В этом руководстве мы узнаем, как установить IBM QRadar CE v7.3.1 на VirtualBox.
QRadar Community Edition v7.3.1 является последней версией, которая поставляется с новыми и улучшенными функциями, такими как;
- Поддержка IBM Security X-Force Threat Intelligence, которая предоставляет данные о репутации IP для пользователей
- Обновления политики паролей
- Обновленный пользовательский интерфейс
- Новая служба сбора событий, сокращающая время простоя
- Предустановленный журнал событий безопасности Microsoft Windows (DSM)
- Улучшения IPv6
- Поддержка новых конечных точек API
- На основе операционной системы CentOS / RHEL 7.5
Как и в случае с новыми функциями, системные требования для установки также были обновлены;
- Минимум 6 ГБ ОЗУ
- Не менее 110 ГБ свободного дискового пространства
- Как минимум одна сетевая карта с доступом в интернет
- Минимум 2 ядра процессора
Мы рассмотрели установку QRadar CE v7.3.0 в нашем предыдущем руководстве.
Как установить IBM QRadar Community Edition SIEM на VirtualBox
Как установить IBM QRadar CE v7.3.1 на VirtualBox
Предпосылки
Прежде чем вы сможете приступить к установке QRadar CE v7.3.1 в VirtualBox, убедитесь, что вы установили CentOS / RHEL 7.5 с использованием минимального ISO, который соответствует приведенным выше минимальным системным требованиям.
cat /etc/*release
... CentOS Linux release 7.5.1804 (Core) NAME="CentOS Linux" VERSION="7 (Core)" ...
Предполагая, что ваш сервер CentOS / RHEL 7.5 уже соответствует вышеуказанным системным требованиям, загрузите установочный носитель QRadar CE v7.3.1.
Обратите внимание, что вам нужно зарегистрироваться в IBM, чтобы иметь возможность загрузить установочный ISO-образ QRadar.
Следовательно, вы можете получить ссылку для скачивания.
Вы можете просто использовать команду wget, чтобы получить iso, как только вы получите ссылку для скачивания.
wget https://URL/TO/QRadarCE7_3_1.GA.iso -P /tmp
Если вы не загружаете файл напрямую на сервер, на котором произойдет установка, вам необходимо скопировать загруженный каталог ISO в /tmp вашего сервера CentOS / RHEL 7.5.
scp /download/path/to/QRadarCE7_3_1.GA.iso user@yourcentosserver:/tmp
Теперь QRadar CE v7.3.1 ISO должен быть доступен в каталоге /tmp.
ls /tmp/*.iso /tmp/QRadarCE7_3_1.GA.iso
Обновление системы
Что ж, это хорошая идея, обновить системные пакеты сервера CentOS / RHEL 7.5.
Поэтому войдите на свой сервер и выполните команды ниже;
yum update yum upgrade
Отключите SELinux
Прежде чем вы сможете запустить установку QRadar CE, отключите SELinux, выполнив команду ниже;
sed -i 's/=enforcing/=disabled/' /etc/selinux/config
Перезагрузите сервер, чтобы изменения SELinux вступили в силу.
systemctl reboot -i
Монтирование QRadar CE ISO
Чтобы запустить скрипт установки, вам нужно смонтировать ISO.
Поэтому перед запуском команды mount убедитесь, что у вас есть точка монтирования.
mkdir /mnt/qradarce
Запустите приведенную ниже команду монтирования, чтобы смонтировать QRadar CE v7.3.1 ISO в /mnt/qradarce.
mount -o loop /tmp/QRadarCE7_3_1.GA.iso /mnt/qradarce/
Установите QRadar CE v7.3.1
Чтобы установить QRadar CE, выполните команду настройки, как показано ниже;
/mnt/qradarce/setup
Обратите внимание, что команда настройки доступна в точке монтирования ISO, которая может отличаться от той, которая используется в этом руководстве.
После начала установки просмотрите лицензионное соглашение, примите его и подтвердите установку QRadar CE v7.3.1, чтобы продолжить установку.
... Do you accept this license agreement (yes or no)? yes About to install QRadar Community Edition version 7.3.1.20180723171558 Do you wish to continue (Y/[N])? Y
Если ваша система прошла необходимые проверки.
Однако, если вам будет предложено обновить систему, чтобы применить обновление ядра, сделайте это.
После запуска системы переустановите ISO и снова запустите установку, как показано выше.
Установка займет немного времени.
Если все идет хорошо, вы должны увидеть, что начальная конфигурация завершена.
Initial configuration of 'QRadar Community Edition' console is now complete. You are now ready to connect to the interface. Press ENTER to complete Installation. qradar_netsetup.py: End: 0 OK: Installed QRadar Community Edition version 7.3.1.20180723171558. Recording currently installed RPM list: done. If you have not set an admin password, set one now with "sudo /opt/qradar/support/changePasswd.sh -a"
Как указано, нажмите Enter, чтобы завершить установку.
Установите пароль администратора
После установки вам предоставляется скрипт для установки пароля администратора.
Запустите скрипт, чтобы установить пароль.
sudo /opt/qradar/support/changePasswd.sh -a
Please enter the new admin password. Password: P@SSWORD Confirm password: P@SSWORD The admin password has been changed. Please restart tomcat, login to the UI, and perform a deploy.
После этого перезапустите Tomcat и войдите в свой веб-интерфейс QRadar.
systemctl restart tomcat
Чтобы получить доступ к интерфейсу QRadar, перейдите в браузер и введите адрес https://<qradar-server>/console.
Добавьте предупреждение SSL к исключениям и перейдите к новому интерфейсу входа в QRadar.
Войдите в систему как администратор с паролем, который вы установили выше.
Если вас попросят сбросить пароль, сделайте это и продолжите.
Примите лицензионное соглашение и перейдите к панели инструментов QRadar Community Edition v7.3.1.
Великолепно, это все о том, как установить IBM QRadar CE v7.3.1 на VirtualBox.
Теперь вы готовы исследовать в полной мере этого зверя.