qradar安装与部署

Qradar是什么？

IBM Security® QRadar® 套件是一个现代化的威胁检测和响应解决方案，旨在统一整合安全分析师体验，提高他们在整个事件生命周期中的响应速度。该产品服务组合嵌入了企业级 AI 和自动化，可显著提高分析师的工作效率，帮助资源紧张的安全团队更有效地开展跨核心技术工作。它提供包括端点安全（EDR、XDR、MDR）、日志管理、SIEM 和 SOAR 的各种集成产品，所有这些产品都有通用的用户界面、可以共享洞察和互联的工作流程。

注册IBM账号:

首先在以下官网注册账号: https://www.ibm.com/qradar

点击 start your qradar siem trial

接着进入这个界面

注册账号

注册完成之后他会让你同意一些协议那些可点可不点

然后就是登录：

之前你注册的邮箱账号

输入完成你的账号之后输入你的密码:

接着会进行跳转

这里点击我同意

然后会进行重定向

到目标页面

到了目标页面之后点击下载

就可以下载ova镜像了

安装qradar

我们拿到ova镜像之后打开我们的vmware

这就是我们的qradar镜像

打开我们的vmware

文件的子菜单里面有一个打开

单击打开

选中我们之前下载的qradar的ova文件

打开我们的qradar文件

会有一个导入虚拟机，接着进行编辑虚拟机的名字和存储路径

我这里一般会命名为qradar

存储路径你们自己选择硬盘空间比较大的放进去或者他也会自动给你选择默认路径

接着点击确定就开始导入了

然后等待他的导入成功

导入成功之后点击开启虚拟机

进入这个界面

他弹出local host login

让你设置用户名和密码

这里推荐设置为root

然后密码你们自己设置

我自己设置的是huawei12#$

接着就是登录成功

首先我们先配置ip和hostname

我们使用nmtui进行配置

我们先查看我们的VMware里面的模式是否为net模式

接着打开编辑里面的虚拟网络编辑器进行查看网关和dns的信息点击net设置我们就能查看到网关和子网掩码

接着我们进行ip的配置

输入nmtui

进入以下界面

点击第一个

然后按table 到edit进入以下界面

改为ens33

接着按table

把ipv4 configuration 切换为 manual

然后就会看到以下界面

Address 首先是隐藏的要点击add 添加 ip 地址

这里根据之前的网络配置

我这里的子网是192.168.226.0所以我的ip可以配置为192.168.226.3-244的地址这里后面的数字你随便设置能ping通就行

然后接着配置网关

你可以查看上面的net设置来看出网关是多少

配置好之后

切换然后back

然后接着点击ok就行

接下来进行ips平台的安装

输入./setup

他会弹出这个界面意思是用户协议

接着我们不用管继续下一步回车

到了这里一长篇我们就直接按q回车跳过就行

这里按y点击同意继续安装

他就会进行安装

耐心等待

安装完成之后他会提示你设置管理员密码

此时输入就行

我这边一般设置的都是huawei12#$

接着进入下一步安装:

接着我们输入ifconfig查看我们的web控制台的地址

Ens33后面的ip地址就是我们web控制台的地址

我们接这在浏览器输入https://192.168.32.11就可以访问我们的web控制台了

接着输入admin

和你之前设置的密码

然后同意协议就能登录进去了

如果进去没有日志记录请再控制台输入以下指令:

if [ -f /opt/qradar/ecs/license.txt ] ; 
then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ;
 fi ;
 if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ;
 if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; 
then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; 
if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; 
then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ;
 then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi