Qradar Anomaly Detection Engine — Sürekli Event 53750006 Logunun Gelmesi Problemi
Qradar Anomaly Detection Engine üzerinde Event Name: Event 53750006 , QID : 53750006 olan bir log oluşmakta ve bu logun süreklilik arz etmesi sebebi ile de EPS aşımları yaşanmaktaydı. ( 1 saatte 900k Event oluşuyordu)
Durum incelenirken Log Source kısmında “Anomaly Detection Engine-2 :: qradar-console” kaynağınının da hata verdiği gözlemlendir
Yapılan incelemeler sonrasında Anomaly Detection kuralını tetikleyen kurallar disable edildi ancak sorunun devam ettiği gözlemlendi.
Bunun üzerine IBM’e case açıldı ve gelen çözüm önerileri ve süreç aşağıdaki gibi ilerledi.
Anomaly kategorisinde yer alan ama gelen logda yer almayan iki kural Disable konumuna alındı.
- Potential DoS Attack via Web Server Response Time
- Generated CRE Rule For AD Rule Potential DoS Attack via Web Server Response Time
Bu iki kuralın Disable edilmesi sorunu çözmedi.
Sorun çözülmediği için aşağıdaki komutun CLI üzerinde çalıştırılması istendi.
- psql -U qradar -c “select * from global_views where data_type=’SENTRY’ and deleted=’f’;”
Bu çıktı Case mühendisine iletildikten sonra aşağıdaki iki komutun çalıştırılması
pg_dump -U qradar -t global_views > global_views.sql
psql -U qradar -c “update global_views set deleted=’t’ where id =’5′;”
systemctl stop tomcat
systemctl restart hostcontext
systemctl start tomcat
[root@qradar ~]# pg_dump -U qradar -t global_views > global_views.sql
[root@qradar ~]# psql -U qradar -c “update global_views set deleted=’t’ where id =’5′;”
UPDATE 1
[root@qradar ~]# systemctl stop tomcat
[root@qradar ~]# systemctl status tomcat
● tomcat.service — Apache Tomcat
Loaded: loaded (/usr/lib/systemd/system/tomcat.service; enabled; vendor prese t: disabled)
Drop-In: /etc/systemd/system/tomcat.service.d
└─ulimit.conf
Active: failed (Result: exit-code) since Wed 2022–02–16 14:54:30 +03; 15s ago
Process: 13855 ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java -Dcatalina.base=${ CATALINA_BASE} -Dcatalina.home=${CATALINA_HOME} -Djava.security.auth.login.confi g=/opt/tomcat/conf/jaas.config -Djavax.servlet.request.encoding=UTF-8 -Djava.uti l.logging.config.file=${CATALINA_BASE}/conf/logging.properties -Djava.util.loggi ng.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=${CATALINA _BASE}/endorsed -Xcompressedrefs -classpath /opt/tomcat/bin/bootstrap.jar:/opt/t omcat/bin/tomcat-juli.jar:/opt/tomcat/bin/commons-daemon.jar -Xss1024k -Xgcpolic y:gencon -Xgcthreads4 -Xbootclasspath/p:/opt/qradar/jars/cxf/woodstox-core-asl-4 .4.1.jar:/opt/qradar/jars/cxf/woodstox-core-5.0.3.jar:/opt/qradar/jars/cxf/stax2 -api-3.1.4.jar $MEM_OPTS $JOPTS $DUMPOPTS $REMOTE_DEBUG_OPTS -Dcom.q1labs.framew orks.jmx.port=${JMXPORT} org.apache.catalina.startup.Bootstrap start (code=exite d, status=143)
Main PID: 13855 (code=exited, status=143)
Feb 16 14:54:29 qradar tomcat[13855]: java.util.Time…
Feb 16 14:54:29 qradar tomcat[13855]: 16-Feb-2022 14…
Feb 16 14:54:29 qradar tomcat[13855]: sun.misc.Unsaf…
Feb 16 14:54:29 qradar tomcat[13855]: java.util.conc…
Feb 16 14:54:29 qradar tomcat[13855]: java.util.conc…
Feb 16 14:54:29 qradar tomcat[13855]: java.util.conc…
Feb 16 14:54:30 qradar systemd[1]: tomcat.service: m…
Feb 16 14:54:30 qradar systemd[1]: Stopped Apache To…
Feb 16 14:54:30 qradar systemd[1]: Unit tomcat.servi…
Feb 16 14:54:30 qradar systemd[1]: tomcat.service fa…
Hint: Some lines were ellipsized, use -l to show in full.
[root@qradar ~]# systemctl restart hostcontext
[root@qradar ~]# systemctl start tomcat
Önerilen adımların hepsi uygulandıktan sonra Anomaly Detection Engine tarafından oluşturulan logların akışının kesildiği gözlemlendi.
Bununla birlikte Log Source kısmı da control edildiğinde “Anomaly Detection Engine-2 :: qradar” kaynağının durumunun da “Ok” olarak düzeldiği gözlemlendi.