IBM Security QRadar Versão Guia de Hardware IBM

(1)

IBM Security QRadar

Versão 7.2.8

Guia de Hardware

(2)

Nota

(3)

Índice

Sobre este Guia . . . v

Capítulo 1. O que há de novo para instaladores de hardware no QRadar V7.2.8 . . . 1

Capítulo 2. Cenários de migração do hardware QRadar SIEM . . . 3

Substituindo um host gerenciado do QRadar . . . 3

Substituindo um QRadar Console por um dispositivo que use o mesmo endereço IP . . . 5

Substituindo um QRadar Console por um dispositivo que use um novo endereço IP . . . 9

Capítulo 3. QRadar Visão geral do dispositivo M3 . . . 13

QRadar QFlow Collector 1201 . . . 13

QRadar Event Collector 1501 . . . 15

QRadar Event Processor 1605 . . . 16

QRadar Flow Processor 1705 . . . 17

QRadar 1805 . . . 18 QRadar 2100 . . . 19 QRadar 3105 (All-in-One). . . 19 QRadar 3105 (Console) . . . 20 QRadar 3124 (All-in-One). . . 20 QRadar 3124 (Console) . . . 21

QRadar Log Manager 1605 . . . 21

QRadar Log Manager 3105 (All-in-One) . . . 23

QRadar Log Manager 3105 Console . . . 24

QRadar Vulnerability Manager . . . 25

QRadar Risk Manager . . . 26

Capítulo 4. QRadar Visão geral do dispositivo M4 . . . 27

QRadar QFlow Collector 1202-C/1301-C. . . 28

QRadar QFlow Collector 1310 SR-C/LR-C . . . 30

QRadar 1400 Data Node . . . 31

QRadar 1400-C Data Node . . . 32

IBM Security QRadar Event Processor 1628-C . . . 35

QRadar Flow Processor 1728-C . . . 37

QRadar 1805 . . . 37

QRadar Flow Processor 1828-C . . . 39

(4)

QRadar 2100 . . . 40 QRadar 3105 (All-in-One). . . 40 QRadar 3105 (Console) . . . 41 QRadar 3128 (All-in-One). . . 41 QRadar 3128-C (All-in-One) . . . 42 QRadar 3128 (Console) . . . 43 QRadar 3128-C (Console) . . . 43

QRadar Log Manager 1628-C . . . 45

QRadar Log Manager 3128-C (All-in-One) . . . 49

QRadar Log Manager 3128 (Console) . . . 49

QRadar Log Manager 3128-C (Console) . . . 50

QRadar Vulnerability Manager . . . 50

QRadar Risk Manager . . . 51

QRadar Incident Forensics . . . 52

QRadar Packet Capture . . . 52

Capítulo 5. Visão geral do dispositivo QRadar M5 . . . 53

QRadar xx05 . . . 53

QRadar Incident Forensics . . . 57

QRadar Network Packet Capture . . . 57

QRadar Network Insights . . . 58

Capítulo 6. Diagramas do dispositivo

. . . 61

Módulo de Gerenciamento Integrado . . . 61

M3 QRadar 2100, Coletor de Eventos QRadar 1501, e todos os dispositivos Processadores de Fluxo QRadar . . . 61

Consoles e processadores QRadar M3 . . . 61

M4 QRadar 2100, QRadar Coletor de Eventos 1501, e todos os QRadar Dispositivos do processador de fluxo. . . 62

Consoles, processadores e nós de dados do QRadar M4 . . . 63

M5 QRadar Event Collector 1501 . . . 63

Dispositivos QRadar xx28-C . . . 64

QRadar Core Appliance QFlow Collectors . . . 65

QRadar xx29, xx48, Network PCAP, Network Insights e Incident Forensics . . . 65

Avisos . . . 67

Marcas comerciais . . . 69

Termos e condições para a documentação do produto . . . 69

(5)

Sobre este Guia

O Guia de Hardware do IBM®Security QRadar SIEM oferece descrições, diagramas e especificações do dispositivo QRadar.

Público-alvo

Este guia destina-se a todos os usuários QRadar SIEM responsáveis pela

investigação e gerenciamento de segurança de rede. Este guia presume que você tenha acesso ao QRadar SIEM e um conhecimento de sua rede corporativa e das tecnologias de rede.

Documentação técnica

Para obter informações sobre como acessar a documentação mais técnica, notas técnicas e notas sobre a liberação, consulte Nota Técnica de Documentação do IBM Security (http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861).

Entrando em contato com o suporte ao cliente

Para obter informações sobre como entrar em contato com o suporte ao cliente, consulte Nota técnica de suporte e download (http://www.ibm.com/support/ docview.wss?uid=swg21616144).

Declaração de boas práticas de segurança

A segurança do sistema de TI envolve a proteção de sistemas e as informações através da prevenção, detecção e resposta para acesso incorreto de dentro e fora de sua empresa. O acesso incorreto pode resultar em alteração, destruição,

desapropriação ou mal uso de informações ou pode resultar em danos ou mau uso dos sistemas, incluindo seu uso em ataques a outros sistemas. Nenhum produto ou sistema de TI deve ser considerado completamente seguro e nenhum produto, serviço ou medida de segurança individual pode ser completamente eficaz na prevenção do acesso ou uso impróprio. AIBM sistemas, produtos e serviços são projetados para fazerem parte de uma abordagem de segurança abrangente legal, que envolverá necessariamente procedimentos operacionais adicionais, podendo requerer outros sistemas, produtos ou serviços para que sejam mais eficientes. A IBM NÃO GARANTE QUE OS SISTEMAS, PRODUTOS OU SERVIÇOS ESTEJAM IMUNES OU TORNAM A SUA EMPRESA IMUNE CONTRA CONDUTA

MALICIOSA OU ILEGAL DE QUALQUER PESSOA.

Observe que:

O uso desse programa pode implicar em várias leis ou regulamentações, incluindo aquelas relacionadas à privacidade, proteção de dados, emprego, e armazenamento e comunicações eletrônicas. O IBM Security QRadar pode ser usado apenas para propósitos legais e de maneira legal. O cliente concorda em usar este Programa de acordo com leis, regulamentos e políticas e assume toda a responsabilidade pelo seu cumprimento. O licenciado declara que obterá ou obteve quaisquer

consentimentos, permissões ou licenças necessárias para permitir o uso legal do IBM Security QRadar.

(6)

(7)

Capítulo 1. O que há de novo para instaladores de hardware

no QRadar V7.2.8

O IBM Security QRadar V7.2.8 apresenta um novo dispositivo Event Collector, um dispositivo dedicado a incidentes forenses, três novos dispositivos de alto

desempenho, um dispositivo de captura de pacote de rede e um dispositivo que reconstrói sessões de rede em tempo real, fornecendo visibilidade de ameaça mais detalhada.

QRadar Event Collector 1501

O dispositivo IBM Security QRadar Event Collector 1501 (MTM 4412-Q4D) é um coletor de eventos dedicado. Por padrão, um coletor de eventos dedicado coleta e analisa eventos de diversas fontes de log e encaminha continuamente esses eventos a um processador de eventos.

Saiba mais sobre o dispositivo QRadar Event Collector 1501.

QRadar Incident Forensics

O dispositivo Dispositivo IBM®_QRadar®_{Incident Forensics (MTM 4412-F1A)} permite rastrear novamente as ações passo a passo de um potencial invasor e realizar de modo rápido e fácil uma investigação forense aprofundada de incidentes de segurança de rede maliciosos e suspeitos.

Saiba mais sobre o dispositivo QRadar Incident Forensics.

QRadar xx05

O dispositivo IBM Security QRadar xx05 (MTM 4412-Q1E) é a versão M5 de qualquer dispositivo xx05. Por exemplo, é possível usar o QRadar xx05 com um QRadar Event Processor 1605, um QRadar Flow Processor 1705, um QRadar 3105 (All-in-One) e assim por diante.

Saiba mais sobre os dispositivos QRadar xx05.

QRadar xx29

O dispositivo IBM Security QRadar xx29 (MTM 4412-Q2A) é a versão M5 de qualquer dispositivo xx28. Por exemplo, é possível usar o QRadar xx29 com um QRadar Event Processor 1629, um QRadar Flow Processor 1729, um QRadar 3129 (All-in-One) e assim por diante.

QRadar xx48

O IBM Security QRadar xx48 (MTM 4412-Q3B) captura volumes de tráfego maiores para clientes corporativos que requerem níveis mais altos de desempenho. Com o processamento de dados mais rápido, a disponibilidade mais rápida dos dados

(8)

para procura e análise e a capacidade de suportar mais dispositivos ativados por IP, do QRadar xx48, você usa menos dispositivos, economizando espaço do rack.

QRadar Network Packet Capture

O IBM Security QRadar Network Packet Capture (MTM 4412-F2C) fornece mais capacidade de armazenamento para permitir que os usuários armazenem mais dados de pacote por um período de tempo mais longo e desempenho melhorado. O dispositivo QRadar Network Packet Capture também fornece mais portas de captura e flexibilidade de configuração extra para suportar uma ampla variedade de opções de implementação.

Saiba mais sobre o dispositivo QRadar Network Packet Capture.

QRadar Network Insights

O dispositivo IBM Security QRadar Network Insights (MTM 4412-F3F) pode fornecer análise detalhada de fluxos de rede para ampliar os recursos de detecção do QRadar. O QRadar Network Insights reconstrói sessões de rede em tempo real, reunindo indicadores de alto valor e analisando metadados e conteúdo .

(9)

Capítulo 2. Cenários de migração do hardware QRadar SIEM

Se o seu hardware atingir o término de vida, se você requerer upgrade de capacidade de processamento ou se estiver consolidando um hardware existente, planeje migrar os dados de dispositivos IBM Security QRadar SIEM mais antigos para novos dispositivos QRadar.

Você tem várias opções ao migrar:

v “Substituindo um host gerenciado do QRadar”

v “Substituindo um QRadar Console por um dispositivo que use o mesmo endereço IP” na página 5

v “Substituindo um QRadar Console por um dispositivo que use um novo endereço IP” na página 9

Substituindo um host gerenciado do QRadar

Migre dados de um dispositivo de host gerenciado do QRadar mais antigo (16xx, 17xx ou 18xx) para um hardware mais recente. Siga este processo para dispositivos não HA.

Antes de Iniciar

Assegure-se de que as seguintes condições sejam atendidas:

v Você registrou as informações de rede para o dispositivo antigo, porque deve-se digitar manualmente essas informações na configuração de rede para o novo dispositivo.

v A versão do software do novo dispositivo corresponde à versão de software do QRadar Console. Pode ser necessário reinstalar uma imagem ISO para o dispositivo para fazer downgrade ou usar um fix pack do SFS para fazer upgrade.

v Você configurou backups de dados para evitar perda de dados potenciais durante a migração.

Sobre Esta Tarefa

Durante a migração, o endereço IP do dispositivo antigo é designado ao novo hardware. O novo hardware é incluído na implementação e, então, você move os dados enquanto novos eventos são coletados por meio da rede.

Procedimento

1. Prepare seu novo hardware:

a. Monte o dispositivo em rack e conecte as conexões de rede.

b. Revise a documentação para seu dispositivo para determinar qual versão do QRadar está instalada no novo hardware.

2. Revise sua versão de software.

a. Se a sua versão de correção do Console for mais recente que o software no dispositivo, faça download e instale o SFS (correção de software) por meio do Fix Central (www.ibm.com/support/fixcentral/).

b. Siga o assistente de instalação para concluir a instalação.

(10)

c. Digite uma senha raiz para o dispositivo.

d. Digite um endereço IP provisório e informações de rede para o novo hardware.

e. Efetue login como usuário raiz e selecione o tipo de dispositivo.

f. Se a sua versão do Console for mais antiga que o software no novo hardware, faça download do arquivo ISO que corresponda à versão do Console por meio do IBM Fix Central para reinstalar (fazer downgrade) o dispositivo.

3. Remova o dispositivo antigo da implementação.

a. Efetue login no QRadar como administrador.

b. Clique na guia Administrador e clique no ícone Gerenciamento de sistema

e licença.

c. No menu Exibir, clique em Sistemas e, em seguida, selecione o dispositivo QRadar antigo.

d. Clique em Ações de implementação > Remover host.

e. Quando solicitado, clique em Remover para confirmar a remoção da implementação do host.

Atenção: Não exclua os componentes para o Event Collector e o Event Processor, pois esses componentes são reutilizados.

4. Redesigne os endereços IP para assegurar que o dispositivo desatribuído não cause um conflito de endereço IP na rede após ele ser ligado novamente.

a. Para redesignar o endereço IP do dispositivo antigo para qualquer endereço não usado:

1) Use o IMM (Módulo de Gerenciamento Integrado) para acesso remoto ou use o teclado do Console local para efetuar login na linha de comandos do dispositivo antigo como usuário raiz.

2) Redesigne o endereço IP do dispositivo antigo digitando o comando a seguir:

/opt/qradar/bin/qchange_netsetup

b. Configure o endereço IP para o novo hardware:

1) Use o IMM para acesso remoto ou use o teclado do Console local para efetuar login na linha de comandos do novo dispositivo como usuário raiz.

2) Na linha de comandos do novo dispositivo, digite /opt/qradar/bin/ qchange_netsetuppara usar o mesmo nome do host e endereço IP que o dispositivo antigo.

Se você desejar migrar dados antigos para o novo sistema, deixe o sistema existente em execução e conectado à rede. Os dados serão movidos quando o novo dispositivo estiver em execução e coletando dados.

5. Inclua o novo dispositivo na implementação

a. Efetue login no QRadar como administrador.

b. Clique na guia Administrador e clique no ícone Gerenciamento de sistema

e licença.

c. Clique em Ações de implementação > Incluir host.

d. Se for solicitado para incluir componentes antigos da implementação para o host, clique em Sim. Quaisquer componentes de implementação que estavam no dispositivo antigo são reassociados a esse host para que quaisquer origens baseadas em protocolo sejam ativadas e migradas

(11)

f. Na guia Administrador, clique no ícone Implementar mudanças.

g. Verifique se as origens de evento ou de fluxo que estavam relatando para o host original estão sendo processadas na interface com o usuário do

QRadar.

Depois que você incluir o host novamente na implementação do QRadar, o processo de implementação assegurará que a configuração necessária seja regenerada no novo dispositivo. Depois que o novo host fizer parte da implementação, será possível usar o acesso SSH apenas por meio do Console.

6. Para copiar dados do dispositivo antigo, encerre o firewall do host no novo dispositivo digitando o comando systemctl stop iptables.

7. Copie os certificados e os pares de chaves gerados por customização do

dispositivo antigo para o novo dispositivo para assegurar que as origens de log e os scanners possam se conectar às origens remotas.

Deve-se migrar também quaisquer chaves privadas geradas por customização que você possui, transferindo os diretórios /etc/ssh e /root/.ssh.

a. Efetue login no host gerenciado do QRadar antigo como usuário raiz.

b. Copie os dados do hardware antigo para o novo dispositivo usando o comando rsync como em um dos exemplos a seguir:

Use este exemplo para certificados:

Exemplo: rsync -avz /opt/qradar/conf/trusted_certificates/ root@new_appliance:/opt/qradar/conf/trusted_certificates

Use estes exemplos para SSH:

Exemplo 1: rsync -avz /etc/ssh/ root@new_appliance:/etc/ssh Exemplo 2: rsync -avz /root/.ssh/ root@new_appliance:/root/.ssh

8. Transfira os dados de evento e de fluxo para o novo dispositivo.

É possível usar rsync ou SCP para concluir a transferência de dados. Esses comandos podem requerer que o usuário raiz aceite as chaves SSH e forneça a senha raiz para o servidor de destino. O comprimento desse processo depende de quantos dados precisam ser transferidos.

a. Efetue login no dispositivo QRadar antigo como usuário raiz.

b. Copie os dados do dispositivo antigo para o novo dispositivo (servidor de destino) usando o comando rsync, como no exemplo a seguir:

rsync -avz /store/ariel/ root@new_appliance:/store/ariel

9. Digite o comando systemctl start iptables após a migração da configuração e dos dados ser concluída.

O que Fazer Depois

Após a transferência de dados ser concluída, desatribua o dispositivo antigo e retire o hardware obsoleto.

Substituindo um QRadar Console por um dispositivo que use o

mesmo endereço IP

Migre dados de um QRadar Console mais antigo para um novo dispositivo do Console que use o mesmo endereço IP. Todos os dispositivos do host gerenciado permanecem no estado em que se encontram. Use esse processo para dispositivos não HA.

Antes de Iniciar

Deve-se concluir uma instalação do QRadar no novo Console com uma versão de software correspondente à do Console antigo. A instalação do novo dispositivo usa

(12)

um endereço IP provisório até que o hardware antigo seja removido da implementação.

Sobre Esta Tarefa

Não é necessário remover os hosts gerenciados do QRadar Console antigo porque o novo QRadar Console assume quaisquer hosts existentes na implementação. Esse procedimento permite que os hosts gerenciados na implementação continuem recebendo eventos enquanto o Console está off-line.

Procedimento

2. Revise sua versão de software.

a. Se a sua versão do Console for mais antiga que o software no novo hardware, faça download do arquivo ISO que corresponda à versão do Console por meio do IBM Fix Central para reinstalar (fazer downgrade) o dispositivo.

b. Efetue login como um usuário raiz e selecione o tipo de dispositivo.

c. Digite um endereço IP provisório e informações de rede para o novo hardware.

d. Digite uma senha raiz para o dispositivo.

e. Siga o assistente de instalação para concluir a instalação.

f. Se a sua versão de correção do Console for mais recente que o software no dispositivo, faça download e instale o SFS (correção de software) por meio do Fix Central (www.ibm.com/support/fixcentral/).

3. Prepare seu hardware do QRadar antigo.

a. Efetue login no dispositivo do Console antigo.

b. Clique na guia Administrador e, em seguida, clique no ícone Backup e

recuperação.

c. No menu de navegação, clique em Backup sob demanda.

Importante: Os backups de configuração somente podem ser restaurados para a mesma versão do QRadar com a qual eles foram criados. Caso planeje mudar a versão geral do QRadar na implementação, deve-se criar um novo backup de configuração após qualquer mudança de software e manter esses arquivos em um local seguro para sua migração de hardware. A movimentação de um Console menor para um dispositivo maior ou mais recente é suportada pelo processo de migração ou backup. Por exemplo, o backup de configuração de um Console 3105 pode ser aplicado a um dispositivo 3128 ou 3148.

d. Digite um nome e uma descrição para o novo backup de configuração.

e. Clique em Executar backup e aguarde o backup de configuração ser concluído.

f. Depois que o backup for concluído, clique no novo nome do backup de configuração que você criou para fazer download do arquivo.

(13)

Um arquivo de backup de configuração é criado para ser usado pelo novo Console. Esse arquivo será necessário posteriormente no procedimento para restaurar usuários, regras, origens de log, ofensas, relatórios, configurações de administrador e outras configurações do sistema para o novo hardware.

4. Redesigne os endereços IP no QRadar Console antigo.

Esse processo é feito manualmente ajustando o arquivo de configuração de rede diretamente, em vez de usar o comando qchange_netsetup. É possível usar esse método para mudar o endereço IP físico do sistema para evitar conflitos. Se a restauração do backup não for concluída no novo sistema, será possível reverter facilmente para o endereço antigo. Após o endereço IP ser mudado no console existente, ele não poderá afetar nenhuma mudança nos outros hosts na implementação, a menos que o endereço IP seja revertido.

Nota: Conclua esta tarefa usando o IMM ou um teclado físico para evitar problemas de conexão e de bloqueio de acesso. Se você estiver acostumado a editar arquivos de configuração de rede no Linux, será possível usar SSH e o comando screen. Usar uma sessão SSH direta com systemctl restart network resulta na perda de conectividade de rede e causa problemas com a mudança de endereço e a reinicialização do serviço.

a. Use o IMM para acesso remoto ou o teclado do Console local para efetuar login na linha de comandos do dispositivo antigo como usuário raiz.

b. Verifique qual interface de rede é a interface de gerenciamento digitando o comando a seguir: cat /etc/management_interface

c. Mude o diretório para /etc/sysconfig/network-scripts/.

d. Abra o arquivo ifcfg- <name>, conforme listado no arquivo /etc/management_interface.

e. Mude o endereço IP para um intervalo não usado ou desatribuído editando a linha IPADDR=.

f. Salve as alterações no arquivo.

g. Dependendo se você precisar migrar dados do Console existente, desligue o sistema ou digite systemctl restart network para reiniciar a rede. Reiniciar os serviços de rede alterna o endereço IP para aquele inserido

anteriormente, liberando o endereço IP antigo para ser usado no novo console. Se qualquer um dos processos do QRadar no sistema resultar em erros, o QRadar operará normalmente se você alternar o endereço IP novamente mais tarde. Não retire o hardware antigo porque os dados ainda existem no dispositivo antigo e esses dados devem ser transferidos para o novo dispositivo.

5. Configure endereços IP no novo dispositivo QRadar Console.

a. Use o IMM para acesso remoto ou o teclado do Console local para efetuar login na linha de comandos do novo dispositivo como usuário raiz.

b. Mude o endereço IP digitando o comando a seguir: /opt/qradar/bin/ qchange_netsetup.

c. Use o Assistente de configuração para mudar o endereço IP do sistema para o endereço IP do Console antigo.

d. Salve e saia do Assistente para concluir a mudança de endereço.

a. Efetue login no host gerenciado antigo do QRadar como usuário raiz. Capítulo 2. Cenários de migração do hardware QRadar SIEM

7

(14)

b. Copie os dados do hardware antigo para o novo dispositivo usando o rsync como nos exemplos a seguir:

Exemplo: rsync -avz /opt/qradar/conf/trusted_certificates/ root@new_appliance:/opt/qradar/trusted_certificates/

Exemplo 1: rsync -avz /etc/ssh/ root@new_appliance:/etc/ssh Exemplo 2: rsync -avz /root/.ssh/ root@new_appliance:/root/.ssh

c. Aguarde a transferência ser concluída.

d. Se você estiver usando certificados SSL customizados:

1) Copie o certificado ou o certificado intermediário do diretório /etc/httpd/conf/certs do Console antigo.

2) Instale o certificado SSL no novo Console usando /opt/qradr/bin/ install_ssl_cert.sh -i e siga as instruções.

O certificado necessário e os arquivos de chave SSH são transferidos para o novo hardware. Agora é possível migrar dados de evento e de fluxo do dispositivo antigo para o novo hardware.

7. Restaure a configuração de backup para o novo dispositivo QRadar Console.

a. Usando SCP, copie o arquivo de backup de configuração que foi transferido por download anteriormente para /store/backupHost/inbound/ do novo Console.

b. Efetue login no QRadar Console como administrador.

c. Clique na guia Administrador e selecione o ícone Backup e recuperação.

d. Selecione o backup de configuração que você copiou para o Console e clique em Restaurar.

e. Na lista de opções de restauração, clique em Selecionar todos os itens de

configuração.

f. Na lista de opções de restauração, clique em Selecionar todos os itens de

dados.

g. Clique em Restaurar para iniciar o processo de restauração da configuração. O processo de restauração pode demorar um pouco para ser concluído.

h. Após o processo de restauração ser concluído, efetue login na interface com o usuário do QRadar.

i. Na guia Administrador, clique em Avançado> > Implementar configuração

integral.

j. Verifique se as origens de evento ou de fluxo que estavam relatando para o host original estão sendo processadas na interface com o usuário do QRadar. Após o host ser incluído novamente na implementação do QRadar, o processo de implementação assegurará que a configuração necessária seja regenerada no novo dispositivo. Verifique se os dados de origem de log estão sendo puxados e se os dados de fluxo estão sendo recebidos pelo novo hardware. Quaisquer origens de log que não estiverem coletando dados poderão requerer que os certificados sejam movidos para o novo host.

8. Transfira os dados de evento e de fluxo para o novo hardware.

É possível usar o comando rsync ou SCP para concluir a transferência de dados. Esses comandos podem requerer que o usuário raiz aceite as chaves SSH e forneça a senha raiz para o servidor de destino. O comprimento desse processo depende de quantos dados precisam ser transferidos.

(15)

Exemplo: rsync -avz /store/ariel/ root@new_appliance:/store/ariel

Resultados

Após a transferência de dados ser concluída, você talvez deseje manter o console antigo disponível no caso de reverter para o dispositivo antigo. Caso contrário, após uma semana ou duas, o Console antigo não será mais necessário e poderá ser desatribuído ou reaproveitado para outros usos.

Substituindo um QRadar Console por um dispositivo que use um novo

endereço IP

Migre dados de um QRadar Console mais antigo para um novo dispositivo do Console que use um novo endereço IP. Todos os dispositivos do host gerenciado permanecem no estado em que se encontram. Use esse processo para dispositivos não HA.

Antes de Iniciar

Deve-se concluir uma instalação do QRadar no novo Console com uma versão de software correspondente à do Console antigo.

Sobre Esta Tarefa

Você não precisa remover os hosts gerenciados do QRadar Console antigo porque o novo QRadar Console assume quaisquer hosts existentes na implementação. Esse procedimento permite que os hosts gerenciados na implementação continuem recebendo eventos enquanto o Console está off-line.

Procedimento

c. Se a sua versão do Console for mais antiga que o software no novo hardware, faça download do arquivo ISO que corresponda à versão do Console por meio do IBM Fix Central para reinstalar (fazer downgrade) o dispositivo.

d. Efetue login como um usuário raiz e selecione o tipo de dispositivo.

e. Digite um novo endereço IP e informações de rede para o novo hardware.

f. Digite uma senha raiz para o dispositivo.

g. Siga o assistente de instalação para concluir a instalação.

h. Se a sua versão de correção do Console for mais recente que o software no dispositivo, faça download e instale o SFS (correção de software) por meio do Fix Central (www.ibm.com/support/fixcentral/).

2. Prepare seu hardware do QRadar antigo.

a. Efetue login no Console antigo.

b. Clique na guia Administrador e, em seguida, clique no ícone Backup e

recuperação.

c. No menu de navegação, clique em Backup sob demanda.

(16)

Importante: Os backups somente de configuração podem ser restaurados para a mesma versão do QRadar com a qual eles foram criados. Caso planeje mudar a versão geral do QRadar na implementação, deve-se criar um novo backup de configuração após quaisquer mudanças de software e manter esses arquivos em um local seguro para sua migração de hardware. A movimentação de um Console menor para um dispositivo maior ou mais recente é suportada. Por exemplo, o backup de configuração de um Console 3105 pode ser aplicado a um dispositivo 3128 ou 3148.

d. Digite um nome e uma descrição para o novo backup de configuração.

e. Clique em Executar backup e aguarde o backup de configuração ser concluído.

f. Depois que o backup for concluído, clique no novo nome do backup de configuração que você criou para fazer download do arquivo.

g. Copie o backup de configuração do QRadar Console antigo para um local seguro.

Um arquivo de backup de configuração é criado para ser usado pelo novo Console. Esse arquivo será necessário posteriormente no procedimento para restaurar usuários, regras, origens de log, ofensas, relatórios, configurações de administrador e outras configurações do sistema para o novo hardware.

a. Efetue login no host gerenciado antigo do QRadar como usuário raiz.

b. Copie os dados do hardware antigo para o novo dispositivo usando o comando rsync como nos exemplos a seguir:

Exemplo: rsync -avz /opt/qradar/conf/trusted_certificates/ root@targetserver:/opt/qradar/conf/trusted_certificates/

Exemplo 1: rsync -avz /etc/ssh/ root@targetserver:/etc/.ssh Exemplo 2: rsync -avz /root/.ssh/ root@targetserver:/root

c. Aguarde a transferência ser concluída.

d. Se você usar certificados SSL customizados, execute as etapas a seguir:

1) Copie o certificado ou o certificado intermediário do diretório /etc/httpd/conf/certs do Console antigo.

2) No novo Console, instale o certificado SSL usando /opt/qradr/bin/ install_ssl_cert.sh -i e siga as instruções na tela.

O certificado necessário e os arquivos de chave SSH são transferidos para o host gerenciado. Agora é possível migrar dados de evento e de fluxo do dispositivo antigo para o novo hardware.

4. Restaure a configuração de backup para o novo dispositivo QRadar Console.

a. Usando SCP, copie o arquivo de backup de configuração que foi transferido por download anteriormente para /store/backuphost/inbound/ no novo Console.

b. Usando SSH, efetue login no QRadar Console antigo como usuário raiz.

c. Para parar o IPtables em todos os hosts, digite o comando a seguir: /opt/qradar/support/all_servers.sh "systemctl stop iptables".

(17)

e. Clique na guia Administrador e, em seguida, clique no ícone Backup e

recuperação.

f. Selecione o backup de configuração que você copiou para o Console e clique em Restaurar.

g. Na lista de opções de restauração, clique em Selecionar todos os itens de

configuração.

h. Na lista de opções de restauração, clique em Selecionar todos os itens de

dados.

i. Clique em Restaurar para iniciar o processo de restauração da configuração.

j. Após o processo de restauração ser concluído, clique na guia Administrador.

k. Selecione Avançado > Implementar configuração integral.

l. Aguarde as mudanças implementadas serem concluídas.

m. Para iniciar o IPtables em todos os hosts, digite o comando a seguir: /opt/qradar/support/all_servers.sh "systemctl start iptables".

n. Verifique se as origens de evento ou de fluxo que estavam relatando para o host original estão sendo processadas na interface com o usuário do

QRadar.

Após o host ser incluído novamente na implementação do QRadar, o processo de implementação assegurará que a configuração necessária seja regenerada no novo dispositivo. Verifique se os dados de origem de log estão sendo puxados e se os dados de fluxo estão sendo recebidos pelo novo hardware. Quaisquer origens de log que não estiverem coletando dados poderão requerer que os certificados sejam movidos para o novo host.

5. Transfira os dados de evento e de fluxo para o novo hardware.

É possível usar rsync ou SCP para concluir a transferência de dados. Esses comandos podem requerer que o usuário raiz aceite as chaves SSH e forneça a senha raiz para o servidor de destino. O comprimento desse processo depende de quantos dados precisam ser transferidos.

a. Efetue login no QRadar Console antigo como usuário raiz.

b. Copie os dados do hardware antigo para o novo dispositivo (targetserver) usando o comando rsync, como no exemplo a seguir:

Exemplo: rsync -avz /store/ariel/ root@new_appliance:/store/ariel

O que Fazer Depois

Após a transferência de dados ser concluída, você talvez deseje manter o Console antigo disponível no caso de haver necessidade de reverter para o dispositivo antigo. Caso contrário, após uma semana ou duas, o Console antigo não será mais necessário e poderá ser desatribuído ou reaproveitado para outros usos.

Para verificar se sua migração foi bem-sucedida, efetue login como administrador, clique na guia Atividade de log e execute uma procura para ver se os eventos estão fluindo. Em seguida, clique na guia Atividade de rede e execute uma procura para ver se os fluxos estão sendo processados.

(18)

(19)

Capítulo 3. QRadar Visão geral do dispositivo M3

Revise as informações sobre o IBM Security QRadar para entender os requisitos de hardware e de licença.

QRadar QFlow Collector 1201

O dispositivo IBM QRadar QFlow Collector 1201 (MTM 4378-QC1) oferece uma coleção de dados de aplicativo de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1201 também oferece suporte a fontes de dados baseadas em fluxo.

Visualize informações e requisitos de hardware para o QRadar QFlow Collector 1201 na tabela a seguir:

Tabela 1. QRadar QFlow Collector 1201

Descrição Valor

Tráfego de rede 200 Mbps Interfaces

Seis interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento

do NT 6 GB

Armazena- mento 146 GB Fornecimento de

energia

Fonte de alimentação redundante dual de 460W CA Dimensões 28" P x 17,3" L x 1,69" A

Componentes incluídos

QRadar QFlow Collector 1201

QRadar QFlow Collector 1202

O dispositivo IBM QRadar QFlow Collector 1202 (MTM 4378-QC2) oferece uma coleção de dados de aplicativos de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1202 também oferece suporte a fontes de dados externas baseadas em fluxo.

Tráfego de rede 2 Gbps Interfaces

Quatro interfaces de monitoramento de rede 10/100/1000 Base-T Um conector de Ethernet de gerenciamento de sistemas

do NT 6 GB

Armazena- mento 146 GB

(20)

Tabela 2. QRadar QFlow Collector 1202 (continuação) Descrição Valor Fornecimento de energia Redundante dual de 460W CA Dimensões 28" P x 17,3" L x 1,69" A Componentes incluídos

Adaptador de rede NT4E-STD Napatech

QRadar QFlow Collector 1301

O dispositivo IBM QRadar QFlow Collector 1301 (MTM 4378-QD1) oferece uma coleção de dados de aplicativos de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1301 também oferece suporte a fontes de dados externas baseadas em fluxo.

Tráfego de rede 2 Gbps Interfaces

do NT 6 GB

energia

QRadar QFlow Collector 1310

O dispositivo IBM QRadar QFlow Collector 1310, -SR (MTM 4378-QSR) ou -LR (MTM 4378-QLR) oferece uma coleção de dados de aplicativos de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1310 também oferece suporte a fontes de dados baseadas em fluxo. Visualize informações e requisitos de hardware para o QRadar QFlow Collector 1310 na tabela a seguir:

(21)

Tabela 4. QRadar QFlow Collector 1310 (continuação)

Interfaces

Dois 10 Gbps XFP

Um conector de Ethernet de gerenciamento de sistemas

do NT 8 GB

energia

QRadar QFlow Collector 1310 Adaptador de Rede NT20E Napatech

QRadar Event Collector 1501

O dispositivo IBM Security QRadar Event Collector 1501 (MTM 4378-Q21) é um coletor de eventos dedicado. Por padrão, um coletor de eventos dedicado coleta e analisa eventos de diversas fontes de log e encaminha continuamente esses eventos a um processador de eventos. É possível configurar o dispositivo QRadar Event Collector 1501 para armazenar temporariamente os eventos e somente encaminhar os eventos armazenados de acordo com um planejamento. Um coletor de eventos dedicado não processa os eventos e não inclui um processador de eventos

integrado.

Visualize as informações e requisitos de hardware para o QRadar Event Collector 1501 na tabela a seguir:

Tabela 5. QRadar Event Collector 1501

Descrição Valor Eventos por segundo 2500 EPS Fontes de log 750 Interfaces

Seis interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T

do NT 24 GB

Armazena- mento Armazenamento dedicado de 1,3 TB Fornecimento de

energia

Componentes

incluídos QRadar Event Collector 1501

(22)

QRadar Event Processor 1605

O dispositivo IBM Security QRadar Event Processor 1605 (MTM 4379-Q05) é um processador de eventos dedicado com o qual é possível escalar a implementação do QRadar para gerenciar taxas de EPS mais altas. O dispositivo QRadar Event Processor 1605 inclui um coletor de eventos integrado, um processador de eventos e armazenamento interno para eventos.

O QRadar Event Processor 1605 é um dispositivo processador de eventos distribuído e requer uma conexão a um dispositivo QRadar 3105 (Console) ou QRadar 3124 (Console).

Visualize informações e requisitos de hardware para o QRadar Event Processor 1605 na tabela a seguir:

Tabela 6. QRadar Event Processor 1605

Licença básica 2.500 EPS Licença atualizada Até 20.000 EPS

Interfaces Quatro interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T

do NT 48 GB

Armazena- mento Armazenamento de evento dedicado de 6,2 TB ou mais Fornecimento de

energia

Fonte de alimentação redundante dual de 675W CA Dimensões 29,5" P x 19,2" L x 3,4" A

Coletor de Eventos, Processador de Eventos

QRadar Event Processor 1624

O dispositivo IBM Security QRadar Event Processor 1624 (MTM 4379-Q24) é um processador de eventos dedicado que pode ser usado para escalar sua

implementação do QRadar para gerenciar taxas de EPS mais altas. O dispositivo QRadar Event Processor 1624 inclui um coletor de eventos integrado, um processador de eventos e armazenamento interno para eventos.

O QRadar Event Processor 1624 é um dispositivo processador de eventos distribuído e requer conexão com um dispositivo de Console do IBM Security QRadar 3124 (Console) (MTM 4379-Q24).

Visualize informações e requisitos de hardware para o QRadar Event Processor 1624 na tabela a seguir:

Tabela 7. QRadar Event Processor 1624 Visão geral do Processador de Eventos

Licença básica 2.500 EPS Licença atualizada Até 20.000 EPS

(23)

Tabela 7. QRadar Event Processor 1624 Visão geral do Processador de Eventos (continuação)

Interfaces

Duas interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T

do NT 64 GB

Armazena- mento 16 TB ou mais Fornecimento de

energia

QRadar Event Processor 1624 Processador de Eventos

QRadar Flow Processor 1705

O dispositivo IBM Security QRadar Flow Processor 1705 (MTM 4379-Q05) é um processador de fluxo capaz de escalar sua implementação do QRadar para gerenciar taxas de FPM mais altas. O QRadar Flow Processor 1705 inclui um processador de fluxos integrado e armazenamento interno para fluxos.

Visualize informações e requisitos de hardware para o QRadar Flow Processor 1705 na tabela a seguir:

Tabela 8. QRadar Flow Processor 1705

Descrição Valor Licença básica 100.000 FPM Licença atualizada Até 600.000 FPM Interfaces

Quatro interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T

do NT 48 GB

Armazena- mento Armazenamento de fluxo dedicado de 6,2 TB ou mais Fornecimento de

energia

QRadar Flow Processor 1705

QRadar Flow Processor 1724

O dispositivo IBM Security QRadar Flow Processor 1724 (MTM 4379-Q24) é um processador de fluxo capaz de escalar sua implementação do QRadar para gerenciar taxas de FPM mais altas. O QRadar Flow Processor 1724 inclui um processador de fluxos integrado e armazenamento interno para fluxos.

(24)

Visualize informações e requisitos de hardware para o QRadar Flow Processor 1724 na tabela a seguir:

Tabela 9. QRadar Flow Processor 1724

Licença básica 100.000 FPM Licença atualizada Até 1.200.000 FPM Interfaces

Duas interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T

do NT 64 GB

Armazena- mento Armazenamento de fluxo dedicado de 16 TB ou mais Fornecimento de

energia

QRadar Flow Processor 1724

QRadar 1805

O dispositivo IBM Security QRadar 1805 (MTM 4379-Q05) é um Processador de Eventos e um Processador de Fluxo combinado capaz de escalar a implementação do QRadar para gerenciar mais eventos e fluxos. O QRadar 1805 inclui um Processador de Eventos integrado, um Processador de Fluxo integrado e armazenamento interno para eventos e fluxos.

Visualize informações e requisitos de hardware para o QRadar 1805 na tabela a seguir:

Tabela 10. Visão geral do QRadar 1805

Licença básica

1.000 EPS 25.000 FPM, 750 fontes de log Licença atualizada

Até 2.500 ou 5.000 EPS.

Até 50.000, 100.000 ou 200.000 FPM Interfaces

do NT 48 GB

Armazena- mento 6.2 TB ou mais Fornecimento de

energia

(25)

QRadar 2100

O dispositivo IBM Security QRadar 2100 (MTM 4378-Q21) é um sistema all-in-one que combina a Detecção de Anomalias de Comportamento de Rede (NBAD) e Informações de Segurança e Gerenciamento de Eventos (SIEM) para identificar com precisão e priorizar adequadamente ameaças que ocorrem em sua rede.

Visualize informações e requisitos de hardware para o QRadar 2100 na tabela a seguir:

Tabela 11. Visão geral do QRadar 2100

Descrição Valor Licença básica 1.000 EPS 25.000 FPM Licença atualizada 50.000 FPM Interfaces

Seis interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T

do NT 24 GB

Armazena- mento 1,3 TB ou mais Fornecimento de

energia

Coletor de Eventos, Processador de Eventos, Coletor QRadar QFlow Único, que oferece suporte a até 50 Mbps

Coletores QRadar QFlow adicionais são vendidos separadamente.

QRadar 3105 (All-in-One)

O dispositivo IBM Security QRadar 3105 (Base) (MTM 4379-Q05) é um sistema QRadar all-in-one capaz de criar um perfil do comportamento de rede e identificar ameaças de segurança de rede.

Visualize informações e requisitos de hardware para o QRadar Log Manager 3105 (All-in-One) na tabela a seguir:

Tabela 12. QRadar Log Manager 3105 (All-in-One)

Descrição Valor Licença básica 1.000 EPS 25.000 FPM Licença atualizada Até 5.000 EPS Até 200.000 FPM Fontes de log 750

(26)

Tabela 12. QRadar Log Manager 3105 (All-in-One) (continuação)

Interfaces

do NT 48 GB

Armazena- mento 6,5 TB Fornecimento de

energia

Componentes

incluídos Coletor de Eventos e Processador de Eventos com armazenamento de eventos interno (6,5 TB ou mais)

O dispositivo QRadar 3105 (All-in-One) requer um QRadar QFlow Collectors externo para monitoramento de atividade de rede de camada 7.

QRadar 3105 (Console)

Entenda e expanda a capacidade do QRadar 3105 (All-in-One).

É possível expandir a capacidade do QRadar 3105 (All-in-One) além das opções de upgrade baseadas em licença fazendo o upgrade para o dispositivo IBM Security QRadar 3105 (Console) (MTM 4379-Q05) e incluindo um ou mais dos seguintes dispositivos:

v “QRadar Event Processor 1605” na página 33 v “QRadar Flow Processor 1705” na página 35 v “QRadar 1805” na página 37

Use o dispositivo QRadar 3105 (Console) para gerenciar uma implementação distribuída de Processadores de Eventos e Processadores de Fluxo que definem o perfil do comportamento da rede e identificam ameaças de segurança de rede.

QRadar 3124 (All-in-One)

O dispositivo IBM Security QRadar 3124 (Base) (MTM 4379-Q24) é um sistema QRadar all-in-one capaz de criar um perfil do comportamento de rede e identificar ameaças de segurança de rede.

Visualize informações e requisitos de hardware para o QRadar 3124 (All-in-One) na tabela a seguir:

Tabela 13. QRadar 3124 (All-in-One)

Descrição Valor Licença básica 1000 EPS 25.000 FPM Licença atualizada Até 5000 EPS

(27)

Tabela 13. QRadar 3124 (All-in-One) (continuação)

Fontes de log 750 Interfaces

Duas interfaces de monitoramento de rede 10/100/1000 Base-T Um conector de Ethernet de gerenciamento de sistemas

do NT 64 GB

energia

Componentes

incluídos Coletor de Eventos e Processador de Eventos

O QRadar 3124 (All-in-One) requer Coletores QRadar QFlow externos para monitoramento de atividade de rede de camada 7.

QRadar 3124 (Console)

Entenda as opções de expansão para o IBM Security QRadar 3124 (Console) (MTM 4379-Q24)

É possível expandir a capacidade do dispositivo IBM Security QRadar 3124 (Base) (MTM 4379-Q24) além das opções de upgrade baseadas em licença fazendo o upgrade para o dispositivo QRadar 3124 (Console) e incluindo um ou mais dos seguintes dispositivos:

v “QRadar Event Processor 1624” na página 16 v “QRadar Flow Processor 1724” na página 17

O dispositivo QRadar 3124 (Console) que pode ser usado para gerenciar uma implementação distribuída dos Processadores de Evento e Processadores de Fluxo para criar um perfil do comportamento de rede e identificar ameaças de segurança da rede.

QRadar Log Manager 1605

O dispositivo IBM Security QRadar Log Manager 1605 (MTM 4379-Q05) é um Processador de Eventos distribuído e requer conexão com um dispositivo QRadar Log Manager 3124 Console.

O QRadar Log Manager 1605 é um dispositivo Processador de Eventos distribuído e requer conexão com um dispositivo QRadar Log Manager 3105 Console.

Visualize informações e requisitos de hardware para o QRadar Log Manager 1605 na tabela a seguir:

Tabela 14. QRadar Log Manager 1605

Licença básica 2.500 EPS

(28)

Tabela 14. QRadar Log Manager 1605 (continuação)

Licença atualizada Até 20.000 EPS Interfaces

do NT 48 GB

energia

QRadar Log Manager 1624

O dispositivo IBM Security QRadar Log Manager 1624 (MTM 4379-Q24) é um Processador de Eventos dedicado que pode ser usado para escalar sua

implementação do QRadar Log Manager para gerenciar taxas de Evento Por Segundo (EPS) mais altas. O dispositivo QRadar Log Manager 1624 inclui um Coletor de Eventos integrado, um Processador de Eventos e armazenamento interno para eventos.

O QRadar Log Manager 1624 é um dispositivo Processador de Eventos distribuído e requer uma conexão com um dispositivo QRadar Log Manager 3124 Console. Visualize informações e requisitos de hardware para o QRadar Log Manager 1624 na tabela a seguir:

Tabela 15. QRadar Log Manager 1624

Licença básica 2.500 EPS Licença atualizada Até 20.000 EPS Interfaces

do NT 64 GB

energia

(29)

QRadar Log Manager 2100

O dispositivo IBM Security QRadar Log Manager 2100 (MTM 4378-Q21) é um sistema all-in-one capaz de gerenciar e armazenar eventos de diversos dispositivos de rede.

Visualize informações e requisitos de hardware para o QRadar Log Manager 2100 na tabela a seguir:

Tabela 16. Visão geral do QRadar Log Manager 2100

Licença básica 500 EPS Upgrade de

licença

Até 1000 EPS Fontes de log 750

Interfaces

Seis interfaces de monitoramento de rede 10/100/1000 Base-T Um conector de Ethernet de gerenciamento de sistemas

do NT 24 GB

energia

O QRadar Log Manager 2100 inclui uma coleção de fluxo externa. Coletores QRadar QFlow adicionais são vendidos separadamente.

QRadar Log Manager 3105 (All-in-One)

O dispositivo IBM Security QRadar Log Manager 3105 (Base) (MTM 4379-Q05) é um sistema all-in-one que pode ser usado para gerenciar e armazenar eventos de diversos dispositivos de rede.

Tabela 17. Visão geral do QRadar Log Manager 3105 (All-in-One)

Descrição Valor Licença básica 500 EPS Licença atualizada Até 1000 EPS Interfaces

do NT 48 GB

Armazena- mento 6,2 TB

(30)

Tabela 17. Visão geral do QRadar Log Manager 3105 (All-in-One) (continuação)

Fornecimento de energia

Componentes

incluídos Coletor de Eventos e Processador de Eventos

É possível fazer o upgrade da sua licença para migrar seu QRadar Log Manager 3105 (All-in-One) para o QRadar 3105 (All-in-One). Para obter mais informações, consulte Migrating QRadar Log Manager to QRadar SIEM Technical Note .

QRadar Log Manager 3105 Console

É possível expandir a capacidade do dispositivo QRadar Log Manager (all-in-one) além das opções de upgrade baseadas em licença fazendo o upgrade para o dispositivo IBM Security QRadar Log Manager 3105 (Console) (MTM 4379-Q05). Deve-se também incluir um ou mais dispositivos QRadar Log Manager 1605 ou IBM Security QRadar Log Manager 1624 (MTM 4379-Q24).

O dispositivo QRadar Log Manager 3105 Console gerencia uma implementação distribuída dos Processadores de Eventos para coletar e processar eventos. É possível fazer o upgrade da sua licença do QRadar Log Manager 3105 Console para o IBM Security QRadar 3105 (Console) (MTM 4379-Q05).

QRadar Log Manager 3124 (All-in-One)

O dispositivo IBM Security QRadar Log Manager 3124 (Base) (MTM 4379-Q24) é um sistema all-in-one que pode ser usado para gerenciar e armazenar eventos de diversos dispositivos de rede.

Tabela 18. QRadar Log Manager 3124 (All-in-One)

Licença básica 1000 EPS Licença atualizada Até 5000 EPS Fontes de log 750

Interfaces

do NT 64 GB

energia

Componentes

(31)

É possível fazer o upgrade da sua licença para migrar seu dispositivo QRadar Log Manager 3124 (All-in-One) para QRadar 3124 (All-in-One). Para obter mais

informações sobre como migrar o QRadar Log Manager para QRadar SIEM, consulte Migrating QRadar Log Manager to QRadar SIEM Technical Note.

QRadar Log Manager 3124 Console

O dispositivo IBM Security QRadar Log Manager 3124 (Console) (MTM 4379-Q24) gerencia uma implementação distribuída dos Processadores de Evento e processa os eventos. Expanda e faça upgrade do QRadar Log Manager 3124 Console. É possível expandir a capacidade do dispositivo QRadar Log Manager 3124 (All-in-One) além das opções de upgrade baseadas em licença fazendo o upgrade para o dispositivo QRadar Log Manager 3124 Console e incluindo um ou mais dos seguintes dispositivos:

v “QRadar Log Manager 1605” na página 21 v “QRadar Log Manager 1624” na página 22

É possível fazer upgrade de sua licença para migrar seu dispositivo QRadar Log Manager 3124 Console para QRadar 3124 (Console). Para obter mais informações, consulte Migrating QRadar Log Manager to QRadar SIEM Technical Note .

O dispositivo QRadar Log Manager 3124 Console gerencia uma implementação distribuída de Processadores de Evento para coletar e processar eventos.

QRadar Vulnerability Manager

O dispositivo IBM Security QRadar Vulnerability Manager varre e cria relatórios sobre as vulnerabilidades da rede. O QRadar Vulnerability Manager oferece um fluxo de trabalho de gerenciamento de vulnerabilidades totalmente integrado ao QRadar SIEM e disponível como uma opção de software, dispositivo e dispositivo virtual.

O Gerenciador de Vulnerabilidade do QRadar oferece os seguintes recursos: v Varre dentro e fora da rede, a infraestrutura de rede, servidores e terminais à

procura de configurações ruins, fracas, produtos sem correção e outros pontos fracos principais.

v Utiliza informações sobre uso da rede, ambiente de ameaças, configurações de segurança, correções virtuais e disponibilidade de correções para oferecer um contexto real ao gerenciamento de vulnerabilidades, o que promove processos de correção eficientes

v Integra todas as informações sobre vulnerabilidades de sistemas externos para oferecer uma visualização única.

v Integração total com o banco de dados de perfil do ativo do QRadar para oferecer varreduras inteligentes orientadas a eventos.

v Varreduras de descoberta do QRadar Vulnerability Manager ilimitadas v Use do scanner hospedado para varredura de DMZ

O dispositivo QRadar Vulnerability Manager oferece suporte a:

Tabela 19. Visão geral do QRadar Vulnerability Manager

Licença básica 255 ativos

(32)

Tabela 19. Visão geral do QRadar Vulnerability Manager (continuação)

Licença atualizada Até 32.768 ativos Interfaces

Duas interfaces de monitoramento de rede 10/100/1000 Base-T Conector de Ethernet de gerenciamento de sistemas

do NT 48 GB

energia

QRadar Vulnerability Manager

QRadar Risk Manager

O dispositivo IBM Security QRadar oferece uma solução de gerenciamento de risco, priorização de vulnerabilidades e configuração automatizada totalmente integrada à plataforma IBM Security QRadar. O QRadar Log Manager oferece recursos totalmente integrados no QRadar SIEM que aprimoram o gerenciamento de incidentes, as procuras de atividade de log e rede, a visualização de ameaças e relatórios.

Visualize informações e requisitos de hardware para o QRadar Risk Manager na tabela a seguir:

Tabela 20. QRadar Risk Manager na tabela a seguir

Interfaces

do NT 48 GB

energia

(33)

Capítulo 4. QRadar Visão geral do dispositivo M4

Revise as informações sobre o IBM Security QRadar para entender os requisitos de hardware e de licença.

QRadar QFlow Collector 1201

O dispositivo IBM QRadar QFlow Collector 1201 (MTM 4380-Q2C) oferece uma coleção de dados de aplicativo de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1201 também oferece suporte a fontes de dados externas baseadas em fluxo.

Tráfego de rede 1 Gbps

Interfaces Cinco interfaces de monitoramento de rede 10/100/1000 Base-T Dois 10 Gbps SFP + portas

Uma interface de gerenciamento 10/100/1000 Base-T QRadar Uma interface do módulo de gerenciamento integrada 10/100 Base-T do NT 16 GB, 4 x 4 GB 1600 MHz RDIMM

Armazena- mento 2 x 2,5 pol. 600 GB 10 K rpm SAS, 600 MB total (RAID 1) Fornecimento de

energia

Redundante dual de 550 W CA

Dimensões 28,9 polegadas de profundidade x 16,9 polegadas de largura x 1,7 polegada de altura

QRadar QFlow Collector

QRadar QFlow Collector 1202

O dispositivo IBM QRadar QFlow Collector 1202 (MTM 4380-Q3C) oferece uma coleção de dados de aplicativos de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1202 também oferece suporte a fontes de dados externas baseadas em fluxo.

(34)

Interfaces Adaptador de Rede Napatech, oferecendo quatro interfaces de rede de 10/100/1000 Base-T de 1 Gbps

Dois 10 Gbps SFP + portas

energia

QRadar QFlow Collector 1202-C/1301-C

O dispositivo IBM Security QRadar Core Appliance QFlow Collector 1202-C e 1301-C (MTM 4380-Q1G) oferece uma coleção de dados de aplicativo de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1202-C/1301-C também oferece suporte a fontes de dados baseadas em fluxo.

Visualize informações e requisitos de hardware para o QRadar QFlow Collector 1202-C/1301-C na tabela a seguir:

Tabela 23. Especificações do QRadar QFlow Collector 1202-C/1301-C

Interfaces Duas interfaces de monitoramento de rede 10/100/1000 Base-T Dois 10 Gbps SFP + portas

Uma interface de gerenciamento 10/100/1000 Base-T QRadar Uma interface do módulo de gerenciamento integrada 10/100 Base-T Quatro placas NT4E-STD SFP+ Napatech de 1 Gbps. SFP+ suportado em Cobre de 1 Gbps, Fibra de Faixa Curta de 1 Gbps, Fibra de Faixa Longa de 1 Gbps

do NT 16 GB, 4 x 4 GB 1600 MHz RDIMM

Armazena- mento 600 GB 10 K rpm SAS, 600 MB total (RAID 1) Fornecimento de

energia

Redundante dual 750 W CA

Dimensões 27,57 polegadas de profundidade x 18,99 polegadas de largura x 1,68 polegadas de altura

(35)

Para obter informações sobre a substituição de bateria, veja Substituição de bateria (http://www.dell.com/support/manuals/us/en/19/poweredge-r630/

R630_OM_Publication_v3-v3/Replacing-the-system-battery?guid=GUID-364314C7-E137-4FC1-9B63-F9DD3BC9E582&lang=en-us).

QRadar QFlow Collector 1301

O dispositivo IBM QRadar QFlow Collector 1301 (MTM 4380-Q4C) oferece uma coleção de dados de aplicativos de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1301 também oferece suporte a fontes de dados externas baseadas em fluxo.

Interfaces Adaptador de rede Napatech, oferecendo quatro interfaces de monitoramento de rede de fibra multimodo 1000 Base SX de 1 Gbps Dois 10 Gbps SFP + portas

energia

QRadar QFlow Collector 1310

O dispositivo IBM QRadar QFlow Collector 1310 (MTM 4380-Q5C) oferece uma coleção de dados de aplicativo de Camada 7 escalável e de alta capacidade para implementações distribuídas. O QRadar QFlow Collector 1310 também oferece suporte a fontes de dados baseadas em fluxo.

(36)

Interfaces Adaptador de Rede Napatech para fibra, fornecendo duas SFP de 10 Gbps e interfaces de monitoramento de rede.

energia

Adaptador de rede NT20E2 Napatech

QRadar QFlow Collector 1310 SR-C/LR-C

O dispositivo IBM Security QRadar Core Appliance QFlow Collector 1310SR-C e LR-C (MTM 4380-Q2G) oferece uma coleção de dados de aplicativo de Camada 7 escalável e de alta capacidade para implementações distribuídas.

Visualize informações e requisitos de hardware para o QRadar QFlow Collector 1310 SR-C/LR-C na tabela a seguir:

Tabela 26. Especificações do QRadar QFlow Collector 1310 SR-C/LR-C

Interfaces Duas interfaces de monitoramento de rede 10/100/1000 Base-T Dois 10 Gbps SFP + portas

Uma interface de gerenciamento 10/100/1000 Base-T QRadar Uma interface do módulo de gerenciamento integrada 10/100 Base-T Adaptador de Rede Napatech para fibra, fornecendo duas interfaces de monitoramento de rede SFP + de 10 Gbps.

do NT 16 GB, 4 x 4 GB 1600 MHz RDIMM

Armazena- mento 600 GB 10 K rpm SAS, 600 MB total (RAID 1) Fornecimento de

energia

Adaptador de rede NT20E2 Napatech

(37)

R630_OM_Publication_v3-v3/Replacing-the-system-battery?guid=GUID-364314C7-E137-4FC1-9B63-F9DD3BC9E582&lang=en-us).

QRadar 1400 Data Node

O dispositivo IBM Security QRadar 1400 Data Node (MTM 4380-Q1E) oferece uma solução de armazenamento de dados escalável para implementações do QRadar. O QRadar 1400 Data Node aprimora as capacidades de retenção de dados de uma implementação, assim como aumenta o desempenho geral da consulta.

Visualize informações e requisitos de hardware para o QRadar 1400 Data Node nas tabelas a seguir:

Tabela 27. QRadar 1400 Data Node quando usado com dispositivos XX05

Interfaces Duas interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T QRadar Uma interface do módulo de gerenciamento integrada 10/100 Base-T Dois 10 Gbps SFP + portas

do NT 64 GB 8x 8 GB 1600 MHz RDIMM

Armazena- mento Armazenamento: 9 x 3,5 pol. 1 TB 7,2 K rpm NL SAS, 9 TB total, 6,1 TB (RAID 6) disponíveis para armazenar dados de eventos e de fluxo Fornecimento de

energia

Dispositivo QRadar Data Node

Tabela 28. QRadar 1400 Data Node quando usado com dispositivos XX28

Interfaces Um FC Emulex 8Gb de 2 portas

Duas interfaces de monitoramento de rede 10/100/1000 Base-T Uma interface de gerenciamento 10/100/1000 Base-T QRadar Uma interface do módulo de gerenciamento integrada 10/100 Base-T Dois 10 Gbps SFP + portas

do NT 128 GB, 8 x 16 GB 1866 MHz RDIMM8

Armazena- mento Armazenamento de eventos dedicado de 40 TB ou mais: 12 x 3,5 pol. 4 TB SAS 7,2 K rpm, 48 TB total, 39 TB (RAID 6) disponíveis para armazenar dados de eventos e de fluxo

Fornecimento de energia

Dispositivo QRadar Data Node