IBM QRadar 違反の取り込み統合のトラブルシューティング

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • このセクションでは、IBM QRadar 違反の取り込み統合に関連する重要なトラブルシューティングのヒントとよくある質問について説明します。

    • 統合の実行:スケジュール済みジョブの実行が開始されると、ログ、エラー、および警告を含む統合実行レコードが表示されます。取得した違反の数と、スケジュール済みジョブの実行で作成されたインシデントの数も表示されます。sn_si.analyst ロールを持つユーザーは、統合の実行中にエラー/プロファイルの取得に失敗したかどうかを確認できます。
      統合実行の作業メモで、実行されたサブフローへのリンクが提供されます。sn_si.analyst ロールを持つユーザーは、sn_event_ingestion_integration_run テーブルで発生したエラーを確認できます。統合の問題をトラブルシューティングするには、最初に統合の実行を確認する必要があります。エラーは、スケジュール済みジョブの実行ごとに統合実行レコードに作業メモとして記録されます。
      IBM QRadar 統合の実行
    • SSL の問題:IBM QRadar クラウドインスタンスに接続する場合は、インスタンスに期限切れでない有効な CA 証明書があることを確認してください。RSA または独自の証明書をプラットフォームにインポートし、証明書の共通名がホスト名と一致しているか確認できます。詳細については、「https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44」を参照してください。
    • 不完全なプロファイル:プロファイルの設定中に、[他のオプション] (SIR インシデント状況に基づく違反の更新とクローズの自動化) セクションで [完了] ボタンをクリックして、プロファイルが取り込みを待機していることを示す [待機中] ステータスに移行したことを確認する必要があります。
    • プロファイルの検証:統合が正常に機能しているかどうかを検証するには、プロファイルステータス、プロファイルの前回の取得日、違反インポートテーブル、タスクに対する違反テーブルの各レコードを確認します。
    • MID サーバー構成:IBM QRadar アプリケーションをオンプレミスにインストールする場合は、MID サーバーを構成した後に MID サーバーアプリケーションを作成する必要があります。統合の構成タイルでは、MID サーバー名ではなく MID サーバーアプリケーション名を使用する必要があります。
      注:
      デフォルトの MID サーバータイムアウトは 30 秒です。タイムアウト期間を無効にする手順については、「<link>」を参照してください。これはシステム全体の変更であり、他の統合に影響を与える可能性があることに注意してください。
    • 違反の更新:sn_sec_qradar.get_offense_updates プロパティを有効にしていて、セキュリティインシデントの作成の遅延に気付いた場合は、このプロパティを無効にします。ポーリング間隔が短く、QRadar の違反負荷が高いと、キューの負荷が増加するため、このプロパティを有効にしないでください。
    • セキュリティインシデントのイベント、フローデータ、remote_ip、またはユーザーデータの欠落:セキュリティインシデントにイベント、フローデータ、remote_ip、またはユーザーのデータがない場合は、sn_sec_qradar.sid_ttl パラメーターのタイムアウト (秒) を増やします。期間を長くすると、AQL が各違反の解析を完了するまでセキュリティインシデントの作成が遅延します。
    • タイムアウト:アプリケーションログでタイムアウトエラーを表示する場合は、次のフローデザイナーアクションを確認して変更します。
      表 : 1. フローデザイナーアクション
      パラメーター アクション

      サンプル違反をフェッチ

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000);      		 期間をミリ秒単位で確認および更新します。

      サンプル違反をフェッチ

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs);      		 executeAction のパラメーターを追加し、期間をミリ秒単位で入力します。

      ポーリングテーブルのプロファイルレコードとキューレコードの違反をフェッチ

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000);      		 期間をミリ秒単位で確認および更新します。

      テスト接続 REST のためのラッパー

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs);      		 executeAction のパラメーターを追加し、期間をミリ秒単位で入力します。

      API 認証情報 RESTを検証するラッパー

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 executeAction のパラメーターを追加し、期間をミリ秒単位で入力します。

      IBM QRadar 違反更新の REST ステップ

      var result = sn_fd.FlowAPI.executeAction('sn_sec_qradar.'+restStep, inputs,60000);      		 期間をミリ秒単位で確認および更新します。