第一、安装步骤
官方安装文档 https://www.ibm.com/docs/en/qsip/7.4?topic=installations-qradar-installation-faq
1.安装介质获取
购买了Qradar产品的用户,可以在售后支持网站下载到安装介质,包括完整的ISO安装文件,或者版本升级SFS文件。Qradar安装ISO镜像文件,包含了Qradar底层定制的redhat操作系统和软件功能组件,一键式安装,简单配置,非常方便。
最新Qradar 7.4 ISO发布页面(点击底下阅读原文可以跳转):https://www.ibm.com/support/pages/node/569222
一体机All-in-One配置要求:
内存:32-128G
CPU:16-56核
硬盘:120-500G,视分析数据大小可以挂载扩充
2.安装过程
2.1 操作系统
无论是物理机还是虚拟机,引导到ISO文件启动后,选择第一项安装redhat,安装程序就会自动进行,无需干预。虚拟机的话用定制64位linux安装,不要用默认的redhat安装模版。
安装程序提示输入登录,代表定制的redhat操作系统已经安装完成了。
输入登录用户“root”,没有密码。登录后就开始了Qradar软件功能模块的安装了。
2.2 Qradar软件功能模块
提示接受许可协议,许可协议内容比较多,可以键入“q”,直接到达协议底部,输入“yes”,然后回车。
选择软件安装
选择all-in-one一体机
选择正常设置
配置时间,最好配置ntp
选择时区
选择网卡
罗列发现的网卡,其中有+的表示插了网线可用的网卡
设置web端admin密码和系统root用户密码
完成上述配置后,系统自动安装模块,一段时间后,显示完成
使用浏览器访问 QRadar Console,如:https://IP地址
用户名为“admin”,以及安装过程中设置的密码。进入控制台界面,代表安
装成功
可以在右上角 用户首选项 下将语言设置为中文。
3.总结
这个安装非常简单顺利,从头到尾无需太多操作,最后选配一下功能组件和网络、时间、密码等即可。安装时间视硬件配置性能从半小时到2小时不等。
第二、存储系统日志与应用接入并解析
一、存储侧配置审计日志并发生到qradar
在存储设备命令行中运行如下命令配置syslog,将存储系统审计日志与存储应用审计日志发送到qradar系统,将<qradar-name> 和 <qradar-ip> 参数替换成实际安装部署的qradar主机名和ip地址
mksyslogserver -name <qradar-name> -ip <qradar-ip> -error on -warning on -info on -audit on -protocol udp port 514
二、Qradar创建日志源并解析日志
2.1配置日志源解析
1. Qradar收到的存储系统日志样例:
<133>Jul 15 03:04:37 ISVFS9100-01 IBM2076[10405]: # timestamp = Thu Jul 15 03:04:37 2021 # cluster_user = superuser # source_panel = # target_panel = # ssh_ip_address = 9.211.91.228 # result = success # res_obj_id = none # command = svctask # action = rmvolume # action_cmd = rmvolume -gui 1471
2.Qradar收到存储系统日志后默认为未识别日志,如下图:
3.按shift点击鼠标多选中几条日志,单击操作-dsm编辑器,进入日志解析页面
选中新建日志源
输入日志源类型名称,例如“存储系统”,点击保存
点击新建好的日志源类型,点击选择
显示解析失败,进行事件标识和类别字段的解析
选中覆盖系统行为,配置表达式 \saction\s=\s(.*?)\s 和格式字符串 $1 ,点击确定,完成事件标识字段的配置
选中覆盖系统行为,配置表达式 \saction_cmd\s=\smkvolume\s(.*?)\s(SafeguardedCo
py.*?)\s和格式字符串 $1 点击确定,完成事件类别字段的配置
选择 事件映射,点击 + 号
在事件标识和类别中填入rmvolume ,点击选择QID
选择 创建新的QID记录
按如下填写配置,单击保存
单击确定
单击 创建
单击自定义属性字段
创建自定义属性字段
按下表完善字段解析
2.2创建日志源
按如下顺序点击创建日志源
日志源类型选择之前新建的存储日志源类型
自定义日志源名称,如FS91K_Auth_LS,确保和别的日志源名称不一样且含义可识别即可
日志源标识选用发生日志的存储系统的IP地址或者主机名(主机名会在前面配置的syslog头里有)
单击完成,完成存储系统审计日志的日志源的创建;
重复上述步骤,创建存储应用审计日志的日志源创建,注意日志类型选择apache http server
单击 部署更改 进行配置变更的部署
三、完成结果验证
配置完成后,在日志活动下添加过滤器,选择上述创建的两个日志源,在存储管理页面进行登录和磁盘操作,可以发现有对应的日志进来并完成解析
第三、存储安全风险检测规则与自动化响应备份配置
创建引用集1个,自动化响应定制操作1个,规则组1个,规则7条,包括5条检测规则和2条构建块
一、创建引用集
引用集用于收集磁盘卷名,形成一个对比表
按如下页面依次点击管理,引用集管理
按如下图填写配置,命名如 Safeguarded Copy volumes,可以中文命名,如存储备份卷名
二、创建自动化响应的自定义操作
2.1 配置免密码验证的密钥
来自IBM QRadar 用户的公钥被添加到在IBM FlashSystem 上定义的qradaradmin 用户,以在IBM QRadar 和IBM FlashSystem 之间设置无密码认证。
来自IBM QRadar 的同一用户的私钥被添加到如下文件夹,以使用与IBM FlashSystem 共享的公钥验证qradaradmin 用户。
/opt/qradar/bin/ca_jails/home/customactionuser/.ssh
2.2 在qradar创建自定义操作
点击管理,自定义操作
单击添加,填写名称,上传safeguarded.py脚本
设置两个固定属性的参数,即存储系统的ip地址和需要备份的Safeguarded卷组名
选择脚本进行测试,确保运行成功
三、 创建规则
3.1创建规则组
按如下点击创建规则组,方便后续规则管理
填入命名,如 U01_SafeguardedCopy,可以中文命名,如U01_存储备份安全
3.2创建规则
点击操作-新建事件规则,进行规则创建
点击下一步后进入规则创建向导页面,创建规则命名如:U01_R01_Add SafeguardedCopy Volume to RefSet,可以中文命名,如U01_R01_添加备份卷名称到引用集
在上面搜索语句,绿色部分进行填空配置,按如下条件配置,并将规则加入到规则组
设置规则操作与相应,完成规则配置
如上创建规则 U01_R02_Remove SafeguardedCopy Volume Alert,可以中文命名,如U01_R02_删除备份卷告警,不同配置处如下:
创建构建块,构建块作为子规则,可以被别的规则嵌套使用。
如上创建规则一般创建构建块U01_B01_Admin Logins success,可以中文命名,如U01_B01_管理员登录成功定义,不同配置如下:
日志源选择存储应用日志源,QIDs选择登录成功相关的QID号
如上创建规则一般创建构建块U01_B02_Admin Logins failed,可以中文命名,如U01_B01_管理员登录失败定义,不同配置如下:
日志源选择存储应用日志源,QIDs选择登录失败相关的QID号
如上创建规则一般规则,U01_R03_Admin Logins outside bussiness hours,可以中文命名,如U01_B01_管理员在非工作时间登录,不同配置如下:
配置自动备份的定制操作
如上创建规则一般创建构建块U01_R04_Admin Logins outside bussiness days,可以中文命名,如U01_B01_管理员在非工作日登录,不同配置如下:
如上创建规则一般创建构建块U01_R05_Same user Multi login failed,可以中文命名,如U01_B01_管理员多次登录失败,不同配置如下:
3.3创建后规则展示
点击攻击-规则,选择U01规则组,展示组内的5条规则;切换构建块,展示2条定制的构建块。
第四、安全用例测试验证
登录存储管理应用页面,进行操作,qradar正常接收日志且解析
进行卷的删除操作
选择非工作时间进行登录操作,发现告警页面产生了删除和非工作时间登录的异常告警
同时在safeguarded看到自动化产生新的备份
IBM FlashSystem与Qradar联动Demo
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
