Questa pagina spiega come inviare automaticamente i risultati, gli asset, i log di controllo e le origini della sicurezza di Security Command Center a IBM QRadar. Viene inoltre descritto come gestire i dati esportati. QRadar è una piattaforma di gestione delle informazioni e degli eventi di sicurezza (SIEM) che importa i dati di sicurezza da una o più fonti e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale.
In questa guida, ti assicuri che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consenti a QRadar di accedere a risultati, audit log e asset nel tuo ambiente Security Command Center.
Prima di iniziare
Questa guida presuppone che tu stia utilizzando QRadar (v7.4.1Fix Pack 2 o versioni successive). Per iniziare a utilizzare QRadar, consulta l'articolo Registrati a QRadar.
Configura autenticazione e autorizzazione
Prima di connetterti a QRadar, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi collegare e concedere all'account i ruoli IAM a livello di organizzazione e di progetto necessari per l'app Google SCC per QRadar.
Crea un account di servizio e concedi ruoli IAM
I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.
Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.
- Nello stesso progetto in cui crei gli argomenti Pub/Sub, usa la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, consulta Creazione e gestione degli account di servizio.
Concedi all'account di servizio il seguente ruolo:
- Editor Pub/Sub (
roles/pubsub.editor
)
- Editor Pub/Sub (
Copia il nome dell'account di servizio appena creato.
Usa il selettore di progetti nella console Google Cloud per passare al livello di organizzazione.
Apri la pagina IAM per l'organizzazione:
Nella pagina IAM, fai clic su Concedi l'accesso. Si apre il riquadro di concessione dell'accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
- Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM all'account di servizio:
- Editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor
) - Editor configurazioni delle notifiche del Centro sicurezza
(
roles/securitycenter.notificationConfigEditor
) - Organization Viewer (
roles/resourcemanager.organizationViewer
) (Visualizzatore organizzazione) - Visualizzatore Cloud Asset (
roles/cloudasset.viewer
)
- Editor amministratore Centro sicurezza (
Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
Per ereditarietà, l'account di servizio diventa anche un'entità in tutti i progetti figlio dell'organizzazione e i ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.
Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:
- Creazione e gestione degli account di servizio
- Concessione, modifica e revoca dell'accesso alle risorse
Fornisci le credenziali a QRadar
A seconda di dove ospiti il QRadar, il modo in cui fornisci le credenziali IAM a QRadar varia.
Se ospiti il deployment QR in Google Cloud, l'account di servizio che hai creato e i ruoli a livello di organizzazione che hai concesso sono disponibili automaticamente per ereditarietà dall'organizzazione principale. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedigli i ruoli IAM descritti nei passaggi da 5 a 7 della sezione Creare un account di servizio e concedere ruoli IAM.
Se ospiti QRadar nel tuo ambiente on-premise o su IBM Cloud, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud. Per completare questa guida, avrai bisogno delle chiavi dell'account di servizio in formato JSON.
Se ospiti QRadar in Microsoft Azure o Amazon Web Services, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedigli i ruoli IAM descritti nei passaggi da 5 a 7 della sezione Creare un account di servizio e concedere ruoli IAM.
Configura le notifiche
Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.
- Configura le notifiche sui risultati nel seguente modo:
- Abilita l'API Security Command Center.
- Crea un filtro per esportare i risultati e gli asset desiderati.
- Crea tre argomenti Pub/Sub: uno per risultati, audit log e asset.
NotificationConfig
deve utilizzare l'argomento Pub/Sub che hai creato per i risultati.
Crea un sink per gli audit log, come descritto in Colla e instradare i log a livello di organizzazione alle destinazioni supportate. Il sink deve utilizzare l'argomento Pub/Sub che hai creato per gli audit log. Ad esempio:
gcloud logging sinks create SINK_NAME /SINK_DESTINATION --include-children / --organization=ORGANIZTION_ID / --log-filter=FILTER
Sostituisci quanto segue:
SINK_NAME con il nome del sink dell'audit log.
SINK_DESTINATION con
pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID
ORGANIZATION_ID con l'ID della tua organizzazione.
FILTER con
logName:activity
,logName:data_access
,logName:system_event
ologName:policy
.
Concedi il ruolo Publisher Pub/Sub (
roles/pubsub.publisher
) all'account di servizio del sink.Abilita l'API Cloud Asset per il tuo progetto.
Crea i feed per gli asset. Devi creare due feed nello stesso argomento Pub/Sub, uno per le tue risorse e un altro per i tuoi criteri IAM (Identity and Access Management).
- L'argomento Pub/Sub per gli asset deve essere diverso da quello utilizzato per i risultati.
- Per il feed delle risorse, utilizza il seguente filtro:
content-type=resource
. - Per il feed dei criteri IAM, devi utilizzare il seguente filtro:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
.
Per configurare QRadar, avrai bisogno dei tuoi ID organizzazione e dei nomi degli abbonamenti Pub/Sub.
Installa l'app SCC di Google per QRadar - QRadar v7.4.1FP2+
In questa sezione installerai l'app Google SCC per QRadar - QRadar v7.4.1FP2+ (v3.0.0). L'app, gestita da Security Command Center, automatizza il processo di pianificazione delle chiamate API Security Command Center e recupera regolarmente i dati di Security Command Center per utilizzarli in QRadar.
L'installazione delle app richiede l'accesso alla console QRadar tramite un'interfaccia web.
Per completare l'installazione, segui questi passaggi:
- Scarica l'app Google SCC per QRadar da IBM App Exchange.
- Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
- Nel menu della console, fai clic su Amministratore e seleziona Gestione delle estensioni.
- Per selezionare il file ZIP di download, fai clic su Aggiungi. Segui le istruzioni man mano che è pronta l'installazione.
- Seleziona Avvia un'istanza predefinita per ogni app.
- Fai clic su Installa. Al termine dell'installazione, vedrai un elenco dei componenti dell'applicazione.
- Fai clic sulla scheda Amministrazione, quindi su Esegui il deployment delle modifiche.
- Svuota la cache del browser e aggiorna la finestra del browser.
- Vai a Gestione delle estensioni. Dovresti vedere App Google SCC per QRadar con lo stato Installata.
Configura l'app Google SCC
In questa sezione configurerai l'app Google SCC. Per completare la configurazione, segui questi passaggi:
- Vai alla scheda Amministrazione in QRadar.
- Fai clic su Impostazioni app SCC di Google.
- Fai clic su Add Google SCC Organization (Aggiungi organizzazione SCC di Google).
Inserisci le seguenti variabili in base alle tue esigenze:
JSON dell'account di servizio: il file JSON che include la chiave dell'account di servizio.
Se ospiti il deployment QRadar in Google Cloud, questo campo non è disponibile. Assicurati di fornire l'account di servizio collegato alla VM con le autorizzazioni IAM per ogni organizzazione Google Cloud. Per ulteriori informazioni, consulta l'articolo Fornire le credenziali a QRadar.
Configurazione delle credenziali: il file di configurazione delle credenziali che hai scaricato durante l'impostazione della federazione delle identità per i carichi di lavoro
Organization ID (ID organizzazione): l'ID della tua organizzazione.
Nome abbonamento ai risultati: nome della sottoscrizione Pub/Sub per le notifiche sui risultati
Assets Subscription Name (Nome abbonamento risorse): il nome dell'abbonamento Pub/Sub per il feed di asset.
Attiva la raccolta di audit log. Seleziona questa opzione per inviare i log di controllo all'istanza QRadar.
- Nome abbonamento audit log: nome della sottoscrizione Pub/Sub per il sink dei log di controllo
Intervallo: il numero di secondi tra le chiamate Pub/Sub durante la raccolta dei dati in tempo reale
Token di autorizzazione QRRadar: il token per l'istanza QRadar. Per recuperare un token:
- Vai alla scheda Amministrazione in QRadar.
- In Gestione utenti, fai clic su Servizio autorizzato.
- Copia il token di autorizzazione con Amministratore come ruolo utente e Amministratore come profilo di sicurezza. Se non hai un token, creane uno facendo clic su Aggiungi servizio autorizzato.
- Fai clic su Esegui il deployment delle modifiche e aggiorna la finestra del browser.
Per inserire i dettagli facoltativi della configurazione del proxy, fai clic sull'opzione di attivazione/disattivazione Abilita/Disabilita proxy, quindi inserisci le impostazioni del proxy:
- IP/Nome host: l'indirizzo IP o il nome host del server proxy (non includere il prefisso HTTP/HTTPS)
- Porta: la porta del tuo server proxy
- Nome utente: il nome utente utilizzato per il proxy di autenticazione
- Password: la password utilizzata per il proxy di autenticazione
Fai clic su Salva.
Ripeti questi passaggi per ogni organizzazione Google Cloud che vuoi integrare.
La configurazione dell'app viene archiviata e le organizzazioni vengono aggiunte alla pagina di configurazione dell'app. Le sezioni seguenti spiegano come visualizzare e gestire i dati di Security Command Center nel servizio.
Esegui l'upgrade dell'app Google SCC
In questa sezione eseguirai l'upgrade di un'app Google SCC esistente per QRadar alla versione più recente.
Per completare l'upgrade, segui questi passaggi:
- Scarica la versione più recente dell'app Google SCC da IBM App Exchange.
- Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
- Nel menu della console, fai clic su Amministratore e seleziona Gestione delle estensioni.
- Per selezionare il file ZIP di download, fai clic su Aggiungi. Segui le istruzioni durante la preparazione dell'upgrade.
- Seleziona Sostituisci elementi esistenti e Avvia un'istanza predefinita per ogni app.
- Fai clic su Installa. Al termine del processo di upgrade, visualizzerai un elenco dei componenti dell'applicazione.
- Fai clic sulla scheda Amministrazione, quindi su Esegui il deployment delle modifiche.
- Svuota la cache del browser e aggiorna la finestra del browser.
- Vai a Gestione delle estensioni. Dovresti vedere App Google SCC per QRadar con lo stato Installata.
Rimuovi i log dell'applicazione degli utenti che accedono all'applicazione da QRadar mediante SSH:
Scarica la versione più recente dell'app di gestione dei dati di riferimento da IBM App Exchange.
Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
Nel menu della console, fai clic su Amministratore e seleziona Gestione delle estensioni.
Per selezionare il file ZIP scaricato, fai clic su Aggiungi. Segui le istruzioni per installare l'applicazione.
Nella console, vai alla dashboard Gestione dei dati di riferimento.
Fai clic su Mappa di riferimento.
Seleziona asset_owners e fai clic su Cancella dati.
Visualizza i dati esportati in QRadar
Questa sezione descrive le funzionalità pertinenti disponibili in QRadar, tra cui la ricerca di risultati, audit log e asset, la visualizzazione dei criteri IAM e la visualizzazione delle dashboard personalizzate.
Cerca i dati
Per cercare nei dati di Security Command Center in QRadar, utilizza il riquadro Attività log. Puoi visualizzare risultati, asset, audit log e origini di sicurezza importati e applicare filtri di stile SQL per perfezionare i dati.
Visualizza i dati dei criteri IAM
Per visualizzare i dati dei criteri IAM per i tuoi asset:
- Scarica e installa l'applicazione Reference Data Management dal portale IBM App Exchange.
- Fai clic sulla dashboard Gestione dei dati di riferimento in QRadar.
- Nel pannello di navigazione, fai clic su Mappa di riferimento.
- Seleziona asset_owners. La dashboard viene compilata con i dati dei criteri IAM.
Dashboard personalizzate
Puoi utilizzare dashboard personalizzate in QRadar per visualizzare e analizzare risultati, asset e origini di sicurezza.
Panoramica
La dashboard Panoramica mostra il numero totale di risultati, minacce e vulnerabilità nelle organizzazioni Google Cloud. I risultati sono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, oltre a tutti i servizi integrati attivati.
Puoi filtrare i dati per aggiornare le visualizzazioni, specificare l'organizzazione Google Cloud e recuperare nuovi dati on demand.
Asset
La scheda Asset mostra una tabella degli asset Google Cloud. I dati della tabella includono nome e tipo di asset, proprietari della risorsa, ora dell'ultimo aggiornamento e link alla pagina Asset di Security Command Center nella console Google Cloud.
Puoi cercare e filtrare i dati degli asset in base a organizzazione, intervallo di tempo e tipo di asset, nonché visualizzare in dettaglio i risultati relativi ad asset specifici.
Origini
La scheda Origini mostra una tabella delle origini di sicurezza, che include il nome dell'origine, il nome visualizzato dell'origine e la descrizione. Facendo clic sul nome di un'origine, puoi visualizzare i relativi risultati.
Risultati
La scheda Risultati mostra una tabella dei risultati della tua organizzazione. Puoi eseguire ricerche nella tabella e filtrare l'elenco in base a intervallo di tempo, categoria, gravità, origine di sicurezza, asset e nome del progetto.
Le colonne della tabella includono nome del risultato, categoria, nome dell'asset, nome dell'origine di sicurezza, contrassegni di sicurezza, gravità, nome del progetto, ora dell'evento, ora dell'evento, classe dei risultati e stato dell'aggiornamento. Se fai clic sul nome di un risultato, si aprirà la pagina Risultati di Security Command Center nella console Google Cloud e verranno mostrati i dettagli del risultato selezionato.
Nella colonna Aggiorna stato, puoi aggiornare lo stato di un risultato. Per indicare che stai esaminando attivamente un risultato, fai clic su Contrassegna come ATTIVO. Se non stai esaminando attivamente un risultato, fai clic su Contrassegna come INATTIVO.
Audit log
La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni del log di controllo. I log di controllo inclusi nella dashboard sono gli audit log relativi ad attività dell'amministratore, accesso ai dati, eventi di sistema e criteri negati. La tabella include l'ora, il nome del log, la gravità, il nome del servizio, il nome della risorsa e il tipo di risorsa.
Controlla i log delle applicazioni
- Accedi a QRadar tramite SSH.
Elenca tutte le applicazioni installate e i relativi valori
App-ID
:/opt/qradar/support/recon ps
L'output è simile al seguente. Prendi nota di
App-ID
dell'appGoogle SCC
.App-ID Name Managed Host ID Workload ID Service Name AB Container Name CDEGH Port IJKL 1101 QRadar Log Source Management 53 apps qapp-1101 ++ qapp-1101 +++++ 5000 ++++ 1104 QRadar Assistant 53 apps qapp-1104 ++ qapp-1104 +++++ 5000 ++++ 1105 QRadar Use Case Manager 53 apps qapp-1105 ++ qapp-1105 +++++ 5000 ++++ 1163 IBM QRadar Pre-Validation App Service 53 apps qapp-1163 ++ qapp-1163 +++++ 5000 ++++ 1164 IBM QRadar Pre-Validation App UI 53 apps qapp-1164 ++ qapp-1164 +++++ 5000 ++++ 1170 Google SCC 53 apps qapp-1170 ++ qapp-1170 +++++ 5000 ++++
Connettiti al contenitore dell'app
Google SCC
:/opt/qradar/support/recon connect APP_ID
Sostituisci APP_ID con il valore
App-ID
dell'appGoogle SCC
.Vai alla directory dei log:
cd /opt/app-root/store/log
Elenca tutti i file nella directory:
ls
Visualizzare i contenuti di un file:
cat FILENAME
Sostituisci FILENAME con il nome del file.
Disinstalla l'app Google SCC
Per disinstallare l'app Google SCC, segui questi passaggi:
- Vai alla scheda Amministrazione.
- Seleziona Gestione delle estensioni.
- Seleziona Google SCC App For QRadar - QRadar v7.4.1FP2+.
- Fai clic su Disinstalla.
Se disinstalli l'applicazione, le proprietà degli eventi personalizzati, le mappe di riferimento, le dashboard e le origini log fornite dall'app Google SCC vengono rimosse.
Problemi noti
Questa sezione elenca i problemi noti relativi all'app Google SCC e alle dashboard QRadar.
v1.0.0
Nella dashboard Panoramica, il riquadro Risultati per gravità nel tempo mostra un errore tecnico per dati superiori a 250.000 risultati e il processo flask, che completa le dashboard, viene riavviato nel backend. Per evitare questo problema, seleziona un intervallo di tempo più breve per la dashboard.
Questo problema è stato risolto nella versione 2.0.0.
Gli asset eliminati potrebbero essere visualizzati nella dashboard Asset a causa di un comportamento imprevisto della funzione AQL
GROUP BY
.
v2.0.0
- Gli asset eliminati potrebbero essere visualizzati nella dashboard Asset a causa di un comportamento imprevisto della funzione AQL
GROUP BY
. - La dashboard Risultati potrebbe non mostrare i dati dei risultati più recenti dopo l'aggiornamento dell'app Google SCC a causa di un comportamento imprevisto della funzione AQL
GROUP BY
.
v3.0.0
- La dashboard potrebbe non mostrare gli eventi più recenti quando sono disponibili più eventi con la stessa chiave univoca a causa di un comportamento imprevisto della funzione AQL
GROUP BY
. - Per i dati già importati utilizzando la versione v2, il filtro ID organizzazione non è applicabile. Puoi visualizzare i dati selezionando il valore Tutti nel filtro ID organizzazione.
Risolvere i problemi
In questa sezione vengono descritte le soluzioni ad alcuni problemi comuni.
Gli eventi SCC di Google vengono visualizzati come messaggi SCC di Google
Problema: gli eventi di Security Command Center verranno visualizzati come messaggi di Security Command Center anziché essere identificati come la categoria QRadar corretta. I messaggi vengono visualizzati nella scheda Attività di log in QRadar quando un utente cerca un evento da un'origine log di Google Cloud.
Questo problema si verifica quando un campo obbligatorio non è presente in un evento di log non elaborato o se la dimensione del payload dell'evento supera i 4096 byte predefiniti, il che può causare il troncamento degli eventi.
Soluzione: se i payload vengono troncati, svolgi i passaggi che seguono per aumentare la dimensione massima del payload:
- Vai alla scheda Amministrazione e seleziona Impostazioni di sistema.
- Nella sezione Passa a, fai clic su Avanzate.
- Nell'elenco delle impostazioni, procedi nel seguente modo:
- Seleziona Max TCP Syslog Pay Length (Lunghezza massima payload TCP Syslog) e aumentane il valore. Il valore consigliato è 32.000.
- Seleziona Max UDP Syslog Pay Length e aumentane il valore. Il valore consigliato è 32.000.
- Fai clic su Esegui il deployment delle modifiche e utilizza l'opzione Deployment completo.
Eventi SCC di Google elencati come eventi sconosciuti
Problema: gli eventi di Security Command Center sono indicati come Sconosciuto. Questo problema si verifica quando l'ID evento e la categoria del payload non sono mappati in QRadar.
Soluzione: per risolvere il problema, procedi nel seguente modo:
- Vai ad Attività log e fai clic su Aggiungi filtro.
- Seleziona Parametro e poi Tipo di sorgente log (indicizzato).
- Seleziona Operatore, quindi È uguale a.
- Seleziona Tipo di sorgente log, quindi SCC di Google.
- Nel menu a discesa del filtro Visualizzazioni, seleziona Ultimi 7 giorni.
- Se gli eventi vengono visualizzati come Sconosciuto, segui questi passaggi:
- Fai clic con il pulsante destro del mouse sull'evento e seleziona Visualizza nell'editor DSM.
- In Anteprima attività log, verifica i valori di ID evento e Categoria evento.
- Se i valori sono sconosciuti, contatta l'assistenza Cloud.
La configurazione dell'app non va a buon fine e viene visualizzato un messaggio di errore
Se ricevi un messaggio di errore di configurazione dell'app, segui questi passaggi per risolvere il problema.
Errore | Descrizione | Soluzione |
---|---|---|
"Inserisci un JSON dell'account di servizio valido." | Questo errore si verifica se viene fornito un JSON formattato correttamente, ma l'autenticazione non riesce quando si cerca di salvare la configurazione. | Inserisci un JSON valido con le credenziali dell'account corrette. |
"Il JSON dell'account di servizio deve essere una stringa JSON." | Questo errore si verifica se viene fornito un JSON formattato in modo non corretto o se il file è in un formato diverso da JSON. | Inserisci un file JSON valido. |
"Inserisci un ID organizzazione valido". | Questo errore si verifica quando viene inserito un ID organizzazione errato o incompleto. | Verifica l'ID organizzazione e inseriscilo di nuovo. |
"Inserisci un ID progetto o un ID abbonamento ai risultati valido." | Questo errore si verifica quando viene inserito un ID progetto o un ID sottoscrizione errato o non valido. | Verifica l'ID progetto e l'ID organizzazione e inseriscili di nuovo. |
"Inserisci un ID abbonamento risorse valido." | Questo errore si verifica quando viene inserito un ID abbonamento risorsa errato o non valido. | Verifica il tuo ID abbonamento risorsa e inseriscilo di nuovo. |
"Errore durante la convalida del token di autorizzazione." | Questo errore viene visualizzato quando viene fornito un token di autorizzazione QRadar errato o non valido. | Verifica il token di autorizzazione QRadar e inseriscilo di nuovo. Deve avere Amministratore come ruolo utente e profilo di sicurezza. Inoltre, il token non deve essere scaduto. |
Errore durante l'avvio della connessione socket con QRadar
Problema: nei file di log di raccolta dei dati viene visualizzato il messaggio di errore "Errore durante l'avvio della connessione socket con IBM QRadar". Questo problema potrebbe essere osservato nel framework dell'app QRadar v2 (< v7.4.2 P2).
Soluzione: per risolvere il problema, procedi nel seguente modo:
- Consulta la nota di assistenza relativa alle modifiche al deployment di QRadar.
- Esegui l'upgrade di QRadar.
Problemi dell'interfaccia
Problema: il riquadro o la pagina di configurazione di una dashboard mostrano errori o comportamenti indesiderati.
Soluzione: per risolvere il problema, procedi nel seguente modo:
- Svuota la cache del browser e ricarica la pagina web.
- Riduci l'intervallo di tempo del filtro. Le query QRadar potrebbero scadere se il numero di risposte è troppo grande.
- Se il problema persiste, contatta l'assistenza Cloud.
I riquadri della dashboard non vengono caricati e il processo flask viene interrotto
Problema: il processo dei contenitori si verifica in timeout e alcuni riquadri della dashboard non vengono caricati.
Soluzione: per risolvere il problema, procedi nel seguente modo:
- Svuota la cache del browser e ricarica la pagina web.
- Riduci l'intervallo di tempo del filtro. Le query QRadar potrebbero scadere se il numero di risposte è troppo grande.
- Se il problema persiste, contatta l'assistenza Cloud.
Tutti gli altri problemi di prestazioni
Se il problema persiste seguendo le istruzioni riportate in questa guida:
- Vai alla scheda Amministrazione, quindi fai clic su Gestione del sistema e delle licenze.
- Seleziona l'host su cui è installata l'app Google SCC per QRadar - QRadar v7.4.1FP2+.
- Fai clic su Azione, quindi seleziona Raccogli file di log.
- Nella finestra di dialogo, fai clic su Opzioni avanzate.
- Seleziona le caselle di controllo accanto a Includi log di debug, Log delle estensioni applicazione e Log di configurazione (versione corrente).
- Seleziona due giorni come input di dati, quindi fai clic su Raccogli file di log.
Seleziona Fai clic qui per scaricare i file.
I file di log verranno scaricati in un file ZIP. Contatta l'assistenza Cloud e condividi i file di log.
Passaggi successivi
Scopri di più sulla configurazione delle notifiche di rilevamento in Security Command Center.
Scopri come filtrare le notifiche sui risultati in Security Command Center.