IBM QRadar Windows Agent

התקנת Agent Windows ?

נכנס לאתר של IBM למרכז ההורדות

נקליד בחיפוש IBM Security QRadar SIEM

נלחץ על הגרסה במקרה שלנו זה 7.3.3 נסמן את 7.3

Continue

נסמן את Browse for Fixes

continue

כעת נתקין את מודל הניטור של Win Collect על המערכת של IBM QRadar:

לחיצה מצד ימין על wincollect

חשוב לדעת על מנת שהמערכת תסתכרן עם ה WINCOLLECT חייבת להיות התאמה בין גרסת המודל שנתקין ולגרסת ה AGENT

קודם נתקין את המודל כדי שנוכל לנטר :

נחפש אותו ונתקין על המערכת של QRadar שימו לב שהסיומת שלו היא SFS יחודית אל המערכת

נכנס אל המערכת ב SSH

mkdir /tmp/WinCollect

wget url כמובן החליפו את ה URL ב כתובת של הלינק מהאתר או העבירו את הקובץ עם SCP

כעת נעשה MOUNT אל הקובץ

[root@localhost ~]# ls
730_QRadar_wincollectupdate-7.3.0-41.sfs
[root@localhost ~]# mount -o loop -t squashfs 730_QRadar_wincollectupdate-7.3.0-41.sfs /tmp/WinCollect/

כעת נכנס אל התקייה שעשינו אלייה MOUNT

cd /tmp/WinCollect

./installer

לאחר מכן

לחצו על Y

ההתקנה תחל

בחור ב 1 על מנת לסיים את ההתקנה ולאתחל מחדש את אסיפת הלוגים

המתינו מספר דקות עד לסיום תלוי בחומרה שלכם במערכת ההתקנה תבצע מספר פעמים ריסטרט למערכת ולרכיבים

נקבל הודעה שהותקן בהצלחה

נכנס לפאנל הניהול של המערכת

admin>Wincollect

ניתן לראות שהוא מותקן

לאחר מכן התקנת ה AGENT על תחנת ה WINDOWS שלנו:

באותו חלון שהורדנו את המודל של wincollect קיימת שם גם התקנה

נוריד את הגרסה האחרונה ל 64 סיביות נסמן את האופציה הנוחה

continue

הקובץ ירד ונתקין אותו על תחנה שנרצה לבדוק

לאחר מכן פתחו והתקינו

בזמן ההתקנה נגיע לשתי אופציות

נבחר ב Managed נכנס לפאנל ניהול שלנו ,

נגדיר אופנטיקציה מול השרת של QRADAR שיצרנו

נכנס אל הפאנל ניהול admin>Authorized Services

Add Authorized Services

נרשום את השם של ה Service

wincollect service

נבחר user role של wincollect לא לשכוח לסמן never expire

create service

נעתיק את מספר TOKEN אל התחנה

הקלידו את כתובת השרת

תנו שם לתחנת ואת כתובת היעד של השרת

Next עד הסוף ו Finish

נפעיל מחדש את התחנה

נלך אל פאנל הניהול

מתקין את עדכון ה DSM שמעבד לוגים של מ Windows

לאחר מכן חזרה למסך הראשי

תחת Data Sources

בחרו ב WINCOLLECT

ניתן לראות שהתחנה נוספה מעבור אל Log Soruces

Add

מלאו לפי מה שהגדרתם בתחנה את שם הלוג

שימו לב למלא את סוג הלוג

Log Source Name: Choose what you write on Win Agent

Log Source Type: Microsoft Windows Security Event Log

בחירת פרוטוקול:

Protocol Configuration : WinCollect

אם אתם בסיבבת דומיין מלאו את הדברים הרלוונטים אחרת בחורו ב Local System

לאחר מכן הגדרת Standard Log Types

Event Log Poll Protocol>MSEVE6

רדו למטה :

בחרו WinCollect Agent>Choose PC/SRV

לאחר מכן

Target Internal Destination >UDP PROTOCOL

End page >Save

לאחר כמה דקות תראו ב Status שיש אישור

לאחר מכן נלך אל Log Activity

Add Filter> Paramater>Log

Log Source Index

בחרו בלוג שאוסף את המידע שהגדרנו

בחרו חתך זמן של 5 דקות אחרונות כמובן המתינו כל 3000 שניות התחנה תשלח לנו לוגים אלא אם נגדיר אחרת

הצלחנו…..

שימו לב שאם אתם לא רואים את התחנה מופיע כנראה שפספסתם משהו מומלץ לבדוק שרואים את התחנה ב WinCollect

ברגע שהתחנה מתחברת נוצר חתימה דיגיטלית של השרת תחת

C:\Program Files\IBM\WinCollect\config >> ConfigurationServer.PEM

ברגע שהקובץ ירד מן השרת נוצר חיבור אל QRadar שלנו.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

CAPTCHA