Configurazione, Eventi e Backup dei Contenuti in IBM QRadar

Lavorando con SIEM, ci si imbatte prima o poi in una situazione in cui il proprio strumento deve essere aggiornato all’ultima versione, spostato in un altro data center o migrato a un’installazione più produttiva. Una parte integrante di questo processo è la creazione di backup e il trasferimento successivo di dati, configurazioni o contenuti personalizzati a una nuova installazione.
Ci sono diversi modi per affrontare questo compito.

Opzione 1: Backup della configurazione

Puoi eseguire questa operazione dalla console web di IBM QRadar.

1. Vai a Admin – Backup e Recupero tab

2. Poi vai a Configurare

3. Imposta il percorso al repository e seleziona Solo Backup della Configurazione

4. Poi clicca Salva and Applica Modifiche bottoni5. Dopo queste azioni, il backup verrà creato automaticamente alle 00-00.

Opzione alternativa:
1. Vai a Admin – Backup e Recupero – Backup su richiesta

2. Compila i campi Nome and Descrizione (opzionali) e poi clicca Esegui Backup

3. Clicca OK

Opzione 2: Backup di Configurazione e Dati

Puoi eseguire questa operazione dalla console web di IBM QRadar.

1. Vai a Admin – Backup e Recupero tab

2. Vai a Configurare

3. Successivamente, imposta il percorso al repository e seleziona Backup di Configurazione e Dati. Seleziona i dati (“Dati Evento” e / o “Dati di Flusso“) che hai bisogno di salvare. Se c’è una grande quantità di dati, il processo può essere interrotto a causa del superamento del limite di tempo, quindi è necessario modificare Backup Dati – Limite di Tempo Backup (min) e specificare la priorità della procedura.4. Dopo queste azioni, il backup verrà creato automaticamente alle 00-00.

Opzione 3: Backup dei Contenuti Analitici

L’opzione seguente per creare un backup dei contenuti analitici consente di salvare determinati contenuti (regole, ricerche, dashboard, eventi, parser, ecc.). Per fare ciò, è necessario collegarsi via SSH al server IBM QRadar.

1. Usando un’utilità come Putty, è necessario collegarsi a QRadar con account root2. Poi eseguire il comando /opt/qradar/bin/contentManagement.pl –a export -c all, che consente di esportare tutto il “contenuto personalizzato” come un archivio *.zip3. Se hai bisogno di aggiungere dati all’archivio dal Reference Set, usa il seguente comando: /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Se hai bisogno di aggiungere dati di tendenza dai dashboard e dalle ricerche all’archivio, usa il seguente comando: /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Se hai bisogno di esportare elementi di contenuto specifici, prima trova i loro ID. Per fare ciò devi eseguire il seguente comando: /opt/qradar/bin/contentManagement.pl –action search –content-type “element type for search” –regex “.*element name contains.*” (Esempio: _/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex “.*APT.*”)

Tipi di elementi che puoi cercare ed esportare:
• tutti
• pacchetto
• dashboard
• report
• ricerca
• fgroup
• fgrouptype
• regola personalizzata
• proprietà personalizzata
• dispositivo sensore
• tipo di dispositivo sensore
• categoria di dispositivo sensore
• estensione dispositivo
• qidmap
• riferimento dati
• tipo di offesa
• ricerca storica
• funzione_personalizzata
• azione_personalizzata
• applicazione_installata

Dopo che gli ID degli elementi sono stati trovati, devi creare manualmente il file con estensione *.content
Poi devi riempire questo file secondo l’esempio:Dashboard, Dashboard_ID1,Dashboard_ID2
Customrule, rule_ID1,rule_ID2Poi, quando il file è creato, devi trasferirlo su IBM QRadar ed eseguire il comando:/opt/qradar/bin/contentManagement.pl -a export -c package -f “path to *.content file”La creazione di backup di contenuti, configurazioni ed eventi in IBM QRadar per un amministratore SIEM esperto non è un compito difficile. Utilizzando le informazioni di questo articolo, puoi salvare tutti i dati e le configurazioni necessarie senza spendere tempo significativo.

Vai alla Piattaforma Unisciti a Threat Bounty