IBM Support

QRadar: Office 365 に「 Unable to start a content subscription 」というエラーが表示される事象について

Troubleshooting


Problem

 Office 365 に接続しようとすると、次のようなメッセージが表示されます。

 Unable to start a content subscription.  Terminating query thread for [Audit.SharePoint]
 Unable to start a content subscription.  Terminating query thread for [Audit.Exchange]
 Access token error

Resolving The Problem

  1. Office 365 の DSM およびプロトコルが、 FixCentral 上の最新バージョンであることを確認します。
  2. 「 Automatically Acquire Server Certificate(s) 」(サーバー証明書の自動取得)オプションが UI から削除され、現在はプロトコルが証明書を検証する方法が異なっているため、証明書のコピーは必要ありません。
  3. ログ・ソースを「無効」にして、再度「有効」に切り替えます。 http エラー 400 または 500 を受信した場合、それらのエラーは Azure の Office 365 アカウントに関連しています。
アクセス・トークンの取得、またはトークンを手動で取得できるかをチェックするには、以下のコマンドを実行します。
  1. アクセス・トークンを取得するには、次のコマンドを入力します:
    curl -d "client_secret=<client secret>&resource=https://manage.office.com&client_id=<client id>&grant_type=client_credentials" -X POST https://login.windows.net/<tenant id>/oauth2/token
  2. サブスクリプション・タイプを停止するには、次のコマンドを入力します:
    curl -d "" -H "Authorization: Bearer (access token)" -X POST https://manage.office.com/api/v1.0/<tenant id>/activity/feed/subscriptions/stop?contentType=Audit.AzureActiveDirectory
  3. サブスクリプションが停止した後、次のコマンドを実行してサブスクリプションを開始します。
    curl -d "" -H "Authorization: Bearer <access token>" -X POST https://manage.office.com/api/v1.0/<tenantid>/activity/feed/subscriptions/start?contentType=Audit.AzureActiveDirectory
  4. 以下のコマンドを使用して QRadar にイベントを再取得します。
    curl -d "" -H "Authorization: Bearer <access token>" -X GET https://manage.office.com/api/v1.0/<tenant id>/activity/feed/subscriptions/content?contentType=Audit.AzureActiveDirectory

    以下のエラーが表示された場合、 Client Secret の期限切れが原因です。
     
    {"error":"invalid_client","error_description":"Example0002: Error validating credentials. Example0012: Invalid client secret is provided
  5. Microsoft から新しい Client Secret を入手してください。

Document Location

Worldwide

Qradar に関する情報は以下のリンクからも確認できますのでご参照ください。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"DSMs","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
08 January 2021

UID

ibm10959141

Page Feedback