Dans cet article, nous allons voir comment mettre en place l'appliance App Host de QRadar qui permet d'héberger les applications de QRadar sur une seule et même machine. L'objectif est de segmenter les rôles dans l'environnement de QRadar et ainsi d'optimiser les ressources. En effet, dans un environnement QRadar CE, la console va souvent être installée en All-In-One (AIO). Or, ce type d'installation implique que cette appliance fasse tout, de la collecte, au traitement des évènements mais également au maintien de tout l'environnement GUI de QRadar. Et c'est sur ce dernier point que nous insistons dans cet article puisque seulement 10% de la mémoire (RAM) sont alloués pour les applications, ce qui est peu quand on sait que certaines applications comme l'UBA (User Behavior Analytics) ont besoin de plusieurs gigas pour fonctionner correctement. D'un autre côté une appliance dédiée telle que l'App Host alloue 80% de sa mémoire aux applications puisqu'elle est dédiée à cela, donc il y a un autre effet bénéfique de cette segmentation qui est la certitude de ne pas impacter la détection et la collecte des évènements, même si une application consume toute la mémoire et bug.

Prérequis :

• Hyperviseur installé avec licence et accès internet
• Un compte IBM fonctionnel
• Le fichier .ISO de QRadar (Download QRadar Community Edition) téléchargé et copié sur l'hyperviseur
• Une infrastructure interne à l'hyperviseur permettant aux machines hébergées dessus d'accéder à internet (ici un simple pare-feu avec quelques réglages sont suffisants) et un accès entre la console QRadar et la nouvelle machine AppHost
• Un PC portable pour pouvoir accéder à la console QRadar web une fois les configurations terminées (vous pouvez toujours créer une troisième machine dans l'hyperviseur)
• Environ 3h devant vous et quelques collations (cafés ou thés selon les goûts) pour les temps d'attente et de chargement de l'installation 🍵

2. Création de la VM 

⏱️ 10 minutes ⏱️

Dans cette première étape, nous créer l'enveloppe de la future machine QRadar, il est donc important de prendre le temps de bien faire les configurations. Depuis le menu "Machines virtuelles" de l'ESXi :

1. Étape 1 : Créer une machine virtuelle
2. Étape 2 : Choisir un nom pour la machine puis définir les paramètres suivants pour le type de machine.
   1. Compatibilité = Machine virtuelle ESXi 7.0 U2
   2. Famille de systèmes d'exploitation invités = Linux
   3. Version du SE invité = Red Hat Enterprise Linux 8 (64 bits)
3. Étape 3 : Choisir votre environnement de stockage (par défaut vous avez un datastore configuré dans votre hyperviseur)
4. Étape 4 : Définir les paramètres suivants pour les spécifications de la machine.
   1. CPU = 4 vCPUs
   2. Mémoire = 12 Go
   3. Disque dur 1 = 260 Go (le minimum demandé est 250 Go)
   4. Adaptateur réseau 1 = <GROUPE DE PORTS COLLECTE> (ce groupe de ports doit être le même que celui définit sur votre pare-feu)
   5. Lecteur de CD/DVD = Fichier ISO banque de données puis sélectionner le fichier .ISO QRadar
5. Étape 5 : Terminer votre configuration

Vous retrouverez tous les détails des recommandations matérielles dans les liens en bibliographie.

3. Installation de l'AppHost

Dans cette deuxième - longue - étape nous allons procéder à l'installation et la configuration système de la machine. Vous verrez que cette installation est identique à celle des autres appliances QRadar et qu'elle diffèrera dans la section configuration principalement.

3.1 Installation de Red Hat 8

⏱️ 15 minutes ⏱️

Premièrement, procédons à l'installation du système qui hébergera QRadar : RedHat 8. Comme montré ci-dessous, il faut sélectionner l'installateur au démarrage et se laisser porter par l'installation.

3.2 Installation de QRadar

⏱️ 130 minutes ⏱️

Deuxièmement, après l'installation de RedHat, la machine va redémarrer et vous proposer une installation de QRadar (Factory Install), elle est choisie par défaut et se lancera même si vous n'avez pas fait attention.

Après plusieurs minutes d'installation, la machine va de nouveau redémarrer et poursuivre l'installation des composants systèmes. Ne vous inquiétez pas, les options par défaut sont choisies au démarrage, permettant l'installation de tous les paquets sans aucune intervention manuelle nécessaire.

3.3 Configuration de la machine

⏱️ 15 minutes ⏱️

Troisièmement, nous allons effectuer la configuration de la machine comme ci-dessous.

1. Étape 1 : Appliance Install
   1. Assign appliance type by functionnality = App Host Appliance
2. Étape 2 : App Host Appliance Assignment
   1. Assign by functionnality = App Host 4000
3. Étape 3 : Type Of Setup
   1. Choose the type of setup = normal Normal Setup (default)
4. Étape 4 : Select Continent/Area - pour ce point et le suivant, vous choisissez en fonction de votre zone
   1. Select a time zone continent/area = Europe
5. Étape 5 : Time Zone Selection
   1. Select a time zone city or region = Paris
6. Étape 6 : Internet Protocol Setup
   1. Choose which Internet protocol version to use = ipv4
7. Étape 7 : Management Interface Setup
   1. Select management interface = <ensXXX + MAC xx:xx:xx:xx:xx>
8. Étape 8 : Network Information Setup
   1. Hostname = <FQDN> (exemple : qradar.domain.local)
   2. IP Address = <IPv4> (exemple : 192.168.1.2)
   3. Network Mask = <MASQUE RÉSEAU> (exemple : 255.255.255.0)
   4. Gateway = <IP DE LA PASSERELLE> (exemple : 192.168.1.1)
   5. Primary DNS = <IP DU DNS> (exemple : 192.168.1.1)
9. Étape 9 : Root Password Setup
   1. Enter New Root Password = <mot de passe root choisi>
   2. Confirm New Root Password = <mot de passe root choisi>

Enfin, QRadar va appliquer tous les changements pendant plusieurs minutes et vous rendre la main sur l'accès à la machine. Avant de passer à l'étape suivante, je vous conseille d'effectuer les tests des routes en SSH entre l'App Host et la Console pour valider les flux.

4. Configuration de QRadar

⏱️ 20 minutes ⏱️

Dans cette quatrième étape, nous allons passer sur l'interface QRadar pour ajouter la nouvelle appliance dans l'environnement QRadar se composant uniquement de la console AIO (All-In-One). Comme pour tous les autres composants, il faut se rendre dans le menu "Admin" puis "System and License Management" pour l'ajout. Ensuite, il faut se mettre dans la vue système (vue par défaut), puis cliquer sur le bouton "Deployment Actions" puis "Add Host".

Une fenêtre de configuration va s'ouvrir, vous demandant quelques informations sur la machine à ajouter. Dans notre cas, nous allons seulement remplir les champs Host IP, Host Password et Confirm Password. Il s'agit du minimum à compléter pour l'ajout d'une appliance QRadar, néanmoins, si vous avez des besoins spécifiques tel que le NAT, il faut configurer les autres champs dédiés. Après compléter tous les champs souhaités, cliquer sur "Add".

Il va s'en suivre un processus d'une quinzaine de minutes permettant d'effectuer toutes les configurations pour l'ajout de cette machine. Vous allez voir 10 étapes se succéder et se valider si tout se passe correctement. En cas de dysfonctionnement, il faut savoir qu'une étape n'est affichée qu'une fois terminée, de ce fait, en fonction d'où le configurateur s'arrête vous pouvez en déduire l'étape posant problème. Vous pouvez également vous référer au log présent dans la console, tel que :

/var/log/qradar.error

Après la finalisation des 10 étapes avec succès, l'appliance se visible dans le tableau du menu "System and License Management" mais, avant de passer à la suite, il faut effectuer un déploiement pour valider l'ajout de la machine.

5. Migration des applications

⏱️ 10 minutes ⏱️

Dans cette dernière étape de configuration, nous allons migrer les applications vers cette nouvelle machine. En effet, sans cette action, l'App Host n'aura pas comme consigne d'héberger les applications, alors que c'est ce pourquoi nous l'avons ajouter à notre environnement. Cette migration se passe toujours dans le menu "System and License Management", il faut cliquer sur le nouveau bouton apparu en dessous de la section "Apps are set to run on the Console".

Il faut noter que si votre environnement n'est pas déployé correctement vous allez faire face à l'erreur suivante, il faudra donc lancer un déploiement avant de pouvoir effectuer la migration des applications.

Si votre déploiement est valide, alors la migration va se lancer et une barre de chargement va apparaître vous informant du statut de l'opération. Après quelques minutes, toutes les applications seront migrées vers l'App Host, à savoir qu'il est également possible de faire l'opération inverse en cas de besoin en suivant le même processus.

6. Test et validation

⏱️ 10 minutes ⏱️

Dans cette dernière section, nous allons voir comment valider la bonne installation et migration de l'App Host. En allant dans le menu du QRadar Assistant, on peut voir ci-dessous, avant l'opération que seulement 2.3GB sont alloués pour les applications.

Après l'opération, toujours dans le même menu, on constate cette fois-ci 9.2GB disponibles.

Un dernier test que nous pouvons effectuer en ligne de commande est le suivant :

[root@apphost ~]# /opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
PROCESSES = ''
Removing classify, flowprocessor, updatedaemon, qvmprocessor, qvms canner and qvmhostedscanner from expected processes...
new PROCESSES = ' hostcontext '
The following progress checks are enabled: (1) "HostContext: Configuration Download"
Thu Feb 13 11:57:29 CET 2025: Waiting for processes ' hostcontext ' to be running...
+-----------+-------+-------+
|Process    |Seconds|Status |
+-----------+-------+-------+
|hostcontext|1      |running|
+-----------+-------+-------+
All 1 managed processes are running.

OK: All processes started after 1 seconds on apphost.

Si vous obtenez l'affichage identique à celui ci-dessous modulo le nom de machine, cela signifie que tous les services de base sont en cours d'exécution sur la machine.

7. Conclusion

Nous voici à la conclusion de ce projet d'installation d'une appliance App Host QRadar. Vous pouvez désormais explorer l'univers très vaste des applications dans QRadar, vous permettant ainsi d'aller plus loin dans vos tests.

N’hésitez pas à me faire des retours si vous avez des questions ou à partager vos retours sur cette version, les attentes que vous avez sur cette version.

8. Bibliograhie

• QRadar AppHost prérequis : Spécifications de l'hôte d'application 
• Prérequis réseau QRadar : Hôtes d'application

Merci d’avoir suivi ce petit tuto, en espérant que cela vous ait été utile. N’hésitez pas à me communiquer vos ressentis, tips…etc via le formulaire ci-dessous.