Introducción
Este documento describe cómo resolver los errores del módulo SecureX para la integración de Secure Network Analytics.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Consola de Secure Network Analytics (SNA)
- Su implementación de Secure Network Analytics genera eventos de seguridad y alarmas según lo esperado
- La consola SNA debe poder conectarse de forma saliente a las nubes de Cisco:
- América del Norte nubes
api-sse.cisco.com |
port 443 |
visibility.amp.cisco.com |
port 443 |
securex.us.security.cisco.com |
port 443 |
-
- nubes UE
api.eu.sse.itd.cisco.com |
port 443 |
visibility.eu.amp.cisco.com |
port 443 |
securex.eu.security.cisco.com |
port 443 |
- Asia (APJC) nubes
api.eu.sse.itd.cisco.com |
port 443 |
visibility.apjc.amp.cisco.com |
port 443 |
securex.apjc.security.cisco.com |
port 443 |
- Su SNA está registrado en Smart Licensing. Vaya a Administración central > Licencias inteligentes, como se muestra en la imagen:
- Se recomienda utilizar la misma cuenta inteligente/cuenta virtual que utiliza para el producto SecureX
- Tiene una cuenta para acceder a SecureX. Para utilizar SecureX y las herramientas asociadas, debe tener una cuenta en la nube regional que utilice
Nota: si usted o su organización ya tienen cuentas en su nube regional, utilice la cuenta que ya existe. No cree uno nuevo.
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software:
- Consola de Cisco Security Services Exchange (SSE)
- Secure Network Analytics v7.2.1 o posterior
- Consola SecureX
Nota: la cuenta de cada consola debe tener derechos de administrador para poder realizar un cambio.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Cisco SecureX es la plataforma de la nube de Cisco que le ayuda a detectar, investigar, analizar y responder a las amenazas y utilizar los datos agregados de varios productos y fuentes. Esta integración le permite realizar estas tareas en Secure Network Analytics (anteriormente StealthWatch):
- Utilice los cuadros de Secure Network Analytics (mostrados como StealthWatch) en SecureX panel para supervisar las métricas operativas clave
- Utilice el menú SecureX para cambiar a su otra solución de seguridad de Cisco y a la de terceros integraciones
- Proporcionar acceso a la cinta de SecureX
- Envíe alarmas de Secure Network Analytics a la respuesta ante amenazas de Cisco SecureX (anteriormente, Cisco Threat Response) Private Intelligence Store
- Permitir que SecureX solicite eventos de seguridad de Secure Network Analytics para mejorar el contexto de la investigación en flujos de trabajo de respuesta ante amenazas
Consulte la última guía de integración de SecureX y Secure Network Analytics aquí.
Errores del módulo Secure Network Analytics
Este documento ayuda a resolver problemas de cualquiera de estos mensajes de error en Secure Network Analytics Integration Module:
"Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"
"There was an unexpected error in the module"
Métodos de inicio de sesión CLI SNA
Existen dos funciones de usuario para iniciar sesión a través de SSH en SNA CLI
Debe iniciar sesión a través de SSH con la dirección IP del dispositivo y la función de usuario Root. (Tiene acciones limitadas como función de usuario Sysadmin)
Troubleshoot
Nota: El troubleshooting mencionado en este documento debe ser realizado y supervisado por un ingeniero del TAC de Cisco. Abra un caso para obtener la asistencia adecuada del equipo de asistencia del TAC de Cisco.
Reinicie los servicios SSE y CTR
Paso 1. Si SecureX SNA Module desencadena cualquiera de los mensajes de error, inicie sesión a través de SSH en el dispositivo SNA como usuario raíz.
Paso 2. Ejecute los siguientes comandos para reiniciar los servicios sse-connector y ctr-integration:
docker restart svc-sse-connector
docker restart svc-ctr-integration
Paso 3. Ejecute este comando para verificar el estado de los servicios:
docker ps
Los servicios deben mostrar el estado UP (también, puede ver los cambios de tiempo de estado cuando se inicia o reinicia el servicio), como se muestra en la imagen:
Paso 4. Actualice los mosaicos del módulo SNA en el portal SecureX; el panel comenzará a mostrar los datos SNA adecuados.
Configure el FQDN del SMC
Si el reinicio de los servicios sse-connector y ctr-integration no resuelve el problema, navegue hasta la ubicación /lancope/var/logs/container y ejecute este comando:
cat the svc-sse-connector.log
Verifique si recibe este mensaje de error en los registros:
docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
;MsgID:
] HTTP command [/ctr/health] with cmdID [
] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"
Si la línea existe, debe editar el archivo docker-compose.yml para corregir este error.
Paso 1. Navegue por la ruta /lancope/manifiests/ y localice el archivo docker-compose.yml, como se muestra en la imagen:
Paso 2. Ejecute este comando para editar el archivo docker-compose.yml:
cat docker-compose.yml
Puede utilizar su método preferido para editarlo (Nano o Vim) para buscar los detalles del conector sse del contenedor, como se muestra en la imagen:
Paso 3. Navegue hasta la línea SPRING_OPTS y agregue la siguiente línea de comandos:
--context.custom.service.relay=smc_hostname
El smc_hostname es el FQDN de su SNA, como se muestra en la imagen:
Paso 4. Guarde el nuevo cambio y ejecute este comando:
docker-compose up -d sse-connector
Vuelve a crear el archivo docker-compose.yml con los detalles de SNA adecuados, la salida debe mostrar el estado done, como se muestra en la imagen:
Verificación
Desde el portal SecureX, verifique que el dispositivo SNA esté registrado correctamente y que el módulo no tenga problemas, como se muestra en la imagen:
Actualice los mosaicos del módulo SNA, el panel comenzará a mostrar los datos SNA adecuados, como se muestra en la imagen:
Información Relacionada