Troubleshooting
Problem
IBM QRadar Networck Security - IQNS (XGS) を SiteProtector に登録後、IQNS の IPS イベント検知が停止した。
Symptom
IQNS の SiteProtector への登録後、LMI や SiteProtector の分析ビューにて新たな IPS イベントが表示されていません。
Cause
無効な IPS 共有オブジェクト・ポリシーが SiteProtector から IQNS にプッシュされることにより発生します。
Resolving The Problem
特定の環境において SiteProtector は IPS 共有オブジェクト・ポリシーのスキーマ・バージョンを 2.0 から 2.1 への変換に失敗することが確認されました。同事象が発生した場合、 IPS 共有オブジェクト・ポリシーには IPS モジュールの動作を停止する原因となる無効な値が含まれます。
無効な値が含まれるIPS 共有オブジェクト・ポリシーがプッシュされた際には、IQNS のメッセージ・ファイルから以下のようなエラーが確認できます。
ポリシー内の無効な値を確認するには、SiteProtector から XML ファイルをエクスポートする必要があります。
無効な値の例
正常な値の例
TrustXForceSignatures = 'true' は 2_0 スキーマにおいては正常な値です。2_1 ではポリシーが変更されており none、moderate、aggressive、paranoid の設定のいずれかが受け入れられます。
以下の手順にて修正いただけます。
無効な値が含まれるIPS 共有オブジェクト・ポリシーがプッシュされた際には、IQNS のメッセージ・ファイルから以下のようなエラーが確認できます。
Aug 7 14:51:51 alpsd[32509]: Error: Invalid security mode value ips.xforce.object.
ポリシー内の無効な値を確認するには、SiteProtector から XML ファイルをエクスポートする必要があります。
無効な値の例
<IpsObject Comment='X-Force Recommended IPS Policy.' Enabled='true' Name='Default IPS' ObjType='ips' TrustXForceBlocking='true'
TrustXForceSignatures='true'
'Current' UUID='16df2767-81b7-428b-b1d3-b86ea9d59e1a'>
正常な値の例
<IpsObject Comment='X-Force Recommended IPS Policy.' Enabled='true' Name='Default IPS' ObjType='ips' TrustXForceBlocking='true'
TrustXForceSignatures='moderate'
'Current' UUID='16df2767-81b7-428b-b1d3-b86ea9d59e1a'>
TrustXForceSignatures = 'true' は 2_0 スキーマにおいては正常な値です。2_1 ではポリシーが変更されており none、moderate、aggressive、paranoid の設定のいずれかが受け入れられます。
以下の手順にて修正いただけます。
- SiteProtector からポリシーをエクスポートします。
- XML ファイルの true を moderate、aggressive、paranoid のいずれかに変更します。
注: もし false の場合は,none に変更します。 - 修正した XML ファイルをインポートし、IQNS に適用します。
Related Information
[{"Product":{"code":"SSFSVP","label":"IBM QRadar Network Security"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Intrusion Prevention Module (IPM)","Platform":[{"code":"PF009","label":"Firmware"}],"Version":"5.4","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}},{"Product":{"code":"SSHLHV","label":"IBM Security Network Protection"},"Business Unit":{"code":"BU008","label":"Security"},"Component":"Intrusion Prevention Module (IPM)","Platform":[{"code":"PF009","label":"Firmware"}],"Version":"5.3.1;5.3.2;5.3.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
24 January 2021
UID
ibm10878226