Belajar dengan berlatih: Memperoleh paket/alur untuk IBM QRadar . Anda

  • Whatsapp
Belajar dengan berlatih: Memperoleh paket/alur untuk IBM QRadar . Anda
Belajar dengan berlatih Memperoleh paketalur untuk IBM QRadar Anda

News.nextcloud.asia

Dalam posting sebelumnya ini, saya fokus pada memutar ulang log di lingkungan lab QRadar Anda. Namun, saya tidak pernah meluangkan waktu untuk menunjukkan hal yang sama tentang bagaimana Anda dapat memutar ulang paket/aliran. Sedangkan mendapatkan contoh acara ke QRadar Anda (saya percaya) relatif mudah, saya tidak percaya hal yang sama dapat dikatakan untuk paket dan aliran. Namun, masih ada dua cara cepat yang dapat saya pikirkan untuk mendapatkan paket/aliran jaringan ke QRadar. Kedua hal itu akan ditangani. Namun, setiap metode akan ada di posnya sendiri.

Metode 1:
Yang pertama hanyalah mengonfigurasi antarmuka perangkat QRadar Anda untuk bertindak sebagai sumber aliran.

Pertama saya akan melihat konfigurasi IP saya, untuk melihat antarmuka mana pada perangkat QRadar lokal yang menghasilkan lalu lintas paling banyak. Bagi saya ini adalah “ens33”. Ini juga karena ini adalah antarmuka yang terhubung pada mesin virtual saya dan yang saya lakukan SSH dan yang dapat mengakses internet.

[[email protected] ~]# ifconfig ens33
ens33: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet 192.168.208.137  netmask 255.255.255.0  broadcast 192.168.208.255
        inet6 fe80::20c:29ff:feca:dff1  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:ca:df:f1  txqueuelen 1000  (Ethernet)
        RX packets 6039  bytes 1122388 (1.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6205  bytes 5163411 (4.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Setelah mengidentifikasi antarmuka, mari konfigurasikan QRadar untuk mendengarkan aliran pada antarmuka ini.

Sekarang setelah kami mengonfigurasi sumber aliran, Anda perlu menerapkan perubahan Anda. Anda dapat melakukannya dari tab “Admin” atau item menu, lalu pilih “Deploy Changes”. Setelah perubahan diterapkan, sambungkan ke QRadar Anda melalui SSH dan lakukan beberapa pekerjaan admin. Kemudian sambungkan ke QRadar, buka tab “Aktivitas Jaringan” Anda dan Anda akan melihat beberapa data seperti yang ditunjukkan di bawah ini. Berikut adalah contoh output saya.

Itu saja untuk metode 1.

Lihat posting ini untuk metode 2.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.