В этом уроке мы узнаем, как включить ответ пинга ICMP на QRadar SIEM.
Итак, вы установили IBM QRadar SIEM и пытаетесь проверить его подключение с помощью команды ping, но поняли, что запросы ping icmp отбрасываются?
Что ж, это происходит потому, что по умолчанию QRadar SIEM отбрасывает весь ICMP-трафик, полученный на интерфейсах управления, и не отвечает на эти запросы.
Смотрите пример пинга ниже.
# ping 192.168.43.3 PING 192.168.43.3 (192.168.43.3) 56(84) bytes of data. ^C --- 192.168.43.3 ping statistics --- 8 packets transmitted, 0 received, 100% packet loss, time 7069ms
Чтобы разрешить пинг ICMP-ответа в IBM QRadar, вы должны настроить правила брандмауэра для приема и ответа на пинг-запросы ICMP, как описано в процедуре ниже.
1. Войдите в QRadar через SSH.
# ssh root@192.168.43.3
2. Сделайте резервную копию существующих правил брандмауэра, прежде чем вносить изменения
# cp /opt/qradar/conf/iptables.pre /opt/qradar/conf/iptables.pre.bak
3. Отредактируйте файл конфигурации правил брандмауэра и добавьте следующие строки, чтобы разрешить ответ ICMP для всех хостов.
# vim /opt/qradar/conf/iptables.pre
# Add these two lines -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth1 -p icmp --icmp-type 0 -j ACCEPT
где eth1 – интерфейс управления QRadar.
Чтобы разрешить пинг-ответы от определенных хостов, укажите IP-адрес хоста с опцией -s, например:
-A INPUT -i {interface} -p icmp --icmp-type 8 -s host/cidr -j ACCEPT -A INPUT -i {interface} -p icmp --icmp-type 0 -s host/cidr -j ACCEPT
4. После внесения изменений перезагрузите правила, чтобы изменения вступили в силу.
# /opt/qradar/bin/iptables_update.pl PID=12069 >>> Shutting down existing firewall... /tmp/iptables.12069/tmp/ip6tables.12069 >>> Beginning update... Writing out rules for web access... >>> IPTables update complete. Restarting firewall... >>> Done! >>> IP6Tables update complete. Restarting firewall... Finished starting ipv6 >>> Done!
5. Пропингуйте ваш QRadar, чтобы убедиться, что ответы icmp
# ping 192.168.43.3 -c 3 PING 192.168.43.3 (192.168.43.3) 56(84) bytes of data. 64 bytes from 192.168.43.3: icmp_seq=1 ttl=64 time=0.370 ms 64 bytes from 192.168.43.3: icmp_seq=2 ttl=64 time=0.265 ms 64 bytes from 192.168.43.3: icmp_seq=3 ttl=64 time=0.599 ms --- 192.168.43.3 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2041ms rtt min/avg/max/mdev = 0.265/0.411/0.599/0.140 ms
Теперь вы можете пропинговать QRadar и проверить его подключение со всех хостов.
Оставайтесь на связи для получения дополнительных руководств по QRadar SIEM