Japan QRadar User Group

 View Only

QRadar CE (Community Edition) 7.3.3 のインストール手順を日本語でご紹介します

By Katsuyuki Hirayama posted Thu July 16, 2020 05:28 AM

  

2021/01/05 2021年1月以降にQRadar Community Edition V7.3.3を使用する際に必須となる修正コマンドを追記
2020/07/24 IPアドレス変更ができない仕様に関する注意を追記

はじめに

既に QRadar CE V7.3.3 が登場してしばらく経過し、私も VMware や VirtualBox など複数回インストールしていますが、小さな落とし穴があったりガイドが英語だったりで、必ずしも初見ノーミスで行けるとは限りません。QRadar CE V7.3.3 がはじめてOVA形式になったことで、逆に既存のQRadarの経験者が勘違いをしてしまうことも。

そこで、今さらではありますが、日本語でインストール手順を整理しておきたいと思います。

トップに戻る

QRadar CE のシステム要件

ガイドに明記されているように、システム要件は以下の通りです。

メモリー 最小:8 GB RAM
注:X-ForceテストまたはArielクエリを使用する場合は、10 GB以上が必要です。 一部のアプリではより多くのRAMが必要です。 アプリは利用可能なRAMの10%をすべてのアプリ間で共有して使用します。
(QRadar CE は All-in-One構成ですので、アプリのみを別ノードで稼働させることはできません)
ディスク容量 最小250 GB (Thin Provisioningで大丈夫)
CPU 最小2 CPUコア
注:最適なパフォーマンスを得るために、X-Forceテストを使用している場合、最低6つのCPUコアが必要です。X-ForceデータでArielクエリを使用する場合は、最低8つのCPUコアが必要です。
ネットワーク システムがインターネットにアクセスできる必要があります。そうでない場合、QRadar Community Editionのインストールは失敗します。
NATを使用する場合はポート443およびポート22へのポート転送が必要です。
ホスト名は完全修飾ドメイン名である必要があり、63文字を超えることはできません。

この中で厳しいのはメモリー要件でしょうか。

以前の V7.3.1 は 6 GB が最小メモリー要件でしたが、V7.3.3 では 2 GB 増えて 8 GB になりました。
OVAを仮想環境にインポートしてみると、初期設定がまだ 6 GB であることに気付かれると思いますが、確かに 6 GB でも起動だけならするかもしれません。
しかし、今のQRadarはリッチな機能の多くをDockerで稼働するアプリに依存しており、ちょっとQRadarを試してみるだけでも 8 GB が最小です。最新の商用QRadar で必須アプリとなった Pulse などを載せるならば、10 GB 欲しいところです。

このように、仮想ゲストに 8 GB 必要ですので、ホストPC は 8 GB 搭載機では足りず、より大型のマシンが必要になります。

トップに戻る

QRadar CE のダウンロード

QRadar CEは、QRadar Community Edition サイトからダウンロードできます。

download ce
IBMidが必要ですので、まだお持ちでない方は作成してください。お金はかからないです。

もう少し下にスクロールしてもらうと、[Read the documentation]というリンクがあり、PDF形式の英語のガイドをダウンロードできます。

download the install guide
トップに戻る

QRadar CE のインストール

ガイドが英語なのがアレですが、読むべきところは「Installing QRadar Community Edition」だけです。

仮想環境に QRadar CE の OVA をインポートする

QRadar CE V7.3.3 の稼働環境として VMware Player も VirtualBox も使用できますが、今回は VirtualBox を例に説明します。

ガイドの手順には「仮想マシンを作成する」と書かれていますが、実際の手順は [ファイル] メニューから [仮想アプライアンスのインポート] を呼び出してから、要件を満たすように仮想マシンのパラメーターを変更する作業になります。

import from ova
実際のインポートの前に設定を行う画面が出ますので、名前をそれらしいものに変更し、RAMを必要なサイズまで引き上げます。OVA に含まれている仮想イメージは VMDK ですが、VDI に変換するかどうかはお好みで。VirtualBox でも VMDK のままでインポートできます。
settings before import
インポート後は、ゲストを起動する前に設定を見直してください。[ディスプレイ] の [グラフィックコントローラー] が最適なものになっていない場合は変更し、[ネットワーク] の [アダプター1] を適切な設定にします。
VirtualBox に詳しい方を除き、「ブリッジアダプター」の使用をおすすめします。NAT を使用した場合はネットワーク要件としてポート443およびポート22へのポート転送が必要になり、環境によっては動作が安定しない原因になるかもしれません。

vm network settings
トップに戻る

CentOS のセットアップを完了する

OVAになったことでCentOSの独自入手とインストールが省けるようになりました。
CentOSが起動したら、rootとしてログインし、パスワードをセットします。
そこそこ強いパスワードが求められます。

centos first login
ガイドの手順では、この後にいきなり「セットアップを開始する」と書かれていますが、QRadar CEにはDHCPではなく静的IPを指定したいので、./setup の前にIPアドレスの設定を行ってください。
NMTUIコマンドを使うのが楽でおすすめです。

このあたりの手順と考慮点(失敗談)は、別の記事 QRadar CE V7.3.3のインストールで、初めて "ERROR: Failed to run qradar_netsetup.!" で失敗した理由 にも書いています。
QRadar導入完了後にIPアドレスの変更をしたい場合の説明も、チラッと含まれています。

nmtui は、GUIベースでLinuxのネットワーク設定を行えるツールで、IPアドレスホスト名(FQDNである必要あり)を設定できます。以下のような画面が開きますので、ネットワークインターフェースを <Edit...> します。

注意:サポートフォーラムでもやり取りされていますが、結論としては「10 Tips For Installing QRadar Community Edition」の Tip #8 に書かれているように、you cannot change the IP of Community Edition once the installation process starts つまり./setup開始後はIPアドレスの変更はできない仕様であるようです。



ここで Profile name をそのまま受け入れずに、ens33 など妥当なもの(システムによってデバイス名は異なることがあります)に変更してください。



設定後は、以下のようになります。

nmtui_edit_config_003.png
重要:上記の手順には書いていませんが、ホスト名の定義もnmtuiから行っておいてください。
ホスト名は完全修飾ドメイン名(ドットで区切られた名前。aaa.local とか)である必要があり、63文字を超えることはできません。
また、お使いのネットワーク環境がIPv6に対応していない場合は、nmtuiからIPv6を無視しておくほうが安全です。

設定が完了したら、インターネットにPINGなどでアクセス(ネーム解決、疎通)できることを確認してください。

重要:この段階まで正常稼働が確認できたら、先へ進む前にスナップショットを取得することをおすすめします。
経験した範囲では、ガイドに書かれている手順の ./setup 以降に何らかの理由でインストールが失敗した場合、単に再インストールするだけでは回復できない可能性が高く、スナップショットまで戻してCentOSのネットワーク設定などを見直す必要があります。
VMware Player にはスナップショット機能がないため、VMフォルダーをまるごとバックアップしておくか、フリーのツールなどをお試しください(動作は保証できませんがサーチするとヒットします)。
もちろん、有償の VMware Workstation をお使いならばスナップショットを取得できます。

トップに戻る

QRadar CEのインストールを完了する

スナップショットを取得できたら、ようやくガイドに書かれている手順の ./setup を行います。
英語のメッセージに従ってインストールを進めていけば完了しますが、時間は結構かかります。

qradar ce install eula
qradar ce lic agree
qradar_ce_003.png
インストールが完了したら、Webコンソールのadminユーザーのパスワードを設定します。

qradar ce successful install
これでインストールが完了しましたので、ガイドに書かれているとおり reboot します。

再起動後は、比較的早い段階でCLIコンソールにアクセスできるようになりますので、ポート22に対するSSHが成功することを確認してください。
その後、ブラウザーから https://<ipアドレス> にアクセスしてください。WebコンソールへのアクセスにはOS起動後しばらくかかりますので、最初はエラーが出るかもしれません。その場合は時間を置いてアクセスをやり直してください。

ログイン画面にたどり着きましたら、設定したadminアカウントでログインします。
最初のログイン時に、画面上でライセンスへの同意が求められます。

トップに戻る

Waiting for valid license 問題の修正

重要:
2021年1月1日以降にQRadar Community Edition V7.3.3を使用する際の問題が報告されています。以下の文書に従って必ず修正を行ってください。

QRadar: 2020年12月31日に変更のデプロイを実施すると、製品の機能に影響が発生する — https://www.ibm.com/support/pages/node/6398124
A QRadar deploy changes on 31 December 2020 can impact product functionality — https://www.ibm.com/support/pages/node/6395080

修正は1つ(1行)のコマンドを発行するだけで完了し、作業は一度のみです。

以下は参考情報であり、正確なコマンドは必ず上記の最新のリンク先文書を参照してください。
/opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'

トップに戻る

足りないDSMを追加する

もし、これからQRadarの使い方を学習されようとお考えならば、Experience Center というアプリケーションをおすすめします。IBMidがあれば、App Exchange から無料で入手できます。

Experience Center の使い方については、「SIEM学習に最適な QRadar Experience Center アプリでユースケースを流してみましょう」をご覧ください。
ここではそのために必要なDSM (Device Support Module: 各ログソースが出力する独自のログを正規化してQRadar内部に取り込むためのモジュール)のうち、デフォルトではQRadar CEに含まれていないものを追加しておきましょう。

手順についてはガイドに書かれている通りです。
※ただし、ガイドのコマンド例に含まれるISOファイル名など細かい部分が変わっている可能性がありますので、必ず実機で確認しましょう。ファイル名は自動補完(途中まで入力してタブを押したら残りを埋めてくれる機能)がおすすめです。

1. mount コマンドを使用して、QRadar Community Edition ISOをマウントします
[root@qce1 ~]# mount -o loop /opt/ibm/cloud/iso/QRadarCE2019_14_0_20191031163225.GA.iso /media/cdrom
mount: /dev/loop2 is write-protected, mounting read-only
[root@qce1 ~]# ​
注意:実は私もそうだったのですが、QRadar経験がそれなりに長い人は、このISOがどこにあるのか迷います。
QRadarは商用版はISOメディア形式で提供されていますし、以前のQRadar CE 7.3.1もISO形式でした。
ですから、今回OVA形式になったことで、「ISOなんてどこにもないんじゃない?」と思いがちなのですが、実はOVAからインポートされたファイルシステムの中(/opt/ibm/cloud/iso/の中)に存在します。


2. /media/cdrom/post/dsmrpms ディレクトリーに移動し、目的のrpmファイルを見つけます:
今回、Experience Centerが必要とするDSMで導入されていないものは、Kaspersky Security Center と Trend Micro Deep Discovery Email Inspector の2つです。

[root@qce1 ~]# cd /media/cdrom/ 
[root@qce1 cdrom]# cd post/dsmrpms/
[root@qce1 dsmrpms]# ls *Kasp*
DSM-KasperskySecurityCenter-7.3-20160908133313.noarch.rpm
DSM-KasperskyThreatFeedService-7.3-20160901202724.noarch.rpm
[root@qce1 dsmrpms]# ls *Deep*
DSM-TrendMicroDeepDiscovery-7.3-20160908133313.noarch.rpm
DSM-TrendMicroDeepDiscoveryAnalyzer-7.3-20160908133313.noarch.rpm
DSM-TrendMicroDeepDiscoveryEmailInspector-7.3-20160908133313.noarch.rpm
DSM-TrendMicroDeepSecurity-7.3-20170214183448.noarch.rpm

3. yumコマンドを使用して、必要なDSMをインストールします:

[root@qce1 dsmrpms]# yum -y install DSM-KasperskySecurityCenter-7.3-20160908133313.noarch.rpm
(中略)
Installing:
 DSM-KasperskySecurityCenter
      noarch 7.3-20160908133313
                   /DSM-KasperskySecurityCenter-7.3-20160908133313.noarch 3.0 M
(中略)
Installed:
  DSM-KasperskySecurityCenter.noarch 0:7.3-20160908133313

Complete!
[root@qce1 dsmrpms]# yum -y install DSM-TrendMicroDeepDiscoveryEmailInspector-7.3-20160908133313.noarch.rpm
(中略)
Installing:
 DSM-TrendMicroDeepDiscoveryEmailInspector noarch 7.3-20160908133313 /DSM-TrendMicroDeepDiscoveryEmailInspector-7.3-20160908133313.noarch
                                                                          2.9 M
(中略)
Installed:
  DSM-TrendMicroDeepDiscoveryEmailInspector.noarch 0:7.3-20160908133313

Complete!
[root@qce1 dsmrpms]#

4. QRadar CEのWebインターフェースにログインします。

5. [管理]タブで、[変更のデプロイ] をクリックします。
6. [管理]タブで、[拡張]> [Webサーバーの再起動]を選択します。

トップに戻る

QRadar CE の使用

QRadar CE は多くの部分で商用QRadarと同じであるため、日本語化された製品マニュアルの多くの部分をそのまま使用することができます。


また、前述の Experience Center を使用することで、ダミーログを生成して脅威アラートを生成する様子を確認することができます。

商用QRadarの最新版である V7.4 では以下のアプリが標準搭載となりましたので、これらのアプリは QRadar CE V7.3.3 においてもおすすめです。


ただ、全てをインストールしようとすると、メモリーが足りないかもしれませんので、設定するメモリーにご注意ください。
実用度から言うと Log Source Management が一番おすすめで、この中では一番メモリー要件が低いです。

Experience Center によるダミーイベントだけでなく、実際のライブイベントを収集してみたい場合は、「QRadar CE (Community Edition) 7.3.3 で Windows 10 Pro のライブイベントを取得してみる」をご覧ください。

トップに戻る

Enjoy!

参考文献

#QRadar
0 comments
89 views

Permalink