Eksportowanie danych historycznych z usługi QRadar

W tym artykule opisano sposób eksportowania danych historycznych z usługi QRadar. Po wykonaniu kroków opisanych w tym artykule możesz wybrać platformę docelową do hostowania wyeksportowanych danych, a następnie wybrać narzędzie pozyskiwania, aby przeprowadzić migrację danych.

Aby wyeksportować dane usługi QRadar, należy użyć interfejsu API REST usługi QRadar do uruchamiania zapytań ariel Query Language (AQL) dotyczących danych przechowywanych w bazie danych Ariel. Ponieważ proces eksportowania intensywnie korzysta z zasobów, zalecamy używanie małych zakresów czasu w zapytaniach i migrowanie potrzebnych danych.

Tworzenie zapytania AQL

1. W konsoli QRadar wybierz kartę Aktywność dziennika.

2. Utwórz nowe zapytanie wyszukiwania AQL lub wybierz zapisane zapytanie wyszukiwania w celu wyeksportowania danych. Upewnij się, że zapytanie zawiera START funkcje i STOP , aby ustawić zakres daty i godziny.

   Dowiedz się, jak używać języka AQL i jak zapisywać kryteria wyszukiwania w języku AQL.

3. Skopiuj zapytanie AQL do późniejszego użycia.

4. Zakoduj zapytanie AQL do formatu zakodowanego w adresie URL. Wklej zapytanie skopiowane w kroku 3 do dekodera. Skopiuj zakodowane dane wyjściowe formatu.

Wykonywanie zapytania wyszukiwania

Zapytanie wyszukiwania można wykonać przy użyciu jednej z tych metod.

• Identyfikator użytkownika konsoli QRadar. Aby użyć tej metody, upewnij się, że identyfikator użytkownika konsoli używany do migracji danych jest przypisany do profilu zabezpieczeń, który może uzyskiwać dostęp do danych potrzebnych do eksportu.
• Token interfejsu API. Aby użyć tej metody, wygeneruj token interfejsu API w narzędziu QRadar.

Aby wykonać zapytanie wyszukiwania:

1. Zaloguj się do systemu, z którego będą pobierane dane historyczne. Upewnij się, że ten system ma dostęp do konsoli QRadar i interfejsu API QRadar w protokole TCP/443 za pośrednictwem protokołu HTTPS.

2. Aby wykonać zapytanie wyszukiwania, które pobiera dane historyczne, otwórz wiersz polecenia i uruchom jedno z następujących poleceń:

   • W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
     

   • W przypadku metody tokenu interfejsu API uruchom polecenie:

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
     

     Czas wykonywania zadania wyszukiwania może się różnić w zależności od zakresu czasu AQL i ilości zapytanych danych. Zalecamy uruchomienie zapytania w małych zakresach czasu i wykonywanie zapytań tylko o dane potrzebne do eksportu.

     Dane wyjściowe powinny zwracać stan, taki jak COMPLETED, EXECUTE, , WAIT, progress wartość i search_id wartość. Na przykład:

     

3. Skopiuj wartość w search_id polu. Użyjesz tego identyfikatora, aby sprawdzić postęp i stan wykonywania zapytania wyszukiwania oraz pobrać wyniki po zakończeniu wykonywania wyszukiwania.

4. Aby sprawdzić stan i postęp wyszukiwania, uruchom jedno z następujących poleceń:

   • W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

   • W przypadku metody tokenu interfejsu API uruchom polecenie:

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

5. Przejrzyj dane wyjściowe. Jeśli wartość w status polu to COMPLETED, przejdź do następnego kroku. Jeśli stan to nie COMPLETED, sprawdź wartość w progress polu, a po 5–10 minutach uruchom polecenie uruchomione w kroku 4.

6. Przejrzyj dane wyjściowe i upewnij się, że stan to COMPLETED.

7. Uruchom jedno z tych poleceń, aby pobrać wyniki lub zwrócone dane z pliku JSON do folderu w bieżącym systemie:

   • W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:

     curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

   • W przypadku metody tokenu interfejsu API uruchom polecenie:

     curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

8. Aby pobrać dane potrzebne do wyeksportowania, utwórz zapytanie AQL (kroki 1–4) i ponownie wykonaj zapytanie (kroki 1–7). Dostosuj zakres czasu i zapytania wyszukiwania, aby uzyskać potrzebne dane.

Następne kroki

• Wybieranie docelowej platformy Azure do hostowania wyeksportowanych danych historycznych
• Wybieranie narzędzia do pozyskiwania danych
• Pozyskiwanie danych historycznych na platformę docelową