Solução de problemas IBM QRadar integração de ingestão de ofensa

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Esta seção aborda dicas importantes de solução de problemas e perguntas frequentes relacionadas a. IBM QRadar ingestão de ofensa.

    • Execução de integração: Quando um trabalho agendado começa a ser executado, um registro de execução de integração com logs, erros e avisos é exibido. O número de infrações extraídas e o número de incidentes criados em uma execução de trabalho programada também são exibidos. Usuários com a função sn_si.analyst podem ver se houve falha na extração de erros/perfis durante a execução da integração.
      As anotações de trabalho na execução de integração fornecem links para os subfluxos executados. Usuários com a função sn_si.analyst podem verificar o. sn_event_ingestion_integration_run tabela para todos os erros que ocorreram. Para solucionar quaisquer problemas de integração, você deve primeiro verificar a execução da integração. Os erros são registrados como anotações de trabalho nos registros de execução de integração para cada execução de trabalho programada.
      Execução de integração do IBM QRadar
    • Problemas de SSL: Ao se conectar ao IBM QRadar Instâncias de nuvem, certifique-se de que a instância tenha um certificado de CA válido que não tenha expirado. Você pode importar RSA ou seus próprios certificados para a plataforma e garantir que o nome comum do certificado corresponda ao nome do host. Consulte https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 para obter detalhes.
    • Perfil incompleto: Ao configurar o perfil, nas Opções adicionais ( Automatize atualizações de infração e fechamento com base no status do incidente SIR), você deve clicar em Concluir Botão para garantir que o perfil seja movido para o estado Aguardando, indicando que está aguardando ingestão.
    • Validar perfil: Para validar se a integração está funcionando corretamente, verifique os estados do perfil, a data da última extração do perfil, a tabela de importação de ofensa, os registros da tabela de ofensa para tarefa.
    • Configuração DO MID Server: Se você estiver instalando o. IBM QRadar Aplicação no local, depois de configurar o MID Server, você deve criar uma aplicação do MID Server. O nome da aplicação do MID Server deve ser usado no bloco de configurações de integração em vez do nome do MID Server.
      Nota:
      O tempo limite do MID Server padrão é de 30 segundos. Para ver instruções sobre como desabilitar o período de tempo limite, consulte <link>. Observe que esta é uma mudança em todo o sistema e pode afetar outras integrações.
    • Atualizações de ofensa: Se você habilitou o. sn_sec_qradar.get_ofense_updates e você percebe um atraso na criação de incidentes de segurança e, em seguida, desabilita a propriedade. Não habilite esta propriedade quando o intervalo de pesquisa for baixo e a carga de ofensas no QRadar for alta, pois isso aumenta a carga da fila.
    • Evento, dados de fluxo, remote_ip ou dados de usuários ausentes em um incidente de segurança: Se você observar que os dados de evento, dados de fluxo, remote_ip ou usuários estão ausentes em um incidente de segurança, aumente o tempo limite (segundos) para sn_sec_qradar.sid_ttl parâmetro. Aumentar a duração atrasa a criação do incidente de segurança até que os AQLs concluam a análise de cada infração.
    • Tempos limites: Se você exibir erros de tempo limite nos logs da aplicação, revise e modifique as seguintes ações do Flow Designer:
      Tabela 1. Ações do Flow Designer
      Parâmetros Ação

      Buscar exemplos de infrações

      Sn_fd.FlowAPI.executeAction(sn_sec_qradar.fire_rest_for_offences', flow_inputs, 60000);      		 Revise e atualize a duração em milissegundos.

      Buscar exemplos de infrações

      Sn_fd.FlowAPI.executeAction(sn_sec_qradar.fire_rest_for_ofences', flow_inputs);      		 Adicione um parâmetro para ExecutoAction e insira a duração em milissegundos.

      Buscar infrações para registros de perfil e fila na tabela de pesquisa

      Sn_fd.FlowAPI.executeAction(sn_sec_qradar.fire_rest_for_offences', flow_inputs, 180000);      		 Revise e atualize a duração em milissegundos.

      Wrapper para testar REST de conexão

      REST_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.test_connection_rest', rest_inputs);      		 Adicione um parâmetro para ExecutoAction e insira a duração em milissegundos.

      Wrapper para validar REST de credenciais de API

      REST_outputs: Sn_fd.FlowAPI.executeAction(sn_sec_qradar.validate_credentials_rest', rest_inputs);      		 Adicione um parâmetro para ExecutoAction e insira a duração em milissegundos.

      Etapa REST para atualizações de infração do IBM QRadar

      Resultado da variável: Sn_fd.FlowAPI.executeAction('sn_sec_qradar.' restStep, inputs,60000);      		 Revise e atualize a duração em milissegundos.