Глава 3. Управление развёртываниями QRadar

До сих пор мы рассматривали составляющие QRadar и то, как они взаимодействуют друг с другом. Различные виды реализаций зависят от платформы, в которой развёртываются компоненты QRadar. В своих последующих подразделах мы рассмотрим пять типов развёртываний.

IBM работает в кооперации с Lenovo и продаёт оборудование QRadar в виде блоков M4, M5 и M6. Эти блоки также обладают предварительно загруженными ISO, которые уже обладают кодом RHEL и QRadar. Вам нет нужды устанавливать RHEL отдельно, что сберегает громадный объём времени. Для установки и конфигурации в соответствии с требованиями разделов RHEL требуется достаточный объём времени.При установке QRadar вы можете определять какие именно компоненты QRadar вы желаете установить в этом блоке, причём будет ли это Консоль QRadar или какой- либо управляемый хост.

QRadar также может устанавливаться в виртуальных машинах. Перед установкой убедитесь в соответствии требованиям к оборудованию - например, в требованиях по оперативной памяти и ЦПУ. Существуют две возможные для виртуальных машин установки:

Если у вас имеются серверы с голым железом, убедитесь что они соответствуют требованиям оборудования и заетм установите QRadar, воспользовавшись ISO QRadar; как альтернатива, установите RHEL, а затем поверх неё QRadar.

Для этого вам потребуется применяющее технологию KVM устройство, например, IMM (Integrated Management Module). Воспользовавшись им вы можете смонтировать ISO QRadar и приступить к установке. Мы рекомендуем вам воспользоваться ISO QRadar вместо установки ОС RHEL с последующей установкой в ней QRadar.

Когда у вас имеются установленными в облачном решении все приложения, вам придётся остановиться на установке QRadar в вашей облачной среде. QRadar поддерживает такие:

QRadar обладает доступными на рынке образами, которые можно запросто устанавливать в вашем облачном решении. Вы также можете установить в этих облачных решениях управляемые хосты. Это делает удобным управление данными и безопасностью в соответствующем облачном решении.

IBM предоставляет бесплатную версию QRadar для выгрузки и установки кем угодно в виртуальной машине, сервере голого железа и тому подобных вариантах. Обучающиеся, как и профессионалы безопасности могут устанавливать её для того чтобы разобраться с тем как работает QRadar и с её помощью получить практику из первых рук. Это версия с полной функциональностью, хотя значения ёмкости EPS (events per second, событий в секунду) и FPM (flows per minute, потоков в минуту) для этой версии установлены в 50EPS и 5 000FPM. Поскольку эти пропускные способности низкие, необходимые ресурсы также малы и установка возможна даже в ноутбуке, обладающем требующимися ресурсами.

Вы можете выгрузить Редакцию Сообщества QRadar.

В своём предыдущем разделе мы разобрались с различными способами, коими может устанавливаться QRadar. Теперь давайте взглянем более подробно на установку образца.

Самый первый шаг при установке QRadar состоит в том чтобы разобраться какие именно компоненты QRadar потребуются при развёртывании. Когда это потребуется, мы всегда можем добавить Процессоры и Сборщиков по мере необходимости. Тем не менее, нам необходимо начать с самого первого шага, требующего сбор сведений. Давайте приступим:

После того как мы убедились в надлежащих программных и аппаратных требованиях, наш следующий шаг состоит в выгрузке необходимого ISO QRadar из Fix Central. Вам потребуется зарегистрироваться со своим ID IBM и выгрузить необходимый ISO.

В своём предыдущем разделе мы обсудили различные виды платформ и различные способы установки QRadar. Ниже приводятся шаги, необходимые вам для установки в Виртуальной машине. Обратите внимание на то, что эти шаги достаточно схожи с теми, которые применяются при установке QRadar на голое железо. Итак, приступим:

Короче говоря, все эти шаги, которые вовлечены в установку компонентов QRadar. Теперь, когда вы ознакомились с различными типами развёртываний и тем, как выполнять их установку, давайте обсудим два занимательных момента QRadar, с которыми необходимо быть знакомыми - обновление и масштабирование. Не сомневайтесь, что если вы выполите обновление QRadar согласно приводимым инструкциям, это всегда будет гладким процессом.

IBM QRadar выпускает обновления основной версии (major) раз в год, а менее значимые обновления (minor) ежеквартально. Такие менее значимые обновления также носят название Fix Packs или Upgrade Packs, в зависимости от той версии QRadar, которую вы обновляете. Основные обновления версий обычно появляются с изменениями ядер операционной системы, причём QRadar может потребовать перезапуска после обновления или в его процессе. Когда незначительные обновления также содержат обновления обновления ОС, перезапуск также может потребоваться и для незначительных обновлений. Когда служба поддержки QRadar сталкивается с какими- то дефектами и им требуется обеспечить поддержку более старой версий, обычно выпускаются IF (Intermediate Fixes, промежуточные корректировки). Эти IF зависят от версии. Поэтому, перед установкой обновлений всегда пройдитесь по замечаниям выпуска для этой версии.

Во многих ситуациях может возрастать оценка нагрузки QRadar в плане обрабатываемых событий и потоков. Это происходит когда на борт пользовательских сред добавляется большее число устройств - например, устанавливается множество межсетевых экранов, добавляется больше веб серверов и дополнительно подключаются сетевые устройства, например, маршрутизаторы. Для того чтобы приспосабливать такие изменения в нагрузке могут добавляться процессоры событий и потоков.

Теперь давайте погрузимся в то как обновлять имеющуюся у вас реализацию.

Первейшим делом является разобраться с текущей версией вашей реализации и последними доступными версиями. Рекомендуется чтобы у вас была самая последняя версия или предпоследняя версия. Выпуски QRadar обладают большим числом обновлений безопасности, обновлений функциональных возможностей, обновлений ОС, обновлений стабильности вашей среды, обновлений интеграции с новыми устройствами и тому подобного. Именно поэтому рекомендуется обладать самой последней версией для полного применения потенциала QRadar.

Когда вы определились какую версию обновлять, следующим моментом является проверка замечаний выпуска к этой версии QRadar. Здесь вы разбираетесь с предоставляемыми этой версией новыми функциональными возможностями, мерами безопасности и обновлениями. Такие замечания также обладают исчерпывающими сведениями по выполняемым шагам обновлений. Настоятельно рекомендуется иметь среды UAT (User Acceptance Testing, проверки на допустимость), в которых вы бы смогли проверить такое обновление. В гигантской среде, в которой под управлением пребывает большое число хостов, UAT может быть разработана таким образом, чтобы она покрывала большую часть сценариев обновлений. Например, когда у вас имеются 20 Процессоров событий, 20 Процессоров потоков, 8 устройств QNI и некий хост Прикладных приложений, ваша UAT может иметь два Процессора событий, два Процессора потоков, одно устройство QNU и хост Прикладных приложений. Это способно выполнить имитацию большую часть необходимых для осуществления проверок. После обновления решения UAT можно отметить имеющиеся недостатки. В случае проблем с обновлением или при наличии вопросов модно открыть вариант поддержки при помощи QRadar Support. После разрешения всех проблем могут применяться наилучшие рекомендации при осуществлении обновления в вашем промышленном решении.

Некоторые обновления могут выдавать предупреждение относительно предпринятия дополнительных шагов. Например, для обновления QRadar 7.3.x на 7.4.2 и выше, необходима миграция файловой системы. Требуются отдельные этапы для миграции вашей файловой системы с GlusterFS на файловую систему DRBD (Distributed Replicated Block Device, распределённых блочных устройств с репликацией). Это уникальные ситуации и они не всегда имеют место. Основные шаги для необходимого обновления достаточно прозрачны и подробно описываются в замечаниях соответствующего выпуска.

Исчерпывающий перечень контрольных пунктов для администраторов QRadar можно найти здесь.

Для своих шагов по обновлению администраторам следует придерживаться имеющихся руководств для проверки перед проведением обновления при помощи приведённой ссылки и замечаний к выпуску.

Перед проведением обновления всегда рекомендуется выполнить резервное копирование конфигурации. В случае возникновения существенного сбоя может потребоваться повторное построение системы. После повторного построения вашей системы будет выполнено восстановление резервной копии. В случае выполнения проверок перед обновлением и следования инструкциям обновления ваше обновление будет успешным.

Для проведения обновлений QRadar имеются различные стратегии, в том числе вариант Patch All (со всеми исправлениями). Я бы не рекомендовал такой подход для решений со значением числа управляемых хостов больше четырёх. Когда вы выбираете Patch All, обновляется ваша Консоль, а затем выполняется обновление управляемых хостов одного за другим. это не требует никакого вмешательства вручную.

Другим способом обновления было бы обновление сначала Консоли QRadar с последующим копированием файлов SFS или ISO в соответствующие управляемые хосты и последующим их пакетным обновлением. Данная стратегия может применяться в решениях крупного масштаба - например, после выполнения обновления Консоли следующим шагом было бы обновление всех имеющихся Процессоров и узлов данных одним этапом. Дальнейшим этапом было бы обновление Сборщиков событий и потоков, включая QNI за один шаг.

При второй стратегии вы способны даже перемещать собрания событий и потоков в один набор Сборщиков событий и потоков на то время, пока обновляются прочие Сборщики событий и потоков. Например, когда у вас имеется 10 Сборщиков событий, вы можете разделить своё обновление на два пакета. Сначала вы перемещаете Сборку событий на остающиеся Сборщики событий, допустим, на 5 из них. Обновляете высвободившиеся 5 Сборщиков событий. Перемещаете обратно сборку событий в уже обновлённые Сборщики событий и далее обновляете оставшиеся 5 Сборщиков событий. После того, как все сСборщики событий обновлены, сборка событий может быть перераспределена на имевшуюся до выполнения обновления. Это обеспечивает минимальный простой для сборки сведений.

Другим подлежащим обращению на него внимания моментом является то, что необходимые файлы обновления это обычно файлы SFS и они размещаются на площадке Fix Central IBM. Они разбиты на категории по версиям.

Соответствующие файлы SFS для некоторых компонентов QRadar различаются. Основные файлы SFS для Консоли QRadar, процессоров, Сборщиков, Хоста прикладных приложений, узлов данных, QRM, QVI и QNI одни и те же. Для прочих продуктов, например, для Incident Forensics QRadar файлы SFS другие. В Fix Central будут представлены все эти файлы.

В предыдущих разделах мы обсудили как обновить программное обеспечение QRadar. В этом разделе мы рассмотрим обновления встроенного программного обеспечения (ПО) для устройств QRadar.

Когда вы работаете с QRadar, это может быть либо устройство QRadar, либо сервер голого железа с установленным QRadar. Для всех прочих типов реализаций, помимо вышеупомянутых, не применяются обновления встроенного ПО. Если вы не приобретали оборудование у IBM, для отслеживания обновлений вам следует обращаться к своему поставщику средств. Однако, когда вы пользуетесь устройствами QRadar IBM, для приобретённых устройств доступны персональные обновления встроенного ПО (firmware).

Устройства QRadar IBM могут быть разбиты на категории устройств M3, M4, M5 и M6 в зависимости от предоставляемых аппаратных возможностей. Каждый из этих типов устройств обладает в доступности различающимися версиями встроенного ПО. Таким образом, в зависимости от типа своего устройства, вам следует выполнить обновление до самой последней из доступных версий. Имеющиеся в доступности файлы встроенного ПО это файлы ISO или IMG. Файлы ISO могут применяться для удалённого обновления встроенного ПО при помощи IMM. Файлы IMG могут применяться для обновления встроенного ПО непосредственно в самом устройстве. При наличии большого числа устройств удалённое обновление может сберечь много времени, ибо необходимые обновления можно запускать одновременно в различных консолях IMM.

Здесь представлены дополнительные сведения относительно того как выполнять обновление встроенного ПО.

Также у нас имеется исключительный блог по устранению проблем при обновлении встроенного ПО.

Теперь, когда мы ознакомились с обновлением, давайте далее погрузимся в рассмотрение масштабирования.

Все компоненты обладают ограниченными ресурсами, а следовательно, и порог ёмкости для сбора и обработки данных. Как нам известно, данные потребляются в виде событий и потоков. Тем самым, всякий компонент обладает неким пределом числа потоков и событий, которые способен собирать и обрабатывать конкретный компонент. Эти пороговые значения измеряются в терминах EPS и FPM. Однако имеются способы масштабирования вашего решения. Давайте в последующих разделах рассмотрим что они представляют собой.

Когда данные - то есть события и потоки - требуется удерживать дольше чем планировалось, что нам потребуется, так это больше дискового пространства. Также вы можете в своё решение добавить дополнительные Процессоры и переместить несколько источников журналов в этот новый Процессор. Тем не менее, это не идеальное

В гигантских реализациях источники журналов настраиваются таким образом чтобы сбор данных и их синтаксический разбор выполнялись в Процессорах событий. Собственно Консоль осуществляет прочие процессы интенсивного подъёма, такие как выработку отчётов и обработку досмотров. В подобных ситуациях, когда требуется поглощать больше данных, надлежит добавлять Процессоры событий. Когда общие входящие данные превосходят лицензируемое пороговое значение, можно добавить в имеющийся пул лицензий дополнительные лицензии. В заключительном разделе этой главы мы рассмотрим как работают лицензии.

При некоторых обстоятельствах данные следует собирать из географически разнесённых мест. Наилучшим решением для подобной ситуации является установка Сборщиков событий/ потоков по месту источников журналов с последующей отправкой полученных сведений в соответствующие Процессор или Консоль для корреляции с правилами и хранилищем. Установка Сборщиков в источниках способствует обладанию единственным подключением из различных географических мест к процессорам. В противном случае, для каждого источника журнала, в зависимости от его типа, требуется открывать различные порты по географически распределённым межсетевым экранам.

После добавления сборщиков для обработки собираемыми сведениями Процессоры обладают бо́льшими ресурсами. Добавление Сборщиков событий и потоков способствует лучшей работе QRadar.

Для соответствующих устройств QRadar, в особенности для развёртываемых в виртуальных машинах, гораздо проще увеличивать вычислительные ресурсы добавлением ЦПУ и увеличением памяти.

Значения ЦПУ и памяти, по крайней мере, должны удовлетворять предварительным требованиям в оборудованию QRadar.

На данный момент мы рассмотрели различные типы реализаций в QRadar и как следует обновлять QRadar, а также как его масштабировать. В своём следующем разделе мы обсудим тонкости, относящиеся к лицензированию в QRadar.

Вплоть до версии 7.3 QRadar имелось два типа лицензий - одна для активации устройства и одна для ёмкости устройства в терминах EPS и FPM. Для QRadar 7.4 и выше единственным имеющимся типом лицензии выступает ёмкость. Все имеющиеся лицензии добавляются в Консоль и формируют пул лицензий. Из данного пула лицензий администратор QRadar имеет возможность распределять имеющуюся ёмкость лицензирования по Процессорам.

Обращаем внимание на то, что лицензии применяются к Процессорам, а не к Сборщикам. Это обусловлено тем, что хотя данные накапливаются Сборщиками, обрабатываются и хранятся они в Процессорах. Когда вы обладаете лицензией на 30 000 EPS, а значение числа получаемых Сборщиком EPS превышает 30 000, события могут буферироваться, подвергаться синтаксическому разбору и затем отправляться в имеющийся процессор где они и сохраняются. Имеется предел на значение числа буферируемых событий. Если значение числа EPS соответственно превышает величину порогового значения лицензии, наш администратор наблюдает в Консоли QRadar предупреждение License Threshold. Более подробно проблемы с производительностью мы обсудим в Главе 11.

IBM имеет команду, которая способна оказать администраторам QRadar помощь в приобретении новой или дополнительной лицензии ёмкости. Администраторы могут послать письмо на q1pd@us.ibm.com и эта команда предоставит необходимые лицензии. Такие лицензии являются платными. Администраторы QRadar также могут вступать в контакт со своими представителями учётной записи IBM, если требуются лицензии POC (Proof of Concept, проверки прототипа) или для иных демонстрационных целей.

Другим моментом, на который следует обратить внимание, это понимание аппаратных возможностей того Процессора, к которому оно будет применяться. Для сбора и обработки событий существует два типа применяемых ограничений - первым выступает ограничение лицензии, а второе это ограничение оборудования. Всякий вид аппаратных средств обладает верхним пороговым значением, выше которого сбор и обработка данных сталкиваются с проблемами производительности. Таким образом, к Процессору с ограничением оборудования в 20 000 EPS не стоит применять лицензию на 30 000 EPS. Очевидно, что такой Процессор не будет способен обрабатывать 30 000 EPS в силу аппаратных ограничений.

В данной главе мы обсудили в простейшем виде то, как можно управлять QRadar. Важно понимать те основы, которые находятся позади того как спроектирован QRadar для обновления и масштабирования. В процессе обновления выполняйте проверки перед самим обновлением. Во многих случаях проверки перед обновлением могут завершаться неудачно. В такой ситуации открывайте обращение в службу технической поддержки IBM. Если проверки перед обновлением не прошли, не выполняйте обновление. При масштабировании QRadar следует учитывать два момента: лицензирование и применяемые компоненты.

Овладев навыками управления развёртыванием QRadar, вы устраните более 80% проблем, которые способны отнимать у вас и всей команды время и усилия. Вы будете способны тратить больше ресурсов, дабы сосредоточиться на интеграции ваших решений безопасности с QRadar. В следующей главе мы узнаем, как интегрировать в QRadar различные данные.