系列 · 共 31 篇 · 建议按顺序阅读
SIEM(Security Information and Event Management,安全信息与事件管理)是一种软件解决方案,用于:
QRadar Community Edition(CE)是 IBM 提供的免费版本,主要用于:
打开 https://<qradar-ip>,使用 admin 账号登录。
从日志源接收到的原始或解析后的安全事件。
顶部导航栏点击 Log Activity,进入日志查询界面。
顶部导航栏点击 Offenses,查看所有安全告警。
日志源是向 QRadar 发送安全事件数据的设备、应用或系统。
QRadar 的 Custom Rule Engine (CRE) 实时分析流入的事件,当满足条件时触发响应。
flowchart TD
Asset 是网络中发现的设备或主机。
Flow 是网络流量的元数据摘要。
AQL(Ariel Query Language)是 QRadar 的查询语言,用于从 Ariel 数据库检索 Event 和 Flow 数据。
DSM(Device Support Module)是 QRadar 解析特定厂商日志格式的模块。
QRadar 提供完整的 RESTful API,支持 SIEM 数据查询、配置管理、系统管理。
允许开发自定义应用,扩展 QRadar 功能。
与 QRadar SIEM 深度集成的安全编排自动化响应平台。
/opt/qradar/bin/backuprestore.sh -b
攻击者尝试通过多次尝试猜测账号密码,获取系统访问权限。
已感染主机与攻击者控制的命令控制(C2)服务器通信。
内部人员或攻击者将敏感数据传输到外部。
内部人员滥用权限或账号被盗用。
勒索软件加密文件前通常会进行特定行为模式。
高级持续性威胁(APT)通常具有长期潜伏、多阶段攻击的特点。
SEC: <authorized-service-token>
-- 查询所有事件(最近1小时)
/opt/qradar/bin/myver -v