Question & Answer
Question
SIM モデルをクリーニングする利点は何ですか?
Answer
SIM データ・モデルをクリーニングすることで、オフェンスが最新のルール、サーバー、ネットワーク階層に基づいていることを確認することができます。チューニング・プロセスの終了後に SIM データ・モデルをクリーニングすることで、IBM® QRadar® は更新されたルールで生成されたオフェンスのみを表示するようになります。
IBM QRadar® がオフェンスを生成しなくなった場合にも、SIM のクリーニングが必要になることがあります。例えば、オフェンスの作成と管理を行うプロセスである magistrate のトランザクションが破損しているためにオフェンスが生成されない場合があります。magistrate が破損したオフェンス・トランザクションを受信している場合、ecs-ep サービスを再起動しても問題を修正することはできません。したがって、SIM クリーンですべてのアクティブなオフェンスをクローズし、ecs-ep サービスとそのサブコンポーネント(magistrate を含む)を再起動します。
IBM QRadar® がオフェンスを生成しなくなった場合にも、SIM のクリーニングが必要になることがあります。例えば、オフェンスの作成と管理を行うプロセスである magistrate のトランザクションが破損しているためにオフェンスが生成されない場合があります。magistrate が破損したオフェンス・トランザクションを受信している場合、ecs-ep サービスを再起動しても問題を修正することはできません。したがって、SIM クリーンですべてのアクティブなオフェンスをクローズし、ecs-ep サービスとそのサブコンポーネント(magistrate を含む)を再起動します。
SIM クリーンは2種類あります:
1. ソフト・クリーン: すべてのオフェンスをクローズしますが、システムからは削除されません。処理が完了し、Web サーバーが完全に再起動されるまで、UI は使用できません。
2. ハード・クリーン: すべてのオフェンスをクローズし、システムから完全に消去します。処理が完了し、Web サーバーが完全に再起動されるまで、UI は使用できません。
現在、SIM クリーンは管理タブの UI で行います。しかし、IBM QRadar® の現在のバージョンでは、SIM クリーンを開始しても、プロセスが完了したときに何の通知も来ません。/var/log/qradar.log を検査することで、SIM クリーンが完了したタイミングと、プロセス中にエラーが発生した場合の両方を監視することができます。qradar.log に含まれるペイロードは、開始した SIM クリーンの種類によって異なる場合があります。
特に、SIM データ・モデルをクリーンアップする必要がある条件がいくつかあります:
- SIM モデルの肥大化によるオフェンスのパフォーマンスの低下。SIM から要素を選択的にパージする方法はないため、パフォーマンスを回復する唯一のオプションは、ハード SIM クリーンで既存のオフェンスをパージすることです。
- オフェンス更新の処理中にエラーが発生すると、復元操作にソフト・クリーンまたはハード・クリーンが必要になる場合があります。
注: SIM クリーニングが必要な場合は、必ずテクニカル・サポートに連絡して、必要な処置を決定することをお勧めします。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwthAAA","label":"Offenses"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
13 June 2023
UID
ibm16984943