Konfiguration, Ereignisse und Content-Backup in IBM QRadar

[post-views]
Oktober 17, 2017 · 3 min zu lesen
Konfiguration, Ereignisse und Content-Backup in IBM QRadar

Bei der Arbeit mit SIEM stoßen Sie irgendwann auf eine Situation, in der Ihr Tool aktualisiert werden muss, um die neueste Version zu erhalten, in ein anderes Rechenzentrum verlegt oder zu einer produktiveren Installation migriert werden muss. Ein integraler Bestandteil davon ist die Erstellung von Backups und der anschließende Transfer von Daten, Konfigurationen oder benutzerdefinierten Inhalten zu einer neuen Installation.
Es gibt mehrere Möglichkeiten, diese Aufgabe zu bewältigen.

Option 1: Konfigurationssicherung

Sie können dies über die IBM QRadar-Webkonsole durchführen.

1. Gehe zu Admin – Backup und Wiederherstellung tab

2. Dann gehe zu Konfigurieren

3. Pfad zum Repository festlegen und auswählen Nur Konfigurationssicherung

4. Dann klicken Speichern and Änderungen bereitstellen Schaltflächen5. Nach diesen Aktionen wird das Backup automatisch um 00-00 erstellt.

Alternative Option:
1. Gehe zu Admin – Backup und Wiederherstellung – Auf Anforderung Backup

2. Füllen Sie aus Name and Beschreibung (optional) Felder und klicken dann auf Backup ausführen

3. Klicken OK

Option 2: Konfigurations- und Datensicherung

Sie können dies über die IBM QRadar-Webkonsole durchführen.

1. Gehe zu Admin – Backup und Wiederherstellung tab

2. Gehe zu Konfigurieren

3. Als Nächstes den Pfad zum Repository festlegen und auswählen Konfigurations- und Datensicherung. Wählen Sie die Daten („Ereignisdaten“ und / oder „Flow-Daten„) aus, die Sie speichern müssen. Bei einer großen Datenmenge kann der Vorgang aufgrund eines überschrittenen Zeitlimits unterbrochen werden, daher müssen Sie Datensicherung – Sicherungszeitlimit (min) ändern und die Priorität des Verfahrens angeben.4. Nach diesen Aktionen wird das Backup automatisch um 00-00 erstellt.

Option 3: Analytische Inhalte sichern

Die Option zur Erstellung eines Backups der analytischen Inhalte ermöglicht es, bestimmte Inhalte (Regeln, Suche, Dashboards, Ereignisse, Parser usw.) zu speichern. Dazu müssen Sie sich über SSH mit dem IBM QRadar-Server verbinden.

1. Mit einem Dienstprogramm wie Putty müssen Sie sich mit dem Root-Konto bei QRadar anmelden2. Führen Sie dann den Befehl aus /opt/qradar/bin/contentManagement.pl –a export -c all, mit dem Sie alle „benutzerdefinierten Inhalte“ als *.zip-Archiv exportieren können3. Wenn Sie Daten aus dem Reference Set zum Archiv hinzufügen müssen, verwenden Sie den folgenden Befehl: /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Wenn Sie Trenddaten aus Dashboards und Suchen zum Archiv hinzufügen müssen, verwenden Sie den folgenden Befehl: /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Wenn Sie bestimmte Inhaltselemente exportieren müssen, finden Sie zuerst deren IDs. Dazu müssen Sie den folgenden Befehl ausführen: /opt/qradar/bin/contentManagement.pl –action search –content-type „element type for search“ –regex „.*element name contains.*“ (Beispiel: _/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex „.*APT.*“)

Arten von Elementen, die Sie suchen und exportieren können:
• alle
• Paket
• Dashboard
• Bericht
• Suche
• fgroup
• fgrouptype
• Customrule
• customproperty
• Sensorsgerät
• Sensorsgerätetyp
• Sensorsgeräte-Kategorie
• deviceextension
• qidmap
• referencedata
• offensetype
• historicalsearch
• custom_function
• custom_action
• installed_application

Nachdem die IDs der Elemente gefunden wurden, müssen Sie die Datei manuell mit der Erweiterung *.content erstellen
Dann müssen Sie diese Datei gemäß dem Beispiel ausfüllen:Dashboard, Dashboard_ID1,Dashboard_ID2
Customrule, rule_ID1,rule_ID2Wenn die Datei erstellt ist, müssen Sie sie an IBM QRadar übertragen und den Befehl ausführen:/opt/qradar/bin/contentManagement.pl -a export -c package -f „Pfad zur *.content-Datei“Die Erstellung von Content-, Konfigurations- und Ereignis-Backups in IBM Qradar ist für einen erfahrenen SIEM-Administrator keine herausfordernde Aufgabe. Mit den Informationen aus diesem Artikel können Sie alle notwendigen Daten und Konfigurationen speichern, ohne signifikante Zeit zu verlieren.

Zur Plattform gehen Tritt der Threat Bounty bei

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Veranstaltungen mit zusätzlichen Daten anreichern
Blog, SIEM & EDR — 3 min zu lesen
Veranstaltungen mit zusätzlichen Daten anreichern
Ruslan Mihalev
Ereignisfilterung in IBM QRadar
Blog, SIEM & EDR — 2 min zu lesen
Ereignisfilterung in IBM QRadar
Sergii Tyshchenko
Erstellung von Korrelationsereignissen in Splunk mithilfe von Alerts
Blog, SIEM & EDR — 2 min zu lesen
Erstellung von Korrelationsereignissen in Splunk mithilfe von Alerts
Alex Verbniak