IBM QRadar における設定、イベント、およびコンテンツのバックアップ

SIEMを使用していると、ツールを最新バージョンに更新する必要がある、異なるデータセンターに移動する、またはより生産性の高いインストールに移行する状況に直面することがあります。これには、バックアップの作成、およびデータ、設定、カスタマイズされたコンテンツを新しいインストールに転送することが不可欠な部分となります。
このタスクに対処するにはいくつかの方法があります。

オプション1：設定バックアップ

IBM QRadarウェブコンソールから実行できます。

1. 次に移動します 管理 – バックアップおよびリカバリ tab

2. 次に移動します 設定

3. リポジトリのパスを設定し、次を選択します 設定バックアップのみ

4. そしてクリックします 保存 and 変更を展開 ボタンを5. これらの操作の後、バックアップは00-00に自動的に作成されます。

代替オプション：
1. 次に移動します 管理 – バックアップとリカバリ – オンデマンドバックアップ

2. に入力します 名前 and 説明 （任意）フィールドに入力し、次にクリックします バックアップを実行

3. クリックします OK

オプション2：設定およびデータバックアップ

IBM QRadarウェブコンソールから実行できます。

1. 次に移動します 管理 – バックアップおよびリカバリ tab

2. 次に移動します 設定

3. 次に、リポジトリのパスを設定し、次を選択します 設定とデータのバックアップ。保存する必要のあるデータ（”イベントデータ“および/または”フローデータ“)を選択します。データ量が多い場合、時間制限を超えてプロセスが中断される可能性があるため、変更が必要です データバックアップ – バックアップ時間制限（分） と手順の優先順位を指定します。4. これらの操作の後、バックアップは00-00に自動的に作成されます。

オプション3：分析コンテンツのバックアップ

分析コンテンツバックアップの次のオプションを使用すると、特定のコンテンツ（ルール、検索、ダッシュボード、イベント、パーサーなど）を保存できます。これを行うには、SSHを介してIBM QRadarサーバーに接続する必要があります。

1. Puttyなどのユーティリティを使用して、rootアカウントでQRadarに接続する必要があります。2. その後、コマンドを実行します /opt/qradar/bin/contentManagement.pl –a export -c all, これにより、すべての“カスタムコンテンツ”を*.zipアーカイブとしてエクスポートできます3. リファレンスセットからデータをアーカイブに追加する必要がある場合は、次のコマンドを使用します： /opt/qradar/bin/contentManagement.pl –a export -c all -e4. ダッシュボードおよび検索からトレンドデータをアーカイブに追加する必要がある場合は、次のコマンドを使用します： /opt/qradar/bin/contentManagement.pl –a export -c all -g5. 特定のコンテンツ要素をエクスポートする必要がある場合は、最初にそれらのIDを見つけます。これを行うには、次のコマンドを実行する必要があります： /opt/qradar/bin/contentManagement.pl –action search –content-type “検索のための要素タイプ” –regex “.*要素名を含む.*” （例：_/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex “.*APT.*”）

検索およびエクスポート可能な要素のタイプ：
• all
• package
• dashboard
• report
• search
• fgroup
• fgrouptype
• customrule
• customproperty
• sensordevice
• sensordevicetype
• sensordevicecategory
• deviceextension
• qidmap
• referencedata
• offensetype
• historicalsearch
• custom_function
• custom_action
• installed_application

要素IDを見つけた後、手動で*.content拡張子を持つファイルを作成する必要があります
次に、このファイルを例に従って記入する必要があります：Dashboard, Dashboard_ID1,Dashboard_ID2
Customrule, rule_ID1,rule_ID2ファイルが作成されたら、それをIBM QRadarに転送し、コマンドを実行します：/opt/qradar/bin/contentManagement.pl -a export -c package -f “*.contentファイルへのパス”経験豊富なSIEM管理者にとって、IBM QRadarでのコンテンツ、設定、イベントのバックアップ作成は難しい作業ではありません。この記事の情報を使用すると、必要なデータと設定を労力をかけずに保存できます。

プラットフォームに移動 脅威の報奨金に参加