![Series [CA]: Phần 2 Create SAN Certificate](https://phuongit.com/wp-content/uploads/2024/10/San-Cert.png)
Mở Đầu
Trong bài viết này, chúng ta sẽ tiếp tục hành trình khám phá chuỗi Series [SIEM], với Phần 03: Cấu Hình Log Source IBM QRadar – Part 01 Cài đặt Wincollect. Đây là một bước quan trọng, được thực hiện trên môi trường Lab thực tế, nhằm tập trung vào việc cấu hình và forward log từ các giải pháp bảo mật khác nhau tới hệ thống SIEM. Việc này giúp tích hợp dữ liệu bảo mật từ nhiều nguồn khác nhau để QRadar có thể thực hiện chức năng giám sát, phân tích và quản lý sự kiện bảo mật một cách toàn diện.
Không chỉ đơn giản là thiết lập, mà qua bài viết này, bạn sẽ hiểu rõ hơn về quy trình kết nối giữa các thiết bị bảo mật trong hệ thống và QRadar, từ đó tối ưu hóa khả năng phát hiện và phản ứng với các mối đe dọa an ninh. Việc triển khai đúng cách log source trong QRadar sẽ giúp bạn tạo ra một môi trường bảo mật mạnh mẽ, minh bạch, và hiệu quả hơn cho doanh nghiệp.
Cấu Hình Log Source IBM Qradar
Giới thiệu wincollect
Tải wincollect
Dựa vào các version tương ứng được cập nhật, tải và cài đặt tài đây link
Download gói update wincollect với định dạng xxx.sfs phù hợp với version cho Console
Cài đặt SFS cho Qradar console
Cài đặt sfs update cho console, bài viết sử dụng version 7.3.x.
Thực hiện ssh vào console và copy vào thư mục: /tmp
Tạo thư mục: mkdir -p /media/updates
Thực hiện mount: mount -o loop -t squashfs 730_QRadar_wincollectupdate-7.3.0.106.sfs /media/updates (chú ý với các version mới hơn, đổi tên hoặc có thể các mount khác)
Thực hiện cài đặt: media/updates/installer
Chọn y
Hoàn thành cài đặt
Thực hiện deploy change trên console
Admin tab, chọn Advanced > Deploy Full Configuration.
Cài đặt wincollect trên máy chủ windows
- Tạo Authentication token
- Trên Qradar Console
Step 1: Login vào Qradar Console -> Admin tab
Step 2: Tại Admin tab, dưới System Configuaration Pane Authorized Services.
Step 3: Click Add Authorized Service
Step 4: Điền các thông tin về Service Name sau đó Click Create Service
Step 5: Quay về cửa sổ Managed Authorized Service và để xác nhận rằng một token mới đã được tạo. Sau đó copy Authentication Token để chuẩn bị cho các Step tiếp theo.
Step 6: Thực hiện deploy change
Step 7: Kiểm tra port 8413 và 514
Cài đặt WinCollect Agent
Step 1: Trên Server cài đặt Agent, click chuột phải vào file cài đặt Agent và chọn Run as administrator.
Step 2: Chọn I accept the terms in the license agreement và click Next
Step 3: Định nghĩa một số thông tin như hình dưới đây
Step 4: Chọn thư mục để cài đặt
Step 5: Lựa chọn Mode cài đặt phù hợp, Chọn Managed để có thể quản lý Agent từ Qradar console
Step 6: Điền các thông tin sau đây:
- Host Identifier: Là tên của Agent sẽ hiện thị trên Qradar Console
- Authentication Token: Là token được tạo ra ở Authorized Service
- Configuration Console: Là địa chỉ IP hoặc Hostname của Qradar Console
Step 7: Click Next để bỏ qua Step này và cấu hình Log Source trên giao diện Qradar Console
Step 8: Click Next
Step 9: Verify lại thông tin cài đặt
Step 10: Click Finish để hoàn tất tiến trình cài đặt Agent.
Step 11: Trên console thực hiện deploy change
Step 12: Sau khi hoàn tất các tiến trình cài đặt WinCollect, Trên giao diện Qradar Admin sẽ tự động add các agent này trên Qradar console
Kết Luận
Vậy là chúng ta đã hoàn tất việc cài đặt wincollect để thu thập log trên hệ thống IBM QRadar. Đây là bước quan trọng giúp QRadar thu thập và phân tích log từ các thiết bị bảo mật trong môi trường của bạn, từ đó phát hiện và xử lý các mối đe dọa một cách hiệu quả hơn. Tuy nhiên, hành trình của chúng ta với QRadar vẫn chưa dừng lại ở đây.
Trong phần tiếp theo của chuỗi Series [SIEM], chúng ta sẽ đi sâu vào việc cấu hình forward log source window trong môi trường on-premise. Đây là một khía cạnh không thể thiếu để đảm bảo QRadar hoạt động trơn tru và bảo mật toàn bộ hệ thống của bạn. Chúng ta sẽ khám phá các phương pháp tối ưu hóa quản trị QRadar, từ việc phân quyền người dùng đến việc thiết lập các quy tắc bảo mật nâng cao, giúp nâng cao khả năng phòng chống và ứng phó với sự cố an ninh mạng.
Phần tiếp theo hứa hẹn sẽ mang đến nhiều thông tin hữu ích cho việc quản trị và tăng cường bảo mật hệ thống của bạn. Hãy đón chờ những cập nhật mới nhất và tiếp tục theo dõi chuỗi bài viết này để không bỏ lỡ những kiến thức quan trọng trong việc triển khai SIEM một cách hiệu quả!