Cover Image

HowTo #5 – Modifier le fichier de configuration QRadar (FR)

- Reading time: 4 minutes

Bonjour à tous, nous allons découvrir aujourd’hui comment modifier le fichier de configuration de QRadar et ainsi activer ou modifier des options cachées. Ces options sont le plus souvent à utiliser dans des environnements de test car leurs modifications peut avoir un impact fort sur votre infrastructure.

Attention : Je ne suis en aucun cas responsable d’un dysfonctionnement qui surviendrait suite à des actions décrites sur cette page. C’est donc pour cela que je vous invite à effectuer des tests au préalable et/ou faire des sauvegardes des fichiers modifiés avant de mettre en production des changements.

...

Cover Image

HowTo #5 – Modifying QRadar configuration file (EN)

- Reading time: 4 minutes

Hello, in this article we will discover how to modify the configuration file of QRadar in order to unlock some cool features for testing purposes or to solve issues. Those options are, to be used in test environments preferably, that’s why it can have huge impacts on your infrastructure.

Warning: I am not responsible of any dysfunctionment of any kind that could occur after the application of actions described in this article. That is why, I must warn you and invite you when it is possible to make backups and test in developement environments before any changes.

...

Cover Image

HowTo #4 – Maîtriser les subqueries AQL (FR)

- Reading time: 10 minutes

Bonjour à tous, nous allons découvrir aujourd’hui un fonctionnement plus avancé des requêtes AQL, j’ai nommé les “subqueries” ou “sous-requêtes”.

Elle permet de faire des actions impossibles à faire avec de simples requêtes mais également de combiner plus requêtes et donc potentiellement plusieurs tâches en une seule fois.

Il existe deux types de sous-requêtes :

  1. celles qui permettent de définir les données qui vont être utilisées par la requête principale
  2. celles qui permettent de filtrer une propriété en fonction d’une ou plusieurs valeurs issues des résultats d’une autre requête

...

Cover Image

HowTo #4 – Understand AQL subqueries (EN)

- Reading time: 9 minutes

Hello everyone, today we will discover how to make advanced AQL request with subqueries. They allow us to do action that are not possible with simple AQL request as well as combined requests in one request.

There are two types of subqueries:

  • subqueries that define datas which will be used in the main request
  • subqueries that allow you to filter on a property with the result of the subquery

...

Cover Image

HowTo #3 – Monitorer les EPS (FR)

- Reading time: 9 minutes

Bonjour à tous, nous allons découvrir aujourd’hui comment superviser vos EPS (Events Per Second) sur votre infrastructure QRadar de manière ludique. En effet, une bonne maîtrise et compréhension des variations d’EPS est la base d’un QRadar sain puisque des répétitions non maîtrisées de pics de logs peuvent amener à des instabilités. De plus des pics ont peut-être comme source des tiers malveillants visant vos équipements.

Vous allez découvrir comment obtenir un tableau de bord de monitoring de ces informations mais également comment l’utiliser. Par la suite, vous serez libre de le personnaliser pour qu’il convienne à votre environnement et toutes les spécificités qu’il peut avoir.

Vous pouvez dès à présent retrouver ce tableau de bord sur mon Github : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json. N’hésitez pas à y laisser une ⭐.

Remarque : Il est nécessaire d’avoir l’application Pulse pour faire fonctionner le tableau de bord.

...

Cover Image

HowTo #3 – Monitor EPS (EN)

- Reading time: 8 minutes

Hello, in this article we will discover how to monitor EPS (Event Per Second) of your QRadar infrastructure in a cool way. Indeed, if you want a healthy QRadar you need to monitor and have a good comprehension of EPS variation. In fact, many peak of logs can result into instabilities of your QRadar and good collection in general. In a more cybersecurity point of view, those peak can be a sign of malicious activities from third parties.

You will discover how to get a monitoring dashboard and how to use it. After that, you will be able to customize the dashboard to adapt it for your environment and every specificities.

You can retrieve the dashboard in my github repository here : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json. Do not hesitate to leave a ⭐.

Note: You have to install Pulse application to import this dashboard.

...