QRadar のトラブルシューティング
2024年4月11日
ID 171576
このセクションでは、Kaspersky CyberTrace と QRadar の使用時に生じる可能性がある問題の解決方法について説明します。
Kaspersky CyberTrace を使用していて問題が生じた場合は、カスペルスキーのスペシャリストがサポートします。問題の解決方法の詳細は、テクニカルアカウントマネージャー(TAM)にお問い合わせください。
ケース:QRadar が Kaspersky CyberTrace サービスからのイベントを表示しない、または正しく表示しない
この問題を解決するには、次の処置を行ってください:
- Kaspersky CyberTrace サービスのコンピューターがオンになっていること、Kaspersky CyberTrace サービスが実行されていることを確認します。
- Kaspersky CyberTrace サービス設定情報ファイルに正しい出力接続文字列が含まれていて、出力イベントの形式が QRadar LEEF 標準に適合していることを確認します。
- Kaspersky CyberTrace サービスがログソースとして QRadar に追加されていることを確認します。
- Kaspersky CyberTrace サービスイベントの QID が QRadar にインポートされていることを確認します。
- QID が Kaspersky CyberTrace サービスイベントに正しくマッピングされていることを確認します。
- Kaspersky CyberTrace サービスのコンピューターから QRadar のコンピューターにアクセスできることを確認します。
- 出力接続文字列で指定したポートが開いていることを確認します。
ケース:Kaspersky CyberTrace サービスが QRadar からイベントを受信しない
この問題を解決するには、次の処置を行ってください:
- イベントが QRadar から Kaspersky CyberTrace サービスに転送され、ルーティングルールが正しく設定されていることを確認します。
- Kaspersky CyberTrace サービスのコンピューターがオンになっていること、Kaspersky CyberTrace サービスが実行されていることを確認します。
- QRadar のコンピューターがオンになっていること、QRadar が実行されていることを確認します。
- QRadar のコンピューターから Kaspersky CyberTrace サービスのコンピューターにアクセスできることを確認します。
確認には
ping
ユーティリティを使用できます。 - 入力接続文字列で指定されたポートが Kaspersky CyberTrace サービスのコンピューターで開いていることを確認します。
確認には
netcat
ユーティリティを使用できます。 - Kaspersky CyberTrace サービス設定情報ファイルの正規表現をチェックするか、[Kaspersky CyberTrace Web]の[Settings]→[Events Format]タブを使用して正規表現をチェックします。
ケース:Kaspersky Threat Feed App をインストールし、カスタムイベントプロパティを追加した後、これらのイベントプロパティの一部が検知イベントの背景情報から正しく抽出されない
この問題を解決するには、次の操作を試行してください:
- QRadar Console で、[Admin]→[Custom Event Properties]の順に選択します。
- ログソースのタイプ別に表をソートして、Kaspersky CyberTrace の[Log Source Type]の値を持つカスタムイベントプロパティを見つけます。
- 正しく抽出されないプロパティに相当する行を選択して、[Edit]をクリックします。
[Custom Event Property Definition]ウィンドウが表示されます。
- Kaspersky CyberTrace によって生成された、正しく抽出されないプロパティを持つイベントの例を[Test Field]フォームに貼り付けます。
- [Property Expression Definition]ペインの[Extraction]セクションで、[RegEx]フィールドの値を[
%property%=([^=]*)(?:\s[^=]+=)
]から[%property%=\[(.*)\]
]に変更します。%property%
はプロパティ名です。 - [Test]をクリックして、イベントの必要な部分が[Test Field]フォームで強調表示されていることを確認します。
- [Save]をクリックして変更を適用します。
ケース:Kaspersky Threat Feed App のインストール後、グラフが表示されない
この問題を解決するには、次の操作を試行してください:
- QRadar がデータを読み込むまで待ちます。
[Kaspersky Threat Feed App settings]のログソース名を変更するときも同様にデータが読み込まれるまで待ってください。
ケース:Kaspersky Threat Feed App を使用して検索を実行できない、または Kaspersky Threat Feed App のセルフテストが失敗する
この問題を解決するには、次の操作を試行してください:
- Kaspersky Threat Feed App の[
Kaspersky CyberTrace Service Connection String
]設定で値を正しく指定したことを確認します。 - Kaspersky CyberTrace が QRadar のコンピューターにインストールされている場合は、「Kaspersky Threat Feed App の構成」セクションの説明に従って必要な iptables のルールを追加します。
ケース:新しい正規表現をイベント出力形式に追加すると、QRadar によって、対応する誤った値が Kaspersky CyberTrace 検知イベントから抽出される
この問題を解決するには、LEEF 標準で要求されている通りに、行内のイベントフィールドがタブ文字で区切られていることを確認します。