IBM QRadar Community Edition SIEM – Installazione

QRadar è un software “Log Collector” e  fornisce ai team di sicurezza la visibilità e l’analytics necessarie per individuare, assegnare priorità, investigare e rispondere rapidamente e in modo accurato alle minacce, in ambienti on-premise e in ambienti basati su cloud.

E’ disponibile in una versione “Free” (ridotta) chiamata QRadar Community Edition. ( https://developer.ibm.com/qradar/ce/ )
Le limitazioni, rispetto alla versione “full” sono le seguenti:

• 50 eventi al secondo (EPS)
• 5.000 flussi al minuto (FPM)
• Non garantito… il che significa che non ci sono assistenza clienti o patch. Tuttavia per domande e richieste di assistenza c’è un ottimo FORUM.
• Questa versione non ha un sistema operativo. E’ necessaria una CentOS 7.5
• X-Force Threat Intelligence non è abilitato in QRadar Community Edition.
• Questa è un’installazione software All-in-One (tipo di appliance 3xx), il che significa che non è possibile avere host gestiti collegati a questa versione.
• Non può essere “patchato” : verranno rilasciate versioni più recenti di QRadar Community Edition e gli utenti potranno eseguire una nuova installazione per utilizzare nuove funzionalità.
• 4 GB sono consigliati per l’installazione…..ma vi garantisco che soffre già con 8Gb e 4 Cpu.
• Gli aggiornamenti automatici sono abilitati, ma solo i DSM selezionati sono installati di default per mantenere basso l’ingombro della memoria.
• La disponibilità elevata (HA) non è supportata.
• Nessun metodo per aumentare le velocità EPS / FPM.
• Questa versione non può essere aggiornata a “QRadar completo” da Community Edition.

Diciamo che, se non avete un server con dischi SSD, almeno 5 Cpu e più di 8Gb di Ram….il funzionamento potrebbe risultare molto “lento” e quasi “inutilizzabile.
Ecco un esempio a 8Gb di Ram :

Regola : funziona solo su CentOs 7.5
Non è possibile utilizzare nè la 7.4 nè la 7.6 o riceverete l’errore :
** ERROR: Community Edition requires CentOS Linux or Red Hat Enterprise Linux release 7.5. Found CentOS Linux release 7.6.1810 (Core)

La CentOs 7.5 può essere scaricata da qui : https://vault.centos.org/7.5.1804/isos/x86_64/
Va bene anche la versione Minimal. Quando abbiamo la ISO di CentOs e quella di Qradar ( QRadarCE7_3_1.GA) possiamo inziare.
Installiamo Cent0s. Diamo un indirizzo ip alla macchina, va bene anche in DHCP:

vi /etc/sysconfig/network-scripts/ifcfg-eth0
ONBOOT=yes
DHCP=yes

Disabilitiamo la SElinux in modo permanente:
sed -i ‘s/=enforcing/=disabled/g’ /etc/selinux/config && systemctl reboot

Disabilitiamo IPV6:
echo “net.ipv6.conf.all.disable_ipv6 = 1” >> /etc/sysctl.conf

Una volta collegata la ISO di Qradar (io utilizzo Hyper-V) saràsuffiente montarla : mount /dev/cdrom /mnt
ed eseguire il setup : /mnt/setup  che farà tutto da solo, impiegando parecchio tempo.
QRadar Community Edition assegnerà, da solo, un Ip al server in modo statico

Se il server si dovesse riavviare, senza “chiedere” la password di admin per Qradar è possibile impostarla manualmente con questo comando, via SSH :
/opt/qradar/support/changePasswd.sh -a
specificare la nuova password per “admin” e riavviare tomcato con “service tomcat restart” (ci metterà un pò di tempo)

Se vogliamo monitorare le risorse utilizzate, con questo comando possiamo installare HTOP per CentOs:

yum -y install epel-release
yum -y update
yum -y install htop

A installazione completata potremo accedere a Qradar tramite : https://ip-address
Se questo indirizzo dovesse risultare “non funzionale”, riavviare TomCat via SSH : service tomcat restart

Qradar, IBM QRadar Community Edition SIEM, QRadar Community Edition, Installazione QRadar Community Edition, Install QRadar Community Edition, Installazione QRadar Community Edition Hyper-V, QRadar Community Edition CentOs, how Install QRadar Community Edition