É possível instalar instâncias do software IBM Security QRadar em um servidor em nuvem que é hospedado pelo Amazon Web Service ou SoftLayer. Para estabelecer comunicações seguras entre instâncias on-premises e da nuvem do QRadar, deve-se configurar uma conexão VPN. É possível configurar uma conexão OpenVPN ou usar um outro mecanismo, como uma infraestrutura de VPN de provedor em nuvem.
Importante: Assegure-se de que os requisitos a seguir sejam atendidos para evitar dados de segurança comprometidos:
v Configure uma senha raiz forte.
v Permita somente conexões específicas para as portas 443 (https), 22 (ssh), 10000 (webmin) e 1194 (UDP, TCP for OpenVPN).
Configure o QRadar para a nuvem na ordem a seguir: 1. Instale o QRadar em instâncias da nuvem:
v AWS v SoftLayer
2. Para hosts em nuvem e on-premises, defina a função: v O end point do servidor de um túnel VPN.
v O endpoint do cliente de um túnel VPN.
v O host do membro que roteia o tráfego que é destino ao túnel VPN por meio do endpoint de VPN local.
v Nenhuma, se um host não tiver necessidade de se comunicar com os hosts no outro lado do túnel VPN.
3. Confirme se as configurações de firewall do QRadar protegem sua segurança de rede.
Configurando um host do QRadar no Amazon Web Service
Configure uma conexão segura entre instâncias de on-premesis e instâncias do Amazon Web Services (AWS) do IBM Security QRadar.
Antes de Iniciar
Crie uma instância Amazon EC2 que tenha uma unidade primária para os arquivos de instalação principais do QRadar e uma unidade secundária para o armazenamento de dados. A instância Amazon EC2 também deve atender ou exceder os requisitos do QRadar definidos no IBM Security QRadar SIEM
Installation Guide.
A chave de instância do AWS é necessária para efetuar login na instância com SSH. Atualmente, o XFS não é suportado nas cargas do RedHat 6.5 fornecidas pelo AWS. Use ext4.
Procedimento
1. Usando SSH, efetue login na instância do AWS como o usuário raiz. 2. Determine o dispositivo que você deseja configurar:
a. Insira o comando lsblk para listar detalhes do dispositivo.
b. Localize o dispositivo que não possui partições e possui o armazenamento necessário.
3. Para substituir o nome do dispositivo, digite o comando a seguir: parted -a optimal --script /dev/${device_name} –-
mklabel gpt
4. Para criar essas partições no dispositivo, digite os comandos a seguir:
parted -a optimal --script /dev/${device_name} -- mkpart swap 0 8000 parted -a optimal --script /dev/${device_name} –- mkpart ext4 8001 18000 parted -a optimal --script /dev/${device_name} –- mkpart ext4 18001 28000 parted -a optimal --script /dev/${device_name} –- mkpart ext4 28001 48000 parted -a optimal --script /dev/${device_name} –- mkpart ext4 48001 100%
5. Para criar os sistemas de arquivos a seguir no dispositivo particionado, digite os comandos a seguir:
mkswap -L swap1 /dev/ ${device_name} 1 mkfs.ext4 /dev/${device_name}2
mkfs.ext4 /dev/${device_name}3 mkfs.ext4 /dev/${device_name}4 mkfs.ext4 /dev/${device_name}5
6. Rotule as partições com os nomes a seguir:
e2label /dev/${device_name}2 /var/log e2label /dev/${device_name}3 /store/tmp e2label /dev/${device_name}4 persistent_data e2label /dev/${device_name}5 /store
7. Comente a linha /dev/xvdb /mnt no arquivo /etc/fstab #.
8. Inclua as entradas a seguir no arquivo /etc/fstab:
eval `blkid -t LABEL=/store -o export` ; echo UUID=$UUID $LABEL $TYPE defaults,noatime 1 1 >> /etc/fstab
eval `blkid -t LABEL=/store/tmp -o export` ; echo UUID=$UUID $LABEL $TYPE defaults,noatime 1 1 >> /etc/fstab
eval `blkid -t LABEL=persistent_data -o export` ; echo UUID=$UUID /store/ariel/persistent_data $TYPE defaults,noatime 1 1
>> /etc/fstab eval `blkid -t LABEL=/var/log
-o export` ; echo UUID=$UUID $LABEL $TYPE defaults,noatime 1 1 >> /etc/fstab echo "/dev/iso_name
swap swap defaults 0 0" >> /etc/fstab
9. Para criar e montar o ponto de montagem /store, digite os comandos a seguir: mkdir /store mount /store mkdir /store/tmp mount /store/tmp mkdir -p /store/ariel/persistent_data mount /store/ariel/persistent_data
cd /var; mv log oldlog; mkdir log; mount / var/log; mv oldlog/* log
10. Para permitir a troca entre dispositivos, digite o comando a seguir:
swapon -a
11. Confirme se a linha /etc/sysconfig/i18n contém o descrito a seguir, incluindo as aspas:
LANG="en_US.UTF-8"
scp -i AWS instance key.pem ec2-user@<Public DNS>
13. Para montar a imagem ISO, digite os comandos a seguir:
mkdir /media/cdrom
mount -o loop /home/ec2-user/qradar.iso/media/cdrom
14. Para iniciar o programa de configuração, digite o comando a seguir:
/media/cdrom/setup
O que Fazer Depois
Determine a função de VPN para o host:
v Servidor, consulte “Configurando end points do servdior para instalações em nuvem” na página 32.
v Cliente, consulte “Configurando redes de clientes para instalações em nuvem” na página 33.
v Membro, consulte “Configurando um membro para instalações em nuvem” na página 34.
Configurando um host do QRadar no SoftLayer
Instale o IBM Security QRadar em uma instância do SoftLayer em execução e configure uma conexão segura com instâncias de on-premises.
Antes de Iniciar
Assegure-se de que uma segunda instância do SoftLayer possa acessar a instância do QRadar por meio do endereço IP privado para evitar perder o acesso à sessão de login ssh do QRadar. Se nenhum endereço IP privado estiver disponível, configure uma instância do SoftLayer por hora se nenhuma estiver disponível. Execute as etapas a seguir em um sistema com pelo menos duas unidades e espaço adequado na unidade. Uma unidade primária é necessária para os arquivos de instalação principais do QRadar e uma unidade secundária para o armazenamento de dados. Consulte o IBM Security QRadar SIEM Installation Guide para obter mais informações.
Atualmente, o XFS não é suportado nas cargas do RedHat 6.5 fornecidas pelo SoftLayer. Use ext4.
Sobre Esta Tarefa
O SoftLayer oferece uma variedade de opções de rede, mas é comum que uma instância do SoftLayer seja aprovisionada com duas interfaces: uma tendo um IP na rede privada do SoftLayer e uma tendo um IP público. É possível instalar o QRadar no IP público do SoftLayer, em seguida, usar o suporte NAT do QRadar para usar o IP designado ao host pela VPN como o IP público do QRadar. No entanto, é mais simples e seguro instalar o QRadar no IP privado do SoftLayer, que não requer suporte NAT.
Procedimento
1. Usando SSH, efetue login na instância do SoftLayer como o usuário raiz. 2. Acesse a instância do SoftLayer na qual você deseja instalar o QRadar usando
o IP privado e uma outra instância do SoftLayer que esteja na mesma VLAN. Se outra instância do SoftLayer não estiver disponível, aprovisione uma instância virtual por hora.
3. Em uma segunda instância do SoftLayer na mesma rede privada, edite o arquivo /etc/sysconfig/network para alterar o gateway para o gateway privado. Por exemplo, você alteraria um gateway público de 1.2.3.4 para um gateway privado de 5.6.7.8 e alteraria o valor GATEWAYDEV para eth0, usando o comando a seguir:
GATEWAY=5.6.7.8 GATEWAYDEV=eth0
4. Reinicie o serviço de rede para recarregar as tabelas de roteamento usando o comando a seguir:
service network restart
5. Para montar a imagem ISO do QRadar no servidor SoftLayer, digite os comandos a seguir:
mkdir -p /media/cdrom
mount -o loop qradar.iso /media/cdrom
6. Instale a dependência de mailcap usando o comando a seguir:
rpm --quiet -q mailcap || yum install /media/cdrom/Packages/mailcap-*
7. Para confirmar se as dependências de 32 bits estão instaladas corretamente, digite o comando a seguir:
yum install -y libxml2 libxml2.i686 audit-libs audit-libs.i686 glibc glibc.i686 device-mapper-multipath zlib zlib.i686
8. Desative a rede satélite RHN usando o comando a seguir:
sed -i -e ’s/enabled = 1/enabled = 0/’ /etc/yum/pluginconf.d/rhnplugin.conf
9. Para confirmar se a rede de satélite RHN está desativada, digite o comando a seguir:
grep ’enabled = 0’ /etc/yum/pluginconf.d/rhnplugin.conf
Se o comando gerar saída, a rede de satélite RHN será desativada. 10. Determine o disco para o armazenamento de dados do QRadar:
a. Insira o comando lsblk para listar detalhes do dispositivo.
b. Localize o dispositivo que não possui partições e possui o armazenamento necessário.
11. Para automatizar a renomeação da partição, digite o comando a seguir:
export device_name=/dev/xvdc
12. Renomeie o dispositivo que você deseja particionar usando o comando a seguir:
parted -a optimal --script $device_name -- mklabel gpt
13. Crie novas partições no dispositivo usando os comandos a seguir:
parted -a optimal --script $device_name-- mkpart swap 0 8000
parted -a optimal --script $device_name-- mkpart ext4 8001 18000 parted -a optimal --script $device_name-- mkpart ext4 18001 28000 parted -a optimal --script $device_name-- mkpart ext4 28001 48000 parted -a optimal --script $device_name-- mkpart ext4 48001 100%
14. Crie os sistemas de arquivos usando os comandos a seguir:
mkswap /${device_name}1 mkfs.ext4 /${device_name}2 mkfs.ext4 /${device_name}3 mkfs.ext4 /${device_name}4 mkfs.ext4 /${device_name}5
e2label /device_name2/var/log e2label /device_name3/store/tmp e2label /device_name4/store/ariel/per e2label /device_name5/store
16. Atualize o arquivo /etc/fstab com as informações corretas, incluindo o UUIC para cada partição usando os comandos a seguir:
eval `blkid -t LABEL=/store -o export` ; echo UUID=$UUID $LABEL $TYPE defaults,noatime 1 1 >> /etc/fstab
eval `blkid -t LABEL=/store/tmp -o export` ; echo UUID=$UUID $LABEL $TYPE defaults,noatime 1 1 >> /etc/fstab
eval `blkid -t LABEL=/store/ariel/per -o export` ; echo UUID=$UUID /store/ariel/persistent_data $TYPE defaults,noatime 1 1 >> /etc/fstab eval `blkid -t LABEL=/var/log -o export` ; echo UUID=$UUID
$LABEL $TYPE defaults,noatime 1 1 >> /etc/fstab
eval `blkid /dev/device_name1 -o export` ; echo UUID=$UUID swap swap defaults 0 0 >> /etc/fstab
17. Monte os discos usando os comandos a seguir:
swapon /dev/${device_name}1 mkdir /store mount /store mkdir /store/tmp mount /store/tmp mkdir -p /store/ariel/persistent_data mount /store/ariel/persistent_data
cd /var; mv log oldlog; mkdir log; mount / var/log; mv oldlog/* log
18. Acesse a instância do SoftLayer na qual você deseja instalar o QRadar usando o IP privado e uma outra instância do SoftLayer que esteja na mesma VLAN. Se uma outra instância do SoftLayer não estiver disponível, aprovisione uma instância por hora.
19. Para iniciar a configuração do QRadar, digite o comando a seguir:
/media/cdrom/setup
a. Instale o QRadar usando o gateway de interface privada do SoftLayer como o gateway padrão do QRadar.
Visualize o gateway privado para a instância no painel de controle do SoftLayer.
b. Instale o QRadar usando o IP privado do SoftLayer como o endereço IP privado do QRadar.
20. Restaure o gateway público como o gateway padrão. Se o endereço público alterado era 1.2.3.4, restaure-o editando o arquivo /etc/sysconfig/network com o endereço IP público e alterando o valor GATEWAYDEV para eth1:
GATEWAY=1.2.3.4 GATEWAYDEV=eth1
21. Salve o arquivo e, em seguida, reinicie o serviço de rede para recarregar a tabela de roteamento usando o comando a seguir:
service network restart
22. Se você estiver instalando um console do QRadar no SoftLayer, ative o editor de implementação do QRadar editando o arquivo de console
/store/configservices/staging/globalconfig/nva.confcom o comando a seguir:
DE_PUBLIC_IP=SoftLayer_public_IP
O que Fazer Depois
Determine a função de VPN para o host:
v Servidor, consulte “Configurando end points do servdior para instalações em nuvem”.
v Cliente, consulte “Configurando redes de clientes para instalações em nuvem” na página 33.
v Membro, consulte “Configurando um membro para instalações em nuvem” na página 34.
Configurando end points do servdior para instalações em nuvem
Use o OpenVPN para configurar um end point do servidor quando o console do IBM Security QRadar for on-premesis, com mais nós de processamento e
armazenamento instalados na nuvem.
Sobre Esta Tarefa
Um end point do servidor requer os itens a seguir: v Um arquivo de configuração principal do OpenVPN.
v Instruções de roteamento para cada cliente no arquivo de configuração do servidor.
v Um arquivo de configuração para cada cliente que registra instruções de roteamento para cada cliente que pode se conectar.
v Regras adicionais de iptables que permitem encaminhamento através do túnel. v Encaminhamento de IP ativado no kernel.
v Uma autoridade de certificação (CA) customizada para emitir os certificados que são usados para autenticar servidores e clientes.
v Um certificado do servidor que é emitido pela autoridade de certificação local. Para obter mais informações sobre as opções da ferramenta OpenVPN, insira -h.
Procedimento
1. Para especificar o end point do servidor, digite o comando a seguir para definir o end point do servidor na nuvem.
/opt/qradar/bin/vpntool server server_host_IP_address network_address_behind_VPN
Exemplo:
/opt/qradar/bin/vpntool server 1.2.3.4 5.6.7.8/24
Se sua rede requerer TCP em vez do modo UDP em seus clientes e servidores, digite o comando a seguir com seus endereços IP requeridos:
/opt/qradar/bin/vpntool server server_host_IP_address
network_address_behind_VPN --tcp
Depois que você define o end point do servidor, o VPNtool Server conclui as tarefas a seguir:
v Se a autoridade de certificação local não estiver estabelecida, a autoridade de certificação será inicializada e a chave e o certificado de autoridade de certificação criados.
v A autoridade de certificação local cria uma chave e um certificado para serem usados por esse end point do servidor.
v As propriedades de configuração são gravadas no arquivo de configuração da VPN.
2. Para construir e implementar a configuração, digite o comando a seguir:
Depois de construir e implementar a configuração, o VPNtool Server conclui as tarefas a seguir:
v A configuração do servidor OpenVPN é gerada e copiada para o diretório /etc/openvpn.
v O certificado de autoridade de certificação e a chave e o certificado do servidor são copiados para o local padrão em /etc/openvpn/pki. v As regras de IPtables são construídas e recarregadas.
v O encaminhamento de IP é ativado e tornado persistente atualizando o arquivo /etc/sysctl.conf.
3. Para iniciar o servidor, digite o comando a seguir:
/opt/qradar/bin/enable --now
Inserir /opt/qradar/bin/enable --now cria o estado persistente ativado e inicia automaticamente o OpenVPN na reinicialização do sistema.
Configurando redes de clientes para instalações em nuvem
Em ambientes on premises, use o OpenVPN para configurar uma rede de clientes que se comunica com endpoints que estão na nuvem.
Sobre Esta Tarefa
Um cliente requer os itens a seguir:
v Um arquivo de configuração principal do OpenVPN.
v Regras extras de iptables para permitir encaminhamento através do túnel. v O encaminhamento de IP está ativado no kernel.
v Um certificado de cliente que é emitido pela autoridade de certificação local.
Procedimento
1. No servidor, informe o servidor do novo cliente, digite o comando a seguir:
/opt/qradar/bin/vpntool addclient Console name, role, or IP 1.2.3.4/24
Informar o servidor do cliente inclui as tarefas a seguir:
v O certificado de autoridade de certificação é copiado para um local conhecido.
v A chave e o certificado do cliente do arquivo PKCS#12 são extraídos e copiados para locais conhecidos.
v As propriedades de configuração do cliente são gravadas no arquivo de configuração da VPN.
2. Implemente e reinicie o servidor usando o comando a seguir:
/opt/qradar/bin/vpntool deploy service openvpn restart
3. Copie o arquivo de credenciais do cliente gerado e o arquivo de autoridade de certificação para o host do QRadar que é usado para esse endpoint do cliente. Exemplo:
scp root@ server_IP_address :/opt/qradar/conf
/vpn/pki/ca.crt /root/ca.crtscp root@ server_IP_address :/opt/qradar/conf/vpn/pki/Console.p12 /root/Console.p12
4. No cliente, configure o host como um cliente de VPN:
/opt/qradar/bin/vpntool client server_IP_address ca.crt client.pk12
Se a sua rede requer que o modo UDP não seja configurado em seus clientes e servidores, é possível usar TCP.
/opt/qradar/bin/vpntool client server_IP_address /root/ca.crt /root/Console.p12 --tcp
5. Para construir e implementar a configuração, digite o comando a seguir:
/opt/qradar/bin/vpntool deploy
Construir e implementar a configuração inclui o seguinte
v O arquivo de configuração do OpenVPN do cliente é gerado e copiado no local em /etc/openvpn.
v O certificado de autoridade de certificação e a chave e o certificado de cliente são copiados para os locais padrão em /etc/openvpn/pki.
v Regras de iptables são geradas e carregadas.
v O encaminhamento de IP é ativado e tornado persistente atualizando o arquivo /etc/sysctl.conf.
6. Para iniciar o cliente, insira o comando a seguir:
/opt/qradar/bin/enable --now
Inserir /opt/qradar/bin/enable --now cria o estado persistente ativado e inicia automaticamente o OpenVPN na reinicialização do sistema.
7. Para conectar o cliente por meio de um proxy HTTP, insira o comando a seguir:
/opt/qradar/bin/vpntool client IP Address /root/ca.crt /root/Console.p12 --http-proxy= IP Address:port
v A configuração de proxy está sempre no modo TCP, mesmo se você não inserir TCP no comando.
v Consulte a documentação do OpenVPN para obter as opções de configuração para autenticação de proxy. Inclua estas opções de configuração no arquivo a seguir:
/etc/openvpn/client.conf
Configurando um membro para instalações em nuvem
Use o OpenVPN para estabelecer conexões seguras para hosts do IBM Security QRadar que não são servidores ou clientes.
Procedimento
Para associar um host do QRadar SIEM à VPN local, para que se comunique diretamente com hosts no outro lado do túnel, usando o comando a seguir:
/opt/qradar/bin/vpntool join local_host_IP_address remote host IP address /opt/qradar/bin/vpntool deploy