Utilizando a Ferramenta de Gerenciamento de Conteúdo (CMT), você pode exportar o conteúdo de segurança e de configuração do IBM Security QRadar em um formato externo, portátil.
é possível importar o conteúdo exportado para o que você exportou a partir do mesmo sistema ou em outro sistema. QRadar SIEM
Essa nota técnica é destinada a uso pelo Suporte ao Cliente IBM, Serviços Professional e selecione clientes com conhecimento avançado do QRadar SIEM . Você pode exportar e importar o seguinte conteúdo:
v Painéis
v Relatórios
v Grupos
v Procura Salva
v Coletas de Dados de Referência, incluindo Sets Reference
v Customizadas e Propriedades Calculado
v Regras Customizadas e Building Blocks)
v Fonte de Log
– tipos de Origem de Log – Efetue de Origem categorias – extensões de origem de log – Grupos de Fontes de Log
v Grupos de Regras/Blocos de Construção
v Grupos de Relatórios
v Pesquisar Grupos
– Grupos de Procura de Evento – Grupos de Procura de Fluxo
Você não pode utilizar CMT para importar e exportar critérios de procura salvos para Ofensa, Ativos, e Vulnerabilidade.
Os seguintes parâmetros sempre se comportam da mesma, independentemente do valor do parâmetro --ação que você utiliza.
Tabela 62. Parâmetros para CMT
Parâmetro Descrição
-h [--help] ACTIONTYPE Exibe ajuda que é específico para a opção ACTIONTYPE ou mensagem de ajuda geral se nenhuma opção ACTIONTYPE está especificado.
-q [--quiet] Nenhuma saída aparece na tela quando CMT é executado.
-v [--verbose] Utilizar nível de verbose quando você efetuar login para visualizar informações CMT padrão no nível da.
-d [--debug] Utilize o nível de depuração quando você efetuar login para ver informações mais detalhadas, como logs para suporte ao cliente.
Se nenhuma opção ACTIONTYPE válido estiver disponível, o CMT exibe ajuda geral. Se o ACTIONTYPE é válido, a CMT exibe a ajuda específicos da ação.
Ao importar e exportar conteúdo customizado, a CMT verificações de conteúdo dependências e, em seguida, inclui o conteúdo associado na importação ou exportação. Por exemplo, quando o CMT detecta que um relatório customizado está associado a procuras salvas customizadas, as procuras salvas customizadas também são exportadas.
Exportando todos os conteúdo customizado
Exportar todo o conteúdo customizado em uma única ação com a Ferramenta de Gerenciamento de Conteúdo (CMT).
Procedimento
1. Utilizando o SSH, efetue login no IBM Security QRadar como o usuário raiz.
2. Vá para /opt/qradar/bin diretório e exportar o conteúdo:
/opt/qradar/bin cd
v Para exportar todo o conteúdo que exclui as referências de acumulação de
dados, digite o seguinte comando:
./contentManagement.pl -a exportar todos os -c
v Para exportar todo o conteúdo que inclui dados acumulados, digite o
seguinte comando:
./contentManagement.pl -o [directory_path] -a exportar -c todos -g
Se nenhum diretório de saída for especificado quando você utiliza a opção -o , o conteúdo é exportado para o diretório atual do usuário. Se o diretório especificado não existir, ele será criado.
O conteúdo exportado é compactado em um arquivo .tar.gz e exportados para o diretório especificado. O exemplo a seguir mostra um nome de arquivo .tar.gz : report-ContentExport-20120419101803.tar.gz. Você pode manualmente alterar o nome do arquivo exportado. A tabela a seguir descreve os parâmetros utilizados nos comandos para exportar todos os conteúdo customizado. Tabela 63. parâmetros de Exportar (todo o conteúdo customizado)
Parâmetro Descrição
-a export A ação a ser executada.
-o PATH O diretório no qual o conteúdo é gravado. Se o diretório não for especificado, o diretório atual do usuário será utilizado. -g Incluir dados acumulados na exportação.
Exportando todas as conteúdo customizado de um tipo específico
Exportar todo o conteúdo customizado de um tipo específico em uma ação, em vez de exportar itens de conteúdo individualmente.Procedimento
1. Utilizando o SSH, efetue login no IBM Security QRadar como o usuário raiz.
2. Vá para /opt/qradar/bin e exportar o conteúdo de um tipo específico :
v Para exportar todo o conteúdo customizado de um tipo específico, digite o
seguinte comando:
./contentManagement.pl --action export --content-type Content_Type --id todos
v Para exportar todo o conteúdo customizado que inclui dados acumulados,
digite o seguinte comando:
./contentManagement.pl --action export --content-type Content_Type --id todos ---visualização global
A tabela a seguir descreve os parâmetros em comandos para exportar o conteúdo customizado de um tipo específico.
Tabela 64. Parâmetros de Exportação (de conteúdo customizado de um tipo específico)
Parâmetro Descrição
-c CONTENT_TYPE O tipo de conteúdo que você deseja importar ou exportar. Você pode digitar o tipo de conteúdo como uma cadeia de texto ou digite o identificador numérico correspondente. Consulte Tipos de conteúdo.
-o PATH O diretório no qual o conteúdo é gravado. Se não for especificado o diretório atual do usuário será utilizado.
-i O identificador de uma instância específica de conteúdo customizado, como um único relatório ou um conjunto de referência único. Especifique Todos para exportar todo o conteúdo da condição de tipo de conteúdo.
-g Incluir dados acumulados na exportação.
Tabela 65. Tipos de conteúdo
Tipo de Conteúdo Customizado Cadeia de Texto Identificador numérico
Todo o conteúdo personalizado todas as n/a lista de conteúdo customizado pacote n/a Dashboard Painel 4 Relatórios relatório 10 Pesquisas Salvas search 1 FGroup1 fgroup 12
FGroup Digite fgrouptype 13 Custom Rules customrule 3 Propriedades customizadas customproperty 6 Fonte de Log sensordevice 17 Tipo de Origem de Log sensordevicetype 24 Categoria de Origem de Log sensordevicecategory 18 Extensões de Fonte de Log deviceextension 16 Coleções dos dados de referência reverencedata 28
1Um FGroup representa um grupo de conteúdo dentro de QRadar SIEM, como um grupo de origens de log, grupo de relatórios, ou
grupo de procura. Esses grupos podem ser grupos de procura de eventos de atividade de log, fluxo de grupos de procura, grupos de crime, grupos de recursos, grupos de relatórios, grupos de procura de gerenciamento de vulnerabilidades, ou grupos de fonte de log.
O pacote configurável de exportação contém mais itens de dados que o usuário selecionado, porque cada item das exportações com todas as dependências. O conteúdo exportado é compactado em um arquivo .tar.gz e exportados para o diretório especificado. É possível também alterar manualmente o nome do arquivo exportado.
Procurando Conteúdo
Utilize o comando procura para consultar seu conteúdo personalizado para os valores de cadeia sejam exclusivos. Você precisará destas informações quando você exporta uma instância específica de conteúdo customizado como um único
relatório ou um conjunto de referência única, ou se um pacote contiver diferentes content-type IDs.
Procedimento
1. Utilizando o SSH, efetue login no IBM Security QRadar como o usuário raiz.
2. Vá para /opt/qradar/bin e procure conteúdo customizado :
./contentManagement.pl procura -a -c content-type -r regex
Exemplo:
# /opt/qradar/bin/contentManagement.pl --action search --content-type customrule --regex "PCI.*" /opt/qradar/bin/contentManagement.pl --action search --content-type dashboard --regex "Overview.*"
A tabela a seguir descreve os parâmetros utilizados no Content Management Tool (CMT) de comandos.
Tabela 66. Parâmetros de Procura
Parâmetro Descrição
-c ou --content-type content-type A cadeia de texto ou identificador numérico do tipo de conteúdo para exportação. O valor pode ser qualquer coisa a partir da tabela de tipo de conteúdo.
-r ou --regex regex A expressão regular (regex) é utilizado para procurar um content-type. Todo o conteúdo correspondentes é exibida.
Tabela 67. Os tipos de conteúdo CMT
tipo de conteúdo customizado Sequência de texto Identificador numérico
Dashboard console 4 Relatórios relatório 10 Pesquisas Salvas pesquisar 1
FGroup fgroup 12
FGroup Digite fgrouptype 13 Custom Rules customrule 3 Propriedades customizadas customproperty 6 Fonte de Log sensordevice 17 Tipo de Origem de Log sensordevicetype 24 Categoria de Origem de Log sensordevicecategory 18 Extensões de Fonte de Log deviceextension 16 Coleções dos dados de referência referencedata 28
Exportando vários itens de conteúdo personalizado
Exportar vários itens de conteúdo personalizado na mesma ação, como regras customizadas, com a Ferramenta de Gerenciamento de Conteúdo (CMT).
Procedimento
1. Utilizando o SSH, efetue login no IBM Security QRadar como o usuário raiz.
2. Crie um arquivo do pacote, incluindo todos os itens requeridos conteúdo
customizado. Cada item de conteúdo customizado é composto de um tipo de conteúdo de exportação, seguido por uma lista separada por vírgula de IDs.
Exemplo: Um usuário deseja exportar dois painéis, que possuem ID 5 e ID 7, todas as regras customizadas, e um grupo. O arquivo que está armazenado no diretório /root/myPackage contém as seguintes entradas:
dashbord, 5,7 customrule,tudo fgroup, 77
3. Vá para /opt/qradar/bin, e exportar e salvar todos os itens:
v Se você desejar exportar todos os itens no arquivo /root/myPackage e salvar
o conteúdo exportado no diretório atual, digite o seguinte comando:
./contentManagement.pl -f /root/myPackage -a -c pacote de exportação
v Se você desejar exportar todos os itens no arquivo /root/myPackage , que
inclui dados acumulados e salvar a saída no diretório /store/cmt/exports , digite o seguinte comando:
./contentManagement.pl --action export --content-type package --file /root/myPackage --output-directory /store/cmt/exports --global-view
O conteúdo exportado é compactado para um .tar.gz e exportado no diretório especificado, ou o diretório atual do usuário. Você pode manualmente alterar o nome do arquivo exportado.
Depois de utilizar um arquivo de pacote, um modelo de pacote é gravado em /store/cmt/packages. Um arquivo de pacote é reutilizável, e pode ser
Tabela 68. Exportar parâmetros (customizados vários itens de conteúdo)
Parâmetro Descrição
-a [--ação] exportar A ação a ser executada.
-c [--content-type] pacote O tipo de conteúdo a ser exportado. A opção "pacote" é o necessário de tipo de conteúdo. -f [--file] FILE O caminho do arquivo e o nome do arquivo, como /root/myPackage do arquivo do pacote, que
contém itens de conteúdo customizado. Insira um arquivo para cada linha. O tipo de exportação é seguido por uma lista de um ou mais IDs.
-o [-output-directory] PATH O diretório no qual o conteúdo é gravado. Se o diretório não for especificado, o diretório atual do usuário será utilizado.
Exportando um item de conteúdo único customizado
Exportar um único item de conteúdo customizado, como uma regra customizada ou um critério de procura customizado.
Procedimento
1. Utilizando o SSH, efetue login no IBM Security QRadar como o usuário raiz.
2. Vá para o /opt/qradar/bin cd e exportar um item de conteúdo customizada
única :
v Para exportar um item de conteúdo customizada única que exclui dados
acumulados, digite o seguinte comando:
./contentManagement.pl -a export -o <directory_path> -c <content_type> -i string_ID_value
v Para exportar um item de conteúdo customizado único que inclui dados
acumulados, digite o seguinte comando:
./contentManagement.pl -a export -o <directory_path> -c <content_type> -i string_ID_value -g
Tabela 69. Parâmetros de Exportação (item de conteúdo único)
Parâmetros Descrição
-o directory_path O diretório para o qual você deseja exportar o conteúdo. Se um diretório de saída não for especificado, o conteúdo é exportado para o diretório atual do usuário.
-c content_type O tipo de conteúdo que você deseja exportar. Você pode digitar o tipo de conteúdo como uma cadeia de texto ou digite o identificador numérico correspondente. Consulte Tipos de Conteúdo.
-a Especifica se você deseja exportar o conteúdo customizado especificado.
-i string_ID_value O identificador da instância específica de conteúdo customizado, como um único relatório ou um único conjunto de referências. Você pode localizar o string_ID_value , consultar o banco de dados postgreSQL com a opção de procura CMT.
O conteúdo exportado é compactado em um arquivo .tar.gz e exportado para o diretório especificado. Você pode manualmente alterar o nome do arquivo exportado.
Importando conteúdo customizado
Você pode importar conteúdo customizado exportadas no mesmo sistema que você exportou a partir do IBM Security QRadar SIEM ou outro sistema QRadar SIEM.
Antes de Iniciar
Se você deseja importar o conteúdo em outro sistema QRadar SIEM , você deve transferir o arquivo de saída para o outro sistema antes de continuar com este procedimento.
Sobre Esta Tarefa
O Content Management Tool (CMT) converte arquivos importados para o local QRadar SIEM versão, se necessário. A ação importar importa o conteúdo que ainda não esteja no sistema. Ao importar pacotes de conteúdo que possuem origens de log, confirme se os RPMs DSM e o protocolo são instalados e atual no sistema de destino.
Nota: Não iniciar várias importações no mesmo sistema ao mesmo tempo.
Procedimento
1. Utilizando o SSH, efetue login no QRadar SIEM como o usuário raiz.
2. Acesse o diretório no qual você exportou o arquivo de conteúdo.
cd directory_name
3. Para listar os arquivos no diretório, digite o seguinte comando:
ls-al
A saída deste comando é semelhante ao exemplo a seguir :
raiz de drwxr-xr-x 16:39 18/04 fgroup-ContentExport-20120418163707 24576 raiz do 2 -rw-r-r- 1 root root 324596 18/04 16:39 fgroup-ContentExport-20120418163707.tar.gz raiz de drwxr-xr-x 16:56 18/04 report-ContentExport-20120418165529 4096 raiz do 2 -rw-r-r- 1 root root 42438 18/04 16:56 report-ContentExport-20120418165529.tar.gz raiz de drwxr-xr-x 10:18 19/04 report-ContentExport-20120419101803 4096 raiz do 2 -rw-r-r- 1 root root 3295 19/04 10:18 report-ContentExport-20120419101803.tar.gz
Neste exemplo, report-ContentExport-20120419101803.tar.gz é um nome do arquivo de exportação.
Se você descompactar o arquivo .tar.gz manualmente enquanto o arquivo está no diretório de exportação padrão ou customizado, você deve mover os arquivos e diretórios extraídos para outro local antes de importar o arquivo tar.gz.
4. Digite o comando a seguir:
/opt/qradar/bin/contentManagement.pl -a importar -f export_file_path
Exemplo:
/opt/qradar/bin/contentManagement.pl --action import --arquivo fgroup-ContentExport-20120418163707.tar.gz
Tabela 70. Parâmetros de Importação
Parâmetro Descrição
-a A ação a ser executada.
-f export_file_path O arquivo que contém os dados de conteúdo exportado. Este arquivo é um arquivo compactado tar.gz, ou um arquivo que contém a representação XML do conteúdo exportado. Se os arquivos estão descritos no arquivo representação XML, relatório ou logotipo, ou ambos, os arquivos também deve aparecer em um subdiretório. Utilize o caminho incluído na representação XML. A opção de arquivo é um caminho absoluto ou um caminho relativo para o diretório de usuários atual.
CMT utiliza os seguintes parâmetros para confirmar que importa o registro correto.
Tabela 71. Parâmetros de Importação
tipo de conteúdo customizado chave de Exclusividade
Dashboard Nome e proprietário
Relatórios N/A, os relatórios são sempre exclusivos customviewparams – Procura Salva ID
Grupo (FGroup) Nome e parent_id Tipo de Grupo (tipo de FGroup) Nome
Tabela 71. Parâmetros de Importação (continuação)
tipo de conteúdo customizado chave de Exclusividade
Regra Customizada UUID Propriedades personalizadas propertyname
Fonte de Log devicename e eccomponentid Tipo de Origem de Log devicetypename
Categoria de Origem de Log ID extensões de origem de log Nome Dados de referência ID
v Se a lista de usuários no sistema de origem é diferente da lista de usuários
no sistema de destino, CMT inclui todos os dados para o sistema de destino.
v CMT exibe o seguinte erro quando você importar e atualizar Referência de
Dados: violação de restrição de chave estrangeira. Este erro é causado por dados ativamente coletado durante a exportação de dados de referência. Para evitar esse problema, execute o processo de exportação quando nenhum dado de referência está sendo coletada.
Atualizando Conteúdo
Utilize a ação de atualização para atualizar o conteúdo existente, e incluir o novo conteúdo para o sistema.
Antes de Iniciar
Quando você importa pacotes configuráveis de conteúdo que tenham origens de log, confirme se os RPMs de DSM e de Protocolo estão instalados e estão
atualmente no sistema de destino.
Procedimento
1. Utilizando o SSH, efetue login no IBM Security QRadar como o usuário raiz.
2. Para atualizar o arquivo exportado, vá para o diretório em que você exportou o
arquivo de conteúdo e digite o seguinte comando:
/opt/qradar/bin/contentManagement.pl update -a -f export_file_path
Exemplo:
/opt/qradar/bin/contentManagement.pl
update -a --arquivo fgroup-ContentExport-20120418163707.tar.gz
Tabela 72. Atualizar parâmetros
Parâmetro Descrição
-aou --action update Altera as informações no sistema.
-fou --file O arquivo tar.gz compactado que contém os dados de conteúdo exportados.
A opção de arquivo pode ser um caminho absoluto ou relativo para o diretório atual do usuário.
detalhes da Ferramenta de Gerenciamento de Conteúdo de auditoria
Utilize os eventos de auditoria gerados pela ferramenta de gerenciamento de conteúdo (CMT) para confirmar o conteúdo correto exportações e importações.detalhes de auditoria para todas as ações
A tabela a seguir lista eventos de auditoria que são criados para exportar, importar, procurar e atualizar ações. A saída de auditoria contém informações para os eventos de auditoria a seguir :
v Usuário de shell
v IP Remoto
v Lista de argumentos que são transmitidos como a carga útil do evento
Os campos de evento normalizado para a auditoria são Source IP = Remote IP = Usuário Shell do Usuário.
Tabela 73. Detalhes de auditoria
Ação/ nome do evento de auditoria Nome do Evento Descrição de evento
ExportInitiated Exportar Conteúdo Iniciado O usuário iniciou conteúdo de exportação ExportComplete
Nota:Também inclui lista de argumentos que são exportadas na saída de auditoria
Conteúdo de Exportação Concluída exportação de conteúdo está concluída
ImportInitiated Conteúdo de Importação Iniciado importar conteúdo iniciada pelo usuário ImportComplete Importação Concluída Conteúdo importação de conteúdo está concluída UpdateInitiated Início de Atualização de Conteúdo atualizar conteúdo iniciada pelo usuário UpdateComplete Conteúdo de Atualização Concluída atualização de conteúdo está concluída SearchInitiated Iniciado Content Search O usuário iniciou conteúdo de procura
eventos de auditoria para ações de importação e atualização
Os eventos de auditoria a seguir são gerados quando você importa ou atualizar o conteúdo.
Tabela 74. os eventos de auditoria de importação e atualização
Ação / nome do evento de auditoria Nome do Evento detalhes de Saída, representação de cadeia
ArielProperty ArielPropertyAdded o que foi incluído ArielProperty ArielPropertyModified o que foi modificado QidMap QidMapEntryAdded o que foi incluído QidMap QidMapEntryModified o que foi modificado DeviceExtension DeviceExtensionAdded o que foi incluído DeviceExtension DeviceExtensionModified o que foi modificado DeviceExtension DeviceExtension
AssociationModified
o que foi modificado
DeviceExtension DeviceExtension AssociationModified
o que foi modificado
Sensordevice SensorDeviceAdded o que foi incluído Sensordevice
SensorDeviceModified
o que foi modificado ReferenceData ReferenceDataCreated o que foi incluído ReferenceData ReferenceDataUpdated o que foi atualizado Fgroup FgroupAdded o que foi incluído Fgroup FgroupModified o que foi modificado
Tabela 74. os eventos de auditoria de importação e atualização (continuação)
Ação / nome do evento de auditoria Nome do Evento detalhes de Saída, representação de cadeia
Fgroup FgroupItemsAdded o que foi incluído CRE RuleAdded o que foi incluído CRE
RuleModified o que foi modificado Retenção RetentionSettingsUpdated o que foi modificado Painel DashboardAdded o que foi incluído Relatórios ReportAdded o que foi incluído Relatórios ReportModified o que foi modificado