Use o editor de implementação para gerenciar os componentes individuais do seu QRadar. Após a configuração de sua implementação, é possível acessar e
configurar os componentes individuais de cada host gerenciado em sua implementação.
requisitos do editor de Implementação
Antes de poder utilizar o editor de implementação, assegure-se de que ele atenda aos requisitos mínimos do sistema.
O editor de implementação requer Java™Runtime Environment (JRE). Você pode
fazer download Java 1,6 ou 1,7 do Java site (www.java.com). Se estiver utilizando o navegador da Web Mozilla Firefox, você deve configurar seu navegador para aceitar Java Network Language Protocol (JNLP) os arquivos.
Muitos navegadores da Web que utilizam o mecanismo do Internet Explorer Microsoft , tais como Maxthon, instala componentes que podem ser incompatíveis com a guia Admin. Deverá ser solicitado a desabilitação de qualquer navegador da web que está instalado no seu sistema.
Para acessar o editor de implementação a partir de um servidor proxy ou firewall, você deve configurar as definições de proxy apropriado em seu desktop. O software de varredura e, em seguida, detectar automaticamente as configurações de proxy a partir de seu navegador.
Para configurar as definições de proxy, abra o Java de configuração em seu Painel de Controle e configurar o endereço IP de seu servidor proxy. Para obter
informações adicionais, consulte a documentação daMicrosoft.
Visualizações do editor de implementação
O editor de implementação fornece diferentes visualizações de sua implementação. É possível acessar o editor de implementação usando a guia Admin. Você pode utilizar o editor de implementação para criar sua implementação, designar conexões e configurar cada componente.
Depois de atualizar suas definições de configuração utilizando o editor de
implementação, você deve salvar essas mudanças para a área de preparação. Você deve implementar manualmente todas as mudanças utilizando a opção de menu da guia Admin. Todas as mudanças implementadas são então aplicadas em toda a sua implementação.
O editor de implementação fornece as visualizações a seguir:
Visualização do Sistema
Use a página Visualização do Sistema para designar o componente de software para hosts gerenciados em sua implementação. A página Visualização do Sistema
inclue todos os hosts gerenciados em sua implementação. Um host gerenciado é um sistema em sua implementação que tem o software do QRadar que está instalado.
Por padrão, a página Visualização do Sistema também inclui os seguintes componentes:
v Host Context, que monitora todos os componentes do QRadar para assegurar que cada componente esteja funcionando conforme o esperado.
v Accumulator, que analisa fluxos, eventos, relatando e gravando dados do banco de dados e alertando sobre um módulo do sistema de dispositivo (DSM). Um acumulador está em qualquer host que contenha um Processador de Eventos.
Na página Visualização do Sistema , a área de janela esquerda fornece uma lista de hosts gerenciados, que podem ser visualizados e configurados. O editor de
implementação pesquisa sua implementação quanto às atualizações de hosts gerenciados. Se o editor de implementação detectar mudanças em um host gerenciado em sua implementação, uma mensagem será exibida notificando-lhe sobre a mudança. Por exemplo, se um host gerenciado for removido, uma mensagem será exibida indicando que os componentes designados àquele host devem ser novamente designados a outro host.
Além disso, se um host gerenciado for incluído em sua implementação, o editor de implementação exibirá uma mensagem indicando que o host gerenciado foi
incluído.
Visualização do evento
Use a página Visualização do evento para criar uma visualização de seus componentes.
v Componentes do QRadar QFlow Collector
v Processadores de Eventos v Coletores de Eventos v Fontes externas v Destinos externos v Componentes do Magistrate v Nós de Dados
Na página Visualização do evento, a área de janela esquerda fornece uma lista de componentes que você pode incluir na visualização. A área de janela direita fornece uma visualização de sua implementação.
Visualização de vulnerabilidade
Utilize a página Visualização de vulnerabilidade para criar uma visualização dos componentes do IBM Security QRadar Vulnerability Manager. É necessário instalar o IBM Security QRadar Vulnerability Manager para exibir essa visualização. Para obter informações adicionais, consulte Guia do Usuário do IBM Security QRadar
Vulnerability Manager
Configurando as preferencias do editor de implementação.
É possível configurar as preferências do editor de implementação para modificar os incrementos de zoom e a enquete de frequência de presença.Procedimento
1. SelecioneArquivo > Editar Preferencias.
2. Para configurar o parâmetro Enquete de frequência de presença, digite com
que frequência, em milisegundos, você deseja que o host gerenciado monitores suas implantações para as atualizações.
3. Para configurar o parâmetro Incremento de Zoom , digite o valor do
incremento quando a opção zoom for selecionada. Por exemplo, 0,1 indica 10%.
Construíndo sua implementação
Use o editor de implementação e opções na guia Admin para construir e implementar sua implementação.
Antes de Iniciar
Assegure-se de que as condições a seguir sejam atendidas:
v Instale o Java Runtime Environment (JRE). Você pode fazer download Java 1,6
ou 1,7 do Java site (www.java.com).
v Se você estiver utilizando um navegador Firefox, você deve configurar seu
navegador para aceitar Java Network Language Protocol (JNLP) os arquivos.
v Planeje sua QRadar de implementação, incluindo os endereços IP e as
informações de login para todos os dispositivos em sua implementação.
Procedimento
1. Construa sua Visualização de Eventos.
2. Construa sua Visualização do Sistema.
3. Configure os componentes.
4. Para o estágio de implementação, a partir do menu do editor de
implementação, clique em Arquivo > Salvar para Migração
5. Para implementar todas as alterações de configuração, na guia Admin , clique
em Avançado > Implementar Mudanças
Gerando chaves públicas para produtos QRadar
Para encaminhar eventos normalizados no editor de implementação do IBM Security QRadar, deve-se copiar o arquivo de chave pública, /root/.ssh/
id_rsa.pub, da origem externa para o destino externo.
Se a origem externa e o destino externo estiverem em sistemas separados, a chave pública será gerada automaticamente. Se a origem e o destino externos estiverem em um sistema multifuncional, a chave pública não será gerada automaticamente. Você deve gerar manualmente a chave pública.
Procedimento
Para gerar manualmente a chave pública, siga estas etapas:
1. Use SSH para efetuar login em seu sistema como usuário raiz.
2. Para gerar a chave pública, digite o seguinte comando:
opt/qradar/bin/ssh-key-generating
3. Pressione Enter.
O par de chaves pública e privada é gerado e salvo na pasta
/root/.ssh/id_rsa.
Gerenciador de visualização do evento
Use a página Visualização do evento para criar e gerenciar os componentes da sua implementação.
Construindo sua visualização do evento
Para construir seu Visualização de Eventos, execute as seguintes etapas:
1. Incluir componentes em sua visualização.
2. Conecte os componentes.
3. Conecte as implementações.
4. Renomeie os componentes para cada componente possui um nome exclusivo.
Visualizações de eventos dos componentes QRadar em sua
implementação
Use a página Visualização de Eventos para criar uma visualização de seus componentes IBM Security QRadar, incluindo QRadar QFlow Collectors, Processadores de Eventos, Coletores de Eventos, origens externas, destinos externos e componentes Magistrate.
QRadar QFlow Collector
QRadar VFlow Collector coleta fluxos de rede de dispositivos em sua rede. Os feeds registrados e em tempo real são incluídos, como toques de rede, portas de span, NetFlow e logs de fluxo do QRadar.
QRadar QFlow Collector agrupa pacotes individuais relacionados em um fluxo. Um fluxo é iniciado quando QRadar QFlow Collector detecta o primeiro pacote que tem um endereço IP de origem exclusivo, endereço IP de destino, porta de origem, porta de destino e outras opções de protocolo específicas.
Cada novo pacote é avaliado. Conta os bytes e pacotes adicionados a estatística de contagem no fluxo de gravação. No final de um intervalo, um registro de status do fluxo é enviado para um Coletor de Eventos e os contadores de estatística para o fluxo são redefinidas. Um fluxo termina quando nenhuma atividade para o fluxo for detectado dentro do tempo configurado.
Se o protocolo não suporta conexões de porta-baseado em QRadar combina todos os pacotes entre os dois hosts em um único fluxo de registro. No entanto, QRadar QFlow Collector não registra fluxos até que uma conexão seja estabelecida com outro componente QRadar e dados sejam recuperados.
Coletor de Eventos
Coleta eventos de segurança de dispositivos de segurança, que são conhecidos como fontes de log, em sua rede.
O Coletor de Eventos normaliza os eventos coletados e envia as informações para o Processador de Eventos.
Você pode conectar um console do Processador de Eventos para um Processador de Eventos no QRadar Console ou para outro Processador de Eventos em sua implementação. O acumulador reune informações de evento e fluxo do Processador de Eventos.
O Processador de Eventos em QRadar Console é sempre conectado ao Magistrate. Esta conexão não pode ser excluída.
Nó de Dados
O Nó de Dadose recebe eventos de segurança e fluxos de eventos associado e processadores de Fluxo.
O Nó de Dados armazena estes dados de segurança para o disco.
O Nó de Dados é sempre conectado ao Processador de Eventos ou Processador de Fluxo componentes
Fonte externa
Uma origem de dados externa que encaminha dados normalizados para um Coletor de Eventos. É possível configurar uma origem externa para receber dados e criptografar os dados antes do encaminhamento.
Versões mais recentes dos sistemas QRadar podem receber dados de versões anteriores dos sistemas QRadar. No entanto, as versões anteriores não podem receber dados das versões mais recentes. Para evitar, faça upgrade de todos os destinatários antes de você fazer upgrade dos remetentes.
Destino externo
Indica um dispositivo externo que recebe um eventos ou dados de fluxo. Um destino externo só pode receber dados de um Coletor de Eventos.
Versões mais recentes dos sistemas QRadar podem receber dados de versões anteriores dos sistemas QRadar. No entanto, as versões anteriores não podem receber dados das versões mais recentes. Para evitar, faça upgrade de todos os destinatários antes de você fazer upgrade dos remetentes.
Magistrate
Você pode incluir um componente Magistrate para cada implementação. O
Magistrate fornece visualizações, relatórios, alertas e análise de tráfego de rede e os eventos de segurança. O Magistrate processa os eventos ou fluxos usando as regras customizadas que são configuradas para criar uma resposta. Se regras
customizadas não existir, o Magistrate utiliza a regra padrão configurado para processar os violadores evento ou fluxo.
O Magistrate prioriza a resposta e designa um valor de magnitude que é baseado em diversos fatores, incluindo o número de respostas, gravidade, relevância e credibilidade.
Após o Magistrate estabelecer a magnitude, ele fornece várias opções para resolução.
Incluindo Componentes
Ao configurar sua implementação, você deve utilizar a página Visualização de Eventos no editor de implementação para incluir os componentes.
Você pode incluir os seguintes componentes para sua página QRadar Visualização de Eventos:
v Coletor de Eventos
v Processador de Eventos
v Origem externa
v Destino externo
v QRadar QFlow Collector
v Nó de Dados
Procedimento
1. Na guia Admin, clique em Editor de Implementação.
2. Na janela Componentes de Eventos, selecione um componente que você deseja
incluir em sua implementação.
3. Digite um nome exclusivo para o componente que você deseja incluir e clique
em Avançar.
Restrição: O nome pode ter até 20 caracteres de comprimento e pode incluir sublinhados ou hifens.
4. Na caixa de listagem Selecione um host para designar, selecione um host
gerenciado, e, em seguida, clique em Avançar.
5. Clique em Concluir.
6. Repita as etapas 3 – 5 para cada componente que você deseja incluir em sua
visualização.
7. No menu do editor de implementação, selecione Arquivo > Salvar para
migração.
O editor de implementação salva suas alterações na área de migração de dados e fecha automaticamente.
8. No menu da guia Admin, clique em Implementar Mudanças.
Conectando Componentes
Depois de incluir todos os componentes necessários em sua página Visualização de Eventos, você deve conectá-los.
Sobre Esta Tarefa
Utilize a página Visualização de Eventos para conectar os componentes juntos. Algumas restrições são impostas. Por exemplo, é possível conectar um Coletor de Eventos a um Processador de Eventos, mas não a um componente do Magistrate. A tabela a seguir descreve os componentes que você pode conectar.
Tabela 43. Descrição de Conexões de Componentes Suportadas
Conexão de Origem Conexão de Destino Descrição
QRadar QFlow Collector Coletor de Eventos
Um QRadar QFlow Collector pode se conectar somente a um Coletor de Eventos.
Um QRadar QFlow Collector não pode ser conectado a um Coletor de Eventos de um dispositivo 15xx. O número de conexões não é restrito.
Coletor de Eventos Processador de Eventos Um Coletor de Eventos pode ser conectado apenas a um Processador de Eventos.
Um Coletor de Eventos do Console pode ser conectado apenas a um Processador de Eventos do Console. Esta conexão não pode ser removida.
Um Coletor de Eventos que não é do Console pode ser conectado a um Processador de Eventos no mesmo sistema.
Um Coletor de Eventos não do Console pode ser conectado a um Processador de Eventos remoto, mas apenas se o Processador de Eventos não existir no Console.
Coletor de Eventos Destino externo O número de conexões não é restrito. Origem externa Coletor de Eventos O número de conexões não é restrito.
Um Coletor de Eventos conectado a um dispositivo somente de Evento não pode receber uma conexão externa do hardware do sistema que possui o recurso
Receber Fluxosativado.
Um Coletor de Eventos conectado a um dispositivo somente QFlow não pode receber uma conexão externa a partir de um sistema remoto se o sistema possui o recurso Receber Eventos ativado.
Processador de Eventos Magistrate (MPC) Apenas um Processador de Eventos pode se conectar a um Magistrate.
Processador de Eventos Processador de Eventos
Um Processador de Eventos do Console não pode se conectar a um Processador de Eventos não do Console. Um Processador de Eventos não do Console pode ser conectado a um outro Processador de Eventos do Console ou não do Console, mas não a ambos ao mesmo tempo.
Um Processador de Eventos não do Console é conectado a um Processador de Eventos do Console quando um host gerenciado não do Console é incluído. Nó de Dados Processador de Eventos Você pode conectar um QRadar Data Node Virtual 1400
apenas para um Processador de Eventos. Você pode conectar vários Nós de Dados para o Processador de Eventos mesmo para criar um cluster de armazenamento.
Procedimento
1. Na página Visualização de Eventos, selecione o componente para o qual você
deseja estabelecer uma conexão.
2. Clique em Ações > Incluir Conexão.
Uma seta é exibida em seu mapa. A seta representa uma conexão entre dois componentes.
3. Arraste a extremidade da seta para o componente com o qual você deseja
estabelecer uma conexão.
4. Opcional: Configure a filtragem de fluxo em uma conexão entre um QRadar
QFlow Collector e um Coletor de Eventos.
a. Clique com o botão direito do mouse na seta entre o QRadar QFlow
Collector e o Coletor de Eventos e clique em Configurar
b. No campo para o parâmetro Filtro de Fluxo, digite os endereços IP ou endereços CIDR para os Coletores de Eventos para os quais você deseja que o QRadar QFlow Collector envie fluxos.
5. Clique em Salvar.
6. Repita estas etapas para todos os componentes restantes que requerem
conexões.
Encaminhando Eventos e Fluxos Normalizados
Para encaminhar eventos e fluxos normalizados, configure um Coletor de Eventos externo em sua implementação atual para receber eventos e fluxos a partir de um Coletor de Eventos externo associado na implementação de recebimento.
Sobre Esta Tarefa
É possível incluir os seguintes componentes em sua página Visualização de Eventos:
v Uma Origem Externa é um Coletor de Eventos externo a partir do qual você
deseja receber dados de eventos e fluxos.
Restrição: A origem externa deve ser configurada com as permissões apropriadas para enviar dados de eventos e fluxos para seu destino externo.
v Um Destino Externo é um Coletor de Eventos externo para o qual você deseja
enviar dados de eventos e fluxos.
Exemplo:
Para encaminhar eventos e fluxos normalizados entre duas implementações (A e B), em que a implementação B deseja receber eventos e fluxos da implementação A:
1. Configure a implementação A com um destino externo para fornecer o
endereço IP do host gerenciado que inclui o Coletor de Eventos B.
2. Conecte o Coletor de Eventos A ao destino externo.
3. Na implementação B, configure uma origem externa com o endereço IP do host
gerenciado que inclui Coletor de Eventos A e a porta que Coletor de Eventos A está monitorando.
Se desejar desconectar a origem externa, você deverá remover as conexões de ambas as implementações. A partir da implementação A, remova o destino externo e, na implementação B, remova a origem externa.
Para ativar a criptografia entre as implementações, você deve ativar a criptografia na origem e no destino externos. Além disso, você deve assegurar que a chave pública SSH para a origem externa (cliente) esteja disponível para o destino (servidor) para assegurar o acesso apropriado. Por exemplo, para ativar a criptografia entre a origem externa e Coletor de Eventos B:,
1. Crie chaves ssh usando o comando ssh-keygen -1 -t rsa e pressione Enter
quando for solicitado o diretório e o passphrase. Isso coloca o arquivo no diretório //root/.ssh por padrão.
2. Copie o arquivo id_rsa.pub para o diretório /root/.ssh no Coletor de Eventos
e no console de origem. Renomeie o arquivo para authorized_keys. Se você não tiver designado privilégios de proprietário rw (chmod 600 authorized_keys) ao arquivo e ao diretório-pai, é possível usar o comando
especifica que o arquivo de identidade /root/.ssh/id_rsa.pub seja usado. Por exemplo, ssh-copy-id -i root@10.100.133.80. Esse comando irá anexar todas as entradas ou criar um arquivo authorized_keys no console de destino com os privilégios corretos. Ele não verifica entradas duplicadas. O authorized_keys também precisa estar presente no console onde outros recursos são utilizados. Se um host gerenciado for incluído em um console que está encaminhando eventos, um arquivo authorized_keys também precisará estar presente no seu diretório /root/.ssh. Se não, a inclusão de um host gerenciado falhará. Isso é necessário independentemente de a criptografia ser usada entre o host gerenciado e o console.
3. No console de origem, crie um arquivo ssh_keys_created sob
/opt/qradar/conf. Esse arquivo precisa ser criado para que o encaminhamento de eventos e fluxos não seja interrompido quando outros recursos (como incluir um host gerenciado em um dos consoles) forem combinados. Altere o
proprietário e o grupo para nobody e a permissão para 775 se necessário. chown
nobody:nobody /opt/qradar/conf/ssh_keys_created e chmod 775
/opt/qradar/conf/ssh_keys_createdpara assegurar que o arquivo possa ser
submetido a backup e restauração corretamente.
4. Siga a etapa de origem e destino externos para 2 consoles. Programe o console
de destino primeiro e, em seguida, implemente as mudanças. Programe o console de origem seguinte e, em seguida, implemente as mudanças. O diagrama a seguir mostra o encaminhamento de eventos e fluxos entre as implementações.
Se a origem ou o destino externo for um sistema multifuncional, a chave pública não será gerado automaticamente, portanto, você deve gerar manualmente a chave pública. Para obter informações adicionais sobre como gerar chaves públicas, consulte sua documentação do Linux.
Roteador Coletor de Eventos Processador de Eventos Funcionário público (MPC) Internet Internet
QFlow Collector QFlow Collector
Figura 1. Encaminhando eventos entre implementações usando SSH
Se você atualizar sua configuração do Coletor de Eventos ou as portas de monitoramento, deverá atualizar manualmente as configurações de origem e de destino para manter a conexão entre as implementações.
Procedimento
1. Na guia Admin, clique em Editor de Implementação.
2. Na área de janela Componentes de Eventos, selecione Origem Externa ou
Destino Externo.
3. Digite um nome exclusivo para a origem externa ou o destino externo. O nome
pode ter até 20 caracteres de comprimento e pode incluir sublinhados ou hifens. Clique em Avançar.
4. Insira os valores para os parâmetros e clique em Concluir.
O nome do host para o campo Insira um nome para o host externo pode