Series [SIEM]: Phần 02 Cài Đặt IBM Qradar

Mở Đầu

Trong bài viết này, chúng ta sẽ tiếp tục với Chuỗi Series [SIEM]: Phần 2 Cài Đặt IBM Qradar được thực hiện trên môi trường Lab, tập trung vào việc triển khai hệ thống SIEM – thành phần quan trọng trong việc giám sát và quản lý bảo mật cho các dự án. Khi triển khai các giải pháp bảo mật, việc sử dụng SIEM như QRadar là điều cần thiết để phát hiện, theo dõi và phản ứng nhanh chóng trước các mối đe dọa bảo mật.

Tài Nguyên Qradar

Tài nguyên cài đặt IBM Qradar

Qrada All-In-One: CPU/RAM/DISK: 16-24 VCPU/48-64GB/500GB HDD

Danh Sách Port Firewall

Mô Hình Lab

Mô hình thực hiện LAB sẽ gồm các thành phần sau:

• Qradar All-in-one (cài đặt các thành phần lấy log, phân tích tương quan, quản trị….)
• Thành phần log source phân tích: windows, linux, application, firewall, switch, other…

Quy Trình Cài Đặt IBM Qradar

Cài Đặt IBM Qradar

Tạo máy ảo từ ESXI, chọn OS là Linux Redhat 7

Thông số RAM/CPU/Disk

Thực hiện boot máy ảo lên

Quá trình cài đặt tự động

Nếu cài khác hardware, sẽ warning và chọn mode này

Nhập tài khoản: root -> enter

Nhấn phím space tới 100%

Nhập yes

Chọn Next

Chọn như hình

Chọn như hình

Điền NTP server cho Qradar

Chọn Area

Chọn Time Zone

Chọn IPv4

Chọn Card mạng

Điền Password cho Admin

Điền thông tin root password

Qradar thực hiện chạy cấu hình

Hoàn thành cài đặt

Login vào Qradar Console với tài khoản admin

Thay đổi password lần đầu đăng nhập

Đồng ý với các điều khoản

Màn hình giao diện quản trị IBM Qradar

Thực hiện Enable x-force update Tại Admin -> System Settings -> Enable X-Force Threat Intelligence Feed

Cài Đặt Extension Apps

Link download tại đây

User Behavior Analytics for QRadar

Threat Intelligence

IBM QRadar DNS Analyzer

IBM Security Compliance Content

IBM Security Intrusion Content

IBM Security PCI Content

IBM Security Threat Content

IBM Security Anomaly Content

IBM Security Reconnaissance Content

Network Hierarchy Management for QRadar

QRadar Deployment Intelligence

IBM Security RFISI Content

QRadar Log Source Management

Tích Hợp Active Directory

Vào Admin -> Authentication -> Active Directory -> Add

Điền các thông số cần cấu hình sau đó Test Connection và Save

Vào Users để cấu hình User cần SSO qua AD

Chọn Add

Điền thông tin Users, lưu ý User Name và Email phải điền giống với email trong AD, sau đó Save lại

Thu Thập Log Source

Tài liệu official được cập nhật tại đây

Tài liệu chi tiết cấu hình sẽ được cập nhật tại Series [SIEM]: Phần 3 Cấu Hình Log Source IBM Qradar

Troubleshooting Cơ Bản

Capture traffic log source

Thực hiện chạy lệnh trên CLI:

tcpdump -nnAs0 -i any host ip

How to get the EPS of your box from the command line

Thực hiện login to Qradar và

cd var/log

tail -f qradar.log | grep ‘Events per second’

How to get real time errors of QRadar
tail -f /var/log/qradar.error

How to restart Qradar services

service tomcat stop

service hostcontext stop

service hostservices stop

Start lại dịch vụ
service hostservices start

service hostcontext start

service tomcat start

How to change your QRadar IP/gateway/dns/email server IP ..

Login tới tài khoản root

/opt/qradar/bin/qchange_netsetup

Kết Luận

Vậy là chúng ta đã hoàn thành việc cài đặt và cấu hình cơ bản trên IBM QRadar.

Ở phần tiếp theo, chúng ta sẽ tiếp tục chuỗi Series [SIEM] với phần Cấu Hình Log Source IBM Qradar trong môi trường on-premise  để tăng cường bảo mật hệ thống.

Mời các bạn đón theo dõi những cập nhật mới nhất nhé!