Ir. Pieter Nierop,
Q-Musketeers
Technische
Documentatie Q-Radar Master Class
Utrecht, 30 Maart
1017
QID-Reeks (4)
QID’s creëren en bewerken
QID’s
moeten momenteel nog via de commandline gemanaged worden met de utility
qidmap_cli.sh. Binnen Q-Rader bestaat er momenteel nog geen grafische interface
voor QID’s.
Alle QID’s
die u aan kunt maken, bewerken staan in de zogenaamde QID-map en iedere QID
bevat de volgende 6 velden die u al dan niet kunt invullen:
· name (maximal 255 characters, zonder
spaties) (Event Name)
· description (maximal 2048 characters,
zonder spaties) (Event Description)
· severity (een waarde tussen 1 en 10)
· lowlevelcategoryid (zie de admin
guide) (Low Level Category)
· Event Category
· Vulnerability Data
Normaal
gesproken heeft u alleen te maken met de name, description, severity en lowlevelcategoryid.
Het
verwijderen van QID’s is niet mogelijk.
QID creëren
Het creëren van een QID doet u door met SSH
(bijvoorbeeld Putty) als root user in te loggen op QRadar. Typ vervolgens:
cd /opt/qradar/bin
en gebuik
daarna de qidmap_cli.sh met de optie -c van create.
qidmap_cli.sh -c --qname
<name> --qdescription <description> --severity <severity>
--lowlevelcategoryid <ID>
QID bewerken
Op een
vergelijkbare wijze kunt u ook QID’s aanpassen (modificeren).
Het aanpassen van een QID doet u door met SSH
(bijvoorbeeld Putty) als root user in te loggen op QRadar. Typ vervolgens:
cd /opt/qradar/bin
en gebuik
daarna de qidmap_cli.sh met de optie -m van modify.
qidmap_cli.sh -m
--qid<QID> --qname <name> --qdescription <description> --severity
<severity>
Copyright
2017 © Pieter Nierop
Geen opmerkingen:
Een reactie posten