dsm

記錄有關開發 qradar dsm 相關的事項

如何開始進行

• google search : qradar dsm guide
• Develop a DSM - 一切的起點
  • Creating a Custom DSM - offical site

Document

• Using QID Maps Technical Note - pdf 檔
  • 使用 command line 的方式來操作 qid maps
  • qidmap_cli.sh [-l|-c|-m|-i[-f <filename>]|-e[-f <filename>]|-d]

驗證 Qradar

• IBM QRadar Pre-Validation App

相關的 youtube 說明

• 在找 qradar 文件的過程中，發現有一個 youtuber 的說明影片做的最佳
• Jose Bravo
  • QRadar DSM Editor - playlist
  • QRadar CE 733 - playlist , QRadar CE 安裝說明
• IBM Security - IBM offical site

可以參考的 QRadar App 範例

• Fortinet FortiGate and IBM QRadar pdf 檔

有關 Export 的部分

• Exporting contents from the DSM Editor
• Exporting contents as a package
  • 使用 cmd 來進行 export
  • /opt/qradar/bin/contentManagement.pl -a search -c 24 -r "<search_name>"
  • USAGE: /opt/qradar/bin/contentManagement.pl --action <ACTIONTYPE> [--quiet] [--verbose] [--debug] Type /opt/qradar/bin/contentManagement.pl --help <ACTIONTYPE> for help on a specific action
  • content type table
    `

    +-----------------------------------------------------------------------+
     | Custom content type               | String               | ID         |
     |-----------------------------------------------------------------------|
     | Custom properties                 | customproperty       | 6          |
     | Log source type                   | sensordevicetype     | 24         |
     | Log source extensions             | deviceextension      | 16         |
     | Custom QidMap entries             | qidmap               | 27         |
     +-----------------------------------------------------------------------+

    `

有關 DSM LEEF 有關

• Log Event Extended Format (LEEF)Version 2

Reference

• 客製化裝置支援模組　QRadar擔綱資安守護者
• QRadar DSM Editor Tutorial in less than 10 minutes
• IBM/qradar-sample-apps