Partilhar via


Exportar dados históricos do QRadar

Este artigo descreve como exportar os seus dados históricos do QRadar. Depois de concluir os passos neste artigo, pode selecionar uma plataforma de destino para alojar os dados exportados e, em seguida, selecionar uma ferramenta de ingestão para migrar os dados.

Diagrama que ilustra os passos envolvidos na exportação e ingestão.

Para exportar os dados do QRadar, utilize a API REST do QRadar para executar consultas Ariel Query Language (AQL) em dados armazenados numa base de dados do Ariel. Uma vez que o processo de exportação consome muitos recursos, recomendamos que utilize intervalos de tempo pequenos nas consultas e migre apenas os dados de que precisa.

Criar consulta AQL

  1. Na Consola do QRadar, selecione o separador Atividade de Registo .

  2. Crie uma nova consulta de pesquisa do AQL ou selecione uma consulta de pesquisa guardada para exportar os dados. Certifique-se de que a consulta inclui as START funções e STOP para definir o intervalo de data e hora.

    Saiba como utilizar o AQL e como guardar critérios de pesquisa no AQL.

  3. Copie a consulta AQL para utilização posterior.

  4. Codifique a consulta AQL para o formato codificado por URL. Cole a consulta que copiou no passo 3 no descodificador. Copie a saída do formato codificado.

Executar consulta de pesquisa

Pode executar a consulta de pesquisa com um destes métodos.

  • ID de utilizador da Consola QRadar. Para utilizar este método, certifique-se de que o ID de utilizador da consola que está a ser utilizado para a migração de dados está atribuído a um perfil de segurança que pode aceder aos dados de que precisa para a exportação.
  • Token de API. Para utilizar este método, gere um token de API no QRadar.

Para executar a consulta de pesquisa:

  1. Inicie sessão no sistema a partir do qual irá transferir os dados históricos. Certifique-se de que este sistema tem acesso à Consola QRadar e à API QRadar no TCP/443 através de HTTPS.

  2. Para executar a consulta de pesquisa que obtém os dados históricos, abra uma linha de comandos e execute um destes comandos:

    • Para o método de ID de utilizador da Consola QRadar, execute:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • Para o método de token de API, execute:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      O tempo de execução da tarefa de pesquisa pode variar, consoante o intervalo de tempo do AQL e a quantidade de dados consultados. Recomendamos que execute a consulta em intervalos de tempo pequenos e que consulte apenas os dados necessários para a exportação.

      O resultado deve devolver um estado, como COMPLETED, EXECUTE, WAIT, um progress valor e um search_id valor. Por exemplo:

      Captura de ecrã a mostrar o resultado do comando de consulta de pesquisa.

  3. Copie o valor no search_id campo . Irá utilizar este ID para verificar o progresso e o estado da execução da consulta de pesquisa e para transferir os resultados após a execução da pesquisa estar concluída.

  4. Para verificar o estado e o progresso da pesquisa, execute um destes comandos:

    • Para o método de ID de utilizador da Consola QRadar, execute:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • Para o método de token de API, execute:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Reveja a saída. Se o valor no status campo for COMPLETED, avance para o passo seguinte. Se o estado não COMPLETEDfor , verifique o valor no progress campo e, após 5 a 10 minutos, execute o comando que executou no passo 4.

  6. Reveja o resultado e certifique-se de que o estado é COMPELETED.

  7. Execute um destes comandos para transferir os resultados ou os dados devolvidos do ficheiro JSON para uma pasta no sistema atual:

    • Para o método de ID de utilizador da Consola QRadar, execute:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • Para o método de token de API, execute:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Para obter os dados que precisa de exportar, crie a consulta AQL (passos 1 a 4) e execute novamente a consulta (passos 1 a 7). Ajuste o intervalo de tempo e as consultas de pesquisa para obter os dados de que precisa.

Passos seguintes