Eksport bazy assetów w systemie IBM QRadar SIEM

IBM QRadar SIEM

Wśród użytkowników systemu IBM QRadar SIEM czasami pojawia się potrzeba wyeksportowania bazy assetów w celu dokonania różnego rodzaju analiz w trybie off-line np. porównać z inną bazą, sprawdzić czy zawarte w niej dane o wewnętrznych hostach są poprawne, wykorzystać ją jako źródło do zasilenia innego systemu.

Sam system udostępnia narzędzie do wykonania takiego eksportu w zakładce Assets -> Actions -> Export to CSV (alternatywnie Export to XML). W rezultacie takiego działania otrzymujemy archiwum z plikem CSV lub XML, który następnie można zaimportować do narzędzia typu Excel i analizować wg potrzeb. Ta opcja jest wystarczająca dla małych środowisk, w których baza assetów nie jest zbyt rozbudowana tzn. każdy host posiada jedną kartę sieciową z jednym adresem IP, występuje pod jedną nazwą domenową, nie ma dopisków własnych administratora z dodatkowymi parametrami (custom asset property). W przypadku środowiska z bardziej złożoną bazą assetów, która zawiera systemy z wieloma interfejsami sieciowymi i adresami IP lub parametrami dodanymi przez administratora, standardowy eksport okazuje się być niewystarczający. W „fabrycznym” eksporcie znajdziemy jedynie informację o jednym adresie i jednym parametrze dodatkowym, a pozostałe informacje przypisane do danego hosta są zupełnie pominięte.

Poniższy prosty przykład dotyczy bazy assetów, w której jeden host (dc02.galicja.local) posiada 2 adresy IP.

Standardowy eksport bez informacji o drugim adresie . Brak rekordu z adresem 10.99.99.99.

Jak zatem radzić sobie w takich przypadkach?

Rozwiązaniem może być eksport bazy assetów wykonany z użyciem API systemu QRadar. W odpowiedzi na zapytanie GET - /asset_model/assets otrzymamy pełną bazę assetów w formacie JSON. Poniżej przedstawiono przykład zapytania i fragment odpowiedzi.

curl -S -X GET -u admin -H 'Range: items=0-49' -H 'Version: 15.1' -H 'Accept: application/json' 'https://<adres_IP_konsoli_QRadar>/api/asset_model/assets'
{
"vulnerability_count": 118,
"interfaces": [
{
"mac_address": "00:0C:29:BE:5A:E4",
"last_seen_profiler": null,
"created": 1610464430382,
"last_seen_scanner": 1615803904866,
"first_seen_scanner": 1610464430382,
"ip_addresses": [
{
"last_seen_profiler": 1615802172198,
"created": 1610464430382,
"last_seen_scanner": 1615803904866,
"first_seen_scanner": 1610464430382,
"network_id": 33,
"id": 1024,
"type": "IPV4",
"first_seen_profiler": 1615800372401,
"value": "10.11.5.2"
},
{
"last_seen_profiler": null,
"created": 1614151420746,
"last_seen_scanner": null,
"first_seen_scanner": null,
"network_id": 2,
"id": 1031,
"type": "IPV4",
"first_seen_profiler": null,
"value": "10.99.99.99"
}
],
"id": 1024,
"first_seen_profiler": null
}
],
"risk_score_sum": 481.4,
"hostnames": [
{
"last_seen_profiler": null,
"created": 1615806215258,
"last_seen_scanner": null,
"name": "dc02.galicja.local",
"first_seen_scanner": null,
"id": 1019,
"type": "DNS",
"first_seen_profiler": null
},
{
"last_seen_profiler": null,
"created": 1610464430382,
"last_seen_scanner": 1615803904866,
"name": "DC02",
"first_seen_scanner": 1610464430382,
"id": 1004,
"type": "NETBIOS",
"first_seen_profiler": null
}

W powyższym przykładzie widać, że wszystkie adresy hosta dc02.galicja.local są zwracane w tablicy ip_addresses. Teraz wystarczy postać JSON przetworzyć na tabelę i można dowolnie analizować dane. Najprościej można zrobić to bezpośrednio w Excel-u korzystając z menu Dane -> Pobierz dane -> Z pliku -> Z formatu JSON.

Uruchomi się Edytor PowerQuery.

Klikamy przycisk „Do tabeli” i akceptujemy wartości domyślne.

Klikamy przycisk strzałek wybieramy z listy interesujące nas parametry.

Przycisku strzałek w nagłówkach kolumn używamy kilkukrotnie aż do uzyskania oczekiwanych wartości. Wybieramy „Rozwiń do nowych wierszy”. Hosty z wieloma adresami lub nazwami będą w wynikowej tabeli wymienione kilkukrotnie.

Na koniec klikamy „Zamknij i załaduj”. Uzyskamy arkusz zawierający interesujące nas dane o assetach.