| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| qradar [2023/05/28 11:23] – [Architecture] superadmin | qradar [2024/06/19 12:30] (Version actuelle) – [Architecture] superadmin |
|---|
| * Génère les incidents de sécurité | * Génère les incidents de sécurité |
| * Archive les données sur le Data Node | * Archive les données sur le Data Node |
| * Délègue les opérations de recherche au Data Node | * Délègue les opérations de recherche au Data Node. |
| | * Prend le rôle de Data Node lorsqu'il n'y en a aucun dans le deploiement |
| **Flow Collector (FC) :** | **Flow Collector (FC) :** |
| * Ingère les captures de flux réseau sous différents formats | * Ingère les captures de flux réseau sous différents formats |
| * Exécute les apps | * Exécute les apps |
| |
| Pour permettre une haute disponibilité du SIEM, chacun de ces composants peut être mis en cluster (mode actif/passif ou actif/actif pour les collecteurs et les processeurs). | Pour permettre une haute disponibilité du SIEM, chacun de ces composants peut être mis en cluster (mode actif/passif). De plus, plusieurs collecteurs et processeurs peuvent être parallèlisés afin d'absorber une grande quantité de logs en temps réel. |
| |
| **Types de déploiements courants de QRadar :** | **Types de déploiements courants de QRadar :** |
| * All in One : Tous les composants sont installés sur la même machine. Cela permet d'avoir une solution SIEM à bas coût, simple à gérer, et adaptée aux petites infrastructures générant peu d'évènements. | * All in One : Tous les composants sont installés sur la même machine, si possible redondée dans un second datacenter. Cela permet d'avoir une solution SIEM à bas coût, simple à gérer, et adaptée aux petites infrastructures générant peu d'évènements. |
| * Déploiement Edge (ou en étoile) : Les composants de gestion, de traitement, voire de stockage sont installés sur une ou plusieurs machine(s) centrale(s) (généralement dans le cloud), tandis que ceux servant à la collecte (EC & FC) sont installés sur des machines dédiées, disséminées au sein de l'infrastructure à protéger, parfois dans des datacenters différents. Ce type de déploiement est plus coûteux que le premier mais permet d'optimiser la collecte des évènements ou des flux en plaçant les collecteurs au plus près des équipements sources. | * Déploiement Edge (ou en étoile) : Les composants de gestion, de traitement, voire de stockage sont installés sur une ou plusieurs machine(s) centrale(s) (généralement dans le cloud), tandis que ceux servant à la collecte (EC & FC) sont installés sur des machines dédiées, disséminées au sein de l'infrastructure à protéger, parfois dans des datacenters différents. Ce type de déploiement est plus coûteux que le premier, mais permet d'optimiser la collecte des évènements ou des flux en plaçant les collecteurs au plus près des équipements sources. |
| * Déploiement complet : Chaque composant est installé sur une machine dédiée, parfois dans des datacenter différents, ce qui permet d'optimiser un maximum les performances de la plateforme, ainsi que sa disponibilité si les composants sont redondés et mis en cluster. | * Déploiement complet : Chaque composant est installé sur une machine dédiée, si possible redondés dans un second datacenter, ce qui permet d'optimiser les performances globales de la plateforme, ainsi que sa disponibilité. |
| |
| ==== Licences / Modèle tarifaire ==== | ==== Licences / Modèle tarifaire ==== |
| QRadar existe en 2 versions : | QRadar existe en 2 versions : |
| |
| * Une version "community" gratuite, sans support IBM, et limitée à 50 évènements par seconde (EPS) et 5000 Flux par seconde. | * Une version "community" gratuite, sans support IBM, et limitée à 50 évènements par seconde (EPS) et 5000 Flux par seconde (FPS). |
| * Une version "standard" avec un support minimum de la part d'IBM et dont le tarif varie en fonction du nombre d'évènements et de flux par seconde (EPS & FPS) maximal fixé. Un abonnement gold permet également d'avoir un support privilégié de la part des équipes IBM. | * Une version "standard" avec un support minimum de la part d'IBM et dont le tarif varie en fonction du nombre d'évènements et de flux par seconde (EPS & FPS) maximal fixé. Un abonnement gold permet également d'avoir un support privilégié de la part des équipes IBM. |
| |
| |
| [[Installation de QRadar 7.5]] | [[Installation de QRadar 7.5]] |
| | |
| | ===== Documentation IBM ===== |
| | |
| | [[https://www.ibm.com/docs/en/qradar-on-cloud?topic=searches-advanced-search-options|📖 Recherche avancée avec le langage AQL (IBM)]] |
| | |
| | [[https://www.ibm.com/support/pages/qradar-what-services-run-each-appliance-type|📖 Liste des services QRadar pour chaque type d'appliance]] |
| | |
| | [[https://www.ibm.com/support/pages/qradar-core-services-and-impact-restarting-services|📖 Impact des restarts de services QRadar]] |
| | |
| | [[https://www.ibm.com/support/pages/qradar-event-details-and-difference-between-start-time-storage-time-and-log-source-time|📖 Différence entre le start time, le storage time, et le log source time]] |
| | |
| | [[https://www.ibm.com/support/pages/qradar-using-yum-manually-install-reinstall-or-search-rpm-packages|📖 Installer ou mettre à jour des DSM]] |
| | |
| | [[https://www.ibm.com/docs/en/qsip/7.4?topic=systems-configuring-routing-rules-forward-data|📖 Configurer des règles de forwarding de logs]] |
| | |
| | [[https://www.ibm.com/support/pages/qradar-troubleshooting-custom-rule-performance-findexpensivecustomrulessh|📖 Détecter les règles consommatrices grâce au script findexpensivecustomrules.sh]] |
| | |
| |
| |