奥斯奎里
IBM
QRadar DSM for osquery 从使用 Linux® 操作系统的设备接收 JSON 格式的事件。 Osquery DSM 可用于 QRadar V7.3.0 和更高版本。
Osquery DSM 支持 rsyslog 以及包含在 osquery V3.3.2: 的 qradar.pack.conf 文件中的以下查询
- 容器进程
- docker_container_mounts
- docker_containers
- 侦听器端口
- process_open_sockets
- 苏多尔
- 用户
- file_events
重要信息: 受支持的 osquery 查询在 10 秒的时间间隔内运行,并且仅捕获此时可用的数据。 例如,如果新进程在 container_process 的查询之间启动并完成,那么 osquery 不会捕获该信息。 有关 osquery 差分日志的信息,请参阅 osquery 文档 (https://osquery.readthedocs.io/en/stable/deployment/logging/#results-logs)。
以下受支持的查询仅捕获在 10 秒查询时间间隔内可用的数据:
- 容器进程
- docker_container_mounts
- docker_containers
- 侦听器端口
- process_open_sockets
- 苏多尔
- 用户
要将 osquery 与 QRadar集成,请完成以下步骤:
- 如果未启用自动更新,则可从 IBM® 支持网站(http://www.ibm.com/support)下载 RPM。 在 QRadar
Console上下载并安装以下 RPM 的最新版本:
- DSM 公共 RPM
- Osquery DSM RPM
- TCP 多行系统日志协议 RPM
- Protocol Common RPM
- 确保要在 QRadar Console 上用于接收事件的 TCP 端口已打开。 有关详细信息,请参阅 QRadar®:使用用户界面管理 IPtables 防火墙端口。 (https://www.ibm.com/support/pages/qradar-managing-iptables-firewall-ports-using-user-interface)
- 在 Linux 系统上配置 rsyslog。 有关配置 rsyslog 的更多信息,请参阅 在 Linux 系统上配置 rsyslog。
- 在 Linux 系统上配置 osquery。 有关配置 osquery 的更多信息,请参阅 在 Linux 系统上配置 osquery。
- 在 QRadar Console 上添加 osquery 日志源以使用 TCP 多行 syslog 协议。 有关 osquery 日志源参数的信息,请参阅 osquery 日志源参数。