Flashes (Alerts)
Abstract
QRadar® 管理者として、外部認証( LDAP など)を構成するためのガイダンスはありますか ?
Content
過去の技術情報 566407「 QRadar: 管理者のパスワードのフォールバック変更により外部認証が失敗する事象について ( 2019 年 8 月 30 日に更新/英語版)」に示されているように、IBM® QRadar® は外部認証が有効になっている場合に、ユーザーのローカル・フォールバックを選択して有効にする機能が組み込まれています。
ローカル・フォーカルバックに関する検討事項
QRadar® はユーザーの認証を容易にするため、さまざまな外部認証プロバイダーとの統合をサポートします。管理者はバックアップとしてローカル・フォールバック認証を構成し、キー・ユーザーに対して有効にすることができます。この構成はセキュリティーの意思決定を外部委託としており、不正な認証管理者が QRadar システムを侵害する可能性があるため、外部認証プロバイダーが信頼できることを確認する必要性があります。セキュア・バージョンのプロトコルを使用するなど、セキュアな方法で外部認証接続を行うことが重要で、例えば、管理者は ldap ではなく、ldaps を使用できます。
以下の例では、フォールバック認証が QRadar 内で正しく構成されていない場合の潜在的なセキュリティーの懸念点を解説しています。
外部認証が構成されている場合、すべてのログイン試行はまず外部認証プロバイダーに送信されます。要求が失敗または実行できなかった場合、QRadar は設定が有効な場合に限り、ユーザーのローカル・フォールバックに移行します。ローカル・フォールバックは、ネットワーク接続の問題などで外部プロバイダーにアクセスできない場合や、外部プロバイダー・アカウントのロックアウトまたはパスワードが正しくないためにユーザーが認証できない場合に発生する可能性があります。
例 1:
アリスは QRadar の管理者です。通常、アリスは LDAP のユーザー名とパスワードを使用して QRadar に認証します。マロリーは LDAP サーバーを侵害し、アリスのアカウントを無効にしました。アリスはローカル・フォールバック認証を使用してログインすることができます。
フォールバック認証は、外部プロバイダーがユーザーの認証に成功しなかった場合でも利用されるため、フォールバックを使用して認証しないようにするには、ユーザーが QRadar のアクセスを終了する時にローカル・フォールバックまたはアカウントを完全に無効にすることが重要です。
例 2:
マロリーは QRadar へのアクセスを必要としなくなりました。アリスは LDAP でマロリーの QRadar ユーザー権限を削除しますが、マロリーのアカウントおよびローカル・フォールバックを無効にしませんでした。マロリーは、引き続きローカル・フォールバックを使用してログインできます。
外部認証が有効になっている場合、すべてのログイン要求が最初に外部認証プロバイダーに送信されるため、ローカルのみのユーザー・アカウントを持つことはできません。すべての QRadar ユーザー・アカウントが該当する LDAP ユーザーに対応しているか確認することが QRadar 管理者にとって重要であり、そうしないと、不正な外部認証管理者が別のパスワードを使用して LDAP に一致するアカウントを作成することができます。外部認証が有効になっている場合は、混合認証モードを使用するように QRadar を構成することはできず、ローカルのみのアカウントを持つことはできません。
例 3:
ボブは、LDAP のセットアップ後にデフォルトで QRadar admin のユーザー・アカウントを有効にし、admin の LDAP ユーザー・アカウントが存在しないので、ローカル認証フォールバックを使用して QRadar アカウントにアクセスします。マロリーはドメイン管理者によって作成された admin の LDAP ユーザー・アカウントを持っていますが、QRadar へのアクセス権限を持っていることにはなりません。マロリーは admin ユーザーの LDAP の資格情報を使用して QRadar にアクセスすることができます。デプロイメントのベストプラクティス
外部認証が有効になっている QRadar® デプロイメントでは、管理者は以下のアクションを実行することで、許可されたユーザーのみにアクセスを制限することができます。
- 外部認証プロバイダーに該当するアカウントが存在しない場合は、デフォルトの「 admin 」アカウントを無効にする。
- すべての QRadar アカウントが外部認証プロバイダー内の既存のアカウントと一致することを確認する。
- アクセス権を取り消す場合は、ローカル・フォールバックまたは QRadar ユーザー・アカウントを必ず無効にする。
- QRadar の外部認証ガイドラインについての詳細は、「外部認証ガイドライン」をご参照ください。
- セキュリティー構成オプションについての詳細は、「 QRadar アプライアンスのハードニング (英語版)」をご参照ください。
Related Information
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
12 January 2023
UID
ibm16558496