Comment surveiller vos équipements #1 – Mise en place

Qui n’a jamais rêvé d’être Big Brother et de pouvoir surveiller tous ses équipements informatiques, quand est-ce que l’on, ou quelqu’un d’autre, s’est connecté, depuis où… et cætera.

Outre le fait de passer pour un fou l’espace d’un instant, la récupération de toutes ces informations est beaucoup plus utile qu’il n’y paraît. En effet, cette récupération, ainsi que le traitement que l’on peut y faire permet d’avoir une meilleure visibilité sur tout ce qui se passe mais également de pouvoir trouver la source d’un problème quand il y en a un, ou encore de détecter des actions qui ne devraient pas avoir lieu.

1. Introduction
2. Création de la machine
3. Lancement de la machine
4. Premières configurations
   1. Configuration du clavier
   2. Configuration de la langue sur l’interface graphique QRadar
   3. Installation de WinCollect
   4. Appliquer le patch correctif pour la collecte
   5. Mettre à jour l’heure
5. Conclusion

1. Introduction

à savoir aussi que sur des petits périmètres, tel que 2 ou 3 ordinateurs, vous n’aurez sûrement pas la détection des attaques informatiques du siècle de par beaucoup de facteurs, mais comme dit également plus haut cela permettra de mieux maîtriser vos équipements.

Trêve de blabla, passons aux choses sérieuses : la technique. Pour le choix de l’outil, nous allons utiliser QRadar CE (Community Edition), QRadar étant un outil de l’éditeur IBM et plus particulièrement sa version “Community” axée pour le test et les petits environnements tels que ceux que nous allons surveiller.

Pour faire concis, QRadar est un outil qui va nous permettre d’agréger tous les événements en provenance de nos différents équipements en un seul et même endroit. Sans rentrer dans les détails de chaque étape, et comme une image vaut mieux qu’une longue explication voici le cheminement d’un log de l’arrivée jusqu’à l’étape du traitement vis-à-vis des règles de détection :

Si vous souhaitez comprendre tous les rouages je vous conseille cette présentation très détaillée d’où j’ai extrait ce schéma : https://info.techdata.com/rs/946-OMQ-360/images/Section 2 – Technical Sales Foundations for IBM QRadar for Cloud (QRoC)V1 P10000-017.pdf

2. Création de la machine

Pour la mise en place de la machine, nous allons utiliser la virtualisation et non un serveur physique qui serait un choix beaucoup trop coûteux pour nos tests. Pour ce faire nous utiliserons VirtualBox, en ce qui concerne l’installation, je vous renvoie vers leur site dans lequel vous trouverez tout ce que vous souhaitez (je vous conseille toutefois de faire l’installation en anglais pour suivre plus facilement la suite des instructions).

Page d’installation de VirtualBox : https://www.virtualbox.org/

Une fois installé, il nous faut télécharger le fichier contenant QRadar CE, vous trouverez le fichier en le téléchargeant sur le site suivant : https://www.ibm.com/community/qradar/ce/

Pour pouvoir le télécharger, il vous faut un compte IBM Community, si vous n’en avez pas, c’est plutôt facile et vous devriez vous en sortir 🤗

Promis, c’était le dernier téléchargement, nous allons maintenant passer au vif du sujet : la création de la machine.

1. Ouvrir VirtualBox
2. Cliquer sur “File>Import Appliance” ou CTRL+I
3. Sélectionner le fichier .ova que vous avez téléchargé précédemment puis cliquer sur “Next“
4. La page suivante résume la configuration de votre machine virtuelle QRadar CE, ce sont les prérequis, vous pouvez donc augmenter sans peur (bien au contraire puisque QRadar est très gourmand) les paramètres suivants :
   • CPU
   • RAM
5. Voici le résumé, il faut ensuite cliquer sur “Import“
6. Ensuite avant de démarrer votre VM, nous allons changer ses paramètres réseaux pour qu’elle obtienne une adresse IP dans le sous-réseau local de votre domicile. Pour cela, cliquez-droit sur votre VM QRadar CE puis “Settings” puis allez dans l’onglet “Network” et vérifiez que le mode est “Bridged Adaptater” comme ci-dessous :
7. C’est tout bon, nous allons pouvoir passer au démarrage

3. Lancement de la machine

Nous avons une machine prête, un bol de café sur la droite (pas trop proche de l’ordinateur, on ne sait jamais 🙃) et une bonne dose de patience, c’est parti ! Lançons la machine (un double-clic suffit).

1. Lors du démarrage, laissez avancer tout seul lors du boot, si cela bloque pour une quelconque raison il faut sélectionner le premier comme ci-dessous :
2. L’écran d’authentification devrait arriver sous peu, une fois que vous y êtes, il faut entrer “root” pour le login et pour le mot de passe, ce que vous souhaitez, je vous conseille un mot de passe qui puisse s’écrire facilement sur un clavier “azerty” et “qwerty” sans prise de tête de savoir quelle touche est où.
3. Une fois que vous avez entré le mot de passe puis confirmé, vous arrivez en ligne de commande sur votre QRadar CE. Avant d’avancer dans la suite de l’installation, je vous recommande de noter le mot de passe dans la description de la VM ou dans une note personnelle ainsi que de récupérer l’IP de la machine via la commande “ip a“.
4. Ensuite vous pouvez lancer l’installation via la commande “./setup” – vous lisez (ou du moins vous faites semblant) les termes et conditions en tapant “Entrée” puis une fois en bas “Entrée” pour les accepter.
5. Entrer “Y” pour continuer l’installation
6. …
7. …
8. 
9. …
10. Une fois toutes les installations terminées, l’écran vous demandant de configurer le mot de passe du compte “admin” va apparaître, configurez le mot de passe et vous devriez être renvoyé vers la ligne de commande en tant que “root“.
11. Avant de passer à l’étape suivante, il faut valider que l’accès web est bien fonctionnel, pour cela il faut reprendre l’IP que vous avez notée plus haut et taper dans la barre de recherche de votre navigateur préféré : “https://<IP-QRadarCE>/“. Si tout est bon, un avertissement de sécurité devrait apparaître comme ci-dessous :

4. Premières configurations

Avant de clôturer cette première étape dans la réalisation de votre mini-SOC, nous allons procéder à quelques configurations non nécessaires pour la plupart mais qui vous faciliteront la tâche dans la découverte de l’outil.

1. Configuration du clavier (non nécessaire)

Avant de clôturer cette première étape dans la réalisation de votre mini-SOC et en tant que bon francophone appréciant son clavier “azerty” et ne souhaitant pas se creuser la tête sur la disposition des touches, nous allons changer la disposition du clavier. Pour ce faire, il faut dans un premier temps installer les paquets nécessaires :

En ligne de commande, tapez :

[root@localhost ~]# yum install kbd
[root@localhost ~]# localectl set-keymap fr

Votre clavier devrait maintenant pouvoir écrire vos plus belles lignes de Français avec des accents 😁.

2. Configuration de la langue sur l’interface graphique QRadar (recommandée)

Malgré le fait qu’avoir une disposition clavier en Français soit un plus, l’interface graphique en Anglais est une quasi obligation pour pouvoir utiliser la documentation et les différents blogs.

Il faut se connecter à l’interface graphique de votre QRadar CE via l’URL “https://<IP-QRadarCE>/” puis entrer les identifiants pour le compte “admin” que vous avez configurés précédemment. Vous arrivez ensuite sur l’interface de changement de mot de passe pour le compte :

Une fois le nouveau mot de passe configuré, il faut accepter les conditions :

Vous arrivez sur l’interface de QRadar CE, maintenant cliquez sur l’icône “Profil” en haut à droite puis “Préférences utilisateur” et dans la section “Environnement local” sélectionnez “English“.

Pour appliquer la modification il faut rafraîchir le cache via CTRL+F5 ou encore CTRL+SHIFT+R ou encore se déconnecter/reconnecter au besoin.

3. Installation de WinCollect (nécessaire si vous souhaitez superviser des Windows)

Vous verrez par la suite que la collecte des postes de travail comme les serveurs Windows passe par la mise en place de WinCollect, un agent qu’il faudra installer sur l’équipement que l’on souhaite superviser. Mais par défaut, tout n’est pas installé sur l’instance QRadar CE, il faut donc passer par les étapes suivantes :

Remarque : Je vous conseille, pour la suite de ce tutoriel, de passer par une session SSH vers le QRadar puisque l’émulation VirtualBox n’est pas très pratique et surtout, ne supporte pas (aussi bien) le copier/coller que d’autres outils comme MobaXterm. Pour cela, rien de bien compliqué, il faut ouvrir une session SSH (port 22) vers l’IP de votre instance QRadar CE pour l’utilisateur “root”.

1. Récupérer la version du QRadar CE en allant sur l’URL suivante : https://<IP-QRadarCE>/console/qradar/jsp/About.jsp – dans mon cas je suis en version 7.3.3.
2. Aller sur le “Fix Central” d’IBM (https://www.ibm.com/support/fixcentral) puis entrer les informations suivantes puis “Continuer” :
3. Sur la page suivante recherche “wincollect” puis “Continuer” comme ceci :
4. Dans la page suivante, il faut aller dans la section “WINCOLLECT” puis choisir le “SFS Bundle” comme ci-dessous et cliquer sur le groupe de correctifs :
5. Sur la page suivant copier le lien du SFS en faisant clique-droit puis copier le lien comme ci-dessous :
6. Aller sur la session SSH de votre QRadar CE puis taper les commandes suivantes, lors de l’installation, quand l’interface demande de continuer, entrer “y” puis “Entrée” :

[root@localhost ~]# cd /tmp
[root@localhost ~]# wget <lien copié>
[root@localhost ~]# mkdir /media/updates
[root@localhost ~]# mount -o loop -t squashfs ./<Version QRadar CE>_QRadar_wincollectupdate-<Version WinCollect>.sfs /media/updates/
[root@localhost ~]# /media/updates/installer

7. Ensuite pour le choix, cliquer sur “1)” (Restart event collection service at the end of the patch installation, on the Console and on all managed hosts patched from the Console.)
8. Aller sur l’interface graphique en tant qu’admin, si le message suivant apparaît il faut effectuer un “Full deploy” via “Admin>Advanced>Deploy Full Configuration“
9. Vous devriez avoir l’application “WinCollect” dans la section “Admin” comme ci-dessous :

4. Appliquer le patch correctif pour la collecte (OBLIGATOIRE)

Pour que la collecte fonctionne correctement, il faut appliquer le patch suivant : https://www.ibm.com/support/pages/updated-qradar-deploy-changes-31-december-2020-can-impact-product-functionality

Ce patch s’exécute via une session SSH en tant que “root“, puis entrer :

[root@localhost ~]# if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi

Il faut attendre quelques minutes et la collecte devrait être fonctionnelle. Pour tester cela, nous allons effectuer des envois de paquets depuis la machine hôte de la VM vers la machine QRadar sur le port 514, qui est en écoute pour la réception de logs.

Pour un terminal en bash ayant netcat d’installé, vous pouvez faire :

user@linux$ echo "[BASH] Log test from $(hostname) at $(date)" | netcat -q 1 <IP-QRadarCE> 514

Pour un terminal PowerShell, vous pouvez faire les commandes suivantes :

PS C:\Users\MyUser> function Send-UdpDatagram
{
      Param ([string] $EndPoint, 
      [int] $Port, 
      [string] $Message)

      $IP = [System.Net.Dns]::GetHostAddresses($EndPoint) 
      $Address = [System.Net.IPAddress]::Parse($IP) 
      $EndPoints = New-Object System.Net.IPEndPoint($Address, $Port) 
      $Socket = New-Object System.Net.Sockets.UDPClient 
      $EncodedText = [Text.Encoding]::ASCII.GetBytes($Message) 
      $SendMessage = $Socket.Send($EncodedText, $EncodedText.Length, $EndPoints) 
      $Socket.Close() 
}
PS C:\Users\MyUser> Send-UdpDatagram -EndPoint "<IP-QRadarCE>" -Port 514 -Message "[POWERSHELL] Log test from $env:COMPUTERNAME at $(date)"

Ensuite sur l’interface QRadar, dans l’onglet “Log Activity“, appliquez le filtre suivant et mettez les logs en “Raw” comme dans l’image ci-dessous :

Vous devriez avoir les logs de test envoyés via le terminal.

5. Mettre à jour l’heure (recommandé)

Le changement d’heure se fait facilement via l’interface, pour cela, se connecter en tant qu’admin et aller dans l’onglet “Admin“, sélectionner l’application “System and Licence Management“. Dans la nouvelle page double-cliquer sur l’instance grisée comme vous pouvez le voir ci-dessous :

Après avoir cliqué, vous accédez aux paramètres de l’instance, allez dans l’onglet “System Time” puis choisissez la bonne “Time Zone“, ici “Paris” et cliquez sur “Save” :

5. Conclusion

Tout est bon, vous pouvez désormais collecter vos équipements 🤗.