Ir. Pieter Nierop, Q-Musketeers
Technische Documentatie
Q-Radar® Masterclass
Utrecht, 19 Maart 1017
QID-Reeks (2)
De QID’s die bestaan in Q-Radar
Voor het begrijpen van QID’s die hier besproken worden
adviseer ik u eerst QID-Reeks (1), “Wat QID's zijn" te lezen. In dit
artikel wordt ingegaan op de categorieën van QID's die binnen Q-Radar bestaan.
In Q-Radar zijn QID’s te vinden in de QID map. De QID-map
bestaat uit QID’s die op verschillende manieren in te delen zijn. Voer voor het
verkrijgen van de volledige lijst van QID’s het volgende commando uit: /opt/qradar/bin/idlist.sh -e qid > <filename.txt>
High-Level en Low
Level QID’s
Allereerst bestaat er de indeling in High-Level QID's en
Low-Level QID's. Een voorbeeld van een High-Level QID is een authenticatie
gebeurtenis. Binnen de High Level QID authenticatie gebeurtenis bestaan
meerdere Low-Level QID's, zoals bijvoorbeeld:
-administrator successful login
-adminstrator failed login
-user successful login
-user failed login
System created QID’s
en User created QID’s
In de tweede plaats bestaat er een indeling in system
created QID’s en user created QID’s. System created QID’s zijn QID’s die aangemaakt
zijn door Q-Radar tijdens de installatie of tijdens een update van een DSM. De
QID’s hebben een waarde tussen 0 en 2.000.000. De system created QID’s in een
7.2.0 versie van Q-Radar verschillen ten opzichte van een 7.2.6, 7.2.8 of 7.3
versie. Ook binnen 7.2.8 kan de QID map van systeem tot systeem verschillen.
Dit is namelijk afhankelijk van de uitgevoerde DSM updates.
User created QID’s zijn QID’s die door de gebruiker
aangemaakt zijn omdat ze binnen QRadar ontbreken en voor het uitvoeren van
analyses met behulp van building blocks en rules of searches noodzakelijk zijn.
User created QID’s zijn genummerd tussen
2.000.000 en 2.250.000. Met behulp van het script opt/qradar/bin/qidmap_cli.sh kunnen QID’s
aangemaakt worden en opgevraagd worden.
QID’s per systeem
Er is nog een derde indeling te maken van QID’s op basis
van systemen. QID’s hebben een naam, categorie, nummer, severity en
omschrijving. Bepaalde reeksen van QID’s horen bij elkaar en zijn gerelateerd
aan een specifiek systeem. Zo zijn er authenticatie events van Windows systemen
en Authenticatie events van Linux systemen ieders met hun eigen Low Level QID’s.
Ook zijn er QID’s die toebehoren aan een Cisco firewall of een bepaald type
DHCP server. Er zijn binnen Q-Radar vele blokken van QID’s gereserveerd die
toebehoren aan een bepaald soort systeem.
Copyright 2017 © Pieter Nierop
www.q-musketeers.com
® Q-Radar is a trademark owned by IBM
Geen opmerkingen:
Een reactie posten