Ir. Pieter Nierop,
Q-Musketeers
Technische
Documentatie Q-Radar Master Class
Utrecht, 5 April 1017
Event Pipeline Reeks
(1)
De Event Pipeline
Dit is het eerste artikel in een reeks over de event
pipeline en gaat over de stappen die events ondergaan die door QRadar verwerkt
worden. In de reeks artikelen wordt nader ingaan op iedere stap. Onderstaande
tekening geeft een highlevel overview maar er ontbreekt nog een groot aantal details
die voor de overzichtelijkheid achterwege gelaten zijn. Deze ontbrekende
details komen echter alle wil in de individuele artikelen aan bod.
Events die binnenkomen in QRadar worden daar hetzij heen gestuurd
of worden door de eventcollector van QRadar opgehaald uit de aanleverende bron.
Als de QRadar event collector zijn werk gedaan heeft zijn de events in een
QRadar geschikt formaat opgesteld en opgeslagen in de Ariel database voor de
verwerking door de QRadar Event Processsor.
De QRadar Event Processor voert vervolgens het correlatie
werk uit met behulp van zogenaamde Building Blocks en Rules en biedt offenses/incidenten
aan aan de Qradar Console/Magistrate. De eindgebruiker/analist kan daar zijn werk
doen om offenses te onderzoeken.
Copyright
2017 © Pieter Nierop
Geen opmerkingen:
Een reactie posten