Avant d'ajouter une source de journal dans QRadar, vous devez configurer osquery sur votre unité Linux.
Avant de commencer
Osquery V3.3.2 doit être installé et en cours d'exécution sur votre système Linux. Pour plus d'informations sur l'installation d'osquery pour Linux, voir Téléchargement et installation d'Osquery (https://osquery.io/downloads/official/3.3.2).
Procédure
- Téléchargez le fichier qradar.pack.conf depuis IBM Fix Central (https://www.ibm.com/support/fixcentral).
- Copiez le fichier qradar.pack.conf sur votre hôte osquery. Par exemple, <location_of_pack_file>/qradar.pack.conf
- Editez le fichier osquery.conf . L'emplacement de fichier par défaut est /etc/osquery/osquery.conf.
- Vérifiez que les options suivantes sont incluses dans le fichier osquery.conf .
"disable_logging": "false"
"disable_events" : "false"
"logger_plugin": "filesystem,syslog"
- Ajoutez qradar.pack.conf au fichier osquery.conf .
"qradar": "/<path_to_packs>/qradar.pack.conf"
Exemple de fichier <osquery>.conf :
{ // Configure the daemon below: "options": { "disable_logging": "false", "disable_events" : "false", "logger_plugin": "filesystem,syslog", "utc": "true" }, "packs": { "qradar": "<location_of_pack_file>/qradar.pack.conf" }}
Remarque: Le fichier qradar.pack.conf contient une section “file_paths” qui définit la surveillance de l'intégrité des fichiers par défaut pour le pack QRadar . Les fichiers “file_paths” définis dans les fichiers <osquery>.conf du client ont priorité sur le fichier qradar.pack.conf .
- Redémarrez le démon osquery.
Etape suivante
Pour obtenir les valeurs de paramètre dont vous avez besoin pour ajouter une source de journal dans QRadar, voir Paramètres de source de journal osquery.