Segurança : "Sistema de monitoramento de segurança, análise e resposta da Cisco"

CS-MARS: Pesquisando defeitos Technotes

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve as mensagens de erro no Security Monitoring, Analysis and Response System (CS-MARS) da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na versão segura 4.2x/5.2x de Cisco MARTE.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Mensagem de Erro ao adicionar um dispositivo

Problema

Este Mensagem de Erro aparece em CS-MARS quando você tenta adicionar um dispositivo tal como Cisco IOS roteador ou interruptor:

ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

http://www.cisco.com/c/dam/en/us/support/docs/security/security-monitoring-analysis-response-system/99790-CSMARSSSH-01.gif

Solução

Use esta solução a fim resolver o problema.

A causa para este Mensagem de Erro é devido a uma chave do 512-bit que seja gerada por um roteador (dispositivo), mas MARTE espera um 1024-bit ou uma chave mais alta.

A fim resolver esta edição, coloque a zero a chave e gerencia uma chave 1024-bit no roteador:

Router#config terminal
Router(config)#crypto key zeroize rsa 
Router(config)#crypto key generate rsa general-keys modulus 1024

aviso aviso: Cisco recomenda que você usa pares de chaves etiquetados em vez dos pares de chave padrão porque colocar a zero dos pares de chave padrão pode conduzir à terminação de túnel VPN. Pode igualmente afetar os dados do Certificate Authority (CA) que confiam em seus chaves padrões, por exemplo:

Router(config)#crypto key generate rsa general-keys label sshkey modulus 1024 exportable
Router(config)#ip ssh rsa keypair-name sshkey

Refira a referência de comandos do Cisco IOS Security para mais informação.

A tela vazia do PNF-acima aparece quando o dispositivo for adicionado

Problema

Quando você tenta adicionar um dispositivo no CS-MARS, uma tela vazia do PNF-acima aparece. Isto ocorre somente quando você usa o navegador da versão do Internet Explorer 7.

Solução

Este é um problema conhecido com versão do Internet Explorer 7, e a tela vazia do PNF-acima não tem nenhum impacto na funcionalidade. Você pode fechar a tela em branco e continuar a adicionar dispositivos. Versão do Internet Explorer 6 ou algum outro navegador para evitar a edição vazia da tela do PNF-acima.

MARTE deixa cair regras

Problema

Depois que você promove da versão 6.0.2 à 6.0.3, parece que as regras da gota estão ignoradas.

Solução

Atualize seu MARTE com a liberação 6.0.3 da correção de programa (3188) (csmars-6.0.3.3190-customerpatch.zip) a fim corrigir os problemas potenciais com regras da gota.

Integração CS MARTE — Edição transversal do lançamento

Problema

Você recebe este Mensagem de Erro: Um erro interno ocorreu. Feche por favor todas as janelas de navegador e assegure-se de que o dispositivo específico esteja adicionado e submetido no Cisco Security Manager (o CS)

Solução

Este problema ocorre quando os alertas que estão gerados dos Firewall usam nomes, não endereços IP de Um ou Mais Servidores Cisco ICM NT, e a integração CS MARTE não apoiam os alertas do Firewall que usam nomes.

A fim resolver esta edição, emita o comando no names no Firewall permitir a característica transversal do lançamento para todos os alertas do Firewall.

NFS que arquiva o trabalho

Problema

Você pôde receber “o erro inválido do IP remoto ou do trajeto” quando arquivos NFS.

Solução

A fim resolver a edição, mude o nível de privilégio no server do indicador ou reinicie os serviços.

Consulte para configurar o servidor de NFS em Windows para obter mais informações sobre de como configurar o NFS. Consulte para permitir o registro de eventos NFS para obter mais informações sobre de como permitir o registro.

Base de dados Oracle corrompido

Problema

Você pôde receber este Mensagem de Erro se seu base de dados Oracle é corrompido:

Abortado programa devido a: ORA-01034: ORACLE não disponível

ORA-27101: o reino da memória compartilhada não existe

Erro de Linux: 2: No Such File or Directory (mensagem de erro)

Solução

A fim resolver esta edição, criar nova imagem o dispositivo de MARTE. Para obter mais informações sobre de como criar nova imagem MARTE, refira criar nova imagem um controlador local.

Incapaz de adicionar o dispositivo com um arquivo de seed

Problema

Quando você tenta adicionar um dispositivo com um arquivo de seed no CS-MARS, este Mensagem de Erro aparece:

Status: Errors occured while retrieving csv file from ftp server.

Solução

Isto ocorre quando o arquivo de seed não salvar no formato do Comma Separated Value (CSV). Você deve salvar o arquivo de seed como um arquivo CSV verdadeiro. Não salvar o arquivo como um arquivo de Microsoft Excel (arquivo .xls); MARTE não pode interpretar um arquivo formatado Microsoft Excel .xls e pendurará quando transferir arquivos pela rede os dados da semente. CS-MARS precisa estes dados sob a forma de um arquivo verdadeiro do Comma Separated Value. Consulte para adicionar o relatório e dispositivos múltiplos da mitigação usando um arquivo de seed para obter mais informações sobre de como estabelecer um arquivo de seed.

Incapaz de conectar ao dispositivo

Problema

Você pôde receber este erro quando você é incapaz de alcançar um 3550 Switch de MARTE:

spawn ssh -c 3des -l marssys 10.15.110.16 
The authenticity of host '10.15.110.16 (10.15.110.16)' can't be established. 
RSA key fingerprint is ca:d6:ca:2c:ea:09:d6:2c:e2:78:d5:97:b6:f6:de:a5. 
Are you sure you want to continue connecting (yes/no)? yes 
Failed to add the host to the list of known hosts
(/opt/janus/release/bin/.ssh/known_hosts). 
ssh_rsa_verify: n too small: 512 bits 
key_verify failed for server_host_key

Solução

Este erro ocorre se o ajuste do módulo na chave do ssh no interruptor é ajustado a 512; o valor deve ser mais alto.

Erro ao puxar logs de Windows

Problema

Quando você puxa logs da parte posterior, você pôde receber este erro: Linha 3075656624:winpull: erro repetido que puxa de 10.1.1.52, olhar no log backend para a informação completa do erro

Solução

Este erro ocorre quando os indicadores instruídos explicam usado para puxar log de eventos não têm os direitos para a conta de MARTE no server.

Regra do sistema: Dispositivo de relatório inativo CS-MARS

Problema

Marte relata esta regra:

Regra do sistema: Dispositivo de relatório inativo CS-MARS. E não recebeu Syslog.

Solução

Esta regra detecta os dispositivos de relatório que não relataram um evento nas últimas horas. Para dispositivos tagarelas, tais como Firewall e IDS, este erro pode indicar os problemas de conectividade ou uma edição com o dispositivo próprios. Esta regra deve ser pena no escopo para incluir somente dispositivos tagarelas da infraestrutura de rede.

Erro dentro da exportação da configuração de dispositivo

Problema

Quando você tenta exportar a configuração de dispositivo, o processo parece ser executado, mas não há nenhum arquivo de configuração no servidor SFTP, apenas um dobrador vazio que o processo crie. Você pôde igualmente receber o erro: não salvar o arquivo à mensagem do host remoto.

Solução

Certifique-se da conta que você se usa tenha o acesso de gravação. Cisco recomenda que você usa o servidor SFTP de Cygwin em Windows.

O Cisco Security MARTE apoia servidores SFTP como uma mídia de armazenamento para arquivar ou migrar dados de 4.x a 6.0.1. Consulte para configurar o servidor SFTP de Cygwin em Windows para obter informações sobre de como configurar o Cygwin e o OpenSSH em Windows. Visa o servidor SFTP de Cygwin em Windows XP.

Incapaz de restaurar a senha em CS-MARS

Problema

Você é incapaz de restaurar a senha em CS-MARS.

Solução

Use o pnadmin como o nome de usuário e a senha. Se isto não trabalha, a única maneira de restaurar a senha em um sensor de MARTE é usar a recuperação DVD, que basicamente novas imagens o dispositivo. Certifique-se de você ter sua chave de licença escrita para baixo antes que você use a recuperação CD/DVD. Refira a recuperação de uma senha administrativa perdida para obter mais informações sobre de como restaurar a senha em CS-MARS.

O controlador local não faz sincronização corretamente com controlador global

Problema

O controlador local (LC) não sincroniza corretamente com o controlador global (GC).

Solução

Certifique-se de que o LC e o GC têm a mesma assinatura. O LC e o GC devem ter a mesma assinatura para que sincronizem sem nenhumas edições.

Erro ao importar a configuração da versão 4.3.6 à 6.0.2 em CS-MARS

Problema

Você pôde receber a importação da configuração falhada com código de erro: erro 111 quando você importar uma configuração da versão 4.3.6 à 6.0.2 em CS-MARS.

Solução

A configuração pode ser importada da versão 4.3.6 CS-MARS à versão 6.0.1 somente; não pode ser importada a 6.0.2. A fim resolver esta edição, importe a configuração de 4.3.6 a 6.0.1 e criar nova imagem então CS-MARS a 6.0.2.

Erro ao importar a configuração da versão 6.0.4 CS-MARS

Problema

Você pôde receber o erro: nenhum arquivo de configuração encontrado. Esta ferramenta apoia somente a importação do arquivo de configuração gerado pela liberação 4.3.1 ou por mais tarde à excecpção das liberações 5.x.x. erro quando você importar uma configuração da versão 4.x à 6.0.4 em CS-MARS.

Solução

A configuração pode ser importada da versão 4.x CS-MARS à versão 6.0.1 somente; não pode ser importada a 6.0.2. A fim resolver esta edição, importe a configuração de 4.x a 6.0.1 e criar nova imagem então CS-MARS a 6.0.4.

Refira dados da migração do Cisco Security MARTE 4.x a 6.0.X para obter mais informações sobre da migração de CS-MARS.

Erro: Erro de configuração: o nome de host não combina janus.conf:: janusBoxName.

Problema

Você pôde receber este erro depois que você promove CS-MARS:

Erro: Erro de configuração: o nome de host não combina janus.conf:: janusBoxName. Contacte por favor Cisco para o apoio.

Solução

Este erro é devido à identificação de bug Cisco CSCsh82939 (clientes registrados somente). A fim evitar esta edição no futuro é recomenda mudar o hostname ao hostname original que executa pelo contrário o pnrestore no padrão novo “hostname” depois que criar nova imagem e antes do pnrestore,

A importação da configuração falha da versão 6.0.1(2990) à versão de linha principal 6.0.3(3188) em CS-MARS

Problema

Você pôde receber este erro quando você importa uma configuração da versão 6.0.1 à 6.0.3 em CS-MARS:

File gen_or_06_0_13.sql missing from schema.
Configuration import failed with error code: 1
Configrestore failed!
Error: failed to import config data

Solução

Se você usa o pnexp e o pnimp comanda, a configuração está suportada e restaurada somente à mesma versão de MARTE. A única exceção está migrando da versão 4.x à versão 6.0.1; este procedimento não trabalha migrando da versão 6.0.1 à versão 6.0.3.

Você deve nova imagem MARTE com a versão 6.0.1 original outra vez (a versão de que você executou previamente o comando do pnexp), configuração da restauração com pnimp, e para terminar então duas elevações sequenciais com a utilidade do pnupgrade: 6.0.1 a 6.0.2 e então 6.0.2 a 6.0.3.

Nota: Os dados restauram de um modelo maior a um modelo menor de CS-MARS não são apoiados. Por exemplo, você não pode restaurar dados de Marte 100 aos 50 pés de MARTE.

Incapaz de configurar alertas do email em MARTE para todo o VERMELHO do nível de seriedade ordena

Problema

Você é incapaz de configurar alertas do email em MARTE para todas as regras do VERMELHO do nível de seriedade.

Solução

Não é possível configurar alertas do email para todas as regras VERMELHAS do nível de seriedade em uma etapa. Você deve configurar alertas do email em uma base da por-regra. Crie uma regulamentação aduaneira (> Add das regras), e escolha então alguns para todos os parâmetros exceto a severidade. Para o parâmetro da severidade, escolha o VERMELHO, e ajuste uma ação para enviar por correio eletrónico para configurar alertas do email em MARTE para todas as regras do VERMELHO do nível de seriedade. Consulte para configurar uma regra para enviar uma ação alerta para mais informação.

Para mais informação, refira a identificação de bug Cisco CSCse89349 (clientes registrados somente).

Característica da atualização de assinatura de MARTE a auto não trabalha

Problema

A auto característica da atualização de assinatura em MARTE não trabalha se você usa um proxy ou o proxy/servidor de cahing a fim alcançar o Internet. Você pôde receber este Mensagem de Erro durante a auto atualização de assinatura: incapaz de conectar ao server, verifique por favor a URL, o nome de usuário e a senha

Solução

MARTE é incapaz de transferir atualizações de assinatura dinâmicas IPS se você usa um proxy ou o proxy/servidor de cahing para alcançar o Internet. Se você usa um proxy/servidor de cahing, você pode manualmente transferir os arquivos de atualização de assinatura desta URL: http://www.cisco.com/cgi-bin/tablebuild.pl/mars-ips-sigup (clientes registrados somente). Refira ajustes da atualização dinâmica da assinatura IPS para obter mais informações sobre das auto atualizações de assinatura em MARTE.

Tipo de evento do dispositivo desconhecido

Problema

CS-MARS relata este erro durante uma atualização de assinatura mais alta: Tipo de evento do dispositivo desconhecido

Solução

CS-MARS tem uma atualização de assinatura mais alta do que os sensores; nenhuma edição na análise gramatical deve elevarar. Contudo, se o sensor tem uma atualização de assinatura mais alta do que CS-MARS, CS-MARS pôde gerar um erro do tipo de evento do dispositivo desconhecido porque o CS-MARS não pode diretamente analisar gramaticalmente as assinaturas mais novas; os dados de evento crus ainda estam presente. Deve haver um impacto no desempenho aos mensagens de evento NON-descript da parte externa CS-MARS potencialmente.

Nota: As assinaturas feitas sob encomenda são categorizadas como do “eventos do tipo de evento dispositivo desconhecido” em CS-MARS; contudo, funções da consulta da assinatura como esperado.

Incapaz de configurar MARTE para o Netflow

Problema

Você encontra edições depois que você configura MARTE para o Netflow.

Solução

O Netflow é uma tecnologia de Cisco que apoie o tráfego de rede da monitoração e é apoiado em todas as imagens IOS Cisco básicas. MARTE recolhe o Netflow que é enviado do dispositivo de relatório, e fornece vários níveis da funcionalidade (dependente de se você o armazena ao base de dados). Se armazenado, o Netflow pode ser perguntado, e você pode ter relatórios, regras, e incidentes para ele. Refira compreendendo a detecção de anomalia do Netflow para obter mais informações sobre de como configurar MARTE para o Netflow e de como trabalhos do Netflow. Igualmente refira Taskflow configurando o evento de segurança do Netflow que registra (NSEL) em MARTE para mais detalhes na configuração Netflow.

CS-MARS relata destinos múltiplos como a porta 0

Problema

CS-MARS relata destinos múltiplos como a porta 0. A porta do destino é 0, e às vezes o endereço IP de destino é 0.0.0.0.

Solução

Este é comportamento previsto CS-MARS desde que alguns tipos de evento de dispositivos de relatório relatam portas ou endereços IP de Um ou Mais Servidores Cisco ICM NT de destino múltiplo. MARTE consolida simplesmente esta informação em um único valor (0). Se você é referido sobre os dados relatados a MARTE que provocou este comportamento, você pode executar todo o tipo de mensagens bruta de harmonização pergunta dos eventos contra uns ou vários dos dispositivos de relatório que provocaram este comportamento a fim ver a informação que foi relatada a MARTE, que inclui as portas ou os endereços IP de Um ou Mais Servidores Cisco ICM NT múltiplos da designação. Todos os mensagens bruta de harmonização dos eventos com eventos crus indicam campos do ID do evento, do tipo de evento, do tempo, do dispositivo de relatório, e do mensagem bruta.

Os eventos CS-MARS relatam a fonte como a porta 0 de 0.0.0.0

Problema

CS-MARS tem os eventos de alguns eventos que relatam a fonte como a porta 0 de 0.0.0.0.

Solução

Em CS-MARS, o endereço IP 0.0.0.0 significa que não há nenhuma informação para este campo. Esta é uma convenção usada dentro de CS-MARS. Os endereços IP de Um ou Mais Servidores Cisco ICM NT e as portas de 0.0.0.0 e 0 aparecem respectivamente em dois casos:

  1. Aqueles que não foram especificadas no Syslog

  2. Aqueles que têm os valores múltiplos (2 ou mais IPs ou as portas)

abortado programa devido a: ORA-01033: Inicialização ou parada programada do Oracle em andamento.

Problema

Este erro ocorre quando você tenta começar ou parar o serviço com os comandos do pnstart ou do pnstop no CLI em CS-MARS:

abortado programa devido a: ORA-01033: Inicialização ou parada programada do Oracle em andamento.

Este Mensagem de Erro indica que o base de dados causou um crash.

Solução

Este erro pode ser resolved se você criar nova imagem o CS-MARS seguido pela importação da configuração.

Incapaz de suportar somente a configuração em CS-MARS

Problema

Você é incapaz de suportar a configuração de dispositivo sem dados em CS-MARS.

Solução

Você pode arquivar dados de um dispositivo de MARTE e usar esses dados para restaurar o operating system (OS), ajustes da configuração de sistema, dados dinâmicos (dados de evento), ou o sistema completo. Os arquivos do dispositivo e os dados das restaurações a e de um sistema externo do network attached storage (NAS) com o protocolo do Network File System (NFS). Depois que você arquiva todos os dados e configurações de dispositivo, restaure somente a informação de configuração de dispositivo de modo que somente a configuração de dispositivo seja restaurada. Refira backup de dados configurando e de execução do dispositivo para obter mais informações sobre do backup de dados do dispositivo em CS-MARS.

Promova o software com DVD

Problema

Você é incapaz de promover a imagem com o DVD em CS-MARS.

Solução

CS-MARS não reconhece o DVD como uma imagem de recuperação. A fim resolver a edição, queime o CD na velocidade 4x. Refira a transferência e a queimadura de uma recuperação DVD para obter mais informações sobre da elevação de software de ferramenta com o DVD em CS-MARS.

Incapaz de executar o comando do raidstatus

Problema

Você é incapaz de executar o comando do raidstatus em CS-MARS.

Solução

CS-MARS não apoia o comando do raidstatus nos modelos mais baixo da gama - 20 ou 50 pés. Somente para os modelos 100, 100E, e 200 são este comando apoiado.

IP desconhecido do dispositivo de relatório

Problema

Os dispositivos relatam como IP desconhecido do dispositivo de relatório no sistema de MARTE.

Solução

Este problema é devido aos dados de evento das etiquetas CS-MARS desde que é recebido baseou no endereço IP de origem de que veio, e então executa uma consulta em sua configuração (que combina o endereço IP de origem a um dispositivo de relatório configurado). Se nenhum fósforo é encontrado, o dispositivo está etiquetado como “o IP desconhecido do dispositivo de relatório,” que significa que o usuário não configurou MARTE para reconhecer todas as exigências para que MARTE possa analisar gramaticalmente/compreende dados de evento, tais como o tipo de dispositivo do endereço IP de Um ou Mais Servidores Cisco ICM NT e da versão de software/código que executa.

A fim verificar, note o endereço IP de Um ou Mais Servidores Cisco ICM NT ou os endereços na pergunta, e navegue a > segurança da instalação ADMIN > de sistema e monitore a página dos dispositivos no MARTE GUI. Verifique que o mesmos endereço IP de Um ou Mais Servidores Cisco ICM NT ou endereços não estão listado. Uma vez que verificado, adicionar um dispositivo de relatório apropriado (e cada outro dispositivo de rede que mostra como o desconhecido) a fim corrigir esta edição.

Erro recebido ao transferir o pacote da atualização em CS-MARS

Problema

Você pôde receber este erro quando você transfere o pacote da atualização em CS-MARS:

A lista do pacote do cisco.com \ n um erro ocorreu quando cisco.com de acesso: Um erro ocorreu cisco.com de acesso. Código de erro: ERR_INTERNAL

Solução

Este erro ocorre quando acesso externo completo a origin-www.cisco.com (através de HTTPS/443) e software-sj.cisco.com (através de HTTP/80) não é configurado no Firewall. A fim resolver esta edição, certifique-se que o Firewall (se presente) está configurado a fim permitir o acesso externo completo a origin-www.cisco.com (através de HTTPS/443) e a software-sj.cisco.com (através de HTTP/80).

Incapaz de adicionar um FWSM em CS-MARS

Problema

Você é incapaz de adicionar um FWSM em CS-MARS.

Solução

Antes que você possa adicionar um módulo FWSM em um interruptor, você deve adicionar e configurar o módulo baixo (o switch Cisco) em MARTE. Refira configurar dispositivos de firewall de Cisco para mais informação.

NTLMv2 não trabalha com CS-MARS

Problema

Você é incapaz de usar NTLMv2 com CS-MARS.

Solução

NTLMv2 não é apoiado em CS-MARS; consequentemente, você é incapaz de usar NTLMv2 com CS-MARS.

CS-MARS causa um crash com do “o mensagem do console do pânico 5" núcleo

Problema

CS-MARS causa um crash com a mensagem do pânico 5 do núcleo no console. A mensagem inclui esta informação: Linha fatal 62385072:Exiting CET ./csips o processo como OUT_OF_MEMORY retornou pela ONDA. o superV reiniciará o processo.

Solução

Geralmente, esta edição é considerada junto com um uso da memória alta no dispositivo CS-MARS. Executar um comando mostrar a informação do inventário do sistema pode provocar esta edição. Para mais informação, refira a identificação de bug Cisco CSCsm40349 (clientes registrados somente).

Erro em CS-MARS durante a bota acima

Problema

Você pôde receber este erro quando CS-MARS carreg acima:

INCONSISTÊNCIA INESPERADA DE /dev/hda2; EXECUTE o fsck MANUALMENTE.

Solução

Criar nova imagem o dispositivo CS-MARS a fim resolver esta edição. Você pode igualmente tentar executar manualmente o fsck antes que você criar nova imagem o dispositivo.

Refira criar nova imagem um controlador local para obter mais informações sobre de como criar nova imagem o dispositivo CS-MARS.

Erro em CS-MARS durante a upgrade de dispositivo

Problema

Você pôde receber este erro quando você promove csmars-6.0.2.2102.30 a csmars-6.0.3.3188.32:

[Error][check_dependency/541]: version(6.0.2.3102.31) permitido mínimo > corrente version(6.0.2.3102.30)

Solução

Este erro pôde ocorrer se a versão dos dados não foi atualizada corretamente durante uma elevação da versão anterior.

A fim resolver esta edição, execute a elevação a 6.0.2 do CLI. A elevação da versão de software é saltada, mas a upgrade de versão dos dados é executada. Você pode então promover à versão 6.0.3.

Verifique sua versão atual com o comando CLI da versão

Consulte para promover do CLI para obter mais informações sobre de como promover o dispositivo CS-MARS.

A navegação de MARTE GUI é lenta após a elevação de 5.x a 6.0(4)

Problema

Você pôde experimentar problemas de desempenho com o MARTE GUI depois que você promove 5.3.1 a 6.0.

Solução

Elevação à versão 6.0.6 a fim resolver esta edição.

Os relatórios não exportam para outros aplicativos

Problema

Você não pode exportar relatórios de MARTE em um formato apresentável, tal como PowerPoint, o PDF, a palavra, ou o Excel.

Solução

CS-MARS inclui a funcionalidade para exportar relatórios para outros aplicativos. CS-MARS apoia somente estes dois tipos de formatos para relatórios:

  • Comma-Separated Values (CSV)

  • HTML

Nota: Se você escolheu ver o relatório como um arquivo CSV, você precisa de salvar o arquivo a seu computador, e de abrir o arquivo CSV em um aplicativo de terceiros. Para mais informação, refira operações em relatórios existentes.


Informações Relacionadas


Document ID: 99790