Respaldo de Configuración, Eventos y Contenido en IBM QRadar
Tabla de contenidos:
Mientras trabajas con SIEM, eventualmente te encuentras en una situación donde tu herramienta necesita ser actualizada a la última versión, trasladada a un centro de datos diferente o migrada a una instalación más productiva. Una parte integral de esto es la creación de copias de seguridad y la posterior transferencia de datos, configuraciones o contenido personalizado a una nueva instalación.
Hay varias maneras de afrontar esta tarea.
Opción 1: Copia de Seguridad de Configuración
Puedes realizarlo desde la consola web de IBM QRadar.
1. Ve a Admin – Backup y Recovery tab
2. Luego ve a Configurar
3. Establece la ruta al repositorio y selecciona Solo Copia de Seguridad de Configuración
4. Luego haz clic en Guardar and Desplegar Cambios botones
5. Después de estas acciones, la copia de seguridad se creará automáticamente a las 00:00.
Opción alternativa:
1. Ve a Admin – Backup y Recovery – Copia de Seguridad bajo demanda
2. Rellena Nombre and Descripción (opcional) campos y luego haz clic en Ejecutar Copia de Seguridad
3. Haz clic en OK
Opción 2: Copia de Seguridad de Configuración y Datos
Puedes realizarlo desde la consola web de IBM QRadar.
1. Ve a Admin – Backup y Recovery tab
2. Ve a Configurar
3. Luego, establece la ruta al repositorio y selecciona Copia de Seguridad de Configuración y Datos. Selecciona los datos («Datos de Eventos» y / o «Datos de Flujo«) que necesitas guardar. Si hay una gran cantidad de datos, el proceso puede interrumpirse debido a que se excede el límite de tiempo, por lo que necesitas cambiar Copia de Seguridad de Datos – Límite de Tiempo de Copia de Seguridad (min) y especificar la prioridad del procedimiento.
4. Después de estas acciones, la copia de seguridad se creará automáticamente a las 00:00.
Opción 3: Copia de Seguridad de Contenido Analítico
La siguiente opción de creación de una copia de seguridad del contenido analítico permite guardar cierto contenido (reglas, búsqueda, paneles, eventos, parsers, etc.). Para hacer esto, necesitas conectarte vía SSH al servidor de IBM QRadar.
1. Usando una utilidad como Putty, necesitas conectarte a QRadar con cuenta root
2. Luego ejecuta el comando /opt/qradar/bin/contentManagement.pl –a export -c all, que permite exportar todo el “contenido personalizado” como un archivo *.zip
3. Si necesitas añadir datos al archivo desde el Conjunto de Referencia, usa el siguiente comando: /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Si necesitas añadir datos de tendencia desde paneles y búsquedas al archivo, usa el siguiente comando: /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Si necesitas exportar elementos de contenido específicos, primero encuentra sus IDs. Para hacer esto necesitas ejecutar el siguiente comando: /opt/qradar/bin/contentManagement.pl –action search –content-type «tipo de elemento para búsqueda» –regex «.*elemento nombre contiene.*» (Ejemplo: _/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex «.*APT.*»)
Tipos de elementos que puedes buscar y exportar:
• all
• package
• dashboard
• report
• search
• fgroup
• fgrouptype
• customrule
• customproperty
• sensordevice
• sensordevicetype
• sensordevicecategory
• deviceextension
• qidmap
• referencedata
• offensetype
• historicalsearch
• custom_function
• custom_action
• installed_application
Después de encontrar los IDs de los elementos, necesitas crear manualmente el archivo con extensión *.content
Luego necesitas llenar este archivo según el ejemplo:Dashboard, Dashboard_ID1,Dashboard_ID2
Customrule, rule_ID1,rule_ID2Luego, cuando el archivo esté creado, necesitas transferirlo a IBM QRadar y ejecutar el comando:/opt/qradar/bin/contentManagement.pl -a export -c package -f «path to *.content file»Crear copias de seguridad de contenido, configuración y eventos en IBM Qradar para un administrador de SIEM experimentado no es una tarea desafiante. Usando la información de este artículo, puedes guardar todos los datos y configuraciones necesarios sin gastar tiempo significativo.
