Cover Image

Projet #2 – Installation de QRadar CE 7.5

IBM a sorti il y a quelques mois une toute nouvelle mouture de sa version communautaire de QRadar, permettant à ses utilisateurs de passer de la version 7.3.3 à la 7.5. Ces changements permettent une utilisation plus proche de la réalité pour ces utilisateurs étant donné la dépréciation de l'ancienne version. En effet, de plus en plus d'actions étaient devenues impossibles, rendant son utilisation anecdotique.

Voici plus de détails sur son lancement :

https://www.reddit.com/r/QRadar/comments/1cmdfud/news_qradar_community_edition_relaunched_750_up8/ 

Malheureusement, pour les utilisateurs de l'ancienne version, une mise à jour de la version 7.3.3 vers la nouvelle n'est pas possible, il faut donc passer par une installation depuis zéro. Le but de cet article est de vous détailler le plus possible l'ensemble des étapes pour avoir un QRadar CE fonctionnel prêt à collecter vos premiers équipements. Avant de vous lancer dans l'installation voici quelques informations importantes à prendre en considération pour un bon déroulement.

Infrastructure simplifiée :

projet_2_archi.png 

Dans l'architecture ci-dessus, le QRadar va être hébergé localement sur un hyperviseur, en effet, la nouvelle version nécessite plus de ressources que la précédente (cf. les requirements) et il devient très compliqué de lancer le tout dans une machine virtuelle sur un PC portable. Dans un premier temps, l'architecture reste très locale pour plus de flexibilité sans compromettre la sécurité et l'intégrité de votre QRadar mais vous pouvez très bien exposer ce dernier (ou certains ports) sur un réseau externe et/ou public. Je vous conseille néanmoins de procéder comme dans le schéma ci-dessus dans un premier temps, surtout si vous n'avez pas renforcé votre infrastructure d'un point de vue sécurité, notamment avec des règles sur le pare-feu.

A savoir que vous pouvez toujours opter pour une solution de réutilisation d'ancien serveur ou PC fixe. Sur ce point, je vous invite à rechercher "Transformer son ancien PC en hyperviseur", plein d'articles et d'exemples couvrent le sujet, il faut seulement avoir le matériel et un peu de temps.

Prérequis :

  • Hyperviseur installé avec licence et accès internet
  • Un compte IBM fonctionnel
  • Le fichier .ISO de QRadar (Download QRadar Community Edition) téléchargé et copié sur l'hyperviseur
  • Le fichier .key de la licence communautaire disponible sur le site de l'éditeur
  • Une infrastructure interne à l'hyperviseur permettant aux machines hébergées dessus d'accéder à internet (ici un simple pare-feu avec quelques réglages sont suffisants)
  • Un PC portable pour pouvoir accéder à la console QRadar web une fois les configurations terminées (vous pouvez toujours créer une troisième machine dans l'hyperviseur)
  • Environ 3h devant vous et quelques collations (cafés ou thés selon les goûts) pour les temps d'attente et de chargement de l'installation 🍵


2. Création de la VM 


⏱️ 10 minutes ⏱️


Dans cette première étape, nous créer l'enveloppe de la future machine QRadar, il est donc important de prendre le temps de bien faire les configurations. Depuis le menu "Machines virtuelles" de l'ESXi :

  1. Étape 1 : Créer une machine virtuelle
  2. Étape 2 : Choisir un nom pour la machine puis définir les paramètres suivants pour le type de machine.
    1. Compatibilité Machine virtuelle ESXi 7.0 U2
    2. Famille de systèmes d'exploitation invités = Linux
    3. Version du SE invité = Red Hat Enterprise Linux 8 (64 bits)
  3. Étape 3 : Choisir votre environnement de stockage (par défaut vous avez un datastore configuré dans votre hyperviseur)
  4. Étape 4 : Définir les paramètres suivants pour les spécifications de la machine.
    1. CPU 4 vCPUs
    2. Mémoire 24 Go
    3. Disque dur 1 = 300 Go (le minimum demandé est 250 Go)
    4. Adaptateur réseau 1 = <GROUPE DE PORTS COLLECTE> (ce groupe de ports doit être le même que celui définit sur votre pare-feu)
    5. Lecteur de CD/DVD = Fichier ISO banque de données puis sélectionner le fichier .ISO QRadar
  5. Étape 5 : Terminer votre configuration

creation_vm.gif 

3. Installation de Red Hat 8


⏱️ 15 minutes ⏱️


Dans cette deuxième étape, nous allons démarrer la machine virtuelle et procéder à l'installation du système d'exploitation. Une fois démarrée, il faut faire attention à choisir l'option d'installation comme le montre la capture ci-dessous.

8.png 

Ensuite, vous n'avez rien à faire, l'installation va s'exécuter toute seule comme le montre la vidéo ci-dessous. Une fois terminée, la machine va redémarrer toute seule.

installation_redhat8.gif 

4. Installation de QRadar


⏱️ 40 minutes ⏱️


Dans cette troisième étape, nous allons effectuer l'installation de l'application QRadar sur la machine. Comme pour l'installation de Red Hat, il faut sélectionner l'option d'installation au démarrage comme décrit ci-dessous.

13.png 

Après environ 15 minutes, la première partie de l'installation se termine et un premier redémarrage va intervenir.

installation_qradar_1.gif 

Lors du démarrage, vous allez maintenant avoir plus d'option, il faut sélectionner la première.

20.png 

La machine va de nouveau redémarrer, choisir la même option puis laisser l'installation se faire durant une trentaine de minute, voici un aperçu de l'installation dans les grandes lignes.

installation_qradar_2.gif 

5. Configuration de QRadar


⏱️ 80 minutes ⏱️


Dans cette avant dernière étape, la plus longue de l'installation, nous allons (enfin) interagir avec QRadar pour configurer certains paramètres. A la suite de l'étape précédente, vous allez devoir rentrer le nom d'utilisateur "root", accepter les conditions puis vous allez avoir à configurer les options suivantes.

  1. Étape 1 : Appliance Install
    1. Assign appliance type by functionnality Appliance Install (purchased as an appliance)
  2. Étape 2 : Non-Software Appliance Assignment
    1. Assign by functionnality "All-In-One" Console 3199
  3. Étape 3 : Type Of Setup
    1. Choose the type of setup normal Normal Setup (default)
  4. Étape 4 : Date/Time Setup - en fonction de vos souhaits, vous pouvez configurer manuellement la date et l'heure ou partir avec un serveur NTP (choix fait ici)
    1. Time Server A0.fr.pool.nto.org (https://www.ntppool.org/)
  5. Étape 5 : Select Continent/Area - pour ce point et le suivant, vous choisissez en fonction de votre zone
    1. Select a time zone continent/area Europe
  6. Étape 6 : Time Zone Selection
    1. Select a time zone city or region Paris
  7. Étape 7 : Internet Protocol Setup
    1. Choose which Internet protocol version to use ipv4
  8. Étape 8 : Management Interface Setup
    1. Select management interface <ensXXX + MAC xx:xx:xx:xx:xx>
  9. Étape 9 : Network Information Setup
    1. Hostname = <FQDN> (exemple : qradar.domain.local)
    2. IP Address = <IPv4> (exemple : 192.168.1.2)
    3. Network Mask = <MASQUE RÉSEAU> (exemple : 255.255.255.0)
    4. Gateway = <IP DE LA PASSERELLE> (exemple : 192.168.1.1)
    5. Primary DNS = <IP DU DNS> (exemple : 192.168.1.1)

configuration_qradar_1.gif 

Après la mise en place de ces configurations, vous allez devoir configurer les mots de passe pour le compte root et le compte admin. Ensuite, QRadar va procéder à la mise à jour et l'installation d'autres composants que vous pouvez voir ci-dessous, cela prend une cinquantaine de minutes avec des parties plus ou moins longues.

configuration_qradar_2.gif 

Une fois que la configuration est terminée, vous pouvez accéder à la console web, pour ce faire il faudra sûrement ajuster des règles réseau sur votre pare-feu. A savoir, que le port exposé par QRadar est le 443, il vous suffit donc de faire une redirection de ports. Lors de votre première connexion, vous aurez le message suivant concernant le certificat, il vous faut l'accepter.

2025-01-31 16_42_39-2025-01-31 09-58-28.mkv - Lecteur multimédia VLC.png 

Dans la mire d'authentification, il faut mettre les informations du compte admin que vous avez configuré précédemment.

2025-01-31 16_51_26-2025-01-31 09-58-28.mkv - Lecteur multimédia VLC.png 

Suite à cela, il faut changer le mot de passe de ce compte et vous allez pouvoir accéder à QRadar après avoir accepté le contrat de licence. Après la connexion et quelques secondes de chargement, vous allez avoir un message concernant la licence temporaire, nous allons voir dans la dernière partie comment utiliser la licence trimestrielle d'essai mise à disposition par l'éditeur.

6. Installation de la licence


⏱️ 10 minutes ⏱️


Dans cette dernière partie, nous allons mettre en place la licence temporaire proposée par l'éditeur et qu'il faut renouveler trimestriellement comme décrit dans leur blog. Pour mettre la licence, il faut se rendre dans le menu "System and License Management" et cliquer sur "Upload License". Dans la nouvelle fenêtre contextuelle, il faut sélectionner le fichier que vous aurez précédemment téléchargé puis cliquer sur "Upload". Après quelques instant de chargement, la licence va apparaître dans votre menu comme ceci.

2025-01-31 17_20_12-2025-01-31 09-58-28.mkv - Lecteur multimédia VLC.png 

Si ce n'est pas le cas, réexécutez l'opération, voire déconnectez vous de QRadar et reconnectez vous. Une fois que vous obtenez la licence dans le menu, il faut l'allouer au système principal en cliquant sur le bouton "Allocate System to License". Enfin, pour terminer l'action, il faut effectuer un déploiement, pour cela il faut retourner dans le menu "Admin" de QRadar puis cliquer sur le bouton "Deploy Changes". Après quelques minutes de déploiement, vous pouvez retourner dans le menu des licences et observer un affichage similaire à celui ci-dessous.

2025-01-31 17_25_13-2025-01-31 09-58-28.mkv - Lecteur multimédia VLC.png 

7. Conclusion

Nous voici à la conclusion de ce projet d'installation du nouveau QRadar communautaire. Vous pouvez désormais explorer et tester bien plus de choses sur cette version, nous verrons dans de prochains articles quelques sujets intéressants à développer.

N’hésitez pas à me faire des retours si vous avez des questions ou à partager vos retours sur cette version, les attentes que vous avez sur cette version.

8. Bibliograhie

Currently there are no comments, so be the first!