IBM QRadar

QRadar est une solution SIEM propriétaire developpée par IBM. Elle permet de centraliser en temps réel la gestion des évènements de sécurité au sein d'une infrastructure.

QRadar est composé de divers composants avec des rôles précis permettant d'effectuer la collecte, le traitement, et le stockage des évènements ou des flux de façon optimale. Ils sont au nombre de 7 :

Console (C) :

• Présente le portail web aux utilisateurs
• Pilote les composants
• Orchestre les déploiements de configuration
• Interagit avec les ressources externes
• Génère les alertes quand un incident est detecté
• Génère les rapports et les graphiques

Event Collector (EC) :

• Parse les évènements reçus de différentes sources et les normalise au format LEEF
• Compresse les évènements et les transfère à l'Event Processor pour analyse

Event Processor (EP) :

• Corrèle les données reçues de l'Event Collector et du Flow Processor en temps réel selon les règles de détection implémentées par les opérateurs analystes
• Génère les incidents de sécurité
• Archive les données sur le Data Node
• Délègue les opérations de recherche au Data Node.
• Prend le rôle de Data Node lorsqu'il n'y en a aucun dans le deploiement

Flow Collector (FC) :

• Ingère les captures de flux réseau sous différents formats
• Extrait les trames brutes et les transfère sans traitement au Flow Processor

Flow Processor (FP) :

• Analyse les flux reçus du Flow Collector en temps réel et informe l'Event Processor si des flux matchent les règles de détection implémentées par les opérateurs analystes

Data Node (DN) :

• Stocke des données d'évènements avec compression
• Effectue les opérations de recherche

App Host (AH) :

• Exécute les apps

Pour permettre une haute disponibilité du SIEM, chacun de ces composants peut être mis en cluster (mode actif/passif). De plus, plusieurs collecteurs et processeurs peuvent être parallèlisés afin d'absorber une grande quantité de logs en temps réel.

Types de déploiements courants de QRadar :

• All in One : Tous les composants sont installés sur la même machine, si possible redondée dans un second datacenter. Cela permet d'avoir une solution SIEM à bas coût, simple à gérer, et adaptée aux petites infrastructures générant peu d'évènements.
• Déploiement Edge (ou en étoile) : Les composants de gestion, de traitement, voire de stockage sont installés sur une ou plusieurs machine(s) centrale(s) (généralement dans le cloud), tandis que ceux servant à la collecte (EC & FC) sont installés sur des machines dédiées, disséminées au sein de l'infrastructure à protéger, parfois dans des datacenters différents. Ce type de déploiement est plus coûteux que le premier, mais permet d'optimiser la collecte des évènements ou des flux en plaçant les collecteurs au plus près des équipements sources.
• Déploiement complet : Chaque composant est installé sur une machine dédiée, si possible redondés dans un second datacenter, ce qui permet d'optimiser les performances globales de la plateforme, ainsi que sa disponibilité.

QRadar existe en 2 versions :

• Une version “community” gratuite, sans support IBM, et limitée à 50 évènements par seconde (EPS) et 5000 Flux par seconde (FPS).
• Une version “standard” avec un support minimum de la part d'IBM et dont le tarif varie en fonction du nombre d'évènements et de flux par seconde (EPS & FPS) maximal fixé. Un abonnement gold permet également d'avoir un support privilégié de la part des équipes IBM.

Installation de QRadar 7.5

📖 Recherche avancée avec le langage AQL (IBM)

📖 Liste des services QRadar pour chaque type d'appliance

📖 Impact des restarts de services QRadar

📖 Différence entre le start time, le storage time, et le log source time

📖 Installer ou mettre à jour des DSM

📖 Configurer des règles de forwarding de logs

📖 Détecter les règles consommatrices grâce au script findexpensivecustomrules.sh