Amazon Web Services への QRadar Network Insights のインストール

Amazon Web Services(AWSのネットワーク・トラフィックIBM QRadar Network Insights
Amazon Web ServicesAWS)にQRadar Network Insightsをデプロイするには、以下の手順に従ってください:
  1. 最小システム要件を確認します。

    インストールする予定のインスタンスが、達成したいフロー検査レベルをサポートできることを確認します。

  2. AWS Marketplace 上の IBM QRadar SIEM .ami イメージを使用して、 QRadar コンポーネントをインストールします。

    QRadar Console および QRadar Network Insights 管理対象ホストをインストールする必要があります。 その他の管理対象ホスト (フロー・プロセッサーなど) はオプションです。 QRadar Amazon Web Services コンポーネントを に AWSインストールする方法については、「 仮想アプライアンスの構成(Configuring a virtual appliance)」 QRadar 7.5.0 を参照してください。

  3. QRadar Network Insights 管理対象ホストを QRadar Consoleに追加します。
  4. フロー・ソースを構成します。
  5. トラフィック・ミラーリング・セッションを構成します。
  6. デプロイメントがフロー・データを受信していることを確認します。

デプロイメントのアーキテクチャー

次の図は、2 つの QRadar Network Insights ミラー・ターゲットを含むデプロイメント内のトラフィック・フローを示しています。 一方の QRadar Network Insights インスタンスは Flow Processorのフロー・ソースとして使用され、他方のインスタンスはネットワーク・トラフィックを QRadar Consoleに直接送信します。
図1: Amazon Web Services での QRadar Network Insights デプロイメントの例

1 つのフロー・プロセッサーと 2 つの QRadar Network Insights ホストが接続された QRadar コンソールがあるデプロイメント内のミラーリングされたトラフィック・フローを示す図。

Amazon Web ServicesへのQRadar Network Insightsインストールのためのシステム要件

インストールの準備として、仮想アプライアンスが以下の最小システム要件を満たしていることを確認してくださいIBM QRadar Network Insights
要件
プロセッサー

8コア(最小)

ヒント:各インスタンスタイプに含まれるコア数を確認するには、AWS Launch an instanceウィンドウで、Compare instance typesをクリックします。 歯車) アイコンをクリックして、Cores列を表に含めます。
メモリー

64GB(最小)

ストレージ
QRadar Network Insights 2つの EBS 汎用SSDボリュームが必要です:
  • 1 x 122GiB(OSおよびソフトウェア)
  • 1 x 250GiB(データ)

OSとソフトウェア用の122GiBボリュームは、QRadar .amiによって自動的に設定される。 追加の250GiBボリュームをデータ用に手動で設定する必要があります。

警告インストール後にストレージを増やすことはできません。
ネットワーキング
QRadar Network Insights 最低2つのNICインターフェースが必要です:
  • 管理インターフェースが1つ
  • モニター・インターフェースが 1 つ

    より大きなコンピュート最適化インスタンス・タイプでは、より多くのモニタリング・インターフェースを追加できます。

    モニター・インターフェースの最大伝送単位 (MTU) は、9001 に設定されている必要があります。

セキュリティ・グループ

管理インターフェイスには、ホストとQRadar Network Insightsおよびインストールされている可能性のあるフローコレクタまたはプロセッサQRadar Consoleの間のSSH、NetFlow,およびメッセージング接続を許可するルールを含む、割り当てられたセキュリティグループが必要です。

監視インターフェースには、ミラーソースからのVXLANトラフィック( UDP ポート4789)を許可するセキュリティグループが割り当てられている必要があります。 Network ACL (VPC)レベルでもVXLANトラフィックを許可する必要があります。

他の仮想アプライアンスのシステム要件を表示するには、IBM QRadarインストール・ガイド』の「仮想アプライアンスのシステム要件」を参照してくださいIBM QRadar

家電QRadar Network Insightsの仕様例

インスタンスのインスタンス・タイプと構成が、達成したいフロー検査レベルをサポートできることを確認する必要がありますQRadar Network Insights

以下の表は、ハードウェアの構成例と、それがさまざまな検査レベルでもたらすパフォーマンスへの影響を示しています。 この情報は、仮想アプライアンスのサイズを決める際のガイドラインとして使用できます。
注:システム・パフォーマンスとデータ・スループットは、ネットワーク・トラフィックで観測されるファイルの量や種類など、多くの要因に依存します。 個々のパフォーマンス向上は保証されません。
表 1. 仮想QRadar Network Insightsの構成例
CPU メモリー(GiB) 最大モニター・インターフェース フロー検査レベルのパフォーマンス
8 コア 64百万 1

基本: 1 Gbps

中程度: 800 Mbps

拡張: 300 Mbps

20コア 160 2

基本: 2 Gbps

中程度: 1.8 Gbps

拡張: 750 Mbps

* パフォーマンスは、すべてのモニター・インターフェースの総計です

トラフィックのミラーリング

トラフィックミラーリングは、AmazonEC2インスタンス(ソース)からIBM QRadar Network Insightsインスタンス(ターゲット)にネットワークトラフィックを送信し、コンテンツの検査と監視を行う。

Amazon Web ServicesAWS)管理コンソールを使用して、QRadar Network InsightsインスタンスにエラスティックIPアドレスをアタッチします。 次に、トラフィック・ミラーリング・セッションを作成し、どのトラフィックをQRadar Network Insightsインスタンスに転送するかを決定するフィルタを定義する。

トラフィック・ミラーリングを設定する前に、モニタリング・インターフェイスが接続されたQRadar Network Insightsインスタンスが必要です。

トラフィックのミラーリングを設定するには、次の一般的な手順に従ってください。
  1. ミラーリングされたトラフィックを転送するAmazonEC2インスタンスのインターフェースIDを特定する。 この ID は、ミラー・セッションを作成するときに使用します。
  2. ミラーリングされたトラフィックを転送するAmazonEC2インスタンスにElastic IPアドレスを割り当てる。
  3. ミラーターゲットを作成し、ミラーリングされたトラフィックを受信するインスタンスを指定します。
  4. ターゲット・インスタンスに送信されるトラフィックを指定するミラー・フィルタを作成する。
    トラフィックのミラーリングルールを設定する場合、以下のパラメータを使用して、すべての受信トラフィックをミラーリングできます。 トラフィック・ミラーリングのオーバーヘッドを削減するために、パラメーターを変更して、特定のタイプのトラフィックのみをミラーリングすることができます。 例えば、特定のソースまたは宛先について、 TCP プロトコルまたはトラフィックのみをミラーリングすることができます。
    パラメーター
    ルール・アクション 受信
    Protocol すべてのプロトコル
    送信元の CIDR ブロック 0.0.0.0/0
    宛先の CIDR ブロック 0.0.0.0/0
  5. ミラーセッションを作成して、ソースインスタンスとターゲットインスタンス間のトラフィックのミラーリングを開始する。

AWSトラフィックミラーリングの詳細と設定方法については、「トラフィックミラーリングとは? を参照してください。

QRadar Network Insightsがフローデータを受信していることの確認

トラフィックミラーセッションが構成された後、IBM QRadar Network Insights管理対象ホストがフローデータを受信していることを確認できます。

始める前に

Amazon Web ServicesAWS環境にQRadar ConsoleQRadar Network Insightsのマネージドホストを構成する必要があります。

トラフィックをモニタリングインターフェイスに転送するには、トラフィックミラーリングセッションを設定する必要があります。

手順

  1. SSHを使ってターゲット・インスタンスにログインするQRadar Network Insights
  2. トラフィックがQRadar Network Insightsインスタンスに到達していることを確認するには、次のコマンドを入力する:
    tcpdump -i <eth1>

    <eth1>ミラーターゲットのインターフェース名である。

  3. あるいは、AmazonCloudWatchLogsを設定することもできる。
    AmazonCloudWatchLogsは、QRadar Network Insightsモニタリング・インターフェースに送信されるフロー・ログに関するデータを収集する。 フローログデータは、QRadar Network Insightsがミラーされたトラフィックを受信していることを確認したい場合に役立つ。

    詳しくはAmazonCloudWatch? AWS参照してください。

Amazon Web Services の QRadar Network Insights トラブルシューティング

この情報は、IBM QRadar Network InsightsonAmazon Web Services(AWS) のデプロイのトラブルシューティングに役立ちます。
秘密鍵ファイルが保護されていないため、管理対象ホストに接続できない

秘密鍵ファイルを使用して管理対象ホストに接続しようとすると、次の警告が表示されます。

WARNING: UNPROTECTED PRIVATE KEY FILE! (保護されていない秘密鍵ファイル)

このメッセージは、 .pem 鍵ファイルが公開されているときに受け取ることがあります。 この問題を解決するには、以下のコマンドを入力して、 .pem 鍵ファイルの許可を 600 に変更します。

chmod 600 <key_file>
ホストへの接続時に接続が拒否されたQRadar Network Insights
秘密鍵を使って切断されたQRadar Network Insightsホストに接続しようとすると、このようなメッセージが表示されます:
接続が拒否されました (Connection Refused)

管理ホストインスタンスにアタッチされているセキュリティプロファイルがQRadar Network InsightsソースIPアドレスからのSSH接続を許可していません。

この問題を解決するには、QRadar Network Insightsインスタンスにアタッチされているセキュリティ・プロファイルに着信ルールを追加します。 送信元 IP アドレスからの SSH 接続を許可するように、ルールを構成します。

詳細については、AWSDocumentationポータルのSecurity profilesを参照してください。

インスタンスにパブリックIPアドレスが割り当てられていないQRadar Network Insights
この問題は、次の状況で発生する場合があります。
  • インスタンスが、起動時にパブリック IP アドレスが自動的に割り当てられるように構成されていない。
  • インスタンスに複数のネットワーク・インターフェースが接続されていて、そのインスタンスが再始動された。

この問題を解決するには、管理インターフェースに Elastic IP を関連付けます。 または、同じサブネット上のQRadar Consoleまたは別のインスタンスから SSH を使用して、QRadar Network Insightsインスタンスのプライベート IP アドレスに接続することもできます。

QRadar Network Insights 追加のNICカードが認識されない

インスタンス QRadar Network Insights に追加のネットワークインターフェースカード(NIC)を追加しましたが、認識されていません。 インスタンス上のオペレーティング・システムが新しいネットワーク・インターフェイスを認識するためには、さらにコンフィギュレーションが必要であるQRadar Network Insights

詳細については、 QRadar Network Insightsインスタンスへの別のトラフィックモニタリングインターフェースの追加を参照してください。

QRadar コンソールから SSH を使用して QRadar Network Insights 管理対象ホストに接続できない

ホストがコンソールで管理されている場合、直接のSSHアクセスを制限するためにQRadar Network Insightsルールが更新される。 最初にコンソールに接続して、管理ホストに接続する必要がありますQRadar AWSインスタンスにはコンソール接続オプションがないため、QRadar ConsoleがSSHを使ってログインできない場合、管理ホストに接続する方法はない。

この問題を解決するには、SSHを使用してQRadarコンソールに接続します。 それから、rootユーザーとしてQRadar Consoleから管理ホストの管理インターフェースeth0にSSHを使う。

管理QRadar Consoleに接続できない場合は、インスタンスを再作成してくださいQRadar Network Insights

QRadarロックアウトを避けるには、信頼できるソースからのSSH接続を許可するように管理ホストのファイアウォールを設定する。 詳細については、IBMサポートウェブサイトの IPtablesファイアウォールポートの管理テクニカルノートを参照してください。

モニター対象のトラフィックが「ネットワーク・アクティビティー」 タブに表示されない
モニター対象のトラフィックが「ネットワーク・アクティビティー」タブに表示されません。しかし、、tcpdump コマンドを実行してみると、モニター・インターフェースがトラフィックを受信していることが示されます。

QRadar Network Insightsを追加すると、フロー・ソースが作成されるが、デフォルトでは無効になっている。

この問題を解決するには、ネットワーク・インターフェースのフロー・ソースがQRadar Network Insightsアプライアンスとモニタリング・インスタンスの両方に存在することを確認します。 デプロイ対象の変更が存在しないことを確認します。 フロー・ソースが存在しない場合は、作成し、有効にします。

詳しくは、 フロー・ソースの追加 および フロー・ソースの有効化を参照してください。

ミラーリングされたトラフィックが複数のミラー・ターゲットで受信されない

トラフィックのミラーリングでは、個々のパケットを単一のターゲット・インターフェースにのみ送信できます。 ターゲット間でトラフィックを分割するには、複数のミラー・セッションをセットアップする必要があります。 各セッションのミラー・フィルターは、トラフィックが単一のターゲット・インターフェースにのみミラーリングされるように、十分に詳細化されている必要があります。

ターゲット間でトラフィックを分割する方法の例については、 AWS ドキュメントポータル内の 「例: TCP および UDP の受信トラフィックを 2 台の異なるアプライアンスにミラーリングする」 を参照してください。

監視インターフェイスはミラーされたトラフィックを受信しませんQRadar Network Insights
AWS のデフォルトではネットワーク・インターフェース上での送信元/宛先チェックに基づいて、フィルタリングが有効化されます。

送信元/宛先チェックを無効にすることで、インスタンスは、それ自体を宛先としていないネットワーク・トラフィックを処理できるようになります。 例えば、ネットワーク・アドレス変換、ルーティング、ファイアウォールなどのサービスを実行するインスタンスでは、送信元/宛先チェック属性を無効にする必要があります。

送信元/宛先チェック属性を無効にするには、以下の手順を実行します。
  1. AWS ダッシュボードの左側のナビゲーション・ペインで、「Network Interfaces」をクリックします。
  2. インスタンスを右クリックし、「Change Source/Dest Check」をクリックします。
  3. 無効」をクリックし、「変更」をクリックします。
  4. ネットワーク・インターフェースごとに上記手順を繰り返します。

詳細については、AWSドキュメンテーションポータルのElastic Network interfacehttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html を参照してください。

ミラー保護トラフィックが不完全です

以下のトラフィック・タイプをミラーリングできません :

  • ARP
  • DHCP
  • インスタンス・メタデータ・サービス
  • NTP
  • Windows のアクティベーション
詳しくは、「 AWS Documentation Portal」の以下のページを参照してください。

QRadar Network Insights インスタンスが AWS システムステータスチェックに失敗しました

ジャンボフレームは、インスタンス QRadar Network Insights の再起動を引き起こすことがあり、その結果、 AWS のシステム状態チェックが失敗する可能性があります。

この問題を解決するには、モニター・インターフェースの最大伝送単位 (MTU) を 9001に設定します。
  • MTU を一時的に変更するには、次のコマンドを入力します。
    sudo ip link set dev eth<#> mtu 9001 
  • MTUを恒久的に設定するには、インターフェイスの/etc/sysconfig/network-scripts/ifcfg-eth<#>スクリプトを編集し、MTU行をMTU=9001に編集する。

詳細については、AWSドキュメントポータルの EC2インスタンスのネットワーク最大伝送単位(MTU)https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html)を参照してください。