QRadar Community Edition V7.3.3をAWS環境に導入する

目的

IBM QRadar Community Edition Ver 7.3.3がリリースされました。
IBM Developerサイトからイメージを入手出来るのですが、ova形式になっており仮想基盤が想定された配布形式になっています。
AWS環境に QRadar Community Edition を導入するに際して、幾つかの注意事項があったため、本投稿に至りました。

そのままではAWSには導入できない？

AWSでは vmimport を利用してovaイメージを導入することも出来るのですが、残念ながら、IBM社提供のQRadar CE Ver.7.3.3 ovaイメージでは以下の理由によりそのままの導入が出来ません。

• ovaイメージには初期セットアップが必要
  • QRadar CEのインストーラはptyが前提になっている
  • 初期セットアップを行わないとSSHが有効化されない
  • AWSのEC2に接続するためにはSSH、Systems Manager (Session Manager)などの仕組みが前提になる

本家の Forums でも話題になっていましたが、そもそもパブリッククラウドでの動作環境をサポートするものでも無いようで、ovaイメージ側で対処する雰囲気も無い様子です。
このままでは悔しいので、以下の方法で実践してみることにしました。

AWSへの導入手順 ～マイグレーションツールの活用～

今回用いた手順は以下のステップになります。

1. PC側で仮想ツールを用いてQRadar CE V733をセットアップ
   1. 自PCに VirtualBox を入れて QRadar CE V733 OVAをセットアップする
   2. 初期セットアップが完了するまで進めておく
2. CloudEndure によるAWSマイグレーションの実施
   1. 仮想で作成した QRadar CE V733 に CloudEndure のagentをダウンロード
   2. AWS側の自アカウントに対応するキー設定でマイグレーションを開始
   3. AWS側にイメージが作成が作成された後、AWS側に接続して完了

CloudEndure Migration とは？

AWSが買収したクラウドマイグレーションツール。詳細はこちら
稼働状態のサーバにagentを入れて、Internet経由でイメージを吸い上げ、そのままVPCへEC2のイメージを作成してくれる便利なツール

事前準備 ～ CloudEndureのアカウントを作ろう～

AWSアカウントとは別に、CloudEndureのアカウントを作成する必要があります。
https://console.cloudendure.com/#/register/register
無料で作成出来ます。作成後はconsoleからログイン出来るようになります。

詳細は割愛しますが、CloudEndureのセットアップは以下の通りです。
Setup&Infoより

• AWS CREDENTIALS
  • 移行先のAWSクレデンシャル情報を入力します。
  • IAMユーザーの AWS Access Key ID、Secret Access Key、アカウント番号
• REPLICATION SETTINGS
  • 移行時の設定を入力します。
  • Migration Targeにリージョンを指定（例：Tokyoなど）
  • 移行先のVPC設定
  • 移行後のインスタンスタイプなど（m4.xlargeなど）

移行時の注意点

IBM QRadar Community Editionのクセがあるため、以下留意事項です。

1. VMでQRadar CEを構築する際、IPアドレスはAWS側を意識したサブネットで設定する
   1. QRadarの仕様で、管理IPアドレスを変えるのはとても大変なため
   2. リモートでqchange_netsetupコマンドが使えないので、予めAWS移行先のVPCサブネットレンジで設定する
   3. VM側ではNATなどを用いて、サブネットをAWS側想定で設定すると良い
2. QRadar CEのインストールには時間がかかるので注意
   1. 昔からそうだったが、QRadarのインストールは数時間かかる
   2. 自PC環境で設定するのは6GB設定でも問題は無かった（時間がかかるだけ）

やってみよう　～ QRadar CEにCloudEndure Agentをぶち込む ～

QRadar CEの母体はRedhat Enterprise Linuxです。CloudEndureコンソールに記載された手順で導入してみます。

For Linuxの部分を見ると、wgetでscriptを落として、pythonで実行すればいいようです。やってみましょう。

作成したVM側からInternetアクセスが出来る前提にになりますが、これを用いることで CloudEndure 側にイメージを吸い上げることが容易に出来ました。以下、注意点です。

• イメージ吸い上げは自動で行ってくれるのですが、とても時間がかかります。半日～1日放置するハメになるので、自PC環境を気を付けましょう
• 自PCのネットワークも影響があるので注意。ノートPC環境でVM構築、WiFiで接続していたのですが、とてつもなく時間がかかっていました。LAN接続＋VM再起動をかけた結果、かなりスピードが改善して2-3時間で終了しました。

CloudEndureからデプロイしてAWS環境に導入する

無事、イメージが吸い上げが完了したら、対象のAWS環境にデプロイをCloudEndure consoleから実施します。

ここでデプロイするモードが2つ存在しますが、違いは以下の通りです。

• Test Mode
  • テスト実行モード。吸い上げたイメージを残したまま、EC2を作成する
• Cutover Mode
  • CloudEndureで吸い上げたイメージは削除し、EC2を作成する

最初はTest Modeで実行することをお勧めします。作業進捗はJob Progressから確認が出来ます。

AWS側でEC2が立ち上がっていることを確認する

Migrationが完了すると、EC2側で作成され起動していることが確認出来ます。
事前にセットアップしていたIPアドレスがVPC Subnetと同一であればInternetへのアクセスや、パブリックサブネットであればEIP経由のアクセスが可能になります。
ここでは、当方が実施したチューニングについて記載しておきます。

• SSHによるrootアクセスの禁止
  • CloudEndureのMigrationでは、QRadar OVAのssh/rootアクセスがそのまま許可されていた（実際にEC2でもrootアクセスができてしまった）
  • クラウドにおいてはSSH/rootアクセスは良くないので、sshdで無効化とする。
• SSH証明書接続方式に変更 / ec2-userの作成
  • AWSでは ec2-user のデフォルトユーザー、SSH証明書接続が基本となっている
  • コンソール接続するに際して、他アクセスと同一にしたいので、キーペアによる証明書接続に変更
• SSM-Agent (Systems Manager) の導入
  • AWSのEC2管理は Systems Managerが便利。今後、session managerによるアクセスに変更したいので、ssm-agentを導入

QRadarにSSM Agentを入れた運用については、今後触れていきたいと思います。

IBM QRadar Community Editionへアクセス

ここまで来たらこちらのものです。これでAWS環境でQRadar Community Editionを存分に触れます。

無事に QRadar Community Edition をAWS環境に導入出来ました。
次回はAWS環境における諸設定事項、AWSログソースの取り込みについて触れたいと思います。