Dépannage de l’intégration IBM QRadar de l’ingestion d’infractions

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Cette section présente des conseils de dépannage importants et les questions fréquemment posées relatives à l’ingestion d’infractions IBM QRadar .

    • Exécution de l’intégration : lorsqu’une tâche planifiée commence à s’exécuter, un enregistrement d’exécution de l’intégration avec des journaux, des erreurs et des avertissements s’affiche. Le nombre d’infractions extraites et le nombre d’incidents créés lors d’une exécution de tâche planifiée sont également affichés. Les utilisateurs disposant du rôle sn_si.analyst peuvent voir si des erreurs/profils ont échoué lors de l’extraction pendant l’exécution de l’intégration.
      Les notes de travail de l’exécution de l’intégration fournissent des liens vers les flux secondaires exécutés. Les utilisateurs disposant du rôle sn_si.analyst peuvent rechercher des erreurs survenues dans la table sn_event_ingestion_integration_run . Pour résoudre les problèmes d’intégration, vous devez d’abord vérifier l’exécution de l’intégration. Les erreurs sont enregistrées sous forme de notes de travail dans les enregistrements d’exécution de l’intégration pour chaque exécution de tâche planifiée.
      Exécution de l’intégration IBM QRadar
    • Problèmes SSL : lors de la connexion à IBM QRadar des instances dans le cloud, assurez-vous que l’instance dispose d’un certificat CA valide qui n’a pas expiré. Vous pouvez importer RSA ou vos propres certificats dans la plateforme et vous assurer que le nom commun du certificat correspond au nom d’hôte. Consultez https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 pour en savoir plus.
    • Profil incomplet : lors de la configuration du profil, dans la section Options supplémentaires (Automatiser les mises à jour et la clôture des infractions en fonction de l’état de l’incident SIR), vous devez cliquer sur le bouton Terminer pour vous assurer que le profil est déplacé vers l’état En attente indiquant qu’il est en attente d’ingestion.
    • Valider le profil : pour valider si l’intégration fonctionne correctement, vérifiez les états du profil, la date de la dernière extraction du profil, la table d’importation des infractions, les enregistrements de la table des infractions vers les tâches.
    • Configuration du serveur MID : si vous installez l’application IBM QRadar sur site, après avoir configuré le serveur MID, vous devez créer une application de serveur MID. Le nom de l’application du Serveur MID doit être utilisé dans la vignette des configurations d’intégration au lieu du nom du Serveur MID.
      Remarque :
      Le délai d’expiration du service MID par défaut est de 30 secondes. Pour voir les instructions sur la désactivation du délai d’expiration, reportez-vous à la section <link>. Notez qu’il s’agit d’un changement à l’échelle du système qui peut avoir un impact sur d’autres intégrations.
    • Mises à jour des infractions : si vous avez activé la propriété sn_sec_qradar.get_offense_updates et que vous remarquez un retard dans la création des incidents de sécurité, désactivez la propriété. N’activez pas cette propriété lorsque l’intervalle d’interrogation est faible et que la charge des infractions sur QRadar est élevée, car cela augmente la charge de la file d’attente.
    • Données d’événement, de flux ou d’utilisateurs manquantes dans un incident de sécurité : si vous constatez que des données d’événement, de flux ou de remote_ip remote_ip ou des utilisateurs sont manquantes dans un incident de sécurité, augmentez le délai d’expiration (en secondes) du paramètre sn_sec_qradar.sid_ttl . L’augmentation de la durée retarde la création de l’incident de sécurité jusqu’à ce que les AQL terminent l’analyse de chaque infraction.
    • Délais d’expiration : si vous affichez les erreurs de délai d’expiration dans les journaux d’application, examinez et modifiez les actions du Concepteur de flux suivantes :
      Tableau 1. Actions du Concepteur de flux
      Paramètres Action

      Extraire des exemples d’infractions

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000) ;      		 Examinez et mettez à jour la durée en millisecondes.

      Extraire des exemples d’infractions

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs) ;      		 Ajoutez un paramètre pour executeAction et entrez la durée en millisecondes.

      Extraire les infractions pour les enregistrements de profil et de file d’attente dans la table d’interrogation

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000) ;      		 Examinez et mettez à jour la durée en millisecondes.

      Couche pour le test de la connexion REST

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs) ;      		 Ajoutez un paramètre pour executeAction et entrez la durée en millisecondes.

      Couche pour le REST de validation des informations d’identification d’API

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs) ;      		 Ajoutez un paramètre pour executeAction et entrez la durée en millisecondes.

      Étape REST pour les mises à jour d’IBM QRadar Offense

      var result = sn_fd. FlowAPI.executeAction('sn_sec_qradar.' +restStep, entrées,60000) ;      		 Examinez et mettez à jour la durée en millisecondes.