osquery

El DSM de IBM QRadar para osquery recibe sucesos con formato JSON de dispositivos que utilizan un sistema operativo Linux® . El DSM osquery está disponible para QRadar V7.3.0 y posteriores.
El DSM osquery soporta rsyslog y las siguientes consultas que se incluyen en el archivo qradar.pack.conf para osquery V3.3.2:
  • procesos_contenedor
  • montajes contenedor_docker
  • contenedores de documentos
  • puertos_lista
  • proceso_abrir_sockets
  • usuarios con privilegios
  • usuarios
  • sucesos de archivo
Importante: Las consultas de osquery soportadas se ejecutan en un intervalo de 10 segundos y solo capturan los datos que están disponibles en ese momento. Por ejemplo, si un nuevo proceso se inicia y finaliza entre consultas de container_processes, osquery no captura esa información. Para obtener información sobre los registros diferenciales de osquery, consulte la documentación de osquery (https://osquery.readthedocs.io/en/stable/deployment/logging/#results-logs).
Las siguientes consultas soportadas sólo capturan datos que están disponibles en el intervalo de consulta de 10 segundos:
  • procesos_contenedor
  • montajes contenedor_docker
  • contenedores de documentos
  • puertos_lista
  • proceso_abrir_sockets
  • usuarios con privilegios
  • usuarios
Para integrar osquery con QRadar, realice los pasos siguientes:
  1. Si las actualizaciones automáticas no están activadas, los RPM están disponibles para su descarga desde el IBM® (http://www.ibm.com/support). Descargue e instale la versión más reciente de los siguientes RPM en QRadar Console:
    • RPM común de DSM
    • osquery DSM RPM
    • RPM de protocolo TCP Multiline Syslog
    • Protocol Common RPM
  2. Asegúrese de que el puerto TCP que desea utilizar en QRadar Console para recibir sucesos esté abierto. Para obtener más información, consulte QRadar®: Gestión de puertos de cortafuegos IPtables mediante la interfaz de usuario. (https://www.ibm.com/support/pages/qradar-managing-iptables-firewall-ports-using-user-interface)
  3. Configure rsyslog en el sistema Linux . Para obtener más información sobre cómo configurar rsyslog, consulte Configuración de rsyslog en el sistema Linux.
  4. Configure osquery en el sistema Linux . Para obtener más información sobre cómo configurar osquery, consulte Configuración de osquery en el sistema Linux.
  5. Añada un origen de registro osquery en QRadar Console para utilizar el protocolo syslog multilínea TCP. Para obtener información sobre los parámetros de origen de registro de osquery, consulte Parámetros de origen de registro de osquery.