Emre Ozel
6 min readJul 27, 2020

Qradar App Server Kurulumu

Merhabalar,
Bu yazımızda qradar app server kurulumunu yapacağız.
Peki App server neden ihtiyaçımız var, App server qradar konsolundaki işlem yükünü azaltmak ve daha performanslı çalışmasını sağlamak için uygulamaları başka bir server üzerinde çalıştırarak ana server ın daha performanslı çalışmasını sağlamaktadır.

Bu yazımızda App Server kurulumunu bitirdikten sonra bir adet log kaynağı ekleyerek eklediğimiz log kaynağının application kuracağız.

“Install Red Hat Enterprise Linux 7.6” seçerek kurulumu başlatıyoruz.
Kurulum paketlerini sunucuya kopyaladıktan sonra sunucu yeniden başlayacaktır bu aşamada iso yu sanal sunucudan çıkarıyoruz ve gelen ekranda “factory install” seçerek devam ediyoruz.
Kurulum bittikten sonra sunucu yeniden başlayacaktır gelen ekranda “Normal System” seçerek devam ediyoruz.

Kurulum bitikten sonra login olmak için root yazıyoruz ve lisans sözleşmesi geliyor. Lisans sözleşmesini kabul ederek devam ediyoruz.

App Host Appliance seçerek devam ediyoruz.

Network ayarlarını doğruladıktan sonra yeni bir root password belirlememiz gerekiyor.

Kurulumumuz bitti. App server qradar a bağlayabilmemiz için iki sunucununda versiyonlarının aynı olması gerekiyor.

Ben qradar tarafında 1 adet fix geçtiğim için ayni işlemi app server tarafında da yapmam gerekiyor.
Bunun için qradar a geçtiğim fix dosyasını app server atıyorum ardından aşağıdaki komutları çalıştırarak fix geçiyoruz.

#mkdir -p /media/updates
#mount -o loop -t squashfs /store/tmp/728_QRadar_patchupdate-(version).sfs /media/updates
#/media/updates/installer
# umount / media / updates

Konu hakkında daha detaylı bilgi almak isterseniz bu siteyi ziyaret edebilirsiniz.

İşlem bittikten sonra qradar admin portal üzerinden “Deploy” yapıyoruz.
Yaptığımız değişiklikleride kaydettikten sonra Admin paneli üzerinden “System and License Management” tabını seçerek devam ediyoruz.

Açılan yeni pencereye dikkat ederseniz yeni bir menu geldi “Apps are set to run on the Console”

Application server ımızı kurduk ve qradar a başarılı bir şekilde entegre ettik. Artık Qradar üzerinde kuracağımız application lar app server üzerinde çalışacak.
Bir önceki makalemizde Palo Alto app’ini qradar üzerine kurduğumuz için o applicationı app server üzerine taşıyacağız.
“Clik to change where apps are run” tıklayarak uygulamaların çalıştığı yeri değiştiriyoruz.

Yapılan değişikliklerle ilgili ilerlemeyi System and license management sekmesinden görebilirsiniz.

App servermızı kurduk ve qradar üzerinde bulunan Palo Alto app ini app server taşıdık. App server tarafında işlemlerimiz bitti şimdi kaspersky ürününü log kaynağı olarak ekleyecek ve Kaspersky ürününün application kuracağız.

Qradar Log Source Management objesini tıklayarak açılan yeni pencere de sağ üst köşede +New Log Source tıklıyoruz.

Log Source Identifier : Kaspersky sunucusunun ip adresini yazıyoruz.
Database Type : Database tipini seçiyoruz.
Database Name: Database ismini
IP or Hostname : Database bulunduğu sunucunun ip adresini yazıyoruz.
Username and Password: Databasede okuma yetkisi olan bir kullanıcı.
Table Name : ev_event (benim kullandığım database de eventleri tutan tablo bu olduğu için bunu yazdım)
Compare Field: 1

Test yaptığımda log kaynağını başarılı bir şekilde eklendiğini görüntülüyorum. Log kaynağı ekleme işi bittikten sonra deploy yapıyoruz.
Log kaynağımızı başarılı bir şekilde ekledikten sonra Kaspersky Application bu siteden indiriyoruz.

Indirdiğimiz dosyayı qradar yüklüyoruz ve kurulumu başlatıyoruz.

Sayfayı yenilediğimizde Kaspersky tabının geldiğini görüyoruz.

QRadar authentication token :

Token için bir Authorized service oluşturuduk ve deploy yapıyoruz.

Admin >Authorized Services sekmesine gelerek oluşturduğumuz servisteki Authentication token kopyalayarak QRadar authentication token a yapıştırıyoruz.
Feed Service connection string: Kaspersky sunucusunun ip adresi:9999
Feed Service log source name: Log kaynaklarında eklediğimiz Kaspersky log kanağının ismini yazıyoruz.

Kaspersky App başarılı bir şekilde yükledik.
JDBC protokolü yerine Syslog ile Log göndermek isterseniz aşağıdaki konfigurasyonu yapabilirsiniz.

Kaspersky tarafında yapılması gereken adımlar:

SIEM system Server Address : Qradar ın ip adresi
SIEM system Server Port :
514

Qradar tarafında yapılması gereken adımlar:

Log kaynağımız için isim belirleyerek devam ediyoruz.

Bugün ki yazımız da App server kurulumu yaparak Qradar üzerindeki Applicationları App server taşıdık ve yeni bir log laynağı ekleyerek eklediğimiz log kaynağının App kurulumunu yaptık.

Umarım faydalı olmuştur. Bir sonraki makalede görüşmek üzere.

Referanslar:

https://www.ibm.com/support/knowledgecenter/SS42VS_7.4.0/com.ibm.qradar.doc/t_adm_migrating_apps.html

https://help.kaspersky.com/CyberTrace/1.0/en-US/167623.htm

https://www.ibm.com/support/knowledgecenter/SS42VS_DSM/com.ibm.dsm.doc/c_DSM_guide_Kaspersky_intro.html#c_dsm_guide_kaspersky_intro