osquery

IBM QRadar DSM for osquery는 Linux® 운영 체제를 사용하는 디바이스에서 JSON 형식 이벤트를 수신합니다. osquery DSM은 QRadar V7.3.0 이상에서 사용 가능합니다.
osquery DSM은 osquery V3.3.2: 의 qradar.pack.conf 파일에 포함된 rsyslog및 다음 쿼리를 지원합니다.
  • 컨테이너 프로세스
  • docker_container_mounts
  • docker_containers
  • 포트 청취
  • process_open_sockets
  • Sudoers
  • 사용자
  • 파일 이벤트
중요: 지원되는 osquery 조회는 10초간격으로 실행되며 해당 시점에 사용 가능한 데이터만 캡처합니다. 예를 들어, 새 프로세스가 container_processes의 조회 사이에서 시작하고 완료하는 경우 해당 정보는 osquery로 캡처되지 않습니다. osquery 차등분 로그에 대한 정보는 osquery 문서 (https://osquery.readthedocs.io/en/stable/deployment/logging/#results-logs) 를 참조하십시오.
다음 지원되는 조회는 10초조회 간격에 사용 가능한 데이터만 캡처합니다.
  • 컨테이너 프로세스
  • docker_container_mounts
  • docker_containers
  • 포트 청취
  • process_open_sockets
  • Sudoers
  • 사용자
osquery를 QRadar와 통합하려면 다음 단계를 완료하십시오.
  1. 자동 업데이트가 활성화되어 있지 않은 경우, IBM® 지원 웹사이트(http://www.ibm.com/support)에서 RPM을 다운로드할 수 있습니다. QRadar Console에 다음 RPM의 최신 버전을 다운로드하여 설치하십시오.
    • DSM Common RPM
    • osquery DSM RPM
    • TCP 다중 라인 Syslog 프로토콜 RPM
    • 프로토콜 공통 RPM
  2. 이벤트를 수신하기 위해 QRadar Console 에서 사용할 TCP 포트가 열려 있는지 확인하십시오. 자세한 내용은 QRadar®를 참조하세요: 사용자 인터페이스를 사용하여 IPtables 방화벽 포트 관리하기를 참조하세요. (https://www.ibm.com/support/pages/qradar-managing-iptables-firewall-ports-using-user-interface)
  3. Linux 시스템에서 rsyslog를 구성하십시오. rsyslog 구성에 대한 자세한 정보는 Linux 시스템에서 rsyslog 구성을 참조하십시오.
  4. Linux 시스템에서 osquery를 구성하십시오. osquery 구성에 대한 자세한 정보는 Linux 시스템에서 osquery 구성을 참조하십시오.
  5. QRadar Console 에서 osquery 로그 소스를 추가하여 TCP 다중 라인 syslog 프로토콜을 사용하십시오. osquery 로그 소스 매개변수에 대한 정보는 osquery 로그 소스 매개변수를 참조하십시오.