osquery

Program IBM® QRadar® DSM for osquery odbiera zdarzenia formatowane JSON z urządzeń, które używają systemu operacyjnego Linux® . Osquery DSM jest dostępne dla QRadar V7.3.0 i nowszych.
Osquery DSM obsługuje dziennik rsyslog i następujące zapytania, które są zawarte w pliku qradar.pack.conf dla osquery V3.3.2:
  • procesor_kontenera
  • docker_container_mounts,
  • kontenera_Docker
  • listening_ports
  • process_open_sockets
  • sudoers
  • użytkownicy
  • zdarzenia file_events
Ważne: Obsługiwane zapytania osquery są uruchamiane w okresie 10 sekund, a tylko przechwytywanie danych, które są dostępne w danym momencie. Na przykład, jeśli nowy proces rozpoczyna się i kończy między zapytaniami procesów container_processes, informacje te nie są przechwytywane przez osquery. Informacje na temat dzienników różnicowych osquery zawiera dokumentacja osquery documentation (https://osquery.readthedocs.io/en/stable/deployment/logging/#results-logs).
Następujące obsługiwane zapytania przechwytuje tylko dane, które są dostępne w czasie 10 sekund zapytania:
  • procesor_kontenera
  • docker_container_mounts,
  • kontenera_Docker
  • listening_ports
  • process_open_sockets
  • sudoers
  • użytkownicy
Aby zintegrować osquery z produktem QRadar, wykonaj następujące kroki:
  1. Jeśli aktualizacje automatyczne nie są włączone, pakiety RPM są dostępne do pobrania z serwisu WWW wsparcia IBM (http://www.ibm.com/support). Pobierz i zainstaluj najnowszą wersję następujących pakietów RPM na QRadar Console:
    • Wspólne pakiety RPM DSM
    • osquery DSM RPM
    • Protokół TCP Multiline Syslog RPM
    • Protocol Common RPM
  2. Upewnij się, że port TCP, który ma być używany na serwerze QRadar Console , do odbierania zdarzeń jest otwarty. Więcej informacji na ten temat zawiera sekcja QRadar: Managing IPtables firewall ports using the User Interface. (https://www.ibm.com/support/pages/qradar-managing-iptables-firewall-ports-using-user-interface)
  3. Skonfiguruj rsyslog w systemie Linux . Więcej informacji na temat konfigurowania rsyslog zawiera sekcja Configuring rsyslog on your Linux system.
  4. Skonfiguruj osquery w systemie Linux . Więcej informacji na temat konfigurowania osquery zawiera sekcja Konfigurowanie osquery w systemie Linux.
  5. Dodaj źródło dziennika osquery na serwerze QRadar Console , aby użyć protokołu syslog protokołu TCP/IP multiline. Więcej informacji na temat parametrów źródła dziennika osquery zawiera sekcja Parametry źródłowe dziennika osquery.