Tips : Utilisation du Log Activity dans QRadar
Bonjour à tous, voici un petit tips sur l’utilisation du Log Activity dans QRadar. Cet outil de QRadar est le point central pour tout ce qui est analyse des évènements et compréhension d’une alerte.
Si vous êtes analyste ou encore intéressé par comment gagner du temps dans la recherche de vos informations, vous trouverez dans cet article quelques informations qui pourront vous aider.
2. Présentation générale
Dans un premier temps, nous allons faire un petit tour de l’outil et voir les différentes options qui s’offrent à nous.
- Pour accéder à l’outil, il suffit de cliquer sur “Log Activity” depuis la barre d’outil de QRadar
- Différentes options disponibles pour l’outil
- Barre de recherche pour effectuer des recherches sans utiliser les filtres préconstruits
- Encadré contenant toutes les informations de votre recherche et des filtres qu’elle contient
- Zone ou va s’afficher l’ensemble des résultats de votre recherche
Si nous regardons rapidement les onglets de l’outil voici ce que cela donne :
- “Search…” : Permet d’effectuer des recherches via un formulaire que nous verrons plus tard, mais également de récupérer d’anciennes recherches que vous avez déjà effectuées
- “Quick Searches” : Permet de lancer des recherches préconstruites
- “Add Filter” : Permet d’ajout un filtre préconstruit avec vos paramètres sans avoir à passer par le formulaire de recherche complet
- “Save Criteria” : Permet de sauvegarder vos critères de recherches pour pouvoir les réutiliser plus tard dans la création d’un rapport par exemple
- “Save Results” : Permet de sauvegarder les résultats (évènements) d’une recherche pour que QRadar les enregistres et que vous puissiez les utiliser plus tard
- “Cancel” : Interrompt une recherche en cours d’exécution
- “False Positive” : Permet de tuner votre détection après avoir sélectionner des évènements que vous jugez comme étant des faux positifs
- “Rules” : Permet de faire des actions liées aux règles de détection
- “Actions” : Permet de faire des actions vis-à-vis des évènements de votre recherche (nous verrons quelques options intéressantes dans la dernière partie)
3. Manipulations des recherches
Maintenant que nous avons vu comment de quoi se constituait la page d’accueil, nous allons nous pencher sur le cœur de ce à quoi sert le Log Activity, à savoir manipuler les évènements reçus par QRadar pour analyser ces derniers.
Pour accéder au formulaire d’édition de votre recherche il faut cliquer sur “Search…” puis “Edit Search“, vous allez ensuite arriver sur la page suivante :
- La partie “Saved Searches” permet de charger une recherche que vous aurez déjà enregistrée. Pour cela il faut la sélectionner dans la liste puis cliquer sur “Load“. Il vous est possible de visualiser la requête AQL qui se cache derrière en cliquant sur “Show AQL” (cela peut être pratique pour extraire une recherche textuelle depuis une recherche faite par le biais de filtres préconstruits).
- Le choix du type de recherche se fait dans cet encadré, si vous maîtrisez l’AQL vous allez pouvoir cocher “Advanced Search” et écrire votre recherche, sinon vous laissez par défaut.
- Toute la partie temporelle de votre recherche va se modifier ici, si vous souhaitez avoir les évènements correspondants à votre requête en temps réel alors il faut laisser “Real Time (streaming)“. Si vous souhaitez un intervalle [T-x;T] ou T est le temps à laquelle vous allez exécuter votre requête et x une unité de temps, alors il faut sélectionner “Recent“. Enfin si vous voulez être plus pointu dans l’intervalle vous pouvez toujours cocher “Specific interval“.
- La partie “Column Definition” va permettre de personnaliser l’affichage de vos évènements, quelles colonnes, est-ce que je veux grouper les évènements par une propriété en particulier ou encore est-ce que je veux ordonner mes données suivant une certaine métrique. Il est également possible d’enregistrer votre affichage si vous le réutiliserez dans le futur. Par exemple dans l’image ci-dessus, je vais choisir de
- grouper par “Source IP“
- rajouter la colonne “Domain“
- supprimer les colonnes “Event Count” et “Category“
- La dernière partie constitue les filtres que vous allez appliquer à votre recherche, le bloc encadré en vert dans l’image correspond au filtre que vous allez personnaliser et ajouter grâce au bouton “Add Filter“. Il est bien entendu possible de rajouter autant de filtre que l’on souhaite, mais également d’en supprimer.
Une fois que tout est bon vous allez pouvoir cliquer sur “Search” pour lancer votre recherche et ainsi revenir à l’écran de départ du Log Activity.
4. Actions annexes
Avant de conclure cet article, nous allons voir quelques actions qu’il est possible de faire dans cet onglet et qui peuvent s’avérer très utiles.
Dans un premier temps, nous allons disséquer l’affichage d’un évènement.
- Correspond aux informations sur mapping de l’évènement
- Correspond aux différents “Time” de l’évènement, pour mieux comprendre la différence, je vous renvoie vers la documentation d’IBM qui est très claire à ce sujet : https://www.ibm.com/support/pages/qradar-event-details-and-difference-between-start-time-storage-time-and-log-source-time
- Correspond au contenu de l’évènement qui a été réceptionné par QRadar, je vous conseille de cocher “Wrap Text” pour avoir un affichage plus digeste
Toujours orienté évènements, il vous est possible d’extraire les évènements pour les traiter plus tard ou encore faire des graphiques récapitulatifs sur Excel 😏
Pour ce faire, il faut sélectionner les évènements que vous souhaitez et ensuite “Actions” puis “Export to CSV” puis “Full Export (All Columns)“. Si vous souhaitez avoir tous les évènements, il suffit de ne rien sélectionner.
5. Conclusion
Nous voici à la conclusion de cet article, j’espère que vous avez pu en apprendre plus sur le Log Activity pour devenir encore plus performant dans vos recherches au jour le jour.
Bien entendu, il reste plein de choses à apprendre sur la recherche d’évènements, notamment le langage de recherche qu’est l’AQL, que nous verrons dans un ou plusieurs articles prochainement.
6. Bibliographie
- Article d’IBM expliquant les différents “Time” présents dans les évènements : QRadar: Event details and the difference between Start Time, Storage Time, and Log Source Time