Aracılığıyla paylaş

QRadar'dan geçmiş verileri dışarı aktarma

  • Makale

Bu makalede, QRadar'dan geçmiş verilerinizin nasıl dışarı aktarıldığı açıklanır. Bu makaledeki adımları tamamladıktan sonra, dışarı aktarılan verileri barındırmak için bir hedef platform seçebilir ve ardından verileri geçirmek için bir alma aracı seçebilirsiniz.

Dışarı aktarma ve alma ile ilgili adımları gösteren diyagram.

QRadar verilerinizi dışarı aktarmak için, Ariel veritabanında depolanan veriler üzerinde Ariel Sorgu Dili (AQL) sorguları çalıştırmak için QRadar REST API'sini kullanırsınız. Dışarı aktarma işlemi yoğun kaynak kullandığından, sorgularınızda küçük zaman aralıkları kullanmanızı ve yalnızca ihtiyacınız olan verileri geçirmenizi öneririz.

AQL sorgusu oluşturma

  1. QRadar Konsolu'nda Günlük Etkinliği sekmesini seçin.

  2. Verileri dışarı aktarmak için yeni bir AQL arama sorgusu oluşturun veya kaydedilmiş bir arama sorgusu seçin. Sorgunun tarih ve saat aralığını ayarlamak için ve STOP işlevlerini içerdiğinden START emin olun.

    AQL kullanmayı ve arama ölçütlerini AQL'de kaydetmeyi öğrenin.

  3. AQL sorgusunu daha sonra kullanmak üzere kopyalayın.

  4. AQL sorgusunu URL kodlanmış biçimine kodlar. 3 . adımda kopyaladığınız sorguyu kod çözücüye yapıştırın. Kodlanmış biçim çıkışını kopyalayın.

Arama sorgusunu yürütme

Bu yöntemlerden birini kullanarak arama sorgusunu yürütebilirsiniz.

  • QRadar Konsolu kullanıcı kimliği. Bu yöntemi kullanmak için, veri geçişi için kullanılan konsol kullanıcı kimliğinin dışarı aktarma için ihtiyacınız olan verilere erişebilen bir güvenlik profiline atandığından emin olun.
  • API belirteci. Bu yöntemi kullanmak için QRadar'da bir API belirteci oluşturun.

Arama sorgusunu yürütmek için:

  1. Geçmiş verileri indirebileceğiniz sistemde oturum açın. Bu sistemin HTTPS aracılığıyla TCP/443 üzerinde QRadar Konsolu ve QRadar API'sine erişimi olduğundan emin olun.

  2. Geçmiş verileri alan arama sorgusunu yürütmek için bir komut istemi açın ve şu komutlardan birini çalıştırın:

    • QRadar Konsolu kullanıcı kimliği yöntemi için şunu çalıştırın:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • API belirteci yöntemi için şunu çalıştırın:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      Arama işi yürütme süresi, AQL zaman aralığına ve sorgulanan veri miktarına bağlı olarak değişebilir. Sorguyu küçük zaman aralıklarında çalıştırmanızı ve yalnızca dışarı aktarma için ihtiyacınız olan verileri sorgulamanızı öneririz.

      Çıkış, , EXECUTE, , bir progress değer ve değer gibi COMPLETEDbir search_idWAITdurum döndürmelidir. Örneğin:

      Arama sorgusu komutunun çıktısının ekran görüntüsü.

  3. Alanındaki değeri search_id kopyalayın. Arama sorgusu yürütme işleminin ilerleme durumunu ve durumunu denetlemek ve arama yürütme tamamlandıktan sonra sonuçları indirmek için bu kimliği kullanacaksınız.

  4. Aramanın durumunu ve ilerleme durumunu denetlemek için şu komutlardan birini çalıştırın:

    • QRadar Konsolu kullanıcı kimliği yöntemi için şunu çalıştırın:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • API belirteci yöntemi için şunu çalıştırın:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. Çıktıyı gözden geçirin. alanındaki değer status ise COMPLETED, sonraki adıma geçin. Durum değilse COMPLETEDalandaki değeri progress denetleyin ve 5-10 dakika sonra 4. adımda çalıştırdığınız komutu çalıştırın.

  6. Çıktıyı gözden geçirin ve durumunun olduğundan COMPLETEDemin olun.

  7. Sonuçları veya döndürülen verileri JSON dosyasından geçerli sistemdeki bir klasöre indirmek için şu komutlardan birini çalıştırın:

    • QRadar Konsolu kullanıcı kimliği yöntemi için şunu çalıştırın:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • API belirteci yöntemi için şunu çalıştırın:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. Dışarı aktarmanız gereken verileri almak için AQL sorgusunu oluşturun (1-4 arası adımlar) ve sorguyu (1-7 arası adımlar) yeniden yürütür. İhtiyacınız olan verileri almak için zaman aralığını ve arama sorgularını ayarlayın.

Sonraki adımlar