osquery

Le gestionnaire de services de données IBM QRadar pour osquery reçoit des événements au format JSON provenant de périphériques qui utilisent un système d'exploitation Linux® . Le DSM osquery est disponible pour QRadar V7.3.0 et versions ultérieures.
Le DSM osquery prend en charge rsyslog et les requêtes suivantes qui sont incluses dans le fichier qradar.pack.conf pour osquery V3.3.2 :
  • container_processes
  • docker_container_mounts
  • docker_containers
  • listening_ports
  • process_open_sockets
  • sudoers
  • utilisateurs
  • file_events
Important: Les requêtes osquery prises en charge s'exécutent sur un intervalle de 10 secondes et capturent uniquement les données disponibles à ce moment-là. Par exemple, si un nouveau processus démarre et se termine entre les requêtes de container_processes, cette information n'est pas capturée par osquery. Pour plus d'informations sur les journaux différentiels osquery, voir la documentation osquery (https://osquery.readthedocs.io/en/stable/deployment/logging/#results-logs).
Les requêtes prises en charge suivantes capturent uniquement les données disponibles à l'intervalle de requête de 10 secondes :
  • container_processes
  • docker_container_mounts
  • docker_containers
  • listening_ports
  • process_open_sockets
  • sudoers
  • utilisateurs
Pour intégrer osquery à QRadar, procédez comme suit :
  1. Si les mises à jour automatiques ne sont pas activées, les RPM peuvent être téléchargés à partir du site Web d'assistance IBM® (http://www.ibm.com/support). Téléchargez et installez la version la plus récente des RPM suivants sur votre QRadar Console :
    • DSM Common RPM
    • RPM DSM osquery
    • RPM du protocole TCP Multiline Syslog
    • Protocol Common RPM
  2. Vérifiez que le port TCP que vous souhaitez utiliser sur votre QRadar Console pour recevoir des événements est ouvert. Pour plus d'informations, voir QRadar® : Gestion des ports de pare-feu IPtables à l'aide de l'interface utilisateur. (https://www.ibm.com/support/pages/qradar-managing-iptables-firewall-ports-using-user-interface)
  3. Configurez rsyslog sur votre système Linux . Pour plus d'informations sur la configuration de rsyslog, voir Configuration de rsyslog sur votre système Linux.
  4. Configurez osquery sur votre système Linux . Pour plus d'informations sur la configuration d'osquery, voir Configuration d'osquery sur votre système Linux.
  5. Ajoutez une source de journal osquery à QRadar Console pour utiliser le protocole TCP multiligne syslog. Pour plus d'informations sur les paramètres de source de journal osquery, voir Paramètres de source de journal osquery.