IBM® QRadar® Threat Intelligence não pode se conectar ao servidor de feed TAXII. É possível testar a disponibilidade de conexão executando um comando curl dentro do contêiner do Docker e simulando a solicitação.
Procedimento
- Use SSH para efetuar login no QRadar Console como o usuário raiz e execute o comando a seguir para determinar o contêiner do Docker do app QRadar Threat Intelligence :
/opt/qradar/support/qappmanager
- Use SSH para efetuar login como o usuário raiz no host gerenciado no qual o app QRadar Threat Intelligence está instalado e, em seguida, execute o comando a seguir para efetuar login no contêiner do Docker:
# /opt/qradar/support/recon connect <app-id>
Nota: o host gerenciado pode ser um QRadar App Host ou Console.
- Para obter seu nome de usuário e senha codificados, insira sua Chave de API e senha no comando base64 no QRadar A partir da ferramenta base64 de linha de comandos, insira sua senha e chave de API no formato a seguir:
echo -n '<API_Key>:<password>' | base64 -w 0
- No comando a seguir, substitua {base64Encoded string} com o seu nome de usuário e senha codificados e, em seguida, execute o comando.
curl -k -v -X POST \
-L https://api.xforce.ibmcloud.com/taxii \
-H 'accept: application/xml' \
-H 'authorization: Basic {base64Encoded string} ' \
-H 'content-type: application/xml' \
-H 'x-taxii-accept: urn:taxii.mitre.org:message:xml:1.1' \
-H 'x-taxii-content-type: urn:taxii.mitre.org:message:xml:1.1' \
-H 'x-taxii-protocol: urn:taxii.mitre.org:protocol:http:1.0' \
-H 'x-taxii-services: urn:taxii.mitre.org:services:1.1' \
-d '<taxii_11:Discovery_Request xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:taxii_11="http://taxii.mitre.org/messages/taxii_xml_binding-1.1"
xsi:schemaLocation="http://taxii.mitre.org/messages/taxii_xml_binding-1.1
http://taxii.mitre.org/messages/taxii_xml_binding-1.1" message_id="123" />'
No exemplo, o feed de XFE é usado no comando, mas é possível substituí-lo conforme necessário. A sinalização
-k instrui
QRadar a ignorar o certificado do servidor.
Caso o comando falhe, é possível que você não tenha uma conexão direta com o servidor TAXII. Vá para a etapa 3 e tente usar um servidor proxy acessível a partir do contêiner do Docker que tem acesso ao servidor TAXII.
- Opcional: No comando a seguir, use seu nome de usuário e senha na variável http (s): / // username:password@ip:port/ e, em seguida, execute o comando
curl -k -v -X POST \
-x " http://username:password@proxyip:proxyport " \
-L https://api.xforce.ibmcloud.com/taxii \
-H 'accept: application/xml' \
-H 'authorization: Basic {base64Encoded string}' \
-H 'content-type: application/xml' \
-H 'x-taxii-accept: urn:taxii.mitre.org:message:xml:1.1' \
-H 'x-taxii-content-type: urn:taxii.mitre.org:message:xml:1.1' \
-H 'x-taxii-protocol: urn:taxii.mitre.org:protocol:http:1.0' \
-H 'x-taxii-services: urn:taxii.mitre.org:services:1.1' \
-d '<taxii_11:Discovery_Request xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:taxii_11="http://taxii.mitre.org/messages/taxii_xml_binding-1.1"
xsi:schemaLocation="http://taxii.mitre.org/messages/taxii_xml_binding-1.1
http://taxii.mitre.org/messages/taxii_xml_binding-1.1" message_id="123" />'
Resultados
Se nenhum desses comandos funcionar, entre em contato com o administrador da
rede para investigar possíveis problemas com a configuração de firewall ou de rede em seu
ambiente.Se já houver um proxy configurado para o aplicativo, tente inserir a senha
novamente.