In logs we trust | X·STAZE

HowTo #3 – Monitor EPS (EN)

February 21, 2024 - Reading time: 8 minutes

Hello, in this article we will discover how to monitor EPS (Event Per Second) of your QRadar infrastructure in a cool way. Indeed, if you want a healthy QRadar you need to monitor and have a good comprehension of EPS variation. In fact, many peak of logs can result into instabilities of your QRadar and good collection in general. In a more cybersecurity point of view, those peak can be a sign of malicious activities from third parties.

You will discover how to get a monitoring dashboard and how to use it. After that, you will be able to customize the dashboard to adapt it for your environment and every specificities.

You can retrieve the dashboard in my github repository here : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json. Do not hesitate to leave a ⭐.

Note: You have to install Pulse application to import this dashboard.

...

HowTo #2 : Catch webhooks in QRadar (EN)

October 11, 2023 - Reading time: 8 minutes

Hello everyone, today we are going to see how to collect in QRadar elements sent by external applications via HTTP protocol. Indeed, many applications offer this feature and it’s often interesting in terms of security and supervision in general to collect this type of information.

For this article, we are going to use the BookStack web application as an example but we could test on any application we want, or even on our own developped application!

...

HowTo #2 : Collecter des webhooks dans QRadar (FR)

September 27, 2023 - Reading time: 8 minutes

Bonjour à tous, nous allons voir dans cet article comment collecter dans QRadar des éléments qui sont envoyés par des applications externes via le protocole HTTP. En effet, beaucoup d’applications proposent cette option et il est souvent intéressant d’un point de vue sécurité et supervision de collecter ces informations.

Dans cet article nous allons utiliser l’application BookStack comme application web, vous pouvez utiliser ce que vous souhaitez, même créer une application de zéro 😅

...

HowTo #1 : Manipulation of Windows log files (EN)

September 13, 2023 - Reading time: 8 minutes

Hello everyone, here we are, the first article in a series where I will present you small tips to save time everyday on cybersecurity subjects. Today, we will see how to easily manipulate Windows logs with Powershell.

If you have already used the event viewer on Windows, you may have noticed several limitations. First, event viewer can be very slow when you try opening big files with a lot of events. Second, you cannot properly do advanced filtering such as regex.

So, that’s why I have decided to try out Powershell, which includes cmdlet specially for Windows logs file. Furthermore, one of the positive points of using Powershell is automation and scripting.

...

HowTo #1 : Manipulation des fichiers de logs en Windows (FR)

August 30, 2023 - Reading time: 9 minutes

Bonjour à tous, nous voici dans le premier article de présentation de petits tips pour gagner du temps au quotidien sur des sujets divers et variés de la cybersécurité. Nous allons voir ici comment manipuler facilement les logs Windows via le Powershell.

En effet, si vous avez déjà visionné ces logs via l’observateur d’évènements Windows, vous vous êtes rendus compte que ce dernier avait quelques limites quand il faisait face à de gros fichiers ou quand vous souhaitiez faire des filtres plus complexes.

C’est donc pour cela que j’ai décidé de passer en Powershell qui embarque nativement des cmdlet faites pour la compréhension de ces fichiers. De plus, le point positif d’utiliser le Powershell est que l’automatisation peut être encore plus facile.

...

Le dev dans QRadar #1 – Ma première application

August 16, 2023 - Reading time: 15 minutes

Nous allons voir aujourd’hui comment créer votre première application dans QRadar. Nous avions vu précédemment comment installer tous les outils nécessaires pour ce développement, passons maintenant au vif du sujet.

Dans cet article, vous allez voir comment développer les premières briques d’une application dans QRadar, n’étant en aucun cas un développeur aguerri, le code sera sommaire et assez basique, l’idée étant de vous présenter les bases ainsi que comment débuguer si cela ne fonctionne pas.

Pour ce premier exemple nous allons faire une application qui va nous apporter des informations supplémentaires au quotidien dans QRadar. Plus particulièrement, nous allons afficher une infobulle lorsqu’un utilisateur va survoler la valeur d’un port sur des logs. En effet, il n’est pas naturel de connaître la fonctionnalité de tous les ports en informatique. Qui plus est, nous allons être en mesure d’afficher des données personnalisées pour des ports métiers qui sont spécifiques à un contexte client par exemple.

...