/qradar/support/recon connect <app-id>
    Nota: o host gerenciado pode ser um QRadar App Host ou Console.
  3. Para obter seu nome de usuário e senha codificados, insira sua Chave de API e senha no comando base64 no QRadar A partir da ferramenta base64 de linha de comandos, insira sua senha e chave de API no formato a seguir:
    echo -n '<API_Key>:<password>' | base64 -w 0
  4. No comando a seguir, substitua {base64Encoded string} com o seu nome de usuário e senha codificados e, em seguida, execute o comando.
    curl -k -v -X POST \
      -L https://api.xforce.ibmcloud.com/taxii \
      -H 'accept: application/xml' \
      -H 'authorization: Basic  {base64Encoded string} ' \
      -H 'content-type: application/xml' \
      -H 'x-taxii-accept: urn:taxii.mitre.org:message:xml:1.1' \
      -H 'x-taxii-content-type: urn:taxii.mitre.org:message:xml:1.1' \
      -H 'x-taxii-protocol: urn:taxii.mitre.org:protocol:http:1.0' \
      -H 'x-taxii-services: urn:taxii.mitre.org:services:1.1' \
      -d '<taxii_11:Discovery_Request xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
          xmlns:taxii_11="http://taxii.mitre.org/messages/taxii_xml_binding-1.1" 
          xsi:schemaLocation="http://taxii.mitre.org/messages/taxii_xml_binding-1.1 
          http://taxii.mitre.org/messages/taxii_xml_binding-1.1"  message_id="123" />'
    No exemplo, o feed de XFE é usado no comando, mas é possível substituí-lo conforme necessário. A sinalização -k instrui QRadar a ignorar o certificado do servidor.

    Caso o comando falhe, é possível que você não tenha uma conexão direta com o servidor TAXII. Vá para a etapa 3 e tente usar um servidor proxy acessível a partir do contêiner do Docker que tem acesso ao servidor TAXII.

  5. Opcional: No comando a seguir, use seu nome de usuário e senha na variável http (s): / // username:password@ip:port/ e, em seguida, execute o comando
    curl -k -v -X POST \
      -x " http://username:password@proxyip:proxyport " \
      -L https://api.xforce.ibmcloud.com/taxii \
      -H 'accept: application/xml' \
      -H 'authorization: Basic {base64Encoded string}' \
      -H 'content-type: application/xml' \
      -H 'x-taxii-accept: urn:taxii.mitre.org:message:xml:1.1' \
      -H 'x-taxii-content-type: urn:taxii.mitre.org:message:xml:1.1' \
      -H 'x-taxii-protocol: urn:taxii.mitre.org:protocol:http:1.0' \
      -H 'x-taxii-services: urn:taxii.mitre.org:services:1.1' \
      -d '<taxii_11:Discovery_Request xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
          xmlns:taxii_11="http://taxii.mitre.org/messages/taxii_xml_binding-1.1" 
          xsi:schemaLocation="http://taxii.mitre.org/messages/taxii_xml_binding-1.1 
          http://taxii.mitre.org/messages/taxii_xml_binding-1.1"  message_id="123" />'

Resultados

Se nenhum desses comandos funcionar, entre em contato com o administrador da rede para investigar possíveis problemas com a configuração de firewall ou de rede em seu ambiente.

Se já houver um proxy configurado para o aplicativo, tente inserir a senha novamente.