Cybersecurity
DevOps Cloud
IT Operations Cloud
ESMやコネクタはバージョンによってデフォルトでサポートするSSL/TLS バージョンと暗号スイートが変わります。
そのため、新規にインストールしたESMへコネクタから接続出来ないといった問題や、
アップグレード時に問題になることがあります。
こちらは ESM の Forwarding Connector で Logger へ接続する場合や、
Logger の Forwarder で ESM と接続する場合も同様となります。
全てのバージョンではありませんが、ESMおよびコネクタがデフォルトでサポートするSSL/TLS バージョンと暗号スイートは次のようになります。
例えば、コネクタの v7.5 で ESM v7.2.1 や v7.5 に接続しようとすると、
デフォルトの設定では合致する SSL/TLS バージョンと暗号スイートがないため、
ハンドシェークエラー (handshake_error) が発生し接続できません。
もし ESM7.x で古いバージョンのコネクタからのイベントを受信したい場合は
次の記載のようにSSL/TLS バージョンの設定変更が必要になります。
----------------------------------
Administrator’sGuide for ESM 7.6
Configuring ESM to Use TLS 1.1 or 1.0
https://www.microfocus.com/documentation/arcsight/arcsight-esm-7.6/ESM_AdminGuide/#ESM_AdminGuide/AppF/AppF_TLS1_2.htm?Highlight=tls
----------------------------------
また、暗号スイートに関しては ESM 6.x までは server.properties へ記載が必要でしたが、
ESM 7.x では esm.properties というファイルに変更になっています。
6.11.0 の server.defaults.properties
---------------------------
servletcontainer.jetty311.socket.https.ciphersuites=TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA
---------------------------
7.5 の esm.defaults.properties
---------------------------
servletcontainer.jetty311.socket.https.ciphersuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256
---------------------------
なお、ESM 6.11.0 から ESM 7.x へアップグレードされた場合、
ESM 6.11.0 で server.properties へ追加した設定がそそのまま残っている場合があります。
開発に確認したところ、変更の記録を残すためとのことですが、 ESM 7.x では server.properties への
暗号スイーツの記載は有効となりませんので、必ず esm.properties へ記載するようお願い致します。
また、暗号スイーツに限らず server.defaults.properties および esm.defaults.properties は変更しないようにお願い致します。
理由はバージョンアップなどで上書きされる場合があり、カスタマイズした設定が失われてしまう可能性があるためです。
パラメータを変更されたい場合は、それぞれ server.properties および esm.properties に記載されると、
その設定が有効となります。