Exportación de datos históricos desde QRadar

En este artículo se describe cómo exportar los datos históricos de QRadar. Después de completar los pasos de este artículo, puede seleccionar una plataforma de destino para hospedar los datos exportados y, a continuación, seleccionar una herramienta de ingesta para migrar los datos.

Diagrama que muestra los pasos necesarios para la exportación y la ingesta.

Para exportar los datos de QRadar, use la API REST de QRadar para ejecutar consultas del lenguaje de consulta de Ariel (AQL) en los datos almacenados en una base de datos de Ariel. Dado que el proceso de exportación consume muchos recursos, se recomienda usar intervalos de tiempo pequeños en las consultas y migrar solo los datos que se necesiten.

Creación de una consulta de AQL

  1. En la consola de QRadar, seleccione la pestaña Log Activity.

  2. Cree una nueva consulta de búsqueda de AQL o seleccione una consulta de búsqueda guardada para exportar los datos. Asegúrese de que la consulta incluya las funciones START y STOP para establecer el intervalo de tiempo y fechas.

    Obtenga información sobre cómo usar AQL y guardar los criterios de búsqueda en AQL.

  3. Copie la consulta de AQL para usarla posteriormente.

  4. Codifique la consulta de AQL en formato con codificación URL. Pegue la consulta que copió en el paso 3 en el descodificador. Copie la salida de formato codificado.

Ejecución de una consulta de búsqueda

Puede ejecutar la consulta de búsqueda mediante uno de estos métodos.

  • Id. de usuario de la consola de QRadar. Para usar este método, asegúrese de que el id. de usuario de la consola que se usa para la migración de datos esté asignado a un perfil de seguridad que pueda acceder a los datos que necesita para la exportación.
  • Token de API. Para usar este método, genere un token de API en QRadar.

Para ejecutar la consulta de búsqueda, siga estos pasos:

  1. Inicie sesión en el sistema desde el que descargará los datos históricos. Asegúrese de que este sistema tenga acceso a la consola de QRadar y a la API de QRadar en TCP/443 a través de HTTPS.

  2. Para ejecutar la consulta de búsqueda que recupera los datos históricos, abra un símbolo del sistema y ejecute uno de estos comandos:

    • Para el método de id. de usuario de la consola de QRadar, ejecute:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Para el método de token de API, ejecute:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      El tiempo de ejecución del trabajo de búsqueda puede variar, según el intervalo de tiempo de AQL y la cantidad de datos consultados. Se recomienda ejecutar la consulta en intervalos de tiempo pequeños y consultar solo los datos que se necesiten para la exportación.

      La salida debe devolver un estado (como COMPLETED, EXECUTE o WAIT), un valor de progress y un valor de search_id. Por ejemplo:

      Captura de pantalla de la salida del comando de consulta de búsqueda.

  3. Copie el valor del campo search_id. Usará este id. para comprobar el progreso y el estado de la ejecución de la consulta de búsqueda y para descargar los resultados una vez completada la ejecución de la búsqueda.

  4. Para comprobar el estado y el progreso de la búsqueda, ejecute uno de estos comandos:

    • Para el método de id. de usuario de la consola de QRadar, ejecute:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Para el método de token de API, ejecute:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Revise el resultado. Si el valor del campo status es COMPLETED, continúe con el paso siguiente. Si el estado no es COMPLETED, compruebe el valor del campo progress, espere entre 5 y 10 minutos y ejecute el comando que ejecutó en el paso 4.

  6. Revise la salida y asegúrese de que el estado sea COMPELETED.

  7. Ejecute uno de estos comandos para descargar los resultados o los datos devueltos del archivo JSON en una carpeta del sistema actual:

    • Para el método de id. de usuario de la consola de QRadar, ejecute:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Para el método de token de API, ejecute:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Para recuperar los datos que necesite exportar, cree la consulta de AQL (pasos 1-4) y ejecútela (pasos 1-7) de nuevo. Ajuste el intervalo de tiempo y las consultas de búsqueda para obtener los datos que necesite.

Pasos siguientes