開発案件でQRadarを少し触ることになりそうなので、お勉強用の環境を作っていきたいと思います。
Community Editionであれば無料で使えるようなので、それを使って環境構築をしていきます。
※環境構築に半日はかかると思います。
QRadarとは
IBM Security QRadarはネットワーク上に存在するネットワーク機器、サーバー、アプリケーション等からリアルタイムでログ、イベントデータを収集し、多様な分析・レポート機能を提供する次世代のSIEM(Security Information and Event Management)ソリューションです。
人手では分析が困難な大量のログ情報をリアルタイムに相関分析し、システム上で発生している異常を発見、予期される脅威を検出します。さらに、ネットワークやアセット、ユーザーなどの状況から検出されたインシデントの脅威を識別、ビジネス上のリスクが大きいインシデントを特定し、警告します。アラートに埋もれて対処の優先順位がわからなくなるという恐れはありません。
SCSKセキュリティ株式会社様のWebサイトより引用
公式サイトの手順
構築
システム要件は以下です。
FQDNはガチである必要はないみたいです。検証環境であれば。
以下よりISOをダウンロードすることができます。
※ログインするためにはIBMのIDを作るか、Googleのアカウントが必要です。
面倒であればGoogleアカウントで問題ないと思います。
自分のホームラボ上で構築することも考えたのですが、弊社のProxmox環境に構築してきたいと思います。
VMのスペックは以下としてます。色々もりもりです。上記のシステム要件に合うように作ればいいと思います。
ISOからVMを立ち上げると、後は自動で処理をしてくれます。
多分2,3時間以上かかると思います。別のことをして時間を有意義に使いましょう。
他のLinux同様にログインが求められる状態になりましたら、デフォルトの設定であるrootでログインします。
Agreementを求められるのでyesと入力します。
Software install~を選択します。
※間違って一番上のを選択しないようにしましょう。(1敗)
こちらは特に要件無いようであればAll-IN-Oneで良いと思います。
Normalを選択します。
時間を設定するようです。
Time Serverがあればそれを指定してあげればいいと思いますが、面倒だったので手動で入れました。
Time Zoneを指定します。
Asiaにしました。
Tokyoを指定します。
IPv4を指定します。
ここはそのままで次に進みます。
HostnameやIPアドレス、Gateway、DNSを指定します。
HostnameについてはFQDNが必須のようです。勉強用であればexample.comとかで・・・
IPアドレスは自分のネットワークで使用していないものを指定します。
DNSはGoogleのものを指定しました。
Admin
Adminのパスワードを指定します。
Rootのパスワードを指定します。
処理の続きが実行されます。
以下のようにRunningのようになると・・・
https://IPアドレスでWebブラウジングするとQRadarの管理コンソールが表示されます。
adminと先ほど指定したパスワードでログインをします。
ライセンス条項が表示されますので、受け入れを押下します。
ライセンスが有効化されます。どうやら時間制限があるようです。
読み込みが始まって。。。
ダッシュボードが表示されました。
監視というかこの続きは近々やってみて、アウトプットしようと思います。
