QRadar から履歴データをエクスポートする

この記事では、QRadar から履歴データをエクスポートする方法について説明します。 この記事の手順を完了したら、エクスポートされたデータをホストするターゲット プラットフォームを選択し、それからインジェスト ツールを選択してデータを移行できます。

QRadar のデータをエクスポートするには、QRadar REST API を使って、Ariel データベースに格納されたデータに対して Ariel クエリ言語 (AQL) クエリを実行します。 エクスポート プロセスはリソースを大量に消費するため、クエリでは小さな時間範囲を使い、必要なデータのみを移行することをお勧めします。

AQL クエリの作成

1. QRadar コンソールで、[ログ アクティビティ] タブを選びます。

2. 新しい AQL 検索クエリを作成するか、保存した検索クエリを選び、データをエクスポートします。 クエリに、日付と時間の範囲を設定する START と STOP 関数が含まれていることを確認します。

   AQL の使用方法と AQL で検索条件を保存する方法について説明します。

3. 後で使うために AQL クエリをコピーします。

4. AQL クエリを URL エンコード形式にエンコードします。 手順 3 でコピーしたクエリをデコーダーに貼り付けます。 エンコード形式の出力をコピーします。

検索クエリの実行

次のいずれかの方法で、検索クエリを実行できます。

• QRadar コンソールのユーザー ID。 この方法を使うには、データ移行に使うコンソール ユーザー ID が、エクスポートに必要なデータにアクセスできるセキュリティ プロファイルに割り当てられていることを確認します。
• API トークン。 この方法を使うには、QRadar で API トークンを生成します。

検索クエリを実行するには:

1. 履歴データをダウンロードするシステムにログインします。 このシステムが、HTTPS 経由で TCP/443 上の QRadar コンソールと QRadar API にアクセスできることを確認します。

2. 履歴データを取得する検索クエリを実行するには、コマンド プロンプトを開き、次のコマンドのいずれかを実行します。

   • QRadar コンソールのユーザー ID を使う場合は、次のコマンドを実行します。

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
     

   • API トークンを使う場合は、次のコマンドを実行します。

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
     

     検索ジョブの実行時間は、AQL の時間範囲とクエリされるデータの量によって異なる場合があります。 小さな時間範囲でクエリを実行し、エクスポートに必要なデータのみのクエリを実行することをお勧めします。

     出力は、COMPLETED、EXECUTE、WAIT、progress の値、search_id の値のような状態を返す必要があります。 次に例を示します。

     

3. [search_id] フィールドの値をコピーします。 この ID を使って、検索クエリの実行の進行状況と状態を確認し、検索の実行が完了した後に結果をダウンロードします。

4. 検索の状態と進行状況を確認するには、次のいずれかのコマンドを実行します。

   • QRadar コンソールのユーザー ID を使う場合は、次のコマンドを実行します。

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

   • API トークンを使う場合は、次のコマンドを実行します。

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

5. 出力結果を確認します。 status フィールドの値が COMPLETED であれば、次の手順に進みます。 状態が COMPLETED でない場合、progress フィールドの値を確認し、5 から 10 分後に手順 4 で実行したコマンドを実行します。

6. 出力を確認し、状態が COMPELETED であることを確認します。

7. 次のいずれかのコマンドを実行して、結果または返されたデータを JSON ファイルから現在のシステム上のフォルダーにダウンロードします。

   • QRadar コンソールのユーザー ID を使う場合は、次のコマンドを実行します。

     curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

   • API トークンを使う場合は、次のコマンドを実行します。

     curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

8. エクスポートする必要があるデータを取得するには、AQL クエリを作成し (手順 1 から 4)、もう一度クエリを実行します (手順 1 から 7)。 時間範囲や検索クエリを調整し、必要なデータを取得します。

次のステップ

• エクスポートされた履歴データをホストするターゲット Azure プラットフォームを選択する
• データ インジェスト ツールを選択する
• ターゲット プラットフォームに履歴データを取り込む