Inleiding
Dit document beschrijft hoe u problemen met SecureX Module-fouten kunt oplossen voor Secure Network Analytics-integratie.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Secure Network Analysis (SNA)-console
- Uw Secure Network Analytics-implementatie genereert security gebeurtenissen en alarmen zoals verwacht
- Uw SNA-console moet uitgaand verbinding kunnen maken met de Cisco-clouds:
- Noord-Amerikaanse clouds
api-sse.cisco.com |
poort 443 |
visibility.amp.cisco.com |
poort 443 |
securex.us.security.cisco.com |
poort 443 |
-
- EU-wolken
api.eu.sse.itd.cisco.com |
poort 443 |
visibility.eu.amp.cisco.com |
poort 443 |
securex.eu.security.cisco.com |
poort 443 |
- Azië (APJC)-wolken
api.eu.sse.itd.cisco.com |
poort 443 |
visibility.apjc.amp.cisco.com |
poort 443 |
securex.apjc.security.cisco.com |
poort 443 |
- Uw SNA is geregistreerd in slimme licenties. Navigeren naar Central Management > Slimme licentiëring, zoals in de afbeelding:
- Aanbevolen wordt om dezelfde Smart Account/Virtual-account te gebruiken die u voor het SecureX-product gebruikt
- U hebt een account voor toegang tot SecureX. Om SecureX en bijbehorende tools te kunnen gebruiken, moet u een account hebben op de regionale cloud die u gebruikt
Opmerking: als u of uw organisatie al accounts heeft op uw regionale cloud, gebruik dan het account dat al bestaat. Maak geen nieuwe aan.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende softwareversies:
- Cisco Security Services Exchange (SSE)-console
- Secure Network Analytics v7.2.1 of hoger
- SecureX-console
Opmerking: de account in elke console moet beheerdersrechten hebben om een wijziging uit te voeren.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Cisco SecureX is het platform in de Cisco-cloud dat u helpt bij het detecteren, onderzoeken en en reageren op bedreigingen en de geaggregeerde gegevens van meerdere producten en bronnen. Dankzij deze integratie kunt u deze taken uitvoeren in Secure Network Analytics (voorheen Stealthwatch):
- Gebruik Secure Network Analytics (getoond als Stealthwatch) op de SecureX-controller dashboard om de belangrijkste operationele parameters te bewaken
- Gebruik het menu SecureX om naar uw andere Cisco-beveiligingssoftware en naar een externe switch te draaien integraties
- Toegang bieden tot uw SecureX-lint
- Verzend Secure Network Analytics-alarmen naar de Cisco SecureX-bedreigingsrespons (voorheen Cisco Threat Response) Private Intelligence Store
- Toestaan dat SecureX Security Events aanvraagt via Secure Network Analytics voor verrijking de onderzoekscontext in bedreigingsresponsstromen
Raadpleeg hier de meest recente integratiegids voor SecureX en Secure Network Analytics.
Fouten in Secure Network Analysis Module
Dit document helpt bij het oplossen van deze foutmeldingen in de Secure Network Analysis Integration Module:
"Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"
"There was an unexpected error in the module"
SNA CLI-inlogmethoden
Er zijn twee gebruikersrollen om via SSH in te loggen op SNA CLI
U moet inloggen via SSH met het IP-adres van het apparaat en de gebruikersrol Root. (U hebt beperkte acties als Sysadmin gebruikersrol)
Problemen oplossen
Opmerking: de probleemoplossing die in dit document wordt vermeld, moet worden uitgevoerd en gecontroleerd door een Cisco TAC-engineer. Open een case om de juiste assistentie te krijgen van het Cisco TAC Support team.
herstart SSE- en CTR-services
Stap 1. Als SecureX SNA-module een van de foutmeldingen activeert, meldt u zich via SSH aan bij het SNA-apparaat als de Root-gebruiker.
Stap 2. Voer de volgende opdrachten uit om de sse-connector- en ctr-integratieservices opnieuw te starten:
docker restart svc-sse-connector
docker restart svc-ctr-integration
Stap 3. Voer deze opdracht uit om de servicestatus te controleren:
docker ps
De services moeten de status UP tonen (ook kunt u de statustijdwijzigingen zien wanneer de service wordt gestart/opnieuw opgestart), zoals in de afbeelding:
Stap 4. Verfris de SNA Module tegels in SecureX portaal, begint het dashboard de juiste SNA gegevens te tonen.
Configureer de FQDN van de SCM
Als het opnieuw starten van sse-connector en ctr-integratie services niet oplossen van het probleem, navigeer dan naar de locatie/lancope/var/logs/containers en voer deze opdracht uit:
cat the svc-sse-connector.log
Controleer of u deze foutmelding in de logbestanden krijgt:
docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
;MsgID:
] HTTP command [/ctr/health] with cmdID [
] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"
Als de regel bestaat, moet u het bestand docker-compose.yml bewerken om deze fout te herstellen.
Stap 1. Navigeer in /lancope/manifests/path en lokaliseer docker-compose.yml bestand, zoals in de afbeelding:
Stap 2. Voer deze opdracht uit om docker-compose.yml-bestand te bewerken:
cat docker-compose.yml
U kunt de voorkeursmethode gebruiken om deze te bewerken (Nano of Vim) om naar de details van de connector-connector te zoeken, zoals in de afbeelding:
Stap 3. Navigeer naar de SPRING_OPTS-regel en voeg de volgende opdrachtregel toe:
--context.custom.service.relay=smc_hostname
De smc_hostname is de FQDN van uw SNA, zoals in de afbeelding:
Stap 4. Sla de nieuwe wijziging op en voer deze opdracht uit:
docker-compose up -d sse-connector
Het creëert het bestand docker-compose.yml met de juiste SNA details, de output moet gedaan status tonen, zoals in de afbeelding:
Verifiëren
Controleer vanuit het SecureX-portal of het SNA-apparaat correct is geregistreerd en of de module geen problemen heeft, zoals in de afbeelding:
Verfris de tegels van de SNA Module, begint het dashboard om de juiste SNA gegevens, zoals aangetoond in het beeld te tonen:
Gerelateerde informatie