CHƯƠNG 3: QUY TRÌNH TRIỂN KHAI HỆ THỐNG QRADAR SIEM

đặt ở trung tâm giám sát an ninh mạng. Hệ thống được quản lý và giám sát thông

qua thành phần quản lý tập trung.

Như vậy, để triển khai mô hình này, cần xây dựng, cài đặt 03 thành phần

chính: 01 thành phần quản lý CONSOLE, 01 thành phần xử Event Processor, 01

thành phần thu thập dữ liệu Event collector.

3.2. Quy trình triển khai hệ thống QRADAR SIEM



Hình 3.: Quy trình triển khai giám sát an ninh mạng

Bước 1: Ký kết thỏa thuận phối hợp giữa mạng được giám sát và trung tâm

giám sát an ninh mạng. Đây là cơ sở để thực hiện giám sát an ninh mạng cho hệ

thống giám sát phân tán. Trên thỏa thuận sẽ nêu rõ các điều kiện, trách nhiệm của

các bên trong hệ thống giám sát an ninh mạng. Dựa trên các quy định đó, quá trình

giám sát an ninh mạng và xử lý sự cố sẽ được thực hiện.

Bước 2: Đánh giá sơ bộ hệ thống mạng được giám sát. Sau khi có thỏa thuận

được ký kết, Trung tâm giám sát an ninh mạng sẽ tiến hành đánh giá sơ bộ hệ

thống mạng CNTT của mạng được giám sát. Quá trình đánh giá sơ bộ bao gồm về

trang thiết bị an ninh, hệ thống ứng dụng, dịch vụ trên hệ thống mạng. Lưu lượng

mạng sử dụng thực tế… Từ đó tính toán và lập kế hoạch cho việc giám sát an ninh

mạng.

Bước 3: Kiến nghị, đề xuất. Dựa trên các đánh giá sơ bộ, sẽ đưa ra các đề

xuất cho hệ thống mạng được giám sát. Về các thiết bị an ninh cần bổ sung, về việc

43



quy hoạch hạ tầng mạng, việc vận hành hệ thống …. Để nâng cao hiệu quả việc

giám sát và tăng cường an ninh mạng.

Bước 4: Lập kế hoạch triển khai và triển khai. Sau khi đưa ra các khiến nghị,

kế hoạch giám sát an ninh mạng được lập chi tiết cấu hình và các thức thu thập dữ

liệu trong hệ thống mạng. Kế hoạch này sẽ được gửi cho phía mạng được giám sát

an ninh mạng xem xét trước. Sau đó, quá trình triển khai giám sát an ninh mạng sẽ

được tiến hành.

Bước 5: Giám sát an ninh mạng. Sau khi hệ thống được triển khai, quá trình

giám sát an ninh mạng được thực hiện. Thông thường giám sát an ninh mạng được

thực hiện 24/7, nhưng việc thực hiện giám sát an ninh mạng sẽ phụ thuộc vào thỏa

thuận được 2 bên ký kết.

Trong phần thực hiện triển khai này, sẽ tập trung vào việc cài đặt và cấu hình

03 thiết bị là : Console, event processor và event collector (bước 4). Quá trình cài

đặt được thực hiện như sau:

Sử dụng phần mềm file ISO cài đặt lên hệ thống máy ảo. Thành phần quản lý

và xử lý trung tâm Console và thành phần xử lý sự kiện Event processor đặt tại

trung tâm giám sát an ninh mạng.

Event collector là thành phần thu thập Log được cài đặt ở phía mạng được

giám sát. Các sự kiện cảnh báo và hệ thống Log theo thời gian thực được chuyển

lên màn hình Monitor, nơi các chuyên gia giám sát an ninh mạng phân tích các dữ

liệu thu thập được.



Hình 3.: Mô hình triển khai

44



Bước 1: Cài đặt phần mềm máy ảo Vmware lên máy tính. Trên phần mềm

máy ảo Vmware tạo máy tính mới và chọn hệ điều hành là Red hat enterprise 6

(64bit). Dung lượng ổ cứng 200G, tối thiểu 8G RAM và 4 core, chọn file ISO để

cài đặt bắt đầu quá trình cài đặt.



Chọn “Typical” rồi ấn “Next” khi đó sẽ ra hộp thoại tiếp theo để chọn hệ

điều hành cần cài đặt, chọn hệ điều hành “Linux” version sẽ chọn Red Hat

Enterprise Linux 6 (64 bit). Sau đó, đến phần thiết lập cấu hình phần cứng cho máy

ảo. Đầu tiên là bộ nhớ cứng của máy sau đó là thiết lập Ram, Processor nhân của

hệ điều hành.



45



Bước 2: Màn hình chào mừng bắt đầu quá trình cài đặt, chọn Install or

upgrade using VGA console.



Hình 3.: Màn hình chào mừng



46



Bước 3: Chọn Skip để bỏ qua bước kiểm tra

Cấu hình các bước tiếp theo



Hệ thống sẽ bắt nhập ‘HALT’ để tắt quá trình cài đặt hoặc nhập ‘SETUP’ để

cài đặt và ấn phím Enter. Sau đó nhập User là ‘root’ rồi nhấn phím Enter.



Nhấn Space liên tục để qua bước đồng ý với license, nhập Yes và nhấn enter.

Nhập Key và thêm IGNORE vào sau cùng. Qradar sẽ cấp cho mỗi thành

phần một Key khác nhau. Quá trình cài đặt là giống nhau nhưng khi nhập Key của

thành phần nào thì sẽ cài đặt thành phần đó.



47



Chọn Next để chọn kiểu cài đặt là cài đặt bình thường và khôi phục. Tích

vào Normal và chọn Next.

Sau đó hệ thống bắt thiết lập thời gian và vùng miền cho hệ thống. Vùng

miền thì sẽ chọn Ho_Chi_Minh. Lưu ý khi thiết lập thời gian vùng miền cho hệ

thống đối với hệ thống thật thì phải chính xác. Vì các sự kiện khi được đẩy về

Console sẽ được hiển thị theo thời gian thực của hệ thống.



Bước 4: Chọn Ipv4, nhấn Next



48



Bước 5: Chọn card mạng cho máy và nhập password. Nhập các thông tin về

địa chỉ IP, tên, các IP local và puclic (nếu có). Chú ý địa chỉ IP có thể là bất kỳ địa

chỉ nào, cần kiểm tra IP của máy ảo. Quá trình thiết lập IP cần phải đảm bảo trên

máy ảo có tồn tại các dải mạng này và việc cấu hình về card mạng có thể là NAT

hoặc brigde hoặc host only, tùy thuộc việc lựa chọn.



49



Lưu ý: khi cài đặt mật khẩu xong. Khi muốn truy cập vào giao diện console

thì tên “user name” sẽ là root, còn truy cập vào giao diện Web thì sẽ là “admin”.

Bước 6: Chờ quá trình cài đặt báo hoàn tất



Tiến hành tương tự với EVENT PROCESSOR và EVENT COLLECTOR.

Chỉ thay các giá trị key khác nhau cho các thành phần khác nhau.

Kết quả: Sau khi cài đặt CONSOLE, EVENT PROCESSOR và EVENT

COLLECTOR. Kiểm tra các kết quả bằng cách sử dụng các lệnh ping tới các IP.



3.2.1. Cấu hình kết nối các thiết bị Qradar

Sau khi các thành phần được cài đặt và cấu hình các Ip như yêu cầu, tiếp

theo cần thiết lập để kết nối các thành phần Event collector, Event processor và

Console để tạo thành hệ thống giám sát an ninh mạng tập trung. Giám sát an ninh

mạng có 2 mô hình triển khai là dạng phân tán và dạng tập trung. Mô hình tập

trung gồm có 2 thành phần nữa là Flow collector và Flow processor nhưng cơ chế

hoạt động và quá trình cài đặt là tương tự.

50



Cấu hình thiết lập các kết nối từ Event collector lên Event processor và

Console sử dụng bảo mật và nén dữ liệu. Đảm bảo theo tiêu chuẩn dạng mô hình

giám sát an ninh mạng tập trung.

Bước 1: Truy cập vào địa chỉ https://192.168.1.65 mà đã cấu hình trong quá

trình cài đặt Qradar với Username: ‘admin’, password: ‘123456%^’ (là Password

đặt trong quá trình cài đặt cho User Root).



Hình 3.: Giao diện đăng nhập Web

Bước 2: Vào tab admin, chọn Deployment editor (máy tính truy cập phải

được cài java).



51



Chọn Action, Add a Managed Host



Add Event processor vào trước, điền các thông tin. Chọn encription và

compression là 2 chế độ mã hóa và nén dữ liệu đảm bảo bí mật trên đường truyền.



52



Bước 3. Tương tự add Event collector vào hệ thống, đối với Event processor,

sau khi add sẽ tự động kết nối với Console, nhưng đối với Event collector thì cần

phải tạo connect và kết nối tới console.

53