1. Introduction
Bonjour à tous, voici un petit tips sur l’utilisation des rapports dans QRadar. Comme son nom l’indique, cette option permet de générer des rapports de quasiment tout ce que vous trouverez dans l’interface de QRadar. Ici nous allons voir une comment visualiser des évènements particuliers via un rapport mais vous n’êtes pas limités par ce que vous pouvez y mettre.
Les rapports possèdent plusieurs atouts qui me font vous présenter ce petit tips :
- C’est un outil nativement intégré dans QRadar, ouf ! contrairement à certains outils intéressants qui nécessitent eux l’installation d’extensions (Pulse, Log Source Management…)
- Les rapports, contrairement aux offenses, permettent d’avoir une vue d’ensemble et d’avoir un résumé d’actions qui ne sont pas forcément malicieuses. Typiquement si vous avez votre système d’information personnel mais que nous avez pas un SOC pour superviser tout cela, vous risquerez de ne pas avoir le temps de contrôler toutes les alarmes. C’est donc pour cela qu’un rapport est un bon compromis, il permet de voir si des actions étranges se déroulent dans un SI sans que vous deveniez un analyste SOC.
2. Création de la recherche
La construction de rapports est assez simple et ne nécessite qu’une seule chose, très importante, qui va être le cœur de ce que vous voulez avoir. Cette base est une “Saved Search” que vous allez devoir créer. Pour cela il faut aller dans l’onglet “Log Activity“.
Avant de passer à l’étape ③ il faut que vous ayez les filtres que vous souhaitez (présents ici dans l’encadré ②).
Dans la nouvelle fenêtre voici la configuration qu’il faut apporter :
Le point ③ est à laisser tel quel pour que vous ne vous preniez pas la tête sur les intervalles plus tard dans la création du rapport.
Maintenant que vous avez votre recherche prête, vous pouvez passer à la création du rapport.
3. Création du rapport
Pour la création du rapport, il faut se rendre dans l’onglet “Reports” et lancer la création du rapport comme ci-suit.
Puis il faut choisir la récurrence à laquelle nous souhaitons exécuter ce rapport, dans l’exemple ci-dessous nous allons l’exécuter tous les mois mais vous pouvez très bien faire plus fréquent ou tout simplement le passer en exécution manuelle.
Une fois que vous avez sélectionné “Events/Logs“, vous allez arriver dans une nouvelle fenêtre de configuration. Configurez la comme ci-dessous :
Après avoir modifié cela, vous pouvez descendre en bas de cette fenêtre et cliquer sur “Save Container Details” pour valider vos choix. Ensuite il faut cliquer sur “Next >>” et nous arrivons sur un aperçu de ce que donnera le rapport.
Comme vous l’avez compris, il est possible de faire une disposition plus complexe qui va contenir bien plus d’informations, tout dépend de ce que vous souhaitez. Ici, pour ne pas surcharger d’explications, nous n’aurons qu’un seul encadré.
puis
Nous voici à la fin du wizard de création, vous pouvez classifier votre rapport dans un groupe pour le retrouver plus facilement mais rien ne vous y oblige et ensuite faire “Next >>” et valider l’écran suivant qui est récapitulatif de votre rapport.
Pour valider que tout fonctionne correctement, un fois que l’exécution du rapport est finie, vous allez cliquer sur le bouton avec le logo de l’extension que vous avez choisie et vous visualiserez le résultat du rapport.
4. Conclusion
Vous êtes maintenant en mesure de générer de simples rapports pour avoir encore plus d’informations sur votre SI et pouvoir mieux le maîtriser. Et mieux comprendre votre SI implique que vous pourrez être plus à même de corriger une vulnérabilité, des dysfonctionnements applicatifs, etc.
Comme indiqué en introduction, les déclinaisons de rapports que vous pouvez faire dans QRadar sont quasiment infinies et ne dépendent que de vous 😋
N’hésitez pas à me faire part de vos meilleures idées de rapports que vous avez ou encore si vous rencontrez des difficultés.
5. Bibliographie
- Documentation éditeur sur les rapports : https://www.ibm.com/docs/en/qsip/7.4?topic=overview-reports
Merci d’avoir suivi ce petit tuto, en espérant que cela vous ait été utile. N’hésitez pas à me communiquer vos ressentis, tips…etc via le formulaire ci-dessous.