Troubleshooting
Problem
QRadar では、カスタム・アクション・スクリプトを作成することができ、カスタム・ルールがカスタム・アクション・スクリプトを起動するように構成できます。しかしながらルールがトリガーされたときにカスタム・アクション・スクリプトが実行されていることを示す表示はされません。
Resolving The Problem
Step 1. テスト・スクリプトの作成
提供されているサンプルスクリプトの目的は、サンプル・ルールで全てのルール・テストが一致するたびに、test.txtという名前のファイルを書き込むことです。
- 次のサンプル・スクリプトを使用して .sh 拡張子を持つファイルを作成します。
サンプル・スクリプト :#!/bin/bash datetime="$(date)" echo " Custom Action Script Test Time: $datetime" >> /home/customactionuser/test.txt echo "Text written to /home/customactionuser/test.txt?"
- 「管理」タブをクリックします。
- 「カスタム・アクション」配下の「カスタム・アクションの定義」をクリックします。
- スクリプトをアップロードするために「追加」をクリックします。
- カスタム・アクションのわかりやすい名前を入力します。
- 「スクリプト構成」までスクロール・ダウンし、「インタープリター」で 「Bash」 を選択します。
- 「参照」をクリックし、 ステップ 1 で作成した .sh ファイルを選択します。
- 「カスタム・アクションの定義」ウィンドウの下までスクロールし、「保存」をクリックします。
- 「変更のデプロイ」をクリックします。
Step 2. カスタム・アクションを起動させるためのルールの編集または作成
- QRadar のユーザー・インターフェースにログインします。
- 「オフェンス」タブの「ルール」をクリックします。
- ルール・ウィザードで、容易に起動できるカスタム・ルールを見つける、または作成します。
ヒント:カスタム・アクションをテストするためのルールの例は、既存のログ・ソースからの認証イベントを使用することです。または、オフェンス作成 QID (28250369)など特定の QID を使用してカスタム・アクションをテストすることもできます。 - ルールを編集して、ホスト IP とログインの成功などの基準を追加します。
ルールの例 - 「次へ」をクリックして、ルールの応答を構成します。
- 「カスタム・アクションの実行」にチェックを入れます。
- 新しく作成したカスタム・アクション・スクリプトを「実行するカスタム・アクション」のドロップ・ダウン・ボックスから選択します。
Step 3. カスタム・アクション・スクリプトのトリガーの確認
アクションの定義ウィンドウで「テストの実行」を行うか、カスタム・ルールがトリガーされたことを確認することで、テスト・ファイルが作成または更新されたことを確認します。
ユーザー・インターフェースでカスタム・アクションをテストするには
- 「管理」タブをクリックします
- 「カスタム・アクション」までスクロールします
- 「アクションの定義」をクリックします。
- テスト・スクリプトを強調表示します。
- 「テストの実行」>「実行」をクリックします
結果 :
テスト結果でスクリプトが正常に実行されたことを確認できます。
コマンドラインでテスト・スクリプトを確認する方法
- カスタム・ルールをトリガーするイベントを作成します。
- SSH を使用して root ユーザーとしてコンソールにログインします。
- シェルに入って customactionuser フォルダを表示するには chroot コマンドを使用します。
chroot --userspec=customactionuser /opt/qradar/bin/ca_jail/
- ls コマンドを使用して、ファイルが存在するかを確認します。
ls -lh /home/customactionuser/
- chroot されたシェルにいる間 test.txt ファイルが表示されます。
chroot --userspec=customactionuser /opt/qradar/bin/ca_jail/ $ ls /home/customactionuser/ test.txt?
test.txt ファイルは /home/customactionuser/ に存在する必要があります。サンプル・スクリプトの目的は、ルール応答がルールによってトリガーされるたびに test.txt を書き込むことです。
Related Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
15 August 2021
UID
ibm16208603