QRadar EDR: EDR エージェントにおける SSL 証明書検証の変更について

News

Abstract

この技術情報では、すべての EDR エージェントと Hive サーバーの接続で SSL 検証を可能にする次期リリースを皮切りに、EDR エージェントの SSL 証明書検証における重要な変更点をご紹介します。

Content

EDR エージェントの次期リリースから、EDR エージェントから EDR Hive バックエンドへのすべての接続で SSL 検証が有効になります。具体的には、エージェントは EDR Hive バックエンドが提示するサーバー側の証明書を検証します。これまでは、SSL の検証は強制されていませんでしたが、次の EDR エージェントのバージョンから、この変更が導入されます：

•    Windows v3.12.5
•    Linux v0.91.0
•    macOS v1.2.0

新しい EDR エージェントのインストールでは、証明書検証はデフォルトで有効になりますが、更新(アップデート)される EDR エージェントでは、予期せぬ切断を避けるために、無効( not-enabled )になります。

EDR エージェントの証明書検証の管理に関する完全なガイダンスについては、「 EDR エージェントの証明書検証の管理」の技術情報をご参照ください。

始める前に:

エージェントをインストールいただく前に、エージェントがサーバー証明書を信頼できるよう、エンドポイント上で認証局( CA )が正しく設定されていることをご確認ください。
カスタム CA 証明書を使用する場合、証明書の検証を成功させるためにいくつかのアクションが必要になる場合があります。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証の確認」および「証明書のインストール」セクションをご参照ください。
インストール時に証明書検証の問題が発生した場合、設定オプションを使用して証明書検証を完全に無効にしてエージェントをインストールすることが可能です。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証を無効化したインストール」セクションをご参照ください。
注: 証明書検証を無効にするよりも、まずはトラブルシューティングを行い、潜在的なローカルの設定ミスを解決することを推奨します。
検証は、別の手順で後の段階で有効にすることができる。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証の有効化」セクションをご参照ください。

想定されるシナリオ:
SSL 検証はエンドポイント上でローカルに実行されるため、EDR Hive バックエンドのデプロイメントの種類とローカルのエンドポイント構成によってさまざまなシナリオが考えられます。以下では理解しやすくするため、デプロイメントの種類に基づいて最も一般的なシナリオの概要をご説明します。

SaaS

サーバー側の証明書は、IBM によって定期的に最新の状態に維持されます。証明書は認知された認証局( Let's Encrypt )によって発行され、EDR Hive バックエンドは Root CA 証明書とすべての中間証明書を含む完全な証明書チェーンをセキュアな接続で提供します。致命的なエンドポイントの設定ミスを除けば、EDR エージェントは新規インストール時に問題なく証明書検証を実施します。更新されるエージェントは、証明書検証を実施するように直接構成することが可能です。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証の有効化」セクションをご参照ください。

オンプレミス・レガシー (非 CP4S / OpenShift ベース)

サーバー側の証明書は、IBM によって最新の状態に維持されるか、エンドユーザーによって完全に管理されます。証明書がエンドユーザー内の特定の認証局によって発行されることもあります。EDR Hive バックエンドから EDR エージェントに提示される証明書には、既知の設定ミスがあるため、証明書の検証は実現できません。

オンプレミス・レガシー環境は、既知の設定ミスが存在しないオンプレミス CP4S デプロイメント・モデルへ移行することが見込まれています。EDR エージェントは証明書検証を明示的に無効化することによってのみ、オンプレミス・レガシー環境に接続することができます。これは、すべての更新されるエージェントにデフォルトで適用され、追加の設定変更はありません。新規インストールのエージェントは、インストール時に検証を無効化するように明示的に設定する必要があります。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証を無効化したインストール」セクションをご参照ください

オンプレミス CP4S

サーバー側の証明書は、エンドユーザーが完全に管理します。証明書がエンドユーザー内の特定の認証局によって発行されることもあります。EDR Hive バックエンドは、完全な証明書チェーンが正しく設定されていると仮定し、すべての中間証明書を含む完全な証明書チェーンを提供します。

証明書が既知の認証局から発行され、エンドポイントに致命的な設定ミスがないと想定される場合、EDR エージェントはインストール時に問題なく証明書検証を実施します。更新されるエージェントは、証明書検証を実施するように直接構成することができます。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証の有効化」セクションをご参照ください。

よく知られていない内部の認証局から証明書が発行された場合、エンドポイントの構成によっては追加の手順が必要になることがあります。証明書がローカルにインストールされ、検証可能であることを確認するため、ローカルで確認を行うことを推奨します。詳細については、「 EDR エージェントの証明書検証の管理」技術情報の「証明書検証の確認」セクションをご参照ください。

Related Information

翻訳元 (英語) : QRadar EDR: SSL certificate verification changes in the EDR agents

QRadar EDR: EDR エージェントの証明書検証の管理

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB77","label":"Automation Platform"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSOO77","label":"IBM Security QRadar EDR"},"ARM Category":[{"code":"a8m3p0000000rbnAAA","label":"Support-\u003EAdministration Task"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Product Synonym

ReaQta

Was this topic helpful?

Document Information

Modified date:
25 April 2025

UID

ibm17229989

Tips