Troubleshooting
Problem
ダッシュボード上の Forensic Kit 機能でエンドポイント上の データを収集する際、時間がかかる、あるいは「生成中( Generating )」の状態のままであるように見えます。基本的な Forensic Kit の場合は約 5 分、高度な Forensic Kit の場合は約 15 分かかりますが、この想定される時間よりも長くかかる場合があります。
Symptom
ダッシュボード上でエンドポイントを表示する際に、Forensics Kit の Status で長時間 「生成中( Generating )」が表示されたままになる場合があります。
Cause
Forensics Kit によってデータを収集する場合は、エンドポイントがオンラインであることと、ダッシュボード(サーバー)に接続できている必要があります。エンドポイントがダッシュボードに接続できていない場合、収集に必要なスクリプトを実行することができません。エンドポイントが再びオンラインになるまでの間は「生成中( Generating )」の状態で表示され続け、データの収集は完了しません。
Environment
QRadar EDR 3.x.x
Windows Agents 3.x.x
Windows Agents 3.x.x
Resolving The Problem
この動作に関しては仕様であり、収集が完了するまでの間、ステータスの表示は「生成中( Generating )」のままになります。しかしながら、エンドポイントがオフラインの場合にステータスが単に「生成中( Generating )」と表示されるのは管理者にとって不明瞭であるため、この動作は既知事象として将来のバージョンで改善される予定です。
また、エンドポイントがオンライン(収集が行われた)の場合、ダッシュボード上の Threat Hunt で「 Powershell 」イベントを検索することで、スクリプトが実行されていることを確認できます。
エンドポイントのオンライン後にデータの収集が完了し、Forensics Kit のデータは 1 日間だけサーバーに保管され、ダウンロードできるようになります。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSAAA2","label":"Administrative Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
22 June 2023
UID
ibm17005487