Mengekspor data historis dari QRadar

  • Artikel

Artikel ini menjelaskan cara mengekspor data historis Anda dari QRadar. Setelah Anda menyelesaikan langkah-langkah dalam artikel ini, Anda dapat memilih platform target untuk menghosting data yang diekspor, lalu memilih alat penyerapan untuk memigrasikan data.

Diagram yang mengilustrasikan langkah-langkah yang terlibat dalam ekspor dan penyerapan.

Untuk mengekspor data QRadar, Anda menggunakan QRadar REST API untuk menjalankan kueri Ariel Query Language (AQL) pada data yang disimpan dalam database Ariel. Karena proses ekspor membutuhkan banyak sumber daya, sebaiknya Anda menggunakan rentang waktu kecil dalam kueri Anda, dan hanya memigrasikan data yang Anda butuhkan.

Membuat kueri AQL

  1. Di Konsol QRadar, pilih tab Aktivitas Log.

  2. Buat kueri pencarian AQL baru atau pilih kueri pencarian tersimpan untuk mengekspor data. Pastikan kueri menyertakan fungsi START dan STOP untuk mengatur rentang tanggal dan waktu.

    Pelajari cara menggunakan AQL dan cara menyimpan kriteria pencarian di AQL.

  3. Salin kueri AQL untuk digunakan nanti.

  4. Mengodekan kueri AQL ke format yang dikodekan URL. Tempelkan kueri yang Anda salin di langkah 3 ke dalam dekoder. Salin output format yang dikodekan.

Jalankan kueri pencarian

Anda dapat menjalankan kueri pencarian menggunakan salah satu metode ini.

  • ID pengguna Konsol QRadar. Untuk menggunakan metode ini, pastikan bahwa ID pengguna konsol yang digunakan untuk migrasi data ditetapkan ke profil keamanan yang dapat mengakses data yang Anda butuhkan untuk ekspor.
  • Token API. Untuk menggunakan metode ini, buat token API di QRadar.

Untuk menjalankan kueri pencarian:

  1. Masuk ke sistem tempat Anda akan mengunduh data historis. Pastikan bahwa sistem ini memiliki akses ke Konsol QRadar dan API QRadar pada TCP/443 melalui HTTPS.

  2. Untuk menjalankan kueri pencarian yang mengambil data historis, buka perintah dan jalankan salah satu perintah ini:

    • Untuk metode ID pengguna Konsol QRadar, jalankan:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'

    • Untuk metode token API, jalankan:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>

      Waktu eksekusi pekerjaan pencarian dapat bervariasi, tergantung pada rentang waktu AQL dan jumlah data yang dikueri. Sebaiknya Anda menjalankan kueri dalam rentang waktu kecil, dan hanya mengkueri data yang Anda butuhkan untuk ekspor.

      Output harus mengembalikan status, seperti COMPLETED, EXECUTE, WAIT, nilaiprogress, dan nilai search_id. Contohnya:

      Cuplikan layar output dari perintah kueri pencarian.

  3. Salin nilai di bidang search_id. Anda akan menggunakan ID ini untuk memeriksa kemajuan dan status eksekusi kueri pencarian, dan untuk mengunduh hasil setelah eksekusi pencarian selesai.

  4. Untuk memeriksa status dan kemajuan pencarian, jalankan salah satu perintah berikut:

    • Untuk metode ID pengguna Konsol QRadar, jalankan:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

    • Untuk metode token API, jalankan:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'

  5. Tinjau output. Jika nilai dalam bidang status adalah COMPLETED, lanjutkan ke langkah berikutnya. Jika statusnya tidak COMPLETED, periksa nilai di bidang progress, dan setelah 5-10 menit, jalankan perintah yang Anda jalankan di langkah 4.

  6. Tinjau output dan pastikan bahwa statusnya adalah COMPELETED.

  7. Jalankan salah satu perintah ini untuk mengunduh hasil atau mengembalikan data dari file JSON ke folder pada sistem saat ini:

    • Untuk metode ID pengguna Konsol QRadar, jalankan:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

    • Untuk metode token API, jalankan:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json

  8. Untuk mengambil data yang perlu Anda ekspor, buat kueri AQL (langkah 1-4) dan jalankan kueri (langkah 1-7) lagi. Sesuaikan rentang waktu dan kueri pencarian untuk mendapatkan data yang Anda butuhkan.

Langkah berikutnya