Einleitung
In diesem Dokument wird die Fehlerbehebung bei SecureX-Modulfehlern für die Integration von Secure Network Analytics beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Secure Network Analytics (SNA)-Konsole
- Ihre Secure Network Analytics-Bereitstellung generiert erwartungsgemäß Sicherheitsereignisse und Alarme.
- Die SNA-Konsole muss eine ausgehende Verbindung mit den Cisco Clouds herstellen können:
- Nordamerika Clouds
api-sse.cisco.com |
Port 443 |
visibility.amp.cisco.com |
Port 443 |
securex.us.security.cisco.com |
Port 443 |
-
- EU-Clouds
api.eu.sse.itd.cisco.com |
Port 443 |
visibility.eu.amp.cisco.com |
Port 443 |
securex.eu.security.cisco.com |
Port 443 |
- Asien (APJC) Clouds
api.eu.sse.itd.cisco.com |
Port 443 |
visibility.apjc.amp.cisco.com |
Port 443 |
securex.apjc.security.cisco.com |
Port 443 |
- Ihre SNA ist in Smart Licensing registriert. Navigieren Sie zu Central Management > Smart Licensing, wie in der Abbildung dargestellt:
- Es wird empfohlen, denselben Smart Account/Virtual Account zu verwenden, den Sie für das SecureX-Produkt verwenden.
- Sie haben ein Konto für den Zugriff auf SecureX. Um SecureX und die zugehörigen Tools verwenden zu können, benötigen Sie ein Konto in der regionalen Cloud, die Sie verwenden.
Hinweis: Wenn Sie oder Ihr Unternehmen bereits über Konten in Ihrer regionalen Cloud verfügen, verwenden Sie das bereits vorhandene Konto. Erstellen Sie keine neue.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
- Cisco Security Services Exchange (SSE)-Konsole
- Secure Network Analytics v7.2.1 oder spätere Version
- SecureX-Konsole
Hinweis: Das Konto in jeder Konsole muss über Administratorrechte verfügen, um eine Änderung vornehmen zu können.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.
Hintergrundinformationen
Cisco SecureX ist die Plattform in der Cisco Cloud, mit der Sie Bedrohungen analysieren, darauf reagieren und die aus mehreren Produkten zusammengetragenen Daten nutzen und Quellen. Diese Integration ermöglicht Ihnen, diese Aufgaben in Secure Network Analytics (ehemals StealthWatch):
- Verwenden Sie Secure Network Analytics-Kacheln (dargestellt als StealthWatch) auf SecureX. Dashboard zur Überwachung der wichtigsten Betriebskennzahlen
- Wechseln Sie mithilfe des SecureX-Menüs zu Ihren anderen Cisco Security-Lösungen und zu Lösungen von Drittanbietern. Integrationen
- Zugriff auf Ihre SecureX-Multifunktionsleiste
- Senden von Warnmeldungen zu sicheren Netzwerkanalysen an die Cisco SecureX-Bedrohungsreaktion (ehemals Cisco Threat Response) Privater Informationsspeicher
- SecureX kann Sicherheitsereignisse von Secure Network Analytics anfordern, um diese anzureichern den Untersuchungskontext in Threat-Response-Workflows
Weitere Informationen finden Sie hier im aktuellen SecureX and Secure Network Analytics Integration Guide.
Fehler des Moduls für sichere Netzwerkanalysen
Dieses Dokument unterstützt Sie bei der Behebung einer dieser Fehlermeldungen auf dem Secure Network Analytics Integration Module:
"Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"
"There was an unexpected error in the module"
SNA CLI-Anmeldemethoden
Es gibt zwei Benutzerrollen für die Anmeldung über SSH bei der SNA-CLI.
Sie müssen sich über SSH mit der IP-Adresse des Geräts und der Root-Benutzerrolle anmelden. (Sie haben begrenzte Aktionen als Sysadmin-Benutzerrolle)
Fehlerbehebung
Hinweis: Die in diesem Dokument beschriebene Fehlerbehebung muss von einem Cisco TAC-Techniker durchgeführt und überwacht werden. Öffnen Sie ein Ticket, um die richtige Unterstützung vom Cisco TAC-Support-Team zu erhalten.
SSE- und CTR-Services neu starten
Schritt 1: Wenn das SecureX SNA-Modul eine der Fehlermeldungen auslöst, melden Sie sich über SSH beim SNA-Gerät als Root-Benutzer an.
Schritt 2: Führen Sie die nächsten Befehle aus, um sse-connector und ctr-integration services neu zu starten:
docker restart svc-sse-connector
docker restart svc-ctr-integration
Schritt 3: Führen Sie diesen Befehl aus, um den Dienststatus zu überprüfen:
docker ps
Die Dienste müssen den UP-Status anzeigen (Sie können auch die Statuszeitänderungen sehen, wenn der Dienst gestartet/neu gestartet wird), wie im Bild gezeigt:
Schritt 4: Aktualisieren Sie die Kacheln des SNA-Moduls im SecureX-Portal. Das Dashboard zeigt dann die richtigen SNA-Daten an.
Konfigurieren des FQDN des SMC
Wenn der Neustart von sse-connector und ctr-integration services das Problem nicht behebt, navigieren Sie zum Speicherort/lancope/var/logs/container und führen den folgenden Befehl aus:
cat the svc-sse-connector.log
Überprüfen Sie, ob die folgende Fehlermeldung in den Protokollen angezeigt wird:
docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
;MsgID:
] HTTP command [/ctr/health] with cmdID [
] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"
Wenn die Zeile existiert, müssen Sie die Datei docker-compose.yml bearbeiten, um diesen Fehler zu beheben.
Schritt 1: Navigieren Sie in /lancope/manifests/path, und suchen Sie die Datei docker-compose.yml, wie im Bild gezeigt:
Schritt 2: Führen Sie diesen Befehl aus, um die Datei docker-compose.yml zu bearbeiten:
cat docker-compose.yml
Sie können Ihre bevorzugte Methode verwenden, um sie zu bearbeiten (Nano oder Vim), um die Container-Sse-Connector-Details zu durchsuchen, wie im Bild gezeigt:
Schritt 3: Navigieren Sie zur Zeile SPRING_OPTS, und fügen Sie die nächste Befehlszeile hinzu:
--context.custom.service.relay=smc_hostname
Der smc_hostname ist der FQDN Ihrer SNA, wie im Bild gezeigt:
Schritt 4: Speichern Sie die neue Änderung, und führen Sie den folgenden Befehl aus:
docker-compose up -d sse-connector
Es stellt die Datei docker-compose.yml mit den richtigen SNA-Details wieder her. Die Ausgabe muss den Status done anzeigen, wie im Bild gezeigt:
Überprüfung
Vergewissern Sie sich im SecureX-Portal, dass das SNA-Gerät ordnungsgemäß registriert ist und das Modul problemlos funktioniert, wie in der Abbildung gezeigt:
Aktualisieren Sie die Kacheln des SNA-Moduls. Das Dashboard zeigt dann die richtigen SNA-Daten an, wie im Bild gezeigt:
Zugehörige Informationen