问题标签 [qradar]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
json - 从 SID Python 获取用户名
我正在尝试使用 python 中的 ldap3 模块从 S-1-5-21-3746060737-1637154676-3487543981-1001 等 SID 号解析用户名。目前我的代码是:
关于如何查询活动目录以使用 SID 获取用户名的任何想法?
logging - Is there a way to forward/retrieve SAP application servers security logs without using ETD?
My client asked me if there was a way to forward/retrieve all SAP Security Logs in order to monitor them via IBM QRadar.
I know there would be a simple solution: use SAP Enterprise Threat Detection to collect all logs and integrate it into IBM QRadar. Unfortunately, this solution is not feasible (life sucks).
Do you know any other possible solution ? Any.
Thanks guys,
fluentd - Fluentd - remote_syslog 插件,使用原始发件人主机名设置主机名属性
我正在尝试使用 Fluentd 从多个服务器(部署在云环境中)收集系统日志/事件日志。Fluentd 充当日志收集器,然后将它们发送到 SIEM 工具 IBM Qradar。
我的问题是当日志到达 IBM Qradar 时,它将日志源视为 Fluentd 收集器主机名。我想拥有原始服务器主机名。
这就是 IBM Qradar 从 Fluentd 接收当前日志的方式。(LOGCOLSRV 是 fluentd 服务器,DBMONSRV 是日志源名称)
<13>Apr 16 20:44:12 **LOGCOLSRV** fluentd: **host:DBMONSRV** ident:sshd pid:14178 message:pam_unix(sshd:session): session closed for user testperfmon client_addr:10.152.112.22
这就是我希望 IBM Qradar 接收它的方式。
<13>Apr 16 20:44:12 **DBMONSRV** fluentd: host:DBMONSRV ident:sshd pid:14178 message:pam_unix(sshd:session): session closed for user testperfmon client_addr:10.152.112.22
以下是 Fluentd 收集器的配置文件。
我尝试使用<code>"#{Socket.gethostname}" </code>,但它仍然给出了 Fluentd 的主机名,而不是原始日志源主机名。
请帮忙。
ubuntu - 重启时出现 Syslog-ng 服务错误 - syslog 转发到 Qradar
希望我的问题是在正确的地方。
我目前正在尝试将系统日志从 Ubuntu 机器转发到 Qradar 机器。他们在同一个网络上,我已经设法让 Rsyslog 工作,但 Qradar 不支持它。因此,我不得不切换到 Syslog-ng。
IBM 官方文档指出,只需在 /etc/syslog-ng/syslog-ng.conf 文件中添加几行代码即可:
不幸的是,当我这样做并且必须重新启动 syslog-ng 时,它会给我带来错误。
显然我是 sudo 用户。我还注意到生成错误的代码行是与日志相关的代码行。我确实添加了 SYSLOGNG_OPTS="--no-caps"。我确实尝试停止并启动而不是重新启动。我真的不知道如何在这里进行,我有点绝望。如果有人可以提供任何帮助,将不胜感激。
谢谢你。
qradar - 如何在 IBM Qradar 中生成 SEC 令牌
我已经创建了 IBM qradar 的 14 天试用帐户,并尝试按照文档访问 API。问题是我无法生成需要在请求标头中发送的令牌“SEC”。我已经按照链接“https://www.ibm.com/docs/en/qradar-on-cloud?topic=tokens-adding-authorized-service-token”中给出的步骤进行了尝试,但它似乎不起作用. 有谁知道如何生成?下面是示例邮递员请求,带有示例 SEC 格式的令牌以供参考。
rsyslog - 使用 rsyslog 发送不同的日志
我目前正在使用 rsyslog 将日志从 Linux 服务器发送到 QRadar(IBM 的 SIEM)。但是,服务器发送了大量日志,我想直接在 rsyslog.conf 文件中过滤它们。但是,如果我写了其他东西,
*.* @MyServerIp
则不会发送任何日志。谁能帮我 ?
谢谢 !
indicator - 如何将指标从 ThreatConnect 推送到 QRadar?
我想将指标 (IOC) 从 ThreatConnect 推送到 QRadar 参考集。我确保 ThreatConnect 安装了 QRadar 集成应用程序。
关于 ThreatConnect 上的配置,首先我创建一个 API 用户并授予权限。然后我创建了一个新作业,但是当我转到下图所示的设置时,我不知道 QRadar API 基本 URI 是否正确(以及如何在 QRadar 上找到它)。因此,我还不能将任何指标推送到 QRadar。
此外,我也不知道如何配置 QRadar 端。期待您的帮助!
qradar - qradar jsp.QRadar.productName 在哪里
我发现这个/opt/qradar/webapps/console/qradar/jsp/QRadar.jsp:
那么我在哪里可以找到这个键的值jsp.QRadar.productName呢?
我/opt/qradar/webapps/console/qradar/jsp/QRadar.jsp想设置如下代码:
enter code here
但是即使在我设置之后,这个jsp也无法正常显示:
以上<body>,怎么解决?
azure - 支持从 Azure 到 QRadar 的事件
QRadar 是否支持来自Azure的资源日志(属于平台日志的一部分),或者我们是否需要为订阅中的每种资源类型构建自定义解析器?
我阅读了QRadar 的 DSM 文档,它提到了平台活动日志,但没有提到资源日志。举个例子,我们从 Azure 部署中获取网关日志、websocket 连接日志、请求日志等。QRadar 支持的所有资源日志是否都从事件中心获取并集成到 QRadar(QRadar 支持的资源日志列表)?
qradar - 使用 Qualys 应用程序丰富 QRadar 中的数据
如果我们将Qualys应用程序集成到 QRadar 中,是否会丰富 QRadar 中的数据?
例如,在分析时,如果我们想查看机器的详细信息,而不是去 Qualys 应用程序查看机器,它会直接在分析页面上看到吗?