因為 QRadar license 的關係，這幾天又重灌了一次 QRadar server
重新裝好後，發現收不到 device 送過來的 syslog，就找了一下解法

做法上，是建議先在 QRadar server 上，用 tcpdump 來確認是否有流量進來
`

For TCP Syslog, type

$ tcpdump -s 0 -A host Device_Address and port 514

For UDP Syslog, type

$ tcpdump -s 0 -A host Device_Address and udp port 514
`

試了 tcpdump 的 command，不曉得為何沒有看到流量進行，但是由送 syslog 的 client 端看，又是正常的
左看右看時，才看到預設的 ehter interface 是錯的，需要自行指定
command 改為，類似如下
`

For TCP Syslog, type

$ tcpdump -i ens192 -s 0 -A host Device_Address and port 514

For UDP Syslog, type

$ tcpdump -i ens192 -s 0 -A host Device_Address and udp port 514
`

有看到 tcpdump 有流量進來，不過在 log activity 上，還是一直看不到資料

最後是一場大烏龍，重啟 QRadar server 就可以正常收 log 囉

Reference

• QRadar: Using the command-line to troubleshoot a Syslog event source

記錄有關開發 qradar dsm 相關的事項

如何開始進行

• google search : qradar dsm guide
• Develop a DSM - 一切的起點
  • Creating a Custom DSM - offical site

Document

• Using QID Maps Technical Note - pdf 檔
  • 使用 command line 的方式來操作 qid maps
  • qidmap_cli.sh [-l|-c|-m|-i[-f <filename>]|-e[-f <filename>]|-d]

驗證 Qradar

• IBM QRadar Pre-Validation App

相關的 youtube 說明

• 在找 qradar 文件的過程中，發現有一個 youtuber 的說明影片做的最佳
• Jose Bravo
  • QRadar DSM Editor - playlist
  • QRadar CE 733 - playlist , QRadar CE 安裝說明
• IBM Security - IBM offical site

可以參考的 QRadar App 範例

• Fortinet FortiGate and IBM QRadar pdf 檔

有關 Export 的部分

• Exporting contents from the DSM Editor
• Exporting contents as a package
  • 使用 cmd 來進行 export
  • /opt/qradar/bin/contentManagement.pl -a search -c 24 -r "<search_name>"
  • USAGE: /opt/qradar/bin/contentManagement.pl --action <ACTIONTYPE> [--quiet] [--verbose] [--debug] Type /opt/qradar/bin/contentManagement.pl --help <ACTIONTYPE> for help on a specific action
  • content type table
    `

    +-----------------------------------------------------------------------+
     | Custom content type               | String               | ID         |
     |-----------------------------------------------------------------------|
     | Custom properties                 | customproperty       | 6          |
     | Log source type                   | sensordevicetype     | 24         |
     | Log source extensions             | deviceextension      | 16         |
     | Custom QidMap entries             | qidmap               | 27         |
     +-----------------------------------------------------------------------+

    `

有關 DSM LEEF 有關

• Log Event Extended Format (LEEF)Version 2

Reference

• 客製化裝置支援模組　QRadar擔綱資安守護者
• QRadar DSM Editor Tutorial in less than 10 minutes
• IBM/qradar-sample-apps

最近接著需要開發 IBM Qradar DSM 相關的程式，先找找需要的資料囉

QRadar App Development

• Get Started
• QRadar App Development - offical site

線上課程

• QRadar Security Intelligence - IBM Security Learning Academy

QRadar CE 相關

• QRadar CE offical site ** 重要，用 CE 版本來進行開發、測試
  • IBM Security QRadar Community Edition
  • Experiment, test, and develop on a fully featured version of the market leading SIEM
• IBM QRadar Version 7.3.3 Community Edition Document **
• Qradar CE 733 - youtube play list
• Security Intelligence Tutorial, Demos & Uses Cases - 參考資料
• Install IBM QRadar Community Edition 7.3.3 in ten minutes

Qradar CE install

• QRadar CE – v7.3.3
• QRadar CE – Installation

Qradar 相關的文件 & 下載

• IBM QRadar SIEM 7.4.3 documentation

同場加映 - VMWare ESXi server

• 因為 IBM QRadar 需要用的資料比較多，在我的 MacBook 上跑起來滿吃力的，試看看將 QRadar CE 的 ovf 檔，上傳到 VMWare ESXi server 上

• 用 ovf tool 來進行 deploy

  • OVF Tool Documentation - offical site **
  • How to Deploy an OVF Located On ESXi Datastore Using ovftool
  • Deploy the vSphere Integrated Containers Appliance Using VMware OVF Tool
  • OVF Tool Command Syntax to Export and Deploy OVA/OVF Packages (1038709))
  • DEPLOY OVAS TO VCENTER WITH VMWARE OVF TOOL
  • 可以跑的 command $ ./ovftool --datastore="Disk Raid" --noSSLVerify --acceptAllEulas --name=bruce-qradar --diskMode=thin --net:"bridged"="VM Network" /Users/bruce_t_wang/Downloads/QRadarCE733GA_v1_change.ova 'vi://<vc_username>:<vc_pwd>@10.7.xx.xx/'

• 自行壓縮 ova 檔的方式

  • ova 檔的格式，是 tar 檔的格式，可以自行用 tar 來解壓縮 & 壓縮 ova 檔
  • 常見壓縮與解壓縮指令
  • 修改好 ovf 檔後，需要重新 gen 出 sha256 的值，修改到 mf 檔中
    • 在 Mac 上，gen sha256 的範例 $ shasum -a 256 QCE-jan22.ovf
  • how to modify .ova file on linux/Mac using terminal
  • tar 的範例：$ tar -cvf QRadarCE733GA_v1_change.ova --format=ustar QCE-jan22.ovf QCE-jan22.mf QCE-jan22-file1.iso QCE-jan22-disk1.vmdk
  • 在 Mac 上，要記得加 --format=ustar
  • How do I solve common problems in versions 5.5 of Vmware vSphere ESXi?

同場加映 - VMWare ESXi server 遇到的問題

• 主要是因為要匯入的 ESXi server 較舊，會出現這些問題
• 問題 Line 26: Unsupported hardware family 'vmx-15'.
  • Virtual machine hardware versions (1003746)
  • ESXi/ESX hosts and compatible virtual machine hardware versions list (2007240)
  • 解法，將 vmx-xx 直接硬改為舊版能 support 的，但不確定會不會有side effect
  • 修改 hardware level 的方式，How do I solve common problems in versions 5.5 of Vmware vSphere ESXi?
• 問題 Error: Invalid OVF name (Network) specified in net mapping. OVF networks: bridged. Target networks: xxx xxx
  • 解法，在 ovftool 上的參數，需要設定 –net 的值
  • 範例：--net:"bridged"="VM Network" 要對應正確
  • OVF Tool Command-Line Options - VMware
• 問題 Error: - Invalid VM configuration. Reason: 'Invalid configuration for device '2'.' for property 'VirtualVideoCard.videoRamSizeInKB'
  • 這也是因為 ova 檔是用較新版本出現的問題
  • 修改 ovf 檔，將 videoRamSizeInKB 的值，改為 128000，就可以正常運作
  • “Invalid configuration for device” error deploying vApp or Deploying VMs from OVF in vSphere 6.7 (65205)

同場加映 v2 - AWS VM Import/Export - 目前沒有用這方式

• 準備用來試試看將 ova 檔 run 到 EC2 的方式囉
• EC2 VM Import/Export
• Importing a VM as an image using VM Import/Export
• Can VirtualBox be executed under Amazon EC2 instance?

QRadar 開發相關

• Resources for developers
  • A list of technical resources including product documentation, blogs and other information
• IBM QRadar SDK ** SDK
• Develop a DSM
• QRadar sample apps repository on GitHub
• 客製化裝置支援模組　QRadar擔綱資安守護者
• 善用QRadar App架構　開發客製化安全監控程式

安裝 DSM 的相關說明

• WatchGuard IBM Security QRadar DSM Integration Guide

Qradar 操作的相關文件

• Getting started in QRadar

Reference

• IBM Security Alliance Landing Page
• IBM Security App Exchange - 類似 app store
• QRadar App SDK Download and docs - Qradar App 開發的相關