Résolution des problèmes liés à l’intégration IBM QRadar de l’ingestion d’infraction

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Cette section couvre des conseils de dépannage importants et les questions fréquemment posées relatives à l’ingestion d’infractions IBM QRadar .

    • Exécution de l’intégration : lorsqu’une tâche planifiée commence à s’exécuter, un enregistrement d’exécution de l’intégration avec les journaux, les erreurs et les avertissements s’affiche. Le nombre d’infractions extraites et le nombre d’incidents créés dans une exécution de tâche planifiée sont également affichés. Les utilisateurs disposant du rôle sn_si.analyst peuvent voir si l’extraction des erreurs/profils a échoué pendant l’exécution de l’intégration.
      Les notes de travail de l’exécution de l’intégration fournissent des liens vers les flux secondaires exécutés. Les utilisateurs disposant du rôle sn_si.analyst peuvent consulter la table sn_event_ingestion_integration_run pour détecter les erreurs survenues. Pour résoudre tout problème d’intégration, vous devez d’abord vérifier l’exécution de l’intégration. Les erreurs sont enregistrées sous forme de notes de travail dans les enregistrements d’exécution de l’intégration pour chaque exécution de tâche planifiée.
      Exécution de l’intégration IBM QRadar
    • Problèmes SSL : lors de la connexion à des instances cloud IBM QRadar , assurez-vous que l’instance dispose d’un certificat CA valide qui n’a pas expiré. Vous pouvez importer RSA ou vos propres certificats dans la plateforme et vous assurer que le nom commun du certificat correspond au nom d’hôte. Consultez https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 pour en savoir plus.
    • Profil incomplet : lors de la configuration du profil, dans la section Options supplémentaires (Automatiser les mises à jour et la fermeture des infractions en fonction de l’état de l’incident SIR), vous devez cliquer sur le bouton Terminer pour vous assurer que le profil passe à l’état En attente, ce qui indique qu’il est en attente d’ingestion.
    • Valider le profil : pour valider si l’intégration fonctionne correctement, vérifiez les états du profil, la date de la dernière opération Pull du profil, la table d’importation d’infraction, les enregistrements de la table d’infractions à la tâche.
    • Configuration du serveur MID : si vous installez l’application IBM QRadar sur site, après avoir configuré le serveur MID, vous devez créer une application de serveur MID. Le nom de l’application du serveur MID doit être utilisé dans la vignette de configurations d’intégration au lieu du nom du serveur MID.
      Remarque :
      Le délai d’expiration par défaut du service MID est de 30 secondes. Pour obtenir des instructions sur la désactivation du délai d’expiration, reportez-vous à la section <link>. Notez qu’il s’agit d’un changement à l’échelle du système qui peut avoir un impact sur d’autres intégrations.
    • Mises à jour des infractions : si vous avez activé la propriété sn_sec_qradar.get_offense_updates et que vous remarquez un retard dans la création des incidents de sécurité, désactivez la propriété. N’activez pas cette propriété lorsque l’intervalle d’interrogation est faible et que la charge des infractions sur QRadar est élevée, car cela augmente la charge de la file d’attente.
    • Données d’événement remote_ip, de flux ou d’utilisateurs manquantes dans un incident de sécurité : si vous observez que des données d’événement, de flux remote_ip ou d’utilisateurs sont manquantes dans un incident de sécurité, augmentez le délai d’expiration (en secondes) du paramètre sn_sec_qradar.sid_ttl . L’augmentation de la durée retarde la création de l’incident de sécurité jusqu’à ce que les AQL aient terminé l’analyse de chaque infraction.
    • Délais d’expiration : si vous affichez des erreurs de délai d’expiration dans les journaux d’application, examinez et modifiez les actions suivantes du concepteur de flux :
      Tableau 1. Actions du concepteur de flux
      Paramètres Action

      Extraire les exemples d’infractions

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000) ;      		 Examinez et mettez à jour la durée en millisecondes.

      Extraire les exemples d’infractions

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs) ;      		 Ajoutez un paramètre pour executeAction et saisissez la durée en millisecondes.

      Extraire les infractions pour les enregistrements de profil et de file d’attente dans la table d’interrogation

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000) ;      		 Examinez et mettez à jour la durée en millisecondes.

      Couche pour le REST de test de la connexion

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs) ;      		 Ajoutez un paramètre pour executeAction et saisissez la durée en millisecondes.

      Couche pour REST de validation des informations d’identification d’API

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs) ;      		 Ajoutez un paramètre pour executeAction et saisissez la durée en millisecondes.

      Étape REST pour les mises à jour IBM QRadar Offense

      var résultat = sn_fd. FlowAPI.executeAction('sn_sec_qradar.' +restStep, entrées,60000) ;      		 Examinez et mettez à jour la durée en millisecondes.