Security Command Center-Daten an IBM QRadar senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an IBM QRadar gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. QRadar ist eine Plattform des Sicherheits- und Ereignismanagements (SIEM), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen.

In diesem Leitfaden sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind, und ermöglichen es QRadar, auf Ergebnisse, Audit-Logs und Assets in Ihrer Security Command Center-Umgebung zuzugreifen.

Hinweise

In dieser Anleitung wird davon ausgegangen, dass Sie QRadar verwenden (Version 7.4.1 Fix Pack 2 oder höher). Informationen zum Einstieg in QRadar finden Sie unter Bei QRadar registrieren.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu QRadar herstellen, müssen Sie in jeder Google Cloud-Organisation, die Sie verbinden möchten, ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die die Google SCC App für QRadar benötigt.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. Verwenden Sie in dem Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, die Seite Dienstkonten in der Google Cloud Console, um ein Dienstkonto zu erstellen. Eine Anleitung finden Sie unter Dienstkonten erstellen und verwalten.

2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

   • Pub/Sub-Bearbeiter (roles/pubsub.editor)

3. Kopieren Sie den Namen des gerade erstellten Dienstkontos.

4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.

5. Öffnen Sie die Seite IAM für die Organisation:

   IAM aufrufen

6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Zugriffssteuerfeld zum Gewähren der Zugriffsberechtigung wird geöffnet.

7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

   1. Fügen Sie im Abschnitt Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

   2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen im Sicherheitscenter (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Betrachter von Cloud-Assets (roles/cloudasset.viewer)

   3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten ansehen angezeigt.

      Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die Rollen, die auf Projektebene anwendbar sind, werden als übernommene Rollen aufgelistet.

Weitere Informationen zum Erstellen von Dienstkonten und Gewähren von Rollen finden Sie in den folgenden Themen:

• Dienstkonten erstellen und verwalten
• Zugriff auf Ressourcen erteilen, ändern und entziehen

Geben Sie die Anmeldedaten für QRadar an

Wie Sie die IAM-Anmeldedaten für QRadar bereitstellen, hängt davon ab, wo Sie QRadar hosten.

• Wenn Sie die QRadar-Bereitstellung in Google Cloud hosten, sind das von Ihnen erstellte Dienstkonto und die Rollen, die Sie ihm auf Organisationsebene zugewiesen haben, automatisch durch Übernahme von der übergeordneten Organisation verfügbar. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

• Wenn Sie QRadar in Ihrer lokalen Umgebung oder in IBM Cloud hosten, erstellen Sie einen Dienstkontoschlüssel für jede Google Cloud-Organisation. Für diese Anleitung benötigen Sie die Dienstkontoschlüssel im JSON-Format.

  Weitere Informationen zu Best Practices zum sicheren Speichern Ihrer Dienstkontoschlüssel finden Sie unter Best Practices zum Verwalten von Dienstkontoschlüsseln.

• Wenn Sie QRadar in Microsoft Azure oder Amazon Web Services hosten, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. Richten Sie Ergebnisbenachrichtigungen ein:
   1. Aktivieren Sie die Security Command Center API.
   2. Erstellen Sie einen Filter, um die gewünschten Ergebnisse und Assets zu exportieren.
   3. Erstellen Sie drei Pub/Sub-Themen: jeweils eines für Ergebnisse, Audit-Logs und Assets. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.

2. Erstellen Sie eine Senke für die Audit-Logs, wie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten beschrieben. Die Senke muss das Pub/Sub-Thema verwenden, das Sie für Audit-Logs erstellt haben. Beispiel:

   gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
     --include-children /
     --organization=ORGANIZTION_ID /
     --log-filter=FILTER
   

   Ersetzen Sie Folgendes:

   • SINK_NAME durch den Namen der Audit-Log-Senke.

   • SINK_DESTINATION mit pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID

   • ORGANIZATION_ID durch die ID Ihrer Organisation.

   • FILTER mit logName:activity, logName:data_access, logName:system_event oder logName:policy.

3. Weisen Sie dem Dienstkonto der Senke die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher) zu.

4. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

5. Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen, einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).

   • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.
   • Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter: content-type=resource.
   • Für den IAM-Richtlinienfeed müssen Sie den folgenden Filter verwenden: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Sie benötigen Ihre Organisations-IDs und Pub/Sub-Abonamen, um QRadar zu konfigurieren.

Google SCC-Anwendung für QRadar installieren – QRadar v7.4.1FP2 oder höher

In diesem Abschnitt installieren Sie die Google SCC App für QRadar – QRadar v7.4.1FP2+ (v3.0.0). Die Anwendung, die von Security Command Center verwaltet wird, automatisiert die Planung von Security Command Center API-Aufrufen und ruft regelmäßig Security Command Center-Daten zur Verwendung in QRadar ab.

Die Installation der Anwendung erfordert Zugriff auf die Maschine der QRadar-Konsole über eine Weboberfläche.

So schließen Sie die Installation ab:

1. Laden Sie die Google SCC App für QRadar von IBM App Exchange herunter.
2. Melden Sie sich unter https://QRadar_Console_IP in Ihrer QRadar-Konsole an.
3. Klicken Sie im Konsolenmenü auf Administrator und wählen Sie Erweiterungsverwaltung aus.
4. Klicken Sie auf Add (Hinzufügen), um die ZIP-Datei für den Download auszuwählen. Folgen Sie den Aufforderungen zur Vorbereitung der Installation.
5. Wählen Sie Standardinstanz für jede Anwendung starten aus.
6. Klicken Sie auf Installieren. Nach erfolgreicher Installation wird eine Liste der Anwendungskomponenten angezeigt.
7. Klicken Sie auf den Tab Administrator und dann auf Änderungen bereitstellen.
8. Leeren Sie den Cache des Browsers und aktualisieren Sie das Browserfenster.
9. Rufen Sie die Erweiterungsverwaltung auf. Nun sollte Google SCC App For QRadar mit dem Status Installed angezeigt werden.

Google SCC-Anwendung konfigurieren

In diesem Abschnitt konfigurieren Sie die Google SCC-Anwendung. So schließen Sie die Konfiguration ab:

1. Gehen Sie in QRadar zum Tab Admin.
2. Klicken Sie auf Google SCC App Settings.
3. Klicken Sie auf Google SCC-Organisation hinzufügen.

4. Geben Sie die folgenden Variablen ein:

   • Dienstkonto-JSON: die JSON-Datei, die den Dienstkontoschlüssel enthält

     Wenn Sie die QRadar-Bereitstellung in Google Cloud hosten, ist dieses Feld nicht verfügbar. Achten Sie darauf, das mit der VM verknüpfte Dienstkonto mit den IAM-Berechtigungen für jede Google Cloud-Organisation anzugeben. Weitere Informationen finden Sie unter Anmeldedaten für QRadar bereitstellen.

   • Anmeldedatenkonfiguration: Die Konfigurationsdatei für Anmeldedaten, die Sie beim Einrichten der Workload Identity-Föderation heruntergeladen haben

   • Organisations-ID: die ID Ihrer Organisation

   • Ergebnis-Aboname: Name des Pub/Sub-Abos für Ihre Ergebnisbenachrichtigungen

   • Asset-Aboname: Name des Pub/Sub-Abos für deinen Asset-Feed

   • Audit-Log-Erfassung aktivieren: Wählen Sie diese Option aus, um Audit-Logs an Ihre QRadar-Instanz zu senden.

     • Name des Audit-Log-Abos: Name des Pub/Sub-Abos für Ihre Audit-Log-Senke

   • Intervall: die Anzahl der Sekunden zwischen Pub/Sub-Aufrufen während der Echtzeit-Datenerfassung

   • QRadar Authorization Token: Das Token für die QRadar-Instanz. So rufen Sie ein Token ab:

     1. Gehen Sie in QRadar zum Tab Admin.
     2. Klicken Sie unter Nutzerverwaltung auf Autorisierter Dienst.
     3. Kopieren Sie Ihr Autorisierungstoken mit Admin als Nutzerrolle und Admin als Sicherheitsprofil. Wenn Sie kein Token haben, erstellen Sie ein Token. Klicken Sie dazu auf Autorisierten Dienst hinzufügen.
     4. Klicken Sie auf Änderungen bereitstellen und aktualisieren Sie dann das Browserfenster.

5. Klicken Sie auf die Schaltfläche Proxy aktivieren/deaktivieren und geben Sie Ihre Proxyeinstellungen ein, um optionale Proxy-Konfigurationsdetails einzugeben:

   • IP/Hostname: die IP-Adresse oder der Hostname Ihres Proxyservers ohne das HTTP-/HTTPS-Präfix
   • Port: der Port Ihres Proxyservers
   • Nutzername: Der Nutzername für den Authentifizierungsproxy
   • Password (Passwort): das Passwort, das für den Authentifizierungsproxy verwendet wird

6. Klicken Sie auf Speichern.

7. Wiederholen Sie diese Schritte für jede Google Cloud-Organisation, die Sie einbinden möchten.

Die Anwendungskonfiguration wird gespeichert und Ihre Organisationen werden der Anwendungskonfigurationsseite hinzugefügt. In den folgenden Abschnitten wird erläutert, wie Sie Security Command Center-Daten im Dienst anzeigen und verwalten.

Upgrade der Google SCC-Anwendung durchführen

In diesem Abschnitt führen Sie ein Upgrade einer vorhandenen Google SCC-Anwendung für QRadar auf die neueste Version durch.

So schließen Sie das Upgrade ab:

1. Laden Sie die neueste Version der Google SCC-Anwendung von IBM App Exchange herunter.
2. Melden Sie sich unter https://QRadar_Console_IP in Ihrer QRadar-Konsole an.
3. Klicken Sie im Konsolenmenü auf Administrator und wählen Sie Erweiterungsverwaltung aus.
4. Klicken Sie auf Add (Hinzufügen), um die ZIP-Datei für den Download auszuwählen. Folgen Sie den Aufforderungen zur Vorbereitung des Upgrades.
5. Wählen Sie Vorhandene Elemente ersetzen und Standardinstanz für jede Anwendung starten aus.
6. Klicken Sie auf Installieren. Nach erfolgreichem Abschluss des Upgrades wird eine Liste der Anwendungskomponenten angezeigt.
7. Klicken Sie auf den Tab Administrator und dann auf Änderungen bereitstellen.
8. Leeren Sie den Cache des Browsers und aktualisieren Sie das Browserfenster.
9. Rufen Sie die Erweiterungsverwaltung auf. Nun sollte Google SCC App For QRadar mit dem Status Installed angezeigt werden.

10. Entfernen Sie Anwendungslogs von Nutzern, die über QRadar auf die Anwendung zugreifen:

    1. Laden Sie die neueste Version der Referenzdatenverwaltungs-App aus IBM App Exchange herunter.

    2. Melden Sie sich unter https://QRadar_Console_IP in Ihrer QRadar-Konsole an.

    3. Klicken Sie im Menü der Konsole auf Admin und wählen Sie Erweiterungsverwaltung aus.

    4. Klicken Sie auf Hinzufügen, um die heruntergeladene ZIP-Datei auszuwählen. Folgen Sie der Anleitung, um die Anwendung zu installieren.

    5. Rufe in der Console das Dashboard Referenzdatenverwaltung auf.

    6. Klicken Sie auf Referenzkarte.

    7. Wählen Sie asset_owners aus und klicken Sie auf Daten löschen.

Exportierte Daten in QRadar ansehen

In diesem Abschnitt werden relevante Funktionen in QRadar beschrieben, einschließlich der Suche nach Ergebnissen, Audi-Logs und Assets, das Aufrufen von IAM-Richtlinien und das Aufrufen benutzerdefinierter Dashboards.

Daten suchen

Im Security Command Center können Sie in QRadar im Bereich Logaktivität suchen. Sie können aufgenommene Ergebnisse, Audit-Logs, Assets und Sicherheitsquellen sehen und Filter im SQL-Stil anwenden, um die Daten zu verfeinern.

IAM-Richtliniendaten anzeigen

So rufen Sie IAM-Richtliniendaten für Ihre Assets auf:

1. Laden Sie die Anwendung Referenzdatenverwaltung aus dem IBM App Exchange-Portal herunter und installieren Sie sie.
2. Klicken Sie in QRadar auf das Dashboard zur Referenzdatenverwaltung.
3. Klicken Sie im Navigationsbereich auf Reference Map.
4. Wählen Sie asset_owners aus. Das Dashboard wird mit Ihren IAM-Richtliniendaten gefüllt.

Benutzerdefinierte Dashboards

Sie können benutzerdefinierte Dashboards in QRadar verwenden, um Ihre Ergebnisse, Assets und Sicherheitsquellen zu visualisieren und zu analysieren.

Überblick

Im Dashboard Übersicht wird die Gesamtzahl der Ergebnisse, Bedrohungen und Sicherheitslücken in Ihren Google Cloud-Organisationen angezeigt. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center wie Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie aus allen von Ihnen aktivierten integrierten Diensten kompiliert.

Sie können Daten filtern, um Visualisierungen zu aktualisieren, eine Google Cloud-Organisation anzugeben und bei Bedarf neue Daten abzurufen.

Assets

Auf dem Tab Assets wird eine Tabelle Ihrer Google Cloud-Assets angezeigt. Die Tabellendaten umfassen den Asset-Namen, den Asset-Typ, die Ressourceninhaber, den Zeitpunkt der letzten Aktualisierung und Links zur Security Command Center-Seite Assets in der Google Cloud Console.

Sie können Asset-Daten nach Organisation, Zeitraum und Asset-Typ suchen und filtern sowie die Ergebnisse für bestimmte Assets aufschlüsseln.

Quellen

Auf dem Tab Quellen wird eine Tabelle Ihrer Sicherheitsquellen angezeigt, einschließlich Quellname, Anzeigename der Quelle und Beschreibung. Wenn Sie auf einen Quellnamen klicken, können Sie Ergebnisse für diese Quelle aufrufen.

Ergebnisse

Auf dem Tab Ergebnisse wird eine Tabelle der Ergebnisse Ihrer Organisation angezeigt. Sie können die Tabelle durchsuchen und die Liste nach Zeitraum, Kategorie, Schweregrad, Sicherheitsquelle, Asset und Projektname filtern.

Tabellenspalten umfassen Ergebnisname, Kategorie, Assetname, Name der Sicherheitsquelle, Sicherheitsmarkierungen, Schweregrad, Projektname, Ereigniszeit, Ergebnisklasse und Aktualisierungsstatus. Wenn Sie auf einen Ergebnisnamen klicken, werden Sie zur Seite Ergebnisse von Security Command Center in der Google Cloud Console weitergeleitet und sehen Details zum ausgewählten Ergebnis.

Darüber hinaus können Sie in der Spalte Aktualisierungsstatus den Status eines Ergebnisses aktualisieren. Klicken Sie auf Als AKTIV markieren, um anzugeben, dass Sie ein Ergebnis aktiv prüfen. Wenn Sie ein Ergebnis nicht aktiv prüfen, klicken Sie auf Als INAKTIV markieren.

Audit-Logs

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Anwendungslogs

1. Melden Sie sich über SSH in QRadar an.

2. Listen Sie alle installierten Anwendungen und ihre App-ID-Werte auf:

   /opt/qradar/support/recon ps
   

   Die entsprechende Ausgabe sieht etwa so aus: Beachten Sie die App-ID der Anwendung Google SCC.

   App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
   1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
   1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
   1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
   1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
   1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
   1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++
   

3. Stellen Sie eine Verbindung zum Anwendungscontainer Google SCC her:

   /opt/qradar/support/recon connect APP_ID
   

   Ersetzen Sie APP_ID durch den App-ID der Google SCC-Anwendung.

4. Wechseln Sie in das Logverzeichnis:

   cd /opt/app-root/store/log
   

5. Listen Sie alle Dateien im Verzeichnis auf:

   ls
   

6. So rufen Sie den Inhalt einer Datei auf:

   cat FILENAME
   

   Ersetzen Sie FILENAME durch den Namen der Datei.

Google SCC-Anwendung deinstallieren

So deinstallieren Sie die Google SCC-Anwendung:

1. Klicken Sie auf den Tab Verwaltung.
2. Wählen Sie Erweiterungsverwaltung aus.
3. Wählen Sie Google SCC App for QRadar – QRadar v7.4.1FP2+ aus.
4. Klicken Sie auf Deinstallieren.

Wenn Sie die Anwendung deinstallieren, werden benutzerdefinierte Ereignisattribute, Referenzkarten, Dashboards und Logquellen von der Google SCC-Anwendung entfernt.

Bekannte Probleme

In diesem Abschnitt sind bekannte Probleme mit den Google SCC-Anwendungs- und QRadar-Dashboards aufgeführt.

v1.0.0

• Im Dashboard Übersicht wird im Bereich Ergebnisse nach Schweregrad ein technischer Fehler für Daten mit mehr als 250.000 Ergebnissen und dem Flask-Prozess angezeigt, mit dem die Dashboards im Backend neu gestartet werden. Wählen Sie einen kleineren Zeitraum für das Dashboard aus, um dieses Problem zu vermeiden.

  Dieses Problem wurde in Version 2.0.0 behoben.

• Gelöschte Assets können aufgrund eines unerwarteten Verhaltens gegenüber der AQL-Funktion GROUP BY im Dashboard Assets angezeigt werden.

v2.0.0

• Gelöschte Assets können aufgrund eines unerwarteten Verhaltens gegenüber der AQL-Funktion GROUP BY im Dashboard Assets angezeigt werden.
• Im Dashboard Ergebnisse werden möglicherweise nicht die neuesten Ergebnisdaten angezeigt, nachdem Sie die Google SCC-Anwendung aktualisiert haben, da die GROUP BY-AQL-Funktion unerwartet reagiert.

v3.0.0

• Das Dashboard zeigt möglicherweise nicht die neuesten Ereignisse an, wenn mehrere Ereignisse mit demselben eindeutigen Schlüssel verfügbar sind. Dies kann auf unerwartetes Verhalten der AQL-Funktion GROUP BY zurückzuführen sein.
• Für Daten, die bereits mit Version 2 aufgenommen wurden, ist der Filter Organisations-ID nicht anwendbar. Wählen Sie im Filter Organisations-ID den Wert Alle aus, um die Daten aufzurufen.

Fehlerbehebung

In diesem Abschnitt werden Lösungen für einige häufig auftretende Probleme beschrieben.

Google SCC-Ereignisse werden als Google SCC-Nachrichten angezeigt

Problem: Security Command Center-Ereignisse werden als Security Command Center-Nachrichten angezeigt und nicht als richtige QRadar-Kategorie identifiziert. Nachrichten werden auf dem Tab Log Activity in QRadar angezeigt, wenn ein Nutzer nach einem Ereignis aus einer Google Cloud-Logquelle sucht.

Dieses Problem tritt auf, wenn ein erforderliches Feld nicht in einem Rohlogereignis vorhanden ist oder wenn die Ereignisnutzlast größer als die standardmäßigen 4.096 Byte ist. Dadurch können Ereignisse abgeschnitten werden.

Lösung: Führen Sie die folgenden Schritte aus, um die maximale Nutzlastgröße zu erhöhen, wenn Nutzlasten abgeschnitten werden:

1. Gehen Sie zum Tab Verwaltung und wählen Sie Systemeinstellungen aus.
2. Klicken Sie unter Wechseln zu auf Erweitert.
3. Gehen Sie in der Einstellungsliste so vor:
   1. Wählen Sie Maximale TCP-Syslog-Nutzlastlänge aus und erhöhen Sie ihren Wert. Der empfohlene Wert 32.000 ist.
   2. Wählen Sie Max UDP Syslog Payload Length aus und erhöhen Sie seinen Wert. Der empfohlene Wert 32.000 ist.
4. Klicken Sie auf Änderungen bereitstellen und verwenden Sie die Option Vollständig bereitstellen.

Google SCC-Ereignisse, die als unbekannte Ereignisse aufgeführt sind

Problem: Security Command Center-Ereignisse werden als Unbekannt aufgeführt. Dieses Problem tritt auf, wenn die Ereignis-ID und die Kategorie aus der Nutzlast nicht in QRadar zugeordnet werden.

Lösung: Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Gehen Sie zu Logaktivität und klicken Sie auf Filter hinzufügen.
2. Wählen Sie Parameter und dann Logquelltyp (indexiert) aus.
3. Wählen Sie Operator und dann Ist gleich aus.
4. Wählen Sie Log Source Type (Logquelltyp) und dann Google SCC aus.
5. Wählen Sie im Drop-down-Menü Ansichten die Option Letzte 7 Tage aus.
6. Führen Sie die folgenden Schritte aus, wenn Ereignisse als Unbekannt angezeigt werden:
   1. Klicken Sie mit der rechten Maustaste auf das Ereignis und wählen Sie Im Debugger-Editor anzeigen aus.
   2. Prüfen Sie unter Vorschau der Logaktivität die Werte der Ereignis-ID und Ereigniskategorie.
   3. Wenden Sie sich an den Cloud-Support, wenn die Werte unbekannt sind.

Die App-Konfiguration schlägt mit Fehlermeldungen fehl.

Gehen Sie so vor, um das Problem zu beheben, wenn Sie einen Fehler bei der Anwendungskonfiguration erhalten:

Fehler	Beschreibung	Lösung
"Geben Sie ein gültiges Dienstkonto-JSON ein."	Dieser Fehler tritt auf, wenn eine korrekt formatierte JSON-Datei bereitgestellt wird, aber die Authentifizierung beim Speichern der Konfiguration fehlschlägt.	Geben Sie eine gültige JSON-Datei mit den richtigen Anmeldedaten für das Konto ein.
"Das Dienstkonto-JSON sollte ein JSON-String sein."	Dieser Fehler tritt auf, wenn eine falsch formatierte JSON-Datei bereitgestellt oder die Datei in einem anderen Format als JSON vorliegt.	Geben Sie eine gültige JSON-Datei ein.
"Geben Sie eine gültige Organisations-ID ein."	Dieser Fehler tritt auf, wenn eine falsche oder unvollständige Organisations-ID eingegeben wird.	Prüfen Sie Ihre Organisations-ID und geben Sie sie noch einmal ein.
"Geben Sie eine gültige Projekt-ID oder die Abo-ID für Ergebnisse ein."	Dieser Fehler tritt auf, wenn eine falsche oder ungültige Projekt-ID oder Abo-ID eingegeben wird.	Prüfen Sie Ihre Projekt-ID und Organisations-ID und geben Sie sie noch einmal ein.
"Geben Sie eine gültige Abo-ID für Assets ein."	Dieser Fehler tritt auf, wenn eine falsche oder ungültige Asset-Abo-ID eingegeben wird.	Prüfen Sie Ihre Asset-Abo-ID und geben Sie sie noch einmal ein.
"Fehler beim Validieren des Autorisierungstokens."	Dieser Fehler, wenn ein falsches oder ungültiges QRadar-Autorisierungstoken bereitgestellt wird.	Prüfen Sie Ihr QRadar-Autorisierungstoken und geben Sie es noch einmal ein. Die Nutzerrolle und das Sicherheitsprofil müssen Administrator haben. Das Token darf ebenfalls nicht abgelaufen sein.

Fehler beim Initiieren der Socket-Verbindung mit QRadar

Problem: In den Datenerfassungslogdateien wird die Fehlermeldung "Fehler beim Starten der Socket-Verbindung mit IBM QRadar" angezeigt. Dieses Problem kann im QRadar v2-App-Framework (< v7.4.2 P2) beobachtet werden.

Lösung: Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Supporthinweis zu Änderungen an der QRadar-Bereitstellung
2. Führen Sie ein Upgrade von QRadar durch.

Probleme mit der Benutzeroberfläche

Problem: In einem Dashboard-Fenster oder einer Konfigurationsseite werden Fehler oder unbeabsichtigtes Verhalten angezeigt.

Lösung: Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Leeren Sie den Browsercache und laden Sie die Webseite neu.
2. Verkürzen Sie den Zeitraum des Filters. QRadar-Abfragen können ablaufen, wenn die Anzahl der Antworten zu groß ist.
3. Wenden Sie sich an den Cloud-Support, wenn das Problem nicht behoben wurde.

Dashboards können nicht geladen werden und der Flask-Prozess wird beendet

Problem: Beim Zeitlimit für den Flask-Prozess wird das Zeitlimit überschritten und einige Dashboard-Bereiche werden nicht geladen.

Lösung: Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Leeren Sie den Browsercache und laden Sie die Webseite neu.
2. Verkürzen Sie den Zeitraum des Filters. QRadar-Abfragen können ablaufen, wenn die Anzahl der Antworten zu groß ist.
3. Wenn das Problem nicht behoben wurde, wenden Sie sich an den Cloud-Support.

Alle anderen Leistungsprobleme

Gehen Sie so vor, wenn Ihr Problem nicht mit den Anleitungen in dieser Anleitung behoben wird:

1. Gehen Sie zum Tab Admin und klicken Sie auf System and License Management.
2. Wählen Sie den Host aus, auf dem Google SCC App for QRadar – QRadar v7.4.1FP2+ installiert ist.
3. Klicken Sie auf Aktion und wählen Sie Logdateien erfassen aus.
4. Klicken Sie im Dialogfeld auf Erweiterte Optionen.
5. Klicken Sie die Kästchen neben Debug-Logs einschließen, Logs der Anwendungserweiterung und Logs einrichten (aktuelle Version) an.
6. Wählen Sie zwei Tage als Dateneingabe aus und klicken Sie dann auf Logdateien erfassen.

7. Wählen Sie Zum Herunterladen von Dateien hier klicken aus.

   Logdateien werden als ZIP-Datei heruntergeladen. Wenden Sie sich an den Cloud-Support und geben Sie die Logdateien frei.

Nächste Schritte

• Weitere Informationen zum Einrichten von Benachrichtigungen finden in Security Command Center.

• Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen in Security Command Center.