Configuration, événements et sauvegarde de contenu dans IBM QRadar

[post-views]
octobre 17, 2017 · 4 min de lecture
Configuration, événements et sauvegarde de contenu dans IBM QRadar

En travaillant avec le SIEM, vous finirez par rencontrer une situation où votre outil nécessite d’être mis à jour vers la dernière version, déplacé vers un autre centre de données ou migré vers une installation plus productive. Une partie intégrante de cela est la création de sauvegardes et le transfert ultérieur de données, de configurations ou de contenu personnalisé vers une nouvelle installation.
Il existe plusieurs façons d’aborder cette tâche.

Option 1 : Sauvegarde de la Configuration

Vous pouvez le faire depuis la console Web IBM QRadar.

1. Allez à Admin – Sauvegarde et Récupération tab

2. Puis allez à Configurer

3. Définissez le chemin vers le dépôt et sélectionnez Sauvegarde de la Configuration uniquement

4. Ensuite, cliquez sur Enregistrer and Déployer les Modifications boutons5. Après ces actions, la sauvegarde sera créée automatiquement à 00-00.

Option alternative :
1. Allez à Admin – Sauvegarde et Récupération – Sauvegarde à la Demande

2. Remplissez les champs Nom and Description (facultatif) puis cliquez sur Exécuter la Sauvegarde

3. Cliquez sur OK

Option 2 : Sauvegarde de la Configuration et des Données

Vous pouvez le faire depuis la console Web IBM QRadar.

1. Allez à Admin – Sauvegarde et Récupération tab

2. Allez à Configurer

3. Ensuite, définissez le chemin vers le dépôt et sélectionnez Sauvegarde de la Configuration et des Données. Sélectionnez les données (« Données d’Événement » et/ou « Données de Flux« ) que vous devez sauvegarder. S’il y a une grande quantité de données, le processus peut être interrompu en raison du dépassement de la limite de temps, vous devez donc changer Sauvegarde des Données – Limite de Temps de Sauvegarde (min) et spécifier la priorité de la procédure.4. Après ces actions, la sauvegarde sera créée automatiquement à 00-00.

Option 3 : Sauvegarde du Contenu Analytique

L’option suivante pour créer une sauvegarde du contenu analytique permet de sauvegarder certains contenus (règles, recherche, tableaux de bord, événements, parseurs, etc.). Pour ce faire, vous devez vous connecter via SSH au serveur IBM QRadar.

1. En utilisant un utilitaire tel que Putty, vous devez vous connecter à QRadar avec le compte root2. Ensuite, exécutez la commande /opt/qradar/bin/contentManagement.pl –a export -c all, qui permet d’exporter tout le « contenu personnalisé » sous forme d’une archive *.zip3. Si vous devez ajouter des données à l’archive depuis l’Ensemble de Références, utilisez la commande suivante : /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Si vous devez ajouter des données de tendance provenant des tableaux de bord et des recherches à l’archive, utilisez la commande suivante : /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Si vous devez exporter des éléments de contenu spécifiques, trouvez d’abord leurs IDs. Pour cela, vous devez exécuter la commande suivante : /opt/qradar/bin/contentManagement.pl –action search –content-type « type d’élément pour recherche » –regex « .*nom d’élément contient.* » (Exemple : _/opt/qradar/bin/contentManagement.pl –action search –content-type tableau de bord –regex « .*APT.* »)

Types d’éléments que vous pouvez rechercher et exporter :
• tout
• package
• tableau de bord
• rapport
• recherche
• fgroup
• fgrouptype
• règle personnalisée
• propriété personnalisée
• capteur
• type de capteur
• catégorie de capteur
• extension de dispositif
• carte qid
• données de référence
• type d’infraction
• recherche historique
• fonction_personnalisée
• action_personnalisée
• application_installée

Après avoir trouvé les IDs des éléments, vous devez créer manuellement le fichier avec l’extension *.content
Ensuite, vous devez remplir ce fichier selon l’exemple :Tableau_de_bord, ID_tableau_de_bord1,ID_tableau_de_bord2
Règle_personnalisée, ID_règle1,ID_règle2Ensuite, lorsque le fichier est créé, vous devez le transférer vers IBM QRadar et exécuter la commande :/opt/qradar/bin/contentManagement.pl -a export -c package -f « chemin vers le fichier *.content »La création de sauvegardes de contenu, de configuration et d’événements dans IBM QRadar pour un administrateur SIEM expérimenté n’est pas une tâche difficile. En utilisant les informations de cet article, vous pouvez sauvegarder toutes les données et configurations nécessaires sans passer beaucoup de temps.

Aller à la Plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Enrichir les événements avec des données supplémentaires
Blog, SIEM & EDR — 4 min de lecture
Enrichir les événements avec des données supplémentaires
Ruslan Mihalev
Filtrage d’Événements dans IBM QRadar
Blog, SIEM & EDR — 3 min de lecture
Filtrage d’Événements dans IBM QRadar
Sergii Tyshchenko
Créer des événements de corrélation dans Splunk en utilisant des alertes
Blog, SIEM & EDR — 3 min de lecture
Créer des événements de corrélation dans Splunk en utilisant des alertes
Alex Verbniak