Cover Image

Tips : Création de rapports dans QRadar

- Reading time: 10 minutes - | FR | Tips | QRadar |

Bonjour à tous, voici un petit tips sur l’utilisation des rapports dans QRadar. Comme son nom l’indique, cette option permet de générer des rapports de quasiment tout ce que vous trouverez dans l’interface de QRadar. Ici nous allons voir une comment visualiser des évènements particuliers via un rapport mais vous n’êtes pas limités par ce que vous pouvez y mettre.

Les rapports possèdent plusieurs atouts qui me font vous présenter ce petit tips :

  • C’est un outil nativement intégré dans QRadar, ouf ! contrairement à certains outils intéressants qui nécessitent eux l’installation d’extensions (Pulse, Log Source Management…)
  • Les rapports, contrairement aux offenses, permettent d’avoir une vue d’ensemble et d’avoir un résumé d’actions qui ne sont pas forcément malicieuses. Typiquement si vous avez votre système d’information personnel mais que nous avez pas un SOC pour superviser tout cela, vous risquerez de ne pas avoir le temps de contrôler toutes les alarmes. C’est donc pour cela qu’un rapport est un bon compromis, il permet de voir si des actions étranges se déroulent dans un SI sans que vous deveniez un analyste SOC.

...

Cover Image

Tips : Supervision du bastion Teleport

- Reading time: 8 minutes - | FR | Tips | QRadar | Teleport |

Nous allons voir aujourd’hui comment mettre en place la supervision de Teleport. Teleport est un bastion disponible en OpenSource qui permet de faire du contrôle d’accès de vos ressources.

Afin de pouvoir effectuer les différentes actions de cet article et donc les tester, il va vous falloir les prérequis suivants :

  • un serveur avec l’application Teleport installée et fonctionnelle ;
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici) ;
  • Le flux TCP vers le port 514 ouvert (ou un autre port) depuis le serveur où il y a l’application Teleport vers le serveur QRadar.

...

Cover Image

Tips : Supervision d’un serveur OpenSSH Windows

- Reading time: 17 minutes - | FR | Tips | QRadar | Windows |

Bonjour à tous, je vous présente dans cet article comment mettre en place un serveur SSH sur votre machine Windows mais également comment le superviser à l’aide d’un agent WinCollect et de l’outil d’IBM QRadar.

Pour pouvoir effectuer les différentes actions de cet article, il va vous falloir les prérequis suivants pour pouvoir tester :

  • Une machine Windows avec un agent WinCollect en mode “managed“
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici)

...

Cover Image

Développer votre première application QRadar

- Reading time: 8 minutes - | FR | Tips | QRadar |

Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles :

  • Log Source Management
  • Extension Center
  • Pulse

Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels sur les logiciels, la communauté est très présente et, avec l’aide d’outils mis à disposition par IBM, développe en parallèle des contenus rendant encore plus agréable l’utilisation de QRadar.

Sans rentrer dans les détails de la partie développement dans cet article, nous allons voir comment il vous est possible de commencer à mettre les mains dans cet univers pour avoir, à termes, vos propres applications.

...

Cover Image

Tips : Supervision du firewall Windows

- Reading time: 13 minutes - | FR | Tips | QRadar | Windows |

Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il n’y en a pas.

Cette mise en place va se faire en 2 parties, dans un premier temps nous allons activer le logging sur la machine Windows, ensuite nous irons configurer la partie QRadar pour que tout fonctionne et soit compris.

Vous verrez dans la partie Mise en place côté QRadar que nous utilisons un WinCollect pour récupérer les événements de l’équipement Windows. Je ne vais pas revenir sur l’installation de ce dernier, pour cela je vous renvoie vers mon article sur les collectes de base dans QRadar : Comment surveiller vos équipements.

...

Cover Image

Tips : Supervision du firewall Linux

- Reading time: 13 minutes - | FR | Tips | QRadar | Linux |

Bonjour à tous, dans cet article nous allons voir comment superviser les logs réseaux du logiciel présent sur le distribution Linux, à savoir “iptables”. En effet, il est très important d’avoir une visibilité sur les flux réseaux qui arrivent et qui sortent de vos équipements. D’un point de vue sécurité, cela permet d’identifier des communications vers des serveurs avec une mauvaise réputation ou encore d’être en mesure de détecter une machine qui pourrait scanner votre serveur. D’un autre côté, cela peut également servir à des fins de débug.

Vous allez au travers de cet article apprendre comment mettre en place cette collecte mais également comme faire en sorte que ce qui arrive dans QRadar soit correctement compris et que cela puisse matcher avec vos règles de détection.

...