SAP Enterprise Threat Detection DSM は、アラートのデフォルトのパターン名に依存してイベントを識別します。 デフォルトのパターンを変更すると、イベントが「不明」として表示される場合があります。
手順
- 以下のステップに従って、SAP Enterprise Threat Detection サーバーのログイン資格情報が有効であることを確認します。
- Web ブラウザーに、SAP Enterprise Threat Detection サーバーの IP アドレスまたはドメイン名を入力します。 例えば、 http://192.0.2.1:8003などです。
- ユーザー名とパスワードを入力します。
- SAP Enterprise Threat Detection サーバーを照会して、 QRadar がイベントを受信できることを確認します。 以下の例を開始点として使用して、照会を作成します。
<Server_URL>/sap/secmon/services/Alerts.xsjs?$query=AlertCreationTimestamp%20ge%20<Date>T15:00:00.00Z&$format=LEEF&$batchSize=10
この例で、以下のパラメーターを独自の値に置き換えてください。
- <サーバー URL>
- アクセスしようとしている SAP Enterprise Threat Detection サーバーのアドレス。
- < 日付 >
- 現在の日付 (YYYY-MM-DD 形式)。 イベントをいつ着信したかわかる場合はその日付を選択します (例: 2017-10-15)。
結果の照会は、以下の例のようになります。
http://192.0.2.1:8003/sap/secmon/services/Alerts.xsjs?$query=AlertCreationTimestamp%20ge%202017-10-15T15:00:00.00Z&$format=LEEF&$batchSize=10
照会に問題が存在する場合、 QRadar が SAP Enterprise Threat Detection に正常に接続できるとは考えられません。
- サーバー・ポートがファイアウォールによってブロックされていないことを確認してください。
注: ポートがブロックされている場合は、セキュリティー管理者またはネットワーク管理者に連絡して、ポートを開いてください。