IBM QRadar에서의 구성, 이벤트 및 콘텐츠 백업
목차:
SIEM을 사용하다 보면 도구를 최신 버전으로 업데이트하거나, 다른 데이터 센터로 이동하거나, 더욱 생산성 있는 설치로 마이그레이션해야 하는 상황이 종종 발생합니다. 이 과정의 필수적인 부분은 백업을 생성하고, 데이터, 설정 또는 사용자 지정 콘텐츠를 새 설치로 전송하는 것입니다.
이를 수행하는 몇 가지 방법이 있습니다.
옵션 1: 구성 백업
IBM QRadar 웹 콘솔에서 실행할 수 있습니다.
1. 다음으로 이동 관리 – 백업 및 복구 tab
2. 그런 다음 구성
3. 저장소 경로 설정 및 구성 백업 전용
4. 그런 다음 저장 and 변경 사항 적용 버튼을 클릭합니다
5. 이러한 작업 후, 백업은 00:00에 자동으로 생성됩니다.
대안 옵션:
1. 다음으로 이동 관리 – 백업 및 복구 – 필요 시 백업
2. 를 작성합니다 이름 and 설명 (선택적) 필드를 채운 후 백업 실행
을 클릭합니다 OK
옵션 2: 구성 및 데이터 백업
IBM QRadar 웹 콘솔에서 실행할 수 있습니다.
1. 다음으로 이동 관리 – 백업 및 복구 tab
2. 다음으로 이동 구성
3. 다음으로, 저장소 경로를 설정하고 구성 및 데이터 백업. 데이터를 선택하십시오 (“이벤트 데이터” 및 / 또는 “플로우 데이터“)를 저장해야 합니다. 대량의 데이터가 있을 경우, 시간 제한을 초과하여 프로세스가 중단될 수 있으므로 데이터 백업 – 백업 시간 제한(분) 을 변경하고 절차의 우선순위를 지정해야 합니다.
4. 이러한 작업 후, 백업은 00:00에 자동으로 생성됩니다.
옵션 3: 분석 콘텐츠 백업
분석 콘텐츠의 백업을 생성하는 다음 옵션은 특정 콘텐츠(규칙, 검색, 대시보드, 이벤트, 파서 등)를 저장할 수 있게 합니다. 이를 위해 IBM QRadar 서버에 SSH로 연결해야 합니다.
1. Putty와 같은 유틸리티를 사용하여 루트 계정으로 QRadar에 연결해야 합니다.
2. 다음 명령을 실행합니다 /opt/qradar/bin/contentManagement.pl –a export -c all, 이는 *.zip 아카이브로 모든 “사용자 지정 콘텐츠”를 내보낼 수 있게 합니다.
3. 참조 집합에서 아카이브에 데이터를 추가해야 하는 경우, 다음 명령을 사용하십시오: /opt/qradar/bin/contentManagement.pl –a export -c all -e4. 대시보드 및 검색에서 트렌드 데이터를 아카이브에 추가해야 하는 경우, 다음 명령을 사용하십시오: /opt/qradar/bin/contentManagement.pl –a export -c all -g5. 특정 콘텐츠 요소를 내보내야 하는 경우, 먼저 ID를 찾습니다. 이를 위해 다음 명령을 실행해야 합니다: /opt/qradar/bin/contentManagement.pl –action search –content-type “search를 위한 요소 유형” –regex “.*요소 이름 포함.*” (예시: _/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex “.*APT.*”)
검색하고 내보낼 수 있는 요소의 유형:
• all
• package
• dashboard
• report
• search
• fgroup
• fgrouptype
• customrule
• customproperty
• sensordevice
• sensordevicetype
• sensordevicecategory
• deviceextension
• qidmap
• referencedata
• offensetype
• historicalsearch
• custom_function
• custom_action
• installed_application
요소의 ID가 발견된 후, 수동으로 *.content 확장자를 가진 파일을 생성해야 합니다
이 파일을 다음 예시와 같이 채워야 합니다:대시보드, 대시보드_ID1,대시보드_ID2
사용자 지정 규칙, 규칙_ID1,규칙_ID2파일이 생성된 후, 해당 파일을 IBM QRadar로 전송하고 다음 명령을 실행해야 합니다:/opt/qradar/bin/contentManagement.pl -a export -c package -f “*.content 파일 경로”경험 많은 SIEM 관리자는 IBM QRadar에서 콘텐츠, 구성 및 이벤트 백업을 생성하는 것이 어렵지 않습니다. 이 문서의 정보를 사용하여, 많은 시간을 들이지 않고 필요한 모든 데이터와 구성을 저장할 수 있습니다.
