Installation de l’application QRadar Pulse
Utilisez l’application QRadar Assistant pour installer l’archive de l’application QRadar Pulse sur votre ordinateur QRadar .
Avant d’installer l’application, assurez-vous que QRadar répond aux exigences minimales en matière de mémoire (RAM). QRadar Pulse nécessite 350 Mo de mémoire libre provenant du pool de mémoire de l’application. Si l’installation de QRadar Pulse échoue, cela signifie que votre pool d’applications ne dispose pas de suffisamment de mémoire disponible pour exécuter l’application. Envisagez d’ajouter un hôte d’application à votre déploiement QRadar .
QRadar 7.3.0 et 7.3.1 utilisent un nœud d’application, qui est un hôte non géré, dédié à l’exécution d’applications. Provisionnez un nœud d’application pour fournir des ressources de stockage, de mémoire et de processeur supplémentaires à vos applications sans affecter la capacité de traitement de votre console QRadar. Pour plus d’informations, consultez le Guide d’administration de Juniper Secure Analytics.
QRadar 7.3.2 ou version ultérieure utilise un hôte d’application, qui est un hôte géré, dédié à l’exécution d’applications. Les hôtes d’applications fournissent du stockage, de la mémoire et des ressources CPU supplémentaires pour vos applications sans affecter la capacité de traitement de votre console QRadar. Pour plus d’informations, consultez le Guide d’administration de Juniper Secure Analytics.
Choisissez l’une des méthodes suivantes pour télécharger votre application :
Si l’application QRadar Assistant est configurée sur QRadar, suivez les instructions du Guide de l’application QRadar Assistant pour installer QRadar Pulse.
Si l’application QRadar Assistant n’est pas configurée, téléchargez l’archive de l’application QRadar Pulse à partir d’IBM Security App Exchange sur votre ordinateur local. Vous devez disposer d’un ID IBM pour accéder à App Exchange.
Si vous avez téléchargé l’application à partir d’App Exchange, procédez comme suit :
Dans la console QRadar , cliquez sur Admin >Gestion des extensions.
Dans la fenêtre Gestion des extensions , cliquez sur Ajouter et sélectionnez l’archive d’applications que vous souhaitez télécharger sur la console.
Cochez la case Installer immédiatement .
Note:Vous devrez peut-être attendre plusieurs minutes avant que votre application ne devienne active.
Pour prévisualiser le contenu d’une application après son ajout et avant son installation, sélectionnez-la dans la liste des extensions, puis cliquez sur Plus de détails. Développez les dossiers pour afficher les éléments de contenu individuels de chaque groupe.
Une fois l’installation terminée, videz le cache de votre navigateur et rafraîchissez la fenêtre du navigateur pour voir l’onglet Pulse .
Une fois que vous avez installé QRadar Pulse, il s’affiche en tant que fonctionnalité dans la page Rôles d’utilisateur de l’onglet Admin . Pour utiliser l’application, un administrateur QRadar doit attribuer l’application et toutes les autres fonctionnalités dont elle a besoin à un rôle d’utilisateur. Pour plus d’informations, reportez-vous à la section Installation de l’application QRadar Pulse.
Navigateurs pris en charge pour QRadar Pulse
Pour que les tableaux de bord et les graphiques de widgets des éléments de tableau de bord fonctionnent correctement, vous devez utiliser un navigateur Web pris en charge.
Le tableau suivant répertorie les navigateurs Web pris en charge :
Navigateur Web |
Versions prises en charge |
|---|---|
Mozilla Firefox |
Dernier |
Google Chrome (en anglais seulement) |
Dernier |
Microsoft Edge |
Dernier |
Votre carte graphique et votre navigateur doivent prendre en charge WebGL pour que certaines parties du globe des menaces s’affichent correctement. Pour tester si votre navigateur prend en charge WebGL, accédez à WebGL (https://get.webgl.org/). Si vous voyez un cube en rotation sur la page Web, votre navigateur prend en charge WebGL.
L’image suivante indique un navigateur Web qui prend en charge WebGL. 
Versions minimales des produits QRadar pour QRadar Pulse
Avant d’installer QRadar Pulse, assurez-vous que les versions des produits QRadar Pulse et QRadar sont compatibles.
Version QRadar Pulse |
Versions minimales de QRadar |
|---|---|
2.1.0 ou version ultérieure |
QRadar 7.3.0 (Fix Pack 6) ou version ultérieure QRadar Édition Communauté 7.3.1
Note:
Pour des performances optimales, augmentez la mémoire de l’appliance QRadar à 350 Mo. |
1.1.0 (Globe des menaces GA) |
Toutes les versions de QRadar 2014.8, à l’exception de la mise à jour logicielle 2014.8 9. Les utilisateurs du groupe de correctifs 2014.8 9 peuvent effectuer une mise à niveau vers le groupe de correctifs 2014.8 10. Mise à jour logicielle 4 (avec solution de contournement) et versions ultérieures de QRadar 7.3.0 QRadar 7.3.1
Pourboire:
Pour des performances optimales, limitez à 6 le nombre de combinaisons distinctes de rôles d’utilisateur et d’autorisations qui ont accès à QRadar Pulse . |
Les éléments de tableau de bord de métriques par défaut fonctionnent dans QRadar 7.3.0 (Fix Pack 6) ou version ultérieure. Si vous utilisez QRadar Pulse 1.1.0 ou une version antérieure sur QRadar 2014.8 ou des versions antérieures à 7.3.0 (Fix Pack 6), lorsque vous mettez à niveau QRadar Pulse, certains tableaux de bord et éléments de tableau de bord peuvent ne pas s’afficher correctement. Effectuez une mise à niveau vers QRadar 7.3.0 (Fix Pack 6) ou une version ultérieure.
Affectation de capacités utilisateur pour QRadar Pulse
Une fois que vous avez installé QRadar Pulse, il s’affiche en tant que fonctionnalité dans Rôles d’utilisateur dans l’onglet Admin . Pour utiliser l’application, un administrateur QRadar doit attribuer l’application et toutes les autres fonctionnalités dont elle a besoin à un rôle d’utilisateur.
Les non-administrateurs peuvent travailler avec des données limitées aux restrictions définies dans leur profil de sécurité, si leur rôle d’utilisateur le permet, mais ils ne peuvent pas configurer QRadar Pulse. Les utilisateurs sont limités à 100 tableaux de bord et 800 éléments de tableau de bord chacun. Les fonctionnalités sont des ensembles d’autorisations dont disposent les rôles d’utilisateur.
Les profils de sécurité sont différents des rôles d’utilisateur. Les profils de sécurité définissent les réseaux, les sources de journaux et les domaines auxquels un utilisateur peut accéder. Pour plus d’informations, consultez la section Profils de sécurité du Guide d’administration de Juniper Secure Analytics. Des profils de sécurité ou des rôles d’utilisateur trop restrictifs peuvent empêcher l’affichage des données.
Cliquez sur Rôles d’utilisateur dans la section Gestion des utilisateurs de l’onglet Admin .
Dans la liste des rôles d’utilisateur disponibles, sélectionnez le rôle d’utilisateur auquel vous souhaitez attribuer l’application.
Cochez la case QRadar Pulse, puis cochez les cases des fonctionnalités suivantes : Attaques, Activité du journal, Impulsion - Tableau de bord et Impulsion - Globe des menaces, puis cliquez sur Enregistrer.
Pourboire:Pour limiter un rôle d’utilisateur à l’affichage des données d’infraction, mais pas des événements ou des flux associés, cochez la case Infractions et décochez les cases suivantes en dessous :
Assigner des infractions aux utilisateurs
Gérer les motifs de clôture des infractions
Maintenir les règles personnalisées
Afficher les règles personnalisées
Dans l’onglet Admin , cliquez sur Déployer les modifications.
Configuration du tableau de bord Globe des menaces
Si vous utilisez QRadar Pulse 2.1.6 ou une version ultérieure sur QRadar 7.3.1 ou une version ultérieure, le 3D Threat Globe utilise la base de données MaxMind GeoIP installée avec QRadar pour la géolocalisation des adresses IP. Vous pouvez configurer Threat Globe pour utiliser une autre base de données MaxMind GeoIP, configurer des valeurs par défaut pour les adresses IP qui ne peuvent pas être mappées dans la base de données et spécifier des intervalles de lecture et des délais pour les éléments affichés.
Les événements sont pris en charge dans Threat Globe. Les flux ne sont pas pris en charge.
Ouvrez les paramètres d’administration :
Dans QRadar 7.3.0 ou version antérieure, cliquez sur l’onglet Admin. Dans QRadar 7.3.1 et versions ultérieures, cliquez sur l’icône du menu de navigation, puis cliquez sur Admin pour ouvrir l’onglet admin.
Dans la section Applications , cliquez sur l’icône Configuration du globe des menaces .
Configurez les valeurs par défaut pour les adresses IP qui ne peuvent pas être mappées dans la base de données MaxMind GeoIP. La base de données MaxMind est une base de données de géolocalisation IP qui détermine le pays, les subdivisions, la ville et les codes postaux associés aux adresses IP dans le monde entier.
Réglage
Action
Description
Latitude et longitude par défaut
Spécifiez la latitude et la longitude par défaut à afficher pour les événements avec des adresses IP source ou de destination privées ou internes.
Ces coordonnées déterminent la façon dont les événements qui ne correspondent pas à des longitudes et des latitudes spécifiques de la base de données sont affichés sur le globe de menace. Par exemple, vous pouvez spécifier l’emplacement du siège de votre entreprise ou l’emplacement où se trouvent la plupart de vos ressources réseau.
Pays et ville par défaut
Spécifiez le pays et la ville par défaut dans la page qui s’ouvre lorsque vous passez la souris sur les événements sur le globe de menace dans la page Détails de l’infraction .
Ces coordonnées déterminent le mode d’affichage des événements qui ne correspondent pas à des longitudes et des latitudes spécifiques de la base de données.
Code à deux caractères par défaut
Spécifiez un code de pays à deux caractères par défaut qui s’affiche lorsque vous passez la souris sur un chemin dans le diagramme de flux dans la page « Détails de l’infraction » du globe des menaces.
Spécifiez les intervalles et les délais de lecture pour le graphique de la chronologie, le graphique de taux d’événements et les autres éléments affichés. Pour plus d’informations, consultez Retards en temps réel dans Threat Globe.
Réglage
Description
Valeur par défaut
Délai en temps réel
Temps (en secondes) écoulé entre le moment où QRadar collecte les événements et le moment où ils sont visualisés dans le globe des menaces.
10 minutes
Intervalle à afficher sur le graphique des taux d’événements
Temps (en secondes) visualisé par le graphique de taux d’événements pour le taux d’événements collectés par QRadar.
60 secondes
Nombre maximal d’événements récupérés par infraction
Un nombre plus élevé d’événements affecte les performances de l’application.
100 événements
Nombre maximal d’infractions prises en compte
Si les données ne se chargent pas, réduisez cette valeur. Un nombre plus élevé d’infractions peut affecter les performances.
N/A
Dans l’onglet Admin , cliquez sur Déployer les modifications.
Dans la page de configuration de QRadar Pulse , cliquez sur le lien de la base de données MaxMind GeoIP City pour télécharger une base de données de ville sur votre disque dur, décompressez le fichier tar.gz, puis accédez à son emplacement pour télécharger le fichier *.mmdb sur QRadar Pulse. Vous pouvez télécharger une base de données de pays en utilisant le même lien, mais la ville n’est pas affichée dans l’application.
Note:QRadar Pulse utilise l’ordre de priorité suivant pour trouver les emplacements géographiques :
Dans QRadar 7.3.1 ou version ultérieure, examine la hiérarchie du réseau.
Vérifie la base de données MaxMind dans QRadar Pulse.
Vérifie la base de données MaxMind dans QRadar 7.3.1 ou version ultérieure.
Vérifie l’écran de configuration de QRadar Pulse pour vérifier que la latitude et la longitude sont correctement définies.
Cliquez sur Save (Enregistrer).
Les champs sont validés et toutes les erreurs sont affichées pour que vous puissiez les corriger avant la fin de la configuration.
L’exemple suivant montre une configuration terminée.
Une fois la configuration terminée, le globe de menace 3D s’affiche.
Threat Globe Retards en temps réel
Le Globe des menaces utilise des délais en temps réel pour spécifier le temps (en secondes) entre le moment où QRadar collecte les événements et le moment où ils sont visualisés dans le Globe des menaces. La valeur par défaut est de 10 minutes.
Vous pouvez configurer le délai en modifiant l’option, mais dans la plupart des cas, il est préférable de laisser cette option à la valeur par défaut. Si le délai est trop court, le Globe des menaces risque de ne pas suivre, surtout lorsque vous avez de nombreux utilisateurs. Si le délai est trop long, le globe des menaces affiche les événements trop éloignés du temps réel.
Le globe des menaces comprend les infractions qui se situent entre une période, qui est déterminée par l’heure de début et l’heure de la dernière mise à jour. Lorsque votre navigateur charge le globe des menaces pour la première fois, la durée de cette période correspond à l’intervalle de temps de 15 minutes + 6 minutes = 21 minutes. Après ce délai initial, les délais suivants sont de 5 minutes.
Pour optimiser le globe des menaces pour la mise en cache, les requêtes effectuées dans les 5 minutes sont regroupées et réutilisées. Par exemple, supposons que vous ayez installé le Globe des menaces et que la première fois que vous avez accédé à l’application, c’était à 9 heures du matin. Puis, dans les 5 minutes qui ont suivi l’accès au Globe des menaces pour la première fois, vous avez ouvert 100 autres écrans du Globe des menaces. Le globe des menaces affiche les mêmes informations sur chaque écran, ce qui est généralement idéal pour un centre d’opérations de sécurité. Ce regroupement des demandes et le délai en temps réel déterminent le point de départ du délai.
Mise à niveau de QRadar Pulse
Pour tirer parti des nouvelles fonctionnalités, des corrections de défauts et des flux de travail mis à jour, effectuez une mise à niveau vers les nouvelles versions de QRadar Pulse. Utilisez l’outil de gestion des extensions dans QRadar pour mettre à niveau votre application, ou utilisez l’application QRadar Assistant pour effectuer une mise à niveau. Vous devez être administrateur pour effectuer la mise à niveau vers les nouvelles versions de l’application.
Vous devez disposer d’un ID IBM pour accéder à App Exchange.
Choisissez l’une des méthodes suivantes pour télécharger votre application :
Si l’application QRadar Assistant est configurée sur QRadar, suivez les instructions du Guide de l’application QRadar Assistant pour installer QRadar Pulse.
Si l’application QRadar Assistant n’est pas configurée, téléchargez l’archive de l’application QRadar Pulse à partir d’IBM Security App Exchange sur votre ordinateur local. Vous devez disposer d’un ID IBM pour accéder à App Exchange.
Si vous avez téléchargé l’application à partir d’App Exchange, procédez comme suit :
Sur la console QRadar , cliquez sur Admin >Gestion des extensions.
Dans la fenêtre Gestion des extensions , cliquez sur Ajouter et sélectionnez l’archive d’applications que vous souhaitez télécharger sur la console.
Cochez la case Installer immédiatement .
Note:Vous devrez peut-être attendre plusieurs minutes avant que votre application ne devienne active.
Pour prévisualiser le contenu d’une application après son ajout et avant son installation, sélectionnez-la dans la liste des extensions, puis cliquez sur Plus de détails. Développez les dossiers pour afficher les éléments de contenu individuels de chaque groupe.
Sur la page qui vous invite à mettre à jour la version actuelle de l’application, laissez l’option Remplacer les éléments existants sélectionnée, puis cliquez sur Installer. Une fois l’installation terminée, un message s’affiche en bas de la page pour vous informer des mises à jour du modèle fournies à partir de la mise à niveau.
Pour charger les modèles mis à jour, cliquez sur le lien du message ou développez la liste du tableau de bord dans le coin supérieur gauche de la page, puis cliquez sur Nouveau tableau de bord, puis sur Modèles.
Note:Vous devrez peut-être actualiser le navigateur.
Sur la page Parcourir les modèles , cliquez sur Mettre à jour pour chaque modèle que vous souhaitez charger dans QRadar.
Note:Si vous effectuez une mise à niveau à partir de QRadar Pulse V1.1.0 et que vous accédez au tableau de bord Threat Globe, vous pouvez voir un message vous indiquant que le jeton de services autorisés et la base de données MaxMind GeoIP sont manquants pour que le Threat Globe fonctionne. Suivez les instructions de la rubrique de configuration : Installation de l’application QRadar Pulse.
Si la mise à niveau a échoué, reportez-vous à la section Dépannage de QRadar Pulse.
Si la mise à niveau a réussi, reportez-vous à la section Installation de l’application QRadar Pulse.
Installation d’extensions de contenu à utiliser dans QRadar Pulse
Les administrateurs téléchargent des extensions de contenu contenant des modèles de tableau de bord QRadar Pulse personnalisés à partir d’IBM Security App Exchange. Par exemple, l’extension de contenu pour la conformité au règlement général sur la protection des données (RGPD) de l’UE dispose d’un tableau de bord spécifique qui peut vous aider à surveiller la conformité au règlement.
Vous devez disposer d’un ID IBM pour télécharger l’extension de contenu.
Si l’application QRadar Assistant est configurée sur QRadar, suivez les instructions du Guide de l’application QRadar Assistant pour télécharger des extensions de contenu.
Si l’application QRadar Assistant n’est pas configurée, téléchargez l’archive de l’application QRadar Pulse à partir d’IBM Security App Exchange sur votre ordinateur local.
Connectez-vous à QRadar, puis cliquez sur Admin >Gestion des extensions.
Sur la page Gestion des extensions , cliquez sur Ajouter.
Sur la page Ajouter une nouvelle extension , sélectionnez le fichier compressé de l’extension de contenu que vous souhaitez télécharger sur la console.
Cochez la case Installer immédiatement , puis cliquez sur Ajouter >Installer.
Dans la page d’extension de contenu qui affiche les modifications à apporter après l’installation, laissez la case à cocher Remplacer les éléments existants cochée, puis cliquez sur Installer.
Pourboire:Si vous mettez à jour une extension de contenu, cochez la même case.
Passez en revue le résumé d’installation des éléments de données de référence nouveaux ou mis à jour, cliquez sur OK, puis fermez la page Gestion des extensions .
Dans l’onglet Admin , cliquez sur Déployer les modifications.
Synchronisation de modèles de tableau de bord à partir d’extensions de contenu
Les administrateurs synchronisent les modèles de tableau de bord inclus dans les extensions de contenu ou les applications. Par exemple, l’application QRadar DNS Analyzer contient un tableau de bord qui aide les analystes SOC à identifier les tendances DNS et à enquêter sur les activités suspectes telles que les tentatives de squattage. Une fois les modèles de tableau de bord synchronisés, les utilisateurs peuvent utiliser les tableaux de bord dans leur propre espace de travail.
Une extension de contenu avec une base de données QRadar Pulse doit être installée. Pour plus d’informations, reportez-vous à la section Installation de l’application QRadar Pulse.
Dans l’onglet Admin , accédez à Applications >Pulse - Tableau de bord et cliquez sur l’icône de l’application Pulse - Tableau de bord .
Sur la page Modèles de tableau de bord Pulse , cliquez sur Synchroniser pour définir le contenu du tableau de bord nouveau ou mis à jour dans QRadar Pulse, puis fermez la page.
Désinstallation de QRadar Pulse
Les administrateurs utilisent l’outil de gestion des extensions dans QRadar pour désinstaller une application.
Pour minimiser les perturbations, informez vos utilisateurs non administratifs avant de désinstaller l’application. Les utilisateurs qui se sont connectés à QRadar avant de supprimer l’application voient un tableau de bord vide et un message d’erreur lorsqu’ils accèdent à l’onglet du tableau de bord Pulse . Les utilisateurs doivent actualiser leur navigateur pour effacer l’onglet Pulse de l’affichage.
Sous l’onglet Admin , dans la section Configuration système, cliquez sur Gestion des extensions.
Dans l’onglet INSTALLÉ de la page Gestion des extensions , sélectionnez l’application QRadar Pulse et cliquez sur Désinstaller.
Lorsque vous désinstallez une application, elle est supprimée du système. Si vous souhaitez le réinstaller, vous devez le réinstaller.