SAP Enterprise Threat Detection Alert API のトラブルシューティング

SAP Enterprise Threat Detection DSM は、アラートのデフォルトのパターン名に依存してイベントを識別します。 デフォルトのパターンを変更すると、イベントが「不明」として表示される場合があります。

手順

  1. 以下のステップに従って、SAP Enterprise Threat Detection サーバーのログイン資格情報が有効であることを確認します。
    1. Web ブラウザーに、SAP Enterprise Threat Detection サーバーの IP アドレスまたはドメイン名を入力します。 例えば、 http://192.0.2.1:8003などです。
    2. ユーザー名とパスワードを入力します。
  2. SAP Enterprise Threat Detection サーバーを照会して、 QRadar がイベントを受信できることを確認します。 以下の例を開始点として使用して、照会を作成します。
    <Server_URL>/sap/secmon/services/Alerts.xsjs?$query=AlertCreationTimestamp%20ge%20<Date>T15:00:00.00Z&$format=LEEF&$batchSize=10

    この例で、以下のパラメーターを独自の値に置き換えてください。

    <サーバー URL>
    アクセスしようとしている SAP Enterprise Threat Detection サーバーのアドレス。
    < 日付 >
    現在の日付 (YYYY-MM-DD 形式)。 イベントをいつ着信したかわかる場合はその日付を選択します (例: 2017-10-15)。
    結果の照会は、以下の例のようになります。
    http://192.0.2.1:8003/sap/secmon/services/Alerts.xsjs?$query=AlertCreationTimestamp%20ge%202017-10-15T15:00:00.00Z&$format=LEEF&$batchSize=10
    照会に問題が存在する場合、 QRadar が SAP Enterprise Threat Detection に正常に接続できるとは考えられません。
  3. サーバー・ポートがファイアウォールによってブロックされていないことを確認してください。
    注: ポートがブロックされている場合は、セキュリティー管理者またはネットワーク管理者に連絡して、ポートを開いてください。