Zanim możliwe będzie dodanie źródła dziennika w programie QRadar®, należy skonfigurować osquery na urządzeniu z systemem Linux .
Zanim rozpoczniesz
Produkt Osquery V3.3.2 musi być zainstalowany i uruchomiony w systemie Linux . Więcej informacji na temat instalowania osquery dla systemu Linuxmożna znaleźć w sekcji Pobieranie i instalowanie Osquery (https://osquery.io/downloads/official/3.3.2).
Procedura
- Pobierz plik qradar.pack.conf z serwisu IBM Fix Central (https://www.ibm.com/support/fixcentral).
- Skopiuj plik qradar.pack.conf do hosta osquery. Na przykład: <location_of_pack_file>/qradar.pack.conf
- Edytuj plik osquery.conf . Domyślnym położeniem pliku jest /etc/osquery/osquery.conf.
- Upewnij się, że w pliku osquery.conf znajdują się następujące opcje.
"disable_logging": "false"
"disable_events" : "false"
"logger_plugin": "filesystem,syslog"
- Dodaj qradar.pack.conf do pliku osquery.conf .
"qradar": "/<path_to_packs>/qradar.pack.conf"
Przykład pliku < osquery>.conf:
{ // Configure the daemon below: "options": { "disable_logging": "false", "disable_events" : "false", "logger_plugin": "filesystem,syslog", "utc": "true" }, "packs": { "qradar": "<location_of_pack_file>/qradar.pack.conf" }}
Uwaga: Plik qradar.pack.conf zawiera sekcję “file_paths” , która definiuje domyślne monitorowanie integralności plików dla pakietu QRadar . “file_paths” , które są zdefiniowane w plikach <osquery>.conf klienta, mają pierwszeństwo przed plikiem qradar.pack.conf .
- Zrestartuj demon osquery.
Co dalej
Aby uzyskać wartości parametrów, które należy dodać do źródła dziennika w produkcie QRadar, należy zapoznać się z parametrami źródła dziennika osquery.