Mengirim data Security Command Center ke IBM QRadar

Halaman ini menjelaskan cara mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center secara otomatis ke IBM QRadar. Artikel ini juga menjelaskan cara mengelola data yang diekspor. QRadar adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time.

Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan telah dikonfigurasi dengan benar dan memungkinkan QRadar untuk mengakses temuan, log audit, dan aset di lingkungan Security Command Center Anda.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan QRadar (v7.4.1 Fix Pack 2 atau yang lebih baru). Untuk mulai menggunakan QRadar, lihat Mendaftar ke QRadar.

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke QRadar, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin Anda hubungkan dan memberikan peran IAM level organisasi dan level project yang diperlukan Aplikasi Google SCC untuk QRadar.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut dilakukan menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di akhir bagian ini.

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

Dalam project yang sama tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di Google Cloud Console untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
Berikan peran berikut kepada akun layanan:
- Editor Pub/Sub (roles/pubsub.editor)
Salin nama akun layanan yang baru saja Anda buat.
Gunakan pemilih project di Konsol Google Cloud untuk beralih ke tingkat organisasi.
Buka halaman IAM untuk organisasi:

Buka IAM
Pada halaman IAM, klik Berikan akses. Panel berikan akses akan terbuka.
Di panel Berikan akses, selesaikan langkah-langkah berikut:
1. Di bagian Add principals di kolom New principals, tempelkan nama akun layanan.
2. Di bagian Tetapkan peran, gunakan kolom Peran untuk memberikan peran IAM berikut ke akun layanan:
  - Editor Admin Pusat Keamanan (roles/securitycenter.adminEditor)
  - Editor Konfigurasi Notifikasi Pusat Keamanan (roles/securitycenter.notificationConfigEditor)
  - Organization Viewer (roles/resourcemanager.organizationViewer)
  - Viewer Aset Cloud (roles/cloudasset.viewer)
3. Klik Simpan. Akun keamanan muncul di tab Permissions pada halaman IAM di bagian View by principals.
  
  Berdasarkan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi dan peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Berikan kredensial ke QRadar

Bergantung pada tempat Anda menghosting QRadar, cara Anda memberikan kredensial IAM ke QRadar berbeda-beda.

Jika Anda menghosting deployment QRadar di Google Cloud, akun layanan yang Anda buat dan peran tingkat organisasi yang Anda berikan akan tersedia secara otomatis berdasarkan pewarisan dari organisasi induk. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 dari artikel Membuat akun layanan dan memberikan peran IAM.
Jika Anda menghosting QRadar di lingkungan lokal atau di IBM Cloud, buat kunci akun layanan untuk setiap organisasi Google Cloud. Anda akan memerlukan kunci akun layanan dalam format JSON untuk menyelesaikan panduan ini.

Untuk mempelajari praktik terbaik guna menyimpan kunci akun layanan Anda dengan aman, lihat Praktik terbaik untuk mengelola kunci akun layanan.
Jika Anda menghosting QRadar di Microsoft Azure atau Amazon Web Services, konfigurasi workload identity federation dan download file konfigurasi kredensial. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 dari artikel Membuat akun layanan dan memberikan peran IAM.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

Siapkan notifikasi temuan sebagai berikut:
1. Mengaktifkan Security Command Center API.
2. Buat filter untuk mengekspor temuan dan aset yang diinginkan.
3. Buat tiga topik Pub/Sub: masing-masing untuk temuan, log audit, dan aset. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk temuan.
Buat sink untuk log audit, seperti yang dijelaskan di Menyusun dan merutekan log tingkat organisasi ke tujuan yang didukung. Sink harus menggunakan topik Pub/Sub yang Anda buat untuk log audit. Contoh:
```
gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
  --include-children /
  --organization=ORGANIZTION_ID /
  --log-filter=FILTER
```
Ganti kode berikut:
- SINK_NAME dengan nama untuk sink log audit.
- SINK_DESTINATION dengan pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID
- ORGANIZATION_ID dengan ID organisasi Anda.
- FILTER dengan logName:activity, logName:data_access, logName:system_event, atau logName:policy.
Berikan peran Pub/Sub Publisher (roles/pubsub.publisher) ke akun layanan sink.
Aktifkan Cloud Asset API untuk project Anda.
Buat feed untuk aset Anda. Anda harus membuat dua feed dalam topik Pub/Sub yang sama, satu untuk resource Anda dan satu lagi untuk kebijakan Identity and Access Management (IAM).
- Topik Pub/Sub untuk aset harus berbeda dengan yang digunakan untuk temuan.
- Untuk feed bagi resource Anda, gunakan filter berikut: content-type=resource.
- Untuk feed kebijakan IAM, Anda harus menggunakan filter berikut: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Anda memerlukan ID organisasi dan nama langganan Pub/Sub untuk mengonfigurasi QRadar.

Instal Aplikasi Google SCC untuk QRadar - QRadar v7.4.1FP2+

Di bagian ini, Anda menginstal Aplikasi Google SCC untuk QRadar - QRadar v7.4.1FP2+ (v3.0.0). Aplikasi yang dikelola oleh Security Command Center ini mengotomatiskan proses penjadwalan panggilan Security Command Center API, dan secara rutin mengambil data Security Command Center untuk digunakan di QRadar.

Penginstalan aplikasi memerlukan akses ke mesin konsol QRadar melalui antarmuka web.

Untuk menyelesaikan penginstalan, lakukan langkah berikut:

Download Aplikasi Google SCC untuk QRadar dari IBM App Exchange.
Login ke konsol QRadar di https://QRadar_Console_IP.
Di menu konsol, klik Admin, lalu pilih Extension Management.
Untuk memilih file ZIP download, klik Tambahkan. Ikuti petunjuknya saat penginstalan disiapkan.
Pilih Mulai instance default untuk setiap aplikasi.
Klik Install (Instal). Setelah penginstalan berhasil, Anda akan melihat daftar komponen aplikasi.
Klik tab Admin, lalu klik Deploy changes.
Hapus cache browser dan muat ulang jendela browser.
Buka Extension Management. Anda akan melihat Aplikasi Google SCC untuk QRadar dengan status Menginstal.

Mengonfigurasi aplikasi Google SCC

Di bagian ini, Anda akan mengonfigurasi Aplikasi SCC Google. Untuk menyelesaikan konfigurasi, lakukan langkah berikut:

Buka tab Admin di QRadar.
Klik Setelan Aplikasi SCC Google.
Klik Tambahkan Organisasi SCC Google.
Masukkan variabel berikut sesuai kebutuhan:
- JSON Akun Layanan: file JSON yang menyertakan kunci akun layanan
  
  Jika Anda menghosting deployment QRadar di Google Cloud, kolom ini tidak tersedia. Pastikan Anda menyediakan akun layanan yang ditautkan ke VM dengan izin IAM untuk setiap organisasi Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Memberikan kredensial ke QRadar.
- Konfigurasi Kredensial: file konfigurasi kredensial yang Anda download saat menyiapkan gabungan workload identity
- ID Organisasi: ID untuk organisasi Anda
- Nama Langganan Temuan: Nama langganan Pub/Sub untuk notifikasi temuan Anda
- Nama Langganan Aset: Nama langganan Pub/Sub untuk feed aset Anda
- Aktifkan Pengumpulan Log Audit: pilih untuk mengirim log audit ke instance QRadar Anda
  - Nama Langganan Log Audit: Nama langganan Pub/Sub untuk sink log audit Anda
- Interval: jumlah detik antara panggilan Pub/Sub selama pengumpulan data real-time
- Token Otorisasi QRadar: token untuk instance QRadar Anda. Untuk mengambil token, lakukan tindakan berikut:
  1. Buka tab Admin di QRadar.
  2. Pada Pengelolaan Pengguna, klik Layanan Resmi.
  3. Salin token otorisasi Anda dengan Admin sebagai peran pengguna dan Admin sebagai Profil Keamanan. Jika Anda tidak memiliki token, buat token dengan mengklik Add Authorized Service.
  4. Klik Deploy changes, lalu muat ulang jendela browser.
Untuk memasukkan detail konfigurasi proxy opsional, klik tombol Enable/Disable Proxy, lalu masukkan setelan proxy Anda:
- IP/Nama Host: alamat IP atau nama host server proxy (jangan sertakan awalan HTTP/HTTPS)
- Port: port server proxy Anda
- Nama pengguna: nama pengguna yang digunakan untuk proxy autentikasi
- Sandi: sandi yang digunakan untuk proxy autentikasi
Klik Simpan.
Ulangi langkah-langkah ini untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.

Konfigurasi aplikasi disimpan dan organisasi Anda ditambahkan ke halaman konfigurasi aplikasi. Bagian berikut menjelaskan cara melihat dan mengelola data Security Command Center di layanan.

Mengupgrade aplikasi Google SCC

Di bagian ini, Anda akan mengupgrade Aplikasi Google SCC yang ada untuk QRadar ke versi terbaru.

Untuk menyelesaikan upgrade, lakukan langkah berikut:

Download versi terbaru Aplikasi Google SCC dari IBM App Exchange.
Login ke konsol QRadar di https://QRadar_Console_IP.
Di menu konsol, klik Admin, lalu pilih Extension Management.
Untuk memilih file ZIP download, klik Tambahkan. Ikuti petunjuk saat upgrade disiapkan.
Pilih Ganti Item yang Ada dan Mulai instance default untuk setiap aplikasi.
Klik Install (Instal). Setelah proses upgrade berhasil, Anda akan melihat daftar komponen aplikasi.
Klik tab Admin, lalu klik Deploy changes.
Hapus cache browser dan muat ulang jendela browser.
Buka Extension Management. Anda akan melihat Aplikasi Google SCC untuk QRadar dengan status Menginstal.
Hapus log aplikasi dari pengguna yang mengakses aplikasi dari QRadar menggunakan SSH:
1. Download versi terbaru aplikasi Reference Data Management dari IBM App Exchange.
2. Login ke konsol QRadar di https://QRadar_Console_IP.
3. Di menu konsol, klik Admin, lalu pilih Pengelolaan Ekstensi.
4. Untuk memilih file ZIP yang didownload, klik Tambahkan. Ikuti petunjuk untuk menginstal aplikasi.
5. Di konsol, buka dasbor Reference Data Management.
6. Klik Peta Referensi.
7. Pilih asset_owners, lalu klik Hapus Data.

Melihat data yang diekspor di QRadar

Bagian ini menjelaskan fungsi relevan yang tersedia di QRadar, termasuk menelusuri temuan, log audit, dan aset, melihat kebijakan IAM, dan melihat dasbor kustom.

Menelusuri data

Untuk menelusuri data Security Command Center di QRadar, gunakan panel Log Activity. Anda dapat melihat temuan, aset, log audit, dan sumber keamanan yang diserap serta menerapkan filter bergaya SQL untuk menyaring data.

Melihat data kebijakan IAM

Untuk melihat data kebijakan IAM untuk aset Anda, lakukan hal berikut:

Download dan instal aplikasi Reference Data Management dari IBM App Exchange Portal.
Klik dasbor Reference Data Management di QRadar.
Di panel navigasi, klik Reference Map.
Pilih asset_owners. Dasbor telah diisi dengan data kebijakan IAM Anda.

Dasbor kustom

Anda dapat menggunakan dasbor kustom di QRadar untuk memvisualisasikan dan menganalisis temuan, aset, dan sumber keamanan Anda.

Ringkasan

Dasbor Overview menampilkan jumlah total temuan, ancaman, dan kerentanan di organisasi Google Cloud Anda. Temuan dikompilasi dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection, serta semua layanan terintegrasi yang Anda aktifkan.

Anda dapat memfilter data untuk memperbarui visualisasi, menentukan organisasi Google Cloud, dan mengambil data baru secara on demand.

Aset

Tab Aset menampilkan tabel aset Google Cloud Anda. Data tabel mencakup nama aset, jenis aset, pemilik resource, waktu pembaruan terakhir, dan link ke halaman Aset Security Command Center di Konsol Google Cloud.

Anda dapat menelusuri dan memfilter data aset berdasarkan organisasi, rentang waktu, dan jenis aset, serta melihat perincian temuan untuk aset tertentu.

Sumber

Tab Sumber menampilkan tabel sumber keamanan Anda, termasuk nama sumber, nama tampilan sumber, dan deskripsi. Dengan mengklik nama sumber, Anda dapat melihat temuan untuk sumber tersebut.

Temuan

Tab Temuan menampilkan tabel temuan organisasi Anda. Anda dapat menelusuri tabel dan memfilter daftar berdasarkan rentang waktu, kategori, tingkat keparahan, sumber keamanan, aset, dan nama project.

Kolom tabel mencakup nama temuan, kategori, nama aset, nama sumber keamanan, tanda keamanan, tingkat keparahan, nama project, waktu peristiwa, waktu peristiwa, class penemuan, dan status update. Jika mengklik nama temuan, Anda akan dialihkan ke halaman Findings Security Command Center di Konsol Google Cloud dan menampilkan detail untuk temuan yang dipilih.

Di kolom Status Pembaruan, Anda dapat memperbarui status temuan. Untuk menunjukkan bahwa Anda secara aktif meninjau temuan, klik Tandai sebagai AKTIF. Jika Anda tidak secara aktif meninjau temuan, klik Tandai sebagai TIDAK AKTIF.

Log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah aktivitas administrator, akses data, peristiwa sistem, dan log audit yang ditolak terkait kebijakan. Tabel ini berisi waktu, nama log, tingkat keparahan, nama layanan, nama resource, dan jenis resource.

Periksa log aplikasi

Tampilkan daftar semua aplikasi terinstal dan nilai App-ID-nya:

/opt/qradar/support/recon ps

Output-nya mirip dengan yang berikut ini. Catat App-ID pada aplikasi Google SCC.

App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++

Hubungkan ke penampung aplikasi Google SCC:
```
/opt/qradar/support/recon connect APP_ID
```
Ganti APP_ID dengan App-ID dari aplikasi Google SCC.
Buka direktori log:
```
cd /opt/app-root/store/log
```
Tampilkan daftar semua file dalam direktori:
```
ls
```
Melihat isi file:
```
cat FILENAME
```
Ganti FILENAME dengan nama file.

Uninstal Aplikasi Google SCC

Untuk meng-uninstal Aplikasi Google SCC, lakukan langkah berikut:

Buka tab Admin.
Pilih Pengelolaan Ekstensi.
Pilih Google SCC App For QRadar - QRadar v7.4.1FP2+.
Klik Uninstall.

Jika Anda meng-uninstal aplikasi, properti peristiwa kustom, peta referensi, dasbor, dan sumber log yang disediakan oleh Aplikasi Google SCC akan dihapus.

Masalah umum

Bagian ini mencantumkan masalah umum pada Aplikasi SCC Google dan dasbor QRadar.

v1.0.0

Di dasbor Overview, panel Findings By Severity Over Time menampilkan error teknis untuk data yang lebih dari 250.000 temuan dan proses flask, yang mengisi dasbor, dimulai ulang di backend. Untuk menghindari masalah ini, pilih rentang waktu yang lebih singkat untuk dasbor.

Masalah ini teratasi pada v2.0.0.
Aset yang dihapus dapat muncul di dasbor Aset karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.

v2.0.0

Aset yang dihapus dapat muncul di dasbor Aset karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.
Dasbor Findings mungkin tidak menampilkan data temuan terbaru setelah Anda mengupdate aplikasi Google SCC karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.

v3.0.0

Dasbor mungkin tidak menampilkan peristiwa terbaru saat beberapa peristiwa tersedia dengan kunci unik yang sama karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.
Untuk data yang telah diserap menggunakan v2, filter ID Organisasi tidak berlaku. Anda dapat melihat data dengan memilih nilai Semua di filter ID Organisasi.

Memecahkan masalah

Bagian ini menjelaskan solusi untuk beberapa masalah umum.

Peristiwa SCC Google ditampilkan sebagai pesan SCC Google

Masalah: Peristiwa Security Command Center akan muncul sebagai pesan Security Command Center, bukan diidentifikasi sebagai kategori QRadar yang tepat. Pesan terlihat di tab Log Activity di QRadar saat pengguna menelusuri peristiwa dari sumber log Google Cloud.

Masalah ini terjadi jika kolom yang wajib diisi tidak ada dalam peristiwa log mentah, atau jika ukuran payload peristiwa melebihi 4.096 byte default, yang dapat menyebabkan peristiwa terpotong.

Solusi: Jika payload terpotong, lakukan langkah-langkah berikut untuk meningkatkan ukuran payload maksimum:

Buka tab Admin, lalu pilih Setelan sistem.
Di bagian Beralih ke, klik Lanjutan.
Dalam daftar setelan, lakukan tindakan berikut:
1. Pilih Max TCP Syslog Payload Length,lalu tingkatkan nilainya; nilai yang direkomendasikan adalah 32.000.
2. Pilih Max UDP Syslog Payload Length,lalu tingkatkan nilainya; nilai yang direkomendasikan adalah 32.000.
Klik Deploy changes dan gunakan opsi Full Deploy.

Peristiwa SCC Google tercantum sebagai peristiwa yang tidak diketahui

Masalah: Peristiwa Security Command Center tercantum sebagai Unknown. Masalah ini terjadi saat ID peristiwa dan kategori dari payload tidak dipetakan di QRadar.

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

Buka Log Activity, lalu klik Add Filter.
Pilih Parameter, lalu pilih Jenis Sumber Log (Diindeks).
Pilih Operator, lalu pilih Sama dengan.
Pilih Log Source Type, lalu pilih Google SCC.
Di menu drop-down filter Tampilan, pilih 7 hari terakhir.
Jika peristiwa ditampilkan sebagai Tidak diketahui, lakukan langkah-langkah berikut:
1. Klik kanan acara, lalu pilih Lihat di editor DSM.
2. Di bagian Pratinjau Aktivitas Log, periksa nilai ID Peristiwa dan Kategori Peristiwa.
3. Jika nilainya tidak diketahui, hubungi Dukungan Cloud.

Konfigurasi aplikasi gagal dengan pesan error

Jika Anda mendapatkan error konfigurasi aplikasi, ikuti langkah-langkah berikut untuk memperbaiki masalah tersebut.

Error	Deskripsi	Solusi
"Masukkan JSON Akun Layanan yang valid."	Error ini terjadi jika JSON yang diformat dengan benar diberikan, tetapi autentikasi gagal saat mencoba menyimpan konfigurasi.	Masukkan JSON yang valid dengan kredensial akun yang benar.
"JSON Akun Layanan harus berupa string JSON."	Error ini terjadi jika JSON yang diformat dengan tidak benar diberikan atau file tersebut menggunakan format selain JSON.	Masukkan file JSON yang valid.
"Masukkan ID Organisasi yang valid".	Error ini terjadi jika ID organisasi yang dimasukkan salah atau tidak lengkap.	Verifikasi ID organisasi Anda, lalu masukkan kembali.
"Masukkan Project ID atau ID Langganan Temuan yang valid."	Error ini terjadi jika project ID atau ID langganan yang dimasukkan salah atau tidak valid.	Verifikasi project ID dan ID organisasi Anda, lalu masukkan kembali.
"Masukkan ID Langganan Aset yang valid."	Error ini terjadi jika ID langganan aset yang salah atau tidak valid dimasukkan.	Verifikasi ID langganan aset Anda, dan masukkan kembali.
"Terjadi error saat memvalidasi token otorisasi."	Error ini terjadi saat Token Otorisasi QRadar yang salah atau tidak valid diberikan.	Verifikasi Token Otorisasi QRadar, lalu masukkan kembali. Akun harus memiliki Admin sebagai peran pengguna dan profil keamanan. Masa berlaku token juga tidak boleh berakhir.

Terjadi error saat memulai koneksi soket dengan QRadar

Masalah: Pesan error, "Error saat memulai koneksi soket dengan IBM QRadar" diamati dalam file log pengumpulan data. Masalah ini mungkin diamati di framework aplikasi QRadar v2 (< v7.4.2 P2).

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

Tinjau catatan dukungan terkait perubahan deployment QRadar.
Upgrade QRadar.

Masalah antarmuka

Masalah: Panel dasbor atau halaman konfigurasi menampilkan error atau perilaku yang tidak diinginkan.

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

Hapus cache browser dan muat ulang halaman web.
Kurangi rentang waktu filter. Kueri QRadar dapat habis masa berlakunya jika jumlah respons terlalu besar.
Jika masalah belum teratasi, hubungi Dukungan Cloud.

Panel dasbor gagal dimuat dan proses flask dihentikan

Masalah: Waktu proses labu habis dan beberapa panel dasbor gagal dimuat.

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

Hapus cache browser dan muat ulang halaman web.
Kurangi rentang waktu filter. Kueri QRadar dapat habis masa berlakunya jika jumlah respons terlalu besar.
Jika masalah belum teratasi, hubungi Dukungan Cloud.

Semua masalah performa lainnya

Jika masalah Anda tidak teratasi dengan mengikuti petunjuk dalam panduan ini, lakukan hal berikut:

Buka tab Admin, lalu klik System and License Management.
Pilih host tempat Google SCC App For QRadar - QRadar v7.4.1FP2+ diinstal.
Klik Action, lalu pilih collect Log Files.
Pada dialog, klik Opsi Lanjutan.
Centang kotak di samping Sertakan Log Debug, Log Ekstensi Aplikasi, dan Log Penyiapan (Versi Saat Ini).
Pilih dua hari sebagai input data, lalu klik Kumpulkan File Log.
Pilih Click here to download files.

File log akan didownload dalam file ZIP. Hubungi Dukungan Cloud dan bagikan file log.

Langkah selanjutnya

Pelajari lebih lanjut cara menyiapkan menemukan notifikasi di Security Command Center.
Baca tentang memfilter notifikasi penemuan di Security Command Center.