Cover Image

Projet #1 – Supervision Android (FR)

- Reading time: 36 minutes - | FR | Project | QRadar | Android |

Bonjour à tous, nous allons voir ensemble comment mettre en place une collecte du trafic réseau de vos appareils Android. Le but est de vous montrer les capacités des différents blocs qui seront utilisés dans l’architecture de collecte pour que vous puissiez les ajuster selon vos besoins.

Rentrons maintenant dans le cœur du sujet, les appareils portables tel que les smartphones sont de plus en plus utilisés pour les tâches du quotidien mais paradoxalement ce sont les derniers pour lesquels la supervision “classique” est mise en place. En effet, là où vous pouvez retrouver des sondes de tous types sur PC, très peu d’applications fournissent un travail similaire. Bien entendu, les acteurs majeurs, tel que Microsoft, Google, ont pris les devants avec des solutions cloud, mais le plus souvent ces solutions sont axées aux professionnels et vous n’avez que très peu de visibilité sur ce qui est fait.

C’est donc pour cela que j’ai creusé le sujet pour voir ce qu’il était possible de faire sur ces petits appareils à la fois si puissants mais tellement exposés. Etant donné que la plupart des smartphones sont majoritairement basés sur un noyau Linux, il est donc normal de penser que ce que l’on peut faire sur un serveur Linux peut être répliqué sur un smartphone. Seulement, nous faisons face ici une autre problématique : le rootage de son téléphone, puisqu’avec tous les droits sur son appareil il est bien entendu possible de faire tout ce que l’on souhaite avec. Seulement l’objectif ici est de déformer au minimum la configuration ainsi que l’intégrité du téléphone.

...

Cover Image

HowTo #5 – Modifier le fichier de configuration QRadar (FR)

- Reading time: 4 minutes - | FR | Tips | QRadar |

Bonjour à tous, nous allons découvrir aujourd’hui comment modifier le fichier de configuration de QRadar et ainsi activer ou modifier des options cachées. Ces options sont le plus souvent à utiliser dans des environnements de test car leurs modifications peut avoir un impact fort sur votre infrastructure.

Attention : Je ne suis en aucun cas responsable d’un dysfonctionnement qui surviendrait suite à des actions décrites sur cette page. C’est donc pour cela que je vous invite à effectuer des tests au préalable et/ou faire des sauvegardes des fichiers modifiés avant de mettre en production des changements.

...

Cover Image

HowTo #5 – Modifying QRadar configuration file (EN)

- Reading time: 4 minutes - | EN | Tips | QRadar |

Hello, in this article we will discover how to modify the configuration file of QRadar in order to unlock some cool features for testing purposes or to solve issues. Those options are, to be used in test environments preferably, that’s why it can have huge impacts on your infrastructure.

Warning: I am not responsible of any dysfunctionment of any kind that could occur after the application of actions described in this article. That is why, I must warn you and invite you when it is possible to make backups and test in developement environments before any changes.

...

Cover Image

HowTo #4 – Understand AQL subqueries (EN)

- Reading time: 9 minutes - | EN | Tips | QRadar |

Hello everyone, today we will discover how to make advanced AQL request with subqueries. They allow us to do action that are not possible with simple AQL request as well as combined requests in one request.

There are two types of subqueries:

  • subqueries that define datas which will be used in the main request
  • subqueries that allow you to filter on a property with the result of the subquery

...

Cover Image

HowTo #4 – Maîtriser les subqueries AQL (FR)

- Reading time: 10 minutes - | FR | Tips | QRadar |

Bonjour à tous, nous allons découvrir aujourd’hui un fonctionnement plus avancé des requêtes AQL, j’ai nommé les “subqueries” ou “sous-requêtes”.

Elle permet de faire des actions impossibles à faire avec de simples requêtes mais également de combiner plus requêtes et donc potentiellement plusieurs tâches en une seule fois.

Il existe deux types de sous-requêtes :

  1. celles qui permettent de définir les données qui vont être utilisées par la requête principale
  2. celles qui permettent de filtrer une propriété en fonction d’une ou plusieurs valeurs issues des résultats d’une autre requête

...

Cover Image

HowTo #3 – Monitor EPS (EN)

- Reading time: 8 minutes - | EN | Tips | QRadar |

Hello, in this article we will discover how to monitor EPS (Event Per Second) of your QRadar infrastructure in a cool way. Indeed, if you want a healthy QRadar you need to monitor and have a good comprehension of EPS variation. In fact, many peak of logs can result into instabilities of your QRadar and good collection in general. In a more cybersecurity point of view, those peak can be a sign of malicious activities from third parties.

You will discover how to get a monitoring dashboard and how to use it. After that, you will be able to customize the dashboard to adapt it for your environment and every specificities.

You can retrieve the dashboard in my github repository here : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json. Do not hesitate to leave a ⭐.

Note: You have to install Pulse application to import this dashboard.

...