IBM Support

QRadar Custom Action Script: テスト用スクリプト

Troubleshooting


Problem

QRadar では、カスタム・アクション・スクリプトを作成することができ、カスタム・ルールがカスタム・アクション・スクリプトを起動するように構成できます。しかしながらルールがトリガーされたときにカスタム・アクション・スクリプトが実行されていることを示す表示はされません。

Resolving The Problem

Step 1. テスト・スクリプトの作成

提供されているサンプルスクリプトの目的は、サンプル・ルールで全てのルール・テストが一致するたびに、test.txtという名前のファイルを書き込むことです。
  1. 次のサンプル・スクリプトを使用して .sh 拡張子を持つファイルを作成します。
    サンプル・スクリプト : 
      #!/bin/bash  datetime="$(date)"  echo "  Custom Action Script Test Time: $datetime" >> /home/customactionuser/test.txt  echo "Text written to /home/customactionuser/test.txt?"
  2. 管理」タブをクリックします。
  3. カスタム・アクション」配下の「カスタム・アクションの定義」をクリックします。
  4. スクリプトをアップロードするために追加をクリックします。
  5. カスタム・アクションのわかりやすい名前を入力します。
  6. スクリプト構成」までスクロール・ダウンし、「インタープリター」で 「Bash」 を選択します。
  7. 参照」をクリックし、 ステップ 1 で作成した .sh ファイルを選択します。
  8. カスタム・アクションの定義」ウィンドウの下までスクロールし、「保存」をクリックします。
  9. 変更のデプロイ」をクリックします。

Step 2. カスタム・アクションを起動させるためのルールの編集または作成

  1. QRadar のユーザー・インターフェースにログインします。
  2. オフェンス」タブの「ルール」をクリックします。
  3. ルール・ウィザードで、容易に起動できるカスタム・ルールを見つける、または作成します。
    ヒント:カスタム・アクションをテストするためのルールの例は、既存のログ・ソースからの認証イベントを使用することです。または、オフェンス作成 QID (28250369)など特定の QID を使用してカスタム・アクションをテストすることもできます。
  4. ルールを編集して、ホスト IP とログインの成功などの基準を追加します。
    ルールの例
    image-20180713124028-1
  5. 次へ」をクリックして、ルールの応答を構成します。
  6. カスタム・アクションの実行」にチェックを入れます。
  7. 新しく作成したカスタム・アクション・スクリプトを「実行するカスタム・アクション」のドロップ・ダウン・ボックスから選択します。
    image-20180713124327-3

Step 3. カスタム・アクション・スクリプトのトリガーの確認

アクションの定義ウィンドウで「テストの実行」を行うか、カスタム・ルールがトリガーされたことを確認することで、テスト・ファイルが作成または更新されたことを確認します。

ユーザー・インターフェースでカスタム・アクションをテストするには

  1. 管理」タブをクリックします
  2. カスタム・アクション」までスクロールします
  3. アクションの定義」をクリックします。
  4. テスト・スクリプトを強調表示します。
  5. テストの実行」>「実行」をクリックします
    画像-20180713125625-4

結果 :
テスト結果でスクリプトが正常に実行されたことを確認できます。

コマンドラインでテスト・スクリプトを確認する方法
  1. カスタム・ルールをトリガーするイベントを作成します。
  2. SSH を使用して root ユーザーとしてコンソールにログインします。
  3. シェルに入って customactionuser フォルダを表示するには chroot コマンドを使用します。 
        chroot --userspec=customactionuser /opt/qradar/bin/ca_jail/
  4. ls コマンドを使用して、ファイルが存在するかを確認します。 
        ls -lh /home/customactionuser/
  5.   chroot されたシェルにいる間 test.txt ファイルが表示されます。 
       chroot --userspec=customactionuser /opt/qradar/bin/ca_jail/  $ ls /home/customactionuser/  test.txt?
    結果
     test.txt ファイルは /home/customactionuser/ に存在する必要があります。サンプル・スクリプトの目的は、ルール応答がルールによってトリガーされるたびに test.txt を書き込むことです。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
15 August 2021

UID

ibm16208603

Page Feedback