Cover Image

Développer votre première application QRadar

- Reading time: 8 minutes

Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles :

  • Log Source Management
  • Extension Center
  • Pulse

Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels sur les logiciels, la communauté est très présente et, avec l’aide d’outils mis à disposition par IBM, développe en parallèle des contenus rendant encore plus agréable l’utilisation de QRadar.

Sans rentrer dans les détails de la partie développement dans cet article, nous allons voir comment il vous est possible de commencer à mettre les mains dans cet univers pour avoir, à termes, vos propres applications.

...

Cover Image

Tips : Supervision du firewall Windows

- Reading time: 13 minutes

Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il n’y en a pas.

Cette mise en place va se faire en 2 parties, dans un premier temps nous allons activer le logging sur la machine Windows, ensuite nous irons configurer la partie QRadar pour que tout fonctionne et soit compris.

Vous verrez dans la partie Mise en place côté QRadar que nous utilisons un WinCollect pour récupérer les événements de l’équipement Windows. Je ne vais pas revenir sur l’installation de ce dernier, pour cela je vous renvoie vers mon article sur les collectes de base dans QRadar : Comment surveiller vos équipements.

...

Cover Image

Tips : Supervision du firewall Linux

- Reading time: 13 minutes

Bonjour à tous, dans cet article nous allons voir comment superviser les logs réseaux du logiciel présent sur le distribution Linux, à savoir “iptables”. En effet, il est très important d’avoir une visibilité sur les flux réseaux qui arrivent et qui sortent de vos équipements. D’un point de vue sécurité, cela permet d’identifier des communications vers des serveurs avec une mauvaise réputation ou encore d’être en mesure de détecter une machine qui pourrait scanner votre serveur. D’un autre côté, cela peut également servir à des fins de débug.

Vous allez au travers de cet article apprendre comment mettre en place cette collecte mais également comme faire en sorte que ce qui arrive dans QRadar soit correctement compris et que cela puisse matcher avec vos règles de détection.

...

Cover Image

Collecte de logs Synology #3 : Création de règles de détection

- Reading time: 12 minutes

Nous voici dans le dernier article de cette série sur la supervision des logs de votre NAS Synology. Nous avons vu précédemment comment mettre en place la collecte côté NAS et ensuite comment parser et mapper correctement les événements côté QRadar. Dans ce dernier article, nous allons créer une règle de détection maintenant que nous avons tout en main pour le faire.

Nous allons voir ici comment superviser les cas d’accès excessifs aux fichiers, ce sont des scenarii qu’il est très important de superviser pour détecter les exfiltrations de fichiers.

...

Cover Image

Collecte de logs Synology #2 : Création d’un DSM QRadar

- Reading time: 12 minutes

Bonjour à tous, voici le deuxième article de la séries consacrée à la collecte des événements sur les équipements Synology. Nous avons vu dans le précédent article comment mettre en place l’envoi des logs via syslog-ng. Maintenant nous allons nous intéresser à la partie qui va permettre d’avoir des logs utilisables dans QRadar, je parle du parsing et du mapping.

Je ne vais pas rentrer dans les détails du parsing et du mapping car je l’ai déjà fait dans un article consacré à ce sujet que vous retrouverez ici.

A noter également que je vais présenter en détail la construction d’un DSM Custom uniquement pour la partie “fichier” sur les NAS. Il y a plusieurs raisons à cela :

  1. La construction de ce DSM est un bon contenu pour apprendre les bases
  2. La supervision des actions sur les fichier pour un NAS, c’est un point crucial à avoir

...

Cover Image

Intégrer la CTI à QRadar #4 – Présentation finale et utilisation

- Reading time: 6 minutes

Bonjour à tous, cette semaine nous allons clôturer la série d’articles au sujet de la CTI au service d’une meilleure détection dans QRadar. Au travers des précédents articles vous avez vu comme interagir avec OpenCTI pour récupérer des informations aussi appelées IoC (Indice of Compromission) mais vous avez également vu comment mettre en place des informations dans QRadar.

L’objectif de cette article est de vous présenter le projet complet dans sa première version qui concatène le tout pour avoir un script qui fait toutes les actions automatiquement.

...