Amazon Web Services への QRadar Network Insights のインストール
最小システム要件を確認します。インストールする予定のインスタンスが、達成したいフロー検査レベルをサポートできることを確認します。
AWS Marketplace 上の IBM
QRadar SIEM .ami イメージを使用して、 QRadar コンポーネントをインストールします。QRadar Console および QRadar Network Insights 管理対象ホストをインストールする必要があります。 その他の管理対象ホスト (フロー・プロセッサーなど) はオプションです。 QRadar Amazon Web Services コンポーネントを に AWSインストールする方法については、「 仮想アプライアンスの構成(Configuring a virtual appliance)」 QRadar 7.5.0 を参照してください。
QRadar Network Insights 管理対象ホストを QRadar
Consoleに追加します。
フロー・ソースを構成します。
トラフィック・ミラーリング・セッションを構成します。
デプロイメントがフロー・データを受信していることを確認します。
デプロイメントのアーキテクチャー

Amazon Web ServicesへのQRadar Network Insightsインストールのためのシステム要件
| 要件 | 値 |
|---|---|
| プロセッサー | 8コア(最小) ヒント:各インスタンスタイプに含まれるコア数を確認するには、AWS Launch an instanceウィンドウで、Compare instance typesをクリックします。 歯車
|
| メモリー | 64GB(最小) |
| ストレージ | QRadar Network Insights 2つの EBS 汎用SSDボリュームが必要です:
OSとソフトウェア用の122GiBボリュームは、QRadar .amiによって自動的に設定される。 追加の250GiBボリュームをデータ用に手動で設定する必要があります。 警告インストール後にストレージを増やすことはできません。
|
| ネットワーキング | QRadar Network Insights 最低2つのNICインターフェースが必要です:
|
| セキュリティ・グループ | 管理インターフェイスには、ホストとQRadar Network Insightsおよびインストールされている可能性のあるフローコレクタまたはプロセッサQRadar Consoleの間のSSH、NetFlow,およびメッセージング接続を許可するルールを含む、割り当てられたセキュリティグループが必要です。 監視インターフェースには、ミラーソースからのVXLANトラフィック( UDP ポート4789)を許可するセキュリティグループが割り当てられている必要があります。 Network ACL (VPC)レベルでもVXLANトラフィックを許可する必要があります。 |
他の仮想アプライアンスのシステム要件を表示するには、IBM QRadarインストール・ガイド』の「仮想アプライアンスのシステム要件」を参照してくださいIBM QRadar
家電QRadar Network Insightsの仕様例
インスタンスのインスタンス・タイプと構成が、達成したいフロー検査レベルをサポートできることを確認する必要がありますQRadar Network Insights
| CPU | メモリー(GiB) | 最大モニター・インターフェース | フロー検査レベルのパフォーマンス |
|---|---|---|---|
| 8 コア | 64百万 | 1 | 基本: 1 Gbps 中程度: 800 Mbps 拡張: 300 Mbps |
| 20コア | 160 | 2 | 基本: 2 Gbps 中程度: 1.8 Gbps 拡張: 750 Mbps * パフォーマンスは、すべてのモニター・インターフェースの総計です |
トラフィックのミラーリング
トラフィックミラーリングは、AmazonEC2インスタンス(ソース)からIBM QRadar Network Insightsインスタンス(ターゲット)にネットワークトラフィックを送信し、コンテンツの検査と監視を行う。
Amazon Web ServicesAWS)管理コンソールを使用して、QRadar Network InsightsインスタンスにエラスティックIPアドレスをアタッチします。 次に、トラフィック・ミラーリング・セッションを作成し、どのトラフィックをQRadar Network Insightsインスタンスに転送するかを決定するフィルタを定義する。
トラフィック・ミラーリングを設定する前に、モニタリング・インターフェイスが接続されたQRadar Network Insightsインスタンスが必要です。
- ミラーリングされたトラフィックを転送するAmazonEC2インスタンスのインターフェースIDを特定する。 この ID は、ミラー・セッションを作成するときに使用します。
- ミラーリングされたトラフィックを転送するAmazonEC2インスタンスにElastic IPアドレスを割り当てる。
- ミラーターゲットを作成し、ミラーリングされたトラフィックを受信するインスタンスを指定します。
- ターゲット・インスタンスに送信されるトラフィックを指定するミラー・フィルタを作成する。トラフィックのミラーリングルールを設定する場合、以下のパラメータを使用して、すべての受信トラフィックをミラーリングできます。 トラフィック・ミラーリングのオーバーヘッドを削減するために、パラメーターを変更して、特定のタイプのトラフィックのみをミラーリングすることができます。 例えば、特定のソースまたは宛先について、 TCP プロトコルまたはトラフィックのみをミラーリングすることができます。
パラメーター 値 ルール・アクション 受信 Protocol すべてのプロトコル 送信元の CIDR ブロック 0.0.0.0/0 宛先の CIDR ブロック 0.0.0.0/0 - ミラーセッションを作成して、ソースインスタンスとターゲットインスタンス間のトラフィックのミラーリングを開始する。
AWSトラフィックミラーリングの詳細と設定方法については、「トラフィックミラーリングとは? を参照してください。
QRadar Network Insightsがフローデータを受信していることの確認
始める前に
トラフィックをモニタリングインターフェイスに転送するには、トラフィックミラーリングセッションを設定する必要があります。
手順
Amazon Web Services の QRadar Network Insights トラブルシューティング
- 秘密鍵ファイルが保護されていないため、管理対象ホストに接続できない
秘密鍵ファイルを使用して管理対象ホストに接続しようとすると、次の警告が表示されます。
WARNING: UNPROTECTED PRIVATE KEY FILE! (保護されていない秘密鍵ファイル)
このメッセージは、 .pem 鍵ファイルが公開されているときに受け取ることがあります。 この問題を解決するには、以下のコマンドを入力して、 .pem 鍵ファイルの許可を 600 に変更します。
chmod 600 <key_file>- ホストへの接続時に接続が拒否されたQRadar Network Insights
- 秘密鍵を使って切断されたQRadar Network Insightsホストに接続しようとすると、このようなメッセージが表示されます:
接続が拒否されました (Connection Refused)
管理ホストインスタンスにアタッチされているセキュリティプロファイルがQRadar Network InsightsソースIPアドレスからのSSH接続を許可していません。
この問題を解決するには、QRadar Network Insightsインスタンスにアタッチされているセキュリティ・プロファイルに着信ルールを追加します。 送信元 IP アドレスからの SSH 接続を許可するように、ルールを構成します。
詳細については、AWSDocumentationポータルのSecurity profilesを参照してください。
- インスタンスにパブリックIPアドレスが割り当てられていないQRadar Network Insights
- この問題は、次の状況で発生する場合があります。
- インスタンスが、起動時にパブリック IP アドレスが自動的に割り当てられるように構成されていない。
- インスタンスに複数のネットワーク・インターフェースが接続されていて、そのインスタンスが再始動された。
この問題を解決するには、管理インターフェースに Elastic IP を関連付けます。 または、同じサブネット上のQRadar Consoleまたは別のインスタンスから SSH を使用して、QRadar Network Insightsインスタンスのプライベート IP アドレスに接続することもできます。
- QRadar Network Insights 追加のNICカードが認識されない
インスタンス QRadar Network Insights に追加のネットワークインターフェースカード(NIC)を追加しましたが、認識されていません。 インスタンス上のオペレーティング・システムが新しいネットワーク・インターフェイスを認識するためには、さらにコンフィギュレーションが必要であるQRadar Network Insights
詳細については、 QRadar Network Insightsインスタンスへの別のトラフィックモニタリングインターフェースの追加を参照してください。
- QRadar コンソールから SSH を使用して QRadar Network Insights 管理対象ホストに接続できない
ホストがコンソールで管理されている場合、直接のSSHアクセスを制限するためにQRadar Network Insightsルールが更新される。 最初にコンソールに接続して、管理ホストに接続する必要がありますQRadar AWSインスタンスにはコンソール接続オプションがないため、QRadar ConsoleがSSHを使ってログインできない場合、管理ホストに接続する方法はない。
この問題を解決するには、SSHを使用してQRadarコンソールに接続します。 それから、rootユーザーとしてQRadar Consoleから管理ホストの管理インターフェースeth0にSSHを使う。
管理QRadar Consoleに接続できない場合は、インスタンスを再作成してくださいQRadar Network Insights
QRadarロックアウトを避けるには、信頼できるソースからのSSH接続を許可するように管理ホストのファイアウォールを設定する。 詳細については、IBMサポートウェブサイトの IPtablesファイアウォールポートの管理テクニカルノートを参照してください。
- モニター対象のトラフィックが「ネットワーク・アクティビティー」 タブに表示されない
- モニター対象のトラフィックが「ネットワーク・アクティビティー」タブに表示されません。しかし、、
tcpdumpコマンドを実行してみると、モニター・インターフェースがトラフィックを受信していることが示されます。 - ミラーリングされたトラフィックが複数のミラー・ターゲットで受信されない
トラフィックのミラーリングでは、個々のパケットを単一のターゲット・インターフェースにのみ送信できます。 ターゲット間でトラフィックを分割するには、複数のミラー・セッションをセットアップする必要があります。 各セッションのミラー・フィルターは、トラフィックが単一のターゲット・インターフェースにのみミラーリングされるように、十分に詳細化されている必要があります。
ターゲット間でトラフィックを分割する方法の例については、 AWS ドキュメントポータル内の 「例: TCP および UDP の受信トラフィックを 2 台の異なるアプライアンスにミラーリングする」 を参照してください。
- 監視インターフェイスはミラーされたトラフィックを受信しませんQRadar Network Insights
- AWS のデフォルトではネットワーク・インターフェース上での送信元/宛先チェックに基づいて、フィルタリングが有効化されます。
送信元/宛先チェックを無効にすることで、インスタンスは、それ自体を宛先としていないネットワーク・トラフィックを処理できるようになります。 例えば、ネットワーク・アドレス変換、ルーティング、ファイアウォールなどのサービスを実行するインスタンスでは、送信元/宛先チェック属性を無効にする必要があります。
送信元/宛先チェック属性を無効にするには、以下の手順を実行します。- AWS ダッシュボードの左側のナビゲーション・ペインで、「Network Interfaces」をクリックします。
- インスタンスを右クリックし、「Change Source/Dest Check」をクリックします。
- 無効」をクリックし、「変更」をクリックします。
- ネットワーク・インターフェースごとに上記手順を繰り返します。
詳細については、AWSドキュメンテーションポータルのElastic Network interfacehttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html を参照してください。
- ミラー保護トラフィックが不完全です
以下のトラフィック・タイプをミラーリングできません :
- ARP
- DHCP
- インスタンス・メタデータ・サービス
- NTP
- Windows のアクティベーション
詳しくは、「 AWS Documentation Portal」の以下のページを参照してください。- What is Traffic Mirroring? (https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
- トラフィック・ミラーリングの割り当て量および考慮事項 (https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-considerations.html)
- QRadar Network Insights インスタンスが AWS システムステータスチェックに失敗しました
ジャンボフレームは、インスタンス QRadar Network Insights の再起動を引き起こすことがあり、その結果、 AWS のシステム状態チェックが失敗する可能性があります。
この問題を解決するには、モニター・インターフェースの最大伝送単位 (MTU) を 9001に設定します。- MTU を一時的に変更するには、次のコマンドを入力します。
sudo ip link set dev eth<#> mtu 9001 - MTUを恒久的に設定するには、インターフェイスの/etc/sysconfig/network-scripts/ifcfg-eth<#>スクリプトを編集し、MTU行を
MTU=9001に編集する。
詳細については、AWSドキュメントポータルの EC2インスタンスのネットワーク最大伝送単位(MTU)https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html)を参照してください。
- MTU を一時的に変更するには、次のコマンドを入力します。