위반 수집 통합 문제 해결 IBM QRadar

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • 이 섹션에서는 공격 수집과 IBM QRadar 관련된 중요한 문제 해결 팁과 자주 묻는 질문에 대해 설명합니다.

    • 통합 실행: 예약된 작업이 실행되기 시작하면 로그, 오류 및 경고가 포함된 통합 실행 기록이 표시됩니다. 가져온 위반 수와 예약된 작업 실행에서 생성된 인시던트 수도 표시됩니다. sn_si.analyst 역할을 가진 사용자는 통합 실행 중에 오류/프로필 끌어오기가 실패했는지 확인할 수 있습니다.
      통합 실행의 작업 메모는 실행된 하위 플로우에 대한 링크를 제공합니다. sn_si.analyst 역할을 가진 사용자는 sn_event_ingestion_integration_run 테이블에서 발생한 오류를 확인할 수 있습니다. 통합 문제를 해결하려면 먼저 통합 실행을 확인해야 합니다. 오류는 모든 예약된 작업 실행에 대한 통합 실행 기록에 작업 메모로 로깅됩니다.
      IBM QRadar 통합 실행
    • SSL 문제: 클라우드 인스턴스에 연결할 IBM QRadar 때 인스턴스에 만료되지 않은 유효한 CA 인증서가 있는지 확인합니다. RSA 또는 자체 인증서를 플랫폼으로 임포트하여 인증서의 공통 이름이 호스트 이름과 일치하는지 확인할 수 있습니다. 자세한 내용은 https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 문서를 참조하십시오.
    • 불완전한 프로필: 프로필을 구성하는 동안 추가 옵션(SIR 인시던트 상태를 기반으로 위반 업데이트 및 종결을 자동화) 섹션에서 마침 버튼을 클릭하여 프로필이 수집 대기 중임을 나타내는 대기 상태로 이동되었는지 확인해야 합니다.
    • 프로파일 확인: 통합이 올바르게 작동하는지 확인하려면 프로파일 상태, 프로파일의 마지막 가져온 날짜, 위반 임포트 테이블, 작업 테이블 기록에 대한 위반을 확인합니다.
    • MID 서버 구성: 온프레미스에 애플리케이션을 설치하는 IBM QRadar 경우 MID 서버를 구성한 후 MID 서버 애플리케이션을 만들어야 합니다. 통합 구성 타일에서는 MID 서버 이름 대신 MID 서버 애플리케이션 이름을 사용해야 합니다.
      주:
      기본 MID 서비스 시간 제한은 30초입니다. 시간 초과 기간을 비활성화하는 방법에 대한 지침을 보려면 을 참조하십시오 <link>. 이는 시스템 전반의 변경이며 다른 통합에 영향을 줄 수 있습니다.
    • 공격 업데이트: sn_sec_qradar.get_offense_updates 속성을 사용하도록 설정했는데 보안 인시던트 생성이 지연되는 경우 속성을 사용하지 않도록 설정합니다. 폴링 간격이 낮고 QRadar의 오펜스 로드가 높으면 큐 로드가 증가하므로 이 특성을 사용하지 마십시오.
    • 보안 인시던트에서 이벤트, 플로우 데이터, remote_ip 또는 사용자 데이터 누락: 보안 인시던트에서 이벤트, 플로우 데이터, remote_ip 또는 사용자 데이터가 누락된 것을 관찰하면 sn_sec_qradar.sid_ttl 매개변수에 대한 시간 제한(초)을 늘립니다. 기간을 늘리면 AQL이 각 위반 구문 분석을 완료할 때까지 보안 인시던트 작성이 지연됩니다.
    • 시간 제한: 애플리케이션 로그에서 시간 제한 오류를 보는 경우 다음 플로우 디자이너 작업을 검토하고 수정합니다.
      표 1. 플로우 디자이너 작업
      매개변수 작업

      샘플 위반 가져오기

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000);      		 기간을 밀리초 단위로 검토하고 업데이트합니다.

      샘플 위반 가져오기

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs);      		 executeAction에 대한 매개변수를 추가하고 기간을 밀리초 단위로 입력합니다.

      폴링 테이블의 프로파일 및 큐 기록에 대한 위반 가져오기

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000);      		 기간을 밀리초 단위로 검토하고 업데이트합니다.

      연결 REST 테스트용 래퍼

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs);      		 executeAction에 대한 매개변수를 추가하고 기간을 밀리초 단위로 입력합니다.

      API 자격 증명 REST 자격 증명을 확인하기 위한 래퍼

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 executeAction에 대한 매개변수를 추가하고 기간을 밀리초 단위로 입력합니다.

      IBM QRadar Offense 업데이트를 위한 REST 단계

      var 결과 = sn_fd. FlowAPI.executeAction('sn_sec_qradar.' +restStep, 입력, 60000);      		 기간을 밀리초 단위로 검토하고 업데이트합니다.