# IV. Làm việc với hệ thống SIEM IBM Qradar

<details>

<summary>Đối với bài thực hành được thực hiện giúp chúng ta những điều gì?</summary>

* Làm quen với các thao tác và giao diện của hệ thống SIEM của IBM Qradar
* Biết được cách thiết lập kết nối của psftp và biết sử dụng phần mềm putty
* Biết các hiển thị và lọc các event bắt, biết cách viết rule để phát hiện các event theo yêu cầu của mình.

</details>

**Bước 1: Tải QradarCE bản demo từ trang web chính chủ của IBM hoặc đường link mà giáo của tui đưa nha (ở Nga bị k cho)))** [**Link**](https://drive.google.com/file/d/1yl6YkzcS8rZssAUiQQyLqWQguqm1KjpH/view?usp=drive_link)**>>> Và cài đặt.**

* Sau khi tải xuống ta nhận được các file như ảnh sau:<br>

  <figure><img src="/files/I4RNLdzHUpQFviO42ONq" alt=""><figcaption></figcaption></figure>
* Tiếp theo chúng ta sẽ chạy nó trên máy ảo VMware. Mở máy ảo VMware lên -> chọn Open... -> rồi chọn đến file có phần mở rộng `.ova` như hình trên -> đặt tên máy ảo -> thư mục lưu máy ảo (dung lượng đủ lớn nhé, khuyến nghị phải là trên 60GB nha là được còn họ yêu cầu là 250GB lận...)<br>

  <figure><img src="/files/lE7luvPeAltviwmovIQH" alt=""><figcaption></figcaption></figure>

**Bước 2: Thiết lập và cài đặt hệ thống SIEM trên máy ảo vừa cài đặt.**

* Bật máy ảo và thực hiện đăng nhập bằng tài khoản mặc định với username là `root` và password do mình tự thiết lập thỏa mãn yêu cầu về số lượng và có đủ cả chữ và số.<br>

  <figure><img src="/files/cvC2djU8pLglQSPj3a9h" alt=""><figcaption></figcaption></figure>
* Để thiết lập mọi thứ mặc định thì ta sẽ sử dụng câu lệnh `./setup`<br>

  <figure><img src="/files/B4sE3WZsRKMLUfG2xhTr" alt=""><figcaption></figcaption></figure>
* Nhấn Enter, để chấp nhận<br>

  <figure><img src="/files/ZORKqxbeVEyVwPhQYUjH" alt=""><figcaption></figcaption></figure>
* Tiếp tục chấp nhận và thực hiện đồng ý để cài đặt hệ thống, đến khi xong ta sẽ nhận được kết quả sau:<br>

  <figure><img src="/files/Wk9pSd4KQOZY6AagJDUZ" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/education/window-pe-.net/phong-thi-nghiem-phong-thu/iv.-lam-viec-voi-he-thong-siem-ibm-qradar.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.