Help us understand the problem. What is going on with this article?

QRadar Community EditionにAWS関連のDSM (デバイスサポートモジュール)をインストールする

はじめに

先日の投稿 で QRadar Community Edition V.733 をAWS環境に導入出来たのですが、DSM(デバイスサポートモジュール)が一切入っていないことに気付きました。
IBM QRadar Community Edtionはリソースを軽くするため、製品版で自動的にダウンロードされるDSMは対象外になっています。
当方の目的はAWS関連のログ(AWS CloudTrail, GuardDuty, SecurityHubなど)を取り込み、SIEMの価値である相関分析を実践することなので、手動でDSMを導入することにしました。

DSMの導入方法 〜ドキュメントが違う!

IBM QRadar Community Editionのドキュメントでは以下のような記載になっています。

Procedure
1. Mount the QRadar Community Edition ISO by using the following command:
sudo mount -o loop /opt/ibm/cloud/iso/QRadarCE2019.14.0.20191031163225.GA.iso /media/cdrom
2. Go to the /media/cdrom/post/dsmrpms directory by using the following command:
cd /media/cdrom/post/dsmrpms
3. Type the following command, where <rpm_filename> is the name of a DSM that you want to install
yum -y install <rpm_filename>

但し、現行QRadar Community Editionのサイトではovaイメージのみの配布になっており、ドキュメント記載のisoイメージが公開されていないように見えます。ISOイメージの在り処をForumで聞いている方も入るようですが返信も無いようなので、リリースする気がないのかもしれません。
仕方が無いので、個別のDSMをIBMパッチ配布サイト(IBM Fixcentral)からダウンロードすることにしました。

DSMのダウンロード

当方でダウンロードしたDSMは以下のものです。(2020/6/18時点の最新DSMモジュール)

  • DSM
    • DSM-DSMCommon-7.3-20190708191548.noarch.rpm
    • DSM-AmazonAWSCloudTrail-7.3-20191022131855.noarch.rpm
    • DSM-AmazonGuardDuty-7.3-20191212163008.noarch.rpm
    • DSM-AmazonAWSSecurityHub-7.3-20191024124850.noarch.rpm
  • PROTOCOL DSM
    • PROTOCOL-Common-7.3-20200504122746.noarch.rpm
    • PROTOCOL-AmazonWebServices-7.3-20191121180040.noarch.rpm
    • PROTOCOL-AmazonAWSRESTAPI-7.3-20200511165538.noarch.rpm

IBM QRadarのDSMは二種類あり、通常のDSM以外にDSMが利用するプロトコルのアップデートが有ります。AWSではRESTAPI経由の収集と、WegServicesの収集の二種類のモジュールが提供されていますが、、特に後者のWebServicesはQRadarのEC2にIAMロールを設定することで、APIの認証情報を埋め込むことなくログ収集が出来る便利なモジュールです。
この辺りは別の回で触れたいと思いますが、まずはDSMを更新してみましょう。

DSMの適用 〜依存関係に注意!

QRadarのDSMはyumコマンドで更新するのですが、各DSMに依存関係が動いており、導入する順番が決まっています。yumのエラーを見れば分かるのですが、このような順番などの情報はどこにもドキュメント化されておらず困ったものです。
いろいろと試行錯誤した結果、以下順番でこれらのモジュールを適用することができました。

  1. PROTOCOLモジュールのインストール (以下順番で yum -y install を実施する)
    1. PROTOCOL-Common-7.3-20200504122746.noarch.rpm
    2. PROTOCOL-AmazonWebServices-7.3-20191121180040.noarch.rpm
    3. PROTOCOL-AmazonAWSRESTAPI-7.3-20200511165538.noarch.rpm

PROTOCOLモジュールを適用すると、QRadarの管理画面よりFull Deploy / Webrestartする注意事項が表示される。一旦ここで反映しておく。

After installation has completed you must Deploy Full Configuration and restart Tomcat to complete the installation.
Step 1: From the Admin tab menu in the user interface, select Advanced > Deploy Full Configuration.
Step 2: From the Admin tab menu in the user interface, select Advanced > Restart Web Server.
  1. DSMモジュールのインストール (以下順番でyum -y install を実施する)
    1. DSM-DSMCommon-7.3-20190708191548.noarch.rpm
    2. DSM-AmazonAWSCloudTrail-7.3-20191022131855.noarch.rpm
    3. DSM-AmazonGuardDuty-7.3-20191212163008.noarch.rpm

DSMが選択できるかどうか確認

IBM QRadarの管理画面から、ログソース設定を選択し、AWS関連のログソースが表示されるか確認してみます。
qce_dsm1.png
ありました。
Amazon AWS CloudTrail / Security Hub / GuardDutyが表示されます。
qce_dsm2.png
試しにAWS CloudTrailを選択すると、インストールしたPROTOCOLも表示されていることが確認できました。これでAWS側からのログ収集の準備が整いました。

まとめ

本記事ではQRadar Community EditionにAWS関連のDSMを手動でインストールする方法についてご紹介しました。
依存関係や関連するモジュールなど、実際に試してみないと分からない地雷もありましたので、皆様の何かの助けになればと思います。

hisnakad
しがないセキュリティエンジニア。SIEMとクラウドに関して頑張っている最中。よろしくお願いします。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした