Yanlış güvenlik algısı, hiç güvenlik olmamasından daha kötüdür!!!

Qradar Anomaly Detection Engine – Sürekli Event 53750006 Logunun Gelmesi Problemi

Qradar Anomaly Detection Engine üzerinde Event Name: Event 53750006 , QID : 53750006 olan bir log oluşmakta ve bu logun süreklilik arz etmesi sebebi ile de EPS aşımları yaşanmaktaydı. ( 1 saatte 900k Event oluşuyordu)

Durum incelenirken Log Source kısmında “Anomaly Detection Engine-2 :: qradar-console” kaynağınının da hata verdiği gözlemlendir

Yapılan incelemeler sonrasında Anomaly Detection kuralını tetikleyen kurallar disable edildi ancak sorunun devam ettiği gözlemlendi.

Bunun üzerine IBM’e case açıldı ve gelen çözüm önerileri ve süreç aşağıdaki gibi ilerledi.

Anomaly kategorisinde yer alan ama gelen logda yer almayan iki kural Disable konumuna alındı.

  • Potential DoS Attack via Web Server Response Time
  • Generated CRE Rule For AD Rule Potential DoS Attack via Web Server Response Time

Bu iki kuralın Disable edilmesi sorunu çözmedi.

Sorun çözülmediği için aşağıdaki komutun CLI üzerinde çalıştırılması istendi.

  • psql -U qradar -c “select * from global_views where data_type=’SENTRY’ and deleted=’f’;”

Bu çıktı Case mühendisine iletildikten sonra aşağıdaki iki komutun çalıştırılması

pg_dump -U qradar -t global_views > global_views.sql

psql -U qradar -c “update global_views set deleted=’t’ where id =’5′;”

systemctl stop tomcat

systemctl restart hostcontext

systemctl start tomcat

[[email protected] ~]# pg_dump -U qradar -t global_views > global_views.sql

[[email protected] ~]# psql -U qradar -c “update global_views set deleted=’t’ where id =’5′;”

UPDATE 1

[[email protected] ~]# systemctl stop tomcat

[[email protected] ~]# systemctl status tomcat

● tomcat.service – Apache Tomcat

Loaded: loaded (/usr/lib/systemd/system/tomcat.service; enabled; vendor prese t: disabled)

Drop-In: /etc/systemd/system/tomcat.service.d

└─ulimit.conf

Active: failed (Result: exit-code) since Wed 2022-02-16 14:54:30 +03; 15s ago

Process: 13855 ExecStart=/usr/bin/env ${JAVA_HOME}/bin/java -Dcatalina.base=${ CATALINA_BASE} -Dcatalina.home=${CATALINA_HOME} -Djava.security.auth.login.confi g=/opt/tomcat/conf/jaas.config -Djavax.servlet.request.encoding=UTF-8 -Djava.uti l.logging.config.file=${CATALINA_BASE}/conf/logging.properties -Djava.util.loggi ng.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=${CATALINA _BASE}/endorsed -Xcompressedrefs -classpath /opt/tomcat/bin/bootstrap.jar:/opt/t omcat/bin/tomcat-juli.jar:/opt/tomcat/bin/commons-daemon.jar -Xss1024k -Xgcpolic y:gencon -Xgcthreads4 -Xbootclasspath/p:/opt/qradar/jars/cxf/woodstox-core-asl-4 .4.1.jar:/opt/qradar/jars/cxf/woodstox-core-5.0.3.jar:/opt/qradar/jars/cxf/stax2 -api-3.1.4.jar $MEM_OPTS $JOPTS $DUMPOPTS $REMOTE_DEBUG_OPTS -Dcom.q1labs.framew orks.jmx.port=${JMXPORT} org.apache.catalina.startup.Bootstrap start (code=exite d, status=143)

Main PID: 13855 (code=exited, status=143)

Feb 16 14:54:29 qradar tomcat[13855]: java.util.Time…

Feb 16 14:54:29 qradar tomcat[13855]: 16-Feb-2022 14…

Feb 16 14:54:29 qradar tomcat[13855]: sun.misc.Unsaf…

Feb 16 14:54:29 qradar tomcat[13855]: java.util.conc…

Feb 16 14:54:29 qradar tomcat[13855]: java.util.conc…

Feb 16 14:54:29 qradar tomcat[13855]: java.util.conc…

Feb 16 14:54:30 qradar systemd[1]: tomcat.service: m…

Feb 16 14:54:30 qradar systemd[1]: Stopped Apache To…

Feb 16 14:54:30 qradar systemd[1]: Unit tomcat.servi…

Feb 16 14:54:30 qradar systemd[1]: tomcat.service fa…

Hint: Some lines were ellipsized, use -l to show in full.

[[email protected] ~]# systemctl restart hostcontext

[[email protected] ~]# systemctl start tomcat

Önerilen adımların hepsi uygulandıktan sonra Anomaly Detection Engine tarafından oluşturulan logların akışının kesildiği gözlemlendi.

Bununla birlikte Log Source kısmı da control edildiğinde “Anomaly Detection Engine-2 :: qradar” kaynağının durumunun da “Ok” olarak düzeldiği gözlemlendi.