IBM Support

QRadar: 無効なトークンが原因でアプリケーションがロードされない

Troubleshooting


Problem

QRadar アプリケーションが 「 SEC: token 」エラーや汎用エラーでロードできない、またはエラーなしでUIが空白になってしまいます。QRadar on Cloud ( QRoC ) アプリケーションを新規に設定してもロードされない、または管理トークンが要求され、セキュリティ管理トークンを提供した後でも機能しません。

Symptom

トークンが欠落していると、アプリケーションによって異なる UI エラーが発生することがあります。 User Behavior Analytics ( UBA ) では、ユーザーがルールを編集したり、特定のユーザーのイベントを表示したりするまで、UI がエラーなしでロードされ、通常どおり表示されることがあります。 「データのロード中にエラーが発生しました」、「要求に SEC ヘッダーがありません」、「ルールの取得に失敗しました」などのエラーが表示されることがあります。 Use Case Manager ( UCM ) では、UI がロードされず、「使用可能な許可サービス・トークンがありません」または「ルールを表示するための十分な権限がありません」というエラーが報告されます。 その他のアプリケーションでは、UI のロードに失敗して、一般的なエラー「 403 」、または空白画面が表示されることがあります。

Cause

一部のアプリケーションでは、操作にadmin : admin レベルのトークンが必要で、security admin auth tokenで設定するとエラーが返されることがあります。これらのアプリケーションを設定する際、トークンを要求されますが、QRoC ユーザーはこのレベルのトークンを作成する権限を持っていないため混乱することがあります。この場合QRoC ユーザーは、サポートに連絡する必要があります。QRadar RESTful API を使用して作成できる許可サービス・トークンは、これらのアプリケーションを実行するのに十分ではありません。
以下のアプリケーションには、admin : admin レベルのトークンが必要です。
  • QRadar Advisor with Watson (Requires admin token in addition to Sec Admin or profile user requests token)
  • QRadar Assistant App
  • QRadar Deployment Intelligence
  • Incident Overview
  • Use Case Manager
  • IBM QRadar DNS Analyzer
  • QRadar Operations
  • IOC Tracker
  • Threat Intelligence
  • User Behavior Analytics
  • Forwarding from Splunk
  • Resilient Systems (SOAR) (QRoC Ready)
  • Recorded Future
  • Cloud Visibility
  • Event and Flow Exporter
  • IBM QRadar SOAR plug-in
  • Network Threat Analytics

Diagnosing The Problem

関連するエラーについては、アプリケーションのログを確認してください。
  1. CLI または QRadar UI を使用して、アプリケーションのログを収集します
  2. アプリケーションのログ・ファイルに移動します。複数のアプリケーションをインストールしている場合、ディレクトリー名の APP NAME でアプリケーションを特定することができます。パスはアプリケーションによって異なりますが、一般的に以下の命名規則に従っています。
    /app-framework/console/qapp-[APP ID]-[APP NAME]/store/docker/volumes/qapp-[APP ID]/log/app.log
    /app-framework/console/qapp-[APP ID]-[APP NAME]/store/docker/volumes/qapp-[APP ID]/log/app[DATE].log
  3. ログで「 SEC: token 」に関連するエラーを検索します。

    結果
    「SEC: token」を含むエラーが見つかった場合は、Resolving the Problem に進みます。
    User Behavior Analytics からのエラーの例 : 
    [MainThread] [INFO] [APP_ID:2804] [NOT:0000006000] Did not receive 200 when loading reference table "UBA : Rule Data" - 401, No SEC header present in request. Please provide it via "SEC: token". You may also use BASIC authentication parameters if this host supports it. e.g. "Authorization: Basic base64Encoding"
[MainThread] [WARNING] [APP_ID:2804] [NOT:0000004000] Error during bulk loading reference table UBA : Rule Data: {'http_response':
{'code': 401, 'message': 'You are unauthorized to access the requested resource.'} , 'code': 18, 'description': '', 'details': {}, 'message': 'No SEC header present in request. Please provide it via "SEC: token". You may also use BASIC authentication parameters if this host supports it. e.g. "Authorization: Basic base64Encoding"'}
    Use Case Manager からのエラーの例 : 
    error: getRuleGroups_impl - Failed to get rule groups: No SEC header present in request. Please provide it via "SEC: token". You may also use BASIC authentication parameters if this host supports it. e.g. "Authorization: Basic base64Encoding" {
  message: 'No SEC header present in request. Please provide it via "SEC: token". You may also use BASIC authentication parameters if this host supports it. e.g. "Authorization: Basic base64Encoding"'

Resolving The Problem

QRoC のユーザーは、サポートに連絡して、正しいレベルのトークンを作成し、添付してもらう必要があります。その他の QRadar ユーザーは、以下の手順に従ってください。
始める前に
  1. 管理者として QRadar UI にログインします。
  2. 管理」タブで、「ユーザー管理」セクションの「許可サービス」をクリックします。
  3. 有効期限が切れていないトークンがアプリケーションに存在しないことを確認してください。 デフォルトの命名規則では、トークンは「 Use Case Manager 」などのアプリケーションにちなんで命名されます。
  4. トークンが存在し、有効期限が切れておらず、その値が保存されている場合は、再利用できます。 値を保存していない場合は、再使用できません。
    重要 : トークンを削除するのは、それらが他のアプリケーションやサービスによって使用されていないことを確認した場合のみにしてください。 有効期限が切れたトークンは安全に削除できます。
  5. セキュリティー・プロファイル (Security Profile) を管理者 (Admin) 、ユーザー・ロール (User Role) を管理者 (Admin) として新しいトークンを作成し、トークンの値を記録します。トークンには、関連するアプリケーションの名前を付けることをお勧めします。
    注 : 同じトークンを異なるアプリケーション間で使用できますが、アプリケーション構成手順では、ユーザーがアプリケーションごとに 1 つのトークンを作成することを推奨しています。

    結果
    この手順では、この新しいトークンをアプリケーションに付加しようとします。
手順
  1. QRadar UI でアプリケーションを開き、保存したトークンを入力するよう促されないことを確認します。表示された場合は、トークンを入力し、アプリケーションが動作することを確認します。
  2. UI がトークンを要求しない場合は、アプリケーション設定に移動します。 User Behavior Analytics などの一部のアプリケーションではトークンの変更が許可されますが、Use Case Manager などのアプリケーションでは許可されません。
    UBA のトークン設定 :
    注 : この設定では、「有効な許可サービス・トークンが現在保存されています」と記述されていますが、この状況では保存されていません。
    UBA token settings

    結果
    トークンをアプリケーションに追加するための設定を特定できない場合は、サポートに連絡して、手動でトークンを追加してください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
27 December 2022

UID

ibm16843085

Page Feedback