Envoyer des données Security Command Center à IBM QRadar

Cette page explique comment envoyer automatiquement les résultats, les éléments, les journaux d'audit et les sources de sécurité de Security Command Center à IBM QRadar. Elle décrit également comment gérer les données exportées. QRadar est une plate-forme de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) qui ingère des données provenant d'une ou de plusieurs sources. Elle permet aux équipes de sécurité de gérer les réponses aux incidents et d'effectuer des analyses en temps réel.

Dans ce guide, vous vous assurez que les services Security Command Center et Google Cloud requis sont correctement configurés et permettent à QRadar d'accéder aux résultats, aux journaux d'audit et aux éléments de votre environnement Security Command Center.

Avant de commencer

Dans ce guide, nous partons du principe que vous utilisez QRadar (v7.4.1 Fix Pack 2 ou version ultérieure). Pour commencer à utiliser QRadar, consultez S'inscrire à QRadar.

Configurer l'authentification et l'autorisation

Avant de vous connecter à QRadar, vous devez créer un compte de service Identity and Access Management (IAM) dans chaque organisation Google Cloud que vous souhaitez connecter, et attribuer au compte les rôles IAM au niveau de l'organisation et du projet dont l'application Google SCC a besoin pour QRadar.

Créer un compte de service et attribuer des rôles IAM

Les étapes suivantes utilisent la console Google Cloud. Pour les autres méthodes, consultez les liens à la fin de cette section.

Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.

  1. Dans le projet dans lequel vous créez vos sujets Pub/Sub, utilisez la page Comptes de service de la console Google Cloud pour créer un compte de service. Pour obtenir des instructions, consultez la page Créer et gérer des comptes de service.

  2. Attribuez le rôle suivant au compte de service :

    • Éditeur Pub/Sub (roles/pubsub.editor)

  3. Copiez le nom du compte de service que vous venez de créer.

  4. Utilisez le sélecteur de projet dans la console Google Cloud pour passer au niveau de l'organisation.

  5. Ouvrez la page IAM de l'organisation :

    Accéder à IAM

  6. Sur la page IAM, cliquez sur Accorder l'accès. Le panneau "Accorder l'accès" s'affiche.

  7. Dans le panneau Accorder l'accès, procédez comme suit :

    1. Dans la section Ajouter des comptes principaux du champ Nouveaux comptes principaux, collez le nom du compte de service.

    2. Dans la section Attribuer des rôles, utilisez le champ Rôle pour attribuer les rôles IAM suivants au compte de service :

      • Éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor)
      • Éditeur de configuration des notifications du centre de sécurité (roles/securitycenter.notificationConfigEditor)
      • Lecteur d'organisation (roles/resourcemanager.organizationViewer)
      • Lecteur d'éléments cloud (roles/cloudasset.viewer)

    3. Cliquez sur Enregistrer. Le compte de sécurité s'affiche dans l'onglet Autorisations de la page IAM sous Afficher par compte principal.

      Par héritage, le compte de service devient également un compte principal dans tous les projets enfants de l'organisation, et les rôles applicables au niveau du projet sont répertoriés en tant que rôles hérités.

Pour plus d'informations sur la création de comptes de service et l'attribution de rôles, consultez les rubriques suivantes :

Fournir les identifiants à QRadar

Selon l'emplacement où vous hébergez QRadar, la manière dont vous fournissez les identifiants IAM à QRadar diffère.

Configurer les notifications

Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.

  1. Configurez les notifications de résultats comme suit :
    1. Activez l'API Security Command Center.
    2. Créez un filtre pour exporter les résultats et les éléments souhaités.
    3. Créez trois sujets Pub/Sub, un pour chacun des résultats, des journaux d'audit et des éléments. NotificationConfig doit utiliser le sujet Pub/Sub que vous avez créé pour les résultats.

  2. Créez un récepteur pour les journaux d'audit, comme décrit dans Collecter et acheminer les journaux au niveau de l'organisation vers des destinations compatibles. Le récepteur doit utiliser le sujet Pub/Sub que vous avez créé pour les journaux d'audit. Exemple :

    gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
  --include-children /
  --organization=ORGANIZTION_ID /
  --log-filter=FILTER

    Remplacez les éléments suivants :

    • SINK_NAME par le nom du récepteur de journal d'audit.

    • SINK_DESTINATION avec pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID

    • ORGANIZATION_ID par l'ID de votre organisation.

    • FILTER avec logName:activity, logName:data_access, logName:system_event ou logName:policy.

  3. Attribuez le rôle Diffuseur Pub/Sub (roles/pubsub.publisher) au compte de service du récepteur.

  4. Activez l'API Cloud Asset pour votre projet.

  5. Créez des flux pour vos éléments. Vous devez créer deux flux dans le même sujet Pub/Sub, l'un pour vos ressources et l'autre pour vos stratégies IAM (Identity and Access Management).

    • Le sujet Pub/Sub des éléments doit être différent de celui utilisé pour les résultats.
    • Pour le flux des ressources, utilisez le filtre suivant : content-type=resource.
    • Pour le flux des stratégies IAM, vous devez utiliser le filtre suivant : content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Vous aurez besoin des ID de votre organisation et du nom de vos abonnements Pub/Sub pour configurer QRadar.

Installer l'application Google SCC pour QRadar (QRadar v7.4.1FP2+)

Dans cette section, vous allez installer l'application Google SCC pour QRadar - QRadar v7.4.1FP2+ (v3.0.0). L'application gérée par Security Command Center automatise le processus de planification des appels d'API Security Command Center et récupère régulièrement les données de Security Command Center à utiliser dans QRadar.

Pour installer une application, vous devez accéder à la machine de la console QRadar via une interface Web.

Pour effectuer l'installation, procédez comme suit :

  1. Téléchargez l'application Google SCC pour QRadar sur le site d'IBM App Exchange.
  2. Connectez-vous à votre console QRadar à l'adresse https://QRadar_Console_IP.
  3. Dans le menu de la console, cliquez sur Admin, puis sélectionnez Extension Management (Gestion des extensions).
  4. Pour sélectionner le fichier ZIP de téléchargement, cliquez sur Add (Ajouter). Suivez les instructions lorsque l'installation est terminée.
  5. Sélectionnez Start a default instance for each app (Démarrer une instance par défaut pour chaque application).
  6. Cliquez sur Installer. Une fois l'installation terminée, une liste de composants d'application s'affiche.
  7. Cliquez sur l'onglet Admin, puis sur Deploy changes (Déployer les modifications).
  8. Effacez le cache du navigateur et actualisez la fenêtre du navigateur.
  9. Accédez à Extension Management (Gestion des extensions). Vous devriez voir Google SCC App for QRadar (Application Google SCC pour QRadar) à l'état Installée.

Configurer l'application Google SCC

Dans cette section, vous allez configurer l'application Google SCC. Pour ce faire, procédez comme suit :

  1. Accédez à l'onglet Admin dans QRadar.
  2. Cliquez sur Google SCC App Settings (Paramètres de l'application Google SCC).
  3. Cliquez sur Add Google SCC Organization (Ajouter une organisation Google SCC).

  4. Saisissez les variables suivantes, selon le cas :

    • Service Account JSON (JSON du compte de service) : le fichier JSON contenant la clé du compte de service

      Si vous hébergez le déploiement QRadar dans Google Cloud, ce champ n'est pas disponible. Assurez-vous de fournir au compte de service associé à la VM les autorisations IAM pour chaque organisation Google Cloud. Pour en savoir plus, consultez Fournir les identifiants à QRadar.

    • Credential Configuration (Configuration des identifiants) : fichier de configuration des identifiants que vous avez téléchargé lors de la configuration de la fédération d'identité de charge de travail.

    • Organization ID (ID de l'organisation) : ID de votre organisation

    • Findings Subscription Name (Nom de l'abonnement des résultats) : nom de l'abonnement Pub/Sub associé aux notifications de résultats

    • Assets Subscription Name (Nom de l'abonnement aux éléments) : nom de l'abonnement Pub/Sub associé à votre flux d'éléments.

    • Activer la collecte des journaux d'audit: sélectionnez cette option pour envoyer les journaux d'audit à votre instance QRadar.

      • Nom de l'abonnement aux journaux d'audit: nom de l'abonnement Pub/Sub pour votre récepteur de journaux d'audit

    • Interval (Intervalle) : nombre de secondes entre les appels Pub/Sub lors de la collecte de données en temps réel

    • QRadar Authorization Token (Jeton d'autorisation QRadar) : jeton de votre instance QRadar Pour récupérer un jeton, procédez comme suit:

      1. Accédez à l'onglet Admin dans QRadar.
      2. Sous User Management (Gestion des utilisateurs), cliquez sur Authorized Service (Service autorisé).
      3. Copiez votre jeton d'autorisation en définissant Admin en tant que rôle utilisateur et Admin en tant que profil de sécurité. Si vous n'avez pas de jeton, créez-en un en cliquant sur Add Authorized Service (Ajouter un service autorisé).
      4. Cliquez sur Deploy changes (Déployer les modifications), puis actualisez la fenêtre du navigateur.

  5. Pour saisir les informations facultatives de la configuration du proxy, cliquez sur le bouton Enable/Disable Proxy (Activer/Désactiver le proxy), puis saisissez les paramètres de votre proxy :

    • IP/Hostname (Adresse IP/Nom d'hôte) : adresse IP ou nom d'hôte de votre serveur proxy (sans le préfixe HTTP/HTTPS)
    • Port : port de votre serveur proxy
    • Username (Nom d'utilisateur) : nom d'utilisateur utilisé pour le proxy d'authentification
    • Password (Mot de passe) : mot de passe utilisé pour le proxy d'authentification

  6. Cliquez sur Enregistrer.

  7. Répétez ces étapes pour chaque organisation Google Cloud que vous souhaitez intégrer.

La configuration de l'application est stockée et vos organisations sont ajoutées à la page de configuration de l'application. Les sections suivantes expliquent comment afficher et gérer les données de Security Command Center dans le service.

Mettre à jour l'application Google SCC

Dans cette section, vous allez mettre à jour l'application Google SCC existante pour QRadar vers la dernière version.

Procédez comme suit pour effectuer la mise à niveau :

  1. Téléchargez la dernière version de l'application Google SCC à partir d'IBM App Exchange.
  2. Connectez-vous à votre console QRadar à l'adresse https://QRadar_Console_IP.
  3. Dans le menu de la console, cliquez sur Admin, puis sélectionnez Extension Management (Gestion des extensions).
  4. Pour sélectionner le fichier ZIP de téléchargement, cliquez sur Add (Ajouter). Suivez les instructions de préparation de la mise à niveau.
  5. Sélectionnez Replace Existing Items (Remplacer les éléments existants) et Start a default instance for each app (Démarrer une instance par défaut pour chaque application).
  6. Cliquez sur Installer. Une fois le processus de mise à niveau terminé, la liste des composants de l'application s'affiche.
  7. Cliquez sur l'onglet Admin, puis sur Deploy changes (Déployer les modifications).
  8. Effacez le cache du navigateur et actualisez la fenêtre du navigateur.
  9. Accédez à Extension Management (Gestion des extensions). Vous devriez voir Google SCC App for QRadar (Application Google SCC pour QRadar) à l'état Installée.

  10. Supprimez les journaux d'application des utilisateurs qui accèdent à l'application à partir de QRadar à l'aide de SSH:

    1. Téléchargez la dernière version de l'application de gestion des données de référence sur IBM App Exchange.

    2. Connectez-vous à votre console QRadar à l'adresse https://QRadar_Console_IP.

    3. Dans le menu de la console, cliquez sur Administration, puis sélectionnez Gestion des extensions.

    4. Pour sélectionner le fichier ZIP téléchargé, cliquez sur Add (Ajouter). Suivez les instructions pour installer l'application.

    5. Dans la console, accédez au tableau de bord Gestion des données de référence.

    6. Cliquez sur Carte de référence.

    7. Sélectionnez asset_owners, puis cliquez sur Effacer les données.

Afficher les données exportées dans QRadar

Cette section décrit les fonctionnalités pertinentes disponibles dans QRadar, y compris la recherche de résultats, de journaux d'audit et d'éléments, l'affichage des stratégies IAM et l'affichage des tableaux de bord personnalisés.

Rechercher des données

Pour rechercher des données de Security Command Center dans QRadar, utilisez le panneau Log Activity (Activité liée aux journaux). Vous pouvez afficher les résultats, les éléments, les journaux d'audit et les sources de sécurité ingérés, et appliquer des filtres de type SQL pour affiner les données.

Afficher les données d'une stratégie IAM

Pour afficher les données de la stratégie IAM de vos éléments, procédez comme suit :

  1. Téléchargez et installez l'application Reference Data Management (Gestion des données de référence) depuis le portail IBM App Exchange.
  2. Cliquez sur le tableau de bord Reference Data Management (Gestion des données de référence) dans QRadar.
  3. Dans le panneau de navigation, cliquez sur Reference Map (Carte de référence).
  4. Sélectionnez asset_owners. Le tableau de bord contient les données de votre stratégie IAM.

Tableaux de bord personnalisés

Vous pouvez utiliser des tableaux de bord personnalisés dans QRadar pour visualiser et analyser vos résultats, vos éléments et vos sources de sécurité.

Présentation

Le tableau de bord Overview (Aperçu) affiche le nombre total de résultats, de menaces et de failles dans vos organisations Google Cloud. Les résultats sont compilés à partir des services intégrés à Security Command Center, tels que Security Health Analytics, Web Security Scanner, Event Threat Detection et Container Threat Detection, ainsi que tous les services intégrés que vous activez.

Vous pouvez filtrer les données pour mettre à jour des visualisations, spécifier une organisation Google Cloud et extraire de nouvelles données à la demande.

Éléments

L'onglet Assets (Éléments) affiche une table de vos éléments Google Cloud. Les données de table incluent le nom de l'élément, le type d'élément, les propriétaires de ressources, l'heure de la dernière mise à jour et des liens vers la page Éléments de Security Command Center dans Google Cloud Console.

Vous pouvez rechercher et filtrer les données d'éléments par organisation, période et type d'élément, et afficher le détail des résultats pour des éléments spécifiques.

Sources

L'onglet Sources affiche une table de vos sources de sécurité, y compris leur nom, leur nom à afficher et leur description. En cliquant sur le nom d'une source, vous pouvez afficher les résultats correspondants.

Findings

L'onglet Résultats affiche une table des résultats de votre organisation. Vous pouvez effectuer une recherche dans la table et filtrer la liste par période, catégorie, niveau de gravité, source de sécurité, élément et nom de projet.

Les colonnes de la table incluent le nom du résultat, la catégorie, le nom de l'élément, le nom de la source de sécurité, les marques de sécurité, la gravité, le nom du projet, l'heure de l'événement, la classe de résultat et l'état de la mise à jour. Si vous cliquez sur le nom d'un résultat, vous êtes redirigé vers la page Résultats de Security Command Center dans Google Cloud Console, sur laquelle vous pouvez voir les détails du résultat sélectionné.

Dans la colonne Update Status (État d'actualisation), vous pouvez actualiser l'état d'un résultat. Pour indiquer que vous examinez activement un résultat, cliquez sur Mark as ACTIVE (Marquer comme actif). Si vous n'examinez pas activement un résultat, cliquez sur Mark as INACTIVE (Marquer comme inactif).

Journaux d'audit

Le tableau de bord Audit logs (Journaux d'audit) affiche une série de graphiques et de tableaux présentant les informations des journaux d'audit. Les journaux d'audit inclus dans le tableau de bord sont l'activité d'administration, l'accès aux données, les événements système et les journaux d'audit de refus de règles. Le tableau indique l'horodatage, le nom du journal, la gravité, le nom du service, ainsi que le nom et le type de la ressource.

Vérifier les journaux d'application

  1. Connectez-vous à QRadar via SSH.

  2. Répertoriez toutes les applications installées et leurs valeurs App-ID :

    /opt/qradar/support/recon ps

    Le résultat renvoyé ressemble à ceci : Notez l'ID (App-ID) de l'application Google SCC.

    App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++

  3. Connectez-vous au conteneur de l'application Google SCC :

    /opt/qradar/support/recon connect APP_ID

    Remplacez APP_ID par l'ID (App-ID) de l'application Google SCC.

  4. Accédez au répertoire du journal :

    cd /opt/app-root/store/log

  5. Répertoriez tous les fichiers du répertoire :

    ls

  6. Affichez le contenu d'un fichier :

    cat FILENAME

    Remplacez FILENAME par le nom du fichier.

Désinstaller l'application Google SCC

Pour désinstaller l'application Google SCC, procédez comme suit :

  1. Accédez à l'onglet Admin.
  2. Sélectionnez Extension Management (Gestion des extensions).
  3. Sélectionnez Google SCC App For QRadar - QRadar v7.4.1FP2+ (Application Google SCC pour QRadar (QRadar v7.4.1FP2+)).
  4. Cliquez sur Désinstaller.

Si vous désinstallez l'application, les propriétés d'événements personnalisés, les cartes de référence, les tableaux de bord et les sources des journaux fournis par l'application Google SCC sont supprimés.

Problèmes connus

Cette section liste les problèmes connus liés à l'application Google SCC et aux tableaux de bord QRadar.

v1.0.0

  • Dans le tableau de bord Overview (Vue d'ensemble), le panneau Findings By Severity Over Time (Résultats par niveau de gravité au fil du temps) affiche une erreur technique pour les données supérieures à 250 000 résultats et le processus Flask qui remplit les tableaux de bord est redémarré dans le backend. Pour éviter ce problème, sélectionnez une période plus courte pour le tableau de bord.

    Ce problème est résolu dans la version 2.0.0.

  • Les éléments supprimés peuvent apparaître dans le tableau de bord Assets (Éléments) en raison d'un comportement inattendu de la fonction AQL GROUP BY.

v2.0.0

  • Les éléments supprimés peuvent apparaître dans le tableau de bord Assets (Éléments) en raison d'un comportement inattendu de la fonction AQL GROUP BY.
  • Le tableau de bord Findings (Résultats) peut ne pas afficher les données de résultats les plus récentes suite à la mise à jour de l'application Google SCC, en raison d'un comportement inattendu de la fonction AQL GROUP BY.

v3.0.0

  • Il est possible que le tableau de bord n'affiche pas les derniers événements lorsque plusieurs événements sont disponibles avec la même clé unique en raison d'un comportement inattendu de la fonction AQL GROUP BY.
  • Le filtre ID de l'organisation n'est pas applicable aux données déjà ingérées avec la version 2. Pour afficher les données, sélectionnez la valeur Tous dans le filtre ID de l'organisation.

Résoudre les problèmes

Cette section décrit des solutions à certains problèmes courants.

Les événements Google SCC s'affichent sous forme de messages Google SCC

Problème : les événements Security Command Center s'affichent sous forme de messages Security Command Center au lieu d'être identifiés comme une catégorie QRadar appropriée. Les messages s'affichent dans l'onglet Log Activity (Activité liée aux journaux) de QRadar lorsqu'un utilisateur recherche un événement à partir d'une source de journal Google Cloud.

Ce problème se produit lorsqu'un champ obligatoire n'est pas présent dans un événement de journal brut ou si la taille de la charge utile d'un événement est supérieure à la valeur par défaut de 4 096 octets, ce qui peut tronquer les événements.

Solution : si la charge utile est tronquée, procédez comme suit pour augmenter sa taille maximale :

  1. Accédez à l'onglet Admin, puis sélectionnez System settings (Paramètres système).
  2. Sous Switch to (Passer à), cliquez sur Advanced (Avancé).
  3. Dans la liste des paramètres, procédez comme suit :
    1. Sélectionnez Max TCP Syslog Payload Length (Longueur maximale de la charge utile TCP Syslog) et augmentez sa valeur. La valeur recommandée est 32 000.
    2. Sélectionnez Max UDP Syslog Payload Length (Longueur maximale de la charge utile UDP Syslog) et augmentez sa valeur. La valeur recommandée est 32 000.
  4. Cliquez sur Deploy changes (Déployer les modifications) et utilisez l'option Full Deploy (Déploiement complet).

Événements Google SCC répertoriés en tant qu'événements inconnus

Problème : les événements Security Command Center sont répertoriés comme Unknown (Inconnus). Ce problème se produit lorsque l'ID d'événement et la catégorie de la charge utile ne sont pas mappés dans QRadar.

Solution : procédez comme suit pour résoudre ce problème :

  1. Accédez à Log Activity (Activité liée aux journaux), puis cliquez sur Add Filter (Ajouter un filtre).
  2. Sélectionnez Parameter (Paramètre), puis Log Source Type (Indexed) (Type de source de journal (indexé)).
  3. Sélectionnez Operator (Opérateur), puis Equals (Égal à).
  4. Sélectionnez Log Source Type (Type de source de journal), puis Google SCC.
  5. Dans le menu déroulant du filtre Views (Vues), sélectionnez Last 7 days (Sept derniers jours).
  6. Si les événements sont affichés comme Unknown (Inconnus), procédez comme suit :
    1. Effectuez un clic droit sur l'événement et sélectionnez View in DSM editor (Afficher dans l'éditeur DSM).
    2. Sous Log Activity Preview (Aperçu de l'activité liée aux journaux), vérifiez les valeurs de ID d'événement et de Catégorie de l'événement.
    3. Si ces valeurs sont inconnues, contactez l'assistance Cloud.

Échec de la configuration de l'application avec des messages d'erreur

Si vous obtenez une erreur de configuration de l'application, procédez comme suit pour résoudre le problème.

Erreur Description Solution
"Veuillez saisir un fichier JSON de compte de service valide." Cette erreur se produit si un fichier JSON correctement formaté est fourni, mais que l'authentification échoue lors de la tentative d'enregistrement de la configuration. Saisissez un fichier JSON valide avec les bons identifiants de compte.
"Le fichier JSON du compte de service doit être une chaîne JSON." Cette erreur se produit si un fichier JSON fourni est mal formaté ou si le fichier est dans un format autre que JSON. Saisissez un fichier JSON valide.
"Veuillez saisir un ID d'organisation valide." Cette erreur se produit lorsqu'un ID d'organisation incorrect ou incomplet est saisi. Vérifiez l'ID de votre organisation, puis saisissez-le à nouveau.
"Veuillez saisir un ID de projet ou un ID d'abonnement des résultats valide." Cette erreur se produit lorsqu'un ID de projet ou un ID d'abonnement incorrect ou non valide est saisi. Vérifiez l'ID du projet et l'ID de l'organisation, puis saisissez-les à nouveau.
"Veuillez saisir un ID d'abonnement des éléments valide." Cette erreur se produit lorsqu'un ID d'abonnement des éléments incorrect ou non valide est saisi. Vérifiez l'ID d'abonnement de votre élément, puis saisissez-le à nouveau.
"Erreur lors de la validation du jeton d'autorisation." Cette erreur se produit lorsqu'un jeton d'autorisation QRadar incorrect ou non valide est fourni. Vérifiez votre jeton d'autorisation QRadar, puis saisissez-le à nouveau. Le rôle utilisateur et le profil de sécurité doivent être Administrateur. Le jeton ne doit pas non plus avoir expiré.

Erreur lors du lancement de la connexion de socket avec QRadar

Problème : le message d'erreur "Erreur lors de l'initialisation de la connexion de socket avec IBM QRadar" s'affiche dans les fichiers journaux de la collecte de données. Ce problème peut être constaté dans le framework de l'application QRadar v2 (< 7.4.2 P2).

Solution : procédez comme suit pour résoudre ce problème :

  1. Consultez la note d'assistance concernant les modifications apportées au déploiement QRadar.
  2. Mettez à jour QRadar.

Problèmes d'interface

Problème : un panneau du tableau de bord ou une page de configuration affiche des erreurs ou présente un comportement inattendu.

Solution : procédez comme suit pour résoudre ce problème :

  1. Effacez le cache du navigateur et actualisez la page Web.
  2. Réduisez la période du filtre. Les requêtes QRadar peuvent expirer si le nombre de réponses est trop élevé.
  3. Si le problème n'est pas résolu, contactez l'assistance Cloud.

Échec du chargement des panneaux du tableau de bord et suppression du processus Flask

Problème : le processus Flask expire et certains panneaux du tableau de bord ne se chargent pas.

Solution : procédez comme suit pour résoudre ce problème :

  1. Effacez le cache du navigateur et actualisez la page Web.
  2. Réduisez la période du filtre. Les requêtes QRadar peuvent expirer si le nombre de réponses est trop élevé.
  3. Si le problème n'est pas résolu, veuillez contacter l'assistance Cloud.

Tous les autres problèmes de performances

Si votre problème n'est pas résolu en suivant les instructions de ce guide, procédez comme suit :

  1. Accédez à l'onglet Admin, puis cliquez sur System and License Management (Gestion du système et des licences).
  2. Sélectionnez l'hôte sur lequel l'application Google SCC pour QRadar (QRadar v7.4.1FP2+) est installée.
  3. Cliquez sur Action, puis sélectionnez Collect Log Files (Collecter des fichiers journaux).
  4. Dans la boîte de dialogue, cliquez sur Advanced Options (Options avancées).
  5. Cochez les cases à côté des options Include Debug Logs (Inclure les journaux de débogage), Application Extension Logs (Journaux des extensions d'application) et Setup Logs (Current Version) (Journaux de configuration (version actuelle)).
  6. Sélectionnez deux jours comme entrée de données, puis cliquez sur Collect Log Files (Collecter des fichiers journaux).

  7. Sélectionnez Click here to download files (Cliquez ici pour télécharger les fichiers).

    Les fichiers journaux seront téléchargés dans un fichier ZIP. Contactez l'assistance Cloud et partagez les fichiers journaux.

Étapes suivantes