Комментарии 6
Очень, очень не люблю минусы ставить. Но зачем тут рекламная листовка? Ни примеров, ни тестов, ни цифр.
Это корпоративный блог. А сама компания дистрибьюьтор, а не интегратор — особо глубоких знаний может и не иметь. Хотя, конечно же, хотелось бы поинтереснее статью.
IBM QRadar достойное решение, довольно много вещей прямо «из коробки» работают. Лидер на рынке:
В дополнение к идущим в комплекте корелляционным правилам, есть и онлайн каталог use case'ов от IBM и сторонних разработчиков: IBM Security App Exchange.
А мы свой собственный каталог сделали: SIEM Use Case Library. И «здоровье» самого SIEM'а можем мониторить специализированным продуктом.
IBM QRadar достойное решение, довольно много вещей прямо «из коробки» работают. Лидер на рынке:
Заголовок спойлера
Gartner SIEM 2016, Forester Wave 2017
В дополнение к идущим в комплекте корелляционным правилам, есть и онлайн каталог use case'ов от IBM и сторонних разработчиков: IBM Security App Exchange.
А мы свой собственный каталог сделали: SIEM Use Case Library. И «здоровье» самого SIEM'а можем мониторить специализированным продуктом.
Не подскажете, можно ли на QRadar-е распарсить лог в формате JSON (плоский — поле+значение, поле+значение… — {«fieldName1»:«val1», «fieldName2»:«3»})? Не обычными регулярками из JSON-строчки выковыривать в кастомные поля, а именно писать custom_field = $.fieldName1 или вроде того?
По умолчанию такой функции в QRadar нет. Но реализовать это возможно следующим способом:
1) логи нужно сохранить в файл;
2) конвертировать из формата JSON в CSV, например https://github.com/konklone/json
3) после этого добавить logsource — Universal dsm — файл;
4) далее добавить LSX файл с описанием структуры лога, для того чтобы его парсить.
Если найдете более изящное решение — поделитесь, пожалуйста.
1) логи нужно сохранить в файл;
2) конвертировать из формата JSON в CSV, например https://github.com/konklone/json
3) после этого добавить logsource — Universal dsm — файл;
4) далее добавить LSX файл с описанием структуры лога, для того чтобы его парсить.
Если найдете более изящное решение — поделитесь, пожалуйста.
Ну и DSM EDITOR (с версии 7.2.8) появился.
«Instead of manually creating a log source extension to fix parsing issues or extend support for new log source types, use the DSM Editor. The DSM Editor provides different views of your data. You use the DSM Editor to extract fields, define custom properties, categorize events, and define new QID definition.
The DSM Editor provides the following views: Workspace, Log activity preview, Properties tab, Event mappings tab.»
«Instead of manually creating a log source extension to fix parsing issues or extend support for new log source types, use the DSM Editor. The DSM Editor provides different views of your data. You use the DSM Editor to extract fields, define custom properties, categorize events, and define new QID definition.
The DSM Editor provides the following views: Workspace, Log activity preview, Properties tab, Event mappings tab.»
Вы сначала посмотрите официальный DSM guide — может быть ваш тип логов уже есть там.
Если нет, нужно использовать Universal DSM и написать к нему расширение Log Source Extension (LSX):
https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.6/com.ibm.dsm.doc/c_LogSourceGuide_ExtDocs_intro.html
На страничке девелоперов есть неофициальный guide как это сделать. Поищите тут:
https://www.ibm.com/developerworks/community/forums/html/topic?id=77777777-0000-0000-0000-000014970193
Если нет, нужно использовать Universal DSM и написать к нему расширение Log Source Extension (LSX):
https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.6/com.ibm.dsm.doc/c_LogSourceGuide_ExtDocs_intro.html
На страничке девелоперов есть неофициальный guide как это сделать. Поищите тут:
https://www.ibm.com/developerworks/community/forums/html/topic?id=77777777-0000-0000-0000-000014970193
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
На страже безопасности: IBM QRadar SIEM