QRadar Community EditionをVagrantで導入する

IBM QRadar SIEMには機能が制限されたCommunity Editionが存在します。
本記事ではこのQRadar Community Edition（以下QRadar CE）をVagrantを利用して導入する方法を解説しています。

QRadar CEとIBM QRadar SIEMの違い、要求スペックについては以下のリンクを参照してください。
QRadar CE ドキュメント

また、Vagrantを利用しないQRadar CEのインストール方法については、以下にまとめられています。
QRadar CE インストール導入ガイド

前提

今回の検証で利用した環境は以下になります。

• Windows 10 Professional
• QRadar CE 7.3.1
• VirutualBox 5.2
• Vagrant 2.2.0
• インターネットに接続できる環境

QRadar CEの最小要求スペックは以下になります。QRadar Appなどを利用する場合は最小スペックでは稼働しない可能性があります。

• メモリー：6GB
• ディスク：110GB
• CPU：2CPU

注意事項

• Windows 10を利用する場合、Hyper-Vを無効化して実施してください。
  Hyper-Vを有効化されていると、Vagrantがエラーになることが確認されています。

• VirtualBoxを利用してインストールしてください。
  VMWare等では、Vagrant Plugin（vagrant-disksize）が未対応のためエラーになることが確認されています。

準備

1. QRadar CEファイルのダウンロード
   QRadar CEのページにある、isoファイルとVagrantファイルをダウンロードします。

• isoファイル

- vagrantファイル 　

1. ファイルの配置
   ダウンロードした「QRadarCE7_3_1.GA.iso」と、「QRadarCE_Vagrantfile.20180613163615.zip」を、適当なディレクトリに配置します。今回は、「C:¥Users¥t2yi¥tmp」に配置しています。
   また、zipは解凍して配置してください。

   C:¥Users¥t2yi¥tmp>dir
    ドライブ C のボリューム ラベルは OS です
    ボリューム シリアル番号は 82AB-5572 です
   
    C:¥Users¥t2yi¥tmp のディレクトリ
   
   2018/10/31  10:05    <DIR>          .
   2018/10/31  10:05    <DIR>          ..
   2018/10/31  10:05     3,889,788,928 QRadarCE7_3_1.GA.iso
   2018/06/14  01:36               804 README
   2018/06/14  01:36         1,371,437 sisetup-2.0.0-1.x86_64.rpm
   2018/06/14  01:36             3,041 Vagrantfile
                  4 個のファイル       3,891,164,210 バイト
                  2 個のディレクトリ  161,493,757,952 バイトの空き領域
   

2. Vagrant Pluginのインストール
   QRadar CEをインストールするためには、以下の2つのVagrant Pluginをインストールする必要があります。

• vagrant-disksize

• vagrant-reload

  以下のコマンドを実施して、Pluginをインストールします。

  C:¥Users¥t2yi¥tmp>vagrant plugin install vagrant-disksize
  Installing the 'vagrant-disksize' plugin. This can take a few minutes...
  Fetching: vagrant-disksize-0.1.3.gem (100%)
  Installed the plugin 'vagrant-disksize (0.1.3)'!
  
  C:¥Users¥t2yi¥tmp>vagrant plugin install vagrant-reload
  Installing the 'vagrant-reload' plugin. This can take a few minutes...
  Fetching: vagrant-reload-0.0.1.gem (100%)
  Installed the plugin 'vagrant-reload (0.0.1)'!
  

1. 自動インストールのための設定
   自動インストールをするために、いくつかの修正をします。

• auto_installファイルの配置：0バイトの空ファイルで良いので、auto_installという名前のファイルを作成し、同じディレクトリーに配置します。
• Vagrantfileの修正：Vagrantファイルを適当なエディタで開き、75行目辺りにある「/media/cdrom/setup --no-screen」を「/media/cdrom/setup --no-screen --accept-eula」に書き換えます。
• その他：ディスクサイズの変更などもVagrantfileの書き換えによって可能です。ただし、最小要求スペックを下回るような設定にした場合、QRadar CEのインストールは失敗します。

インストール

1. インストールの実行
   以下のコマンドを実施して、QRadar CEをインストールします。順調にいけば、約1-2時間で完了します。
   コマンドは、VirtualBoxが起動している状態で実行してください。

   C:¥Users¥t2yi¥tmp>vagrant up
   Bringing machine 'default' up with 'virtualbox' provider...
   ==> default: Box 'centos/7' could not be found. Attempting to find and install...
       default: Box Provider: virtualbox
       default: Box Version: 1804.02
   ==> default: Loading metadata for box 'centos/7'
       default: URL: https://vagrantcloud.com/centos/7
   ==> default: Adding box 'centos/7' (v1804.02) for provider: virtualbox
       default: Downloading: https://vagrantcloud.com/centos/boxes/7/versions/1804.02/providers/virtualbox.box
   
   -- 中略 --
   
       default: Initial configuration of 'QRadar Community Edition' console is now complete.
       default:
       default: You are now ready to connect to the interface.
       default:
       default: Press ENTER to complete Installation.
       default: qradar_netsetup.py: End: 0
       default: OK: Installed QRadar Community Edition version 7.3.1.20180723171558.
       default: Recording currently installed RPM list:
       default:  done.
       default: If you have not set an admin password, set one now with "sudo /opt/qradar/support/changePasswd.sh -a"
       default:
       default:
       default: Generated Auto Install Instructions file: /root/AUTO_INSTALL_INSTRUCTIONS
       default: UI accessible at: https://127.0.0.1:8444/console and https://172.28.128.3/console
   

2. インストールの確認
   以下のコマンドを実施して、QRadar CEがインストールされているVMが稼働していることを確認します。
   「running (virtualbox)」と表示されていれば稼働しています。

   C:¥Users¥t2yi¥tmp>vagrant status
   Current machine states:
   
   default                   running (virtualbox)
   
   The VM is running. To stop this VM, you can run `vagrant halt` to
   shut it down forcefully, or you can run `vagrant suspend` to simply
   suspend the virtual machine. In either case, to restart it again,
   simply run `vagrant up`.
   

3. GUIログイン用パスワードの設定
   以下のコマンドを実施して、QRadar CEのGUIにログインするためのパスワードを設定します。
   パスワードを設定した後、tomcatの再起動を行います。

   C:¥Users¥t2yi¥tmp>vagrant ssh
   [vagrant@qradarce ~]$ sudo /opt/qradar/support/changePasswd.sh -a
   Please enter the new admin password.
   Password:
   Confirm password:
   The admin password has been changed. Please restart tomcat, login to the UI, and perform a deploy.
   
   [vagrant@qradarce ~]$ sudo systemctl restart tomcat
   [vagrant@qradarce ~]$ exit
   

4. QRadar CEにログイン
   Chrome等のブラウザから、「1.」の項目の最終行で出てきたURLを表示します。
   ユーザー名：admin
   パスワード：「3.」で設定したパスワード
   でログイン可能です。
   ログイン後、ライセンス規約が表示されますので、「Accept」をクリックしてください。

以上です。お疲れ様でした。