奧斯奎裡
IBM®
QRadar® DSM for osquery 從使用 Linux® 作業系統的裝置接收 JSON 格式化事件。 Osquery DSM 適用於 QRadar V7.3.0 以及更新版本。
osquery DSM 支援 rsyslog 和下列查詢,這些查詢包含在 osquery V3.3.2: 的 qradar.pack.conf 檔中
- container_processes
- docker_container_mounts
- docker_containers
- listening_ports
- process_open_sockets
- 蘇杜爾斯
- 使用者
- 檔案事件
重要事項: 支援的 osquery 查詢以 10 秒為間隔執行,且僅擷取當時可用的資料。 例如,如果新處理程序在 container_processes 的查詢之間啟動並完成,則 osquery 不會擷取該資訊。 如需 osquery 差異日誌的相關資訊,請參閱 osquery 文件 (https://osquery.readthedocs.io/en/stable/deployment/logging/#results-logs)。
下列支援的查詢只會擷取在 10 秒查詢間隔可用的資料:
- container_processes
- docker_container_mounts
- docker_containers
- listening_ports
- process_open_sockets
- 蘇杜爾斯
- 使用者
若要整合 osquery 與 QRadar,請完成下列步驟:
- 如果未啟用自動更新項目,則可以從 IBM 支援網站 (http://www.ibm.com/support) 中下載 RPM。 在 QRadar
Console上下載並安裝下列 RPM 的最新版本:
- DSM 共用 RPM
- osquery DSM RPM
- TCP 多行 Syslog 通訊協定 RPM
- 通訊協定共用 RPM
- 請確定您要在 QRadar Console 上用來接收事件的 TCP 埠已開啟。 如需相關資訊,請參閱 QRadar: 使用使用者介面管理 IPtables 防火牆埠。 (https://www.ibm.com/support/pages/qradar-managing-iptables-firewall-ports-using-user-interface)
- 在 Linux 系統上配置 rsyslog。 如需配置 rsyslog 的相關資訊,請參閱 在 Linux 系統上配置 rsyslog。
- 在 Linux 系統上配置 osquery。 如需配置 osquery 的相關資訊,請參閱 在 Linux 系統上配置 osquery。
- 在 QRadar Console 上新增 osquery 日誌來源,以使用 TCP 多行 syslog 通訊協定。 如需 osquery 日誌來源參數的相關資訊,請參閱 osquery 日誌來源參數。