Solução de problemas IBM QRadarintegração de ingestão de ofensa

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Esta seção aborda dicas importantes de solução de problemas e perguntas frequentes relacionadas a IBM QRadaringestão de infração.

    • Execução de integração: Quando um trabalho agendado começa a ser executado, um registro de execução de integração com logs, erros e avisos é exibido. O número de infrações extraídas e o número de incidentes criados em uma execução de trabalho agendada também são exibidos. Os usuários com a função sn_si.analyst podem ver se houve falha na extração de erros/perfis durante a execução da integração.
      As anotações de trabalho na execução de integração fornecem links para os subfluxos executados. Os usuários com a função sn_si.analista podem verificar o. sn_event_ingestion_integration_run tabela para todos os erros que ocorreram. Para solucionar quaisquer problemas de integração, você deve primeiro verificar a execução da integração. Os erros são registrados como anotações de trabalho nos registros de execução de integração para cada execução de trabalho agendada.
      Execução de integração do IBM QRadar
    • Problemas de SSL: Ao se conectar a. IBM QRadarInstâncias de nuvem, certifique-se de que a instância tenha um certificado de CA válido que não tenha expirado. Você pode importar RSA ou seus próprios certificados para a plataforma e garantir que o nome comum do certificado corresponda ao nome do host. Consulte https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 para obter detalhes.
    • Perfil incompleto: Ao configurar o perfil, nas Opções adicionais ( Automate atualizações de infração e fechamento com base no status do incidente de SIR), você deve clicar em Concluir Botão para garantir que o perfil seja movido para o estado Aguardando, indicando que está aguardando ingestão.
    • Validar perfil: Para validar se a integração está funcionando corretamente, verifique os estados do perfil, a data da última extração do perfil, a tabela de importação de ofensa, os registros da tabela de ofensa para tarefa.
    • Configuração do MID Server: Se você estiver instalando o. IBM QRadarAplicação no local, depois de configurar o MID Server, você deve criar uma aplicação do MID Server. O nome da aplicação do MID Server deve ser usado no bloco de configurações de integração em vez do nome do MID Server.
      Nota:
      O tempo limite padrão do MID serve é de 30 segundos. Para ver instruções sobre como desabilitar o período de tempo limite, consulte <link>. Observe que esta é uma mudança em todo o sistema e pode afetar outras integrações.
    • Atualizações de ofensa: Se você tiver habilitado o. sn_sec_qradar.get_ofense_updates e você percebe um atraso na criação de incidentes de segurança e, em seguida, desabilita a propriedade. Não habilite esta propriedade quando o intervalo de pesquisa for baixo e a carga de infrações no QRadar for alta, pois isso aumenta a carga da fila.
    • Evento, dados de fluxo, remote_ip ou dados de usuários ausentes em um incidente de segurança: Se você observar que os dados de evento, dados de fluxo, remote_ip ou usuários estão ausentes em um incidente de segurança, aumente o tempo limite (segundos) para sn_sec_qradar.sid_ttl parâmetro. Aumentar a duração atrasa a criação do incidente de segurança até que as AQLs concluam a análise de cada infração.
    • Tempos limite: Se você exibir erros de tempo limite nos logs da aplicação, revise e modifique as seguintes ações do designer de fluxo:
      Tabela 1. Ações do designer de fluxo
      Parâmetros Ação

      Buscar amostras de infrações

      Flow_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.fire_rest_for_offences', flow_inputs, 60000);      		 Revise e atualize a duração em milissegundos.

      Buscar amostras de infrações

      Flow_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.fire_rest_for_offences', flow_inputs);      		 Adicione um parâmetro para Execute Action e insira a duração em milissegundos.

      Buscar infrações para registros de perfil e fila na tabela de pesquisa

      Flow_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.fire_rest_for_offences', flow_inputs, 180000);      		 Revise e atualize a duração em milissegundos.

      Wrapper para testar REST de conexão

      REST_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.test_connection_rest', rest_inputs);      		 Adicione um parâmetro para Execute Action e insira a duração em milissegundos.

      Wrapper para validar REST de credenciais de API

      REST_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 Adicione um parâmetro para Execute Action e insira a duração em milissegundos.

      Etapa REST para atualizações de infração do IBM QRadar

      Resultado da variável: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.' restStep, inputs,60000);      		 Revise e atualize a duração em milissegundos.