Problembehandlung IBM QRadar Integration der Verstoßerfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Dieser Abschnitt behandelt wichtige Tipps zur Fehlerbehebung und häufig gestellte Fragen im Zusammenhang mit IBM QRadar Verstoßerfassung.

    • Integrationsausführung: Wenn die Ausführung einer geplanten Aufgabe beginnt, wird ein Datensatz der Integrationsausführung mit Protokollen, Fehlern und Warnungen angezeigt. Die Anzahl der abgerufenen Verstöße und die Anzahl der Incidents, die in einer geplanten Aufgabenausführung erstellt wurden, werden ebenfalls angezeigt. Anwender mit der Rolle „sn_si.Analyst“ können sehen, ob Fehler/Profile beim Abrufen während der Integrationsausführung fehlgeschlagen sind.
      Arbeitsnotizen in der Integrationsausführung bieten Links zu den ausgeführten Subflows. Benutzer mit der Rolle „sn_si.Analyst“ können überprüfen sn_event_ingestion_Integration_Run Tabelle für alle aufgetretenen Fehler. Um Integrationsprobleme zu beheben, müssen Sie zuerst die Integrationsausführung überprüfen. Fehler werden als Arbeitsnotizen in den Datensätzen der Integrationsausführung für jede geplante Aufgabenausführung protokolliert.
      IBM QRadar-Integrationsausführung
    • SSL-Probleme: Beim Herstellen einer Verbindung mit IBM QRadar Cloud-Instanzen: Stellen Sie sicher, dass die Instanz über ein gültiges CA-Zertifikat verfügt, das noch nicht abgelaufen ist. Sie können RSA- oder eigene Zertifikate in die Plattform importieren und sicherstellen, dass der allgemeine Name des Zertifikats mit dem Hostnamen übereinstimmt. Details siehe https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44.
    • Unvollständiges Profil: Beim Konfigurieren des Profils in den zusätzlichen Optionen ( Automatisieren Sie die Aktualisierung und den Abschluss von Verstößen basierend auf dem SIR-Incident-Status) Abschnitt müssen Sie auf klicken Beenden Schaltfläche, um sicherzustellen, dass das Profil in den Status „Warten“ verschoben wird, um anzuzeigen, dass es auf die Erfassung wartet.
    • Profil validieren: Um zu validieren, ob die Integration ordnungsgemäß funktioniert, überprüfen Sie die profilstatus, das Datum des letzten Abrufs des Profils, die Tabelle des Verstoßimports und die Datensätze der Aufgabentabelle.
    • MID-Server-Konfiguration: Wenn Sie installieren IBM QRadar Anwendung lokal: Nach der Konfiguration des MID-Servers müssen Sie eine MID-Server-Anwendung erstellen. Der Name der MID-Server-Anwendung sollte in der Kachel für Integrationskonfigurationen anstelle des MID-Server-Namens verwendet werden.
      Hinweis:
      Die Standardzeitüberschreitung für MID-Service beträgt 30 Sekunden. Anweisungen zum Deaktivieren des Zeitüberschreitungszeitraums finden Sie unter <link>. Beachten Sie, dass dies ein systemweiter Change ist und sich auf andere Integrationen auswirken kann.
    • Verstöße-Updates: Wenn Sie aktiviert haben sn_sec_qradar.get_offense_updates Eigenschaft, und Sie bemerken eine Verzögerung bei der Erstellung von Security Incidents, und deaktivieren Sie dann die Eigenschaft. Aktivieren Sie diese Eigenschaft nicht, wenn das Abfrageintervall niedrig und die Last der Vergehen in QRadar hoch ist, da dies die Warteschlangenlast erhöht.
    • Fehlende Ereignis-, Flow-Daten, Remote_ip- oder Anwenderdaten in einem Security Incident: Wenn Sie feststellen, dass Ereignis, Flow-Daten, Remote_ip oder Anwenderdaten in einem Security Incident fehlen, erhöhen Sie die Zeitüberschreitung (Sekunden) für sn_sec_qradar.sid_ttl Parameter. Wenn Sie die Dauer erhöhen, wird die Erstellung des Security Incidents verzögert, bis die AQLs die Analyse jedes Verstoßes abgeschlossen haben.
    • Zeitüberschreitungen: Wenn Sie Zeitüberschreitungsfehler in den Anwendungsprotokollen anzeigen, überprüfen und ändern Sie die folgenden Flow Designer-Aktionen:
      Tabelle : 1. Flow Designer-Aktionen
      Parameter Aktion

      Beispielvergehen Abrufen

      VAR Flow_output = sn_fd.FlowAPI.ExecuteAction('sn_sec_qradar.Fire_Rest_for_offenses', Flow_input, 60000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.

      Beispielvergehen Abrufen

      VAR Flow_output = sn_fd.FlowAPI.ExecuteAction('sn_sec_qradar.Fire_Rest_for_offenses', Flow_input);      		 Fügen Sie einen Parameter für hinzu ExecuteAction Und geben Sie die Dauer in Millisekunden ein.

      Vergehen für Profil- und Warteschlangendatensätze in der Abfragetabelle abrufen

      VAR Flow_output = sn_fd.FlowAPI.ExecuteAction('sn_sec_qradar.Fire_Rest_for_offenses', Flow_input, 180000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.

      Wrapper zum Testen der Verbindungs-REST

      VAR Rest_output = sn_fd.FlowAPI.ExecuteAction('sn_sec_qradar.Test_connection_Rest', Rest_input);      		 Fügen Sie einen Parameter für hinzu ExecuteAction Und geben Sie die Dauer in Millisekunden ein.

      Wrapper zum Validieren der REST-API-Anmeldeinformationen

      VAR Rest_output = sn_fd.FlowAPI.ExecuteAction('sn_sec_qradar.validate_credentials_Rest', Rest_input);      		 Fügen Sie einen Parameter für hinzu ExecuteAction Und geben Sie die Dauer in Millisekunden ein.

      REST-Schritt für Updates von IBM QRadar-Vergehen

      VAR-Ergebnis = sn_fd.FlowAPI.ExecuteAction('sn_sec_qradar.'+restStep, Eingaben,60000);      		 Überprüfen und aktualisieren Sie die Dauer in Millisekunden.