IBM QRadar Linux Agents Install

התקנת Agent Linux?

קיימות שתי דרכים

1.rsyslog

2. syslog-ng

שלב ראשון יהיה התקנת מודל ה DSM על המערכת כמובן שיש מגוון שיטות מהעברה ישירה של הלוגים אל qradar שלנו או בצורה הפוכה שהמכונה תתחבר אל המכונות ותקח לוגים,

בשלב זה נעבוד עם הדרך הסטנדרטית

דרך הפאנל ניהול של IBM QRadar או דרך האתר הרשמי (DSM)

התקנת המודל דרך העדכונים האוטמטים

Auto Update > Select on Search Box > Type Linux

ניתן לראות את שם החבילה

על ידי חיפוש

Install > Selected Update

מידע על סוגי הלוגים שנתמכים:

כעת נכנס לפאנל של Qradar

נגדיר את אסיפת הלוגים של לטובת מכונות ה LINUX שלנו:

Admin>Log Sources

Add

Log Source Name = שם הלוג

Log Source Description = תיאור הלוג שנרמה

Protocol = syslog חייב להיות מה שקבענו זה הפרוטוקול שנשתמש בו

SAVE

חזרה לפאנל הניהול של IBM

נפתח את הפורטים על מנת שנקבל התראות :

Admin>System and License Managment> Click on Your Server>Firewall> Fill port Push >> and save

Admin>Deploy Changes

כל שינוי שנעשה ילווה ב Deployment

נכנס אל שרת ה IBM QRADAR דרך SSH

נבצע בדיקה שהוא מאזין בפורט הנכון על ידי :

[root@localhost ~]# netstat -ant |grep 514

חשוב לציין שמומלץ תמיד לעדכן את המודל המעודכן ובנוסף את גרסת הפרוטוקול שאותו אנו מנטרים

לאחר מכן נכנס אל שרת הלינוקס שלנו:

כעת נפתח את התחנה נתקין חבילה ששולחת לוגים גנרית

לסביבת Debian

sudo apt-get install rsyslog -y

לסביבת redhat

sudo yum install rsyslog -y

נערוך את הקובץ vi או nano מה שנוח לכם :

sudo nano /etc/rsyslog.conf

נערוך כמה חלקים בקובץ:

חלק ראשון:

הסירו את # בחלק של modules

#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

# provides kernel logging support and enable non-kernel klog messages
module(load="imklog" permitnonkernelfacility="on")

חלק שני רדו למטה:

. @192.168.1.106:514 for UDP 514
. @@192.168.1.106:514 for TCP 514

נחליף את ip_address בכתובת האייפי של המערכת שלנו QRadar

לאחר מכן נרסט את service

sudo service rsyslog restart

נבצע בדיקה ססטוס שהוא מאזין שוולח :

sudo systemctl status rsyslog.service

נבצע בדיקה בתחנה שהוא מתחבר לשרת של IBM QRADAR :

srv1@srv1:~$ logger echo this is a test by tech-guy -d 514 -n x.x.x.x --rfc5424
 srv1@srv1:~$ logger echo this is a test by tech-guy -d 514 -n x.x.x.x --rfc5424

החליפו את X.X.X.X בכתובת ה IP

נכנס לפאנל הניהול של IBM Qradar

Log Activity>Add Filter

Parameter>Log Source Index

Find Log Source Name >Add Filter

View > Laster 5 M>Push on Log

בחרו בלוג האחרון

ניתן לראות בהקרבה

שהכול עובד

ננסה להיכנס ממכונה אחרת אל המכונה בסיסמא שגוייה על מנת לבדוק את הלוגים:

ונלך לפאנל ניהול:

ניתן לראות שהמערכת מנטרת ועובדת בהקרבה אל הלוג :

ניתן לראות את כל הפרטים על האירוע וההתרחשות.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

CAPTCHA