Introduzione
In questo documento viene descritto come risolvere i problemi relativi agli errori del modulo SecureX per l'integrazione Secure Network Analytics.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Console Secure Network Analytics (SNA)
- La distribuzione di Secure Network Analytics genera eventi di sicurezza e allarmi come previsto
- La console SNA deve essere in grado di connettersi in uscita ai cloud Cisco:
- Nuvole in Nord America
api-sse.cisco.com |
porta 443 |
visibility.amp.cisco.com |
porta 443 |
securex.us.security.cisco.com |
porta 443 |
-
- Nuvole UE
api.eu.sse.itd.cisco.com |
porta 443 |
visibility.eu.amp.cisco.com |
porta 443 |
securex.eu.security.cisco.com |
porta 443 |
- Nuvole in Asia (APJC)
api.eu.sse.itd.cisco.com |
porta 443 |
visibility.apjc.amp.cisco.com |
porta 443 |
securex.apjc.security.cisco.com |
porta 443 |
- La SNA è registrata in Smart Licensing. Passare a Gestione centrale > Smart Licensing, come mostrato nell'immagine:
- Si consiglia di utilizzare lo stesso Smart Account/account virtuale utilizzato per il prodotto SecureX
- Si dispone di un account per accedere a SecureX. Per utilizzare SecureX e gli strumenti associati, è necessario disporre di un account nel cloud regionale utilizzato
Nota: se l'utente o l'organizzazione dispone già di account nel cloud regionale, utilizzare l'account già esistente. Non crearne uno nuovo.
Componenti usati
Le informazioni di questo documento si basano sulle seguenti versioni software:
- Console Cisco Security Services Exchange (SSE)
- Secure Network Analytics v7.2.1 o versioni successive
- Console SecureX
Nota: per eseguire una modifica, l'account in ogni console deve disporre di diritti di amministratore.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Cisco SecureX è la piattaforma del cloud Cisco che consente di rilevare, analizzare, analizzare e rispondere alle minacce e utilizzare i dati aggregati di più prodotti e fonti. Questa integrazione consente di eseguire queste attività in Secure Network Analytics (in precedenza Stealthwatch):
- Utilizza le tessere di Secure Network Analytics (visualizzate come Stealthwatch) su SecureX dashboard per monitorare le metriche operative chiave
- Utilizzare il menu SecureX per eseguire il pivot su altri prodotti Cisco Security e di terze parti integrazioni
- Accesso alla barra multifunzione SecureX
- Invia allarmi di analisi della rete sicura alla risposta alle minacce Cisco SecureX (in precedenza Cisco Threat Response) Archivio privato di intelligence
- Consenti a SecureX di richiedere eventi di protezione da Secure Network Analytics per l'arricchimento il contesto dell'indagine nei flussi di lavoro di risposta alle minacce
Fare riferimento alla più recente Guida all'integrazione di SecureX e Secure Network Analytics qui.
Errori del modulo Secure Network Analytics
Questo documento aiuta a risolvere i problemi relativi a uno di questi messaggi di errore nel modulo di integrazione Secure Network Analytics:
"Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"
"There was an unexpected error in the module"
Metodi di login alla SNA CLI
Per accedere tramite SSH alla CLI della SNA, è necessario avere due ruoli utente
È necessario eseguire l'accesso tramite SSH con l'indirizzo IP del dispositivo e il ruolo dell'utente root. (azioni limitate come ruolo utente Sysadmin)
Risoluzione dei problemi
Nota: la risoluzione dei problemi descritta in questo documento deve essere eseguita e supervisionata da un tecnico Cisco TAC. Apri una richiesta per ottenere l'assistenza appropriata dal team di supporto Cisco TAC.
Riavvia i servizi SSE e CTR
Passaggio 1. Se il modulo SNA SecureX genera uno dei messaggi di errore, eseguire il login tramite SSH al dispositivo SNA come utente root.
Passaggio 2. Eseguire i comandi successivi per riavviare i servizi sse-connector e ctr-integration:
docker restart svc-sse-connector
docker restart svc-ctr-integration
Passaggio 3. Eseguire questo comando per verificare lo stato dei servizi:
docker ps
I servizi devono mostrare lo stato UP (inoltre, è possibile visualizzare le modifiche dell'ora di avvio/riavvio del servizio), come mostrato nell'immagine:
Passaggio 4. Aggiornare i riquadri del modulo SNA nel portale SecureX, il dashboard inizia a visualizzare i dati SNA corretti.
Configurare l'FQDN di SMC
Se il riavvio di sse-connector e ctr-integration services non risolve il problema, passare alla posizione /lancope/var/logs/containers ed eseguire questo comando:
cat the svc-sse-connector.log
Verificare se nei log viene visualizzato questo messaggio di errore:
docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
;MsgID:
] HTTP command [/ctr/health] with cmdID [
] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"
Se la riga esiste, è necessario modificare il file docker-compose.yml per correggere l'errore.
Passaggio 1. Individuare il percorso /lancope/manifests/ e individuare il file docker-compose.yml, come mostrato nell'immagine:
Passaggio 2. Eseguire questo comando per modificare il file docker-compose.yml:
cat docker-compose.yml
È possibile utilizzare il metodo preferito per modificarlo (Nano o Vim) per cercare i dettagli del connettore dell'asse del contenitore, come mostrato nell'immagine:
Passaggio 3. Passare alla riga SPRING_OPTS e aggiungere la riga di comando successiva:
--context.custom.service.relay=smc_hostname
smc_hostname è il nome di dominio completo (FQDN) della SNA, come mostrato nell'immagine:
Passaggio 4. Salvare la nuova modifica ed eseguire questo comando:
docker-compose up -d sse-connector
Ricrea il file docker-compose.yml con i dettagli SNA appropriati, l'output deve mostrare lo stato fatto, come mostrato nell'immagine:
Verifica
Dal portale SecureX, verificare che il dispositivo SNA sia registrato correttamente e che il modulo non presenti problemi, come mostrato nell'immagine:
Aggiornare i riquadri del modulo SNA, il dashboard inizia a visualizzare i dati SNA corretti, come mostrato nell'immagine:
Informazioni correlate