IBM Support

QRadar: 異なる IP アドレスによってアクセスできる管理対象ホストを追加する方法

How To


Summary

この技術情報の目的は、管理者が NAT を経由してアクセスできる管理対象ホストを追加するため、QRadar® NAT グループの構成を支援することです。

Environment

このインテグレーションを構成するには、管理者は以下が必要となります:
注: この技術情報では、管理対象ホストは暗号化を使用して追加されます。暗号化により、ポート 22 を使用して SSH 経由でトラフィックをトンネリングします。
  1. リモートホストのパブリック IP とプライベート IP を双方向に変換する中間の NAT デバイス
  2. コンソールと管理対象ホスト間の双方向接続
    1. ファイアウォールは、この接続用にブルート・フォースでないポリシーが有効であることを確認している両方のホスト間でポート 22 を許可しなければなりません。
    2. コンソールは、パブリック IP を経由してリモート・ホストに到達する必要があります。
    3. リモート・ホストはコンソールのプライベート IP に到達する必要があります。

Steps

注: 以下の IP アドレスは、構成を説明するためのものです。例で使用する全ての IP アドレスは、RFC 1918 によって「プライベート・ネットワーク IP アドレス」とみなされます。管理者は、そのデプロイメントに合わせて IP アドレスを変更する必要があります。
デプロイメントの概要
Console Private IP = 10.11.12.254
Console NAT Group (Location) = Main Office

Event Processor (EP) Private IP = 192.168.12.101
Event Processor (EP ) Public IP = 172.16.12.101
Event Processor (EP ) NAT Group (Location) = Branch1
 接続の確認
  1. QRadar® コンソールへの SSH セッションをオープンにします。
  2. リモート・ホスト (イベント・プロセッサー) のパブリック IP に対してテストします。
    注: strict host checking が有効になっている場合は、次の技術情報をご参照ください: QRadar: SSH to host fails with error "No ECDSA host key is known for <Remote Host IP> and you have requested strict checking" 
     
    # ssh <Remote Host Public IP>
接続テストでリモート・ホストに接続されない場合、管理者はネットワーク・チームに連絡し、静的 1:1 NAT が構成されているか確認する必要があります。
QRadar® の構成
  1. 管理対象ホストの追加」メニューに移動する
    1. 管理ユーザーとして QRadar コンソールにログインします。
    2. 管理」タブをクリックします。
    3. システムおよびライセンス管理」をクリックします。
    4. 表示」リストで「システム」を選択します。
    5. デプロイメント・アクション」>「ホストの追加」の順にクリックします。
       
  2. NAT グループを作成する
    1. ネットワーク・アドレス変換」のチェック・ボックスを選択します。
    2. 新しい NAT グループを作成するため、設定アイコン (settings icon) をクリックします。
    3. 追加」をクリックし、NAT グループを作成します。
    4. NAT グループに名前を付け、「保存」をクリックします。
    5. 閉じる」をクリックして、「管理対象ホストの追加」メニューに戻ります。
       
  3. 管理対象ホストを構成する
    1. ホストの IP とパスワードを入力します。
      注: ホスト IP はプライベート IP です。
    2. ホスト接続の暗号化」のチェック・ボックスを選択します。
    3. ネットワーク・アドレス変換」のチェック・ボックスを選択します。
    4. NAT グループ」リストで、作成した NAT グループを選択します。
    5. パブリック IP 」フィールドにイベント・プロセッサーのパブリック IP アドレスを入力し、「追加」をクリックします。

      Figure04

      重要:変更のデプロイ」を実行するとサービスが再起動されます。サービスの再起動中は、起動が完了するまでイベント処理が停止します。進行中のスケジュール済みレポートは、ユーザーが手動で再起動する必要があります。すぐに機器を停止させることが難しい管理者は、組織でスケジュールされた保守期間中に次のステップを完了させることを推奨します。
  4. 変更のデプロイ」をクリックします。
結果:
コンソールはイベント・プロセッサーのプライベート IP を参照し、イベント・プロセッサーのパブリック IP を使用して接続します。
コンソールはイベント・プロセッサーのパブリック IP によって、イベント・プロセッサーからの接続を予期します。

Additional Information

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]

Document Information

Modified date:
07 August 2021

UID

ibm16441645