Cài đặt Qradar
I. Tổng quan
1.1.Cài đặt môi trường
Yêu cầu cài đặt:
Hệ điều hành Centos 7
2vcpu, RAM tối thiểu 6GB và ổ cứng 80GB
NTPsync : OK Network OK: Disk OK
1.2.Qradar
1.2.1. Giới thiệu
Hệ thống SIME= SIM + SEM
Security Information Management:
Hệ thống SIM là hệ thống thu thập dữ liệu ghi sự kiện từ các
thiết bị an ninh, chẳng hạn như tường lửa, máy chủ proxy, hệ
thống phát hiện xâm nhập và phần mềm chống virus.
Nhật ký an nình thong tin vbao gồm dữ liệu Log được tại ra từ
nhiều nguồn bao gồm cả các hệ thống phần mềm chống viru, phát
hiện xâm nhập( IDS), hệ thống ngăn chặn xâm nhập( IPS), tập tin
hệ thống, tường lửa, router, máy chủ,…
Cung cấp các khả năng quán lý đăng nhập và có khả năng lưu
trữ các bản ghi Multi-terabyte trong thời gian rất dài. DO chưa có
thành phần phân tích và xử lý sự kiện an ninh nên SIM chỉ có thể
phát hiện và xử lý được các biến cố đơn giản.
o Các sản phẩm thương mại của SIM: Splunk, ArcSight
Logger, Log Logic, RSA envision, NetIQ Security
Manager, IBM TCIM, EventTracker, Trigeo
o Các sản phẩm mã nguồn mở của SIM: OSSIM
Security Event Managerment:
Hệ thống thu thập các dữ liệu sự kiện nhật ký do các thành
phần( thiết bị, ứng dụng) do hệ thống tạo ra. Sau đó tập trung hóa
việc lưu trữ và xử lý, phân tích các sự kiện rồi lập báo cáo, đưa ra
các thông báo, cảnh báo liên quan đến an ninh của hệ thống
Không giống như SIM, hạn chế của SEM là không có khả năng
lưu trữ nhật ký trong thời gian dài. Nhưng những sản phẩm này
cung cấp, phân tích quản lý các sự kiện một cách mạnh mẽ, ứng
phó các sự cố và các hoạt động an ninh. Các sản phẩm của SEM:
netForensics, Cisco Mars, IBM TSOM, ArcSight ESM
Security Information and Event Management
Là một giải pháp hoàn chỉnh cho phép các tổ chức sự kiện thực
hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống.
Giải pháp này được kết hợp từ 2 giải pháp SIM và SEM, nó được
xây dựng dựa trên những ưu điểm của 2 giải pháp đó và được bổ
sung thêm các tính năng mới nhằm mục đích tăng cường hiệu quả
trong việc giám sát an ninh mạng.
Nguyên lý cơ bản của SIEM là thu thập các dữ liệu về các sự
kiện an ninh từ nhiều thiết bị khác nhau ở các vị trí khác nhau
trong hệ thống. Từ đó giúp người quản trị có thể dễ dàng theo dõi
tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng
và theo dõi các dấu hiệu bất thường cũng như các dấu hiệu tấn
công mạng có thể xảy ra.
Một điểm mạnh nữa của SIEM là khả năng giám sát quản lý
người dùng và sự thay đổi cấu hình cho các hệ thống khác nhau,
cũng như cung cấp kiểm toán đăng nhập và xem xét ứng phó sự
cố.
Các sản phẩm thương mại của SIEM:
Qradar, AccelOps, ArcSight, RSA Envision, LogLogic, Cisco
Security MARS,…
1.2.2. Các dịch vụ của SIEM
Quản lý bản ghi sự kiện an ninh
Đảm bảo an ninh các thiết bị đầu cuối
Cung cấp các hoạt động ứng phó
Tương quan liên kết các sự kiện an ninh
Tuân thủ các quy đicnh về ATTT
1.2.3. Các tính năng của Qradar
Nhập số lượng lớn dữ liệu từ các nguồn trên web và đám mây
Áp dụng phân tích tích hợp để phát hiện chính xác các mối đe dọa
Tương quan các hoạt động liên quan để ưu tiên sự cố
Tự động phân tích cú pháp và chuẩn hóa nhật ký
Mối đe dọa thông minh và hỗ trợ cho STIX / TAXII
Tích hợp các giải pháp với 450 giải pháp
Kiến trúc linh hoạt có thể được triển khai trực tiếp hoặc trên đám
mây
Cơ sở dữ liệu tự điều chỉnh, có khả năng mở rộng cao và tự quản
lý
II. Cài đặt
2.1 Các bước cài đặt
Bước 1: Copy Qradar ISO đến máy ảo
Bước 2: Tạo một đường dẫn /media sử dụng command line:
mkdir /media/cdrom
Bước 3: Mount file ISO:
mount o loop <qradar.iso> /media/cdrom
Bước 4:chỉnh sử file /etc/yum.repos.d/CentOS-Gluster-4.1.repo
Bước 5: Chạy file ./setup
/media/cdrom/setup
Bước 1:
2.2
III.
Các lỗi thường gặp
Lỗi
Không đủ RAM hoặc bộ nhớ
Xử lý
Môi trường cài đặt có RAM tối
thiểu là 6GB và ổ cứng 80GB
Error:
Generating Không có kết nối mạng
AUTO_INSTALL_INSTRUCTIONS
Kiểm tra lại card mạng
file failed