Configuração, Eventos e Backup de Conteúdo no IBM QRadar
Índice:
Ao trabalhar com SIEM, eventualmente você se depara com uma situação em que sua ferramenta precisa ser atualizada para a versão mais recente, movida para um centro de dados diferente ou migrada para uma instalação mais produtiva. Uma parte integral disso é a criação de backups e a subsequente transferência de dados, configurações ou conteúdo personalizado para uma nova instalação.
Existem várias maneiras de lidar com essa tarefa.
Opção 1: Backup de Configuração
Você pode realizar isso a partir do console web do IBM QRadar.
1. Vá para Administração – Backup e Recuperação tab
2. Em seguida, vá para Configurar
3. Defina o caminho para o repositório e selecione Apenas Backup de Configuração
4. Em seguida, clique nos botões Salvar and Aplicar Alterações buttons
5. Após essas ações, o backup será criado automaticamente às 00:00.
Opção alternativa:
1. Vá para Administração – Backup e Recuperação – Backup sob demanda
2. Preencha os campos Nome and Descrição (opcional) e clique em Executar Backup
3. Clique em OK
Opção 2: Backup de Configuração e Dados
Você pode realizar isso a partir do console web do IBM QRadar.
1. Vá para Administração – Backup e Recuperação tab
2. Vá para Configurar
3. Em seguida, defina o caminho para o repositório e selecione Backup de Configuração e Dados. Selecione os dados (“Dados de Evento” e / ou “Dados de Fluxo“) que você precisa salvar. Se houver uma grande quantidade de dados, o processo pode ser interrompido devido ao exceder o limite de tempo, portanto, você precisa alterar Backup de Dados – Limite de Tempo do Backup (min) e especificar a prioridade do procedimento.
4. Após essas ações, o backup será criado automaticamente às 00:00.
Opção 3: Backup de Conteúdo Analítico
A seguinte opção de criação de backup do conteúdo analítico permite salvar determinado conteúdo (regras, pesquisas, painéis, eventos, parsers, etc.). Para fazer isso, você precisa se conectar via SSH ao servidor IBM QRadar.
1. Utilizando uma ferramenta como Putty, você precisa conectar-se ao QRadar com a conta root
2. Em seguida, execute o comando /opt/qradar/bin/contentManagement.pl –a export -c all, que permite exportar todo o “conteúdo personalizado” como um arquivo *.zip
3. Se precisar adicionar dados ao arquivo do Reference Set, use o seguinte comando: /opt/qradar/bin/contentManagement.pl –a export -c all -e4. Se precisar adicionar dados de tendência de painéis e pesquisas ao arquivo, use o seguinte comando: /opt/qradar/bin/contentManagement.pl –a export -c all -g5. Se precisar exportar elementos de conteúdo específicos, primeiro encontre seus IDs. Para isso, você deve executar o seguinte comando: /opt/qradar/bin/contentManagement.pl –action search –content-type “tipo de elemento para pesquisa” –regex “.*nome do elemento contém.*” (Exemplo: _/opt/qradar/bin/contentManagement.pl –action search –content-type dashboard –regex “.*APT.*”)
Tipos de elementos que você pode pesquisar e exportar:
• todos
• pacote
• painel
• relatório
• pesquisa
• fgroup
• fgrouptype
• customrule
• customproperty
• sensordevice
• sensordevicetype
• sensordevicecategory
• deviceextension
• qidmap
• referencedata
• offensetype
• historicalsearch
• custom_function
• custom_action
• installed_application
Após os IDs dos elementos serem encontrados, você precisa criar manualmente o arquivo com extensão *.content
Em seguida, você precisa preencher este arquivo de acordo com o exemplo:Painel, Dashboard_ID1,Dashboard_ID2
Regrapersonalizada, rule_ID1,rule_ID2Depois que o arquivo for criado, você precisa transferi-lo para o IBM QRadar e executar o comando:/opt/qradar/bin/contentManagement.pl -a export -c package -f “caminho para o arquivo *.content”A criação de backups de conteúdo, configuração e eventos no IBM Qradar para um administrador SIEM experiente não é uma tarefa desafiadora. Usando as informações deste artigo, você pode salvar todos os dados e configurações necessários sem gastar tempo significativo.
