Invio dei dati di Security Command Center a IBM QRadar

In questa pagina viene spiegato come inviare automaticamente risultati, asset, log di controllo e sicurezza di Security Command Center da IBM QRadar. Descrive inoltre come gestire i dati esportati. QRadar è una piattaforma di gestione delle informazioni e degli eventi di sicurezza (SIEM) che importa dati di sicurezza da una o più fonti e consente ai team di sicurezza gestire le risposte agli incidenti ed eseguire analisi in tempo reale.

In questa guida, garantisci che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consentano a QRadar di accedere a risultati, audit log e asset nel tuo ambiente Security Command Center.

Prima di iniziare

Questa guida presuppone l'utilizzo di QRadar (versione 7.4.1 del Correggi Pack 2 o versione successiva). Per iniziare a utilizzare QRadar, consulta la pagina Registrarsi a QRadar.

Configura autenticazione e autorizzazione

Prima di connetterti a QRadar, devi creare un Identity and Access Management (IAM) account di servizio in ogni organizzazione Google Cloud che vuoi connettere e concedi all'account sia a livello di organizzazione che di progetto Ruoli IAM di cui l'app Google SCC per QRadar ha bisogno.

Creare un account di servizio e concedere ruoli IAM

I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.

1. Nello stesso progetto in cui crei i tuoi argomenti Pub/Sub, utilizza il Account di servizio della console Google Cloud per per creare un account di servizio. Per istruzioni, vedi Creazione e gestione degli account di servizio.

2. Concedi all'account di servizio il ruolo seguente:

   • Editor Pub/Sub (roles/pubsub.editor)

3. Copia il nome dell'account di servizio che hai appena creato.

4. Utilizza il selettore progetti nella console Google Cloud per effettuare il passaggio a livello di organizzazione.

5. Apri la pagina IAM per l'organizzazione:

   Vai a IAM

6. Nella pagina IAM, fai clic su Concedi l'accesso. La concessione si apre il riquadro di accesso.

7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

   1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.

   2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM all'account di servizio:

      • Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
      • Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
      • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)

   3. Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per ereditarietà, l'account di servizio diventa anche un'entità in i progetti figlio dell'organizzazione e i ruoli applicabili sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:

• Creazione e gestione degli account di servizio
• Concessione, modifica e revoca dell'accesso alle risorse

Fornisci le credenziali a QRadar

A seconda di dove ospiti QRadar, come fornisci il codice Le credenziali IAM rispetto a QRadar sono diverse.

• Se ospiti il deployment di QRadar in Google Cloud, considera quanto segue:

  • L'account di servizio che hai creato e i ruoli a livello di organizzazione che hai concesso sono disponibili automaticamente per ereditarietà dall'entità padre dell'organizzazione. Se utilizzi più organizzazioni Google Cloud, aggiungi questo alle altre organizzazioni e assegnargli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e e concedere ruoli IAM.

  • Se esegui il deployment di QRadar in un perimetro di servizio, crea il traffico in entrata e in uscita le regole del caso. Per le istruzioni, vedi Concessione dell'accesso al perimetro in Controlli di servizio VPC.

• Se ospiti QRadar nel tuo ambiente on-premise o su IBM Cloud, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud. Potrai le chiavi dell'account di servizio in formato JSON per completare questa guida.

• Se ospiti QRadar in Microsoft Azure o Amazon Web Services, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e assegnagli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere ruoli IAM.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.

1. Configura le notifiche sui risultati nel seguente modo:
   .
   1. Abilita l'API Security Command Center.
   2. Crea un filtro per esportare i risultati e gli asset desiderati.
   3. Creare tre argomenti Pub/Sub: uno per i risultati, gli audit log asset. NotificationConfig deve utilizzare l'argomento Pub/Sub che creare per i risultati.

2. Crea un sink per gli audit log, come descritto in Facoltare e indirizzare i log a livello di organizzazione verso le destinazioni supportate. Il sink deve utilizzare l'argomento Pub/Sub che hai creato per gli audit log. Ad esempio:

   gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
     --include-children /
     --organization=ORGANIZTION_ID /
     --log-filter=FILTER
   

   Sostituisci quanto segue:

   • SINK_NAME con il nome del sink di audit log.

   • SINK_DESTINATION con pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID

   • ORGANIZATION_ID con l'ID della tua organizzazione.

   • FILTER con logName:activity, logName:data_access, logName:system_event o logName:policy.

3. Concedi il ruolo di publisher Pub/Sub (roles/pubsub.publisher) all'account di servizio del sink.

4. Abilita l'API Cloud Asset per il tuo progetto.

5. Crea feed per gli asset. Devi Creare due feed nello stesso argomento Pub/Sub, uno per le risorse e un altro per i criteri IAM (Identity and Access Management).

   • L'argomento Pub/Sub per gli asset deve essere diverso da quello utilizzati per i risultati.
   • Per il feed delle risorse, utilizza il seguente filtro: content-type=resource.
   • Per il feed dei criteri IAM, devi utilizzare il seguente filtro: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Sono necessari gli ID organizzazione e Pub/Sub nomi degli abbonamenti per configurare QRadar.

Installa l'app Google SCC per QRadar - QRadar v7.4.1FP2+

In questa sezione installerai l'app Google SCC per QRadar - QRadar v7.4.1FP2+ (v3.0.0). L'app gestito da Security Command Center, automatizza il processo di pianificazione Esegue le chiamate all'API Security Command Center e recupera regolarmente i dati di Security Command Center per l'utilizzo QRadar.

L'installazione di app richiede l'accesso al computer della console QRadar tramite un browser web a riga di comando.

Per completare l'installazione:

1. Scarica l'app Google SCC per QRadar da IBM App Exchange.
2. Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
3. Nel menu della console, fai clic su Amministrazione e seleziona Estensione Gestione.
4. Per selezionare il file ZIP da scaricare, fai clic su Aggiungi. Segui le istruzioni l'installazione sia preparata.
5. Seleziona Avvia un'istanza predefinita per ogni app.
6. Fai clic su Installa. Al termine dell'installazione, vedrai dei componenti dell'applicazione.
7. Fai clic sulla scheda Amministrazione, quindi su Esegui il deployment delle modifiche.
8. Svuota la cache del browser e aggiorna la finestra del browser.
9. Vai a Gestione delle estensioni. Dovresti vedere Google SCC App For QRadar con lo stato Installato.

Configura l'app Google SCC

In questa sezione configurerai l'app Google SCC. Per completare segui questi passaggi:

1. Vai alla scheda Amministrazione in QRadar.
2. Fai clic su Google SCC App Settings (Impostazioni app Google SCC).
3. Fai clic su Aggiungi organizzazione Google SCC.

4. Inserisci le seguenti variabili in base alle esigenze:

   • JSON Service Account: il file JSON che include la chiave dell'account di servizio

     Se ospiti il deployment QRadar in Google Cloud, questo campo non è disponibile. Assicurati di fornire l'account di servizio collegato alla VM con le autorizzazioni IAM per ogni organizzazione Google Cloud. Per maggiori informazioni, vedi Fornire le credenziali a QRadar.

   • Configurazione delle credenziali: il file di configurazione delle credenziali che hai scaricato durante la configurazione della federazione delle identità per i carichi di lavoro

   • Organization ID (ID organizzazione): l'ID della tua organizzazione

   • Nome sottoscrizione dei risultati: nome della sottoscrizione Pub/Sub per le notifiche dei risultati.

   • Assets Subscription Name (Nome abbonamento asset): nome della sottoscrizione Pub/Sub per il feed di asset.

   • Abilita raccolta log di controllo: seleziona questa opzione per inviare i log di controllo alla tua istanza QRadar

     • Nome sottoscrizione audit log: nome della sottoscrizione Pub/Sub per il sink degli audit log

   • Intervallo: il numero di secondi tra le chiamate Pub/Sub durante la raccolta dei dati in tempo reale,

   • Token di autorizzazione QR: il token per la tua istanza QRadar. A recupera un token, procedi nel seguente modo:

     1. Vai alla scheda Amministrazione in QRadar.
     2. In Gestione utenti, fai clic su Servizio autorizzato.
     3. Copia il tuo token di autorizzazione con Amministratore come ruolo utente e Amministratore come Profilo di sicurezza. Se non disponi di un token, creane uno facendo clic su Aggiungi servizio autorizzato.
     4. Fai clic su Esegui il deployment delle modifiche e aggiorna la finestra del browser.

5. Per inserire dettagli facoltativi sulla configurazione del proxy, fai clic sul pulsante Attiva/Disattiva Attiva/disattiva il proxy, quindi inserisci le impostazioni del proxy:

   • IP/Nome host: l'indirizzo IP o il nome host del server proxy (non includere il nome host prefisso HTTP/HTTPS)
   • Porta: la porta del server proxy
   • Nome utente: il nome utente utilizzato per il proxy di autenticazione.
   • Password: la password utilizzata per il proxy di autenticazione.

6. Fai clic su Salva.

7. Ripeti questi passaggi per ogni organizzazione Google Cloud che vuoi integrare.

La configurazione dell'app viene memorizzata e le tue organizzazioni vengono aggiunte all'app di configurazione del deployment. Le seguenti sezioni spiegano come visualizzare e gestire dei dati di Security Command Center nel servizio.

Esegui l'upgrade dell'app Google SCC

In questa sezione, eseguirai l'upgrade di un'app Google SCC esistente per QRadar alla versione più recente.

Per completare l'upgrade, segui questi passaggi:

1. Scarica la versione più recente dell'app Google SCC da IBM App Exchange.
2. Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
3. Nel menu della console, fai clic su Amministrazione e seleziona Estensione Gestione.
4. Per selezionare il file ZIP da scaricare, fai clic su Aggiungi. Segui le istruzioni sia pronto l'upgrade.
5. Seleziona Sostituisci elementi esistenti e Avvia un'istanza predefinita per ogni app.
6. Fai clic su Installa. Una volta completato correttamente il processo di upgrade, vedrai dei componenti dell'applicazione.
7. Fai clic sulla scheda Amministrazione, quindi su Esegui il deployment delle modifiche.
8. Svuota la cache del browser e aggiorna la finestra del browser.
9. Vai a Gestione delle estensioni. Dovresti vedere Google SCC App For QRadar con lo stato Installato.

10. Rimuovi i log dell'applicazione dagli utenti che accedono all'applicazione da QRadar mediante SSH:

    1. Scarica la versione più recente dell'app Gestione dei dati di riferimento da IBM App Exchange.

    2. Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.

    3. Nel menu della console, fai clic su Amministrazione e seleziona Gestione delle estensioni.

    4. Per selezionare il file ZIP di download, fai clic su Aggiungi. Segui le istruzioni per installare l'applicazione.

    5. Nella console, vai alla dashboard Gestione dei dati di riferimento.

    6. Fai clic su Mappa di riferimento.

    7. Seleziona asset_owners e fai clic su Cancella dati.

Visualizza i dati esportati in QRadar

Questa sezione descrive le funzionalità pertinenti disponibili in QRadar, tra cui la ricerca di risultati, audit log e asset, la visualizzazione dei criteri IAM e la visualizzazione di dashboard personalizzate.

Cerca i dati

Per eseguire ricerche nei dati di Security Command Center in QRadar, utilizza il riquadro Registra attività. Puoi vedere risultati, asset, audit log e origini di sicurezza importati e applicare filtri per perfezionare i dati.

Visualizza i dati dei criteri IAM

Per visualizzare i dati dei criteri IAM per i tuoi asset:

1. Scarica e installa l'applicazione Gestione dei dati di riferimento dal Portale IBM App Exchange.
2. Fai clic sulla dashboard Gestione dei dati di riferimento in QRadar.
3. Nel pannello di navigazione, fai clic su Mappa di riferimento.
4. Seleziona asset_owners. La dashboard viene compilata con i tuoi Dati dei criteri IAM.

dashboard personalizzate

Puoi usare dashboard personalizzate in QRadar per visualizzare e analizzare i risultati, risorse e fonti di sicurezza.

Panoramica

La dashboard Panoramica mostra il numero totale di risultati, minacce e vulnerabilità nel tuo account Google Cloud. le tue organizzazioni. I risultati sono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection, e Container Threat Detection e qualsiasi i servizi integrati che attivi.

Puoi filtrare i dati per aggiornare le visualizzazioni, specificare l'organizzazione Google Cloud e recuperare nuovi dati on demand.

Asset

La scheda Asset mostra una tabella degli asset Google Cloud. I dati della tabella includono nome e tipo di asset, proprietari della risorsa, ora dell'ultimo aggiornamento e i link alla pagina Asset di Security Command Center nella console Google Cloud.

Puoi cercare e filtrare i dati degli asset per organizzazione, intervallo di tempo e tipo di asset. visualizzare in dettaglio i risultati per asset specifici.

Origini

La scheda Origini mostra una tabella delle origini della sicurezza, tra cui nome dell'origine, nome visualizzato dell'origine e descrizione. Facendo clic sul nome di un'origine, puoi visualizzare i risultati per quella fonte.

Risultati

La scheda Risultati mostra una tabella dei risultati dell'organizzazione. Puoi cerca nella tabella e filtra l'elenco per intervallo di tempo, categoria, gravità, sicurezza origine, asset e nome del progetto.

Le colonne della tabella includono nome risultato, categoria, nome asset, nome origine sicurezza, contrassegni di sicurezza, gravità, nome progetto, ora evento, ora evento, classe ricerca e stato aggiornamento. Se fai clic su un risultato viene visualizzata la pagina Risultati di Security Command Center nella Console Google Cloud e dettagli mostrati per il risultato selezionato.

Nella colonna Stato aggiornamento, puoi aggiornare lo stato di un risultato. Per indicare che stai esaminando attivamente un risultato, fai clic su Contrassegna come ATTIVO. Se non stai esaminando attivamente un risultato, fai clic su Contrassegna come NON ATTIVO.

Audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni degli audit log. Gli audit log inclusi nella dashboard sono le attività dell'amministratore, l'accesso ai dati, gli eventi di sistema e gli audit log negati per i criteri. La tabella include l'ora, il nome del log, la gravità, il nome del servizio, il nome della risorsa e il tipo di risorsa.

Controlla i log delle applicazioni

1. Accedi a QRadar tramite SSH.

2. Elenca tutte le applicazioni installate e i relativi valori App-ID:

   /opt/qradar/support/recon ps
   

   L'output è simile al seguente. Prendi nota delle App-ID delle App Google SCC.

   App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
   1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
   1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
   1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
   1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
   1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
   1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++
   

3. Connettiti al contenitore di app Google SCC:

   /opt/qradar/support/recon connect APP_ID
   

   Sostituisci APP_ID con App-ID dell'app Google SCC.

4. Vai alla directory dei log:

   cd /opt/app-root/store/log
   

5. Elenca tutti i file presenti nella directory:

   ls
   

6. Visualizza i contenuti di un file:

   cat FILENAME
   

   Sostituisci FILENAME con il nome del file.

Disinstalla l'app Google SCC

Per disinstallare l'app Google SCC, segui questi passaggi:

1. Vai alla scheda Amministrazione.
2. Seleziona Gestione delle estensioni.
3. Seleziona Google SCC App For QRadar - QRadar v7.4.1FP2+ (App Google SCC per QRadar - QRadar v7.4.1FP2+).
4. Fai clic su Disinstalla.

Se disinstalli l'applicazione, le proprietà degli eventi personalizzati, le mappe di riferimento le dashboard e le origini log fornite dall'app Google SCC vengono rimosse.

Problemi noti

Questa sezione elenca i problemi noti relativi all'app Google SCC e alle dashboard QRadar.

v1.0.0

• Nella dashboard Panoramica, viene visualizzato il riquadro Risultati per gravità nel tempo visualizza un errore tecnico per dati superiori a 250.000 risultati e la bottiglia che compila le dashboard, viene riavviato nel backend. Da evitare per questo problema, seleziona un intervallo di tempo più breve per la dashboard.

  Il problema è stato risolto nella versione 2.0.0.

• Gli asset eliminati potrebbero essere visualizzati nella dashboard Asset a causa di un comportamento imprevisto della funzione AQL GROUP BY.

v2.0.0

• Gli asset eliminati potrebbero essere visualizzati nella dashboard Asset a causa di un comportamento imprevisto della funzione AQL GROUP BY.
• La dashboard Risultati potrebbe non visualizzare i dati dei risultati più recenti dopo l'aggiornamento dell'app Google SCC a causa di un comportamento imprevisto della funzione AQL GROUP BY.

v3.0.0

• Quando sono disponibili più eventi con la stessa chiave univoca, la dashboard potrebbe non visualizzare gli eventi più recenti a causa di un comportamento imprevisto della funzione AQL GROUP BY.
• Per i dati già importati utilizzando la versione 2, il filtro ID organizzazione non è applicabile. Puoi visualizzare i dati selezionando il valore Tutti nel filtro ID organizzazione.

Risoluzione dei problemi

Questa sezione descrive le soluzioni ad alcuni problemi comuni.

Gli eventi SCC di Google vengono visualizzati come messaggi SCC di Google

Problema: gli eventi di Security Command Center vengono visualizzati come Security Command Center anziché essere identificati come la categoria QRadar corretta. Messaggi vengono visualizzate nella scheda Registra attività di QRadar quando un utente cerca un evento da un'origine log di Google Cloud.

Questo problema si verifica quando un campo obbligatorio non è presente in un file non elaborato log dell'evento o se la dimensione del payload dell'evento è superiore ai 4096 byte predefiniti, il che può causare il troncamento degli eventi.

Soluzione: se i payload vengono troncati, procedi nel seguente modo per aumentare la dimensione massima del payload:

1. Vai alla scheda Amministrazione e seleziona Impostazioni di sistema.
2. In Passa a, fai clic su Avanzate.
3. Nell'elenco delle impostazioni:
   1. Seleziona Max TCP Syslog Payload Length (Lunghezza massima payload TCP Syslog) e aumenta il relativo valore. il il valore consigliato è 32.000.
   2. Seleziona Max UDP Syslog Payload Length (Lunghezza massima del payload di Syslog UDP) e aumenta il relativo valore. il il valore consigliato è 32.000.
4. Fai clic su Esegui il deployment delle modifiche e utilizza l'opzione Deployment completo.

Eventi SCC di Google elencati come eventi sconosciuti

Problema: gli eventi di Security Command Center sono elencati come Sconosciuto. Questo problema si verifica quando l'ID evento e la categoria del payload non sono mappati in QRadar.

Soluzione: per risolvere il problema, svolgi i passaggi che seguono.

1. Vai ad Registra attività e fai clic su Aggiungi filtro.
2. Seleziona Parametro, quindi Tipo di sorgente log (indicizzata).
3. Seleziona Operatore, quindi Uguale a.
4. Seleziona Tipo di sorgente log, quindi Google SCC.
5. Nel menu a discesa del filtro Visualizzazioni, seleziona Ultimi 7 giorni.
6. Se gli eventi vengono visualizzati come Sconosciuto, segui questi passaggi:
   .
   1. Fai clic con il pulsante destro del mouse sull'evento e seleziona Visualizza nell'editor di DSM.
   2. In Anteprima attività di log, controlla i valori di ID evento e Categoria evento.
   3. Se i valori sono sconosciuti, contatta l'assistenza Cloud.

La configurazione dell'app non va a buon fine e vengono visualizzati messaggi di errore

Se ricevi un errore di configurazione dell'app, svolgi i passaggi che seguono per risolvere il problema.

Errore	Descrizione	Soluzione
"Inserisci un file JSON dell'account di servizio valido."	Questo errore si verifica se viene fornito un JSON formattato correttamente, ma l'autenticazione non riesce quando durante il tentativo di salvataggio della configurazione.	Inserisci un JSON valido con le credenziali dell'account corrette.
"Il file JSON dell'account di servizio deve essere una stringa JSON."	Questo errore si verifica se È stato fornito un JSON non formattato correttamente o il file è in un formato diverso che JSON.	Inserisci un file JSON valido.
"Inserisci un ID organizzazione valido".	Questo errore si verifica quando È stato inserito un ID organizzazione errato o incompleto.	Verifica il tuo ID organizzazione e inseriscilo di nuovo.
"Inserisci un ID progetto o un ID abbonamento dei risultati validi."	Questo errore si verifica quando un ID progetto o un ID abbonamento non è corretto o non è valido inserito.	Verifica l'ID progetto e l'ID organizzazione e inseriscili di nuovo.
"Inserisci un ID abbonamento risorse valido."	Questo errore si verifica quando È stato inserito un ID abbonamento della risorsa non corretto o non valido.	Verifica l'ID abbonamento della risorsa e inseriscilo di nuovo.
"Errore durante la convalida del token di autorizzazione."	Questo errore quando è stato fornito un token di autorizzazione QRadar errato o non valido.	Verifica il token di autorizzazione QRadar e inseriscilo di nuovo. Deve avere Amministratore come ruolo utente e profilo di sicurezza. Inoltre, il token non deve essere scaduto.

Errore durante l'avvio della connessione socket con QRadar

Problema: il messaggio di errore "Errore durante l'avvio della connessione socket con IBM QRadar" viene osservata nei file di log di raccolta dati. Questo problema potrebbe essere osservato nel framework dell’app QRadar v2 (< v7.4.2 P2).

Soluzione: per risolvere il problema, svolgi i passaggi che seguono.

1. Leggi la nota di assistenza relativa alle modifiche al deployment QRadar.
2. Esegui l'upgrade di QRadar.

Problemi dell'interfaccia

Problema: il riquadro o la pagina di configurazione della dashboard mostra errori o non comportamento degli utenti.

Soluzione: per risolvere il problema, svolgi i passaggi che seguono.

1. Svuota la cache del browser e ricarica la pagina web.
2. Riduci l'intervallo di tempo del filtro. Le query QRadar potrebbero scadere se il numero di risposte è troppo elevato.
3. Se il problema persiste, contatta l'assistenza Cloud.

I riquadri della dashboard non vengono caricati e il processo di flask si interrompe

Problema: il processo flask scade e alcuni riquadri della dashboard non vengono caricati.

Soluzione: per risolvere il problema, svolgi i passaggi che seguono.

1. Svuota la cache del browser e ricarica la pagina web.
2. Riduci l'intervallo di tempo del filtro. Le query QRadar potrebbero scadere se il numero di risposte è troppo elevato.
3. Se il problema persiste, contatta l'assistenza Cloud.

Tutti gli altri problemi di prestazioni

Se il problema persiste seguendo le istruzioni di questa guida, procedi nel seguente modo: seguenti:

1. Vai alla scheda Amministrazione, quindi fai clic su Sistema e licenza Gestione.
2. Seleziona l'host su cui è installato Google SCC App For QRadar - QRadar v7.4.1FP2+.
3. Fai clic su Azione e seleziona Raccogli i file di log.
4. Nella finestra di dialogo, fai clic su Opzioni avanzate.
5. Seleziona le caselle di controllo accanto a Includi log di debug, Applicazione Log delle estensioni e Log di configurazione (versione corrente).
6. Seleziona due giorni come input dati, poi fai clic su Raccogli file di log.

7. Seleziona Fai clic qui per scaricare i file.

   I file di log verranno scaricati in un file ZIP. Contatta l'assistenza Cloud e condividi i file di log.

Passaggi successivi

• Scopri di più sulla configurazione della ricerca delle notifiche in Security Command Center.

• Scopri di più sul filtro delle notifiche sui risultati in Security Command Center.