QRadar Community Edition セキュリティー・インテリジェンス営業部 IBM Security
はじめに 本資料はQRadar Community Editionを導入される方向けに作成したガイドです。 導入・セットアップ作業の手順につきましては、IBM Developer Worksサイトにアップロードされている「Community Edition」 Documentをご参照ください。
導入条件 QRadar Community Editionの導入条件として、以下環境、スペックが必要となります。 インターネット接続環境 QRadar Community Editionのインストーラーは、導入に必要なライブラリをInternetから自動ダウンロードします。 オフラインによるインストールはサポートされておりません。 仮想マシンスペック 2コアCPU以上 4GBメモリー 以上 (※QRadar App等を用いる場合は要・追加メモリー) HDD 80GB以上 (※QRadar App等を用いる場合は130GB以上を推奨) 固定IPアドレス QRadarは動的IPアドレス(DHCP)には対応しておりません。 QRadar Community Edition用の固定IPアドレス、仮想環境のネットワーク定義を事前にご用意ください。 その他 Selinuxには未対応(インストール前にdisableに設定変更が必要) Firewalldは事前に停止が必要(CentOS minimal installでも導入されるため注意) QRadar Community Editionのインストールは、環境にも依存しますが約6時間程度の時間がかかります。 以下のタイミングで、仮想マシンのスナップショットを保存することを推奨いたします。 CentOS導入直後(QRadar CE導入前) QRadar パラメータ設定画面(QRadarライブラリ導入後)
事前準備 QRadar Community Editionを導入する環境として、以下を推奨いたします。 インストール手順につきまして 仮想化ツール Vmware Player (Windows環境) / Fusion (Mac環境 ※有償) VirtualBox (https://www.virtualbox.org/wiki/Downloads) OS RedHat Enterprise Linux 7 (RHEL) CentOS7 (https://www.centos.org/download/) インストール手順につきまして VirtualBox導入(本ガイドでは省略) CentOS7導入 QRadar Community Editionインストール [オプション] DSM(Device Support Module)の導入
1-1. VirtualBox / 仮想マシンの作成 タイプ:Linux, バージョン:Red Hat (64bit)を選択
1-2. VirtualBox / 仮想マシンの作成(メモリー割当) 仮想マシン(QRadar Community Edition)に割り当てるメモリーを設定します。 最小スペック要件は4GB (4096MB)以上となります。 快適な環境を望む場合は、5GB以上を推奨致します。 4GB以上を選択
1-3. VirtualBox / 仮想マシンの作成(ストレージ設定) 仮想HDDを作成 80GB以上で設定 (Appを導入する場合は130GB以上) VDIを選択 (任意)
1-4. VirtualBox / 仮想マシンの設定 仮想マシンの確認 仮想マシンの起動前に、システム(メモ リー/HDD/vCPU)などの諸設定を確認 ください。 設定が確認できれば、Linux OS (CentOS or RHEL)の導入を行います。
CentOS/RHELのイメージisoを選択 仮想マシンを起動します。 仮想マシン用の起動ディスクを指定することができますので、事前にダウンロードしたCentOSを指定します。 CentOSのインストーラーが起動しますので、「Install CentOS Linux 7」を選択して起動します。 CentOS/RHELのイメージisoを選択 (minimal isoでもOK)
2-2: CentOSのインストール / 言語設定(英語必須!) CentOS Linuxのインストーラーの言語は「English」を選択します。 QRadar CEは日本語OSに対応しておりません!! ※インストーラーで、言語がEnglishのみセットアップされる仕様となっているため。要注意
2-3 : CentOSのインストール / インストールサマリー 導入に必要なパラメータを設定します。 項目 内容 DATE & TIME 時刻&タイムゾーン設定 KEYBOARD キーボード設定(英語) LANGUAGE SUPPORT 言語設定(英語) INSTALLATION SOURCE インストールメディアの指定(ダウンロードしたCent OS ISO) SOFTWARE SELECTION Linux導入のレベル。 本ガイドでは最小構成を目指して“Minimal Install”を設定しています。 INSTALLATION DESTINATION インストール先のパーティション設定 KDUMP Kdump設定(デフォルト) NETWORK & HOST NAME ネットワーク設定 SECURITY POLICY ポリシー設定(デフォルト)
2-4 : CentOSのインストール / 時刻設定 タイムゾーンおよび時刻設定を行います。 必要に応じてNTP設定を行ってください。 Timezoneの設定
2-5 : CentOSのインストール / ネットワーク定義 ネットワーク設定&ホスト名定義 OSに割り当てるEthernetインターフェースを設定し ます。 デフォルトが「無効」となっているため、有効にしてくだ さい。 VirtualBox環境の場合、初期設定ではDHCP環 境にてIP取得ができます。 QRadar Community Edition環境において は、固定IPによる構築が必須となります。 QRadar Community Editionセットアップ前 にIPアドレス環境のパラメータを決めて下さい。 QRadar CE用の 固定IP設定
2-5 : CentOSのインストール / ソフトウェア選定 CentOS SOFTWARE SELECTION CentOS導入の必要レベルを定義することができま す。 本導入例では、最小構成での検証・評価環境を 想定し、「Minimal Install」を選択します。 CentOSの最小導入パラメータ(minimal install)
2-6 : CentOSのインストール / インストール先設定 INSTALLATION DESTINATION 導入先のストレージを設定します。 ストレージのパーティションは自動ではなく、手動で設定して 下さい。 QRadar Community Editionの導入条件として、 swap領域を8GB以上で設定する必要があります。 ※本資料はソフトウェアの導入手順例を示したものであり、CentOSの導入サポートをIBM Security部門で行うものではございません。
2-6 : CentOSのインストール / インストール先設定(パーティション定義) パーティション設定(手動を推奨) QRadar CE用に手動でパーティションを設定します。 boot領域は500MB程度のアサインで問題ありません。 swap領域用に最低8GB (8192MB)以上をアサインする 必要があります。 本設定例では、boot領域を1GB(952MB), swap領域 を8GB(8192MB)で設定しています。 ※本資料はソフトウェアの導入手順例を示したものであり、CentOSの導入サポートをIBM Security部門で行うものではございません。
2-6 : CentOSのインストール / インストール先設定(パーティション定義) パーティション設定 設定が終わると変更確認のサマリー画面が表示されます。
2-7 : CentOSのインストール / 最終確認 パラメータを全て定義すると「Begin Installtion」のボタンが有効になります。 インストールを実施すると、ROOTアカウント用のパスワード、および追加アカウントを設定する画面が表示されます。 Begin Install
2-7 : CentOSのインストール / インストール先設定 パラメータを全て定義すると「Begin Installtion」のボタンが有効になります。 インストールを実施すると、ROOTアカウント用のパスワード、および追加アカウントを設定する画面が表示されます。
(補足) VirtualBox / NAT設定 Vmware Player/WorkStationとは異なり、VirtualBoxのVMマシンに接続するためには、NATポート転送の事前設定が必要です。 管理用の接続として、SSHとHTTPSをポート転送するように設定します。 SSH接続 (localhostにport2222で接続) HTTPS接続 (localhostにport8444で接続)
(補足) CentOS 7 NetworkManager (nmtui) GUIベースの設定でネットワーク設定を変更を行えるツールです。 IPアドレスの反映を行うためには、以下コマンドを入力します。 service network restart
CentOSチューニング “minimal Install”後の設定項目
3-1 : CentOS 追加ライブラリの導入 Cent OS minimal Installは最低限のライブラリ導入となります。 Cent OS 7より、Network Managerでの設定が推奨されており、これまでネットワークコマンドで用いていたツール(ifconfigな ど)がminimal installでは含まれていません。 Linux 6.x系に慣れている方は、お好みで必要なツールをyumコマンドより導入してください。 [root@QRadar ~] yum –y install net-tools ライブラリ command ifconfig yum install net-utils nslookup Yum install bind-utils pstree, killall yum install psmisc wget yum install wget bash-completion yum install bash-completion
3-2 : QRadar導入用の設定(Selinuxの削除、firewalldの削除) QRadar Community Edition用の設定 QRadar CE用にSELinuxの無効化、firewalldを無効化します。 #firewalld停止 systemctl stop firewalld SELinuxの削除 firewalldの停止 setenforce 0 getenforceでチェック #firewalld永続化停止 systemctl disable firewalld “SELINUX=disabled” に更新
QRadar Community Edition インストール作業
はじめに / ISOイメージのコピー QRadar Community Editionのコピー Developer Worksより QRadar Community Editionの ISOイメージをダウンロードします。 SCP/SFTP等を用いて、ISOをOSにコピーしてください。 QRadar Community EdtionのISOファイルは以下になります。(※2017/10/17時点) QRadarCE7_3_0_20171013140512.GA.iso セットアップを開始する前に、今一度ご確認ください。 VM環境からInternetへの接続は大丈夫か? セットアップ時間(約3-4時間)は問題ないか?
ISOイメージのマウント ISOイメージがアップロードされていることを確認します。 マウントするディレクトリを作成します。 セットアップを起動します。
セットアップ画面 setupインストーラーが起動し、ライセンス同意文書が表示されます。
セットアップ画面 インストーラ側でQRadar Community Editionに必要な環境をチェック致します。 QRadar Community Editionに必要なライブラリーをInternet経由で自動ダウンロード/インストールが行われます。
セットアップ画面 RPMパッケージのダウンロード/インストールが完了すると、QRadar Community Editionのセットアップ画面が表示されます。 「Software Install」および「QRadar Community Edtion」を選択し、そのまま進みます。
セットアップ画面(time/ntp設定) Type of Setupでは、normalを選択します。 Date/Time Setupで、時刻設定/NTP設定を行います。
セットアップ画面(timezone) Timezoneを設定します。
セットアップ画面(Network) QRadar管理用のNWインターフェース、プロトコルを定義します。 ここではIPv4を設定、管理インターフェースはOS側で事前定義したインターフェース(固定)を選択します。
セットアップ画面(IPアドレス/QRadarパスワード) QRadar Community Editionに割り振るIPアドレス、Admin権限のパスワードを設定します。
動作確認:httpsでQRadar Community Editionに接続
QRadar Community Edition (Option) DSM追加導入について
QRadar Community Edition / 標準でサポートされるDSM QRadar Community Editionでは、デフォルトでDSM(Device Support Module)が導入されますが、非常に限定的なものとなり ます。このため、評価・検証に必要なログ・ソースを考慮し、ISOイメージに同梱されるDSMを追加でインストールする必要があります。 DSM-AssetProfiler DSM-SymantecEndpointProtection DSM-BluecoatProxySG DSM-IBMCustomDSM DSM-IBMHealthMetrics DSM-IBMSense DSM-GNULinuxServer DSM-OracleDbAudit DSM-PaloAltoPaSeries DSM-SourceFireSnort DSM-SIMNotification DSM-SIMAudit DSM-SearchResults DSM-STEALTHbitsStealthINTERCEPT DSM-IBMHealthMetrics DSM-SIMGenericLog DSM-UniversalCEF DSM-UniversalLEEF DSM-SIMUniversal DSM-McAfeeIntrushield PROTOCOL-IBMSIMJDBC PROTOCOL-JDBC PROTOCOL-LEA PROTOCOL-LogFileProtocol PROTOCOL-JdbcSophos PROTOCOL-TCPSyslog
QRadar Community Edition / DSMの追加方法 ISOイメージをマウントします。 mount -o loop /tmp/<qradar_community_edition.iso> /media/cdrom “/media/cdrom/post/dsmrpms” ディレクトリーに移ります。 cd /media/cdrom/post/dsmrpms 必要なDSMを確認し、yumコマンドでRPMをインストールします。 yum -y install <rpm_filename> DSMはISOイメージに同梱されていますが、別途インストールが必要です。