QRadar Network Threat Analytics ホーム・ページに検出結果が表示されない

IBM® QRadar® Network Threat Analytics ホーム・ページに検出結果が表示されない理由はいくつかあります。

許可トークンの許可が不適切です

認証トークンには、セキュリティー・プロファイルとユーザー・ロールに対する「管理」権限が必要です。

認証トークンに適切な許可があることを確認するには、 app.log ファイルを調べて、以下のようなメッセージを探します。

NBA-1 トレーニング済みモデルのAPI接続エラーの確認: {{"http_response": {"code": 403, "message": "Your account is not authorized to access the requested resource"}, "code": 26, "description": "", "details": {}, "message": "ユーザーには、このエンドポイントリソースにアクセスするための権限が不足しています"}

ログ・ファイルを表示するには、以下の手順を実行します。

  1. SSH を使用して、アプリケーションをホストするシステムにログインします。
  2. 以下のコマンドを入力して、アプリケーションのqapp IDを判別します。
    /opt/qradar/support/recon ps | grep "Network Threat Analytics"
  3. 以下のいずれかの方法でログ・ファイルを表示します。
    • アプリケーション・ホストから、 /store/docker/volumes/<qapp-####>/log/app.log ファイルを表示します。

      < qapp-####> 変数は、 QRadar Network Threat Analyticsqapp ID です。

    • アプリ・コンテナー内から、 /opt/app-root/store/log/app.log ファイルを表示します。

許可トークンに適切なアクセス権がないことがログ・ファイルに示されている場合は、それを管理者トークンに置き換えて、ベースライン・プロセスを再始動する必要があります。 トークンを置き換える最良の方法は、 QRadar Network Threat Analytics アプリケーションを再インストールして構成することです。 許可トークンを使用するようにアプリケーションを構成すると、ベースライン・プロセスが自動的に開始します。

ベースライン・プロセスが失敗したか、完了していません

QRadar Network Threat Analytics がネットワーク・ベースラインの作成に失敗した場合、ホーム・ページに検出結果は表示されません。 QRadar に十分なフロー・データがない場合、または証明書が検証されない場合、プロセスが失敗する可能性があります。

プロセスが失敗したかどうかを判別するには、ログ・ファイルを確認します。 詳しくは、 ネットワーク・ベースラインの作成が失敗するを参照してください。