Устранение неполадок QRadar
11 апреля 2024
ID 171576
В этом разделе приведена информация, с помощью которой можно решить проблемы, которые могут возникнуть при использовании Kaspersky CyberTrace с QRadar.
Если при использовании Kaspersky CyberTrace возникла проблема, специалисты «Лаборатории Касперского» могут вам помочь. Свяжитесь со своим персональным техническим менеджером (ПТМ) для получения дополнительной информации для решения проблемы.
Проблема: QRadar не отображает события из Kaspersky CyberTrace Service или отображает их неправильно
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Убедитесь, что сервер Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает.
- Убедитесь, что конфигурационный файл Kaspersky CyberTrace Service содержит правильную строку подключения для вывода, а формат выходных событий соответствует стандарту QRadar LEEF.
- Убедитесь, что Kaspersky CyberTrace Service добавлен в QRadar в качестве источника журналов.
- Убедитесь, что QID событий Kaspersky CyberTrace Service импортированы в QRadar.
- Убедитесь, что QID правильно сопоставляются с событиями Kaspersky CyberTrace Service.
- Убедитесь, что сервер QRadar доступен с сервера Kaspersky CyberTrace Service.
- Убедитесь, что порт, указанный в строке подключения для вывода, открыт.
Проблема: Kaspersky CyberTrace Service не получает события из QRadar
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Убедитесь, что события пересылаются из QRadar в Kaspersky CyberTrace Service и правила маршрутизации заданы правильно.
- Убедитесь, что сервер Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает.
- Убедитесь, что сервер QRadar включен и QRadar работает.
- Убедитесь, что сервер Kaspersky CyberTrace Service доступен с сервера QRadar.
Для этого можно использовать утилиту
ping
. - Убедитесь, что порт, указанный во входной строке подключения, открыт на сервере Kaspersky CyberTrace Service.
Для этого можно использовать утилиту
netcat
. - Проверьте регулярные выражения в конфигурационном файле Kaspersky CyberTrace Service или на вкладке Settings > Events format в веб-интерфейсе Kaspersky CyberTrace.
Проблема: после установки Kaspersky CyberTrace App for QRadar и добавления пользовательских свойств событий некоторые из этих свойств событий некорректно извлекаются из контекста события обнаруженной киберугрозы
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- В QRadar Console выполните Admin > Custom Event Properties.
- Чтобы найти пользовательские свойства событий со значением Kaspersky CyberTrace для параметра Source Type, отсортируйте таблицу по типу источника журнала.
- Выберите строку, соответствующую неверно извлекаемому свойству, и нажмите кнопку Edit.
Откроется окно Custom Event Property Definition.
- В форме Test Field вставьте пример события, сгенерированного Kaspersky CyberTrace, которое содержит неверно извлеченное свойство.
- На панели Property Expression Definition, в разделе Extraction измените значение в поле RegEx с
%property%=([^=]*)(?:\s[^=]+=)
на%property%=\[(.*)\]
, где%property%
— имя свойства. - Нажмите Test, чтобы убедиться, что требуемая часть события выделена в форме Test Field.
- Нажмите на кнопку Save, чтобы применить изменения.
Проблема: после установки Kaspersky CyberTrace App for QRadar диаграмма не отображается
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Дождитесь, пока QRadar загрузит данные.
Сделайте то же самое при изменении имени источника журнала в настройках Kaspersky CyberTrace App for QRadar.
Проблема: невозможно выполнить поиск с помощью Kaspersky CyberTrace App for QRadar, либо самостоятельная диагностика Kaspersky CyberTrace App for QRadar проходит неуспешно.
Чтобы решить эту проблему, попробуйте выполнить следующие действия:
- Убедитесь, что указано правильное значение настройки
Kaspersky CyberTrace Service Connection String
в Kaspersky Threat Feed App. - Если Kaspersky CyberTrace установлен на сервере QRadar, добавьте необходимые правила iptables, как описано в разделе Configuring Kaspersky CyberTrace App for QRadar.
Проблема: при добавлении нового регулярного выражения в формат выходных событий QRadar извлекает неверное соответствующее значение из событий обнаруженных киберугроз Kaspersky CyberTrace.
Чтобы решить эту проблему, убедитесь, что поля событий в строке разделены символом табуляции, как того требует стандарт LEEF.