QRadar Nedir? Nasıl Kurulur?

Erdinç Tandoğan 26 Tem 2020 QRadar 7 Okundu  0

Qradar ile ilgili çok fazla Türkçe kaynak bulunmamaktadır. Türkiye’de Türkçe kaynak oluşturmaya karşı çıkanlarda var , fakat tam tersi düşüncede olup bunun için gecesini gündüzüne katanlar da var.

Bugün, benimde severek takip ettiğim Burak AKDOĞAN‘ın  “QRadar Nedir? Nasıl Kurulur?” konulu Medium yazısı ile sizleri başbaşa bırakıyorum.

Siber güvenlik alanıyla ilgili Türkçe kaynakların artması dileğiyle..


QRadar Nedir? Nasıl Kurulur?

SIEM, denilen bileşen, sistemlerden logları toplar, anlamlandırıp alarm üretir ve raporlar. SIEM ‘in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir.

· Örnek olarak kartlı girişe sahip bir ofis düşünelim. O gün ofise gelmemiş bir personelin ofis bilgisayarından 4624 logon type 2 logu gelmesi muhtemel bir saldırıdır. 4624 logon type 2 logu interaktif bir şekilde bilgisayara login olma logudur.

SIEM’in çeşitli sistemlerden loglanan farklı formatlardaki olay kayıtlarını ortak bir veri modeline dönüştürmesi işlemine normalleştirme denir. Korelasyon aşaması önceden belirlenmiş kuralların yardımıyla farklı farklı sistemlerden veya uygulamalardan gelen olayları bağlantılandırarak güvenlik tehditlerinin tespitine ve harekete geçilmesine yardımcı olur. Birleştirme(aggregation) ise olayların birden fazla sayıda kaydı tutulmuşsa bunları bir kayıta indirerek analiz edilecek verinin hacmini düşürmekte ve işlemleri hızlandırmaya yardımcı olmaktadır.

SIEM’ in Çalışma Mekanizması

· Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak

· Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek

· Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak

· Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak

· SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek

QRadar

QRadar; IBM bünyesinde çıkarılan yeni nesil ve üstün özellikli bir SIEM sistemidir. IT varlıklarınız ve ağlarınızda gerçek anlamda bir görülebilirlik sağlayarak, çok geniş bir alanda karşılaşabileceğiniz ileri seviye tehditlerin tespitini ve gerekli uyumlulukların karşılanmasını sağlamaktadır.

QRadar’ın kullanım alanları

· Sistem ve networklerinizdeki mevcut tehdit ve zafiyetlerin tespiti, gerçekleşen olayların takibi.

· Sistem yöneticilerinin (admin) ve yetkili teknik kişilerin/hesapların denetlenmesi ve takibi.

· Şifre / Kullanıcı işlemlerinin denetlenmesi ve takibi.

· Sistemlerinizdeki bilinmeyen/gizli güvenlik ihlallerinin tespiti ve erken uyarım sağlanması.

· Kurumsal güvenlik standart ihlallerinin takibi.

· ISO 27001, SoX, PCI, Nerc, Cobit, vb. Compliance raporlama ve denetimleri.

· Zaafiyet tarama ve Risk Yönetimi

· Loglar ve network hareketleri için “Anomali” ve “Trend” izleme.

· Network hareketlerinin yakalanması ve simulasyonu.

IBM QRadar Community Edition Kurulumu

IBM QRadar kurulumu için öncelikle IBM Developer sitesinden QRadar Community Edition OVA dosyasını indirmemiz gerekiyor.

İndirdiğimiz OVA dosyasını VMware Workstation a import ediyoruz.

Aşağıdaki hatayı alanlar için ;

Öncelikle bu hatanın çözümü için bu aşamaları uygulamamız gerekiyor.

“QRadarCE733GA_v1_0.ova” dosyasını 7-Zip ile açıyoruz. Dosya uzantısı. mf olan dosyayı siliyoruz. Ovf dosyasını VMware ‘de tekrardan açıyoruz.

Import işlemi bittikten sonra makinemizi çalıştırabiliriz

Root kullanıcısı ile girdiğimizde bizden yeni şifre istiyor yeni şifremizi girdikten sonra devam ediyoruz.

Centos makinesinin klavyesi default olarak ingilizce geldiğinden, klavyeyi türkçeye çevirmek isteyebilirsiniz. Bunun için localectl set-keymap tr komutunu kullanabilirsiniz.

Nmtui toolu ile makinamızın network ayarlarını yapıyoruz.

Ulaşılabilirlik açısından ip adresini dinamik olarak vermeniz daha iyi olur.

Network ayarları da bittikten sonra ./setup ile kuruluma başlıyoruz.

Gelen ekranı enter ile geçiyoruz.

Okuduktan sonra q ‘ya basıp ardından enter’a basıp devam ediyoruz.

Y ile onaylıyoruz ve kurulumu başlatıyoruz.

Kurulum bittikten sonra web arayüzü için şifre belirliyoruz.

Şifremizi de belirledikten sonra makinamızı kapatıp açıyoruz. Bunu reboot komutu ile yapabilirsiniz.

Makinemiz açıldıktan sonra https://ip_adresi/console adresinden QRadar’ın web arayüzüne ulaşabilirsiniz.

Username : admin

Password kısmı kurulum yaparken verdiğiniz şifredir!!

Giriş yaptıktan sonra sizden yeni bir şifre girmenizi isteyecektir.

Bir sonraki yazımda görüşmek üzere.

Hiç Benzer Yazı Bulunamadı Malesef :(

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir