IBM QRadar SIEM ile firewall,sever,ips,routers,switches,active directory,web server vb gibi uygulama ve donanımlardan üretilen logları anlamlandırma imkanı sağlayan bir yazılımdır.Bu ürünün temelinde, gerçek zamanlı günlük olaylarını ve ağ akış verilerini yakalayarak olası saldırganların izini ortaya çıkarmak üzere tasarlanmış yüksek düzeyde ölçeklendirilebilir bir veritabanı bulunmaktadır.
QRadar SIEM, her etkinliği kendi ham biçiminde depolayarak ve ardından gerçek tehditleri yanlış algılamalardan ayırt etmeye yardımcı anında bağıntı etkinlikleri gerçekleştirerek, bir ağda dağıtılmış binlerce aygıttaki günlük kaynağı olay verilerini birleştiren kurumsal bir çözümdür.Tüm QRadar ailesi bileşenlerinde paylaşılan sezgisel bir kullanıcı arabirimi, BT personelinin ağ saldırılarını önem derecesine göre hızlı bir şekilde tanımlayıp gidermesine yardımcı olur binlerce uyarı ve anormal etkinlik düzenini sıralar ve daha fazla inceleme sağlayacak şekilde saldırı sayısını büyük ölçüde azaltır.
Resim-1
Qradar SIEM Arayüzüne https://IP_Adress_&_Name şeklinde erişip login oluyorum
Ardından Admin menüsüne giriyorum
Resim-2
Data sources->Log Sources butonuna tıklayarak devam ediyorum
Resim-3
Log toplayacağımız vcenter sunucusuna ait erişim bilgilerini tanımlıyorum
Resim-4
vCenter sunucumuzu ekledikten sonra ilgili kaynaktan log toplayamak için qradar siem cihazımızda admin menüsünden “Deploy Changes” tıklayarak devam ediyorum.
Resim-5
“Deploy changes” işleminden sonra log kaynağımızın statusunun “success“ olarak değiştiğini görüyoruz
Resim-6
Log activity menüsünden vcenter sunucumuzu filtre ederek vcenter sunucusundan logların geldiğini görmekteyiz.
Resim-7
Bir sonraki yazımızda raporlama işlemleri nasıl yapılır konusuna değineceğiz. Görüşmek üzere
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs:Configuring a log source for the VMware vCenter, Qradar, Qradar Nedir?, Qradar Siem, SIEM Nedir?,Siem yapılandırması
