Устранение неполадок QRadar

В этом разделе приведена информация, с помощью которой можно решить проблемы, которые могут возникнуть при использовании Kaspersky CyberTrace с QRadar.

Если при использовании Kaspersky CyberTrace возникла проблема, специалисты «Лаборатории Касперского» могут вам помочь. Свяжитесь со своим персональным техническим менеджером (ПТМ) для получения дополнительной информации для решения проблемы.

Проблема: QRadar не отображает события из Kaspersky CyberTrace Service или отображает их неправильно

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

• Убедитесь, что сервер Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает.
• Убедитесь, что конфигурационный файл Kaspersky CyberTrace Service содержит правильную строку подключения для вывода, а формат выходных событий соответствует стандарту QRadar LEEF.
• Убедитесь, что Kaspersky CyberTrace Service добавлен в QRadar в качестве источника журналов.
• Убедитесь, что QID событий Kaspersky CyberTrace Service импортированы в QRadar.
• Убедитесь, что QID правильно сопоставляются с событиями Kaspersky CyberTrace Service.
• Убедитесь, что сервер QRadar доступен с сервера Kaspersky CyberTrace Service.
• Убедитесь, что порт, указанный в строке подключения для вывода, открыт.

Проблема: Kaspersky CyberTrace Service не получает события из QRadar

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

• Убедитесь, что события пересылаются из QRadar в Kaspersky CyberTrace Service и правила маршрутизации заданы правильно.
• Убедитесь, что сервер Kaspersky CyberTrace Service включен и Kaspersky CyberTrace Service работает.
• Убедитесь, что сервер QRadar включен и QRadar работает.
• Убедитесь, что сервер Kaspersky CyberTrace Service доступен с сервера QRadar.

  Для этого можно использовать утилиту ping.

• Убедитесь, что порт, указанный во входной строке подключения, открыт на сервере Kaspersky CyberTrace Service.

  Для этого можно использовать утилиту netcat.

• Проверьте регулярные выражения в конфигурационном файле Kaspersky CyberTrace Service или на вкладке Settings > Events format в веб-интерфейсе Kaspersky CyberTrace.

Проблема: после установки Kaspersky CyberTrace App for QRadar и добавления пользовательских свойств событий некоторые из этих свойств событий некорректно извлекаются из контекста события обнаруженной киберугрозы

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

1. В QRadar Console выполните Admin > Custom Event Properties.
2. Чтобы найти пользовательские свойства событий со значением Kaspersky CyberTrace для параметра Source Type, отсортируйте таблицу по типу источника журнала.
3. Выберите строку, соответствующую неверно извлекаемому свойству, и нажмите кнопку Edit.

   Откроется окно Custom Event Property Definition.

4. В форме Test Field вставьте пример события, сгенерированного Kaspersky CyberTrace, которое содержит неверно извлеченное свойство.
5. На панели Property Expression Definition, в разделе Extraction измените значение в поле RegEx с %property%=([^=]*)(?:\s[^=]+=) на %property%=\[(.*)\], где %property% — имя свойства.
6. Нажмите Test, чтобы убедиться, что требуемая часть события выделена в форме Test Field.
7. Нажмите на кнопку Save, чтобы применить изменения.

Проблема: после установки Kaspersky CyberTrace App for QRadar диаграмма не отображается

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

• Дождитесь, пока QRadar загрузит данные.

  Сделайте то же самое при изменении имени источника журнала в настройках Kaspersky CyberTrace App for QRadar.

Проблема: невозможно выполнить поиск с помощью Kaspersky CyberTrace App for QRadar, либо самостоятельная диагностика Kaspersky CyberTrace App for QRadar проходит неуспешно.

Чтобы решить эту проблему, попробуйте выполнить следующие действия:

• Убедитесь, что указано правильное значение настройки Kaspersky CyberTrace Service Connection String в Kaspersky Threat Feed App.
• Если Kaspersky CyberTrace установлен на сервере QRadar, добавьте необходимые правила iptables, как описано в разделе Configuring Kaspersky CyberTrace App for QRadar.

Проблема: при добавлении нового регулярного выражения в формат выходных событий QRadar извлекает неверное соответствующее значение из событий обнаруженных киберугроз Kaspersky CyberTrace.

Чтобы решить эту проблему, убедитесь, что поля событий в строке разделены символом табуляции, как того требует стандарт LEEF.