Respaldo de Configuración, Eventos y Contenido en IBM QRadar

[post-views]
octubre 17, 2017 · 3 min de lectura
Respaldo de Configuración, Eventos y Contenido en IBM QRadar

Mientras trabajas con SIEM, eventualmente te encuentras en una situación donde tu herramienta necesita ser actualizada a la última versión, trasladada a un centro de datos diferente o migrada a una instalación más productiva. Una parte integral de esto es la creación de copias de seguridad y la posterior transferencia de datos, configuraciones o contenido personalizado a una nueva instalación.
Hay varias maneras de afrontar esta tarea.

Opción 1: Copia de Seguridad de Configuración

Puedes realizarlo desde la consola web de IBM QRadar.

1. Ve a Admin – Backup y Recovery tab

2. Luego ve a Configurar

3. Establece la ruta al repositorio y selecciona Solo Copia de Seguridad de Configuración

4. Luego haz clic en Guardar and Desplegar Cambios botones5. Después de estas acciones, la copia de seguridad se creará automáticamente a las 00:00.

Opción alternativa:
1. Ve a Admin – Backup y Recovery – Copia de Seguridad bajo demanda

2. Rellena Nombre and Descripción (opcional) campos y luego haz clic en Ejecutar Copia de Seguridad

3. Haz clic en OK

Opción 2: Copia de Seguridad de Configuración y Datos

Puedes realizarlo desde la consola web de IBM QRadar.

1. Ve a Admin – Backup y Recovery tab

2. Ve a Configurar

3. Luego, establece la ruta al repositorio y selecciona Copia de Seguridad de Configuración y Datos. Selecciona los datos («Datos de Eventos» y / o «Datos de Flujo«) que necesitas guardar. Si hay una gran cantidad de datos, el proceso puede interrumpirse debido a que se excede el límite de tiempo, por lo que necesitas cambiar Copia de Seguridad de Datos – Límite de Tiempo de Copia de Seguridad (min) y especificar la prioridad del procedimiento.4. Después de estas acciones, la copia de seguridad se creará automáticamente a las 00:00.

Opción 3: Copia de Seguridad de Contenido Analítico

La siguiente opción de creación de una copia de seguridad del contenido analítico permite guardar cierto contenido (reglas, búsqueda, paneles, eventos, parsers, etc.). Para hacer esto, necesitas conectarte vía SSH al servidor de IBM QRadar.

1. Usando una utilidad como Putty, necesitas conectarte a QRadar con cuenta root2. Luego ejecuta el comando /opt/qradar/bin/contentManagement.pl –a export -c all, que permite exportar todo el “contenido personalizado” como un archivo *.zip3. Si necesitas añadir datos al archivo desde el Conjunto de Referencia, usa el siguiente comando: /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Si necesitas añadir datos de tendencia desde paneles y búsquedas al archivo, usa el siguiente comando: /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Si necesitas exportar elementos de contenido específicos, primero encuentra sus IDs. Para hacer esto necesitas ejecutar el siguiente comando: /opt/qradar/bin/contentManagement.pl –action search –content-type «tipo de elemento para búsqueda» –regex «.*elemento nombre contiene.*» (Ejemplo: _/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex «.*APT.*»)

Tipos de elementos que puedes buscar y exportar:
• all
• package
• dashboard
• report
• search
• fgroup
• fgrouptype
• customrule
• customproperty
• sensordevice
• sensordevicetype
• sensordevicecategory
• deviceextension
• qidmap
• referencedata
• offensetype
• historicalsearch
• custom_function
• custom_action
• installed_application

Después de encontrar los IDs de los elementos, necesitas crear manualmente el archivo con extensión *.content
Luego necesitas llenar este archivo según el ejemplo:Dashboard, Dashboard_ID1,Dashboard_ID2
Customrule, rule_ID1,rule_ID2Luego, cuando el archivo esté creado, necesitas transferirlo a IBM QRadar y ejecutar el comando:/opt/qradar/bin/contentManagement.pl -a export -c package -f «path to *.content file»Crear copias de seguridad de contenido, configuración y eventos en IBM Qradar para un administrador de SIEM experimentado no es una tarea desafiante. Usando la información de este artículo, puedes guardar todos los datos y configuraciones necesarios sin gastar tiempo significativo.

Ir a Plataforma Únete a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

IBM QRadar: Cómo crear una regla para el monitoreo de fuentes de registro 2 min de lectura Fragmentos de Conocimiento IBM QRadar: Cómo crear una regla para el monitoreo de fuentes de registro by Oleh P. Superando la Complejidad del Esquema de Datos para su SIEM & XDR con el Módulo de Gestión de Contenidos Continuo de SOC Prime 8 min de lectura SIEM y EDR Superando la Complejidad del Esquema de Datos para su SIEM & XDR con el Módulo de Gestión de Contenidos Continuo de SOC Prime by Eugene Tkachenko Uncoder CTI: Guía Paso a Paso 4 min de lectura Plataforma SOC Prime Uncoder CTI: Guía Paso a Paso by Eugene Tkachenko
Todas las noticias