How To
Summary
QRadar アセット・プロファイラーは、イベントおよびフローからアセットを自動的に作成します。管理者は、アセットを自動作成せずに手動でアセットを管理することができます。
Steps
注 : アセット・プロファイル情報は、他の機能の中でも特に誤検知を減らすための相関目的のために使用されます。アセット・プロファイラーを無効にすると、オフェンスを支援する機能が無効になります。これは高度な手順です。手順が不明な場合や、アセット・プロファイラーを無効にした場合の影響について懸念がある場合は、サポート・フォーラムで質問するか、このテクニカル・ノートにフィードバックを報告してください。
アセットの自動作成を無効にする方法
QRadar でのアセット作成を無効にするには、assetprofiler サービスを停止し、assetprofiler.service ファイルを更新して Java アセットをロードしないようにし、スリープ関数を追加する必要があります。 これは高度な手順であり、ほとんどの管理者が完了することは想定されていません。 この手順では、アイデンティティー・イベントからの新しいアセットの作成とアセットの更新を無効にします。
- SSH を使用し、 QRadar コンソールに root ユーザーとしてログインします。
- ファイルをバックアップするディレクトリーを作成します :
mkdir -pv /store/IBM_Support/7010017
- assetprofiler.service ファイルをバックアップします :
cp -pv /usr/lib/systemd/system/assetprofiler.service /store/IBM_Support/7010017/assetprofiler.service.original
- 次のコマンドを入力して、assetprofiler サービスの自動再起動を無効にします :
/opt/qradar/systemd/bin/manual.sh assetprofiler enable
- アセットプロファイラーを停止するには、次のコマンドを入力します :
systemctl stop assetprofiler
- vi で /usr/lib/systemd/system/assetprofiler.service ファイルを編集します。
- アセットの作成を無効にするには :
- ハッシュ記号 ( # ) を追加して、ファイル内の ExecStart 行をコメントアウトします :
編集前ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
#ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
- 次の行をファイルの最後に追加します :
ExecStart=/usr/bin/sleep 100000000000000000000000
[Unit] Description=Asset Profiler Service After=network.target [Service] SyslogIdentifier=assetprofiler StandardOutput=syslog StandardError=syslog SyslogFacility=local0 SyslogLevel=warning EnvironmentFile=-/etc/default/assetprofiler.env ExecStartPre=/opt/qradar/systemd/bin/generate_environment.sh assetprofiler #ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \ $JOPTS \ -classpath ${CLASSPATH} \ $GC_OPTS \ $MEM_OPTS \ $DUMPOPTS \ $REMOTE_DEBUG_OPTS \ $RMI_GC_FIX_OPTS \ -Dcom.q1labs.frameworks.jmx.port=${JMXPORT} \ com.q1labs.assetprofile.AssetProfilerDaemon ExecStart=/usr/bin/sleep 100000000000000000000000
- ハッシュ記号 ( # ) を追加して、ファイル内の ExecStart 行をコメントアウトします :
- 変更を保存するには、Esc キーを押して次のコマンドを入力します :
:wq
- 変更を有効にするには、systemd ユニット・ファイルをリロードします :
systemctl daemon-reload
- 次のコマンドを入力して、assetprofiler サービスが自動的に開始されることを確認します :
/opt/qradar/systemd/bin/manual.sh assetprofiler disable
- 手動で assetprofiler サービスを開始します :
systemctl start assetprofiler
アセット・プロファイラー・サービスはアクティブのままですが、アセットは自動的に作成されません。
アセットの作成を有効にする方法
この問題を解決するには、assetprofiler サービスを停止し、assprofiler.service ファイルの値を編集して、管理者によって以前に無効化されていたアセット作成を再度有効にする必要があります。
- SSH を使用し、 QRadar コンソールに root ユーザーとしてログインします。
- assetprofiler.service ファイルをバックアップします :
cp -pv /usr/lib/systemd/system/assetprofiler.service /store/IBM_Support/7010017/assetprofiler.service.updated
- 次のコマンドを実行し、assetprofiler サービスが自動的に開始されないようにします :
/opt/qradar/systemd/bin/manual.sh assetprofiler enable
- 手動で assetprofiler サービスを停止します :
systemctl stop assetprofiler
- vi で /usr/lib/systemd/system/assetprofiler.service ファイルを編集し、加えられた変更を元に戻します。
- ファイル中の ExecStart 行のハッシュ記号 ( # ) を削除します :
編集前#ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \
- ファイルの末尾から sleep 関数を削除します :
ExecStart=/usr/bin/sleep 100000000000000000000000
[Unit] Description=Asset Profiler Service After=network.target [Service] SyslogIdentifier=assetprofiler StandardOutput=syslog StandardError=syslog SyslogFacility=local0 SyslogLevel=warning EnvironmentFile=-/etc/default/assetprofiler.env ExecStartPre=/opt/qradar/systemd/bin/generate_environment.sh assetprofiler ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java \ $JOPTS \ -classpath ${CLASSPATH} \ $GC_OPTS \ $MEM_OPTS \ $DUMPOPTS \ $REMOTE_DEBUG_OPTS \ $RMI_GC_FIX_OPTS \ -Dcom.q1labs.frameworks.jmx.port=${JMXPORT} \ com.q1labs.assetprofile.AssetProfilerDaemon
- ファイル中の ExecStart 行のハッシュ記号 ( # ) を削除します :
- 変更を保存するには、Esc キーを押して次のコマンドを入力します :
:wq
- 変更を有効にするには、systemd ユニット・ファイルをリロードします :
systemctl daemon-reload
- 次のコマンドを入力して、assetprofiler サービスが自動的に開始されることを確認します :
/opt/qradar/systemd/bin/manual.sh assetprofiler disable
- 手動で assetprofiler サービスを開始します :
systemctl start assetprofiler
hostcontext
サービスを再起動します :systemctl restart hostcontext
結果
アセット・プロファイラー・サービスがアクティブになり、アセットが自動的に作成されます。 コマンドラインの問題についてガイダンスが必要な場合は、ケースをオープンして、QRadar サポート・チームへお問合せするようお願いいたします。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwu1AAA","label":"Assets"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.5.0"}]
Was this topic helpful?
Document Information
Modified date:
26 November 2023
UID
ibm17016538