OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

与 QRadar 集成

您可以通过在 RHACS 中配置通用 Webhook 集成,将 Red Hat Advanced Cluster Security for Kubernetes 发送的事件发送到 QRadar。

以下步骤代表将 RHACS 与 QRadar 集成的顶级工作流程

  1. 在 RHACS 中

    1. 配置通用 Webhook。

      在 RHACS 中配置集成时,在**端点**字段中,请使用以下示例作为指南:<QRadar Box 的 URL>:<集成端口>

    2. 确定要为其发送通知的策略,并更新这些策略的通知设置。

  2. 如果 QRadar 未自动检测日志源,请在 QRadar 控制台中添加 RHACS 日志源。有关配置 QRadar 和 RHACS 的更多信息,请参阅Red Hat Advanced Cluster Security for Kubernetes IBM 资源。

使用 Webhook 配置集成

使用 Webhook URL 在 Red Hat Advanced Cluster Security for Kubernetes 中创建一个新的集成。

步骤

  1. 在 RHACS 门户中,转到**平台配置**→**集成**。

  2. 向下滚动到**通知器集成**部分,然后选择**通用 Webhook**。

  3. 点击**新建集成**。

  4. 输入**集成名称**。

  5. 在**端点**字段中输入 Webhook URL。

  6. 如果您的Webhook接收器使用不受信任的证书,请在CA证书字段中输入CA证书。否则,请留空。

    Webhook接收器使用的服务器证书必须对端点DNS名称有效。您可以单击跳过TLS验证以忽略此验证。Red Hat不建议关闭TLS验证。在没有TLS验证的情况下,数据可能被意外接收者拦截。

  7. 可选:单击启用审计日志记录以接收有关在Red Hat Advanced Cluster Security for Kubernetes中所做所有更改的警报。

    Red Hat建议为警报和审计日志使用单独的Webhook,以便对这些消息进行不同的处理。

  8. 要对Webhook接收器进行身份验证,请输入以下内容的详细信息:

    • 用于基本HTTP身份验证的用户名密码

    • 自定义标头,例如:Authorization: Bearer <access_token>

  9. 使用额外字段在Red Hat Advanced Cluster Security for Kubernetes发送的JSON对象中包含额外的键值对。例如,如果您的Webhook接收器接受来自多个来源的对象,您可以添加"source": "rhacs"作为额外字段,并根据此值进行过滤,以识别来自Red Hat Advanced Cluster Security for Kubernetes的所有警报。

  10. 选择测试以发送测试消息,以验证与您的通用Webhook的集成是否正常运行。

  11. 选择保存以创建配置。

配置策略通知

启用系统策略的警报通知。

步骤

  1. 在RHACS门户中,转到平台配置策略管理

  2. 选择要为此发送警报的一个或多个策略。

  3. 批量操作下,选择启用通知

  4. 启用通知窗口中,选择Webhook通知器。

    如果您没有配置任何其他集成,系统会显示一条消息,提示未配置任何通知器。

  5. 单击启用

  • Red Hat Advanced Cluster Security for Kubernetes基于选择加入的方式发送通知。要接收通知,您必须首先将通知器分配给策略。

  • 对于给定的警报,只发送一次通知。如果您已将通知器分配给策略,除非违规行为产生新的警报,否则您将不会收到通知。

  • Red Hat Advanced Cluster Security for Kubernetes会在以下情况下创建新的警报:

    • 策略违规首次在部署中发生。

    • 在您解决该部署中策略的先前运行时警报后,在部署中发生运行时阶段策略违规。