Mengirimkan data Security Command Center ke IBM QRadar

Halaman ini menjelaskan cara otomatis mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center ke IBM QRadar. Artikel ini juga menjelaskan cara mengelola data yang diekspor. QRadar adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time.

Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar dan mengaktifkan QRadar untuk mengakses temuan, log audit, dan aset di lingkungan Security Command Center Anda.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan QRadar (v7.4.1 Fix Pack 2 atau yang lebih baru). Untuk mulai menggunakan QRadar, lihat Mendaftar ke QRadar.

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke QRadar, Anda perlu membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin dihubungkan dan memberikan peran IAM tingkat organisasi dan tingkat project kepada akun tersebut yang diperlukan Aplikasi Google SCC untuk QRadar.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

1. Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.

2. Berikan peran berikut ke akun layanan:

   • Pub/Sub Editor (roles/pubsub.editor)

3. Salin nama akun layanan yang baru saja Anda buat.

4. Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.

5. Buka halaman IAM untuk organisasi:

   Buka IAM

6. Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.

7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

   1. Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.

   2. Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:

   3. Security Center Admin Editor (roles/securitycenter.adminEditor)
   4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
   5. Organization Viewer (roles/resourcemanager.organizationViewer)
   6. Cloud Asset Viewer (roles/cloudasset.viewer)

   7. Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.

      Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

• Membuat dan mengelola akun layanan
• Memberikan, mengubah, dan mencabut akses ke resource

Berikan kredensial ke QRadar

Bergantung pada tempat Anda menghosting QRadar, cara Anda memberikan kredensial IAM ke QRadar akan berbeda.

• Jika Anda menghosting deployment QRadar di Google Cloud, pertimbangkan hal berikut:

  • Akun layanan yang Anda buat dan peran tingkat organisasi yang Anda berikan akan tersedia secara otomatis melalui pewarisan dari organisasi induk. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 di Membuat akun layanan dan memberikan peran IAM.

  • Jika Anda men-deploy QRadar di perimeter layanan, buat aturan masuk dan keluar. Untuk mengetahui petunjuknya, lihat Memberikan akses perimeter di Kontrol Layanan VPC.

• Jika Anda menghosting QRadar di lingkungan lokal atau di IBM Cloud, buat kunci akun layanan untuk setiap organisasi Google Cloud. Anda akan memerlukan kunci akun layanan dalam format JSON untuk menyelesaikan panduan ini.

• Jika Anda menghosting QRadar di Microsoft Azure atau Amazon Web Services, konfigurasi workload identity federation dan download file konfigurasi kredensial. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 di Membuat akun layanan dan memberikan peran IAM.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

1. Siapkan notifikasi temuan sebagai berikut:
   1. Aktifkan Security Command Center API.
   2. Buat filter untuk mengekspor temuan dan aset yang diinginkan.
   3. Buat tiga topik Pub/Sub: satu untuk temuan, log audit, dan aset. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk menemukan.

2. Buat sink untuk log audit, seperti yang dijelaskan dalam Menggabungkan dan merutekan log tingkat organisasi ke tujuan yang didukung. Penampung harus menggunakan topik Pub/Sub yang Anda buat untuk log audit. Contoh:

   gcloud logging sinks create SINK_NAME SINK_DESTINATION \
     --include-children \
     --organization=ORGANIZATION_ID \
     --log-filter=FILTER
   

   Ganti kode berikut:

   • SINK_NAME dengan nama untuk sink log audit.

   • SINK_DESTINATION dengan pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

   • ORGANIZATION_ID dengan ID organisasi Anda.

   • FILTER dengan logName:activity, logName:data_access, logName:system_event, atau logName:policy.

3. Berikan peran Pub/Sub Publisher (roles/pubsub.publisher) ke akun layanan sink.

4. Aktifkan Cloud Asset API untuk project Anda.

5. Buat feed untuk aset Anda. Anda harus membuat dua feed di topik Pub/Sub yang sama, satu untuk resource dan satu lagi untuk kebijakan Identity and Access Management (IAM).

   • Topik Pub/Sub untuk aset harus berbeda dengan yang digunakan untuk temuan.
   • Untuk feed resource Anda, gunakan filter berikut: content-type=resource.
   • Untuk feed kebijakan IAM, Anda harus menggunakan filter berikut: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Anda memerlukan ID organisasi dan nama langganan Pub/Sub untuk mengonfigurasi QRadar.

Menginstal Aplikasi SCC Google untuk QRadar - QRadar v7.4.1FP2+

Di bagian ini, Anda akan menginstal Aplikasi SCC Google untuk QRadar - QRadar v7.4.1FP2+ (v3.0.0). Aplikasi ini, yang dikelola oleh Security Command Center, mengotomatiskan proses penjadwalan panggilan Security Command Center API, dan secara rutin mengambil data Security Command Center untuk digunakan di QRadar.

Penginstalan aplikasi memerlukan akses ke mesin konsol QRadar melalui antarmuka web.

Untuk menyelesaikan penginstalan, lakukan hal berikut:

1. Download Aplikasi SCC Google untuk QRadar dari IBM App Exchange.
2. Login ke konsol QRadar Anda di https://QRadar_Console_IP.
3. Di menu konsol, klik Admin, lalu pilih Pengelolaan Ekstensi.
4. Untuk memilih file zip download, klik Tambahkan. Ikuti petunjuk saat penginstalan disiapkan.
5. Pilih Mulai instance default untuk setiap aplikasi.
6. Klik Instal. Setelah penginstalan berhasil, Anda akan melihat daftar komponen aplikasi.
7. Klik tab Admin, lalu klik Deploy changes.
8. Hapus cache browser dan muat ulang jendela browser.
9. Buka Pengelolaan Ekstensi. Anda akan melihat Aplikasi SCC Google Untuk QRadar dengan status Terinstal.

Mengonfigurasi aplikasi Google SCC

Di bagian ini, Anda akan mengonfigurasi Aplikasi SCC Google. Untuk menyelesaikan konfigurasi, lakukan hal berikut:

1. Buka tab Admin di QRadar.
2. Klik Setelan Aplikasi SCC Google.
3. Klik Tambahkan Organisasi SCC Google.

4. Masukkan variabel berikut sesuai kebutuhan:

   • JSON Akun Layanan: file JSON yang menyertakan kunci akun layanan

     Jika Anda menghosting deployment QRadar di Google Cloud, kolom ini tidak tersedia. Pastikan Anda memberikan izin IAM untuk setiap organisasi Google Cloud ke akun layanan yang ditautkan ke VM. Untuk informasi selengkapnya, lihat Memberikan kredensial ke QRadar.

   • Konfigurasi Kredensial: file konfigurasi kredensial yang Anda download saat menyiapkan workload identity federation

   • ID Organisasi: ID untuk organisasi Anda

   • Nama Langganan Temuan: Nama langganan Pub/Sub untuk notifikasi temuan Anda

   • Nama Langganan Aset: Nama langganan Pub/Sub untuk feed aset Anda

   • Enable Audit Logs Collection: pilih untuk mengirim log audit ke instance QRadar Anda

     • Nama Langganan Log Audit: Nama langganan Pub/Sub untuk sink log audit Anda

   • Interval: jumlah detik antara panggilan Pub/Sub selama pengumpulan data real-time

   • Token Otorisasi QRadar: token untuk instance QRadar Anda. Untuk mengambil token, lakukan hal berikut:

     1. Buka tab Admin di QRadar.
     2. Di bagian User Management, klik Authorized Service.
     3. Salin token otorisasi Anda dengan Admin sebagai peran pengguna dan Admin sebagai Profil Keamanan. Jika Anda tidak memiliki token, buat token dengan mengklik Tambahkan Layanan yang Diizinkan.
     4. Klik Deploy changes, lalu muat ulang jendela browser.

5. Untuk memasukkan detail konfigurasi proxy opsional, klik tombol Aktifkan/Nonaktifkan Proxy, lalu masukkan setelan proxy Anda:

   • IP/Hostname: alamat IP atau nama host server proxy Anda (jangan sertakan awalan HTTP/HTTPS)
   • Port: port server proxy Anda
   • Nama pengguna: nama pengguna yang digunakan untuk proxy autentikasi
   • Sandi: sandi yang digunakan untuk proxy autentikasi

6. Klik Simpan.

7. Ulangi langkah-langkah ini untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.

Konfigurasi aplikasi disimpan dan organisasi Anda ditambahkan ke halaman konfigurasi aplikasi. Bagian berikut menjelaskan cara melihat dan mengelola data Security Command Center di layanan.

Mengupgrade aplikasi Google SCC

Di bagian ini, Anda akan mengupgrade Aplikasi SCC Google yang ada untuk QRadar ke versi terbaru.

Untuk menyelesaikan upgrade, lakukan hal berikut:

1. Download Aplikasi SCC Google versi terbaru dari IBM App Exchange.
2. Login ke konsol QRadar Anda di https://QRadar_Console_IP.
3. Di menu konsol, klik Admin, lalu pilih Pengelolaan Ekstensi.
4. Untuk memilih file zip download, klik Tambahkan. Ikuti petunjuk saat upgrade disiapkan.
5. Pilih Ganti Item yang Ada dan Mulai instance default untuk setiap aplikasi.
6. Klik Instal. Setelah proses upgrade berhasil diselesaikan, Anda akan melihat daftar komponen aplikasi.
7. Klik tab Admin, lalu klik Deploy changes.
8. Hapus cache browser dan muat ulang jendela browser.
9. Buka Pengelolaan Ekstensi. Anda akan melihat Aplikasi SCC Google Untuk QRadar dengan status Terinstal.

10. Hapus log aplikasi dari pengguna yang mengakses aplikasi dari QRadar menggunakan SSH:

    1. Download aplikasi Pengelolaan Data Referensi versi terbaru dari IBM App Exchange.

    2. Login ke konsol QRadar Anda di https://QRadar_Console_IP.

    3. Di menu konsol, klik Admin, lalu pilih Pengelolaan Ekstensi.

    4. Untuk memilih file ZIP hasil download, klik Tambahkan. Ikuti petunjuk untuk menginstal aplikasi.

    5. Di konsol, buka dasbor Pengelolaan Data Referensi.

    6. Klik Peta Referensi.

    7. Pilih asset_owners, lalu klik Hapus Data.

Melihat data yang diekspor di QRadar

Bagian ini menjelaskan fungsi yang relevan yang tersedia di QRadar, termasuk menelusuri temuan, log audit, dan aset, melihat kebijakan IAM, dan melihat dasbor kustom.

Menelusuri data

Untuk menelusuri data Security Command Center di QRadar, Anda dapat menggunakan panel Aktivitas Log. Anda dapat melihat temuan, aset, log audit, dan sumber keamanan yang ditransfer, serta menerapkan filter gaya SQL untuk menyaring data.

Melihat data kebijakan IAM

Untuk melihat data kebijakan IAM untuk aset Anda, lakukan hal berikut:

1. Download dan instal aplikasi Reference Data Management dari IBM App Exchange Portal.
2. Klik dasbor Pengelolaan Data Referensi di QRadar.
3. Di panel navigasi, klik Peta Referensi.
4. Pilih asset_owners. Dasbor diisi dengan data kebijakan IAM Anda.

Dasbor kustom

Anda dapat menggunakan dasbor kustom di QRadar untuk memvisualisasikan dan menganalisis temuan, aset, dan sumber keamanan.

Ringkasan

Dasbor Ringkasan menampilkan jumlah total temuan, ancaman, dan kerentanan di organisasi Google Cloud Anda. Temuan dikompilasi dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection serta layanan terintegrasi apa pun yang Anda aktifkan.

Anda dapat memfilter data untuk memperbarui visualisasi, menentukan organisasi Google Cloud, dan mengambil data baru sesuai permintaan.

Aset

Tab Aset menampilkan tabel aset Google Cloud Anda. Data tabel mencakup nama aset, jenis aset, pemilik resource, waktu pembaruan terakhir, dan link ke halaman Aset Security Command Center di konsol Google Cloud.

Anda dapat menelusuri dan memfilter data aset menurut organisasi, rentang waktu, dan jenis aset, serta melihat perincian temuan untuk aset tertentu.

Sumber

Tab Sumber menampilkan tabel sumber keamanan Anda, termasuk nama sumber, nama tampilan sumber, dan deskripsi. Dengan mengklik nama sumber, Anda dapat melihat temuan untuk sumber tersebut.

Temuan

Tab Temuan menampilkan tabel temuan organisasi Anda. Anda dapat menelusuri tabel dan memfilter daftar berdasarkan rentang waktu, kategori, tingkat keparahan, sumber keamanan, aset, dan nama project.

Kolom tabel mencakup nama temuan, kategori, nama aset, nama sumber keamanan, tanda keamanan, tingkat keparahan, nama project, waktu peristiwa, waktu peristiwa, class temuan, dan status pembaruan. Jika mengklik nama temuan, Anda akan dialihkan ke halaman Temuan Security Command Center di konsol Google Cloud dan melihat detail untuk temuan yang dipilih.

Di kolom Update Status, Anda dapat memperbarui status temuan. Untuk menunjukkan bahwa Anda sedang meninjau temuan secara aktif, klik Tandai sebagai AKTIF. Jika Anda tidak secara aktif meninjau temuan, klik Tandai sebagai TIDAK AKTIF.

Log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah log audit aktivitas administrator, akses data, peristiwa sistem, dan kebijakan ditolak. Tabel ini mencakup waktu, nama log, tingkat keparahan, nama layanan, nama resource, dan jenis resource.

Memeriksa log aplikasi

1. Login ke QRadar melalui SSH.

2. Cantumkan semua aplikasi yang diinstal dan nilai App-ID-nya:

   /opt/qradar/support/recon ps
   

   Outputnya mirip dengan yang berikut ini. Catat App-ID aplikasi Google SCC.

   App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
   1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
   1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
   1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
   1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
   1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
   1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++
   

3. Hubungkan ke penampung aplikasi Google SCC:

   /opt/qradar/support/recon connect APP_ID
   

   Ganti APP_ID dengan App-ID aplikasi Google SCC.

4. Buka direktori log:

   cd /opt/app-root/store/log
   

5. Cantumkan semua file dalam direktori:

   ls
   

6. Melihat konten file:

   cat FILENAME
   

   Ganti FILENAME dengan nama file.

Meng-uninstal Aplikasi Google SCC

Untuk meng-uninstal Aplikasi Google SCC, lakukan hal berikut:

1. Buka tab Admin.
2. Pilih Pengelolaan Ekstensi.
3. Pilih Aplikasi SCC Google untuk QRadar - QRadar v7.4.1FP2+.
4. Klik Uninstall.

Jika Anda meng-uninstal aplikasi, properti peristiwa kustom, peta referensi, dasbor, dan sumber log yang disediakan oleh Aplikasi Google SCC akan dihapus.

Masalah umum

Bagian ini mencantumkan masalah umum pada dasbor Aplikasi SCC Google dan QRadar.

v1.0.0

• Di dasbor Ringkasan, panel Temuan Menurut Tingkat Keparahan dari Waktu ke Waktu menampilkan error teknis untuk data yang lebih besar dari 250.000 temuan dan proses flask, yang mengisi dasbor, dimulai ulang di backend. Untuk menghindari masalah ini, pilih rentang waktu yang lebih kecil untuk dasbor.

  Masalah ini telah diselesaikan di v2.0.0.

• Aset yang dihapus mungkin muncul di dasbor Aset karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.

v2.0.0

• Aset yang dihapus mungkin muncul di dasbor Aset karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.
• Dasbor Temuan mungkin tidak menampilkan data temuan terbaru setelah Anda mengupdate aplikasi Google SCC karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.

v3.0.0

• Dasbor mungkin tidak menampilkan peristiwa terbaru jika beberapa peristiwa tersedia dengan kunci unik yang sama karena perilaku yang tidak terduga dari fungsi AQL GROUP BY.
• Untuk data yang telah diserap menggunakan v2, filter ID Organisasi tidak berlaku. Anda dapat melihat data dengan memilih nilai Semua di filter ID Organisasi.

Memecahkan masalah

Bagian ini menjelaskan solusi untuk beberapa masalah umum.

Peristiwa Google SCC ditampilkan sebagai pesan Google SCC

Masalah: Peristiwa Security Command Center akan muncul sebagai pesan Security Command Center, bukan diidentifikasi sebagai kategori QRadar yang tepat. Pesan akan terlihat di tab Aktivitas Log di QRadar saat pengguna menelusuri peristiwa dari sumber log Google Cloud.

Masalah ini terjadi jika kolom yang diperlukan tidak ada dalam peristiwa log mentah, atau jika ukuran payload peristiwa lebih dari 4.096 byte default, yang dapat menyebabkan peristiwa terpotong.

Solusi: Jika payload terpotong, lakukan langkah-langkah berikut untuk meningkatkan ukuran payload maksimum:

1. Buka tab Admin, lalu pilih Setelan sistem.
2. Di bagian Beralih ke, klik Lanjutan.
3. Dalam daftar setelan, lakukan hal berikut:
   1. Pilih Max TCP Syslog Payload Length dan tingkatkan nilainya; nilai yang direkomendasikan adalah 32.000.
   2. Pilih Max UDP Syslog Payload Length dan tingkatkan nilainya; nilai yang direkomendasikan adalah 32.000.
4. Klik Deploy changes dan gunakan opsi Full Deploy.

Peristiwa Google SCC tercantum sebagai peristiwa tidak dikenal

Masalah: Peristiwa Security Command Center tercantum sebagai Tidak diketahui. Masalah ini terjadi saat ID dan kategori peristiwa dari payload tidak dipetakan di QRadar.

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

1. Buka Aktivitas Log, lalu klik Tambahkan Filter.
2. Pilih Parameter, lalu pilih Log Source Type (Indexed).
3. Pilih Operator, lalu pilih Sama dengan.
4. Pilih Log Source Type, lalu pilih Google SCC.
5. Di menu drop-down filter Tampilan, pilih 7 hari terakhir.
6. Jika peristiwa ditampilkan sebagai Tidak diketahui, lakukan langkah-langkah berikut:
   1. Klik kanan pada peristiwa, lalu pilih Lihat di editor DSM.
   2. Di bagian Pratinjau Aktivitas Log, periksa nilai ID Peristiwa dan Kategori Peristiwa.
   3. Jika nilainya tidak diketahui, hubungi Dukungan Cloud.

Konfigurasi aplikasi gagal dengan pesan error

Jika Anda mendapatkan error konfigurasi aplikasi, ikuti langkah-langkah berikut untuk memperbaiki masalah tersebut.

Error	Deskripsi	Solusi
"Masukkan JSON Akun Layanan yang valid".	Error ini terjadi jika JSON dengan format yang benar diberikan, tetapi autentikasi gagal saat mencoba menyimpan konfigurasi.	Masukkan JSON yang valid dengan kredensial akun yang benar.
"JSON Akun Layanan harus berupa string JSON".	Error ini terjadi jika JSON dengan format yang tidak tepat diberikan atau file dalam format selain JSON.	Masukkan file JSON yang valid.
"Masukkan ID Organisasi yang valid".	Error ini terjadi saat ID organisasi yang dimasukkan salah atau tidak lengkap.	Verifikasi ID organisasi Anda dan masukkan kembali.
"Masukkan Project ID atau ID Langganan Temuan yang valid".	Error ini terjadi saat ID project atau ID langganan yang salah atau tidak valid dimasukkan.	Verifikasi project ID dan ID organisasi Anda, lalu masukkan kembali.
"Masukkan ID Langganan Aset yang valid".	Error ini terjadi saat ID langganan aset yang salah atau tidak valid dimasukkan.	Verifikasi ID langganan aset Anda, lalu masukkan kembali.
"Error saat memvalidasi token otorisasi".	Error ini terjadi saat Token Otorisasi QRadar yang salah atau tidak valid diberikan.	Verifikasi Token Otorisasi QRadar Anda, lalu masukkan kembali. Akun tersebut harus memiliki Admin sebagai peran pengguna dan profil keamanan. Masa berlaku token juga tidak boleh berakhir.

Terjadi error saat memulai koneksi soket dengan QRadar

Masalah: Pesan error, "Error saat memulai koneksi soket dengan IBM QRadar" diamati dalam file log pengumpulan data. Masalah ini mungkin diamati dalam framework aplikasi QRadar v2 (< v7.4.2 P2).

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

1. Tinjau catatan dukungan terkait perubahan deployment QRadar.
2. Mengupgrade QRadar.

Masalah antarmuka

Masalah: Panel dasbor atau halaman konfigurasi menampilkan error atau perilaku yang tidak disengaja.

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

1. Hapus cache browser dan muat ulang halaman.
2. Kurangi rentang waktu filter. Kueri QRadar mungkin berakhir masa berlakunya jika jumlah respons terlalu besar.
3. Jika masalah tidak teratasi, hubungi Dukungan Cloud.

Panel dasbor gagal dimuat dan proses flask dihentikan

Masalah: Waktu tunggu proses flask habis dan beberapa panel dasbor gagal dimuat.

Solusi: Lakukan langkah-langkah berikut untuk memperbaiki masalah ini:

1. Hapus cache browser dan muat ulang halaman.
2. Kurangi rentang waktu filter. Kueri QRadar mungkin berakhir masa berlakunya jika jumlah respons terlalu besar.
3. Jika masalah tidak teratasi, hubungi Dukungan Cloud.

Semua masalah performa lainnya

Jika masalah Anda tidak terselesaikan dengan mengikuti petunjuk dalam panduan ini, lakukan hal berikut:

1. Buka tab Admin, lalu klik Pengelolaan Sistem dan Lisensi.
2. Pilih host tempat Aplikasi SCC Google untuk QRadar - QRadar v7.4.1FP2+ diinstal.
3. Klik Tindakan, lalu pilih Kumpulkan File Log.
4. Dalam dialog, klik Opsi Lanjutan.
5. Centang kotak di samping Include Debug Logs, Application Extension Logs, dan Setup Logs (Current Version).
6. Pilih dua hari sebagai input data, lalu klik Kumpulkan File Log.

7. Pilih Klik di sini untuk mendownload file.

   File log akan didownload dalam file zip. Hubungi Dukungan Cloud dan bagikan file log.

Langkah selanjutnya

• Pelajari lebih lanjut cara menyiapkan notifikasi temuan di Security Command Center.

• Baca artikel tentang memfilter notifikasi temuan di Security Command Center.