Problembehandlung bei der Integration der IBM QRadar -Offenheitserfassung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • In diesem Abschnitt werden wichtige Tipps zur Problembehandlung und häufig gestellte Fragen im Zusammenhang mit der Erfassung von IBM QRadar -Angriffen behandelt.

    • Integrationsausführung: Wenn die Ausführung einer geplanten Aufgabe beginnt, wird ein Integrationsausführungsdatensatz mit Protokollen, Fehlern und Warnungen angezeigt. Die Anzahl der gezogenen Straftaten und die Anzahl der Incidents, die in einer geplanten Aufgabe erstellt wurden, werden ebenfalls angezeigt. Benutzer mit der Rolle sn_si.analyst können sehen, ob während der Integrationsausführung Fehler/Profilabrufe fehlgeschlagen sind.
      Arbeitsnotizen in der Integrationsausführung enthalten Links zu den ausgeführten Subflows. Benutzer mit der Rolle sn_si.analyst können die Tabelle sn_event_ingestion_integration_run auf aufgetretene Fehler überprüfen. Um Integrationsprobleme zu beheben, müssen Sie zuerst die Integrationsausführung überprüfen. Fehler werden als Arbeitsnotizen in den Integrationsausführungsdatensätzen für jede Ausführung einer geplanten Aufgabe protokolliert.
      Ausführung der IBM QRadar-Integration
    • SSL-Probleme: Stellen Sie beim Herstellen einer Verbindung mit IBM QRadar Cloud-Instanzen sicher, dass die Instanz über ein gültiges CA-Zertifikat verfügt, das nicht abgelaufen ist. Sie können RSA-Zertifikate oder eigene Zertifikate in die -Plattform importieren und sicherstellen, dass der allgemeine Name des Zertifikats mit dem Hostnamen übereinstimmt. Details siehe https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44.
    • Unvollständiges Profil: Während der Konfiguration des Profils müssen Sie im Abschnitt „Zusätzliche Optionen“ (Automatisieren Sie die Aktualisierung und den Abschluss von Vergehen basierend auf dem SIR-Incident-Status) auf die Schaltfläche Fertig stellen klicken, um sicherzustellen, dass das Profil in den Status Warten verschoben wird, um anzuzeigen, dass es auf die Erfassung wartet.
    • Profil validieren: Um zu validieren, ob die Integration ordnungsgemäß funktioniert, überprüfen Sie die Profilstatus, das Datum des letzten Abrufs des Profils, die Importtabelle für Vergehen und die Datensätze der Tabelle „Vergehen zu Aufgabe“.
    • MID-Server-Konfiguration: Wenn Sie die Anwendung IBM QRadar lokal installieren, müssen Sie nach der Konfiguration des MID-Servers eine MID-Server-Anwendung erstellen. Der MID-Server-Anwendungsname sollte in der Kachel „Integrationskonfigurationen“ anstelle des MID-Server-Namens verwendet werden.
      Hinweis:
      Die standardmäßige Zeitüberschreitung für MID-Server beträgt 30 Sekunden. Anweisungen zum Deaktivieren der Zeitüberschreitung finden Sie unter <link>. Beachten Sie, dass dies eine systemweite Änderung ist, die sich auf andere Integrationen auswirken kann.
    • Updates für Offenses: Wenn Sie die Eigenschaft sn_sec_qradar.get_offense_updates aktiviert haben und eine Verzögerung bei der Erstellung von Security Incidents feststellen, deaktivieren Sie die Eigenschaft. Aktivieren Sie diese Eigenschaft nicht, wenn das Abfrageintervall niedrig und die Last der Vergehen in QRadar hoch ist, da dies die Last der Warteschlange erhöht.
    • Event, Flow-Daten, remote_ip oder Benutzerdaten in einem Security Incident fehlen: Wenn Sie feststellen, dass Event, Flow-Daten, remote_ip oder Benutzerdaten in einem Security Incident fehlen, erhöhen Sie die Zeitüberschreitung (Sekunden) für den Parameter sn_sec_qradar.sid_ttl. Durch Erhöhen der Dauer wird die Erstellung des Security Incident verzögert, bis die AQLs die Analyse jedes Verstoßes abgeschlossen haben.
    • Zeitüberschreitungen: Wenn Sie Zeitüberschreitungsfehler in den Anwendungsprotokollen anzeigen, überprüfen und ändern Sie die folgenden Flow Designer-Aktionen:
      Tabelle : 1. Flow Designer-Aktionen
      Parameter Aktion

      Rufen Sie Beispielvergehen ab

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.

      Rufen Sie Beispielvergehen ab

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs);      		 Fügen Sie einen Parameter für executeAction hinzu, und geben Sie die Dauer in Millisekunden ein.

      Ruft Vergehen für Profil- und Warteschlangendatensätze in der Abfragetabelle ab

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.

      Wrapper zum Testen der Verbindung REST

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs);      		 Fügen Sie einen Parameter für executeAction hinzu, und geben Sie die Dauer in Millisekunden ein.

      Wrapper zum Validieren von API-Anmeldeinformationen REST

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 Fügen Sie einen Parameter für executeAction hinzu, und geben Sie die Dauer in Millisekunden ein.

      REST-Schritt für IBM QRadar-Angriffsaktualisierungen

      var result = sn_fd.FlowAPI.executeAction('sn_sec_qradar.'+restStep, inputs,60000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.