QRadar LogSourceName LogSourceId bulma

QRadar’da arama/search yapacağımız zaman logKaynağı belirterek tüm sistem yerine ilgili log kaynağının logarını çekeriz. Bu sistemin, kuralların, search’lerin ve raporların faydasına olacaktır. Aynı şekilde AQL sorgu yazacağımız zamanda logKaynağını belirtmeye çalışırız. Ama AQL’de bunu yapmak, arayüzden “Add Filter” butonu ile seçerek eklemekten biraz daha zahmetli oluyor. Ariel DB’de direkt logKaynaklarının isimlerini barındıran bir kolon yok. […]

QRadar’ı ping’e açmak

QRadar varsayılan ayarlarında ping’e kapalıdır, ICMP paketleri otomatik olarak drop olur cevap verilmez. Genel olarak ilgili IP’ye ping atarak cihaz erişilebilir durumda mı? IP kullanılıyor mu diye bakıldığından QRadar’da ping’e açılmak istenebiliyor. Iptables’a aşağıdaki satırları ekleyerek QRadar’ı ping’e açabiliyoruz. Yetkili bir kullanıcı ile SSH’dan QRadar’a login olun, Ne olur ne olmaz, yedek almak için: cp /opt/qradar/conf/iptables.pre […]

Ariel Query Language Nedir ?

AQL Nedir? AQL, Ariel veritabanı ile iletişim kurabileceğiniz yapılandırılmış sorgu dilidir(sql). QRadar Ariel veritabanında tutulan event ve flow’lar üzerinde sorgu yapmak için kullanılıyor. Fonksiyonlarında ve yazımında farklılıklar olsa da syntax olarak SQL’e çok benziyor. Tabi yine QRadar üzerinde AQL ile update delete alter gibi sorgular yazamıyoruz, burada sadece SELECT kullanılabiliyoruz. Yenilik olarak 7.2.7 ile gelen […]

Siem Nedir ?

Siem nedir? Neden alınır? kısaca ; Siem Nedir ? Ortamınızdaki tüm sistemlerin(yazılım-donanım) ürettiği logların bir merkezde toplanmasını, farklı formatlardaki bu logları tek bir formata getirerek bunlar üzerinde sorgu, raporlama, kural/korelasyonlarla alarm üretmeyi sağlayan sistemlerdir. Neden Siem ? Kurumlar, tehditleri tespit edebilmek, tüm logları bir yerde toplamak ve saklamak, iç tehditleri görebilmek, uyumluluk(compliance), regulasyon ve denetimler […]