É possível recuperar e fazer backup de configuração de informações e dados do QRadar.
Você pode utilizar o recurso de backup e recuperação para fazer backup dos seus dados de eventos e fluxo no entanto, você deve restaurar de eventos e fluxo de dados manualmente. Para obter assistência na restauração de dados de eventos e fluxo, consulte o Restaurando Dados Sua Nota Técnica.
Por padrão, o QRadar cria um backup archive de suas informações de configuração diariamente à meia-noite. O arquivamento de backup inclui informações de configuração, dados ou ambos a partir do dia anterior. É possível usar dois tipos de backups; backups de configuração e backups de dados.
Backups de configuração incluem os seguintes componentes:
v Recursos
v Certificados
v Logotipos personalizados
v Regras Customizadas
v Dispositivo de Suporte Módulos (DSMs)
v Categorias de Evento
v Fontes de Fluxo
v Fluxo e procuras de eventos
v Grupos
v Informações de gerenciamento de índice
v Informações de chave de licença
v Fontes de Log
v Ofensas
v Planejamentos de armazenamento e encaminhamento
v Usuários e informações de funções de usuário
v Vulnerabilidade de dados (se QRadar Vulnerability Manager for instalado)
Backups de dados incluem as seguintes informações:
v Informações de log de auditoria
v Dados do evento
v Dados de Fluxo
v Dados do relatório
v Índices
v Elementos do conjunto de referência
Gerenciamento de arquivo de backup
Visualizar e gerenciar arquivos de backup
Na janela Gerenciador de arquivos de backup, é possível visualizar e gerenciar todos os arquivos de backup com êxito.
Visualizando Archives de Backup
Utilize a janela Archives de Backup para visualizar uma lista de seus archives de backup.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique em Backup e Recuperação.
Importando um Archive de Backup
A importação de um backup archive é útil se você deseja restaurar um backup archive que foi criado em outro host do QRadar.
Sobre Esta Tarefa
Se você colocar um backup archive do QRadar no diretório /store/backupHost/
inbound no servidor do Console, o backup archive será importado
automaticamente.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique no ícone Backup e Recuperação.
4. No campo Fazer Upload do Archive, clique em Procurar.
5. Localize e selecione o archive do qual você deseja fazer upload. O archive deve
incluir uma extensão .tgz.
6. Clique em Abrir.
7. Clique em Fazer Upload.
Excluindo um Archive de Backup
Para excluir um backup archive, o backup archive e o componente de Contexto de Host devem estar localizados no mesmo sistema. O sistema também deve estar em comunicação com o Console e nenhum outro backup pode estar em andamento.
Sobre Esta Tarefa
Se um arquivo de backup for excluído, ele será removido do disco e do banco de dados. Além disso, a entrada será removida dessa lista e um evento de auditoria será gerado para indicar a remoção.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique em Backup e Recuperação.
4. Na seção Backups Existentes, selecione o archive que você deseja excluir.
Criação de backup archive
Por padrão, o QRadar cria um backup archive de suas informações de
configuração diariamente à meia-noite. O backup archive inclui informações de configuração, dados, ou ambos, a partir do dia anterior. É possível customizar esse backup noturno e criar uma configuração de backup on demand, conforme
necessário.
Agendando backpu noturno
Use a janela Configuração de recuperação de backup para configurar um processo de agendamento noturno.
Sobre Esta Tarefa
Por padrão, o processo de backup noturno inclui apenas os arquivos de
configuração. É possível customizar seu processo de backup noturno para incluir dados do seu console e de seu host gerenciado. Também é possível customizar seu período de retenção de backup, local do backup archive, o limite de tempo para um backup para processar antes de expirar o tempo limite e a prioridade de backup em relação a outros processos. QRadar
A janela Backup Recovery de Configuração fornece os seguintes parâmetros: Tabela 38. Parâmetros de configuração de recuperação
Parâmetro Descrição
Configuração de Backup Geral Caminho do Repositório de Backup
Digite o local onde deseja armazenar o arquivo de backup. O local padrão é /store/backup. Esse caminho deve existir antes que o processo de backup for iniciado. Se esse caminho não existir, o processo de backup será interrompida.
Se você modificar esse caminho, certifique-se de que o novo caminho é válido em todos os sistemas em sua implementação. v dados ativos são armazenados no diretório /armazenar. Se
possuir ambos, os dados ativos e arquivos de backup armazenado no mesmo diretório, a capacidadde de armazenamento de dados deve facilmente ser alcançada e seus backups agendados irão falhar. Recomendamos que você especificar um local de armazenamento em outro sistema ou copie seus arquivos de backup para outro sistema depois que o processo de backup for concluído. Você pode utilizar um NFS (Network File System) solução de armazenamento em seu QRadar de implementação. Para obter informações adicionais sobre como utilizar o NFS, consulte o Guia de Armazenamento Não
Integrado.
Período de Retenção de Backup (dias) Digite ou selecione o período de tempo, em dias, que você deseja armazenar arquivos de backup. O padrão é 2 dias.
Este período de tempo só afeta arquivos de backup gerado como um resultado de um processo planejado. backups on demand ou arquivos de backup importados não são afetadas por este valor. Planejamento de Backup Noturno Selecione uma opção de backup.
Selecione os hosts gerenciados nos quais você gostaria de executar backups de dados:
Essa opção é exibida somente se você selecionar a opção
Configuração e Backups de Dados.
Todos os hosts em sua implementação são listados. O primeiro host na lista é seu; ele está ativado para backup de dados por padrão, portanto, nenhuma caixa de opções é exibida. Se você tiver hosts gerenciados em sua implementação, os hosts gerenciados são listados abaixo do Console e cada host gerenciado inclui uma caixa de opções.
Selecione a caixa de opção para os hosts gerenciados nos você deseja executar backups de dados.
Para cada host (console ou host gerenciado), é possivel opcionalmente limpar os ítens de dados que deseja excluir do arquivo de backup.
Tabela 38. Parâmetros de configuração de recuperação (continuação)
Parâmetro Descrição
Backup Apenas de Configuração
Limite de Tempo de Backup (min) Digite ou selecione o período de tempo, em minutos, que você deseja permitir que o backup seja executado. O padrão é 180 minutes. Se o processo de backup excede o limite de tempo configurado, o processo de backup é automaticamente cancelado. Prioridade de Backup
Nessa caixa de listagem, selecione o nível de importância que desejado, para que o sistema insira no processo de backup de configuração em comparação com outros processos. Uma prioridade média ou alta têm um impacto maior no desempenho do sistema.
Backup de Dados
Limite de Tempo de Backup (min) Digite ou selecione o período de tempo, em minutos, que você deseja permitir que o backup seja executado. O padrão é 1020 minutes. Se o processo de backup excede o limite de tempo configurado, o backup é automaticamente cancelado. Prioridade de Backup
Na lista, selecione o nível de importância que você deseja que o sistema para colocar no processo de backup de dados em comparação com outros processos.
Uma prioridade média ou alta têm um impacto maior no desempenho do sistema.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique em Backup e Recuperação.
4. Na barra de ferramentas, clique em Configurar.
5. Na janela Configuração de Recuperação de Backup , customize backup
noturno.
6. Clique em Salvar.
7. Feche a janela de Arquivos de Backup.
8. No menu da guia Admin, clique em Implementar Mudanças.
Criando um Archive de Backup de Configuração On Demand
Se você precisar fazer backup de seus arquivos de configuração em um momento diferente do seu backup planejado noturno, poderá criar um backup archive on demand. Archives de backup on demand incluem apenas informações de configuração.Sobre Esta Tarefa
Você inicia um backup archive on demand durante um período em que o QRadar possui a carga de processamento baixa, tal como depois de horários normais de trabalho. Durante o processo de backup, o desempenho do sistema é afetado.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique em Backup e Recuperação.
4. Na barra de ferramentas, clique em Backup On Demand.
Opção Descrição
Nome Digite um nome exclusivo que você deseja designar para este backup archive. O nome pode ter até 100 caracteres alfanuméricos de comprimento. O nome pode conter
caracteres a seguir: sublinhado (_), traço (-) ou ponto (.).
Descrição Digite uma descrição para este backup
archive de configuração. A descrição pode ter até 255 caracteres de comprimento.
6. Clique em Executar Backup.
É possível iniciar um novo backup ou restaurar processos apenas depois que o backup on demand for concluído. É possível monitorar o processo de backup archive na janela Archives de Backup. Consulte “Visualizando Archives de Backup” na página 108.
Restauração de arquivo de backup
Restaurar um arquivo de backup pode ser útil se for preciso restaurar previamente configurações de arquivos arquivadas, dados de ativos, e odados de ofensas em seu QRadar sistema.
Antes de restaurar um arquivo de backup, observe as seguintes considerações:
v Você só pode restaurar um backup archive criado dentro do mesmo release de
software, incluindo o nível de correção. Por exemplo, se você estiver executando IBM Security QRadar 7.1.0 (MR2), o arquivo de backup deve ter sido criado em IBM Security QRadar.
v O processo de restauração restaura apenas suas informações de configuração,
dados de ativo, e ofensa de dados. Para obter assistência na restauração de seus dados do evento ou fluxo, consulte o Restaurando Dados Sua Nota Técnica.
v Se o arquivo de backup se originou em um sistema do Console endereço com
NAT, você pode apenas restaurar esse backup archive em um sistema com NAT. Durante o processo de restauração, as seguintes etapas são executadas no Console:
1. os arquivos existentes e as tabelas de banco de dados são submetidos a backup.
2. Tomcat é encerrado.
3. Todos os processos do sistema serão encerrados.
4. Os arquivos são extraídos do arquivo de backup e restaurados em disco.
5. tabelas de banco de dados são restaurados.
6. Todos os processos do sistema serão reiniciados.
7. Tomcat for reiniciado.
Restaurando um Archive de Backup
É possível restaurar um backup archive. A restauração de um backup archive é útil se você tiver uma falha de hardware do sistema ou desejar armazenar um backup archive em um dispositivo de substituição.
Sobre Esta Tarefa
É possível reiniciar o Console somente após o processo de restauração ser concluído.
O processo de restauração pode demorar várias horas; o tempo de processo
depende do tamanho do backup archive que deve ser restaurado. Ao concluir, uma mensagem de confirmação é exibida.
Uma janela fornece o status do processo de restauração. Esta janela fornece quaisquer erros para cada host e instruções para solucionar os erros. Os seguintes parâmetros estão disponíveis na janela Restaurar um Backup:
Tabela 39. Parâmetros de Restaurar um Backup
Parâmetro Descrição
Nome O nome do backup archive.
Descrição A descrição, se houver, do backup archive.
Tipo O tipo de backup. Apenas backups de configuração podem ser restaurados, portanto, este parâmetro exibe config.
Selecionar Todos os Itens de Configuração Quando selecionada, esta opção indica que todos os itens de configuração são incluídos na restauração do backup archive.
Restaurar Configuração Lista os itens de configuração a serem incluídos na restauração do backup archive. Para remover itens, é possível limpar as caixas de seleção para cada item que você deseja remover ou limpar a caixa de seleção Selecionar Todos os Itens de Configuração.
Selecionar Todos os Itens de Dados Quando selecionada, esta opção indica que todos os itens de dados são incluídos na restauração do backup archive.
Restaurar Dados Lista os itens de configuração a serem incluídos na restauração do backup archive. Todos os itens são limpos por padrão. Para restaurar itens de dados, é possível selecionar as caixas de seleção para cada item que você deseja restaurar.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique em Backup e Recuperação.
4. Selecione o archive que você deseja restaurar.
5. Clique em Restaurar.
6. Na janela Restaurar um Backup, configure os parâmetros.
7. Clique em Restaurar.
8. Clique em OK.
9. Clique em OK.
10. Escolha uma das seguintes opções:
v Se a interface com o usuário foi fechada durante o processo de restauração,
abra um navegador da web e efetue login no QRadar.
v Se a interface com o usuário não foi fechada, a janela de login será exibida.
Efetue login no QRadar.
11. Siga as instruções na janela de status.
O que Fazer Depois
Após verificar que seus dados foram restaurados para seu sistema, assegure que sua DSMs, scanners de avaliação de vulnerabilidades (VA) e protocolos de origem de log também são restauradas.
Se o backup archive se originou em um cluster HA, você deverá clicar em
Implementar Mudançaspara restaurar a configuração de cluster HA após a conclusão da restauração. Se a replicação de disco estiver ativada, o host secundário sincronizará imediatamente os dados depois que o sistema for
o host secundário exibirá um status de falha na janela Gerenciamento de Sistema e Licença.
Restaurando um Archive de Backup Criado em um Sistema
QRadar Diferente
Cada backup archive inclui as informações de endereço IP do sistema a partir do qual o backup archive foi criado. Ao restaurar um backup archive a partir de um sistema QRadar diferente, o endereço IP do backup archive e o sistema que você está restaurando são incompatíveis. É possível corrigir os endereços IP
incompatíveis.
Sobre Esta Tarefa
É possível reiniciar o Console somente após o processo de restauração ser concluído.
O processo de restauração pode demorar várias horas; o tempo de processo
depende do tamanho do backup archive que deve ser restaurado. Ao concluir, uma mensagem de confirmação é exibida.
Uma janela fornece o status do processo de restauração. Esta janela fornece quaisquer erros para cada host e instruções para solucionar os erros. Você deve parar o serviço iptables em cada host gerenciado em sua implementação. O serviço Iptables é um firewall baseado em Linux.
A janela Restaurar um Backup (Acessibilidade de Hosts Gerenciados) fornece as informações a seguir.
Tabela 40. Parâmetros de Restaurar um Backup (Acessibilidade de Host Gerenciado)
Parâmetro Descrição
Nome do host O nome do host gerenciado.
Endereço IP O endereço IP do host gerenciado.
Status de Acesso O status de acesso para o host gerenciado.
A janela Restaurar um Backup fornece os seguintes parâmetros: Tabela 41. Parâmetros de Restaurar um Backup
Parâmetro Descrição
Nome O nome do backup archive.
Descrição A descrição, se houver, do backup archive.
Tipo O tipo de backup. Apenas backups de configuração podem ser restaurados, portanto, esse parâmetro exibe config.
Selecionar Todos os Itens de Configuração Quando selecionada, esta opção indica que todos os itens de configuração são incluídos na restauração do backup archive. Esta caixa de seleção é selecionada por padrão. Para limpar todos os itens de configuração, desmarque a caixa de seleção.
Restaurar Configuração Lista os itens de configuração a serem incluídos na restauração do backup archive. Todos os itens são selecionados por padrão. Para remover itens, é possível limpar as caixas de seleção para cada item que você deseja remover ou limpar a caixa de seleção
Selecionar Todos os Itens de Configuração.
Selecionar Todos os Itens de Dados Quando selecionada, esta opção indica que todos os itens de dados são incluídos na restauração do backup archive. Esta caixa de seleção é selecionada por padrão. Para limpar todos os itens de dados, limpe esta caixa de seleção.
Restaurar Dados Lista os itens de configuração a serem incluídos na restauração do backup archive. Todos os itens são limpos por padrão. Para restaurar itens de dados, é possível selecionar as caixas de seleção para cada item que você deseja restaurar.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique em Backup e Recuperação.
4. Selecione o archive que você deseja restaurar.
5. Clique em Restaurar.
6. Na janela Restaurar um Backup, configure os parâmetros.
7. Clique em Restaurar.
8. Pare as tabelas IP:
a. Utilizando o SSH, efetue login no host gerenciado como o usuário raiz.
b. Digite o comando service iptables stop.
c. Repita para todos os hosts gerenciados em sua implementação.
9. Na janela Restaurar um Backup, clique em Testar Acesso aos Hosts.
10. Após completar o teste para todos os hosts gerenciados, verifique se o status
na coluna Status de Acesso indica o status OK.
11. Se a coluna Status de Acesso indicar um status Nenhum Acesso para um
host, pare iptables novamente e, em seguida, clique em Testar Acesso ao Host novamente para tentar uma conexão.
12. Na janela Restaurar um Backup, configure os parâmetros.
13. Clique em Restaurar.
14. Clique em OK.
15. Clique em OK para efetuar login.
16. Escolha uma das seguintes opções:
v Se a interface com o usuário foi fechada durante o processo de restauração,
abra um navegador da web e efetue login no QRadar.
v Se a interface com o usuário não foi fechada, a janela de login será exibida.
Efetue login no QRadar.
17. Visualize os resultados do processo de restauração e siga as instruções para
resolver quaisquer erros.
18. Atualize a janela do navegador da web.
19. Na guia Admin, selecione Avançado Implementar Configuração Integral.
O que Fazer Depois
Após verificar que seus dados foram restaurados para seu sistema, você deve reaplicar RPMs para quaisquer DSMs, scanners de avaliação de vulnerabilidades (VA) ou protocolos de origem de log.
Se o backup archive se originou em um cluster HA, você deverá clicar em
Implementar Mudançaspara restaurar a configuração de cluster HA após a conclusão da restauração. Se a replicação de disco estiver ativada, o host secundário sincronizará imediatamente os dados depois que o sistema for
restaurado. Se o host secundário foi removido da implementação após um backup, o host secundário exibirá um status de falha na janela Gerenciamento de Sistema e Licença.
Restaurando Dados
É possível restaurar os dados em seu QRadar Console e hosts gerenciados a partir de arquivos de backup. A parte de dados dos arquivos de backup inclui
informações sobre todas as ofensas, incluindo informações de endereço IP de origem e de destino, dados de ativo, informações da categoria de evento, dados de vulnerabilidade, dados do evento e fluxo de dados.
Cada host gerenciado em sua implementação, incluindo o QRadar Console, cria todos os arquivos de backup no diretório /store/backup/. Seu sistema pode incluir uma montagem de /store/backup a partir de um serviço SAN ou NAS externo. Serviços externos fornecem retenção de dados offline, de longo prazo, que é comumente requerida para os regulamentos de conformidade, como PCI.
Restrição: Você deve restaurar o backup da configuração antes de restaurar o backup de dados.
Antes de Iniciar
Assegure-se de que as condições a seguir sejam atendidas:
v Se você estiver restaurando dados em um novo QRadar Console, o backup da
configuração será restaurado.
v Você conhece o local do host gerenciado no qual os dados são submetidos a
backup.
v Se sua implementação incluir um ponto de montagem separado para esse
volume, o diretório /store ou /store/ariel possuirá espaço suficiente para os dados que você deseja recuperar.
v Você conhece a data e hora para os dados que deseja recuperar.
Procedimento
1. Utilizando o SSH, efetue login no QRadar SIEM como o usuário raiz.
2. Acesse o diretório /store/backup.