Ir. Pieter Nierop, Q-Musketeers
Technische
Documentatie Q-Radar® Masterclass
Utrecht, 19 Maart
1017
QID-Reeks (1)
Wat QID’s zijn
Af en toe kom je in technische documentatie van IBM Q-Radar de term QID tegen zonder dat goed uitleg geven wordt over wat precies QID’s zijn.
Omdat QID’s nogal een belangrijke plaats innemen binnen Q-Radar, daar
veel over te weten is, daar relatief weinig over te vinden is en als je al
iets van vindt daar weinig eenvoudige over uitleg gegeven wordt, wijd ik in de komende
week een reeks artikelen aan dit onderwerp.
Een goed begrip van wat QID’s zijn is cruciaal voor het
uitvoeren van de werkzaamheden van een Q-Radar specialist die standaard logsources en maatwerk logsources aansluit in Q-Radar.
Tevens is dit van belang voor Q-Radar specialisten die rules en building blocks
definiëren, bouwen en testen en voor analisten die analyses uitvoeren.
QID is de
afkorting voor Q-Radar IDentifier. Het wordt door de ontwikkelaars uitgesproken
als “kwid”. Een QID is een gebeurtenis die voor Q-herkenbaar is en wordt gebruikt in rules en building blocks. Centraal bij
QID’s zijn de zogenaamde “gebeurtenissen” ook wel events genoemd. Dit verdient enige nadere toelichting.
Allereerst
is Q-Radar een security intelligence systeem dat de dagelijkse miljoenen,
zoniet honderden miljoenen of zelfs miljarden, security gerelateerde gebeurtenissen
(events) in de gaten kan houden in een IT netwerk. Van deze gebeurtenissen kan Q-Radar analyses uitvoeren
en alerts (offences, incidenten) met prioriteiten genereren
die van belang zijn voor security analisten.
Onder de
gebeurtenissen die binnenkomen bij Q-Radar vallen:
1) gebeurtenissen die in het netwerk al dan
niet plaatsvinden op systemen zoals firewalls, servers, switches enzovoort.
(Q-Radar SIEM)
2) Flows die op switches al dan niet
voorbijkomen van sessies. (Q-Radar SIEM / Q-Radar Q-Flow)
3) Vulnerability informatie afkomstig van
vulnerability scanners (Q-Radar Vulnerability Manager)
4) Netwerk configuratie informatie afkomstig
van bijvoorbeeld switches en firewalls. Deze informative kan paden door het
netwerk aangeven. (Q-Radar Riskmanager)
Q-Radar
krijgt de gebeurtenissen binnen van allerhande systemen. Bepaalde systemen
versturen syslog berichten, andere versturen CIF berichten en weer andere
systemen kunnen database connecties met Q-Radar onderhouden om de
gebeurtenissen in het systeem aan Q-Radar te melden. Q-Radar kan een grote
hoeveelheid protocollen aan.
Ieder
systeem dat gebeurtenissen aan Q-Radar kan leveren heeft zo zijn eigen specifieke
gebeurtenissen. Zo kunnen firewalls verbindingen toestaan of verbindingen
blokkeren en kunnen Windows of Linux servers gebruikers aanmaken, toegang
verschaffen tot het systeem of bijvoorbeeld down gaan, bestanden aanmaken, toegang tot bestanden verschaffen, bestanden verwijderen enzovoorts.
Het is voor
Q-Radar van belang om te weten welke gebeurtenissen plaatsvinden binnen een netwerk en binnen Q-Radar zijn allerlei regels en building blocks gebouwd om te
controleren of bepaalde gebeurtenissen al dan niet optreden.
Stel een
gebruiker logt succesvol in op een Windows 2012 systeem. Dit is (1) een zogenaamde authenticatie
gebeurtenis en (2) het is een succesvolle login. Maar we weten meer. We weten
ook dat het (3) een gebeurtenis op een Windows 2012 systeem is en (4) dat het
geen beheerder is die inlogt.
Als we nu
een Window 2012 server aan Q-Radar verbinden door er berichtjes heen te laten
sturen dan moet Q-Radar van ieder berichtje weten wat daarin staat en wat voor
gebeurtenis dat is. Dat wordt binnen Q-Radar allemaal netjes geregeld via een zogenaamde
DSM (Device Support Module).
Maar wat nu
als u een eigen besturingssysteem ontwikkelt? U laat vanuit uw besturingssysteem
een bericht sturen met code “CQW2015XA” waarvan alleen u weet dat dat in uw
besturingsysteem betekent dat een administrator niet succesvol is ingelogd op
uw besturingsysteem.
Als u wilt
dat Q-Radar dat ook begrijpt dan moet u Q-Radar vertellen dat “CQW2015XA”
betekent ”unsuccesfull login attempt by an administrator”. Een dergelijke
gebeurtenis bestaat binnen Q-Radar en heet een low-level QID.
Omdat dit
ook een authenticatie gebeurtenis is kunt u ook de high-level QID “authentication
event” opgeven voor deze gebeurtenis.
U kunt voor
iedere gebeurtenis die in uw eigen besturingssysteem plaatsvindt vervolgens een
Q-Radar High-Level en Low-Level categorie opgeven. Daarmee begrijpt Q-Radar voor
iedere gebeurtenis die vanuit uw systeem aan Q-Radar gestuurd wordt wat dit voor
een gebeurtenis is en kan dus de ingebouwde rules en building blocks daarop
loslaten.
In de volgende
artikelen uit deze reeks zal ik op de volledige lijst van QID’s die QRadar kent
bespreken. Tevens komt aan bod hoe u aan deze volledige lijst kunt komen.
Verder zal ingegaan worden op de relaties tussen de rules, building blocks en
QID’s. Daarnaast word ingegaan op de relaties tussen QID’s onderling. Ook zal
aan bod komen hoe QID’s bij het aansluiten van maatwerk logsources gebruikt kan
worden alsmede, waar QID’s opgeslagen worden en hoe u ze op maat kunt aanmaken
als QRadar niet over bepaalde QID’s beschikt en tenslotte hoe u daar dan weer rules en
building blocks voor kunt maken.
Copyright
2017 © Pieter Nierop
www.q-musketeers.com
® Q-Radar is a trademark owned by IBM
Geen opmerkingen:
Een reactie posten