QRadar SIEM Uygulama Yükleme ve App Host Bileşeni

Uygulama Yükleme İşlemi

IBM QRadar üzerine çeşitli uygulamalar yükleyebilirsiniz. Bu uygulamaları IBM’in marketi olan App Exchange üzerinden bilgisayarınıza indirerek sonrasında QRadar üzerine yükleyebilirsiniz.

App Exchange üzerinde yer alan tüm uygulamalar IBM tarafından onaylanmıştır bu yüzden güvenle indirip kurabilirsiniz.
https://exchange.xforce.ibmcloud.com/hub/QRadar

Web Adresine giriş yaptıktan sonra sol tarafta bulunan alanda filtreleme işlemi yaparak ilgili QRadar uygulamalarına erişebilirsiniz.Bu uygulama marketinde UBA gibi önemli uygulamalara erişebilirsiniz. Bazı uygulamalar ek lisans gerektirmektedir. Ancak UBA bir çok SIEM’de ücretli olmasına rağmen QRadar ile ücretsiz verilmektedir. Bu yazıda örnek olarak Pulse uygulamasını QRadar sistemimize entegre edeceğiz.Pulse gelişmiş ve özelleştirilebilir bir dashboard sunmaktadır.

Web adresine giriş yapıp pulse uygulamasının içerisine girdiğinizde ilgili uygulama ile alakalı çeşitli açıklamalar ve ekran görüntüleri görebilirsiniz.

Sağ üst alanda bulunan “download” butonuna tıklayarak ilgili uygulamamızı indiriyoruz.

QRadar için indirilen tüm uygulamalar .zip uzantısı ile inmektedir. İlgili dosyamızı bilgisayara indirkten sonra QRadar web arayüzüne giriş yapıyoruz. Uygulamaları yüklememize yardımcı menü olan Extansions Manager, QRadar içerisinde Admin Tabının altında bulunmaktadır.

İlgili menüye giriş yaptıktan sonra “Add” butonuna tıklayarak indirmiş olduğumuz .zip uzantılı dosyamızı seçiyoruz.

Ve “Install immediately” kutucuğunu işaretleyerek kurulumun başlamasını sağlıyoruz. Bu kutucuğu işaretlemez iseniz dosya upload edilir ancak yükleme işlemi yapılmaz.

Kurulum esnasında nelerin yükleneceğini veya değiştirileceğini gösteren bilgi pencerelerini geçtikten sonra ilgili uygulamamız QRadar menü barına gelecektir.

Bazı uygulamaları yükledikten sonra yapıyı değişiklikleri deploy etmeniz gerekir bunu işlemin gerekli olup olmadığını anlamak için admin tabında bekleyerek deploy gerekip gerekmediğini anlayabilirsiniz.

Sayfayı yenilediğinizde Pulse uygulamasını görebilirsiniz.

App Host

Biraz önce yüklemiş olduğumuz Pulse uygulaması şuan mevcut yapımızda Console bileşeninde çalışmaktadır. Uygulamaların kaynak tüketimi console’u yorabilir ya da yoğun bir console var ise artık console çalışmakta zorlanabilir. Bu gibi durumlarda AppHost kullanılmalıdır. App Host bir konteynırdır ve uygulamalarınızı app host üzerinde çalıştırabilir yönetimini de Console üzerinden gerçekleştirebilirsiniz.

App Host bileşeni hem All-in-one hem de Distributed yapıda çalışabilmektedir. App Hostta aynı collectorler gibi managed hosttur. App Host yapıya dahil edildikten sonra tüm uygulamalar App Hosta taşınır. Önemli bir noktayı unutmamak gerekir. Uygulamalar ya Console üzerinde ya da App Host üzerinde çalışmaktadır. Yani bir kısmı Console’da bir kısmı App Hostta gibi bir ayrım yapamazsınız.

App Host kurulumu gerçekleştirdikten sonra App hostu qradar console’a eklemeniz gerekir.Bu işlemden önce app host ve console’a ssh atıyoruz ve console üzerinde çalışan uygulamalara bir göz atıyoruz. Bu işlem için “docker ps” komutunu kullanabilirsiniz.İlgili komutu console da çalıştırdığımızda yüklü çeşitli uygulamalar çıkmaktadır. Bu çıktıda uygulamaların versiyon bilgisi ile karşılaştırma yapabilirsiniz.

Aynı komutu app host üzerinde çalıştırdığımız herhangi bir çıktının gelmediğini görebilirsiniz.

Sıradaki işlem ise Console’a artık bir app hostun var demektir. Bu işlem için QRadar web arayüzünde “Admin” tabına gelerek “System And License Management” menüsü altından

“Display:System” ayarlı olacak şekilde. Console üzerine tıklayarak “Deployment Actions” menüsüne tıklayıp “Add Host” seçeneğini seçiyoruz.

Add host seçeneğini tıkladıktan sonra hostun ip adresini ve root şifresini giriyoruz. Aradaki bağlantının şifreli olması için “Encrypt Host Connections” kutucuğunu işaretliyoruz.

QRadar kontrol edeceği 10 adım bulunmakta bu adımları tamamladıktan sonra App Host ekleme işlemini başarıyla tamamlayacaktır.

Kurulum esnasında ilgili bileşeni APP Host rolü ile kurduğumuz için QRadar bunu direkt algılıyor ve Appliance tipine app host diyor.

Yapıya yeni bir managed host eklediğimiz için bu değişiklik deploy istemektedir.

Son adımımız ise yüklemiş olduğumuz uygulamaları qradar console üzerinden app host üzerine taşıma işlemidir. Bu işlem oldukça basittir. Bu işlem için yine Admin tabı altında bulunan System And License Management menüsüne giriş yaparak Click to change where apps are run yazısına tıklamanız yeterlidir.

App Host diyerek devam edin.

Taşıma işlemi başlayacaktır.

Uygulamalarımız taşınmıştır.

Şimdi son olarak Console ve App Host üzerinde docker ps komutumuzu çalıştırıyoruz ve Console uygulamalarının hepsi app hosta geçmiştir.

Bir sonraki yazıda görüşmek üzere.



Leave a Reply

Your email address will not be published.

*
*
*