Exportar dados históricos do QRadar

Este artigo descreve como exportar seus dados históricos do QRadar. Depois de concluir as etapas neste artigo, você pode selecionar uma plataforma de destino para hospedar os dados exportados e selecionar uma ferramenta de ingestão para migrar os dados.

Para exportar seus dados do QRadar, use a API REST do QRadar para executar consultas do AQL (Ariel Query Language) em dados armazenados em um banco de dados Ariel. Como o processo de exportação é intensivo em recursos, recomendamos que você use intervalos de tempo pequenos em suas consultas e migre apenas os dados necessários.

Criar consulta AQL

1. No Console do QRadar, selecione a guia Atividade de Log.

2. Crie uma nova consulta de pesquisa AQL ou selecione uma consulta de pesquisa salva para exportar os dados. Verifique se a consulta inclui as funções START e STOP para definir a data e o intervalo de tempo.

   Saiba como usar o AQL e como salvar critérios de pesquisa no AQL.

3. Copie a consulta AQL para uso posterior.

4. Codificar a consulta AQL para o formato codificado em URL. Cole a consulta copiada na etapa 3 no decodificador. Copie a saída de formato codificado.

Executar consulta de pesquisa

Você pode executar a consulta de pesquisa usando um desses métodos.

• ID do usuário do Console do QRadar. Para usar esse método, verifique se a ID do usuário do console que está sendo usada para migração de dados é atribuída a um perfil de segurança que pode acessar os dados necessários para a exportação.
• Token da API. Para usar esse método, gere um token de API no QRadar.

Para executar a consulta de pesquisa:

1. Faça logon no sistema do qual você baixará os dados históricos. Verifique se esse sistema tem acesso ao Console do QRadar e à API do QRadar no TCP/443 por meio de HTTPS.

2. Para executar a consulta de pesquisa que recupera os dados históricos, abra um prompt de comando e execute um destes comandos:

   • Para o método de ID do usuário do Console do QRadar, execute:

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
     

   • Para o método de token de API, execute:

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
     

     O tempo de execução do trabalho de pesquisa pode variar, dependendo do intervalo de tempo do AQL e da quantidade de dados consultados. Recomendamos que você execute a consulta em intervalos de tempo pequenos e confira apenas os dados necessários para a exportação.

     A saída deve retornar um status, como COMPLETED, EXECUTE, WAIT, um valor progress e um valor search_id. Por exemplo:

     

3. Copie o valor no campo search_id. Você usará essa ID para verificar o progresso e o status da execução da consulta de pesquisa e baixar os resultados após a conclusão da execução da pesquisa.

4. Para verificar o status e o progresso da pesquisa, execute um destes comandos:

   • Para o método de ID do usuário do Console do QRadar, execute:

     curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

   • Para o método de token de API, execute:

     curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
     

5. Examine a saída. Se o valor no campo status for COMPLETED, continue para a próxima etapa. Se o status não for COMPLETED, verifique o valor no campo progress e, após 5 a 10 minutos, execute o comando executado na etapa 4.

6. Examine a saída e verifique se o status é COMPELETED.

7. Execute um desses comandos para baixar os resultados ou retornar dados do arquivo JSON para uma pasta no sistema atual:

   • Para o método de ID do usuário do Console do QRadar, execute:

     curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

   • Para o método de token de API, execute:

     curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
     

8. Para recuperar os dados necessários para exportar, crie a consulta AQL (etapas 1 a 4) e execute a consulta (etapas 1 a 7) novamente. Ajuste o intervalo de tempo e as consultas de pesquisa para obter os dados necessários.

Próximas etapas

• Selecionar uma plataforma do Azure de destino para hospedar os dados históricos exportados
• Selecionar uma ferramenta de ingestão de dados
• Ingerir dados históricos em sua plataforma de destino