排除Secure Network Analytics Integration（以前称为Stealthwatch Enterprise）的SecureX模块错误

简介

本文档介绍如何对安全网络分析集成的SecureX模块错误进行故障排除。

先决条件

要求

Cisco 建议您了解以下主题：

• 安全网络分析(SNA)控制台
• 您的安全网络分析部署会按预期生成安全事件和警报
• 您的SNA控制台需要能够出站连接到思科云:
  • 北美云

    api-sse.cisco.com	端口 443
    visibility.amp.cisco.com	端口 443
    securex.us.se curity.cisco.com	端口 443

• • 欧盟云

    api.eu.ss e.itd.cisco.com	端口 443
    visibility.eu.am p.cisco.com	端口 443
    securex.eu.se curity.cisco.com	端口 443

  • 亚洲(APJC)云

    api.eu.ss e.itd.cisco.com	端口 443
    visibility.apjc.amp.cisco.com	端口 443
    securex.apjc.security.cisco.com	端口 443

• 您的SNA已在智能许可中注册。导航到Central Management > Smart Licensing，如图所示：

• 建议使用与SecureX产品相同的智能帐户/虚拟帐户
• 您有一个帐户可以访问SecureX。要使用SecureX及相关工具，您需要在您使用的区域云上拥有一个帐户

注意：如果您或您的组织已经在您的区域云上拥有帐户，请使用已经存在的帐户。不要新建一个。

使用的组件

本文档中的信息基于以下软件版本：

• 思科安全服务交换(SSE)控制台
•  Secure Network Analytics v7.2.1或更高版本
  
• SecureX控制台
  
  

注意：每个控制台中的帐户必须具有管理员权限才能执行更改。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Cisco SecureX是思科云中的平台，可帮助您检测、调查、 分析和响应威胁，并使用从多个产品和 来源。 此集成使您能够在Secure Network Analytics(以前称为 Stealthwatch):

• 在SecureX上使用Secure Network Analytics（显示为Stealthwatch）磁贴 用于监控关键运营指标的控制面板
• 利用SecureX菜单转到您的其他思科安全和第三方 集成
• 提供对您的SecureX功能区的访问
• 向Cisco SecureX威胁响应发送安全网络分析警报 （以前称为Cisco Threat Response）私有情报库
• 允许SecureX从安全网络分析请求安全事件以丰富 威胁响应工作流程中的调查上下文

请参阅此处的最新SecureX和安全网络分析集成指南。

安全网络分析模块错误

本文档可帮助排除安全网络分析集成模块上的以下任何错误消息故障：

• 错误示例#1

"Module Error: Stealthwatch Enterprise remote-server-error: {:error (not (map? a-java.lang.String))} [:invalid-server-response]"

• 错误示例#2

"There was an unexpected error in the module" 

SNA CLI登录方法

有两个用户角色可以通过SSH登录到SNA CLI

• 根
• Sysadmin

您需要使用设备IP地址和根用户角色通过SSH登录。(作为系统管理员用户角色，您有有限的操作)

故障排除

注：本文档中提到的故障排除必须由Cisco TAC工程师进行和监督。请提交案例，以便从Cisco TAC支持团队获得适当的帮助。

重新启动SSE和CTR服务

步骤1:如果SecureX SNA模块触发任何错误消息，请以Root用户身份通过SSH登录SNA设备。

第二步：运行以下命令以重新启动sse-connector和ctr-integration服务：

docker restart svc-sse-connector
docker restart svc-ctr-integration

第三步：运行此命令以验证服务状态：

docker ps

服务必须显示UP状态（此外，您还会在启动/重新启动服务时看到状态时间更改），如图所示：

第四步：刷新SecureX门户中的SNA模块磁贴，控制面板开始显示正确的SNA数据。

配置SMC的FQDN

如果重新启动sse-connector和ctr-integration服务无法解决问题，请导航到位置/lancope/var/logs/containers，然后运行此命令：

cat the svc-sse-connector.log

验证日志中是否显示以下错误消息：

docker/svc-sse-connector[1193]: time="2021-05-26T09:19:20.921548198Z" level=info msg="[FlowID:
     
     
       ;MsgID: 
      
        ] HTTP command [/ctr/health] with cmdID [ 
       
         ] failed: Post https://X.X.X.X/ctr/health: x509: cannot validate certificate for X.X.X.X because it doesn't contain any IP SANs" 
        
       
     

如果该行存在，您需要编辑docker-compose.yml文件以修复此错误。

步骤1:导航到/lancope/manifests/路径并找到docker-compose.yml文件，如图所示：

第二步：运行此命令以编辑docker-compose.yml文件：

 cat docker-compose.yml

您可以使用首选方法对其进行编辑（Nano或Vim）以搜索容器sse-connector详细信息，如图所示：

第三步：导航到SPRING_OPTS行并添加下一个命令行：

--context.custom.service.relay=smc_hostname

smc_hostname是SNA的FQDN，如图所示：

第四步：保存新更改并运行此命令：

docker-compose up -d sse-connector

它使用正确的SNA详细信息重新创建docker-compose.yml文件，输出必须显示done状态，如图所示：

验证

从SecureX门户，验证SNA设备已正确注册，模块没有问题，如图所示：

刷新SNA模块磁贴，控制面板开始显示正确的SNA数据，如图所示：

相关信息

• 如果您使用安全云分析，您可以在此文档中查找更多信息
• 安全网络分析 — 系统配置指南 7.4.1此处。
• 技术支持和文档 - Cisco Systems