Einleitung
In diesem Dokument wird die Funktionsweise von Cache in SecureX-Kacheln beschrieben.
Sind die Informationen in SecureX Live Data?
Die Antwort auf diese Frage lautet Nein. Das liegt daran, dass in SecureX jede Integration und jede Kachel einem bestimmten Cache unterworfen ist.
Die Ablaufzeit variiert je nach Integration und Kachel selbst.
Sie können beispielsweise Secure Endpoint (CSE) und SecureX Integration verwenden.
Überprüfen Sie zunächst, ob die Integration gültig ist und funktioniert, und navigieren Sie dann zu Integration Modules > My Integration Modules
.
Suchen Sie nach dem Modul für sichere Endgeräte, und stellen Sie sicher, dass es integriert ist und keinen Fehler zeigt.
Integrationsprüfung
Lösen Sie dann ein Quarantäne-Ereignis in der CSE-Konsole aus.
Konsolenereignis
Navigieren Sie zurück zu SecureX, überprüfen Sie die Kachel, die Quarantines entspricht, und Sie können feststellen, dass keine Daten vorhanden sind.
SecureX ohne Daten
Wie in der Abbildung dargestellt, sind seit dem Auftreten des Ereignisses in der CSE-Konsole mindestens 2 Minuten vergangen.
Uhrzeit der Abfrage
Um besser zu verstehen, warum keine Daten in Ihrem Dashboard angezeigt werden, navigieren Sie zur Kachel Quarantänen, und klicken Sie auf ellipsis (...) > Information.
SecureX Quarantäne
Diese Informationen zeigen Ihnen den Valid_time-Wert, der für diese spezifische Kachel in SecureX fest codiert ist.
Navigieren Sie zu Daten, und erweitern Sie den Abschnitt valid_time.
API-Informationen
Unabhängig von der Zeit, die Sie abfragen, beträgt der Unterschied zwischen start_time und end_time immer 5 Minuten.
Beachten Sie, dass diese Differenz zwischen start_time und end_time von der Integration und der Kachel selbst abhängt.
Navigieren Sie zurück zu SecureX, nachdem mindestens 5 Minuten vergangen sind, und jetzt können Sie das Ereignis sehen.
Quarantäne-Ereignis
Post-Cache-Zeit
Die Informationen werden automatisch aktualisiert. Wenn Sie jedoch weitere Informationen benötigen, können Sie während der Fehlerbehebungssitzung HTTP Archive Format (HAR)-Protokolle erfassen.
Hinweis: Es wird empfohlen, Persistent Har-Protokolle zu verwenden, sie wiegen mehr, aber überleben über Umleitungen und die Seite aktualisiert.
Wenn Sie HAR-Protokolle sammeln und öffnen, können Sie die Gültige Zeit für den Zeitpunkt des Ereignisses anzeigen und die Erkennungszeit in der Konsole für sichere Endpunkte und in SecureX korrelieren.
Gültige Zeit
Beachten Sie, dass start_time um 19:30:00 Uhr UTC ist. Wenn das Ereignis in der Konsole "Sicheres Endgerät" angezeigt wird, fand die Quarantäne um 19:31:20 UTC statt.
Wenn Sie jedoch in SecureX nach den Informationen suchen (um ca. 19:33:26 UTC/13:33:26 CST), ist end_time noch nicht fertig, sodass der Cache noch nicht abgelaufen ist.
Sie können jedoch sehen, dass die Telemetrie an SecureX gesendet wurde.
API-Informationen
In den HAR-Protokollen wird angezeigt, dass der Cache abläuft und eine neue Startzeit beginnt.
Hinweis: In den API-Informationen von SecureX können Sie die verwendete URL sehen, sodass Sie Ihre HAR-Protokolle überprüfen und vergleichen können.
Beispiel für Cache-Ablauf
- Secure Client - Zusammenfassung des Computers: Fast sofort
- FMC - Veranstaltungsübersicht: 1 Minute
- SMA - Zusammenfassung eingehender Mails: 5 Minuten
- Umbrella - Sicherheitsbausteine nach Kategorie (Allgemein): 5 Minuten