Configuration, événements et sauvegarde de contenu dans IBM QRadar

[post-views]
octobre 17, 2017 · 4 min de lecture
Configuration, événements et sauvegarde de contenu dans IBM QRadar

En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations ou de contenu personnalisé vers une nouvelle installation.
Il existe plusieurs façons d’aborder cette tâche.

Option 1 : Sauvegarde de la Configuration

Vous pouvez le faire depuis la console Web IBM QRadar.

1. Allez à Admin – Sauvegarde et Récupération tab

2. Puis allez à Configurer

3. Définissez le chemin vers le dépôt et sélectionnez Sauvegarde de la Configuration uniquement

4. Ensuite, cliquez sur Enregistrer and Déployer les Modifications boutons5. Après ces actions, la sauvegarde sera créée automatiquement à 00-00.

Option alternative :
1. Allez à Admin – Sauvegarde et Récupération – Sauvegarde à la Demande

2. Remplissez les champs Nom and Description (facultatif) puis cliquez sur Exécuter la Sauvegarde

3. Cliquez sur OK

Option 2 : Sauvegarde de la Configuration et des Données

Vous pouvez le faire depuis la console Web IBM QRadar.

1. Allez à Admin – Sauvegarde et Récupération tab

2. Allez à Configurer

3. Ensuite, définissez le chemin vers le dépôt et sélectionnez Sauvegarde de la Configuration et des Données. Sélectionnez les données (« Données d’Événement » et/ou « Données de Flux« ) que vous devez sauvegarder. S’il y a une grande quantité de données, le processus peut être interrompu en raison du dépassement de la limite de temps, vous devez donc changer Sauvegarde des Données – Limite de Temps de Sauvegarde (min) et spécifier la priorité de la procédure.4. Après ces actions, la sauvegarde sera créée automatiquement à 00-00.

Option 3 : Sauvegarde du Contenu Analytique

L’option suivante pour créer une sauvegarde du contenu analytique permet de sauvegarder certains contenus (règles, recherche, tableaux de bord, événements, parseurs, etc.). Pour ce faire, vous devez vous connecter via SSH au serveur IBM QRadar.

1. En utilisant un utilitaire tel que Putty, vous devez vous connecter à QRadar avec le compte root2. Ensuite, exécutez la commande /opt/qradar/bin/contentManagement.pl –a export -c all, qui permet d’exporter tout le « contenu personnalisé » sous forme d’une archive *.zip3. Si vous devez ajouter des données à l’archive depuis l’Ensemble de Références, utilisez la commande suivante : /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Si vous devez ajouter des données de tendance provenant des tableaux de bord et des recherches à l’archive, utilisez la commande suivante : /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Si vous devez exporter des éléments de contenu spécifiques, trouvez d’abord leurs IDs. Pour cela, vous devez exécuter la commande suivante : /opt/qradar/bin/contentManagement.pl –action search –content-type « type d’élément pour recherche » –regex « .*nom d’élément contient.* » (Exemple : _/opt/qradar/bin/contentManagement.pl –action search –content-type tableau de bord –regex « .*APT.* »)

Types d’éléments que vous pouvez rechercher et exporter :
• tout
• package
• tableau de bord
• rapport
• recherche
• fgroup
• fgrouptype
• règle personnalisée
• propriété personnalisée
• capteur
• type de capteur
• catégorie de capteur
• extension de dispositif
• carte qid
• données de référence
• type d’infraction
• recherche historique
• fonction_personnalisée
• action_personnalisée
• application_installée

Après avoir trouvé les IDs des éléments, vous devez créer manuellement le fichier avec l’extension *.content
Ensuite, vous devez remplir ce fichier selon l’exemple :Tableau_de_bord, ID_tableau_de_bord1,ID_tableau_de_bord2
Règle_personnalisée, ID_règle1,ID_règle2Ensuite, lorsque le fichier est créé, vous devez le transférer vers IBM QRadar et exécuter la commande :/opt/qradar/bin/contentManagement.pl -a export -c package -f « chemin vers le fichier *.content »La création de sauvegardes de contenu, de configuration et d’événements dans IBM QRadar pour un administrateur SIEM expérimenté n’est pas une tâche difficile. En utilisant les informations de cet article, vous pouvez sauvegarder toutes les données et configurations nécessaires sans passer beaucoup de temps.

Aller à la Plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

IBM QRadar : Comment créer une règle pour la surveillance des sources de journaux 2 min de lecture Bribes de Connaissance IBM QRadar : Comment créer une règle pour la surveillance des sources de journaux by Oleh P. Surmonter la Complexité des Schémas de Données pour Votre SIEM & XDR avec le Module de Gestion de Contenu Continu de SOC Prime 9 min de lecture SIEM & EDR Surmonter la Complexité des Schémas de Données pour Votre SIEM & XDR avec le Module de Gestion de Contenu Continu de SOC Prime by Eugene Tkachenko Uncoder CTI : Instructions étape par étape 5 min de lecture Plateforme SOC Prime Uncoder CTI : Instructions étape par étape by Eugene Tkachenko
Toutes les actualités