Projet #4 – Installation d'un AppHost pour QRadar CE 7.5

Dans cet article, nous allons voir comment mettre en place l'appliance App Host de QRadar qui permet d'héberger les applications de QRadar sur une seule et même machine. L'objectif est de segmenter les rôles dans l'environnement de QRadar et ainsi d'optimiser les ressources. En effet, dans un environnement QRadar CE, la console va souvent être installée en All-In-One (AIO). Or, ce type d'installation implique que cette appliance fasse tout, de la collecte, au traitement des évènements mais également au maintien de tout l'environnement GUI de QRadar. Et c'est sur ce dernier point que nous insistons dans cet article puisque seulement 10% de la mémoire (RAM) sont alloués pour les applications, ce qui est peu quand on sait que certaines applications comme l'UBA (User Behavior Analytics) ont besoin de plusieurs gigas pour fonctionner correctement. D'un autre côté une appliance dédiée telle que l'App Host alloue 80% de sa mémoire aux applications puisqu'elle est dédiée à cela, donc il y a un autre effet bénéfique de cette segmentation qui est la certitude de ne pas impacter la détection et la collecte des évènements, même si une application consume toute la mémoire et bug.

...

Projet #2 – Installation de QRadar CE 7.5

IBM a sorti il y a quelques mois une toute nouvelle mouture de sa version communautaire de QRadar, permettant à ses utilisateurs de passer de la version 7.3.3 à la 7.5. Ces changements permettent une utilisation plus proche de la réalité pour ces utilisateurs étant donné la dépréciation de l'ancienne version. En effet, de plus en plus d'actions étaient devenues impossibles, rendant son utilisation anecdotique.

...

Projet #1 – Supervision Android

Bonjour à tous, nous allons voir ensemble comment mettre en place une collecte du trafic réseau de vos appareils Android. Le but est de vous montrer les capacités des différents blocs qui seront utilisés dans l’architecture de collecte pour que vous puissiez les ajuster selon vos besoins.

Rentrons maintenant dans le cœur du sujet, les appareils portables tel que les smartphones sont de plus en plus utilisés pour les tâches du quotidien mais paradoxalement ce sont les derniers pour lesquels la supervision “classique” est mise en place. En effet, là où vous pouvez retrouver des sondes de tous types sur PC, très peu d’applications fournissent un travail similaire. Bien entendu, les acteurs majeurs, tel que Microsoft, Google, ont pris les devants avec des solutions cloud, mais le plus souvent ces solutions sont axées aux professionnels et vous n’avez que très peu de visibilité sur ce qui est fait.

C’est donc pour cela que j’ai creusé le sujet pour voir ce qu’il était possible de faire sur ces petits appareils à la fois si puissants mais tellement exposés. Etant donné que la plupart des smartphones sont majoritairement basés sur un noyau Linux, il est donc normal de penser que ce que l’on peut faire sur un serveur Linux peut être répliqué sur un smartphone. Seulement, nous faisons face ici une autre problématique : le rootage de son téléphone, puisqu’avec tous les droits sur son appareil il est bien entendu possible de faire tout ce que l’on souhaite avec. Seulement l’objectif ici est de déformer au minimum la configuration ainsi que l’intégrité du téléphone.

...

HowTo #5 – Modifying QRadar configuration file (EN)

HowTo #5 – Modifier le fichier de configuration QRadar (FR)

Bonjour à tous, nous allons découvrir aujourd’hui comment modifier le fichier de configuration de QRadar et ainsi activer ou modifier des options cachées. Ces options sont le plus souvent à utiliser dans des environnements de test car leurs modifications peut avoir un impact fort sur votre infrastructure.

Attention : Je ne suis en aucun cas responsable d’un dysfonctionnement qui surviendrait suite à des actions décrites sur cette page. C’est donc pour cela que je vous invite à effectuer des tests au préalable et/ou faire des sauvegardes des fichiers modifiés avant de mettre en production des changements.

...

HowTo #4 – Maîtriser les subqueries AQL (FR)