IBM QRadar SIEM ile firewall,sever,ips,routers,switches,active directory,web server vb gibi uygulama ve donanımlardan üretilen logları anlamlandırma imkanı sağlayan bir yazılımdır.Bu ürünün temelinde, gerçek zamanlı günlük olayları ve ağ akış verilerini yakalayarak olası saldırganların izini ortaya çıkarmak üzere tasarlanmış yüksek düzeyde ölçeklendirilebilir bir veritabanı bulunmaktadır.
QRadar SIEM, her etkinliği kendi ham biçiminde depolayarak ve ardından gerçek tehditleri yanlış algılamalardan ayırt etmeye yardımcı anında bağıntı etkinlikleri gerçekleştirerek, bir ağda dağıtılmış binlerce aygıttaki günlük kaynağı olay verilerini birleştiren kurumsal bir çözümdür.Tüm QRadar ailesi bileşenlerinde paylaşılan sezgisel bir kullanıcı arabirimi, BT personelinin ağ saldırılarını önem derecesine göre hızlı bir şekilde tanımlayıp gidermesine yardımcı olur binlerce uyarı ve anormal etkinlik düzenini sıralar ve daha fazla inceleme sağlayacak şekilde saldırı sayısını büyük ölçüde azaltır.
Qradar SIEM Arayüzüne https://IP_Adress_&_Name şeklinde erişip login oluyorum
Ardından Admin menüsünden Log Sources ‘a tıklayarak devam ediyoruz.
Log toplayacağımız vcenter sunucusuna ait erişim bilgilerini tanımlıyorum
vCenter sunucumuzu ekledikten sonra ilgili kaynaktan log toplayamak için qradar siem cihazımızda admin menüsünden “Deploy Changes” tıklayarak devam ediyorum.
“Deploy changes” işleminden sonra log kaynağımızın statusunun “success“ olarak değiştiğini görüyoruz
Log activity menüsünden vcenter sunucumuzu filtre ederek vcenter sunucusundan logların geldiğini görmekteyiz.
Bir sonraki yazımızda raporlama işlemleri nasıl yapılır konusuna değineceğiz.
