Exportieren von Verlaufsdaten aus QRadar

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten aus QRadar exportieren. Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, können Sie eine Zielplattform zum Hosten der exportierten Daten auswählen und dann ein Datenerfassungstool auswählen, um die Daten zu migrieren.

Diagramm mit den Schritten zum Exportieren und zur Erfassung

Verwenden Sie zum Exportieren Ihrer QRadar-Daten die QRadar-REST-API, um AQL-Abfragen (Ariel Query Language) für Daten auszuführen, die in einer Ariel-Datenbank gespeichert sind. Da der Exportvorgang ressourcenintensiv ist, empfehlen wir Ihnen, kleine Zeitspannen in Ihren Abfragen zu verwenden und nur die erforderlichen Daten zu migrieren.

Erstellen einer AQL-Abfrage

  1. Wählen Sie in der QRadar-Konsole die Registerkarte für die Protokollaktivität aus.

  2. Erstellen Sie eine neue AQL-Suchabfrage oder wählen Sie eine gespeicherte Suchabfrage aus, um die Daten zu exportieren. Stellen Sie sicher, dass die Abfrage die Funktionen START und STOP enthält, um den Datums- und Zeitbereich festzulegen.

    Erfahren Sie, wie Sie AQL verwenden und wie Sie Suchkriterien in AQL speichern können.

  3. Kopieren Sie die AQL-Abfrage für die spätere Verwendung.

  4. Codieren Sie die AQL-Abfrage in das URL-codierte Format. Fügen Sie die Abfrage, die Sie in Schritt 3 kopiert haben, in den Decoder ein. Kopieren Sie die codierte Formatausgabe.

Ausführen einer Suchabfrage

Sie können die Suchabfrage mithilfe einer dieser Methoden ausführen.

  • QRadar-Konsolen-Benutzer-ID. Um diese Methode zu verwenden, stellen Sie sicher, dass die Benutzer-ID der Konsole, die für die Datenmigration verwendet wird, einem Sicherheitsprofil zugewiesen ist, das Zugriff auf die Daten hat, die Sie für den Export benötigen.
  • API-Token. Zur Verwendung dieser Methode generieren Sie in QRadar ein API-Token.

So führen Sie die Suchabfrage aus

  1. Melden Sie sich bei dem System an, von dem Sie die Verlaufsdaten herunterladen möchten. Stellen Sie sicher, dass dieses System Zugriff auf die QRadar-Konsole und die QRadar-API über TCP/443 über HTTPS hat.

  2. Um die Abfrage auszuführen, die die Verlaufsdaten abruft, öffnen Sie eine Eingabeaufforderung und führen Sie einen der folgenden Befehle aus:

    • Führen Sie für die Methode der QRadar-Konsole-Benutzer-ID folgenden Befehl aus:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • Führen Sie für die API-Tokenmethode Folgendes aus:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      Die Ausführungszeit des Suchauftrags kann variieren, je nach AQL-Zeitbereich und Menge der abgefragten Daten. Wir empfehlen Ihnen, die Abfrage in kleinen Zeitspannen auszuführen und nur die Daten abzufragen, die Sie für den Export benötigen.

      Die Ausgabe sollte einen Status wie COMPLETED, EXECUTE, WAIT, einen progress-Wert und einen search_id-Wert zurückgeben. Beispiel:

      Screenshot. Ausgabe des Suchabfragebefehls

  3. Kopieren Sie den Wert in das Feld search_id. Sie verwenden diese ID, um den Fortschritt und den Status der Ausführung der Abfrage zu überprüfen und um die Ergebnisse nach Abschluss der Abfrage herunterzuladen.

  4. Um den Status und den Fortschritt der Suche zu überprüfen, führen Sie einen der folgenden Befehle aus:

    • Führen Sie für die Methode der QRadar-Konsole-Benutzer-ID folgenden Befehl aus:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • Führen Sie für die API-Tokenmethode Folgendes aus:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. Überprüfen Sie die Ausgabe. Wenn der Wert im Feld status gleich COMPLETED ist, fahren Sie mit dem nächsten Schritt fort. Wenn der Status nicht COMPLETED ist, überprüfen Sie den Wert im Feld progress, und führen Sie nach 5 bis 10 Minuten den Befehl aus, den Sie in Schritt 4 ausgeführt haben.

  6. Überprüfen Sie die Ausgabe und stellen Sie sicher, dass der Status COMPELETED lautet.

  7. Führen Sie einen dieser Befehle aus, um die Ergebnisse oder zurückgegebenen Daten aus der JSON-Datei in einen Ordner auf dem aktuellen System herunterzuladen:

    • Führen Sie für die Methode der QRadar-Konsole-Benutzer-ID folgenden Befehl aus:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • Führen Sie für die API-Tokenmethode Folgendes aus:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. Um die zu exportierenden Daten abzurufen, erstellen Sie die AQL-Abfrage (Schritte 1–4) und führen die Abfrage (Schritte 1–7) erneut aus. Passen Sie den Zeitbereich und die Abfragen an, um die gewünschten Daten zu erhalten.

Nächste Schritte