Esportare dati cronologici da QRadar
Questo articolo descrive come esportare i dati cronologici da QRadar. Dopo aver completato i passaggi descritti in questo articolo, è possibile selezionare una piattaforma di destinazione per ospitare i dati esportati e quindi selezionare uno strumento di inserimento per eseguire la migrazione dei dati.
Per esportare i dati QRadar, è possibile usare l'API REST QRadar per eseguire query di Tipo Query Language (AQL) su dati archiviati in un database Ariel. Poiché il processo di esportazione richiede un utilizzo intensivo delle risorse, è consigliabile usare intervalli di tempo di piccole dimensioni nelle query ed eseguire solo la migrazione dei dati necessari.
Creare una query AQL
Nella console QRadar selezionare la scheda Attività log .
Creare una nuova query di ricerca AQL o selezionare una query di ricerca salvata per esportare i dati. Assicurarsi che la query includa le
START
funzioni eSTOP
per impostare l'intervallo di data e ora.Informazioni su come usare AQL e come salvare i criteri di ricerca in AQL.
Copiare la query AQL per usarla in un secondo momento.
Codificare la query AQL nel formato con codifica URL. Incollare la query copiata nel passaggio 3 nel decodificatore. Copiare l'output del formato codificato.
Eseguire una query di ricerca
È possibile eseguire la query di ricerca usando uno di questi metodi.
- ID utente della console QRadar. Per usare questo metodo, assicurarsi che l'ID utente della console usato per la migrazione dei dati sia assegnato a un profilo di sicurezza in grado di accedere ai dati necessari per l'esportazione.
- Token API. Per usare questo metodo, generare un token API in QRadar.
Per eseguire la query di ricerca:
Accedere al sistema da cui scaricare i dati cronologici. Assicurarsi che questo sistema abbia accesso alla console QRadar e all'API QRadar su TCP/443 tramite HTTPS.
Per eseguire la query di ricerca che recupera i dati cronologici, aprire un prompt dei comandi ed eseguire uno dei comandi seguenti:
Per il metodo ID utente della console QRadar, eseguire:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
Per il metodo del token API, eseguire:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>
Il tempo di esecuzione del processo di ricerca può variare, a seconda dell'intervallo di tempo AQL e della quantità di dati sottoposti a query. È consigliabile eseguire la query in intervalli di tempo di piccole dimensioni e per eseguire query solo sui dati necessari per l'esportazione.
L'output deve restituire uno stato, ad esempio
COMPLETED
,EXECUTE
,WAIT
, unprogress
valore e unsearch_id
valore. Ad esempio:
Copiare il valore nel
search_id
campo. Questo ID verrà usato per controllare lo stato e lo stato dell'esecuzione della query di ricerca e per scaricare i risultati al termine dell'esecuzione della ricerca.Per controllare lo stato e lo stato della ricerca, eseguire uno dei comandi seguenti:
Per il metodo ID utente della console QRadar, eseguire:
curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Per il metodo del token API, eseguire:
curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>'
Esaminare l'output. Se il valore nel
status
campo èCOMPLETED
, continuare con il passaggio successivo. Se lo stato nonCOMPLETED
è , controllare il valore nelprogress
campo e, dopo 5-10 minuti, eseguire il comando eseguito nel passaggio 4.Esaminare l'output e verificare che lo stato sia
COMPELETED
.Eseguire uno di questi comandi per scaricare i risultati o i dati restituiti dal file JSON in una cartella nel sistema corrente:
Per il metodo ID utente della console QRadar, eseguire:
curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Per il metodo del token API, eseguire:
curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json
Per recuperare i dati da esportare, creare la query AQL (passaggi 1-4) ed eseguire nuovamente la query (passaggi da 1 a 7). Modificare l'intervallo di tempo e le query di ricerca per ottenere i dati necessari.