Différences

Ci-dessous, les différences entre deux révisions de la page.

--- qradar [2023/07/12 17:41] – [Architecture] superadmin
+++ qradar [2024/06/19 12:30] (Version actuelle) – [Architecture] superadmin
@@ Ligne 23: / Ligne 23: @@
   * Génère les incidents de sécurité
   * Archive les données sur le Data Node
-  * Délègue les opérations de recherche au Data Node
+  * Délègue les opérations de recherche au Data Node.
+  * Prend le rôle de Data Node lorsqu'il n'y en a aucun dans le deploiement
 **Flow Collector (FC) :**
   * Ingère les captures de flux réseau sous différents formats
@@ Ligne 38: / Ligne 39: @@
 **Types de déploiements courants de QRadar :**
-  * All in One : Tous les composants sont installés sur la même machine, si possible redondée dans un second datacenter. Cela permet d'avoir une solution SIEM à bas coût, simple à gérer, et adaptée aux petites infrastructures avec des équipements générant peu d'évènements.
+  * All in One : Tous les composants sont installés sur la même machine, si possible redondée dans un second datacenter. Cela permet d'avoir une solution SIEM à bas coût, simple à gérer, et adaptée aux petites infrastructures générant peu d'évènements.
   * Déploiement Edge (ou en étoile) : Les composants de gestion, de traitement, voire de stockage sont installés sur une ou plusieurs machine(s) centrale(s) (généralement dans le cloud), tandis que ceux servant à la collecte (EC & FC) sont installés sur des machines dédiées, disséminées au sein de l'infrastructure à protéger, parfois dans des datacenters différents. Ce type de déploiement est plus coûteux que le premier, mais permet d'optimiser la collecte des évènements ou des flux en plaçant les collecteurs au plus près des équipements sources.
-  * Déploiement complet : Chaque composant est installé sur une machine dédiée, si possible redondés dans un second datacenter, ce qui permet d'optimiser les performances de la plateforme, ainsi que sa disponibilité.
+  * Déploiement complet : Chaque composant est installé sur une machine dédiée, si possible redondés dans un second datacenter, ce qui permet d'optimiser les performances globales de la plateforme, ainsi que sa disponibilité.
 ==== Licences / Modèle tarifaire ====
@@ Ligne 46: / Ligne 47: @@
 QRadar existe en 2 versions :
-  * Une version "community" gratuite, sans support IBM, et limitée à 50 évènements par seconde (EPS) et 5000 Flux par seconde.
+  * Une version "community" gratuite, sans support IBM, et limitée à 50 évènements par seconde (EPS) et 5000 Flux par seconde (FPS).
   * Une version "standard" avec un support minimum de la part d'IBM et dont le tarif varie en fonction du nombre d'évènements et de flux par seconde (EPS & FPS) maximal fixé. Un abonnement gold permet également d'avoir un support privilégié de la part des équipes IBM.
@@ Ligne 60: / Ligne 61: @@
 [[https://www.ibm.com/support/pages/qradar-core-services-and-impact-restarting-services|📖 Impact des restarts de services QRadar]]
+[[https://www.ibm.com/support/pages/qradar-event-details-and-difference-between-start-time-storage-time-and-log-source-time|📖 Différence entre le start time, le storage time, et le log source time]]
+[[https://www.ibm.com/support/pages/qradar-using-yum-manually-install-reinstall-or-search-rpm-packages|📖 Installer ou mettre à jour des DSM]]
+[[https://www.ibm.com/docs/en/qsip/7.4?topic=systems-configuring-routing-rules-forward-data|📖 Configurer des règles de forwarding de logs]]
+[[https://www.ibm.com/support/pages/qradar-troubleshooting-custom-rule-performance-findexpensivecustomrulessh|📖 Détecter les règles consommatrices grâce au script findexpensivecustomrules.sh]]