Instalación de una pasarela de datos de QRadar en Google Cloud Platform

Se conecta a IBM® QRadar® on Cloud a través de una pasarela de datos. Puede instalar la pasarela de datos en una instancia de Google Cloud Platform (GCP) utilizando la imagen proporcionada.

Antes de empezar

Asegúrese de que el dispositivo cumple los requisitos del sistema de pasarela de datos. Consulte Requisitos del sistema para pasarelas de datos.

Planifique una ventana de mantenimiento para esta tarea y asegúrese de que los usuarios no desplieguen cambios mientras se añade la pasarela de datos al despliegue.

Asegúrese de que tiene el nombre de host completo de la consola a la que se conecta a través del dispositivo de pasarela.

Acerca de esta tarea

Para cualquier problema con el software de QRadar , póngase en contacto con el soporte de IBM . Si tiene algún problema con la infraestructura de GCP, consulte la documentación de GCP. Si el soporte de IBM determina que el problema está causado por la infraestructura de GCP, debe ponerse en contacto con GCP para obtener soporte para resolver el problema subyacente con la infraestructura de GCP.

Debe utilizar direcciones IP públicas y privadas estáticas.

Las pasarelas de datos deben estar instaladas de una en una. Si está instalando más de una pasarela de datos, espere hasta que complete la instalación de una antes de instalar la siguiente.

No puede tener más de dos entradas DNS. La instalación de QRadar falla si tiene más de dos entradas DNS en el archivo /etc/resolv.conf .

Procedimiento

  1. Cree un nombre de proyecto en GCP que permita que un nombre de dominio completo (FQDN) no tenga más de 63 caracteres de longitud. El FQDN consta del nombre de despliegue seguido de -vm, la zona, la región, el nombre de proyecto y .internal.

    Por ejemplo, si el nombre de proyecto es abc-stq-xyz, el nombre de despliegue del dispositivo es qr-con, la zona es us-east4-cy la región es c, el FQDN es qr-con-vm.us-east4-c.c.abc-stq-xyz.internal. La zona puede tener entre 10 y 25 caracteres de longitud. En función de la zona, esto deja entre 25 y 40 caracteres que se dividirán entre el nombre del proyecto y el nombre del despliegue.

  2. En el proyecto que ha creado en el paso 1, configure la interfaz de red.
    1. Pulse Google Cloud Platform > Red de VPC > Redes de VPC.
      ©2019 Google LLC, utilizado con permiso. Google y el logotipo de Google son marcas registradas de Google LLC.
    2. Pulse CREATE VPC NETWORK.
    3. Asigne un nombre a la red y configure los valores según sea necesario. Establezca Política de servidor DNS en Sin política de servidor.
    4. Pulse Crear.
  3. Añada una clave SSH al proyecto si todavía no lo ha hecho. La clave debe crearse para un usuario denominado cloud-user.
    1. Pulse Google Cloud Platform > Compute Engine > Metadata.
      ©2019 Google LLC, utilizado con permiso. Google y el logotipo de Google son marcas registradas de Google LLC.
    2. Pulse Claves SSH.
    3. Pulse Editar.
    4. Pulse Añadir elemento.
    5. Especifique una clave SSH, seguida de cloud-user.
    6. Pulse Guardar.
  4. Descargue la imagen del dispositivo virtual ' QRadar ' 7.5.0 ' UP7 del sitio web ' IBM ' Fix Central ': https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm%2FOther+software%2FIBM+Security+QRadar+SIEM&fixids=7.5.0-UP7-CMP-GoogleCloud-SingleImage-QRADAR-202309270935&function=fixId&parent=IBM%20Security
    1. Descargue la imagen y los archivos .sig . La descarga puede tardar unas horas.
    2. '' Utiliza el archivo ' .sig ' para verificar la integridad de la imagen descargada. Para obtener más información, consulte Cómo validar las descargas de IBM Fix Central son de confianza y están firmadas por código.
  5. ' Ve a Google Cloud y sube el archivo de imagen a Google Cloud Storage. La carga puede tardar hasta una hora.
    Atención: No cambie el nombre del archivo de imagen. Cambiar el nombre de la imagen puede hacer que falle la importación.
  6. Ejecute el siguiente comando en Google Cloud Shell para importar la imagen sin procesar a su cuenta de GCP.
    gcloud compute images create <IMAGE NAME> --project=<GCP PROJECT NAME> --source-uri gs://<BUCKET NAME>/<RAW FILE PATH> --guest-os-features=MULTI_IP_SUBNET,UEFI_COMPATIBLE
    El proceso de importación puede durar hasta una hora.
  7. Vaya a Menú de navegación > Motor de computadora > Imágenes, seleccione la imagen que importó y haga clic en Crear instancia.
  8. Establezca un nombre de despliegue para el dispositivo que permita que un nombre de dominio completo (FQDN) no tenga más de 63 caracteres de longitud. El FQDN consta del nombre de despliegue, la zona, el nombre de proyecto y .internal.

    Por ejemplo, si el nombre de proyecto es abc-stq-xyz, el nombre de despliegue del dispositivo es qr-con, la zona es us-east4-cy la región es c, el FQDN es qr-con-vm.us-east4-c.c.abc-stq-xyz.internal. La zona puede tener entre 10 y 25 caracteres de longitud. En función de la zona, esto deja entre 25 y 40 caracteres que se dividirán entre el nombre del proyecto y el nombre del despliegue.

  9. Seleccione la zona en la que se encuentra el proyecto.
  10. Seleccione un Tipo de máquina que cumpla los requisitos mínimos del sistema.
    Para obtener más información, consulte Incorporación deQRadar on Cloud.
  11. Seleccione la interfaz de red que ha creado.
  12. Establezca las reglas de cortafuegos para el dispositivo que permiten los puertos 22 y 443 solo desde direcciones IP de confianza para crear una lista de elementos permitidos de direcciones IP que pueden acceder al despliegue de QRadar .
    En un despliegue de QRadar con varios dispositivos, también se pueden permitir otros puertos entre hosts gestionados. Para obtener más información sobre qué puertos pueden estar permitidos en el despliegue, consulte Puertos comunes y servidores utilizados por QRadar.
  13. Compruebe Acepto los términos de servicio de GCP Marketplace.
  14. Pulse Desplegar.
  15. Establezca una dirección IP estática para el dispositivo.
    1. Pulse Google Cloud Platform > Compute Engine > Instancias de VM.
    2. Seleccione el dispositivo en la lista.
    3. Pulse Editar.
    4. Edite la interfaz de red.
      • Establezca el parámetro Tipo de IP interna en Estático y reserve una nueva dirección IP.
      • Seleccione o cree una dirección IP externa estática.
    5. Haga clic en Terminado.
  16. Cuando la instancia esté lista, inicie sesión utilizando SSH y el par de claves escribiendo el mandato siguiente:
    ssh -i <key.pem> cloud-user@<public_IP_address>
  17. Para comprobar la longitud del FQDN, escriba el mandato siguiente:
    hostname -f | wc -c
    Si el mandato devuelve un valor mayor que 63, la instalación falla. Reinicie este procedimiento con un nombre de máquina virtual más corto.
  18. Especifique el mandato siguiente:
    sudo /root/setup_mh 7000
  19. El sistema le solicita que establezca una contraseña raíz. La contraseña debe cumplir los siguientes criterios:
    • Contiene al menos 5 caracteres
    • No contiene espacios
    • Incluye uno o más de los siguientes caracteres especiales: @, #, ^ y *.

    No puede cambiar esta contraseña hasta que se haya completado el proceso de instalación. La contraseña raíz también es la contraseña de host de pasarela.

  20. Actualice la pasarela de datos a la misma versión de QRadar que la consola.
    1. Inicie la sesión en la consola.
    2. Para buscar la versión de QRadar en la que se encuentra la consola, pulse el menú de navegación () y, a continuación, pulse Acerca de.
    3. Descargue el archivo SFS para la versión de QRadar en la que se encuentra la consola desde Fix Central (https://www.ibm.com/support/fixcentral).
    4. Copie el archivo SFS de actualización de software en la pasarela de datos.
    5. Si se ha desconectado de la sesión de ssh , utilice ssh para volver a iniciar sesión en la pasarela de datos.
    6. En la pasarela de datos, mueva el archivo SFS al directorio /storetmp escribiendo el mandato siguiente:
      sudo mv <version_number>_QRadar_patchupdate-<full_version_number>.sfs /storetmp
    7. Abra el shell de superusuario escribiendo el mandato siguiente:
      sudo su -
    8. Cree el directorio /media/updates escribiendo el mandato siguiente:
      mkdir /media/updates
    9. Monte el archivo SFS escribiendo el mandato siguiente:
      mount -o loop -t squashfs /storetmp/<version_number>_QRadar_patchupdate-<full_version_number>.sfs /media/updates
    10. Ejecute el instalador de actualizaciones de software escribiendo el mandato siguiente:
      /media/updates/installer
  21. Utilice la aplicación QRadar on Cloud Self Serve para generar una señal para la pasarela de datos y listar la dirección IP de la pasarela de datos. Para obtener más información, consulte Gestión de acceso a la consola.
  22. Después de recibir la señal:
    1. Si se ha desconectado de la sesión de ssh , utilice ssh para volver a iniciar sesión en la pasarela de datos.
    2. Puesto que el dispositivo se ha reiniciado después del paso anterior, vuelva a abrir el shell de superusuario escribiendo el mandato siguiente:
      sudo su -
    3. Para mitigar un problema conocido con una conexión intermitente, escriba el mandato siguiente en la pasarela de datos recién añadida:
      mkdir /etc/systemd/system/tunnel-monitor.service.d/; printf "[Service]\nExecStart=\nExecStart=/bin/true\n" > /etc/systemd/system/tunnel-monitor.service.d/override.conf; chmod 644 /etc/systemd/system/tunnel-monitor.service.d/override.conf; systemctl daemon-reload
    4. Para finalizar la configuración de la pasarela de datos inicial, escriba el mandato siguiente:
      /opt/qradar/bin/setup_qradar_host.py mh_setup interactive -p
  23. Salga del shell de superusuario escribiendo el mandato siguiente:
    exit

Qué hacer a continuación

Edición de un procesador de destino para la pasarela de datos