Как включить ответ Ping на IBM QRadar SIEM

В этом уроке мы узнаем, как включить ответ пинга ICMP на QRadar SIEM.

Итак, вы установили IBM QRadar SIEM и пытаетесь проверить его подключение с помощью команды ping, но поняли, что запросы ping icmp отбрасываются?

Что ж, это происходит потому, что по умолчанию QRadar SIEM отбрасывает весь ICMP-трафик, полученный на интерфейсах управления, и не отвечает на эти запросы.

Смотрите пример пинга ниже.

# ping 192.168.43.3
PING 192.168.43.3 (192.168.43.3) 56(84) bytes of data.
^C
--- 192.168.43.3 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7069ms

Чтобы разрешить пинг ICMP-ответа в IBM QRadar, вы должны настроить правила брандмауэра для приема и ответа на пинг-запросы ICMP, как описано в процедуре ниже.

1. Войдите в QRadar через SSH.

# ssh root@192.168.43.3

2. Сделайте резервную копию существующих правил брандмауэра, прежде чем вносить изменения

# cp /opt/qradar/conf/iptables.pre /opt/qradar/conf/iptables.pre.bak

3. Отредактируйте файл конфигурации правил брандмауэра и добавьте следующие строки, чтобы разрешить ответ ICMP для всех хостов.

# vim /opt/qradar/conf/iptables.pre
# Add these two lines
-A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp --icmp-type 0 -j ACCEPT

где eth1 — интерфейс управления QRadar.

Чтобы разрешить пинг-ответы от определенных хостов, укажите IP-адрес хоста с опцией -s, например:

-A INPUT -i {interface} -p icmp --icmp-type 8 -s host/cidr -j ACCEPT
-A INPUT -i {interface} -p icmp --icmp-type 0 -s host/cidr -j ACCEPT

4. После внесения изменений перезагрузите правила, чтобы изменения вступили в силу.

# /opt/qradar/bin/iptables_update.pl
PID=12069
>>> Shutting down existing firewall...

/tmp/iptables.12069/tmp/ip6tables.12069
>>> Beginning update...
Writing out rules for web access...

>>> IPTables update complete. Restarting firewall...

>>> Done!

>>> IP6Tables update complete. Restarting firewall...

Finished starting ipv6
>>> Done!

5. Пропингуйте ваш QRadar, чтобы убедиться, что ответы icmp

# ping 192.168.43.3 -c 3
PING 192.168.43.3 (192.168.43.3) 56(84) bytes of data.
64 bytes from 192.168.43.3: icmp_seq=1 ttl=64 time=0.370 ms
64 bytes from 192.168.43.3: icmp_seq=2 ttl=64 time=0.265 ms
64 bytes from 192.168.43.3: icmp_seq=3 ttl=64 time=0.599 ms

--- 192.168.43.3 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2041ms
rtt min/avg/max/mdev = 0.265/0.411/0.599/0.140 ms

Теперь вы можете пропинговать QRadar и проверить его подключение со всех хостов.

Оставайтесь на связи для получения дополнительных руководств по QRadar SIEM

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40