Introducción
Este documento describe los diferentes estados de reserva de licencias.
Background
Cisco Global Threat Alerts (GTA) (anteriormente Cognitive Intelligence) detecta rápidamente el tráfico web sospechoso o los registros de flujo de Cisco Secure Network Analytics (anteriormente Stealthwatch) y responde a los intentos de establecer una presencia en su entorno y a los ataques que ya están en curso. Secure Network Analytics envía registros de flujo a la nube de alertas de amenazas globales para su análisis una vez que se ha habilitado en Secure Network Analytics. De forma predeterminada, las alertas de amenazas globales procesan los registros de flujo de Secure Network Analytics para el tráfico de grupos de hosts internos/externos y las solicitudes DNS. Puede especificar grupos host adicionales para supervisar el tráfico interno. Las alertas de amenazas globales también detectan patrones maliciosos en el tráfico cifrado mediante los análisis de tráfico cifrado de Cisco.
A menudo nos encontramos con casos en los que el widget GTA no se carga en el panel de seguridad de la red incluso después de habilitarlo desde la configuración externa, aquí hay algunos casos prácticos que describen su funcionalidad en función del tipo de licencia utilizado.
Situación 1: habilitar la función en todos los dispositivos necesarios (administrador principal y recopiladores de flujo)
GTA no funciona sin que todos los dispositivos necesarios tengan la función GTA activada en todos los gestores y Flow Collector aplicables. En Administración central, seleccione los puntos de acción (...) y, a continuación, Editar configuración del dispositivo. Seleccione la pestaña General y, a continuación, desplácese hasta External Services. Asegúrese de que la casilla Enable Global Threat Alerts esté marcada.
Situación 2: GTA funciona con la licencia de evaluación
Incluso si los dispositivos SNA se están ejecutando con el modo de evaluación de la licencia, la función GTA funciona correctamente y se pueden ver alertas en el panel.
Situación 3: GTA no funciona con el tipo de licencia PLR/SLR
Los modos PLR/SLR se utilizan para las redes con separación de aire. GTA depende del acceso a la nube para funcionar correctamente. GTA no funciona con el tipo de licencia PLR/SLR.
En el diagrama, esto se puede ver que después de reservar la reserva de licencia específica (SLR) para los appliances de laboratorio y reiniciar el SMC, el widget GTA desaparece. El archivo de registro "cta-smc.log" completo adjunto para la referencia.
La excepción "Registered_Reserved" en "/lancope/var/logs/container/cta-smc.log" se produce cuando falla el registro GTA para el dispositivo debido a PLR/SLR, como se muestra en la captura de pantalla.