qradar_development

最近接著需要開發 IBM Qradar DSM 相關的程式，先找找需要的資料囉

QRadar App Development

• Get Started
• QRadar App Development - offical site

線上課程

• QRadar Security Intelligence - IBM Security Learning Academy

QRadar CE 相關

• QRadar CE offical site ** 重要，用 CE 版本來進行開發、測試
  • IBM Security QRadar Community Edition
  • Experiment, test, and develop on a fully featured version of the market leading SIEM
• IBM QRadar Version 7.3.3 Community Edition Document **
• Qradar CE 733 - youtube play list
• Security Intelligence Tutorial, Demos & Uses Cases - 參考資料
• Install IBM QRadar Community Edition 7.3.3 in ten minutes

Qradar CE install

• QRadar CE – v7.3.3
• QRadar CE – Installation

Qradar 相關的文件 & 下載

• IBM QRadar SIEM 7.4.3 documentation

同場加映 - VMWare ESXi server

• 因為 IBM QRadar 需要用的資料比較多，在我的 MacBook 上跑起來滿吃力的，試看看將 QRadar CE 的 ovf 檔，上傳到 VMWare ESXi server 上

• 用 ovf tool 來進行 deploy

  • OVF Tool Documentation - offical site **
  • How to Deploy an OVF Located On ESXi Datastore Using ovftool
  • Deploy the vSphere Integrated Containers Appliance Using VMware OVF Tool
  • OVF Tool Command Syntax to Export and Deploy OVA/OVF Packages (1038709))
  • DEPLOY OVAS TO VCENTER WITH VMWARE OVF TOOL
  • 可以跑的 command $ ./ovftool --datastore="Disk Raid" --noSSLVerify --acceptAllEulas --name=bruce-qradar --diskMode=thin --net:"bridged"="VM Network" /Users/bruce_t_wang/Downloads/QRadarCE733GA_v1_change.ova 'vi://<vc_username>:<vc_pwd>@10.7.xx.xx/'

• 自行壓縮 ova 檔的方式

  • ova 檔的格式，是 tar 檔的格式，可以自行用 tar 來解壓縮 & 壓縮 ova 檔
  • 常見壓縮與解壓縮指令
  • 修改好 ovf 檔後，需要重新 gen 出 sha256 的值，修改到 mf 檔中
    • 在 Mac 上，gen sha256 的範例 $ shasum -a 256 QCE-jan22.ovf
  • how to modify .ova file on linux/Mac using terminal
  • tar 的範例：$ tar -cvf QRadarCE733GA_v1_change.ova --format=ustar QCE-jan22.ovf QCE-jan22.mf QCE-jan22-file1.iso QCE-jan22-disk1.vmdk
  • 在 Mac 上，要記得加 --format=ustar
  • How do I solve common problems in versions 5.5 of Vmware vSphere ESXi?

同場加映 - VMWare ESXi server 遇到的問題

• 主要是因為要匯入的 ESXi server 較舊，會出現這些問題
• 問題 Line 26: Unsupported hardware family 'vmx-15'.
  • Virtual machine hardware versions (1003746)
  • ESXi/ESX hosts and compatible virtual machine hardware versions list (2007240)
  • 解法，將 vmx-xx 直接硬改為舊版能 support 的，但不確定會不會有side effect
  • 修改 hardware level 的方式，How do I solve common problems in versions 5.5 of Vmware vSphere ESXi?
• 問題 Error: Invalid OVF name (Network) specified in net mapping. OVF networks: bridged. Target networks: xxx xxx
  • 解法，在 ovftool 上的參數，需要設定 –net 的值
  • 範例：--net:"bridged"="VM Network" 要對應正確
  • OVF Tool Command-Line Options - VMware
• 問題 Error: - Invalid VM configuration. Reason: 'Invalid configuration for device '2'.' for property 'VirtualVideoCard.videoRamSizeInKB'
  • 這也是因為 ova 檔是用較新版本出現的問題
  • 修改 ovf 檔，將 videoRamSizeInKB 的值，改為 128000，就可以正常運作
  • “Invalid configuration for device” error deploying vApp or Deploying VMs from OVF in vSphere 6.7 (65205)

同場加映 v2 - AWS VM Import/Export - 目前沒有用這方式

• 準備用來試試看將 ova 檔 run 到 EC2 的方式囉
• EC2 VM Import/Export
• Importing a VM as an image using VM Import/Export
• Can VirtualBox be executed under Amazon EC2 instance?

QRadar 開發相關

• Resources for developers
  • A list of technical resources including product documentation, blogs and other information
• IBM QRadar SDK ** SDK
• Develop a DSM
• QRadar sample apps repository on GitHub
• 客製化裝置支援模組　QRadar擔綱資安守護者
• 善用QRadar App架構　開發客製化安全監控程式

安裝 DSM 的相關說明

• WatchGuard IBM Security QRadar DSM Integration Guide

Qradar 操作的相關文件

• Getting started in QRadar

Reference

• IBM Security Alliance Landing Page
• IBM Security App Exchange - 類似 app store
• QRadar App SDK Download and docs - Qradar App 開發的相關