Cover Image

Le dev dans QRadar #1 – Ma première application

- Reading time: 15 minutes

Nous allons voir aujourd’hui comment créer votre première application dans QRadar. Nous avions vu précédemment comment installer tous les outils nécessaires pour ce développement, passons maintenant au vif du sujet.

Dans cet article, vous allez voir comment développer les premières briques d’une application dans QRadar, n’étant en aucun cas un développeur aguerri, le code sera sommaire et assez basique, l’idée étant de vous présenter les bases ainsi que comment débuguer si cela ne fonctionne pas.

Pour ce premier exemple nous allons faire une application qui va nous apporter des informations supplémentaires au quotidien dans QRadar. Plus particulièrement, nous allons afficher une infobulle lorsqu’un utilisateur va survoler la valeur d’un port sur des logs. En effet, il n’est pas naturel de connaître la fonctionnalité de tous les ports en informatique. Qui plus est, nous allons être en mesure d’afficher des données personnalisées pour des ports métiers qui sont spécifiques à un contexte client par exemple.

...

Cover Image

Collecte de logs Synology #3 : Création de règles de détection

- Reading time: 12 minutes

Nous voici dans le dernier article de cette série sur la supervision des logs de votre NAS Synology. Nous avons vu précédemment comment mettre en place la collecte côté NAS et ensuite comment parser et mapper correctement les événements côté QRadar. Dans ce dernier article, nous allons créer une règle de détection maintenant que nous avons tout en main pour le faire.

Nous allons voir ici comment superviser les cas d’accès excessifs aux fichiers, ce sont des scenarii qu’il est très important de superviser pour détecter les exfiltrations de fichiers.

...

Cover Image

Collecte de logs Synology #2 : Création d’un DSM QRadar

- Reading time: 12 minutes

Bonjour à tous, voici le deuxième article de la séries consacrée à la collecte des événements sur les équipements Synology. Nous avons vu dans le précédent article comment mettre en place l’envoi des logs via syslog-ng. Maintenant nous allons nous intéresser à la partie qui va permettre d’avoir des logs utilisables dans QRadar, je parle du parsing et du mapping.

Je ne vais pas rentrer dans les détails du parsing et du mapping car je l’ai déjà fait dans un article consacré à ce sujet que vous retrouverez ici.

A noter également que je vais présenter en détail la construction d’un DSM Custom uniquement pour la partie “fichier” sur les NAS. Il y a plusieurs raisons à cela :

  1. La construction de ce DSM est un bon contenu pour apprendre les bases
  2. La supervision des actions sur les fichier pour un NAS, c’est un point crucial à avoir

...

Cover Image

Intégrer la CTI à QRadar #4 – Présentation finale et utilisation

- Reading time: 6 minutes

Bonjour à tous, cette semaine nous allons clôturer la série d’articles au sujet de la CTI au service d’une meilleure détection dans QRadar. Au travers des précédents articles vous avez vu comme interagir avec OpenCTI pour récupérer des informations aussi appelées IoC (Indice of Compromission) mais vous avez également vu comment mettre en place des informations dans QRadar.

L’objectif de cette article est de vous présenter le projet complet dans sa première version qui concatène le tout pour avoir un script qui fait toutes les actions automatiquement.

...

Cover Image

Intégrer la CTI à QRadar #3 – Python et QRadar

- Reading time: 24 minutes

Nous voici dans le troisième épisode de cette série d’articles axée sur la CTI intégrée à QRadar. Nous avons vu précédemment comment interagir avec OpenCTI et comment récupérer les informations présentes sur la plateforme.

Dans la suite de cet article vous allez voir le côté technique de la deuxième partie du script présenté en introduction de cette série d’articles, à savoir comment interagir avec QRadar. Vous allez apprendre non seulement à récupérer des informations présentes sur votre instance QRadar mais également comment modifier des informations. Nous verrons quelques bases ainsi que quelques exemples mais les principes généraux qui vont être expliqués sont utilisables et modifiables selon vos souhaits.

...

Cover Image

Intégrer la CTI à QRadar #2 – OpenCTI et GraphQL

- Reading time: 23 minutes

Nous voici dans le deuxième épisode de cette série d’articles axée sur la CTI intégrée à QRadar. Nous avons vu précédemment que nous utilisions OpenCTI qui est une solution très complète ouverte au grand public.

Dans la suite de cet article vous allez voir toutes les étapes pour comprendre techniquement comment va être faite la partie orientée OpenCTI du script. Vous allez apprendre non seulement à interagir avec OpenCTI pour y récupérer des informations mais également à scripter le tout pour être le plus exhaustif et précis possible dans ce que vous souhaitez.

Vous verrez que nous allons nous focaliser sur les observables "IPv4" mais il y a bien d’autres observables sur la plateforme que vous serez en mesure de récupérer en utilisant le même procédé que celui que nous allons voir juste après.

...