Solução de problemas de IBM QRadar integração de ingestão de infração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Esta seção aborda dicas importantes de solução de problemas e perguntas frequentes relacionadas à ingestão de IBM QRadar infração.

    • Execução de integração: quando um trabalho agendado começa a ser executado, um registro de execução de integração com logs, erros e avisos é exibido. O número de infrações extraídas e o número de incidentes criados em uma execução de trabalho agendada também são exibidos. Usuários com a função sn_si.analyst podem ver se houve falha na extração de erros/perfis durante a execução da integração.
      As anotações de trabalho na execução de integração fornecem links para os subfluxos executados. Usuários com a função sn_si.analyst podem verificar a tabela sn_event_ingestion_integration_run em busca de erros ocorridos. Para solucionar quaisquer problemas de integração, você deve primeiro verificar a execução da integração. Os erros são registrados como anotações de trabalho nos registros de execução de integração para cada execução de trabalho agendada.
      Execução de integração do IBM QRadar
    • Problemas de SSL: ao se conectar a IBM QRadar instâncias de nuvem, certifique-se de que a instância tenha um certificado de CA válido que não tenha expirado. Você pode importar o RSA ou seus próprios certificados para a plataforma e garantir que o nome comum do certificado corresponda ao nome do host. Consulte https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 para obter detalhes.
    • Perfil incompleto: ao configurar o perfil, na seção Opções adicionais (Automatizar atualizações de infração e fechamento com base no status do incidente SIR), você deve clicar no botão Concluir para garantir que o perfil seja movido para o estado Aguardando, indicando que está aguardando a ingestão.
    • Validar perfil: para validar se a integração está funcionando corretamente, verifique os estados do perfil, a data da última extração do perfil, a tabela de importação de infração, os registros da tabela de infração para tarefa.
    • Configuração do MID Server: se você estiver instalando a aplicação IBM QRadar no local, após configurar o MID Server, deverá criar uma aplicação de MID Server. O nome da aplicação do MID server deve ser usado no bloco de configurações de integração em vez do nome do MID server.
      Nota:
      O tempo limite de serviço do MID padrão é de 30 segundos. Para ver instruções sobre como desabilitar o período de tempo limite, consulte <link>. Observe que esta é uma mudança em todo o sistema e pode afetar outras integrações.
    • Atualizações de infração: se você tiver habilitado a propriedade sn_sec_qradar.get_offense_updates e observar um atraso na criação de incidentes de segurança, desabilite a propriedade. Não habilite esta propriedade quando o intervalo de pesquisa for baixo e a carga de infrações no QRadar for alta, pois isso aumenta a carga da fila.
    • Evento ausente, dados de fluxo, remote_ip ou dados de usuários em um incidente de segurança: se você observar que eventos, dados de fluxo, remote_ip ou dados de usuários estão ausentes em um incidente de segurança, aumente o tempo limite (segundos) do parâmetro sn_sec_qradar.sid_ttl. O aumento da duração atrasa a criação do incidente de segurança até que os AQLs concluam a análise de cada violação.
    • Tempos limites: se você exibir erros de tempo limite nos logs da aplicação, revise e modifique as seguintes ações do Flow Designer:
      Tabela 1. Ações do Flow Designer
      Parâmetros Ação

      Buscar exemplos de infrações

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000);      		 Revise e atualize a duração em milissegundos.

      Buscar exemplos de infrações

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs);      		 Adicione um parâmetro para executeAction e insira a duração em milissegundos.

      Buscar infrações para registros de perfil e fila na tabela de pesquisa

      var flow_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000);      		 Revise e atualize a duração em milissegundos.

      Wrapper para REST de conexão de teste

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs);      		 Adicione um parâmetro para executeAction e insira a duração em milissegundos.

      Wrapper para validar REST de credenciais de API

      var rest_outputs = sn_fd.FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 Adicione um parâmetro para executeAction e insira a duração em milissegundos.

      Etapa REST para atualizações de infração do IBM QRadar

      var result = sn_fd.FlowAPI.executeAction('sn_sec_qradar.'+restStep, entradas,60000);      		 Revise e atualize a duração em milissegundos.