Vue d’ensemble de la carte QID

Utilisez l’utilitaire de mappage Identificateur JSA (QID) pour créer, exporter, importer ou modifier des entrées de mappage QID définies par l’utilisateur.

La carte QID associe un événement sur un périphérique externe à un (QID).

Consultez les tâches suivantes pour la gestion des QID :

Création d’une entrée de mappage QID
Modification d’une entrée de mappage QID
Importation d’entrées de carte Qid
Exportation d’entrées de mappage QID

Pour exécuter l’utilitaire, utilisez la syntaxe suivante :

qidmap_cli.sh [-l|-c|-m|-i[-f <filename>]|-e[-f <filename>]|-d]

Le tableau suivant décrit les options de ligne de commande de l’utilitaire de carte QID.

Tableau 1 : Options de l’utilitaire de mappage QID
Options	Description
-L	Répertorie la catégorie de bas niveau.
-C	Crée une entrée de mappage QID
-M	Modifie une entrée de mappage QID définie par l’utilisateur.
-Je	Importe les entrées de la carte QID.
-E	Exporte les entrées de mappage QID existantes définies par l’utilisateur.
-f <nom de fichier>	Si vous incluez l’option -i ou -e, spécifie un nom de fichier pour importer ou exporter des entrées de mappage QID.
-D	Si vous incluez l’option -i ou -e, spécifie un délimiteur pour le fichier d’importation ou d’exportation. La valeur par défaut est une virgule.
-h	Affiche les options d’aide.

Création d’une entrée de mappage QID

Créez une entrée de mappage d’identificateur JSA (QID) pour mapper un événement d’un périphérique externe à QID.

À l’aide de SSH, connectez-vous à JSA en tant qu’utilisateur root.
Pour localiser la catégorie de bas niveau pour l’entrée de mappage QID que vous souhaitez créer, tapez la commande suivante :

/opt/qradar/bin/qidmap_cli.sh -l

Si vous souhaitez rechercher une catégorie de bas niveau particulière, vous pouvez utiliser la grep commande pour filtrer les résultats :

/opt/qradar/bin/qidmap_cli.sh -l | grep <text>

Tapez la commande suivante :

qidmap_cli.sh -c --qname <nom> --qdescription <description> --severity <gravité> --lowlevelcategoryid <ID>

Le tableau suivant décrit les options de ligne de commande de l’utilitaire de mappage QID :

Options	Description
-C	Crée une entrée de mappage QID.
--qname `<name>`	Nom que vous souhaitez associer à cette entrée de mappage QID. Le nom peut comporter jusqu’à 255 caractères. Si vous incluez des espaces dans le nom, placez-le entre guillemets.
--qdescription `<description>`	Description de cette entrée de carte QID. La description peut comporter jusqu’à 2048 caractères. Si vous incluez des espaces dans la description, placez-la entre guillemets.
--Gravité `<severity>`	Niveau de gravité que vous souhaitez attribuer à cette entrée de mappage QID. La plage valide est comprise entre 1 et 10.
--lowlevelcategoryid `<ID>`	ID de catégorie de bas niveau que vous souhaitez attribuer à cette entrée de mappage QID. Pour plus d’informations, consultez le Guide d’administration de Juniper Secure Analytics.

Modification d’une entrée de mappage QID

Modifiez une entrée de mappage d’identificateur JSA (QID) définie par l’utilisateur.

Note:

Le qidmap_cli script ne peut pas interagir avec les entrées QID associées à un type de source de journal personnalisé spécifique. JSA dispose d’API publiques qui peuvent interagir avec les QID de cette plage. L’API est utilisée comme mécanisme pris en charge pour l’opération. L’API de mappage QID se trouve à l’emplacement /data_classification/qid_records. L’API prend en charge les fonctions GET, CREATE et UPDATE. Il ne prend pas en charge la fonction DELETE.

À l’aide de SSH, connectez-vous à JSA en tant qu’utilisateur root.
Tapez la commande suivante :

qidmap_cli.sh -m --qid<QID> --qname <nom> --qdescription <description> --gravité <gravité>

Le tableau suivant décrit les options de ligne de commande de l’utilitaire de mappage QID :

Options	Description
-M	Modifie une entrée de mappage QID définie par l’utilisateur.
--Qid `<QID>`	QID que vous souhaitez modifier.
--qname `<name>`	Nom que vous souhaitez associer à cette entrée de mappage QID. Le nom peut comporter jusqu’à 255 caractères, sans espaces.
--qdescription `<description>`	Description de cette entrée de carte QID. La description peut comporter jusqu’à 2048 caractères, sans espaces.
--Gravité `<severity>`	Niveau de gravité que vous souhaitez attribuer à cette entrée de mappage QID. La plage valide est comprise entre 0 et 10.

Importation d’entrées de carte Qid

À l’aide de l’utilitaire de mappage JSA Identifier (QID), vous pouvez importer des entrées de mappage QID à partir d’un fichier .txt.

Créez un fichier .txt qui inclut les entrées de mappage QID définies par l’utilisateur que vous souhaitez importer. Assurez-vous que chaque entrée du fichier est séparée par une virgule. Choisissez l’une des options suivantes :

Si vous souhaitez importer une nouvelle liste d’entrées de mappage QID définies par l’utilisateur, créez le fichier avec le format suivant pour chaque entrée :
,buffer,buffer_QID,7,18401 ,malware,malware_misc,8,18403
Si vous souhaitez importer une liste existante d’entrées de mappage QID définies par l’utilisateur, créez le fichier avec le format suivant pour chaque entrée :
2000002,buffer,buffer_QID,7 2000001,malware,malware_misc

Le tableau suivant décrit les options de ligne de commande de l’utilitaire QID.

Options	Description
`<qid>`	ID QID existant pour l’entrée. Cette option est nécessaire si vous souhaitez importer une liste exportée existante d’entrées QID. Pour importer de nouvelles entrées QID, n’utilisez pas cette option. L’utilitaire de mappage QID attribue un identificateur (QID) à chaque entrée du fichier.
--qname `<name>`	Nom que vous souhaitez associer à cette entrée de mappage QID. Le nom peut comporter jusqu’à 255 caractères, sans espaces.
--qdescription `<description>`	Description de cette entrée de carte QID. La description peut comporter jusqu’à 2048 caractères, sans espaces.
--Gravité `<severity>`	Niveau de gravité que vous souhaitez attribuer à cette entrée de mappage QID. La plage valide est comprise entre 0 et 10.
--lowlevelcategoryid `<ID>`	ID de catégorie de bas niveau que vous souhaitez attribuer à cette entrée de mappage QID. Cette option n’est nécessaire que si vous souhaitez importer une nouvelle liste d’entrées QID.

Enregistrez et fermez le fichier.
À l’aide de SSH, connectez-vous à JSA en tant qu’utilisateur root :
Pour importer le fichier de mappage QID, tapez la commande suivante :

/opt/qradar/bin/qidmap_cli.sh -i -f <filename.txt>

L’option <filename.txt> est le chemin d’accès au répertoire et le nom du fichier qui contient les entrées de la carte QID. Si l’une des entrées du fichier provoque une erreur, aucune entrée du fichier n’est appliquée.

Exportation d’entrées de mappage QID

Affichez les correspondances entre les événements des périphériques externes et leurs identifiants uniques en exportant vos entrées QID.

Pour les entrées de mappage QID que vous avez créées, utilisez l’utilitaire de mappage QID pour exporter les entrées dans un fichier .txt .

Pour une carte QID complète incluant les entrées QID système par défaut, utilisez la commande idlist.sh .

À l’aide de SSH, connectez-vous à JSA en tant qu’utilisateur root.
Pour exporter le fichier de mappage QID des entrées définies par l’utilisateur, tapez la commande suivante :

/opt/qradar/bin/qidmap_cli.sh -e -f <filename.txt>

L’option <filename.txt> est le chemin d’accès au répertoire et le nom du fichier que vous souhaitez contenir vos entrées de mappage QID.
Pour exporter l’intégralité de la carte QID, tapez la commande suivante :

/opt/qradar/bin/idlist.sh -e qid > <filename.txt>
Pour déterminer la date de dernière modification de votre mappage QID, exécutez une requête SQL.

Par exemple, si un QID a le numéro d’identification 64250088, tapez la requête SQL suivante pour récupérer sa date de dernière modification :

psql -U qradar -c "select qid,to_timestamp(serial/1000) as date from qidmap_serial where qid = 64250088;"

SUR CETTE PAGE

Vue d’ensemble de la carte QID

Création d’une entrée de mappage QID

Modification d’une entrée de mappage QID

Importation d’entrées de carte Qid

Exportation d’entrées de mappage QID

Documentation connexe