Secure Network Analytics Integration(旧Stealthwatch Enterprise)のSecureXモジュールエラーのトラブルシューティング
内容
概要
このドキュメントでは、Secure Network Analytics統合のSecureXモジュールエラーをトラブルシューティングする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Secure Network Analytics(SNA)コンソール
- Secure Network Analyticsを導入すると、セキュリティイベントとアラームが予想どおりに生成されます
- SNAコンソールは、Ciscoクラウドへのアウトバウンド接続が可能である必要があります。
- 北米のクラウド
api-sse.cisco.com port 443 visibility.amp.cisco.com port 443 securex.us.se curity.cisco.com port 443
- 北米のクラウド
-
- EUクラウド
api.eu.ss e.itd.cisco.com port 443 visibility.eu.am p.cisco.com port 443 securex.eu.se curity.cisco.com port 443
- アジア(APJC)クラウド
api.eu.ss e.itd.cisco.com port 443 visibility.apjc.amp.cisco.com port 443 securex.apjc.security.cisco.com port 443
- EUクラウド
- SNAがSmart Licensingに登録されています。図に示すように、[Central Management] > [Smart Licensing] に移動します。
- SecureX製品に使用するのと同じスマートアカウント/仮想アカウントを使用することをお勧めします
- SecureXにアクセスするためのアカウントがあります。SecureXおよび関連ツールを使用するには、使用する地域クラウドのアカウントが必要です
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco Security Services Exchange(SSE)コンソール
- Secure Network Analytics v7.2.1以降
- SecureXコンソール
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco SecureXは、シスコのクラウド内のプラットフォームで、検出、調査、 複数の製品から集約されたデータを分析し、脅威に対応し、 出典. この統合により、Secure Network Analytics(以前のバージョン)でこれらのタスクを実行できます Stealthwatch):
- SecureXでSecure Network Analytics(Stealthwatchとして表示)タイルを使用する 主要な運用メトリックを監視するダッシュボード
- SecureXメニューを使用して、他のシスコセキュリティおよびサードパーティにピボットします。 統合
- SecureXリボンへのアクセスを提供する
- Cisco SecureX脅威対応にSecure Network Analyticsアラームを送信する (旧Cisco Threat Response)Private Intelligence Store
- SecureXがSecure Network Analyticsからセキュリティイベントを要求して、 脅威対応ワークフローの調査コンテキスト
最新の『SecureX and Secure Network Analytics Integration Guide(SecureXとSecure Network Analyticsの統合ガイド)』ここを参照してください。
Secure Network Analyticsモジュールのエラー
このドキュメントは、Secure Network Analytics統合モジュールで次のエラーメッセージが表示された場合のトラブルシューティングに役立ちます。
- エラー例#1
"Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"- エラー例#2
"There was an unexpected error in the module" SNA CLIログイン方式
SSH経由でSNA CLIにログインするには、2つのユーザロールがあります
- Root
- Sysadmin
デバイスのIPアドレスとルートユーザロールを使用して、SSH経由でログインする必要があります。(sysadminユーザロールとして制限されたアクションがあります)
トラブルシュート
SSEおよびCTRサービスの再起動
ステップ 1:SecureX SNAモジュールがいずれかのエラーメッセージをトリガーした場合は、SSH経由でルートユーザとしてSNAデバイスにログインします。
ステップ 2:次のコマンドを実行して、sse-connectorサービスとctr-integrationサービスを再起動します。
docker restart svc-sse-connector
docker restart svc-ctr-integrationステップ 3:サービスのステータスを確認するには、次のコマンドを実行します。
docker ps図に示すように、サービスはUPステータスを示す必要があります(また、サービスが開始/再始動されるとステータス時間が変化することも確認できます)。
ステップ 4:SecureXポータルのSNAモジュールタイルを更新すると、ダッシュボードに適切なSNAデータが表示されます。
SMCのFQDNの設定
sse-connectorサービスとctr-integrationサービスを再起動しても問題が解決しない場合は、ロケーション/lancope/var/logs/containersに移動して、次のコマンドを実行します。
cat the svc-sse-connector.logログに次のエラーメッセージが表示されるかどうかを確認します。
docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
;MsgID:
] HTTP command [/ctr/health] with cmdID [
] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"
行が存在する場合、このエラーを修正するにはdocker-compose.ymlファイルを編集する必要があります。
ステップ 1:次の図に示すように、/lancope/manifests/ パスに移動し、docker-compose.yml ファイルを見つけます。
ステップ 2:docker-compose.yml ファイルを編集するには、次のコマンドを実行します。
cat docker-compose.yml次の図に示すように、コンテナsse-connectorの詳細を検索するために、任意の方法(NanoまたはVim)を使用して編集できます。
ステップ 3:SPRING_OPTS行に移動し、次のコマンドラインを追加します。
--context.custom.service.relay=smc_hostnamesmc_hostnameは、次の図に示すように、SNAのFQDNです。
ステップ 4:新しい変更を保存し、次のコマンドを実行します。
docker-compose up -d sse-connector適切なSNAの詳細を含むdocker-compose.ymlファイルが再作成されます。次の図に示すように、出力にはdoneステータスが表示される必要があります。
確認
図に示すように、SecureXポータルから、SNAデバイスが正しく登録され、モジュールに問題がないことを確認します。
SNAモジュールのタイルを更新すると、図に示すように、ダッシュボードが適切なSNAデータの表示を開始します。
関連情報
- Secure Cloud Analyticsを使用する場合は、このドキュメントで詳細を確認できます。
- Secure Network Analytics: システム構成ガイド 7.4.1(ここ)。
- テクニカル サポートとドキュメント – Cisco Systems
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
30-Aug-2020 |
初版 |
フィードバック