Développer votre première application QRadar
Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles :
- Log Source Management
- Extension Center
- Pulse
- …
Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels sur les logiciels, la communauté est très présente et, avec l’aide d’outils mis à disposition par IBM, développe en parallèle des contenus rendant encore plus agréable l’utilisation de QRadar.
Sans rentrer dans les détails de la partie développement dans cet article, nous allons voir comment il vous est possible de commencer à mettre les mains dans cet univers pour avoir, à termes, vos propres applications.
2. Installation de QRadar App Editor
Premièrement, avant de pouvoir toucher à votre première application test, il va falloir… installer une application. Cette application va être votre “caisse à outils” pour la suite, vous verrez qu’elle est simple d’utilisation et que, sauf gros projet, vous n’aurez pas besoin d’autre chose pour développer.
Avant de passer à l’installation, il faut savoir que QRadar App Editor nécessite “un peu” plus de mémoire et si on prend l’exemple l’instance Community Edition, il faut lui allouer à minima 10 Go de RAM et n’avoir aucune autre application d’installée.
Une fois votre environnement prêt, il faut télécharger l’application via le portail Exchange IBM. Voici le lien direct pour l’application : https://exchange.xforce.ibmcloud.com/hub/extension/5d0f3f37cc5c4d16ccafe9d40d8dffe5.
Ensuite, il faut aller sur l’onglet d’Extensions Management de votre instance QRadar : https://<QRADAR_FQDN>/console/do/qradar/extensionsManagementConsole et effectuer l’installation comme ceci :
Après quelques minutes l’installation va se terminer et vous retrouverez l’application dans l’onglet “Admin”.
3. Présentation de l’extension
Maintenant que nous avons l’application installée, nous allons faire un petit tour pour vous présenter les différentes options et ainsi que vous puissiez naviguer en autonomie et commencer à développer vos premières applications.
Ceci sont les menus par défaut :
- “New App” : va vous permettre comme le nom l’indique de créer une application depuis zéro ou via un template déjà préconstruit pour vous
- “Existing App” : offre la possibilité de modifier/tester une application exportée depuis une autre instance ou téléchargée
- “Resources” : contient quelques liens utiles pour comprendre le fonctionnement et le développement d’applications
En complément aux liens, je vous mets dans la partie sources, un lien contenant une documentation très complète sur le sujet faite par IBM.
Nous allons pour conclure, instancier une application template. Pour ce faire, nous créons l’application comme ceci :
Après, un bandeau vert va apparaître en bas de cette page, il va y avoir 4 étapes qui vont, après l’exécution sans erreur de ces dernières, permettre l’instanciation de l’application “Hello World – Custom Tab”.
Pour valider le bon fonctionnement, il va tout simplement falloir rafraîchir votre GUI QRadar et un nouvel onglet va être présent dans lequel un texte d’exemple va être écrit.
4. Conclusion
En conclusion, j’espère que cet article vous a donné envie de vous lancer dans le développement d’applications personnalisées dans QRadar. J’ai personnellement plusieurs projets d’applications que je vous partagerai prochainement sur mon Github.
Je n’ai pas étendu la présentation sur la partie code des applications car la documentation sur le sujet est déjà très précise et il vous faudra la lire avant de vous lancer pleinement pour éviter de vous retrouvez bloquer. Néanmoins, si cela vous plaît je pourrai faire un article plus complet sur le sujet.
5. Bibliographie
- Documentation IBM sur la création d’application : https://ibmsecuritydocs.github.io/qradar_appfw_v2/docs/