文章
分类「QRadar」· 共 31 篇
CLI 速查表
/opt/qradar/bin/myver -v
AQL 速查表
-- 查询所有事件(最近1小时)
REST API 速查表
SEC: <authorized-service-token>
场景 06 - APT 攻击检测
高级持续性威胁(APT)通常具有长期潜伏、多阶段攻击的特点。
场景 05 - 勒索软件检测
勒索软件加密文件前通常会进行特定行为模式。
场景 04 - 内部威胁检测
内部人员滥用权限或账号被盗用。
场景 03 - 数据外泄检测
内部人员或攻击者将敏感数据传输到外部。
场景 02 - 恶意软件 C2 检测
已感染主机与攻击者控制的命令控制(C2)服务器通信。
场景 01 - 暴力破解检测完整方案
攻击者尝试通过多次尝试猜测账号密码,获取系统访问权限。
升级与迁移
/opt/qradar/bin/backuprestore.sh -b
SOAR 集成与响应编排
与 QRadar SIEM 深度集成的安全编排自动化响应平台。
App 开发
允许开发自定义应用,扩展 QRadar 功能。
REST API 开发
QRadar 提供完整的 RESTful API,支持 SIEM 数据查询、配置管理、系统管理。
自定义 DSM 开发
DSM(Device Support Module)是 QRadar 解析特定厂商日志格式的模块。
AQL 高级查询
AQL(Ariel Query Language)是 QRadar 的查询语言,用于从 Ariel 数据库检索 Event 和 Flow 数据。
性能调优
flowchart TD
分布式部署架构
flowchart TD
用户行为分析 UBA
flowchart TD
参考数据与引用集
flowchart TD
报告与搜索
flowchart TD
网络活动与 Flow
Flow 是网络流量的元数据摘要。
资产管理
Asset 是网络中发现的设备或主机。
攻击调查实战
flowchart TD
规则与构建块
QRadar 的 Custom Rule Engine (CRE) 实时分析流入的事件,当满足条件时触发响应。
日志源配置与管理
日志源是向 QRadar 发送安全事件数据的设备、应用或系统。
攻击(Offense)基础
顶部导航栏点击 Offenses,查看所有安全告警。
日志活动基础
顶部导航栏点击 Log Activity,进入日志查询界面。
核心概念速通
从日志源接收到的原始或解析后的安全事件。
首次登录与界面导览
打开 https://<qradar-ip>,使用 admin 账号登录。
安装 Community Edition(实验环境搭建)
QRadar Community Edition(CE)是 IBM 提供的免费版本,主要用于:
QRadar 是什么?
SIEM(Security Information and Event Management,安全信息与事件管理)是一种软件解决方案,用于: