Cette page explique comment envoyer automatiquement les résultats, les éléments, les journaux d'audit et les sources de sécurité de Security Command Center à IBM QRadar. Elle décrit également comment gérer les données exportées. QRadar est une plate-forme de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) qui ingère des données provenant d'une ou de plusieurs sources. Elle permet aux équipes de sécurité de gérer les réponses aux incidents et d'effectuer des analyses en temps réel.
Dans ce guide, vous allez vérifier que les services Security Command Center et Google Cloud requis sont correctement configurés, et autoriser QRadar à accéder aux résultats, journaux d'audit et éléments de votre environnement Security Command Center.
Avant de commencer
Dans ce guide, nous partons du principe que vous utilisez QRadar (v7.4.1 Fix Pack 2 ou version ultérieure). Pour commencer à utiliser QRadar, consultez la page S'inscrire à QRadar.
Configurer l'authentification et l'autorisation
Avant de vous connecter à QRadar, vous devez créer un compte de service IAM (Identity and Access Management) dans chaque organisation Google Cloud que vous souhaitez associer et attribuer au compte à la fois les rôles IAM au niveau de l'organisation et du projet dont l'application Google SCC pour QRadar a besoin.
Créer un compte de service et accorder des rôles IAM
Les étapes suivantes utilisent la console Google Cloud. Pour découvrir d'autres méthodes, consultez les liens à la fin de cette section.
Suivez cette procédure pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.
- Dans le projet dans lequel vous créez vos sujets Pub/Sub, utilisez la page Comptes de service de la console Google Cloud pour créer un compte de service. Pour obtenir des instructions, consultez la page Créer et gérer des comptes de service.
Attribuez le rôle suivant au compte de service :
- Éditeur Pub/Sub (
roles/pubsub.editor
)
- Éditeur Pub/Sub (
Copiez le nom du compte de service que vous venez de créer.
Utilisez le sélecteur de projet dans la console Google Cloud pour passer au niveau de l'organisation.
Ouvrez la page IAM de l'organisation :
Sur la page IAM, cliquez sur Accorder l'accès. Le panneau "Accorder l'accès" s'affiche.
Dans le panneau Accorder l'accès, procédez comme suit :
- Dans la section Ajouter des comptes principaux du champ Nouveaux comptes principaux, collez le nom du compte de service.
Dans la section Attribuer des rôles, utilisez le champ Rôle pour attribuer les rôles IAM suivants au compte de service :
- Éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor
) - Éditeur de configuration des notifications du centre de sécurité
(
roles/securitycenter.notificationConfigEditor
) - Lecteur d'organisation (
roles/resourcemanager.organizationViewer
) - Lecteur d'éléments Cloud (
roles/cloudasset.viewer
) Cliquez sur Enregistrer. Le compte de service s'affiche dans l'onglet Autorisations de la page IAM sous Afficher par compte principal.
Par héritage, le compte de service devient également un principal dans tous les projets enfants de l'organisation. Les rôles applicables au niveau du projet sont listés comme des rôles hérités.
Pour plus d'informations sur la création de comptes de service et l'attribution de rôles, consultez les rubriques suivantes :
Fournir les identifiants à QRadar
La procédure à suivre varie selon l'emplacement où vous hébergez QRadar.
Si vous hébergez le déploiement QRadar dans Google Cloud, tenez compte des points suivants:
Le compte de service que vous avez créé et les rôles au niveau de l'organisation que vous lui avez attribués sont automatiquement disponibles en héritant de l'organisation parente. Si vous utilisez plusieurs organisations Google Cloud, ajoutez ce compte de service aux autres organisations et attribuez-lui les rôles IAM décrits aux étapes 5 à 7 de Créer un compte de service et attribuer des rôles IAM.
Si vous déployez QRadar dans un périmètre de service, créez les règles d'entrée et de sortie. Pour obtenir des instructions, consultez la section Accorder l'accès à un périmètre dans VPC Service Controls.
Si vous hébergez QRadar dans votre environnement sur site ou sur IBM Cloud, créez une clé de compte de service pour chaque organisation Google Cloud. Vous aurez besoin des clés de compte de service au format JSON pour suivre ce guide.
Si vous hébergez QRadar dans Microsoft Azure ou Amazon Web Services, configurez la fédération d'identité de charge de travail et téléchargez les fichiers de configuration des identifiants. Si vous utilisez plusieurs organisations Google Cloud, ajoutez ce compte de service aux autres organisations et attribuez-lui les rôles IAM décrits aux étapes 5 à 7 de Créer un compte de service et accorder des rôles IAM.
Configurer les notifications
Suivez cette procédure pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.
- Configurez les notifications de recherche comme suit :
- Activez l'API Security Command Center.
- Créez un filtre pour exporter les résultats et les éléments souhaités.
- Créez trois sujets Pub/Sub: un pour les résultats, un pour les journaux d'audit et un pour les éléments. La configuration
NotificationConfig
doit utiliser le sujet Pub/Sub que vous créez pour les résultats.
Créez un récepteur pour les journaux d'audit, comme décrit dans la section Générer et acheminer des journaux au niveau de l'organisation vers des destinations compatibles. Le récepteur doit utiliser le sujet Pub/Sub que vous avez créé pour les journaux d'audit. Exemple :
gcloud logging sinks create SINK_NAME SINK_DESTINATION \ --include-children \ --organization=ORGANIZATION_ID \ --log-filter=FILTER
Remplacez les éléments suivants :
SINK_NAME par le nom du collecteur de journaux d'audit.
SINK_DESTINATION avec
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
ORGANIZATION_ID par l'ID de votre organisation.
FILTER avec
logName:activity
,logName:data_access
,logName:system_event
oulogName:policy
.
Attribuez le rôle Diffuseur Pub/Sub (
roles/pubsub.publisher
) au compte de service du récepteur.Activez l'API Cloud Asset pour votre projet.
Créez des flux pour vos éléments. Vous devez créer deux flux dans le même sujet Pub/Sub, l'un pour vos ressources et l'autre pour vos stratégies IAM (Identity and Access Management).
- Le sujet Pub/Sub des éléments doit être différent de celui utilisé pour les résultats.
- Pour le flux des ressources, utilisez le filtre suivant :
content-type=resource
. - Pour le flux des stratégies IAM, vous devez utiliser le filtre suivant :
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
.
Vous aurez besoin de vos ID d'organisation et des noms des abonnements Pub/Sub pour configurer QRadar.
Installer l'application Google SCC pour QRadar (QRadar v7.4.1FP2+)
Dans cette section, vous allez installer l'application Google SCC pour QRadar (QRadar v7.4.1FP2+ (v3.0.0)). L'application gérée par Security Command Center automatise le processus de planification des appels d'API Security Command Center et récupère régulièrement les données de Security Command Center à utiliser dans QRadar.
Pour installer une application, vous devez accéder à la machine de la console QRadar via une interface Web.
Pour effectuer l'installation, procédez comme suit :
- Téléchargez l'application Google SCC pour QRadar sur IBM App Exchange.
- Connectez-vous à votre console QRadar à l'adresse https://QRadar_Console_IP.
- Dans le menu de la console, cliquez sur Admin, puis sélectionnez Extension Management (Gestion des extensions).
- Pour sélectionner le fichier ZIP de téléchargement, cliquez sur Add (Ajouter). Suivez les instructions lorsque l'installation est terminée.
- Sélectionnez Start a default instance for each app (Démarrer une instance par défaut pour chaque application).
- Cliquez sur Installer. Une fois l'installation terminée, une liste de composants d'application s'affiche.
- Cliquez sur l'onglet Admin, puis sur Deploy changes (Déployer les modifications).
- Effacez le cache du navigateur et actualisez la fenêtre du navigateur.
- Accédez à Extension Management (Gestion des extensions). Vous devriez voir Google SCC App for QRadar (Application Google SCC pour QRadar) à l'état Installée.
Configurer l'application Google SCC
Dans cette section, vous allez configurer l'application Google SCC. Pour ce faire, procédez comme suit :
- Accédez à l'onglet Admin dans QRadar.
- Cliquez sur Google SCC App Settings (Paramètres de l'application Google SCC).
- Cliquez sur Add Google SCC Organization (Ajouter une organisation Google SCC).
Saisissez les variables suivantes, selon le cas :
Service Account JSON (Fichier JSON du compte de service) : fichier JSON contenant la clé du compte de service
Si vous hébergez le déploiement QRadar dans Google Cloud, ce champ n'est pas disponible. Assurez-vous d'attribuer au compte de service associé à la VM les autorisations IAM de chaque organisation Google Cloud. Pour en savoir plus, consultez Fournir les identifiants à QRadar.
Credential Configuration (Configuration des identifiants) : fichier de configuration des identifiants que vous avez téléchargé lors de la configuration de la fédération d'identité de charge de travail.
Organization ID (ID de l'organisation) : ID de votre organisation
Findings Subscription Name (Nom de l'abonnement des résultats) : nom de l'abonnement Pub/Sub pour les notifications de résultats
Assets Subscription Name (Nom de l'abonnement des éléments) : nom de l'abonnement Pub/Sub pour votre flux d'éléments
Enable Audit Logs Collection (Activer la collecte des journaux d'audit) : sélectionnez cette option pour envoyer les journaux d'audit à votre instance QRadar.
- Audit Logs Subscription Name (Nom de l'abonnement aux journaux d'audit) : nom de l'abonnement Pub/Sub pour votre récepteur de journaux d'audit.
Interval (Intervalle) : nombre de secondes entre les appels Pub/Sub lors de la collecte de données en temps réel
QRadar Authorization Token (Jeton d'autorisation QRadar) : jeton de votre instance QRadar Pour récupérer un jeton, procédez comme suit:
- Accédez à l'onglet Admin dans QRadar.
- Sous User Management (Gestion des utilisateurs), cliquez sur Authorized Service (Service autorisé).
- Copiez votre jeton d'autorisation en définissant Admin en tant que rôle utilisateur et Admin en tant que profil de sécurité. Si vous n'avez pas de jeton, créez-en un en cliquant sur Add Authorized Service (Ajouter un service autorisé).
- Cliquez sur Deploy changes (Déployer les modifications), puis actualisez la fenêtre du navigateur.
Pour saisir les informations facultatives de la configuration du proxy, cliquez sur le bouton Enable/Disable Proxy (Activer/Désactiver le proxy), puis saisissez les paramètres de votre proxy :
- IP/Hostname (Adresse IP/Nom d'hôte) : adresse IP ou nom d'hôte de votre serveur proxy (n'incluez pas le préfixe HTTP/HTTPS)
- Port : port de votre serveur proxy
- Username (Nom d'utilisateur) : nom d'utilisateur utilisé pour le proxy d'authentification
- Password (Mot de passe) : mot de passe utilisé pour le proxy d'authentification
Cliquez sur Enregistrer.
Répétez cette procédure pour chaque organisation Google Cloud que vous souhaitez intégrer.
La configuration de l'application est stockée et vos organisations sont ajoutées à la page de configuration de l'application. Les sections suivantes expliquent comment afficher et gérer les données de Security Command Center dans le service.
Mettre à jour l'application Google SCC
Dans cette section, vous allez mettre à jour l'application Google SCC existante pour QRadar vers la dernière version.
Procédez comme suit pour effectuer la mise à niveau :
- Téléchargez la dernière version de l'application Google SCC à partir d'IBM App Exchange.
- Connectez-vous à votre console QRadar à l'adresse https://QRadar_Console_IP.
- Dans le menu de la console, cliquez sur Admin, puis sélectionnez Extension Management (Gestion des extensions).
- Pour sélectionner le fichier ZIP de téléchargement, cliquez sur Add (Ajouter). Suivez les instructions de préparation de la mise à niveau.
- Sélectionnez Replace Existing Items (Remplacer les éléments existants) et Start a default instance for each app (Démarrer une instance par défaut pour chaque application).
- Cliquez sur Installer. Une fois le processus de mise à niveau terminé, la liste des composants de l'application s'affiche.
- Cliquez sur l'onglet Admin, puis sur Deploy changes (Déployer les modifications).
- Effacez le cache du navigateur et actualisez la fenêtre du navigateur.
- Accédez à Extension Management (Gestion des extensions). Vous devriez voir Google SCC App for QRadar (Application Google SCC pour QRadar) à l'état Installée.
Supprimez les journaux d'application des utilisateurs qui accèdent à l'application depuis QRadar via SSH:
Téléchargez la dernière version de l'application Reference Data Management (Gestion des données de référence) sur IBM App Exchange.
Connectez-vous à votre console QRadar à l'adresse https://QRadar_Console_IP.
Dans le menu de la console, cliquez sur Admin, puis sélectionnez Extension Management (Gestion des extensions).
Pour sélectionner le fichier ZIP de téléchargement, cliquez sur Add (Ajouter). Suivez les instructions pour installer l'application.
Dans la console, accédez au tableau de bord Gestion des données de référence.
Cliquez sur Carte de référence.
Sélectionnez asset_owners, puis cliquez sur Effacer les données.
Afficher les données exportées dans QRadar
Cette section décrit les fonctionnalités pertinentes disponibles dans QRadar, y compris la recherche de résultats, de journaux d'audit et d'éléments, l'affichage des stratégies IAM et l'affichage des tableaux de bord personnalisés.
Rechercher des données
Pour rechercher des données de Security Command Center dans QRadar, utilisez le panneau Log Activity (Activité liée aux journaux). Vous pouvez afficher les résultats, les éléments, les journaux d'audit et les sources de sécurité ingérés, et appliquer des filtres de type SQL pour affiner les données.
Afficher les données d'une stratégie IAM
Pour afficher les données de la stratégie IAM de vos éléments, procédez comme suit :
- Téléchargez et installez l'application Reference Data Management (Gestion des données de référence) depuis le portail IBM App Exchange.
- Cliquez sur le tableau de bord Reference Data Management (Gestion des données de référence) dans QRadar.
- Dans le panneau de navigation, cliquez sur Reference Map (Carte de référence).
- Sélectionnez asset_owners. Le tableau de bord contient les données de votre stratégie IAM.
Tableaux de bord personnalisés
Vous pouvez utiliser des tableaux de bord personnalisés dans QRadar pour visualiser et analyser vos résultats, vos éléments et vos sources de sécurité.
Présentation
Le tableau de bord Overview (Vue d'ensemble) affiche le nombre total de résultats, de menaces et de failles dans vos organisations Google Cloud. Les résultats sont compilés à partir des services intégrés de Security Command Center, tels que Security Health Analytics, Web Security Scanner, Event Threat Detection et Container Threat Detection, ainsi que de tous les services intégrés que vous activez.
Vous pouvez filtrer les données pour mettre à jour les visualisations, spécifier l'organisation Google Cloud et récupérer de nouvelles données à la demande.
Éléments
L'onglet Assets (Éléments) affiche une table de vos éléments Google Cloud. Les données de table incluent le nom de l'élément, le type d'élément, les propriétaires de ressources, l'heure de la dernière mise à jour et des liens vers la page Éléments de Security Command Center dans Google Cloud Console.
Vous pouvez rechercher et filtrer les données d'un élément par organisation, période et type d'élément, et afficher le détail des résultats d'éléments spécifiques.
Sources
L'onglet Sources affiche une table de vos sources de sécurité, y compris leur nom, leur nom à afficher et leur description. En cliquant sur le nom d'une source, vous pouvez afficher les résultats correspondants.
Findings
L'onglet Résultats affiche une table des résultats de votre organisation. Vous pouvez effectuer une recherche dans la table et filtrer la liste par période, catégorie, niveau de gravité, source de sécurité, élément et nom de projet.
Les colonnes de la table incluent le nom du résultat, la catégorie, le nom de l'élément, le nom de la source de sécurité, les marques de sécurité, la gravité, le nom du projet, l'heure de l'événement, la classe de résultat et l'état de la mise à jour. Si vous cliquez sur le nom d'un résultat, vous êtes redirigé vers la page Résultats de Security Command Center dans Google Cloud Console, sur laquelle vous pouvez voir les détails du résultat sélectionné.
Dans la colonne Update Status (État d'actualisation), vous pouvez actualiser l'état d'un résultat. Pour indiquer que vous examinez activement un résultat, cliquez sur Mark as ACTIVE (Marquer comme actif). Si vous n'examinez pas activement un résultat, cliquez sur Mark as INACTIVE (Marquer comme inactif).
Journaux d'audit
Le tableau de bord Audit logs (Journaux d'audit) affiche une série de graphiques et de tableaux présentant les informations des journaux d'audit. Les journaux d'audit inclus dans le tableau de bord sont l'activité d'administration, l'accès aux données, les événements système et les journaux d'audit de refus de règles. Le tableau indique l'horodatage, le nom du journal, la gravité, le nom du service, ainsi que le nom et le type de la ressource.
Vérifier les journaux d'application
- Connectez-vous à QRadar via SSH.
Répertoriez toutes les applications installées et leurs valeurs
App-ID
:/opt/qradar/support/recon ps
Le résultat renvoyé ressemble à ceci : Notez l'ID (
App-ID
) de l'applicationGoogle SCC
.App-ID Name Managed Host ID Workload ID Service Name AB Container Name CDEGH Port IJKL 1101 QRadar Log Source Management 53 apps qapp-1101 ++ qapp-1101 +++++ 5000 ++++ 1104 QRadar Assistant 53 apps qapp-1104 ++ qapp-1104 +++++ 5000 ++++ 1105 QRadar Use Case Manager 53 apps qapp-1105 ++ qapp-1105 +++++ 5000 ++++ 1163 IBM QRadar Pre-Validation App Service 53 apps qapp-1163 ++ qapp-1163 +++++ 5000 ++++ 1164 IBM QRadar Pre-Validation App UI 53 apps qapp-1164 ++ qapp-1164 +++++ 5000 ++++ 1170 Google SCC 53 apps qapp-1170 ++ qapp-1170 +++++ 5000 ++++
Connectez-vous au conteneur de l'application
Google SCC
:/opt/qradar/support/recon connect APP_ID
Remplacez APP_ID par l'ID (
App-ID
) de l'applicationGoogle SCC
.Accédez au répertoire du journal :
cd /opt/app-root/store/log
Répertoriez tous les fichiers du répertoire :
ls
Affichez le contenu d'un fichier :
cat FILENAME
Remplacez FILENAME par le nom du fichier.
Désinstaller l'application Google SCC
Pour désinstaller l'application Google SCC, procédez comme suit :
- Accédez à l'onglet Admin.
- Sélectionnez Extension Management (Gestion des extensions).
- Sélectionnez Google SCC App For QRadar - QRadar v7.4.1FP2+ (Application Google SCC pour QRadar (QRadar v7.4.1FP2+)).
- Cliquez sur Désinstaller.
Si vous désinstallez l'application, les propriétés d'événements personnalisés, les cartes de référence, les tableaux de bord et les sources des journaux fournis par l'application Google SCC sont supprimés.
Problèmes connus
Cette section liste les problèmes connus liés à l'application Google SCC et aux tableaux de bord QRadar.
v1.0.0
Dans le tableau de bord Overview (Vue d'ensemble), le panneau Findings By Severity Over Time (Résultats par niveau de gravité au fil du temps) affiche une erreur technique pour les données supérieures à 250 000 résultats et le processus Flask qui remplit les tableaux de bord est redémarré dans le backend. Pour éviter ce problème, sélectionnez une période plus courte pour le tableau de bord.
Ce problème est résolu dans la version 2.0.0.
Les éléments supprimés peuvent apparaître dans le tableau de bord Assets (Éléments) en raison d'un comportement inattendu de la fonction AQL
GROUP BY
.
v2.0.0
- Les éléments supprimés peuvent apparaître dans le tableau de bord Assets (Éléments) en raison d'un comportement inattendu de la fonction AQL
GROUP BY
. - Le tableau de bord Findings (Résultats) peut ne pas afficher les données de résultats les plus récentes suite à la mise à jour de l'application Google SCC, en raison d'un comportement inattendu de la fonction AQL
GROUP BY
.
v3.0.0
- Le tableau de bord peut ne pas afficher les derniers événements lorsqu'il existe plusieurs événements avec la même clé unique, en raison d'un comportement inattendu de la fonction AQL
GROUP BY
. - Pour les données déjà ingérées à l'aide de la version 2, le filtre ID de l'organisation n'est pas applicable. Pour afficher les données, sélectionnez la valeur Tout dans le filtre ID de l'organisation.
Résoudre les problèmes
Cette section décrit des solutions à certains problèmes courants.
Les événements Google SCC s'affichent sous forme de messages Google SCC
Problème : les événements Security Command Center s'affichent sous forme de messages Security Command Center au lieu d'être identifiés comme une catégorie QRadar appropriée. Les messages s'affichent dans l'onglet Log Activity (Activité liée aux journaux) de QRadar lorsqu'un utilisateur recherche un événement à partir d'une source de journal Google Cloud.
Ce problème se produit lorsqu'un champ obligatoire n'est pas présent dans un événement de journal brut ou si la taille de la charge utile d'un événement est supérieure à la valeur par défaut de 4 096 octets, ce qui peut tronquer les événements.
Solution : si la charge utile est tronquée, procédez comme suit pour augmenter sa taille maximale :
- Accédez à l'onglet Admin, puis sélectionnez System settings (Paramètres système).
- Sous Switch to (Passer à), cliquez sur Advanced (Avancé).
- Dans la liste des paramètres, procédez comme suit :
- Sélectionnez Max TCP Syslog Payload Length (Longueur maximale de la charge utile TCP Syslog) et augmentez sa valeur. La valeur recommandée est 32 000.
- Sélectionnez Max UDP Syslog Payload Length (Longueur maximale de la charge utile UDP Syslog) et augmentez sa valeur. La valeur recommandée est 32 000.
- Cliquez sur Deploy changes (Déployer les modifications) et utilisez l'option Full Deploy (Déploiement complet).
Événements Google SCC répertoriés en tant qu'événements inconnus
Problème : les événements Security Command Center sont répertoriés comme Unknown (Inconnus). Ce problème se produit lorsque l'ID d'événement et la catégorie de la charge utile ne sont pas mappés dans QRadar.
Solution : procédez comme suit pour résoudre ce problème :
- Accédez à Log Activity (Activité liée aux journaux), puis cliquez sur Add Filter (Ajouter un filtre).
- Sélectionnez Parameter (Paramètre), puis Log Source Type (Indexed) (Type de source de journal (indexé)).
- Sélectionnez Operator (Opérateur), puis Equals (Égal à).
- Sélectionnez Log Source Type (Type de source de journal), puis Google SCC.
- Dans le menu déroulant du filtre Views (Vues), sélectionnez Last 7 days (Sept derniers jours).
- Si les événements sont affichés comme Unknown (Inconnus), procédez comme suit :
- Effectuez un clic droit sur l'événement et sélectionnez View in DSM editor (Afficher dans l'éditeur DSM).
- Sous Log Activity Preview (Aperçu de l'activité liée aux journaux), vérifiez les valeurs de ID d'événement et de Catégorie de l'événement.
- Si ces valeurs sont inconnues, contactez l'assistance Cloud.
Échec de la configuration de l'application avec des messages d'erreur
Si vous obtenez une erreur de configuration de l'application, procédez comme suit pour résoudre le problème.
Erreur | Description | Solution |
---|---|---|
"Veuillez saisir un fichier JSON de compte de service valide." | Cette erreur se produit si un fichier JSON correctement formaté est fourni, mais que l'authentification échoue lors de la tentative d'enregistrement de la configuration. | Saisissez un fichier JSON valide avec les bons identifiants de compte. |
"Le fichier JSON du compte de service doit être une chaîne JSON." | Cette erreur se produit si un fichier JSON fourni est mal formaté ou si le fichier est dans un format autre que JSON. | Saisissez un fichier JSON valide. |
"Veuillez saisir un ID d'organisation valide." | Cette erreur se produit lorsqu'un ID d'organisation incorrect ou incomplet est saisi. | Vérifiez l'ID de votre organisation, puis saisissez-le à nouveau. |
"Veuillez saisir un ID de projet ou un ID d'abonnement des résultats valide." | Cette erreur se produit lorsqu'un ID de projet ou un ID d'abonnement incorrect ou non valide est saisi. | Vérifiez l'ID du projet et l'ID de l'organisation, puis saisissez-les à nouveau. |
"Veuillez saisir un ID d'abonnement des éléments valide." | Cette erreur se produit lorsqu'un ID d'abonnement des éléments incorrect ou non valide est saisi. | Vérifiez l'ID d'abonnement de votre élément, puis saisissez-le à nouveau. |
"Erreur lors de la validation du jeton d'autorisation." | Cette erreur se produit lorsqu'un jeton d'autorisation QRadar incorrect ou non valide est fourni. | Vérifiez votre jeton d'autorisation QRadar, puis saisissez-le à nouveau. Il doit disposer du rôle Administrateur et du profil de sécurité Administrateur. Le jeton ne doit pas avoir expiré. |
Erreur lors du lancement de la connexion de socket avec QRadar
Problème : le message d'erreur "Erreur lors de l'initialisation de la connexion de socket avec IBM QRadar" s'affiche dans les fichiers journaux de la collecte de données. Ce problème peut être constaté dans le framework de l'application QRadar v2 (< 7.4.2 P2).
Solution : procédez comme suit pour résoudre ce problème :
- Consultez la note d'assistance concernant les modifications apportées au déploiement QRadar.
- Mettez à jour QRadar.
Problèmes d'interface
Problème : un panneau du tableau de bord ou une page de configuration affiche des erreurs ou présente un comportement inattendu.
Solution : procédez comme suit pour résoudre ce problème :
- Effacez le cache du navigateur et actualisez la page Web.
- Réduisez la période du filtre. Les requêtes QRadar peuvent expirer si le nombre de réponses est trop élevé.
- Si le problème n'est pas résolu, contactez l'assistance Cloud.
Échec du chargement des panneaux du tableau de bord et suppression du processus Flask
Problème : le processus Flask expire et certains panneaux du tableau de bord ne se chargent pas.
Solution : procédez comme suit pour résoudre ce problème :
- Effacez le cache du navigateur et actualisez la page Web.
- Réduisez la période du filtre. Les requêtes QRadar peuvent expirer si le nombre de réponses est trop élevé.
- Si le problème n'est pas résolu, veuillez contacter l'assistance Cloud.
Tous les autres problèmes de performances
Si votre problème n'est pas résolu en suivant les instructions de ce guide, procédez comme suit :
- Accédez à l'onglet Admin, puis cliquez sur System and License Management (Gestion du système et des licences).
- Sélectionnez l'hôte sur lequel l'application Google SCC pour QRadar (QRadar v7.4.1FP2+) est installée.
- Cliquez sur Action, puis sélectionnez Collect Log Files (Collecter des fichiers journaux).
- Dans la boîte de dialogue, cliquez sur Advanced Options (Options avancées).
- Cochez les cases à côté des options Include Debug Logs (Inclure les journaux de débogage), Application Extension Logs (Journaux des extensions d'application) et Setup Logs (Current Version) (Journaux de configuration (version actuelle)).
- Sélectionnez deux jours comme entrée de données, puis cliquez sur Collect Log Files (Collecter des fichiers journaux).
Sélectionnez Click here to download files (Cliquez ici pour télécharger les fichiers).
Les fichiers journaux seront téléchargés dans un fichier ZIP. Contactez l'assistance Cloud et partagez les fichiers journaux.
Étape suivante
Découvrez comment configurer des notifications de recherche dans Security Command Center.
Découvrez comment filtrer les notifications de résultats dans Security Command Center.