Comment installer la version 7.3.3 QRadar Community Edition en dix minutes

Après une longue attente, la version gratuite d’IBM QRadar SIEM est enfin disponible. Cette édition, appelée “Community” contient toutes les caractéristiques de QRadar SIEM et nécessite peu de mémoire (fonctionne avec seulement 8 ou 10 Go) par rapport à l’au moins 24G requis pour un environnement de version commerciale minimum. Il comprend également une licence qui n’expire pas et vous permet d’installer toutes sortes de plugins et d’applications. L’objectif est son utilisation privée pour l’apprentissage, les démos, les tests et fondamentalement, le développement d’applications compatibles avec QRadar. C’est pourquoi ses capacités sont limitées à la gestion de 50 événements (journaux) par seconde et de 5 000 paquets réseau par minute, ce qui n’est pas mauvais :)

Gardez à l’esprit que l’un des principaux inconvénients qui n’apporte pas de prise en charge pour tous les appareils et environnements de la version commerciale. Si nous voulons surveiller une base de données, ou un pare-feu, nous devrons installer chacun des modules manuellement

Quelles sont les exigences matérielles disponibles?

  • Mémoire : 8 Go de RAM ou 10 Go si des applications sont installées, c’est-à-dire qu’un ordinateur portable moderne peut fonctionner.
  • Disque: 250 Go bien que notre expérience nous dit qu’avec environ 30G est suffisant pour les environnements éphémères. L’espace est utilisé comme SIEM est maintenu en usage. Si des machines virtuelles sont créées et détruites pour de courts tests, cela ne prend pas si longtemps.
  • CPU: 2 cœurs, mais 4 ou 6 serait encore mieux.
  • Réseau : accès Internet, réseau privé et nom d’hôte FQDN.

Comment puis-je l’installer?

IBM fournit pour cette version une image en format OVA téléchargeable à partir de ce lien. Nous n’avons plus à lancer l’installateur sur un système CentOS créé par nous et avec les petits bugs habituels à corriger, ce qui est apprécié. Il suffit de créer un compte IBM, quelque chose qui peut être fait sur place et gratuitement. L’image OVA peut être déployée sur VMWare, KVM ou VirtualBox.

Le processus d’installation est rapide et simple comme le montre la vidéo suivante :

Après quoi, vous pouvez commencer à explorer et à travailler en suivant les indices disponibles dans le guide “Getting started”

Une fois que l’environnement est opérationnel, vous pouvez installer des applications

Et même surveiller le réseau de notre maison: téléphones, ordinateurs portables, systèmes domotiques, etc.

Vous voulez en savoir plus sur IBM QRadar SIEM?

Nous offrons des services professionnels (consultation, déploiement et soutien),une formation officielle et privée. Nous préparons également des certifications officielles. Contactez-nous sans obligation.

 

Quoi de neuf dans Red Hat OpenShift Platform 4.3

En janvier dernier, Red Hat a annoncé la disponibilité générale de Red Hat OpenShift 4.3. Comme vous le savez tous OpenShift est la distribution la plus populaire et utilisée de Kubernetes dans le monde entier. Bien qu’OpenShift dispose de nombreuses fonctionnalités puissantes pour les environnements DevOps, les préoccupations de sécurité sont l’une des principales préoccupations pour les utilisateurs et les clients. Lorsque nous offrons nos cours de formation dans OpenShift nous plaisantons que la règle dans ce «monde» est caractéristiques d’abord, la sécurité plus tard (si elle arrive). C’est pourquoi cette nouvelle version se concentre principalement sur l’amélioration dans ce domaine, mais comprend également des améliorations dans le stockage et l’interface utilisateur.

Sécurité

OpenShift 4.3 offre pour la première fois le chiffrement FIPS (Federal Information Processing Standard) et des améliorations de sécurité supplémentaires pour les entreprises de tous les secteurs d’activité afin d’aider à protéger les données sensibles des clients grâce à des contrôles de cryptage plus stricts. Il vise également à améliorer la surveillance du contrôle d’accès grâce à de nouvelles fonctionnalités qui ont à voir avec l’accès basé sur les rôles et le contrôle de l’autorisation d’utilisateur et d’application en général.

D’autre part, vous pouvez installer le module (opérateur kubernetes)“Quay Container Security”qui permet de connaître les vulnérabilités de nos POD

openshift 4 quay image security integration

 

Stockage

Cette version coïncide également avec la disponibilité globale de Red Hat OpenShift Container Storage 4,qui offre une plus grande portabilité, simplicité et échelle pour les charges de travail Kubernetes centrées sur les données. Red Hat OpenShift Container Storage 4, qui est conçu pour fournir le stockage multi-nuage grâce aux technologies de passerelle à travers les fournisseurs (Amazon, Google, Azure). Ceci est rendu possible par la solution de stockage logiciel défini (SDS) de NooBaa, une société récemment acquise par Red Hat. De cette façon, les clients peuvent déployer leurs services sur plusieurs nuages publics, tout en opérant à partir d’un tableau de bord unifié qui couvre non seulement les applications, mais aussi le stockage.

Interface utilisateur

La vue topologie est une interface conçue pour les développeurs, leur permettant non seulement de comprendre la structure de leurs applications, mais de modifier leur configuration et même la connectivité avec d’autres services directement à partir de la console comme on le voit dans le prochaine image. La vue topology a été grandement améliorée, montrant des changements en temps réel.

Et permettre des fonctions telles que la modification de la connectivité entre les applications et les services, ainsi que leur suppression.

 

Utilisateurs supplantant

Imaginez que vous êtes un administrateur de cluster où il y a des milliers d’utilisateurs. Dès que vous arrivez à votre travail, vous aurez très probablement un billet où un développeur se plaint a des problèmes de console ou certaines des fonctionnalités de Red Hat OpenShift. Eh bien, depuis la version 4.3, il est possible d’usurper l’identité des utilisateurs, ou ce qui est la même chose pour nous passer comme l’utilisateur que nous voulons. En utilisant vos rôles et la configuration spécifique, nous pouvons effectuer des tâches de dépannage typiques beaucoup plus rapidement et plus facilement.

Autres améliorations

Grâce au projet Tekton,dans la version 4.3 d’OpenShift, les utilisateurs peuvent activer les« pipelines »de n’importe quelle application. Une fois associés, ils apparaîtront dans la vue topologie avec leurs journaux en temps réel. La prise en charge de KNative,technologie kubernetes sans serveur, est également incluse pour la première fois et en avant-première technologique.

Vous voulez en savoir plus?

Sixe Ingénierie travaille avec OpenShift (version 2.0) depuis 2013. Nous offrons des services professionnels et de la formation privée. Contactez-nous et dites-nous ce dont vous avez besoin.

 

 

 

Quoi de neuf dans IBM QRadar SIEM version 7.3.3 (vers la 7.4)

La dernière version d’IBM QRadar SIEM, The V 7.3.3 est la version préliminaire des 7.4 attendus d’ici la fin du premier trimestre 2020. Il comprend des améliorations dans les performances, le flux de travail des analystes, la sécurité des produits, et essentiellement l’expérience utilisateur. La mise à niveau est simple, grâce à un script fourni par IBM qui, à partir de la console, met à jour l’ensemble de déploiement.

Voici quelques éléments qui, à notre avis, font qu’il est intéressant de mettre à jour cette version alors que le long terme 7.4 est publié dans les prochains mois.

Prise en charge des paires de clés et de valeurs dans l’éditeur DSM.

Jusqu’à présent, lors de la création d’une source de journal manuellement, nous avions besoin d’utiliser des expressions régulières pour extraire chacun des champs. En commençant par la version 7.3.3, il est possible d’utiliser des délimiteurs simples du type de clé – valeur. Cela va plus loin que l’amélioration du traitement des événements dans le format QRadar 7.3.2 CEF et LEEF, qui a permis pour la première fois de détecter automatiquement de nouvelles propriétés. En outre, les utilisateurs avec des autorisations peuvent enregistrer que les «propriétés personnalisées» directement à partir de l’éditeur DSM, gagner du temps et de faciliter l’ensemble du processus. Enfin, une option a été mise en œuvre pour exporter des configurations à partir de nouvelles sources de journal du même éditeur.

Améliorations des flux (flux)

Cette version détecte les informations VxLAN qui sont présentes dans les paquets qui sont envoyés à QFlow (via Azure vTap, Technocrat
ou carte de surveillance, ou NIC) est extrait et ajouté aux journaux de flux QRadar.

Quoi de neuf dans Network Insights

Network Insights a amélioré le module qui inspecte les connexions RDP en détectant le type de cryptage utilisé et a ajouté un module pour détecter les connexions rsh, rexec et rlogin. Une autre amélioration intéressante est que dorénavant tous les protocoles: NFS , POP, SSL, TSL, HTTP, SSH, RDP, etc sont détectés accompagnés de leur version, comme indiqué dans ce tableau.

Qu’est-ce qui nous attend dans la version 7.4 ?

La sortie du QRadar 7.4 est prévue pour le premier trimestre de 2020 et comprendra des améliorations majeures. Cette version sera basée sur Red Hat Enterprise Linux 7.7. Il est prévu de prendre en charge Python 3.X et, comme une curiosité, il n’est pas clair qu’il est compatible dans les navigateurs Internet Explorer. Il est important de noter qu’il s’agit d’une mise à jour majeure, avec des modifications à la version de base du système d’exploitation. Cela implique des tâches supplémentaires et des précautions supplémentaires.

Si vous servez plusieurs clients de votre SOC et utilisez QRadar, vous avez de la chance. Il ya beaucoup d’espoir que nous allons enfin voir des améliorations significatives à l’interface graphique avec une mise à jour plus grande du cadre d’application qui fournit un soutien complet multi-tenancy. Toutefois, les applications devront être mises à jour pour être entièrement compatibles. Il est connu que l’équipe de développement UBA travaille déjà sur une mise à jour qui, en utilisant ces fonctions, permet de segmenter les données de comportement des utilisateurs par client et domaine.

En fait, ce sont les entreprises qui fourniront des services SOC virtuels ou distants dans des environnements multi-clients qui bénéficieront le plus des nouvelles fonctionnalités de la version 7.4. Dans un autre post, nous allons parler plus à ce sujet et comment intégrer QRadar dans les environnements semi-automatisés d’intervention en cas d’incident grâce à différentes solutions SOAR comme Resilient IRP. L’avenir des SOC sera de continuer à intégrer des outils et à automatiser les processus,comme cela a été fait pendant des années dans les environnements distribués avec la mise en œuvre des méthodologies DevOps et SysOps.

Si vous voulez en savoir plus sur cette solution, chez Sixe nous offrons des services de formation, de conseil et de support technique pour IBM QRadar SIEM. Nous vendons et déployons également, migrons et intégrons QRadar dans tous les types d’environnements et de clients.
Contactez-nous
si vous avez besoin de notre aide :)

Fin du support IBM Power6/7. temps pour migrer?

Fin du support IBM Power6/7. Migrer l’infrastructure à Power9?

 

Si vous avez des systèmes AIX, IBM i ou Linux fonctionnant sur IBM Power Systems, cet article peut vous intéresser. IBM a finalisé le support matériel sur les machines POWER6 (sorti en 2007) à la fin du premier trimestre 2019, après plus de 12 ans. Il en sera de même pour POWER7 à la fin du troisième trimestre de 2019. Les détails sur les serveurs affectés par la panne de service sont dans l’annonce suivante.

Comment cela m’affecte-t-il?

De nombreux clients ont Power 6 et Power 7 systèmes en cours d’exécution. Tous en général, en parfait état. Dans tout centre de données, on sait qu’un système Power est si bien conçu et construit qu’il n’est pas rare qu’il atteigne 10 ou 15 ans de vie. Tout au plus un certain remplacement des disques ou des unités d’alimentation est nécessaire. Au fil des ans, il n’est pas rare de trouver des clients qui découvrent après plusieurs années qu’une partie de leur infrastructure était en cours d’exécution sur un serveur Power qu’ils ne savaient même pas existé :)

Pour en revenir à ces cas, il est important de planifier une transition vers les nouveaux systèmes POWER8 et POWER9 afin non seulement d’avoir un soutien du fabricant, mais aussi d’économiser beaucoup d’argent. Il n’est pas compliqué de migrer vers 10 systèmes Power6 vers un environnement avec 2 Power9 en DR, grâce à la virtualisation PowerVM et à l’utilisation appropriée des LPARs. Cela s’applique aux systèmes avec IBM i, AIX et Linux.

D’autres défis à relever au cours de ces mois sont la mise à niveau des serveurs VIO, du système d’exploitation, du HMC et du firmware des serveurs, dans de nombreux cas comme une étape avant la migration vers des systèmes modernes.

Quelles sont les options que j’ai?

Chez Sixe Ingénierie, nous savons que de nombreuses entreprises ne savent pas quelles mesures prendre pour assurer une transition en douceur et que, fondamentalement, cela n’implique pas de risques significatifs ou d’interruptions de service. Les coûts sont également une préoccupation assez répandue. C’est pourquoi nous avons développé plusieurs options pour les clients touchés par ces délais de fin de vie. Nous offrons des services d’infrastructure et des solutions pour IBM i, AIX et Linux. Nous avons un portefeuille assez complet de solutions et de services pour vous aider à travers le processus, y compris la conception de la nouvelle architecture, l’acquisition de la HW, l’élimination ou la consolidation des licences inutiles, l’installation de matériel et de systèmes la configuration, la migration des environnements, l’auning des performances et le support post-projet.

Nous continuons de recommander de conserver des environnements critiques sur La puissance, en utilisant le système d’exploitation qui convient le mieux aux charges de travail que vous exécutez. Aucun autre matériel ne vous fournit la moitié des années de soutien continu et ne peut pas offrir 99,96 disponibilité.

Contactez-nous sans obligation.

IB

Quelle certification IBM QRadar SIEM dois-je choisir ?

QRadar SIEM est une plate-forme complète de gestion de la sécurité réseau qui fournit un soutien et un contexte de conformité des politiques en combinant la connaissance des flux de réseau, la corrélation des événements de sécurité et l’évaluation des vulnérabilités dans les systèmes connectés. Dans QRadar il ya trois certifications orientées vers différents rôles au sein du produit et qui ont été mis à jour en Juillet 2019.

IBM Certified Associate Administrator IBM QRadar SIEM V7.3.2

Examen “IBM Security QRadar SIEM V7.3.2 Fundamental Administration”. Test C1000-026

Il s’agit d’une certification initiale pour les administrateurs système responsables de la maintenance des plates-formes QRadar. La capacité de fournir un support de base ainsi que les connaissances techniques ibm Security QRadar SIEM V7.3.2 sont évaluées. Cela comprend la mise en œuvre et la gestion de l’ensemble de solutions. Les administrateurs doivent également connaître les capacités du produit. La capacité de planifier, d’installer, de configurer, de déployer, de migrer, de mettre à jour, de surveiller et de résoudre des problèmes simples est mesurée.

IBM Certified Associate Analyst IBM QRadar SIEM V7.3.2

Examen IBM QRadar SIEM V7.3.2 Fundamental Analysis. Test C1000-018

Cette certification initiale est destinée aux analystes de sécurité qui souhaitent valider leurs connaissances dans IBM Security QRadar SIEM V7.3.2. Les analystes devront maîtriser les bases du réseautage, de la sécurité et du SIEM et qRadar. La capacité d’utiliser correctement le produit (déjà installé et configuré) est évaluée, y compris l’utilisation de l’environnement graphique pour la gestion des règles, les incidents de sécurité, les rapports et les corrélations des événements et des flux de réseau.

IBM Certified Deployment Professional – IBM QRadar SIEM V7.3.2

Examen IBM QRadar SIEM V7.3.2 Deployment. Test C1000-018

Il s’agit sans aucun doute de la certification la plus complexe. Principalement destiné aux architectes de sécurité, aux préventes techniques et au personnel qui effectuent des services professionnels QRadar pour les différents partenaires d’affaires IBM. Ces personnes seront responsables de la planification, de l’installation, de la configuration, de l’optimisation des performances, de l’adéquation, du dépannage et de la gestion d’IBM QRadar SIEM dans la version 7.3.2. La capacité d’accomplir n’importe quelle tâche avec peu ou pas d’aide avec la documentation, les collègues ou le soutien du fabricant est évaluée.

Quelle certification choisir ?

Notre recommandation est de commencer par l’examen de l’administrateur ou de l’analyste, selon votre rôle. Nous avons plusieurs cours, séminaires et ateliers intensifs qui vous aideront à les préparer. Si vous ne savez rien sur le produit, nous vous recommandons d’effectuer la formation officielle d’analyste et l’administrateur que nous enseignons également.

IMPORTANT Jusqu’en septembre, si vous utilisez le code HUCSECURE, vous bénéficierez d’un rabais de 50 lorsque vous vous inscrivez à l’examen.

 

Vulnérabilité critique dans le portail TIA Siemens STEP 7

Que s’est-il passé?

Une vulnérabilité critique a été constatée dans Siemens STEP 7 TIAPortal, l’un des programmes de conception et d’automatisation les plus utilisés pour les systèmes de contrôle industriel (ICS) dans le monde entier. Les utilisateurs sont invités à confirmer que leurs systèmes ont été mis à niveau vers la dernière version.

La vulnérabilité critique a été découverte par Tenable Research et permettrait à un attaquant de prendre des mesures administratives.

Quel est le vecteur d’attaque ?

Sauter le mécanisme d’authentification sur le serveur TIA Manager à travers les prises Web du serveur node.js

Quel est l’impact sur l’entreprise?

Un attaquant pourrait compromettre un système de portail TIA et utiliser son accès pour ajouter du code malveillant aux systèmes de contrôle industriel adjacents. Les attaquants pourraient également utiliser l’accès obtenu en exploitant cette vulnérabilité pour voler des données sensibles dans les configurations OT existantes pour continuer à progresser et planifier des attaques ciblant l’infrastructure essentielle.

Dans le pire des cas, un système de portail TIA vulnérable peut être utilisé comme tremplin dans une attaque qui cause des dommages catastrophiques à l’équipe ot, perturbe les opérations critiques ou mène des campagnes de cyberespionnage.

Quelle est la solution ?

Siemens a publié une mise à jour et un avis de sécurité pour cette vulnérabilité.

Dois-je m’inquiéter ?

Les opérations industrielles modernes englobent souvent des infrastructures informatiques et OT complexes, avec de nouveaux défis de sécurité pour les environnements critiques, tout en rendant les menaces de cybersécurité encore plus difficiles à détecter, à enquêter et à remédier.

Solutions?

Les services de surveillance et de gestion OT/ICS/SCADA sont devenus plus faciles grâce à notre solution basée sur un QRadar SIEM et un ICS Indegy.