Oracle Cloud での QRadar データ・ゲートウェイのインストール

データ・ゲートウェイを介して IBM® QRadar® on Cloud に接続します。 Oracle Cloud にデータ・ゲートウェイをインストールできます。

始める前に

ご使用のアプライアンスがデータ・ゲートウェイのシステム要件を満たしていることを確認します。 データ・ゲートウェイのシステム要件を参照してください。

このタスクの保守時間帯をスケジュールして、デプロイメントにデータ・ゲートウェイを追加中にユーザーが変更内容をデプロイしないようにします。

ご使用のゲートウェイ・アプライアンスを介して接続するコンソールの完全なホスト名がわかっていることを確認してください。

このタスクについて

QRadar ソフトウェアに関する問題については、 IBM サポートにお問い合わせください。 Oracle Cloud インフラストラクチャーで問題が発生した場合は、 Oracle Cloud の資料を参照してください。 問題の原因が Oracle Cloud インフラストラクチャーであると IBM サポートが判断した場合は、 Oracle Cloud インフラストラクチャーの根本的な問題を解決するために、 Oracle Cloud に連絡してサポートを受ける必要があります。

静的なプライベート IP アドレスとパブリック IP アドレスを使用する必要があります。

3 つ以上の DNS エントリーを持つことはできません。 /etc/resolv.conf ファイルに 3 つ以上の DNS エントリーがある場合、QRadar のインストールは失敗します。

データ・ゲートウェイは、一度に 1 つずつインストールする必要があります。 複数のデータ・ゲートウェイをインストールする場合は、1 つのゲートウェイのインストールが完了するまで待機してから、次のゲートウェイをインストールします。

手順

  1. イメージ・ファイルをダウンロードします。
    1. Fix Central (https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.4.0&platform=Linux®& function = all) の「CLOUD MARKET PLACE」セクションに移動します。
    2. 7.4.1-CMP-OracleCloud-MANAGEDHOST-QRADAR-20220811114721をクリックします。
    3. イメージと .sig ファイルをダウンロードします。
      イメージ・ファイルのダウンロードには数時間かかることがあります。
    4. .sig ファイルを使用して、イメージ・ファイルの整合性を検証します。
      詳しくは、 IBM Fix Central からのダウンロードが信頼され、コードが署名されていることを確認する方法を参照してください。
  2. イメージ・ファイルをアップロードします。
    1. Oracle Cloud (https://www.oracle.com/ca-en/cloud/) に移動し、新規ストレージ・バケットを作成します。
    2. ファイルをアップロードします。
      このアップロードには、1 時間かかる可能性があります。 イメージ・ファイルの名前は変更しないでください。 ファイルの名前を変更すると、インポートが失敗します。
  3. イメージをインポートします。
    1. Oracle Cloud では、 ナビゲーション・メニュー > 計算 > 「カスタム・イメージ」をクリックします。
    2. コンパートメントを選択します。
    3. 「イメージのインポート」をクリックします。
    4. イメージの名前を入力します。
    5. オペレーティング・システムとして Linux を選択します。
    6. 「 Object Storage バケットからのインポート」を選択します。
    7. ステップ 2 でイメージ・ファイルがアップロードされたバケットを選択します。
    8. ステップ 2 でアップロードしたイメージ・ファイルを選択します。
    9. イメージ・タイプとして 「OCI」 を選択します。
    10. 「イメージのインポート」をクリックします。
  4. イメージが作成されたら、 「インスタンスの作成 (Create Instance)」をクリックします。
  5. 58 文字を超えない名前をインスタンスに付けます。 名前に使用できるのは、英数字と - 記号のみです。
  6. インスタンスのコンパートメントを選択します。
  7. インスタンスの可用性ドメインを選択します。
  8. 最小システム要件を満たす形状を選択します。
    1. 「形状の変更」をクリックします。
    2. インスタンス・タイプとして 「仮想マシン」 をクリックします。
    3. 仮想アプライアンスのシステム要件を満たす、AMD、Intel、または Specialty および前世代の形状シリーズから任意の形状を選択してください。
      重要: 追加のストレージ・ドライブを含むインスタンスはサポートされません。

      詳しくは、 QRadar on Cloud オンボーディングを参照してください。

  9. インスタンスのネットワーキングを構成します。
    1. 仮想クラウド・ネットワーク・コンパートメントを選択します。
    2. 仮想クラウド・ネットワークを選択します。
    3. サブネットを選択します。
    4. 「パブリック IPv4 アドレスの割り当て」を選択します。
    5. 「拡張オプションの表示」チェック・ボックス 「ネットワーク・セキュリティー・グループを使用してトラフィックを制御する」
    6. QRadar Consoleのポート 22 とポート 443 を許可するセキュリティー・グループを選択して、 QRadar デプロイメントにアクセスできる信頼できる IP アドレスの許可リストを作成します。 複数のアプライアンスを含む QRadar デプロイメントでは、管理対象ホスト間で他のポートも許可される場合があります。 デプロイメントでどのポートを許可する必要があるかについて詳しくは、 QRadarで使用される共通ポートおよびサーバーを参照してください。
  10. SSH 鍵ペアを追加または生成します。

    SSH を使用してインスタンスにアクセスするには、SSH 鍵ペアが必要です。 詳しくは、 インスタンスへの接続を参照してください。

  11. 「作成」をクリックします。
  12. ストレージ用に 2 番目のディスクをインスタンスに追加します。
    1. ナビゲーション・メニュー > 「ストレージ」 > 「ブロック・ボリューム」 に移動し、 「ブロック・ボリュームの作成」をクリックします。
    2. ボリュームに名前を付け、サイズを GB 単位で入力します。
      最小サイズは 250 GiBです。 追加されたディスクは、2 台めのディスクである必要があります。 3 台め以降のディスクにはできません。 インストールが完了すると、このディスクには /store/transient のパーティションが含まれます。
      警告: インストール後にストレージを増やすことはできません。
    3. インスタンスが作成されたコンパートメントと同じコンパートメントを選択します。
    4. 「ブロック・ボリュームの作成」をクリックします。
    5. ナビゲーション・メニュー > 「コンピュート」 > 「インスタンス」 に移動し、インスタンスを選択します。
    6. 「接続されたブロック・ボリューム」をクリックします。
    7. 「ブロック・ボリュームの接続」をクリックします。
    8. ドロップダウン・メニューからブロック・ボリュームを選択し、接続タイプとして 「準仮想化」 を選択します。
    9. 「添付」をクリックします。
  13. インスタンスの準備ができたら、鍵ペアの秘密鍵を使用してログインします。
    ssh -i <private_key_file> cloud-user@<public_IP_address>
  14. 以下のコマンドを入力します。
    sudo /root/setup_mh 7000
  15. root パスワードの設定を求めるプロンプトが出されたら、以下の基準を満たす強力なパスワードを設定します。
    • 5 文字以上使用されていること
    • スペースが含まれていないこと
    • @、#、^、および * のうちの 1 つ以上の特殊文字を含みます。

    インストール・プロセスの完了後に、このパスワードを変更することはできません。 ルート・パスワードは、ゲートウェイ・ホスト・パスワードでもあります。

  16. コンソールと同じバージョンの QRadar にデータ・ゲートウェイをアップグレードします。
    1. コンソールにログインします。
    2. ナビゲーション・メニュー > 「バージョン情報」 に移動して、コンソールの QRadar のバージョンを確認します。
    3. コンソールがあるバージョンの QRadar の SFS ファイルを Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードします。
    4. ソフトウェア更新の SFS ファイルをデータ・ゲートウェイにコピーします。
    5. SSH セッションから切断した場合は、SSH を使用してデータ・ゲートウェイに再度ログインします。
    6. データ・ゲートウェイで、次のコマンドを入力して、SFS ファイルを /storetmp ディレクトリーに移動します。
      sudo mv <version_number>_QRadar_patchupdate-<full_version_number>.sfs /storetmp
    7. 次のコマンドを入力して、superuser シェルを開きます。
      sudo su -
    8. 以下のコマンドを入力して、 /media/updates ディレクトリーを作成します。
      mkdir /media/updates
    9. 次のコマンドを入力して、SFS ファイルをマウントします。
      mounth -o loop -t squashfs /storetmp/<version_number>_QRadar_patchupdate-<full_version_number>.sfs /media/updates
    10. 次のコマンドを入力して、ソフトウェア更新インストーラーを実行します。
      /media/updates/installer
  17. IBM QRadar on Cloud Self Serve アプリを使用して、データ・ゲートウェイのトークンを生成し、そのデータ・ゲートウェイの IP アドレスを許可リストに追加します。 詳しくは、 コンソールへのアクセス管理を参照してください。
  18. トークンの受信後、次のようにします。
    1. SSH セッションから切断した場合は、SSH を使用してデータ・ゲートウェイに再度ログインします。
    2. 前のステップの後でアプライアンスが再始動したため、以下のコマンドを入力してスーパー・シェルを再度開きます。
      sudo su -
    3. 断続的な接続に関する既知の問題を軽減するには、新しく追加したデータ・ゲートウェイで以下のコマンドを入力します。
      mkdir /etc/systemd/system/tunnel-monitor.service.d/; printf "[Service]\nExecStart=\nExecStart=/bin/true\n" > /etc/systemd/system/tunnel-monitor.service.d/override.conf; chmod 644 /etc/systemd/system/tunnel-monitor.service.d/override.conf; systemctl daemon-reload
    4. データ・ゲートウェイの初期セットアップを終了するために、次のコマンドを入力します。
      /opt/qradar/bin/setup_qradar_host.py mh_setup interactive -p
  19. 以下のコマンドを入力して、superuser シェルを終了します。
    exit

次に実行するタスク

/etc/resolv.conf内の DNS 項目を除去した場合は、それらを復元します。