ついに出ました、QRadar Community Edition。長年出る出る詐欺と言われ続けていましたがやっと。やっと出ました。待ち焦がれすぎてうっかり転職までしちゃいましたよもう。(だからなおさら待ち焦がれてたというのもある。)
まだ触ってみるところまでたどり着けなかったけど今回の記事はひとつ記念にということで。
(公開にこぎつけて記念パーティーで盛り上がっているさま。嘘。Community Editionのトップページ)
QRadar Community Editionのページ https://developer.ibm.com/qradar/ce/
QRadar Community Editionのドキュメント (PDF) https://developer.ibm.com/qradar/wp-content/uploads/sites/89/2017/11/b_qradar_community_edition.pdf
QRadar Community Edition is 何
- QRadar はIBMが提供するいわゆるSIEMとその周辺の製品群(IBM的に言うとSecurity Intelligence Platform)
- QRadar Community Editionは、機能や扱えるログの量に制限があるかわりに無償で使うことのできるエディション
- QRadar は通常物理アプライアンス、仮想アプライアンス、またはQRadar on Cloud等の形態で提供されているがCommunity Editionについてはソフトウェアとして提供される
どんな風に使えるのか
無料とはいっても、ライセンス・規約があるので何でもかんでも自由に使えるわけではないでしょう。これはどこかのタイミングで少し詳しく確認したい。
Community Editionで想定されているうちの最も重要なのはおそらくAppの開発なのではないかと。サードパーティーベンダにガンガンAppを開発してもらう環境を提供するという意味が大きいのではないかと予想。または新規ユーザー参入狙いか。まぁ、そのへんは、気にしないでいいか。この手の製品で無償版が提供されているものはほぼ、ない(Splunkは少量なら無償でログサーチだけは使えるもののEnterprise Security Appが使えるわけではないので)ため、業界というか、競合としてはなんだか焦りますよね。
ダウンロード
- このページ ( https://developer.ibm.com/qradar/ce/ ) からダウンロード可能(要ユーザー登録)
- QRadar Community Editionのダウンロードにはユーザー登録が必要。ログイン済なセッションがあった気がするので正直ちょっとよくわからなかったけどおそらくIBM IDの登録は必要で、Community Editionのダウンロードにはさらに追加情報の登録が必要、という感じか。それ自体は難しい手順ではなかった。これが必要ですと言われたら入力して進んでいけば特に問題なくダウンロードまでいけるはず
- ちなみにgmailでも登録することはできた。しかしユーザー登録時の情報に会社名もあり、個人ユーザーとして使うことに何か制約があるのかはあとで確認したい
制限事項
Community Editionで制限されている機能。
詳しくはドキュメントに書いてあるが、商用版ではできるがCommunity Editionではできないこと、使えない機能は以下の通り。ついでに検証したいこととかのメモも。
- ✘ X-Force Threat Intelligence IP reputation feed integration
- IBMの脅威インテリジェンス情報のフィードを取り込むことができない
- 任意の情報を取り込むことはおそらくいくつかの方法で可能ななずなのでそれを検証したい
- ✘ Historical correlation
- 過去のログに対してルールに合致するデータがないかを遡って検索する機能が使えない
- できたら良かったけど過去は振り返らないことにしますよと
- ✘ QRadar Vulnerability Manager
- 脆弱性管理のモジュール。簡単に言うと脆弱性スキャナーが使用できない
- QRadarコンソールから直接スキャンの実行等ができないとしても、アセット情報や脆弱性情報の取り込みはできると思うので、それを試したい
- ✘ QRadar Risk Manager integration
- ファイアウォールやルータ等の設定を取り込むことで、ポリシーチェックやアタックパス分析等を行えるモジュール。これが使用できない
- これは使い方が難しいのでまあ良い
- ✘ QRadar Incident Forensics integration
- ネットワークトラフィックを収集、完全保存して後から検索、中身の再現をしたりできるモジュール。これが使用できない
- これも検証したい点は特にないので良いかなと
- ✘ QRadar Network Insights integration
- ネットワークトラフィックをL7まで分析し、検知等に使用できるもの
- 進化しているようで気になるところだが仕方ない
- 代わりにファイアウォールログを・・・と言いたいところだがそういったログは膨大になると思うので、ここはひとつ我慢とする
- ✘ High Availability
- 冗長化構成がとれない
- ✘ Uploading a license
- ライセンスのアップロード。商用版の場合追加でライセンスをアップロードすると機能が有効になったり扱えるログの量が増えたりするが、そういう使い方はできないので商用版を使うことに決めた場合はセットアップしなおしになるということですね
- ✘ Software upgrades
- これはRPMが一切提供されないのかマイナーバージョンアップ等もされないのかわからないがまあ良し
- 使える機能のほうに「Auto Updates」ともあるので、バグフィックスや通常のパッケージは落ちてくるのかなと
インストールについて
ここではドキュメントに書いてあることを簡単にまとめ。
- OSはCentOS 7.3のminimal installation
- インターネットに接続できる必要がある
- システム要件は以下の通り
- メモリ: 最低4GB。使用するappによってはもっと多くのRAMまたはapp node(appを動かすためのノードをスケールアウトできる)が必要になることもある
- ディスクスペースの空き: 最低80GB、できれば130GB以上
- CPU: 最低 2コア
- ネットワークアダプタ: 最低1つ。もしローカルのVMを使う場合はポート8444を443に、ポート2222を22にフォワードする必要がある(む?どういうこと?)
思ったよりスペックは要求されていない。本当に動くのか?と思ってしまうレベル。
インストール手順は上記ドキュメントにあるので、実際「やってみた」のときに記録しよう
DSMについて
DSM(=Device Support Module、各種ログをパース、正規化してQRadarに取り込むモジュール)が、大量にあるがCommunity Editionではデフォルトで一部しか有効になっていない。必要に応じて後で自分で追加する必要がある。これは要求スペックを下げるためなのかインストーラーのサイズを小さくするためなのかわからないがおそらくそういうことだろう。まあ限られたものしか使わないだろうからまったくもって構わないのだけど。
どんな機器(ログ)のDSMがあるのか、および、どうやって設定を行うのか(または設定が必用ないのか)の情報は、 IBM Security QRadar SIEM DSM Configuration Guide に載っている。
次にやりたいこと
QRadar Community Editionのダウンロードが3時間くらいかかったので今日はここまで。その間にしびれを切らしてドキュメント読んで書いてしまい今回は中身はなかったので、今後やりたいことを書いておこう。
- ローカルで環境構築
- Azure上で環境構築 (HOT)
- OSSなものを活用して簡単な監視ができて実践でも使えちゃうようなサンプルをひととおり作ってみたい(HOT)
- appを作ってみる、なんていうのもしてみたい
- 非公式QRadarユーザー会 in Nipponなんていう野望もある