Cài đặt Qradar I Tổng quan 1.1.Cài đặt môi trường Yêu cầu cài đặt:  Hệ điều hành Centos  2vcpu, RAM tối thiểu 6GB ổ cứng 80GB  NTPsync : OK Network OK: Disk OK 1.2.Qradar 1.2.1 Giới thiệu Hệ thống SIME= SIM + SEM  Security Information Management: Hệ thống SIM hệ thống thu thập liệu ghi kiện từ thiết bị an ninh, chẳng hạn tường lửa, máy chủ proxy, hệ thống phát xâm nhập phần mềm chống virus Nhật ký an nình thong tin vbao gồm liệu Log từ nhiều nguồn bao gồm hệ thống phần mềm chống viru, phát xâm nhập( IDS), hệ thống ngăn chặn xâm nhập( IPS), tập tin hệ thống, tường lửa, router, máy chủ,… Cung cấp khả quán lý đăng nhập có khả lưu trữ ghi Multi-terabyte thời gian dài DO chưa có thành phần phân tích xử lý kiện an ninh nên SIM phát xử lý biến cố đơn giản o Các sản phẩm thương mại SIM: Splunk, ArcSight Logger, Log Logic, RSA envision, NetIQ Security Manager, IBM TCIM, EventTracker, Trigeo o Các sản phẩm mã nguồn mở SIM: OSSIM  Security Event Managerment: Hệ thống thu thập liệu kiện nhật ký thành phần( thiết bị, ứng dụng) hệ thống tạo Sau tập trung hóa việc lưu trữ xử lý, phân tích kiện lập báo cáo, đưa thông báo, cảnh báo liên quan đến an ninh hệ thống Không giống SIM, hạn chế SEM khơng có khả lưu trữ nhật ký thời gian dài Nhưng sản phẩm cung cấp, phân tích quản lý kiện cách mạnh mẽ, ứng phó cố hoạt động an ninh Các sản phẩm SEM: netForensics, Cisco Mars, IBM TSOM, ArcSight ESM  Security Information and Event Management Là giải pháp hoàn chỉnh cho phép tổ chức kiện thực việc giám sát kiện an tồn thơng tin cho hệ thống Giải pháp kết hợp từ giải pháp SIM SEM, xây dựng dựa ưu điểm giải pháp bổ sung thêm tính nhằm mục đích tăng cường hiệu việc giám sát an ninh mạng Nguyên lý SIEM thu thập liệu kiện an ninh từ nhiều thiết bị khác vị trí khác hệ thống Từ giúp người quản trị dễ dàng theo dõi tất liệu vị trí để phát xu hướng theo dõi dấu hiệu bất thường dấu hiệu cơng mạng xảy Một điểm mạnh SIEM khả giám sát quản lý người dùng thay đổi cấu hình cho hệ thống khác nhau, cung cấp kiểm toán đăng nhập xem xét ứng phó cố Các sản phẩm thương mại SIEM: Qradar, AccelOps, ArcSight, RSA Envision, LogLogic, Cisco Security MARS,… 1.2.2 Các dịch vụ SIEM  Quản lý ghi kiện an ninh  Đảm bảo an ninh thiết bị đầu cuối  Cung cấp hoạt động ứng phó  Tương quan liên kết kiện an ninh  Tuân thủ quy đicnh ATTT 1.2.3 Các tính Qradar  Nhập số lượng lớn liệu từ nguồn web đám mây  Áp dụng phân tích tích hợp để phát xác mối đe dọa  Tương quan hoạt động liên quan để ưu tiên cố  Tự động phân tích cú pháp chuẩn hóa nhật ký  Mối đe dọa thông minh hỗ trợ cho STIX / TAXII  Tích hợp giải pháp với 450 giải pháp  Kiến trúc linh hoạt triển khai trực tiếp đám mây  Cơ sở liệu tự điều chỉnh, có khả mở rộng cao tự quản lý II Cài đặt 2.1 Các bước cài đặt  Bước 1: Copy Qradar ISO đến máy ảo  Bước 2: Tạo đường dẫn /media sử dụng command line: mkdir /media/cdrom  Bước 3: Mount file ISO: mount ­o loop  /media/cdrom  Bước 4:chỉnh sử file /etc/yum.repos.d/CentOS-Gluster-4.1.repo  Bước 5: Chạy file /setup /media/cdrom/setup  Bước 1: 2.2 III Các lỗi thường gặp Lỗi Không đủ RAM nhớ Xử lý Mơi trường cài đặt có RAM tối thiểu 6GB ổ cứng 80GB Error: Generating Khơng có kết nối mạng AUTO_INSTALL_INSTRUCTIONS  Kiểm tra lại card mạng file failed ... lý II Cài đặt 2.1 Các bước cài đặt  Bước 1: Copy Qradar ISO đến máy ảo  Bước 2: Tạo đường dẫn /media sử dụng command line: mkdir /media/cdrom  Bước 3: Mount file ISO: mount ­o loop   /media/cdrom...I Tổng quan 1.1 .Cài đặt môi trường Yêu cầu cài đặt:  Hệ điều hành Centos  2vcpu, RAM tối thiểu 6GB ổ cứng 80GB  NTPsync : OK Network OK: Disk OK 1.2 .Qradar 1.2.1 Giới thiệu Hệ thống... /media/cdrom/setup  Bước 1: 2.2 III Các lỗi thường gặp Lỗi Không đủ RAM nhớ Xử lý Môi trường cài đặt có RAM tối thiểu 6GB ổ cứng 80GB Error: Generating Khơng có kết nối mạng AUTO_INSTALL_INSTRUCTIONS