QRadar : assetprofiler サービスを無効化および再有効化する方法

How To

Summary

QRadar アセット・プロファイラーは、イベントおよびフローからアセットを自動的に作成します。管理者は、アセットを自動作成せずに手動でアセットを管理することができます。

Steps

注 : アセット・プロファイル情報は、他の機能の中でも特に誤検知を減らすための相関目的のために使用されます。アセット・プロファイラーを無効にすると、オフェンスを支援する機能が無効になります。これは高度な手順です。手順が不明な場合や、アセット・プロファイラーを無効にした場合の影響について懸念がある場合は、サポート・フォーラムで質問するか、このテクニカル・ノートにフィードバックを報告してください。

アセットの自動作成を無効にする方法

QRadar でのアセット作成を無効にするには、assetprofiler サービスを停止し、assetprofiler.service ファイルを更新して Java アセットをロードしないようにし、スリープ関数を追加する必要があります。これは高度な手順であり、ほとんどの管理者が完了することは想定されていません。この手順では、アイデンティティー・イベントからの新しいアセットの作成とアセットの更新を無効にします。

SSH を使用し、 QRadar コンソールに root ユーザーとしてログインします。
ファイルをバックアップするディレクトリーを作成します :
```
mkdir -pv /store/IBM_Support/7010017
```

assetprofiler.service ファイルをバックアップします :

cp -pv /usr/lib/systemd/system/assetprofiler.service /store/IBM_Support/7010017/assetprofiler.service.original

次のコマンドを入力して、assetprofiler サービスの自動再起動を無効にします :
```
/opt/qradar/systemd/bin/manual.sh assetprofiler enable
```
アセットプロファイラーを停止するには、次のコマンドを入力します :
```
systemctl stop assetprofiler
```
vi で /usr/lib/systemd/system/assetprofiler.service ファイルを編集します。

アセットの作成を無効にするには :

ハッシュ記号 ( # ) を追加して、ファイル内の ExecStart 行をコメントアウトします :
編集前
```
ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
```
編集後
```
#ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
```

次の行をファイルの最後に追加します :

ExecStart=/usr/bin/sleep 100000000000000000000000

注 : ファイルにはその他の変更を加えないでください。手順 7a と 7b を完了すると、ファイルは次のように表示されます :

[Unit]
Description=Asset Profiler Service
After=network.target

[Service]
SyslogIdentifier=assetprofiler
StandardOutput=syslog
StandardError=syslog
SyslogFacility=local0
SyslogLevel=warning
EnvironmentFile=-/etc/default/assetprofiler.env
ExecStartPre=/opt/qradar/systemd/bin/generate_environment.sh assetprofiler
#ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
$JOPTS \
-classpath ${CLASSPATH} \
$GC_OPTS \
$MEM_OPTS \
$DUMPOPTS \
$REMOTE_DEBUG_OPTS \
$RMI_GC_FIX_OPTS \
-Dcom.q1labs.frameworks.jmx.port=${JMXPORT} \
com.q1labs.assetprofile.AssetProfilerDaemon
ExecStart=/usr/bin/sleep 100000000000000000000000

変更を保存するには、Esc キーを押して次のコマンドを入力します :
```
:wq
```
変更を有効にするには、systemd ユニット・ファイルをリロードします :
```
systemctl daemon-reload
```
次のコマンドを入力して、assetprofiler サービスが自動的に開始されることを確認します :
```
/opt/qradar/systemd/bin/manual.sh assetprofiler disable
```
手動で assetprofiler サービスを開始します :
```
systemctl start assetprofiler
```
結果
アセット・プロファイラー・サービスはアクティブのままですが、アセットは自動的に作成されません。

アセットの作成を有効にする方法

この問題を解決するには、assetprofiler サービスを停止し、assprofiler.service ファイルの値を編集して、管理者によって以前に無効化されていたアセット作成を再度有効にする必要があります。

SSH を使用し、 QRadar コンソールに root ユーザーとしてログインします。

assetprofiler.service ファイルをバックアップします :

cp -pv /usr/lib/systemd/system/assetprofiler.service /store/IBM_Support/7010017/assetprofiler.service.updated

次のコマンドを実行し、assetprofiler サービスが自動的に開始されないようにします :
```
/opt/qradar/systemd/bin/manual.sh assetprofiler enable
```
手動で assetprofiler サービスを停止します :
```
systemctl stop assetprofiler
```

vi で /usr/lib/systemd/system/assetprofiler.service ファイルを編集し、加えられた変更を元に戻します。

ファイル中の ExecStart 行のハッシュ記号 ( # ) を削除します :
編集前
```
#ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
```
編集後
```
ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
```

ファイルの末尾から sleep 関数を削除します :

ExecStart=/usr/bin/sleep 100000000000000000000000

assetprofiler.service ファイルは、次のような元の構成に復元されます :

[Unit]
Description=Asset Profiler Service
After=network.target

[Service]
SyslogIdentifier=assetprofiler
StandardOutput=syslog
StandardError=syslog
SyslogFacility=local0
SyslogLevel=warning
EnvironmentFile=-/etc/default/assetprofiler.env
ExecStartPre=/opt/qradar/systemd/bin/generate_environment.sh assetprofiler
ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
$JOPTS \
-classpath ${CLASSPATH} \
$GC_OPTS \
$MEM_OPTS \
$DUMPOPTS \
$REMOTE_DEBUG_OPTS \
$RMI_GC_FIX_OPTS \
-Dcom.q1labs.frameworks.jmx.port=${JMXPORT} \
com.q1labs.assetprofile.AssetProfilerDaemon

変更を保存するには、Esc キーを押して次のコマンドを入力します :
```
:wq
```
変更を有効にするには、systemd ユニット・ファイルをリロードします :
```
systemctl daemon-reload
```
次のコマンドを入力して、assetprofiler サービスが自動的に開始されることを確認します :
```
/opt/qradar/systemd/bin/manual.sh assetprofiler disable
```
手動で assetprofiler サービスを開始します :
```
systemctl start assetprofiler
```
注 : hostcontext サービスを再起動すると、ホスト上で実行されている他の QRadar サービスにも影響します。詳細については、次の資料を参照してください : QRadar: Core services and the impact of restarting services
hostcontext サービスを再起動します :
```
systemctl restart hostcontext
```
結果
アセット・プロファイラー・サービスがアクティブになり、アセットが自動的に作成されます。コマンドラインの問題についてガイダンスが必要な場合は、ケースをオープンして、QRadar サポート・チームへお問合せするようお願いいたします。

Related Information

QRadar: Identity and how log source events update the Assets tab

QRadar: Hostcontext service and the impact of a service restart

Asset profiles

QRadar: How to disable and re-enable the assetprofiler service

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwu1AAA","label":"Assets"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.5.0"}]

Tips

QRadar : assetprofiler サービスを無効化および再有効化する方法

How To

Summary

Steps

アセットの自動作成を無効にする方法

アセットの作成を有効にする方法

Related Information

Document Location

Was this topic helpful?

Document Information

UID

Share your feedback

Need support?