Question & Answer
Question
QRadarの iptablesを使用してアプライアンスの EPS制限値を超えているイベントソースを停止するにはどうすればよいですか?
Answer
QRadarアプライアンスにファイアウォール・ルールを追加してイベント・ソースを停止する方法
1. SSHを使用して、 rootユーザで QRadarコンソールにログインします。
2. 任意:ブロックしたいデータを受信している管理対象ホストへの SSHセッションを開きます。 (コンソール・アプライアンスでない場合)
3. iptablesを編集するためには以下のコマンドを実行します。
vi /opt/qradar/conf/iptables.pre
注: VI、 VIM、または任意のエディタを使用することができます。 IPtables設定ファイルが表示されます。
4. IPtablesコマンドを入力します:
例: -A INPUT -s <IP address> -p udp --dport 514 -j REJECT
5. IPtables設定を保存し、Esc キーを押してから:wq を入力して変更を保存し、エディタを終了します。
6. QRadarで IPtablesを更新するには、次のコマンドを入力します。./opt/qradar/bin/iptables_update.pl
7. 変更はアプライアンスに適用されます。
8. /opt/qradar/conf/iptables.pre ファイルに書き込まれた新しいルールが適用されているかどうかを確認するには、
次のコマンドを実行します。
# iptables -L -n
ブロックしたいホストが iptables のルールにリストされていることを確認します。
注: IPtables ルールを追加するときには注意が必要です。 誤ったルールを設定すると、
IPtables ルールを追加しているアプライアンスからユーザーがロックアウトされる可能性があります。
QRadarの iptablesの別の使用方法
・IPtables はあるポートから別のポートへトラフィックをリダイレクトするために
使用する事ができます。たとえば、4444 などのカスタマイズされたポートに
のみ Syslog を送信できるアプライアンスがある場合です。
IPtables を使用して、ポート 4444 へのトラフィックを QRadar の標準 Syslog
ポート(TCP または UDP 514)にリダイレクトさせる事が可能です。
Cisco のアプライアンスにはポート 2000 以下の Syslog トラフィックを許可
しないものがあります。
・iptables を QRadar コンソールへの Webアクセスを
ブロックするために使用しないでください。
QRadar には、QRadar コンソールと通信可能なホストを
ホワイトリストに登録することができるファイアウォール・インターフェースがあります。
これは、ユーザー・インターフェイスの「システムおよびライセンス管理」にあります。
1 つ以上の冗長バックアップアドレスなしにファイアウォール・ルールを追加しないでください。
これにより管理者はアプライアンスから自分自身がロックアウトされる事を防ぎます。
・デフォルトでは、QRadar アプライアンスはアプライアンス間で ping(ICMP) レスポンスを
送信しません。これは、セキュリティ上の目的で iptables にデフォルトで設定されています。
ping を有効にするために管理者は、次の記事を参照できます。
QRadar:Enabling ping response on appliances
手順
1. SSHを使用して、 rootユーザで QRadarコンソールにログインします。
2. 任意:ブロックしたいデータを受信している管理対象ホストへの SSHセッションを開きます。 (コンソール・アプライアンスでない場合)
3. iptablesを編集するためには以下のコマンドを実行します。
vi /opt/qradar/conf/iptables.pre
注: VI、 VIM、または任意のエディタを使用することができます。 IPtables設定ファイルが表示されます。
4. IPtablesコマンドを入力します:
例: -A INPUT -s <IP address> -p udp --dport 514 -j REJECT
5. IPtables設定を保存し、Esc キーを押してから:wq を入力して変更を保存し、エディタを終了します。
6. QRadarで IPtablesを更新するには、次のコマンドを入力します。./opt/qradar/bin/iptables_update.pl
7. 変更はアプライアンスに適用されます。
8. /opt/qradar/conf/iptables.pre ファイルに書き込まれた新しいルールが適用されているかどうかを確認するには、
次のコマンドを実行します。
# iptables -L -n
ブロックしたいホストが iptables のルールにリストされていることを確認します。
注: IPtables ルールを追加するときには注意が必要です。 誤ったルールを設定すると、
IPtables ルールを追加しているアプライアンスからユーザーがロックアウトされる可能性があります。
QRadarの iptablesの別の使用方法
・IPtables はあるポートから別のポートへトラフィックをリダイレクトするために
使用する事ができます。たとえば、4444 などのカスタマイズされたポートに
のみ Syslog を送信できるアプライアンスがある場合です。
IPtables を使用して、ポート 4444 へのトラフィックを QRadar の標準 Syslog
ポート(TCP または UDP 514)にリダイレクトさせる事が可能です。
Cisco のアプライアンスにはポート 2000 以下の Syslog トラフィックを許可
しないものがあります。
・iptables を QRadar コンソールへの Webアクセスを
ブロックするために使用しないでください。
QRadar には、QRadar コンソールと通信可能なホストを
ホワイトリストに登録することができるファイアウォール・インターフェースがあります。
これは、ユーザー・インターフェイスの「システムおよびライセンス管理」にあります。
1 つ以上の冗長バックアップアドレスなしにファイアウォール・ルールを追加しないでください。
これにより管理者はアプライアンスから自分自身がロックアウトされる事を防ぎます。
・デフォルトでは、QRadar アプライアンスはアプライアンス間で ping(ICMP) レスポンスを
送信しません。これは、セキュリティ上の目的で iptables にデフォルトで設定されています。
ping を有効にするために管理者は、次の記事を参照できます。
QRadar:Enabling ping response on appliances
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Operating System","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
26 January 2021
UID
swg21997603