はじめに
このドキュメントでは、基本的な分析を実行する手順と、SecureXとInsightsおよびSecure Email Appliance統合モジュールのトラブルシューティング方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- SecureX
- セキュリティサービス交換
- 安全な電子メール
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- セキュリティサービス交換
- SecureX 1.54
- ソフトウェアバージョン13.0.0-392上のSecure Email C100V
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco Secure Email Appliance(旧称Eメールセキュリティアプライアンス)は、エンドツーエンドの暗号化により、脅威の検出、ブロック、修復の高速化、データ損失の防止、転送中の重要な情報の保護を実現する高度な脅威保護機能を提供します。設定が完了すると、Secure Email Applianceモジュールによって、観察可能な項目に関連する詳細情報が提供されます。次の操作を実行できます。
- 組織内の複数のアプライアンスからのEメールレポートおよびメッセージトラックデータを表示する
- 電子メールレポートおよびメッセージトラックで見られる脅威を特定、調査、および修復する
- 特定された脅威を迅速に解決し、特定された脅威に対する推奨処置を提供する
- 脅威を文書化して調査を保存し、他のデバイス間での情報のコラボレーションを可能にする
セキュアEメールアプライアンスモジュールを統合するには、セキュリティサービス交換(SSE)を使用する必要があります。SSEを使用すると、Secure Email ApplianceをExchangeに登録し、登録されたデバイスへのアクセス権を明示的に付与できます。
設定の詳細については、この記事のここにある統合モジュールの詳細を参照してください。
トラブルシュート
SecureXとSecure Email Appliance(SEA)の統合に関する一般的な問題をトラブルシューティングするには、次の手順を確認できます。
SecureXまたはSecurity Services Exchangeポータルにセキュアな電子メールデバイスが表示されない
デバイスがSSEポータルに表示されない場合は、次の図に示すように、SSEポータルでSecureX Threat ResponseおよびEventサービスを有効にし、Cloud Servicesに移動して、サービスを有効にしてください。
セキュアな電子メールでは登録トークンは要求されません
Cisco SecureX/Threat Responseサービスを有効にした後は、必ず変更をコミットしてください。そうしないと、変更がSecure EmailのCloud Serviceセクションに適用されません。次の図を参照してください。
トークンが無効または期限切れのため、登録に失敗しました
エラーメッセージ「The registration failed because of an invalid or expired token.次の図に示すように、Secure Email GUIでCisco Threat Response portal」を使用して、アプライアンスに有効なトークンを使用していることを確認します。
トークンが正しいクラウドから生成されていることを確認してください。
欧州(EU)のクラウドを使用してセキュアな電子メールを実現する場合は、https://admin.eu.sse.itd.cisco.com/からトークンを生成します。
セキュアメールに南・北・中央アメリカ(NAM)クラウドを使用する場合は、https://admin.sse.itd.cisco.com/からトークンを生成します。
また、図に示すように、登録トークンには有効期限があります(時間内に統合を完了するのに最も便利な時間を選択してください) 。
SecureXダッシュボードにセキュア電子メールモジュールの情報が表示されない
次の図に示すように、使用可能なタイルで過去1時間から過去90日までの幅広い時間範囲を選択できます。
その他の例として、「問題が発生しました。後でもう一度やり直してください。」というエラーメッセージや「セキュリティで保護された電子メールモジュールにクライアントエラーがありました: E4017:デバイスがオフラインです[409]」というエラーメッセージも表示されます。 SSEポータルでデバイスがまだ登録済みとして表示されているかどうかを確認します。おそらく、デバイスがdes-registeredであり、表示されなくなったと考えられます。SecureXポータルに新しいモジュールを追加してみてください。
SecureX Secure Emailタイルモジュールでエラー「There was an unexpected Error on the Secure Email module」が表示される
Secure EmailがSecureX/CTRポータルと通信するには、管理インターフェイスでAsyncOS API HTTPおよびHTTPS設定を有効にする必要があります。 オンプレミスセキュアEメールについては、図に示すように、セキュアEメールポータルのGUIからこの機能を設定し、Network > IP Interfaces > Management interface > AsyncOS APIの順に移動して、HTTPとHTTPSを有効にします。
CES(クラウドベースのセキュアな電子メール)の場合、この設定はSecure Email TACエンジニアがバックエンドから行う必要があり、影響を受けるCESのサポートトンネルへのアクセスが必要です。
確認
セキュアメールがDevice Insightsのソースとして追加されると、正常なREST API接続ステータスが表示されます。
- 緑色のステータスでREST API接続を確認できます
- 図に示すように、SYNC NOWを押して最初の完全同期をトリガーします
SecureXとセキュアEメールアプライアンス(SMA)の統合でも問題が解決しない場合は、この記事を参照してブラウザからHARログを収集し、TACサポートに連絡して詳細な分析を実行してください。
関連情報