Solucionar erros do módulo SecureX para Secure Network Analytics Integration (antigo Stealthwatch Enterprise)

Opções de download

  • PDF     (841.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (582.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (519.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de setembro de 2022
ID do documento:215986

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como solucionar problemas de erros do módulo SecureX para Secure Network Analytics Integration.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Console do Secure Network Analytics (SNA)
    • Sua implantação do Secure Network Analytics gera eventos de segurança e alarmes, como esperado
    • Seu console SNA precisa ser capaz de se conectar de saída às nuvens Cisco:
      • Nuvens da América do Norte
        api-sse.cisco.com porta 443
        visibility.amp.cisco.com porta 443
        securex.us.security.cisco.com porta 443
      • Nuvens da UE
        api.eu.sse.itd.cisco.com porta 443
        visibility.eu.amp.cisco.com porta 443
         securex.eu.security.cisco.com porta 443
      • Nuvens da Ásia (APJC)
        api.eu.sse.itd.cisco.com porta 443
        visibility.apjc.amp.cisco.com porta 443
        securex.apjc.security.cisco.com porta 443
    • Sua SNA está registrada no Smart Licensing. Navegue até Central Management > Smart Licensing, conforme mostrado na imagem:

    smart license

    • É recomendável usar a mesma Smart Account/Virtual Account que você usa para o produto SecureX
    • Você tem uma conta para acessar o SecureX. Para usar o SecureX e as ferramentas associadas, você precisa ter uma conta na nuvem regional que usa

    Observação: se você ou sua organização já tiver contas em sua nuvem regional, use a conta que já existe. Não crie um novo.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Console Cisco Security Services Exchange (SSE)
    •  Secure Network Analytics v7.2.1 ou posterior
    • Console SecureX

    Observação: a conta em cada console deve ter direitos de Administrador para executar uma alteração.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O Cisco SecureX é a plataforma na nuvem da Cisco que ajuda você a detectar, investigar e analisar e responder a ameaças e usar os dados agregados de vários produtos e origens. Essa integração permite que você execute essas tarefas no Secure Network Analytics (anteriormente Stealthwatch)

    • Use os blocos Secure Network Analytics (mostrados como Stealthwatch) no SecureX para monitorar as principais métricas operacionais
    • Utilize o menu do SecureX para mudar para o seu outro Cisco Security e integrações
    • Fornecer acesso à faixa SecureX
    • Enviar alarmes de análise de rede segura para a resposta a ameaças do Cisco SecureX (antigo Cisco Threat Response) Private Intelligence Store
    • Permitir que o SecureX solicite eventos de segurança do Secure Network Analytics para enriquecer o contexto da investigação em fluxos de trabalho de resposta a ameaças

    Consulte o Guia de integração do SecureX e do Secure Network Analytics mais recente aqui.

    Erros do Módulo Secure Network Analytics

    Este documento ajuda a solucionar qualquer uma destas mensagens de erro no Secure Network Analytics Integration Module:

    • Exemplo de erro #1
    "Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"
    • Exemplo de erro #2
    "There was an unexpected error in the module"

    Métodos de login do SNA CLI

    Há duas funções de usuário para fazer login via SSH no SNA CLI

    • Root
    • Administrador do sistema

    Você precisa fazer login via SSH com o endereço IP do dispositivo e a função de usuário Raiz. (Você tem ações limitadas como função de usuário Sysadmin)

    Troubleshoot

    Observação: a solução de problemas mencionada neste documento deve ser executada e supervisionada por um engenheiro do Cisco TAC. Abra um caso para obter a assistência apropriada da equipe de suporte do Cisco TAC.

    Reinicie os serviços SSE e CTR

    Etapa 1. Se o SecureX SNA Module disparar qualquer uma das mensagens de erro, faça login via SSH no dispositivo SNA como o usuário Root.

    Etapa 2. Execute os próximos comandos para reiniciar os serviços sse-connector e ctr-integration:

    docker restart svc-sse-connector
docker restart svc-ctr-integration

    Etapa 3. Execute este comando para verificar o status dos serviços:

    docker ps

    Os serviços devem mostrar o status UP (também é possível ver as alterações de tempo de status quando o serviço é iniciado/reiniciado), como mostrado na imagem:

    output 1

    Etapa 4. Atualize os blocos do Módulo SNA no portal SecureX, o painel começa a mostrar os dados SNA apropriados.

    Configurar o FQDN do SMC

    Se os serviços sse-connector e ctr-integration reiniciados não corrigirem o problema, navegue para o local /lancope/var/logs/containers e execute este comando:

    cat the svc-sse-connector.log

    Verifique se você recebeu esta mensagem de erro nos logs:

    docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
     
     
       ;MsgID: 
      
        ] HTTP command [/ctr/health] with cmdID [ 
       
         ] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs"

    Se a linha existir, você precisará editar o arquivo docker-compose.yml para corrigir esse erro.

    Etapa 1. Navegue até o caminho /lancope/manifests/ e localize o arquivo docker-compose.yml , como mostrado na imagem:

    output 3

    Etapa 2. Execute este comando para editar o arquivo docker-compose.yml:

     cat docker-compose.yml

    Você pode usar seu método preferido para editá-lo (Nano ou Vim) para pesquisar os detalhes do sse-connector do contêiner, como mostrado na imagem:

    output

    Etapa 3. Navegue até a linha SPRING_OPTS e adicione a próxima linha de comando:

    --context.custom.service.relay=smc_hostname

    O smc_hostname é o FQDN do seu SNA, como mostrado na imagem:

    output 2

    Etapa 4. Salve a nova alteração e execute este comando:

    docker-compose up -d sse-connector

    Ele recria o arquivo docker-compose.yml com os detalhes SNA apropriados, a saída deve mostrar o status done, como mostrado na imagem:

    output 4

    Verificar

    No portal SecureX, verifique se o dispositivo SNA está registrado corretamente e se o módulo não tem problemas, como mostrado na imagem:

    integration

    Atualize os blocos do Módulo SNA, o painel começa a mostrar os dados SNA apropriados, como mostrado na imagem:

    dashboard

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    30-Aug-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Javi Martinez
      Engenheiro do Cisco TAC
    • Uriel Tadeo Montero
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos