Fehlerbehebung bei Fehlern des SecureX-Moduls für die Integration von sicheren Netzwerkanalysen (ehemals StealthWatch Enterprise)

Download-Optionen

  • PDF     (842.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (585.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (521.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. September 2022
Dokument-ID:215986

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Fehlerbehebung bei SecureX-Modulfehlern für die Integration von Secure Network Analytics beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Secure Network Analytics (SNA)-Konsole
    • Ihre Secure Network Analytics-Bereitstellung generiert erwartungsgemäß Sicherheitsereignisse und Alarme.
    • Die SNA-Konsole muss eine ausgehende Verbindung mit den Cisco Clouds herstellen können:
      • Nordamerika Clouds
        api-sse.cisco.com Port 443
        visibility.amp.cisco.com Port 443
        securex.us.security.cisco.com Port 443
      • EU-Clouds
        api.eu.sse.itd.cisco.com Port 443
        visibility.eu.amp.cisco.com Port 443
         securex.eu.security.cisco.com Port 443
      • Asien (APJC) Clouds
        api.eu.sse.itd.cisco.com Port 443
        visibility.apjc.amp.cisco.com Port 443
        securex.apjc.security.cisco.com Port 443
    • Ihre SNA ist in Smart Licensing registriert. Navigieren Sie zu Central Management > Smart Licensing, wie in der Abbildung dargestellt:

    smart license

    • Es wird empfohlen, denselben Smart Account/Virtual Account zu verwenden, den Sie für das SecureX-Produkt verwenden.
    • Sie haben ein Konto für den Zugriff auf SecureX. Um SecureX und die zugehörigen Tools verwenden zu können, benötigen Sie ein Konto in der regionalen Cloud, die Sie verwenden.

    Hinweis: Wenn Sie oder Ihr Unternehmen bereits über Konten in Ihrer regionalen Cloud verfügen, verwenden Sie das bereits vorhandene Konto. Erstellen Sie keine neue.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • Cisco Security Services Exchange (SSE)-Konsole
    •  Secure Network Analytics v7.2.1 oder spätere Version
    • SecureX-Konsole

    Hinweis: Das Konto in jeder Konsole muss über Administratorrechte verfügen, um eine Änderung vornehmen zu können.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

    Hintergrundinformationen

    Cisco SecureX ist die Plattform in der Cisco Cloud, mit der Sie Bedrohungen analysieren, darauf reagieren und die aus mehreren Produkten zusammengetragenen Daten nutzen und Quellen. Diese Integration ermöglicht Ihnen, diese Aufgaben in Secure Network Analytics (ehemals StealthWatch):

    • Verwenden Sie Secure Network Analytics-Kacheln (dargestellt als StealthWatch) auf SecureX. Dashboard zur Überwachung der wichtigsten Betriebskennzahlen
    • Wechseln Sie mithilfe des SecureX-Menüs zu Ihren anderen Cisco Security-Lösungen und zu Lösungen von Drittanbietern. Integrationen
    • Zugriff auf Ihre SecureX-Multifunktionsleiste
    • Senden von Warnmeldungen zu sicheren Netzwerkanalysen an die Cisco SecureX-Bedrohungsreaktion (ehemals Cisco Threat Response) Privater Informationsspeicher
    • SecureX kann Sicherheitsereignisse von Secure Network Analytics anfordern, um diese anzureichern den Untersuchungskontext in Threat-Response-Workflows

    Weitere Informationen finden Sie hier im aktuellen SecureX and Secure Network Analytics Integration Guide.

    Fehler des Moduls für sichere Netzwerkanalysen

    Dieses Dokument unterstützt Sie bei der Behebung einer dieser Fehlermeldungen auf dem Secure Network Analytics Integration Module:

    • Fehlerbeispiel #1
    "Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"
    • Fehlerbeispiel #2
    "There was an unexpected error in the module"

    SNA CLI-Anmeldemethoden

    Es gibt zwei Benutzerrollen für die Anmeldung über SSH bei der SNA-CLI.

    • Wurzel
    • Sysadmin

    Sie müssen sich über SSH mit der IP-Adresse des Geräts und der Root-Benutzerrolle anmelden. (Sie haben begrenzte Aktionen als Sysadmin-Benutzerrolle)

    Fehlerbehebung

    Hinweis: Die in diesem Dokument beschriebene Fehlerbehebung muss von einem Cisco TAC-Techniker durchgeführt und überwacht werden. Öffnen Sie ein Ticket, um die richtige Unterstützung vom Cisco TAC-Support-Team zu erhalten.

    SSE- und CTR-Services neu starten

    Schritt 1: Wenn das SecureX SNA-Modul eine der Fehlermeldungen auslöst, melden Sie sich über SSH beim SNA-Gerät als Root-Benutzer an.

    Schritt 2: Führen Sie die nächsten Befehle aus, um sse-connector und ctr-integration services neu zu starten:

    docker restart svc-sse-connector
docker restart svc-ctr-integration

    Schritt 3: Führen Sie diesen Befehl aus, um den Dienststatus zu überprüfen:

    docker ps

    Die Dienste müssen den UP-Status anzeigen (Sie können auch die Statuszeitänderungen sehen, wenn der Dienst gestartet/neu gestartet wird), wie im Bild gezeigt:

    output 1

    Schritt 4: Aktualisieren Sie die Kacheln des SNA-Moduls im SecureX-Portal. Das Dashboard zeigt dann die richtigen SNA-Daten an.

    Konfigurieren des FQDN des SMC

    Wenn der Neustart von sse-connector und ctr-integration services das Problem nicht behebt, navigieren Sie zum Speicherort/lancope/var/logs/container und führen den folgenden Befehl aus:

    cat the svc-sse-connector.log

    Überprüfen Sie, ob die folgende Fehlermeldung in den Protokollen angezeigt wird:

    docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
     
     
       ;MsgID: 
      
        ] HTTP command [/ctr/health] with cmdID [ 
       
         ] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"

    Wenn die Zeile existiert, müssen Sie die Datei docker-compose.yml bearbeiten, um diesen Fehler zu beheben.

    Schritt 1: Navigieren Sie in /lancope/manifests/path, und suchen Sie die Datei docker-compose.yml, wie im Bild gezeigt:

    output 3

    Schritt 2: Führen Sie diesen Befehl aus, um die Datei docker-compose.yml zu bearbeiten:

     cat docker-compose.yml

    Sie können Ihre bevorzugte Methode verwenden, um sie zu bearbeiten (Nano oder Vim), um die Container-Sse-Connector-Details zu durchsuchen, wie im Bild gezeigt:

    output

    Schritt 3: Navigieren Sie zur Zeile SPRING_OPTS, und fügen Sie die nächste Befehlszeile hinzu:

    --context.custom.service.relay=smc_hostname

    Der smc_hostname ist der FQDN Ihrer SNA, wie im Bild gezeigt:

    output 2

    Schritt 4: Speichern Sie die neue Änderung, und führen Sie den folgenden Befehl aus:

    docker-compose up -d sse-connector

    Es stellt die Datei docker-compose.yml mit den richtigen SNA-Details wieder her. Die Ausgabe muss den Status done anzeigen, wie im Bild gezeigt:

    output 4

    Überprüfung

    Vergewissern Sie sich im SecureX-Portal, dass das SNA-Gerät ordnungsgemäß registriert ist und das Modul problemlos funktioniert, wie in der Abbildung gezeigt:

    integration

    Aktualisieren Sie die Kacheln des SNA-Moduls. Das Dashboard zeigt dann die richtigen SNA-Daten an, wie im Bild gezeigt:

    dashboard

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    30-Aug-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Javi Martinez
      Cisco TAC Engineer
    • Uriel Tadeo Montero
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.