IBM QRadar에 Security Command Center 데이터 전송

이 페이지에서는 Security Command Center 발견 항목, 애셋, 감사 로그, 보안 소스를 IBM QRadar로 자동 전송하는 방법을 설명합니다. 또한 내보낸 데이터를 관리하는 방법도 설명합니다. QRadar는 하나 이상의 소스로부터 보안 데이터를 수집하고 보안 팀의 이슈 대응 관리 및 실시간 분석 수행을 도와주는 보안 정보 및 이벤트 관리(SIEM) 플랫폼입니다.

이 가이드에서는 필요한 Security Command Center 및 Google Cloud 서비스가 올바르게 구성되었는지 확인하고 Security Command Center 환경에서 QRadar가 발견 항목, 감사 로그 및 애셋에 액세스할 수 있도록 해야 합니다.

시작하기 전에

이 가이드에서는 QRadar(v7.4.1 수정 팩 2 이상)를 사용한다고 가정합니다. QRadar를 시작하려면 QRadar 등록을 참조하세요.

인증 및 승인 구성

QRadar에 연결하려면 먼저 연결하려는 각 Google Cloud 조직에 Identity and Access Management(IAM) 서비스 계정을 만들고 이 계정에 QRadar용 Google SCC 앱에 필요한 조직 수준 및 프로젝트 수준 IAM 역할을 모두 부여해야 합니다.

서비스 계정 만들기 및 IAM 역할 부여

다음 단계에서는 Google Cloud 콘솔을 사용합니다. 다른 방법은 이 섹션의 끝에 있는 링크를 참조하세요.

Security Command Center 데이터를 가져오려는 각 Google Cloud 조직에 대해 다음 단계를 완료합니다.

  1. Pub/Sub 주제를 만드는 동일한 프로젝트에서 Google Cloud 콘솔의 서비스 계정 페이지를 사용하여 서비스 계정을 만듭니다. 자세한 내용은 서비스 계정 만들기 및 관리를 참조하세요.
  2. 서비스 계정에 다음 역할을 부여합니다.

    • Pub/Sub 편집자(roles/pubsub.editor)
  3. 방금 만든 서비스 계정의 이름을 복사합니다.

  4. Google Cloud 콘솔에서 프로젝트 선택기를 사용하여 조직 수준으로 전환합니다.

  5. 조직의 IAM 페이지를 엽니다.

    IAM으로 이동

  6. IAM 페이지에서 액세스 권한 부여를 클릭합니다. 액세스 권한 부여 패널이 열립니다.

  7. 액세스 권한 부여 패널에서 다음 단계를 완료합니다.

    1. 새 주 구성원 필드의 주 구성원 추가 섹션에서 서비스 계정의 이름을 붙여넣습니다.
    2. 역할 할당 섹션에서 역할 필드를 사용하여 다음 IAM 역할을 서비스 계정에 부여합니다.

      • 보안 센터 관리자 편집자(roles/securitycenter.adminEditor)
      • 보안 센터 알림 구성 편집자(roles/securitycenter.notificationConfigEditor)
      • 조직 뷰어(roles/resourcemanager.organizationViewer)
      • Cloud 애셋 뷰어(roles/cloudasset.viewer)
    3. 저장을 클릭합니다. 보안 계정이 주 구성원별 보기 아래 IAM 페이지의 권한 탭에 표시됩니다.

      또한 상속을 통해 서비스 계정이 조직의 모든 하위 프로젝트에서 주 구성원이 되고, 프로젝트 수준에서 적용 가능한 역할이 상속된 역할로 나열됩니다.

서비스 계정 만들기 및 역할 부여에 대한 자세한 내용은 다음 주제를 참조하세요.

QRadar에 사용자 인증 정보 제공

QRadar 호스팅 위치에 따라 IAM 사용자 인증 정보를 QRadar에 제공하는 방법이 달라집니다.

알림 구성

Security Command Center 데이터를 가져오려는 각 Google Cloud 조직에 대해 다음 단계를 완료합니다.

  1. 다음과 같이 발견 항목 알림을 설정합니다.
    1. Security Command Center API를 사용 설정합니다.
    2. 원하는 발견 항목과 애셋을 내보내는 필터를 만듭니다.
    3. 발견 항목, 감사 로그, 애셋 각각에 대해 하나씩 3개의 Pub/Sub 주제를 만듭니다. NotificationConfig에는 개발자가 발견 항목에 대해 만든 Pub/Sub 주제가 사용되어야 합니다.
  2. 조직 수준 로그를 수집하여 지원되는 대상으로 라우팅에 설명된 대로 감사 로그에 대한 싱크를 만듭니다. 싱크는 감사 로그에 만든 Pub/Sub 주제를 사용해야 합니다. 예를 들면 다음과 같습니다.

    gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
      --include-children /
      --organization=ORGANIZTION_ID /
      --log-filter=FILTER
    

    다음을 바꿉니다.

    • SINK_NAME을 감사 로그 싱크 이름으로 바꿉니다.

    • SINK_DESTINATION(pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID 포함)

    • ORGANIZATION_ID를 조직 ID로 바꿉니다.

    • FILTER: logName:activity, logName:data_access, logName:system_event 또는 logName:policy입니다.

  3. 싱크의 서비스 계정에 Pub/Sub 게시자(roles/pubsub.publisher) 역할을 부여합니다.

  4. 프로젝트에서 Cloud Asset API를 사용 설정합니다.

  5. 애셋에 대해 피드를 만듭니다. 리소스용 피드와 Identity and Access Management(IAM) 정책용 피드를 포함해서 2개의 피드를 동일한 Pub/Sub 주제에 만들어야 합니다.

    • 애셋의 Pub/Sub 주제는 발견 항목에 사용되는 것과 달라야 합니다.
    • 리소스 피드의 경우 content-type=resource 필터를 사용합니다.
    • IAM 정책 피드의 경우에는 content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project" 필터를 사용해야 합니다.

QRadar를 구성하려면 조직 ID 및 Pub/Sub 구독 이름이 필요합니다.

QRadar용 Google SCC 앱 설치 - QRadar v7.4.1FP2+

이 섹션에서는 QRadar용 Google SCC 앱 - QRadar v7.4.1FP2+(v3.0.0)을 설치합니다. Security Command Center에서 유지보수되는 이 앱은 Security Command Center API 호출 예약 프로세스를 자동화하고 QRadar에서 사용할 Security Command Center 데이터를 정기적으로 검색합니다.

앱 설치를 위해서는 웹 인터페이스를 통한 QRadar 콘솔 머신에 대한 액세스 권한이 필요합니다.

설치를 완료하려면 다음을 수행합니다.

  1. IBM App Exchange에서 QRadar용 Google SCC 앱을 다운로드합니다.
  2. https://QRadar_Console_IP로 QRadar 콘솔에 로그인합니다.
  3. 콘솔 메뉴에서 관리자를 클릭한 후 확장 프로그램 관리를 선택합니다.
  4. 다운로드 ZIP 파일을 선택하기 위해 추가를 클릭합니다. 설치가 준비되는 대로 메시지 안내를 따릅니다.
  5. 각 앱의 기본 인스턴스 시작을 선택합니다.
  6. 설치를 클릭합니다. 설치가 성공적으로 완료되면 애플리케이션 구성요소 목록이 표시됩니다.
  7. 관리 탭을 클릭한 후 변경사항 배포를 클릭합니다.
  8. 브라우저 캐시를 지우고 브라우저 창을 새로고침합니다.
  9. 확장 프로그램 관리로 이동합니다. QRadar용 Google SCC 앱 상태가 설치됨으로 표시됩니다.

Google SCC 앱 구성

이 섹션에서는 Google SCC 앱을 구성합니다. 구성을 완료하려면 다음을 수행합니다.

  1. QRadar에서 관리자 탭으로 이동합니다.
  2. Google SCC 앱 설정을 클릭합니다.
  3. Google SCC 조직 추가를 클릭합니다.
  4. 필요에 따라 다음 변수를 입력합니다.

    • 서비스 계정 JSON: 서비스 계정 키가 포함된 JSON 파일

      Google Cloud에서 QRadar 배포를 호스팅하는 경우에는 이 필드를 사용할 수 없습니다. IAM 권한으로 VM에 연결된 서비스 계정을 각 Google Cloud 조직에 제공해야 합니다. 자세한 내용은 QRadar에 사용자 인증 정보 제공을 참조하세요.

    • 사용자 인증 정보 구성: 워크로드 아이덴티티 제휴를 설정할 때 다운로드한 사용자 인증 정보 구성 파일

    • 조직 ID: 조직 ID입니다.

    • 발견 항목 구독 이름: 발견 항목 알림의 Pub/Sub 구독 이름입니다.

    • 애셋 구독 이름: 애셋 피드의 Pub/Sub 구독 이름입니다.

    • 감사 로그 컬렉션 사용 설정: 감사 로그를 QRadar 인스턴스로 전송하도록 선택합니다.

      • 감사 로그 구독 이름: 감사 로그 싱크의 Pub/Sub 구독 이름
    • 간격: 실시간 데이터 수집 중의 Pub/Sub 호출 간격(초)

    • QRadar 승인 토큰: QRadar 인스턴스에 대한 토큰입니다. 토큰을 검색하려면 다음을 수행합니다.

      1. QRadar에서 관리자 탭으로 이동합니다.
      2. 사용자 관리에서 승인된 서비스를 클릭합니다.
      3. 관리자 사용자 역할 및 관리자 보안 프로필을 사용해서 승인 토큰을 복사합니다. 토큰이 없으면 승인된 서비스 추가를 클릭하여 토큰을 만듭니다.
      4. 변경사항 배포를 클릭한 후 브라우저 창을 새로고침합니다.
  5. 선택적으로 프록시 구성 세부정보를 입력하려면 프록시 사용 설정/사용 중지 토글을 클릭한 후 프록시 설정을 입력합니다.

    • IP/호스트 이름: 프록시 서버의 IP 주소 또는 호스트 이름입니다(HTTP/HTTPS 프리픽스 포함 안함).
    • 포트: 프록시 서버의 포트입니다.
    • 사용자 이름: 인증 프록시에 사용되는 사용자 이름입니다.
    • 비밀번호: 인증 프록시에 사용되는 비밀번호입니다.
  6. 저장을 클릭합니다.

  7. 통합하려는 Google Cloud 조직마다 이러한 단계를 반복합니다.

앱 구성이 저장되고 조직이 앱 구성 페이지에 추가됩니다. 다음 섹션에서는 서비스에서 Security Command Center 데이터를 보고 관리하는 방법을 설명합니다.

Google SCC 앱 업그레이드

이 섹션에서는 기존 QRadar용 Google SCC 앱을 최신 버전으로 업그레이드합니다.

업그레이드를 완료하려면 다음을 수행합니다.

  1. IBM App Exchange에서 Google SCC 앱의 최신 버전을 다운로드합니다.
  2. https://QRadar_Console_IP로 QRadar 콘솔에 로그인합니다.
  3. 콘솔 메뉴에서 관리자를 클릭한 후 확장 프로그램 관리를 선택합니다.
  4. 다운로드 ZIP 파일을 선택하기 위해 추가를 클릭합니다. 업그레이드가 준비되는 대로 메시지 안내를 따릅니다.
  5. 기존 항목 바꾸기각 앱의 기본 인스턴스 시작을 선택합니다.
  6. 설치를 클릭합니다. 업그레이드 프로세스가 성공적으로 완료되면 애플리케이션 구성요소 목록이 표시됩니다.
  7. 관리 탭을 클릭한 후 변경사항 배포를 클릭합니다.
  8. 브라우저 캐시를 지우고 브라우저 창을 새로고침합니다.
  9. 확장 프로그램 관리로 이동합니다. QRadar용 Google SCC 앱 상태가 설치됨으로 표시됩니다.
  10. SSH를 사용하여 QRadar에서 애플리케이션에 액세스하는 사용자의 애플리케이션 로그를 삭제합니다.

    1. IBM App Exchange에서 최신 버전의 참조 데이터 관리 앱을 다운로드합니다.

    2. https://QRadar_Console_IP로 QRadar 콘솔에 로그인합니다.

    3. 콘솔 메뉴에서 관리자를 클릭한 후 확장 프로그램 관리를 선택합니다.

    4. 다운로드 ZIP 파일을 선택하기 위해 추가를 클릭합니다. 프롬프트에 따라 애플리케이션을 설치합니다.

    5. 콘솔에서 참조 데이터 관리 대시보드로 이동합니다.

    6. 참조 맵을 클릭합니다.

    7. asset_owners를 선택하고 asset_owners를 클릭합니다.

QRadar에서 내보낸 데이터 보기

이 섹션에서는 발견 항목, 감사 로그 및 애셋 검색, IAM 정책 보기, 커스텀 대시보드 보기를 포함하여 QRadar에서 사용 가능한 관련 기능에 대해 설명합니다.

데이터 검색

QRadar에서 Security Command Center 데이터를 검색하려면 로그 활동 패널을 사용합니다. 수집된 발견 항목, 애셋, 감사 로그, 보안 소스를 확인하고 SQL 스타일의 필터를 적용해서 데이터를 세분화할 수 있습니다.

IAM 정책 데이터 보기

애셋의 IAM 정책 데이터를 보려면 다음을 수행합니다.

  1. IBM App Exchange Portal에서 참조 데이터 관리 애플리케이션을 다운로드하고 설치합니다.
  2. QRadar에서 참조 데이터 관리 대시보드를 클릭합니다.
  3. 탐색 패널에서 참조 맵을 클릭합니다.
  4. asset_owners를 선택합니다. 대시보드가 IAM 정책 데이터로 채워집니다.

커스텀 대시보드

QRadar에서 커스텀 대시보드를 사용해서 발견 항목, 애셋, 보안 소스를 시각화하고 분석할 수 있습니다.

개요

개요 대시보드에는 Google Cloud 조직내에 있는 총 발견 항목, 위협, 취약점 수가 표시됩니다. 발견 항목은 Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection과 같은 Security Command Center의 기본 제공 서비스와 사용자가 사용 설정하는 모든 통합 서비스로부터 컴파일됩니다.

데이터를 필터링하여 시각화를 업데이트하고 Google Cloud 조직을 지정하며 필요에 따라 새 데이터를 가져올 수 있습니다.

애셋

애셋 탭에는 Google Cloud 애셋 테이블이 표시됩니다. 테이블 데이터에는 애셋 이름, 애셋 유형, 리소스 소유자, 마지막 업데이트 시간, Google Cloud Console에 표시되는 Security Command Center 애셋 페이지 링크가 포함되어 있습니다.

조직, 시간 범위 및 애셋 유형에 따라 애셋 데이터를 검색 및 필터링하고 특정 애셋의 발견 항목을 상세히 살펴볼 수 있습니다.

소스

소스 탭에는 소스 이름, 소스 표시 이름, 설명을 포함한 보안 소스 테이블이 표시됩니다. 소스 이름을 클릭하여 해당 소스에 대한 발견 항목을 볼 수 있습니다.

발견 항목

발견 항목 탭에는 조직의 발견 항목 테이블이 표시됩니다. 테이블을 검색하고 시간 범위, 카테고리, 중요도, 보안 소스, 애셋, 프로젝트 이름별로 목록을 필터링할 수 있습니다.

테이블 열에는 발견 항목 이름, 카테고리, 애셋 이름, 보안 소스 이름, 보안 표시, 심각도, 프로젝트 이름, 이벤트 시간, 발견 항목 클래스, 업데이트 상태가 포함됩니다. 발견 항목 이름을 클릭하면 Google Cloud Console에서 Security Command Center의 발견 항목 페이지로 리디렉션되고 선택한 발견 항목에 대한 세부정보가 표시됩니다.

상태 업데이트 열에서 발견 항목 상태를 업데이트할 수 있습니다. 발견 항목 검토 중임을 표시하려면 활성으로 표시를 클릭합니다. 발견 항목을 검토하지 않으면 비활성으로 표시를 클릭합니다.

감사 로그

감사 로그 대시보드에는 감사 로그 정보를 보여주는 일련의 차트와 테이블이 표시됩니다. 대시보드에 포함된 감사 로그는 관리자 활동, 데이터 액세스, 시스템 이벤트, 정책 거부 감사 로그입니다. 테이블에는 시간, 로그 이름, 심각도, 서비스 이름, 리소스 이름, 리소스 유형이 포함됩니다.

애플리케이션 로그 확인

  1. SSH를 통해 QRadar에 로그인합니다.
  2. 설치된 모든 애플리케이션과 해당 App-ID 값을 나열합니다.

    /opt/qradar/support/recon ps
    

    출력은 다음과 비슷합니다. Google SCC 앱의 App-ID를 기록해 둡니다.

    App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
    1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
    1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
    1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
    1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
    1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
    1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++
    
  3. Google SCC 앱 컨테이너에 연결합니다.

    /opt/qradar/support/recon connect APP_ID
    

    APP_IDGoogle SCC 앱의 App-ID로 바꿉니다.

  4. 로그 디렉터리로 이동합니다.

    cd /opt/app-root/store/log
    
  5. 디렉터리에 있는 모든 파일을 나열합니다.

    ls
    
  6. 파일 콘텐츠를 확인합니다.

    cat FILENAME
    

    FILENAME을 파일 이름으로 바꿉니다.

Google SCC 앱 제거

Google SCC 앱을 제거하려면 다음을 수행합니다.

  1. 관리 탭으로 이동합니다.
  2. 확장 프로그램 관리를 선택합니다.
  3. QRadar용 Google SCC 앱 - QRadar v7.4.1FP2+를 선택합니다.
  4. 제거를 클릭합니다.

애플리케이션을 제거하면 Google SCC 앱에서 제공된 커스텀 이벤트 속성, 참조 맵, 대시보드, 로그 소스가 삭제됩니다.

알려진 문제

이 섹션에서는 Google SCC 앱 및 QRadar 대시보드와 관련된 알려진 문제를 보여줍니다.

v1.0.0

  • 개요 대시보드에서 시간 경과에 따른 중요도별 발견 항목 패널에는 발견 항목이 250,000개 이상인 데이터에 대한 기술 오류가 표시되고 대시보드를 채우는 flask 프로세스가 백엔드에서 다시 시작됩니다. 이 문제를 방지하려면 대시보드의 시간 범위를 짧게 선택합니다.

    이 문제는 v2.0.0에서 해결되었습니다.

  • GROUP BY AQL 함수의 예기치 않은 동작으로 인해 삭제된 애셋이 애셋 대시보드에 표시될 수 있습니다.

v2.0.0

  • GROUP BY AQL 함수의 예기치 않은 동작으로 인해 삭제된 애셋이 애셋 대시보드에 표시될 수 있습니다.
  • GROUP BY AQL 함수의 예기치 않은 동작으로 인해 Google SCC 앱을 업데이트한 후에는 발견 항목 대시보드에 최신 발견 항목 데이터가 표시되지 않을 수 있습니다.

v3.0.0

  • GROUP BY AQL 함수의 예기치 않은 동작으로 인해 같은 고유 키로 이벤트 여러 개를 사용할 수 있는 경우 대시보드에 최신 이벤트가 표시되지 않을 수 있습니다.
  • 이미 v2를 통해 수집된 데이터의 경우 조직 ID 필터를 적용할 수 없습니다. 조직 ID 필터에서 모두 값을 선택하여 데이터를 볼 수 있습니다.

문제 해결

이 섹션에서는 몇 가지 일반적인 문제들에 대한 해결책을 설명합니다.

Google SCC 이벤트가 Google SCC 메시지로 표시됨

문제: Security Command Center 이벤트가 올바른 QRadar 카테고리로 식별되지 않고 Security Command Center 메시지로 표시됩니다. 사용자가 Google Cloud 로그 소스에서 이벤트를 검색하면 QRadar의 로그 활동 탭에 메시지가 표시됩니다.

이 문제는 필요한 필드가 원시 로그 이벤트에 제공되지 않았거나 이벤트 페이로드 크기가 기본 4,096 바이트보다 커서 이벤트가 잘릴 수 있는 경우에 발생합니다.

해결책: 페이로드가 잘린 경우 다음 단계를 수행해서 최대 페이로드 크기를 늘립니다.

  1. 관리 탭으로 이동하고 시스템 설정을 선택합니다.
  2. 전환 대상에서 고급을 클릭합니다.
  3. 설정 목록에서 다음을 수행합니다.
    1. 최대 TCP Syslog 페이로드 길이를 선택하고 값을 늘립니다. 권장 값은 32,000입니다.
    2. 최대 UDP Syslog 페이로드 길이를 선택하고 값을 늘립니다. 권장 값은 32,000입니다.
  4. 변경사항 배포를 클릭하고 전체 배포 옵션을 사용합니다.

Google SCC 이벤트가 알 수 없는 이벤트로 표시됨

문제: Security Command Center 이벤트가 알 수 없음으로 표시됩니다. 이 문제는 페이로드의 이벤트 ID 및 카테고리가 QRadar에 매핑되지 않을 때 발생합니다.

해결책: 다음 단계를 수행하여 문제를 해결합니다.

  1. 로그 활동으로 이동한 후 필터 추가를 클릭합니다.
  2. 매개변수를 선택한 후 로그 소스 유형(색인)을 선택합니다.
  3. 연산자를 선택한 후 같음을 선택합니다.
  4. 로그 소스 유형을 선택한 후 Google SCC를 선택합니다.
  5. 보기 필터 드롭다운 메뉴에서 최근 7일을 선택합니다.
  6. 이벤트가 알 수 없음으로 표시되면 다음 단계를 수행합니다.
    1. 이벤트를 마우스 오른쪽 버튼으로 클릭하고 DSM 편집기에서 보기를 선택합니다.
    2. 로그 활동 미리보기에서 이벤트 ID이벤트 카테고리 값을 확인합니다.
    3. 값을 알 수 없으면 클라우드 지원팀에 문의합니다.

오류 메시지와 함께 앱 구성이 실패함

앱 구성 오류가 표시되면 다음 단계를 수행하여 문제를 해결합니다.

오류 설명 솔루션
'유효한 서비스 계정 JSON을 입력하세요.' 올바른 형식의 JSON을 제공했지만 구성을 저장하려고 시도할 때 인증이 실패하는 경우가 이 오류에 해당합니다. 올바른 계정 사용자 인증 정보를 사용해서 유효한 JSON을 입력하세요.
'서비스 계정 JSON이 JSON 문자열이어야 합니다.' 잘못된 형식의 JSON을 제공했거나 파일이 JSON이 아닌 형식일 때 이 오류가 발생합니다. 유효한 JSON 파일을 입력하세요.
'유효한 조직 ID를 입력하세요.' 잘못되었거나 완전하지 않은 조직 ID를 입력할 때 이 오류가 발생합니다. 조직 ID를 확인하고 다시 입력하세요.
'유효한 프로젝트 ID 또는 발견 항목 구독 ID를 입력하세요.' 잘못되었거나 유효하지 않은 프로젝트 ID 또는 구독 ID를 입력했을 때 이 오류가 발생합니다. 프로젝트 ID 및 조직 ID를 확인하고 다시 입력하세요.
'유효한 애셋 구독 ID를 입력하세요.' 잘못되었거나 유효하지 않은 애셋 구독 ID를 입력했을 때 이 오류가 발생합니다. 애셋 구독 ID를 확인하고 다시 입력하세요.
'승인 토큰을 검증하는 중 오류가 발생했습니다.' 잘못되었거나 유효하지 않은 QRadar 승인 토큰이 제공되었을 때 이 오류가 발생합니다. QRadar 승인 토큰을 확인하고 다시 입력합니다. 사용자 역할과 보안 프로필이 관리자여야 합니다. 토큰이 만료되지 않아야 합니다.

QRadar에 소켓 연결 시작 중 오류 발생

문제: 'IBM QRadar에 소켓 연결을 시작하는 중 오류 발생' 오류 메시지가 데이터 수집 로그 파일에 표시됩니다. 이 문제는 QRadar v2 앱 프레임워크(< v7.4.2 P2)에서 관측될 수 있습니다.

해결책: 다음 단계를 수행하여 문제를 해결합니다.

  1. QRadar 배포 관련 지원 노트 변경사항을 검토하세요.
  2. QRadar를 업데이트합니다.

인터페이스 문제

문제: 대시보드 패널 또는 구성 페이지에 오류 또는 의도치 않은 동작이 표시됩니다.

해결책: 다음 단계를 수행하여 문제를 해결합니다.

  1. 브라우저 캐시를 지우고 웹페이지를 새로고침합니다.
  2. 필터의 시간 범위를 줄입니다. 응답 수가 너무 많으면 QRadar 쿼리가 만료될 수 있습니다.
  3. 문제가 해결되지 않으면 클라우드 지원팀에 문의하세요.

대시보드 패널이 로드되지 않고 flask 프로세스가 종료됨

문제: flask 프로세스가 시간 초과되고 일부 대시보드 패널이 로드되지 않습니다.

해결책: 다음 단계를 수행하여 문제를 해결합니다.

  1. 브라우저 캐시를 지우고 웹페이지를 새로고침합니다.
  2. 필터의 시간 범위를 줄입니다. 응답 수가 너무 많으면 QRadar 쿼리가 만료될 수 있습니다.
  3. 문제가 해결되지 않으면 클라우드 지원팀에 문의하세요.

기타 모든 성능 문제

이 가이드의 안내로도 문제가 해결되지 않으면 다음을 수행하세요.

  1. 관리 탭으로 이동한 후 시스템 및 라이선스 관리를 클릭합니다.
  2. QRadar용 Google SCC 앱 - QRadar v7.4.1FP2+가 설치된 호스트를 선택합니다.
  3. 작업을 클릭한 후 로그 파일 수집을 선택합니다.
  4. 대화상자에서 고급 옵션을 클릭합니다.
  5. 디버그 로그 포함, 애플리케이션 확장 로그, 설정 로그(현재 버전) 옆의 체크박스를 선택합니다.
  6. 데이터 입력으로 2일을 선택한 후 로그 파일 수집을 클릭합니다.
  7. 여기를 클릭하여 파일 다운로드를 선택합니다.

    로그 파일이 ZIP 파일로 다운로드됩니다. 클라우드 지원팀에 문의하여 로그 파일을 공유합니다.

다음 단계