IBM QRadar initial setup

הוא מוצר אבטחה וניהול אירועים,

Security Information and event Management (SIEM)

המספק פתרון ונראות בזמן אמת של כל תשתית ה – IT

הוא עובד בצורה שאוספת נתונים ולוגים מארגון, והתקני הרשת שלו, השרתים ותחנות קצה, יישומים ושירותים של הארגון ,וציודים שונים שמחוברים אל הרשת הארגונית שלנו,

ומנטר את נקודות התורפה הפעילות והתנהגויות של המשתמשים אשר מבצעים פעולות ברשת או בשירותי החברה.
לאחר מכן IBM QRadar מבצעת ניתוח בזמן אמת קורולציה(חישוב וניתוח) של נתוני היומן והלוגים וזרמי הרשת כדי לזהות פעילות זדונית חשודות, כך שניתן יהיה לעצור ולאכוף אותה במהירות, באמצעות חוקים שנגדיר והיה ניתן למנוע או לחילופין למזער נזק של הארגון.

QRadar SIEM (אבטחת מידע וניהול אירועים) כולל ארכיטקטורה מודולרית בה תוכלו לשנות את מידת הפריסה שלה ולהוסיף למכשירים, נקודות קצה ומכונות נוספות ברשת שלכם כדי לסייע בצרכי הניתוח והרישום שלכם. אתם יכול גם להוסיף מודולים שיעזרו לך בניתוח, המסופקים בקלות על ידי IBM ב- App Exchange.

QRadar אוספת, מעבדת, צוברת, מתאימה, מאחסנת ומציגה את הנתונים מכל נקודות הקצה הרשומות בזמן אמת. היא תשתמש בנתונים הללו כדי לספק לך תובנה ומידע שיעזור לך לעקוב אחר תשתיות ה- IT שלך. זה נעשה בדרך כלל בצורה של התראות, עבירות ותגובות לאיומים שנתפסים בזמן אמת.

תוכל להצטייד בחלק מהמודולים והוסיף עוד פ'יצרים לפריסה שלך. לדוגמא,

מודול Incident Forensics הזיהוי הפלילי של אירועים יכול לעזור לכם לפרק את הצעדים שנקט שחקן זדוני ולהסיק במהירות מסקנות על בסיס החפצים שנותרו מאחור.

זה יכול להפחית משמעותית את הזמן שלוקח צוות IR – Incident Response לבצע את החקירה בעבירות שנרשמו על ידי QRadar עצמו.

זה גם יעזור לך לפתור אירועים, ולמנוע אובדן נתונים והתקפות לא יתרחשו שוב.

בחזרה לשכבות – בואו נדון במה מדובר ונצלול עמוק יותר לכל אחת מהן :

Data collection

'איסוף נתונים' מהווה את השכבה התחתונה או את השכבה הראשונה של הארכיטקטורה - והמשימה היא פשוטה "לאסוף הכל מהרשת שלך". זה כולל נתונים כגון אירועים, קבצי יומן, זרימות או כל מידע אחר כמו נתונים סרוקים, קבצי תצורה, לכידת מנות וכן הלאה. אתה יכול לעשות שימוש באספני אירועים QRadar

Data processing

לאחר שהנתונים השלימו את תפקידיהם בשכבה הראשונה, הם מועברים לשכבה השנייה הנקראת שכבת "עיבוד". הנה, יש לנו 'מעבדי אירועים' ו'מעבדי זרימה 'שהולכים לעבד את הנתונים שנאספו ולשלוח אותם לשכבה הסופית.

Data searches

לבסוף, הנתונים המנורמלים והמעובדים נשלחים לשכבה הסופית ב- QRadar, מה שהופך אותם לזמינים לחיפושים על ידי משתמשים. זה יכול לעזור לך לנתח, לדווח ולחקור התראות, כללים והתקפות במסוף QRadar. פאנל ה- QRadar מאפשרת גם לאנליסטים לבצע פעולות ולבצע משימות ניהול כנדרש.

איך להתקין ?

הכנסו ל IBM וחפשו את IBM Security QRadar Community Edition שהיא הגרסה החינמית

או לחילופין Link here להורדה

לאחר ההרשמה לאתר לחצו על הלינק בפנים הורידו ,

ניתו לראות שיש לנו קובץ ova נתקין את המערכת על VMWARE

ניתן להתקין על מגוון מוצרים של VMware

נעשה יבוא של קובץ ה OVF

נתקין ולאחר מכן יפתח לנו חלון האופנתיקציה

שם המשתמש הוא ROOT ללא סיסמא

לאחר כניסה ראשונית נתבקש להחליף סיסמא

כמובן בדקו שיש כתובת אייפי ואם אין הגדירו , שימו לב שהוספתם רשת בהגדרת ה VM נהיה חייבים אינטרנט החוצה

לאחר מכן נצטרך להתקין את התמערכת

ניתן לראות שיש לנו קובץ התקנה

נריץ אותו בפקודה הזאת

./setup

לאחר מכן

נקבל מסך לאשר את המוצר נלחץ ENTER עד הסוף

נגיע לסוף

Y

כעת המערכת תתקין את על הקבצים הנדרשים

לאחר ההתקנה נקבל הודעה

ונגדיר את הסיסמא אל WEBPANEL שימו לב לסיסמא שאתם שמים מומלץ ליצור סיסמא מורכבת

שסיימנו ונכנס אל הכתובת שהמכונה קיבלה דרך הדפדפן

הקלידו את שם המשתמש והסיסמא

אשרו את ההסכם

ומייד המערכת תטען לנו

לאחר מכן נכנס ללשונית Admin

נבחר ב System and License Management

נלחץ על Action

restart System

כדי להגדיר בצורה ראשונית את הרשת

נכנס אל Admin>Network Hierarchy

ואם צריך נעשה Tuning (כיונון לטובת מה שצריך)

ניתן לראות שהוא זיהה את כתובות הרשת שלנו

בהנחה ולא תרגישו חופשי להוסיף

איך מגדירים עדכונים דרך השרתים של IBM

Admin>Auto Update>Change Settings>Advanced

Save

לחצו על Check For Updates

Install

איך מוסיפים מודלים ?

כדי לעשות אינטגרציה עם Vendors שונים נצטרך להתקין חבילות מ IBM שהם נקראות DSM

Device Support Module (DSM) אותם נצטרך להוסיף בצורה ידנית או דרך העדכון האוטומטי כמו שעשינו למעלה

ניתן למצוא באתר הרשמי של IBM או לעשות mount קיימים גם בתוך המערכת

התחברו ב SSH

[root@localhost /]# sudo mount -o loop /opt/ibm/cloud/iso/QRadarCE2019_14_0_20191031163225.GA.iso /media/cdrom/
 [root@localhost /]# cd /media/cdrom/post/dsmrpms/

אם ברצונכם להתקין ידנית

yum install -y DSM-XXXX

הערה:

בגרסה IBM Qradar 7.3.3 קיימת טלאי שמתקן את תקלת הלוגים על ידי פקודה שמרצים בשרת או לחילופין התקנת PATCH מן היצרן

אשמח לעזור בפרטי למי שיצטרך

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

CAPTCHA