Problembehandlung bei der Integration der Straftaterfassung IBM QRadar .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Dieser Abschnitt enthält wichtige Tipps zur Problembehandlung und häufig gestellte Fragen im Zusammenhang mit der Erfassung von Vergehen bei IBM QRadar.

    • Integrationsausführung: Wenn die Ausführung einer geplanten Aufgabe beginnt, wird ein Integrationsausführungsdatensatz mit Protokollen, Fehlern und Warnungen angezeigt. Die Anzahl der abgerufenen Vergehen und die Anzahl der Incidents, die in einer Ausführung einer geplanten Aufgabe erstellt wurden, werden ebenfalls angezeigt. Benutzer mit der Rolle sn_si.analyst können sehen, ob das Abrufen von Fehlern/Profilen während der Integrationsausführung fehlgeschlagen ist.
      Arbeitsnotizen in der Integrationsausführung enthalten Links zu den ausgeführten Subflows. Benutzer mit der Rolle sn_si.analyst können die Tabelle sn_event_ingestion_integration_run auf aufgetretene Fehler überprüfen. Um Integrationsprobleme zu beheben, müssen Sie zuerst die Integrationsausführung überprüfen. Fehler werden als Arbeitsnotizen in den Datensätzen der Integrationsausführung für jede Ausführung einer geplanten Aufgabe protokolliert.
      IBM QRadar-Integrationsausführung
    • SSL-Probleme: Stellen Sie beim Herstellen einer Verbindung mit Cloud-Instanzen IBM QRadar sicher, dass die Instanz über ein gültiges CA-Zertifikat verfügt, das nicht abgelaufen ist. Sie können RSA-Zertifikate oder eigene Zertifikate in die Plattform importieren und sicherstellen, dass der allgemeine Name des Zertifikats mit dem Hostnamen übereinstimmt. Details siehe https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44.
    • Unvollständiges Profil: Klicken Sie bei der Konfiguration des Profils im Abschnitt „Zusätzliche Optionen“ (Automatisieren Sie die Aktualisierung und den Abschluss von Vergehen basierend auf dem SIR-Incident-Status) auf die Schaltfläche Fertig stellen, um sicherzustellen, dass das Profil in den Status „Warten“ versetzt wird und damit auf die Erfassung wartet.
    • Profil validieren: Um zu validieren, ob die Integration ordnungsgemäß funktioniert, überprüfen Sie die Profilstatus, das Datum des letzten Abrufs des Profils, die Vergehensimporttabelle und die Datensätze der Vergehen-zu-Aufgaben-Tabelle.
    • MID-Serverkonfiguration: Wenn Sie die Anwendung IBM QRadar lokal installieren, müssen Sie nach der Konfiguration des MID-Servers eine MID-Server-Anwendung erstellen. Der Name der MID-Server-Anwendung sollte auf der Kachel der Integrationskonfiguration anstelle des Namens des MID-Servers verwendet werden.
      Hinweis:
      Die standardmäßige Zeitüberschreitung für den MID-Server beträgt 30 Sekunden. Anweisungen zum Deaktivieren der Zeitüberschreitung finden Sie unter <link>. Beachten Sie, dass dies eine systemweite Änderung ist und sich auf andere Integrationen auswirken kann.
    • Updates für Vergehen: Wenn Sie die Eigenschaft sn_sec_qradar.get_offense_updates aktiviert haben und eine Verzögerung bei der Erstellung von Security Incidents feststellen, deaktivieren Sie die Eigenschaft. Aktivieren Sie diese Eigenschaft nicht, wenn das Abfrageintervall niedrig und die Last der Vergehen in QRadar hoch ist, da dies die Warteschlangenlast erhöht.
    • Fehlende Ereignisse, Flow-Daten, Remote-_IP oder Anwenderdaten in einem Security Incident: Wenn Sie feststellen, dass Event-, Flow-Daten, Remote-IP- oder Anwenderdaten in einem Security Incident fehlen, erhöhen Sie die Zeitüberschreitung (Sekunden) für den Parameter „sn_sec_qradar.sid_ttl“. Durch Erhöhen der Dauer wird die Erstellung des Security Incident verzögert, bis die AQLs die Analyse der einzelnen Vergehen abschließen.
    • Zeitüberschreitungen: Wenn Sie Zeitüberschreitungsfehler in den Anwendungsprotokollen anzeigen, überprüfen und ändern Sie die folgenden Flow Designer-Aktionen:
      Tabelle : 1. Flow Designer-Aktionen
      Parameter Aktion

      Beispielvergehen abrufen

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.

      Beispielvergehen abrufen

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs);      		 Fügen Sie einen Parameter für executeAction hinzu, und geben Sie die Dauer in Millisekunden ein.

      Ruft Vergehen für Profil- und Warteschlangendatensätze in der Abfragetabelle ab

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.

      Wrapper zum Testen der Verbindungs-REST

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs);      		 Fügen Sie einen Parameter für executeAction hinzu, und geben Sie die Dauer in Millisekunden ein.

      Wrapper für das REST zum Validieren der API-Anmeldeinformationen

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 Fügen Sie einen Parameter für executeAction hinzu, und geben Sie die Dauer in Millisekunden ein.

      REST-Schritt für IBM QRadar Offense-Updates

      var result = sn_fd.FlowAPI.executeAction('sn_sec_qradar.'+restStep, inputs,60000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.