Help us understand the problem. What is going on with this article?

QRadar Community Edition V7.3.3をAWS環境に導入する

目的

IBM QRadar Community Edition Ver 7.3.3がリリースされました。
IBM Developerサイトからイメージを入手出来るのですが、ova形式になっており仮想基盤が想定された配布形式になっています。
AWS環境に QRadar Community Edition を導入するに際して、幾つかの注意事項があったため、本投稿に至りました。

そのままではAWSには導入できない?

AWSでは vmimport を利用してovaイメージを導入することも出来るのですが、残念ながら、IBM社提供のQRadar CE Ver.7.3.3 ovaイメージでは以下の理由によりそのままの導入が出来ません。

  • ovaイメージには初期セットアップが必要
    • QRadar CEのインストーラはptyが前提になっている
    • 初期セットアップを行わないとSSHが有効化されない
    • AWSのEC2に接続するためにはSSH、Systems Manager (Session Manager)などの仕組みが前提になる

本家の Forums でも話題になっていましたが、そもそもパブリッククラウドでの動作環境をサポートするものでも無いようで、ovaイメージ側で対処する雰囲気も無い様子です。
このままでは悔しいので、以下の方法で実践してみることにしました。

AWSへの導入手順 ~マイグレーションツールの活用~

今回用いた手順は以下のステップになります。

  1. PC側で仮想ツールを用いてQRadar CE V733をセットアップ
    1. 自PCに VirtualBox を入れて QRadar CE V733 OVAをセットアップする
    2. 初期セットアップが完了するまで進めておく
  2. CloudEndure によるAWSマイグレーションの実施
    1. 仮想で作成した QRadar CE V733 に CloudEndure のagentをダウンロード
    2. AWS側の自アカウントに対応するキー設定でマイグレーションを開始
    3. AWS側にイメージが作成が作成された後、AWS側に接続して完了

CloudEndure Migration とは?

AWSが買収したクラウドマイグレーションツール。詳細はこちら
稼働状態のサーバにagentを入れて、Internet経由でイメージを吸い上げ、そのままVPCへEC2のイメージを作成してくれる便利なツール

事前準備 ~ CloudEndureのアカウントを作ろう~

AWSアカウントとは別に、CloudEndureのアカウントを作成する必要があります。
https://console.cloudendure.com/#/register/register
無料で作成出来ます。作成後はconsoleからログイン出来るようになります。
console_ce.png

詳細は割愛しますが、CloudEndureのセットアップは以下の通りです。
Setup&Infoより

  • AWS CREDENTIALS
    • 移行先のAWSクレデンシャル情報を入力します。
    • IAMユーザーの AWS Access Key ID、Secret Access Key、アカウント番号
  • REPLICATION SETTINGS
    • 移行時の設定を入力します。
    • Migration Targeにリージョンを指定(例:Tokyoなど)
    • 移行先のVPC設定
    • 移行後のインスタンスタイプなど(m4.xlargeなど)

移行時の注意点

IBM QRadar Community Editionのクセがあるため、以下留意事項です。

  1. VMでQRadar CEを構築する際、IPアドレスはAWS側を意識したサブネットで設定する
    1. QRadarの仕様で、管理IPアドレスを変えるのはとても大変なため
    2. リモートでqchange_netsetupコマンドが使えないので、予めAWS移行先のVPCサブネットレンジで設定する
    3. VM側ではNATなどを用いて、サブネットをAWS側想定で設定すると良い
  2. QRadar CEのインストールには時間がかかるので注意
    1. 昔からそうだったが、QRadarのインストールは数時間かかる
    2. 自PC環境で設定するのは6GB設定でも問題は無かった(時間がかかるだけ)

やってみよう ~ QRadar CEにCloudEndure Agentをぶち込む ~

QRadar CEの母体はRedhat Enterprise Linuxです。CloudEndureコンソールに記載された手順で導入してみます。
console_ce2.png
For Linuxの部分を見ると、wgetでscriptを落として、pythonで実行すればいいようです。やってみましょう。
agent.png

作成したVM側からInternetアクセスが出来る前提にになりますが、これを用いることで CloudEndure 側にイメージを吸い上げることが容易に出来ました。以下、注意点です。

  • イメージ吸い上げは自動で行ってくれるのですが、とても時間がかかります。半日~1日放置するハメになるので、自PC環境を気を付けましょう
  • 自PCのネットワークも影響があるので注意。ノートPC環境でVM構築、WiFiで接続していたのですが、とてつもなく時間がかかっていました。LAN接続+VM再起動をかけた結果、かなりスピードが改善して2-3時間で終了しました。

CloudEndureからデプロイしてAWS環境に導入する

無事、イメージが吸い上げが完了したら、対象のAWS環境にデプロイをCloudEndure consoleから実施します。
console_ce3.png
ここでデプロイするモードが2つ存在しますが、違いは以下の通りです。

  • Test Mode
    • テスト実行モード。吸い上げたイメージを残したまま、EC2を作成する
  • Cutover Mode
    • CloudEndureで吸い上げたイメージは削除し、EC2を作成する

最初はTest Modeで実行することをお勧めします。作業進捗はJob Progressから確認が出来ます。
console_ce4.png

AWS側でEC2が立ち上がっていることを確認する

Migrationが完了すると、EC2側で作成され起動していることが確認出来ます。
事前にセットアップしていたIPアドレスがVPC Subnetと同一であればInternetへのアクセスや、パブリックサブネットであればEIP経由のアクセスが可能になります。
ここでは、当方が実施したチューニングについて記載しておきます。

  • SSHによるrootアクセスの禁止
    • CloudEndureのMigrationでは、QRadar OVAのssh/rootアクセスがそのまま許可されていた(実際にEC2でもrootアクセスができてしまった)
    • クラウドにおいてはSSH/rootアクセスは良くないので、sshdで無効化とする。
  • SSH証明書接続方式に変更 / ec2-userの作成
    • AWSでは ec2-user のデフォルトユーザー、SSH証明書接続が基本となっている
    • コンソール接続するに際して、他アクセスと同一にしたいので、キーペアによる証明書接続に変更
  • SSM-Agent (Systems Manager) の導入
    • AWSのEC2管理は Systems Managerが便利。今後、session managerによるアクセスに変更したいので、ssm-agentを導入

QRadarにSSM Agentを入れた運用については、今後触れていきたいと思います。

IBM QRadar Community Editionへアクセス

ここまで来たらこちらのものです。これでAWS環境でQRadar Community Editionを存分に触れます。
image001.png
image002.png
image003.png

無事に QRadar Community Edition をAWS環境に導入出来ました。
次回はAWS環境における諸設定事項、AWSログソースの取り込みについて触れたいと思います。

hisnakad
しがないセキュリティエンジニア。SIEMとクラウドに関して頑張っている最中。よろしくお願いします。 投稿内容は私個人の意見であり、所属企業・部門とは関係ありません。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした