1. Introduction
Bonjour à tous, nous allons découvrir aujourd’hui comment superviser vos EPS (Events Per Second) sur votre infrastructure QRadar de manière ludique. En effet, une bonne maîtrise et compréhension des variations d’EPS est la base d’un QRadar sain puisque des répétitions non maîtrisées de pics de logs peuvent amener à des instabilités. De plus des pics ont peut-être comme source des tiers malveillants visant vos équipements.
Vous allez découvrir comment obtenir un tableau de bord de monitoring de ces informations mais également comment l’utiliser. Par la suite, vous serez libre de le personnaliser pour qu’il convienne à votre environnement et toutes les spécificités qu’il peut avoir.
Vous pouvez dès à présent retrouver ce tableau de bord sur mon Github : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json. N’hésitez pas à y laisser une ⭐.
Remarque : Il est nécessaire d’avoir l’application Pulse pour faire fonctionner le tableau de bord.
2. HowTo
Sans plus tarder, voici à quoi ressemble le tableau de bord :
- Exemple 1
- Exemple 2
Le tableau de bord se compose de 4 graphiques, de gauche à droite et de haut en bas, voici leur description :
- « EPS Total and Coalesced timeline » : permet de visualiser temporellement l’évolution des EPS sur l’ensemble de vos log sources. Il comporte 2 jeux de données, un pour les évènements bruts et un autre pour les évènements « coalesced » c’est-à-dire les évènements bruts qui ont été fusionnés entre eux. Enfin, il y a des niveaux de seuil qui permettent de symboliser 50%, 75% et 100% de la licence qui est présente.
- « EPS Total and Coalesced by Log Sources timeline » : permet de visualiser temporellement l’évolution des EPS totaux en les regroupant par log sources.
- « EPS Peaks analysis timeline » : permet de visualiser temporellement les différents pics d’EPS. Ces pics sont affichés en fonction des paramètres « Maximum EPS » et « Percentage of maximum EPS » du tableau de bord. La première variable permet de définir la première condition qui est le nombre d’EPS minimal sur l’ensemble des log sources. Ensuite, la deuxième variable permet de définir le nombre d’EPS minimal d’une log source par rapport à la valeur définie dans la première variable. Cette deuxième variable se définit donc en pourcentage.
- « EPS Peak analysis » : permet de visualiser, pour chacun des points dans le graphique précédent, le rapport entre les évènements bruts et les évènements « coalesced ».
QRadar: How does coalescing work in QRadar?
[…]
Event coalescing starts after three events have been found with matching properties within a 10 second window. Additional events that occur within the 10 second period are coalesced together, with a count of the events noted. For each record containing coalesced events, only the payload of the first coalesced event is retained.
[…]
https://www.ibm.com/support/pages/qradar-how-does-coalescing-work-qradar
Prenons maintenant comme exemple la deuxième capture et analysons la :
- On identifie un pic d’évènement entre 15h15 et 15h20 qui dépasse les 75% d’EPS autorisé par notre licence. De plus, on constate que la majorité des évènements n’ont pas pu être fusionnés par QRadar.
- En pivotant sur le deuxième graphique aux mêmes horaires, nous sommes en mesure d’identifier la log source qui a généré ce pic d’évènements.
- En regardant sur l’histogramme décrivant la répartition des évènements bruts et ceux fusionnés, nous avons le même constat qu’au début, à savoir qu’une grande partie des évènements n’ont pas été fusionnés par QRadar.
- En pivotant avec la date, nous pouvons retrouver la log source qui est à l’origine du pic
Remarque : Les 2 graphiques du bas ne sont pas redondant puisqu’ils permettent un filtrage plus fin sur les pics que l’on souhaite mettre en exergue grâce aux variables. En effet, ces graphiques n’ont pas pour objectif de ne superviser que les pics d’évènements dépassant la licence.
Avant de passer à la conclusion, voici plusieurs axes de personnalisation que vous pouvez apportez à ce tableau de bord :
- Modifier la fenêtre temporel (par défaut = 12 heures)
- Modifier les seuils de licences dans le premier graphique (par défaut = 50 EPS vaut 100%)
- Modifier l’échantillon des log sources que l’on souhaite superviser (par défaut = toutes les log sources sont prises)
Toutes ces modifications sont à faire dans les recherches AQL des graphiques.
3. Conclusion
Nous voici à la conclusion de cet article. J’espère que cette présentation vous a permis d’élargir ou d’améliorer votre supervision. N’hésitez pas à me communiquer d’éventuelles améliorations que vous pensez intéressantes à avoir. N’hésitez pas également à dire si vous rencontrez des difficultés à installer ce tableau de bord.
4. Bibliographie
- Documentation IBM sur les évènements « coalesced » : https://www.ibm.com/support/pages/qradar-how-does-coalescing-work-qradar
- Lien de téléchargement du tableau de bord : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json
Merci d’avoir suivi ce petit tuto, en espérant que cela vous ait été utile. N’hésitez pas à me communiquer vos ressentis, tips…etc via le formulaire ci-dessous.