Cache de blocos do Clarify SecureX
Introdução
Este documento descreve como o Cache em Blocos SecureX funciona.
As informações estão no SecureX Live Data?
A resposta para essa pergunta é Não. Isso ocorre porque no SecureX cada integração e cada Bloco estão sujeitos a um determinado Cache.
O tempo de expiração varia, com base na integração e no próprio Bloco.
Por exemplo, você pode usar Secure Endpoint (CSE) e SecureX Integration.
Primeiro, confirme se a integração é válida e funciona, depois navegue até Integration Modules > My Integration Modules.
Procure o módulo Secure Endpoint e confirme se ele está integrado e se não mostra um erro.
Verificação de integração
Em seguida, acione um Evento de quarentena no console do CSE.
Evento de console
Navegue de volta para o SecureX, verifique o bloco que corresponde às Quarentenas e você poderá observar que não há dados.
SecureX sem dados
Como mostrado na imagem, pelo menos 2 minutos se passaram desde que o evento ocorreu no console do CSE.
Hora da consulta
Para entender melhor por que nenhum dado aparece no painel, navegue até o Bloco Quarentenas e clique no botão ellipsis (...) > Information.
Quarentena SecureX
Essas informações mostram o valor de Valid_time codificado para este Bloco específico no SecureX.
Navegue até data e expanda a seção que diz valid_time.
Informações de API
Independentemente da hora em que você o consulta, a diferença entre start_time e end_time é sempre de 5 minutos.
Observe que, como mencionado anteriormente, essa diferença de start_time e end_time depende da integração e do Bloco em si.
Navegue de volta para o SecureX, depois de pelo menos 5 minutos e agora você poderá ver o evento.
Evento de quarentena
Tempo pós-cache
As informações são atualizadas automaticamente. No entanto, se você desejar mais informações, poderá capturar logs do formato de arquivo HTTP (HAR) durante a sessão de solução de problemas.
Observação: é recomendável usar logs Har persistentes, eles pesam mais, mas sobrevivem em redirecionamentos, e a página é atualizada.
Se você coletar logs HAR e abri-los, poderá ver a hora válida de quando o evento ocorreu e correlacionar a hora da detecção no Secure Endpoint Console e no SecureX.
Hora válida
Observe que a start_time é 19:30:00 UTC. Se você vir o evento no console do Secure Endpoint, a Quarentena ocorreu às 19:31:20 UTC.
No entanto, no SecureX, no momento em que você procurar as informações (por volta das 19:33:26 UTC/13:33:26 CST), o end_time não foi finalizado e, portanto, o Cache não expirou.
Ainda assim, você pode ver que a telemetria foi postada no SecureX.
informação de API
Você pode ver nos registros HAR que o cache expira e uma nova start_time começa.
Observação: nas informações de API do SecureX, você pode ver o URL usado, assim você pode verificar seus registros HAR e comparar.
Exemplo de Expiração do Cache
- Cliente seguro - Resumo do computador: quase instantâneo
- FMC - Resumo do evento: 1 minuto
- SMA - Resumo de e-mails recebidos: 5 minutos
- Guarda-chuva - Blocos de Segurança por Categoria (Geral): 5 minutos
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
06-Apr-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)