Exportar dados históricos da QRadar

Este artigo descreve como exportar os seus dados históricos da QRadar. Depois de completar os passos deste artigo, pode selecionar uma plataforma-alvo para hospedar os dados exportados e, em seguida, selecionar uma ferramenta de ingestão para migrar os dados.

Diagrama ilustrando etapas envolvidas na exportação e ingestão.

Para exportar os seus dados QRadar, utilize a API QRadar REST para executar consultas sobre a linguagem de consulta de Ariel (AQL) sobre os dados armazenados numa base de dados Ariel. Como o processo de exportação é intensivo em recursos, recomendamos que utilize pequenas faixas de tempo nas suas consultas e apenas migra os dados de que necessita.

Criar consulta AQL

  1. Na consola QRadar, selecione o separador 'Atividade de Registo '.

  2. Crie uma nova consulta de pesquisa AQL ou selecione uma consulta de pesquisa guardada para exportar os dados. Certifique-se de que a consulta inclui as START e STOP funções para definir a data e o intervalo de tempo.

    Saiba como usar o AQL e como guardar critérios de pesquisa em AQL.

  3. Copie a consulta AQL para utilização posterior.

  4. Codificar a consulta AQL para o formato codificado URL. Cole a consulta que copiou no passo 3 para o descodificador. Copie a saída do formato codificado.

Executar consulta de pesquisa

Pode executar a consulta de pesquisa utilizando um destes métodos.

  • ID do utilizador da consola QRadar. Para utilizar este método, certifique-se de que o ID do utilizador da consola que está a ser utilizado para a migração de dados é atribuído a um perfil de segurança que possa aceder aos dados necessários para a exportação.
  • Ficha API. Para utilizar este método, gere um token API no QRadar.

Para executar a consulta de pesquisa:

  1. Faça login no sistema a partir do qual irá descarregar os dados históricos. Certifique-se de que este sistema tem acesso à Consola QRadar e à API QRadar em TCP/443 via HTTPS.

  2. Para executar a consulta de pesquisa que recupera os dados históricos, abra um pedido de comando e execute um destes comandos:

    • Para o método de ID do utilizador da consola QRadar, corra:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Para o método de token API, corra:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      O tempo de execução do trabalho de pesquisa pode variar, dependendo do intervalo de tempo AQL e da quantidade de dados consultados. Recomendamos que execute a consulta em intervalos de tempo reduzidos e que consultasse apenas os dados necessários para a exportação.

      A saída deve devolver um estatuto, como COMPLETED, EXECUTEpor exemplo, WAITum progress valor e um search_id valor. Por exemplo:

      Screenshot da saída do comando de consulta de pesquisa.

  3. Copie o valor no search_id campo. Você usará este ID para verificar o progresso e o estado da execução da consulta de pesquisa, e para baixar os resultados após a execução da pesquisa está completa.

  4. Para verificar o estado e o progresso da pesquisa, executar um destes comandos:

    • Para o método de ID do utilizador da consola QRadar, corra:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Para o método de token API, corra:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Reveja a saída. Se o valor no status campo for COMPLETED, continue para o próximo passo. Se o estado não COMPLETEDfor, verifique o valor no progress campo, e após 5-10 minutos, executar o comando que correu no passo 4.

  6. Reveja a saída e certifique-se de que o estado é COMPELETED.

  7. Executar um destes comandos para transferir os resultados ou devolver os dados do ficheiro JSON para uma pasta no sistema atual:

    • Para o método de ID do utilizador da consola QRadar, corra:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Para o método de token API, corra:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Para recuperar os dados que precisa para exportar, crie a consulta AQL (passos 1-4) e execute novamente a consulta (passos 1-7). Ajuste o intervalo de tempo e as consultas de pesquisa para obter os dados de que necessita.

Passos seguintes