BigFixQRadar Vulnerability Manager の統合のトラブルシューティング

BigFixQRadar® Vulnerability Manager の統合の構成時に発生する可能性がある問題をトラブルシューティングします。

トラブルシューティングの内容


HCL BigFix サーバーへの接続が失敗したため、 BigFix 証明書はインポートされませんでした

BigFix サーバーへの接続が失敗したために証明書が QRadar にインポートされない場合、以下のエラー・メッセージが表示されることがあります。
ERROR [TrustStoreConfig] Failed to configure trust store with peer certificates : 
Connection timed out java.net.ConnectException: Connection timed out.

正常に構成されましたが、証明書がトラストストアにありません。

BigFix サーバーにアクセスできる場合は、以下のステップを実行して証明書を手動でロードする必要があります。
  1. /store/qvm/adaptor ディレクトリーに移動します。
  2. セットアップ・スクリプト ./install-cert.sh <truststore_location> <truststore_password><truststore_IP_address:port> を実行します。このポートは、証明書が属するサービスのポートです。

HCL BigFix との接続の検証

HCL BigFix との接続を検証するには、以下の手順を実行します。

  1. Web ブラウザーで以下の URL を入力します。

    https://IP_address or DNS_hostname for BigFix:8080/webreports?page=QNA

  2. コマンド・プロンプトの単一行で以下のストリングを入力します。

    (id of site of it,id of it,name of it,cve id list of it) of fixlets whose (cve id list of it as lowercase contains "cve") of bes sites

  3. 「評価」 をクリックします。

次のストリングは、結果の出力の例です。

2, 104301, MS01-043: NNTP Service in Windows NT 4.0 
Contains Memory Leak, CVE-2001-0543
以下の表では、この結果の明細について説明します。
表 1. 照会結果
結果 照会パラメーター 説明
2 (id of site of it) Fixlet サイトID
104301 (id of it) Fixlet ID

MS01-043: NNTP Service in Windows NT 4.0 Contains Memory Leak

(name of it) Fixlet 名
CVE-2001-0543 (cve id list of it) CVE ID

最新のスキャン・ツールがインストールされているか

自動更新を実行して、 QRadar の新規インストール用の最新のスキャン・ツールを取得する必要があります。これは、この統合が機能するために必要であるためです。 自動更新を実行するには、「管理」タブで「自動更新」アイコンをクリックします。

QRadar 自動更新のインストールについて詳しくは、「 IBM QRadar 管理ガイド」を参照してください。


BigFix スキャン機能がインストールされていますか?

以下のコマンドを実行して、 BigFix スキャン機能が QRadarにインストールされているかどうかをテストします。

grep -rl 'BIG_FIX_AGENT_ID' /opt/qvm

BigFix スキャン機能がインストールされている場合、以下の結果が返されます。
  • /opt/qvm/sys/perl/scanner/FusionVM/smb_patch_scanning.pm
  • /opt/qvm/bin/ssh/packages/bin/ssh-packages

上記ファイルが表示されない場合、「管理」タブで「自動更新」アイコンをクリックして、自動更新を実行します。


パスワードのリセット

BigFix の詳細が変更された場合は、パスワードの変更が必要になることがあります。

  1. /opt/qvm/adaptor/config ディレクトリー内にある plugin-bigfix.properties ファイルを編集します。
  2. 以下の行を置き換えます。

    _decrypt.bes.rest.password=lUb5qzr7FIVH+J319erc+g==

    置き換え後の行:

    _encrypt.bes.rest.password=newpassword

    ここで、 newpassword は新規パスワードです。

  3. 以下のスクリプトを実行して、新規パスワードを暗号化します。

    ./password-property-encrypt.sh plugin-bigfix.properties


/var/log/iem-cron.log ファイルでパスワード例外エラーが発生しました

/var/log/iem-cron.log ファイル内に以下のエラーが表示されることがあります。

Exception in thread "main" java.lang.NoClassDefFoundError:
com.sun.org.apache.xerces.internal.dom.ElementNSImpl

このパスワード例外エラーは、 /opt/qvm/iem/webreports.properties ファイルが無効なパスワードを使用している場合に発生します。

このエラーを修正するには、シェル・プロンプトで /opt/qvm/iem/iem-setup-webreports.pl を実行してから、正しいパスワードを入力します。


脆弱点スキャン・データが BigFix に送信されない

スキャナーがアセットで認証して必要な情報にアクセスできることを確認します。

  1. 「脆弱性」 タブをクリックします。
  2. スキャン名行で「アセット」列の数字をクリックします。
  3. フラグ・アイコンが含まれている列に表示されている警告シンボルの上にカーソルを移動します。
  4. スキャン・プロファイル内の資格情報の問題を確認するか、必要な情報にスキャナーがアクセスできない原因であるアセット構成の問題を確認します。

アセット・モデルは更新されているか

アセット・モデルがスキャン結果で更新されていることを確認するために、以下のようにします。
  1. 「脆弱性」 タブをクリックします。
  2. ナビゲーション・メニューで「スキャン結果」をクリックします。

    赤色の警告を示す三角形が表示された場合、アセット・モデルはスキャン結果で更新されていません。