Risoluzione dei problemi relativi all'allarme del sistema SLIC Channel Down

Opzioni per il download

  • PDF     (258.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (85.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (73.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 febbraio 2023
ID documento:220130

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi agli allarmi di sistema "SLIC Channel Down" di Secure Network Analytics (SNA).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza base della SNA.

    SLIC sta per "Stealthwatch Labs Intelligence Center"

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Procedura

    L'allarme "SLIC Channel Down" viene attivato quando SNA Manager non è in grado di ricevere gli aggiornamenti dei feed dai Threat Intelligence Server, in precedenza SLIC. Per comprendere meglio la causa dell'interruzione degli aggiornamenti dei feed, procedere come segue:

    1. Connettersi a SNA Manager tramite SSH e accedere con le root credenziali.
    2. Analizzare il /lancope/var/smc/log/smc-core.log file e cercare i registri di tipo SlicFeedGetter.
      3.

    Una volta trovati i registri rilevanti, procedere alla sezione successiva, dato che ci sono diverse condizioni che possono causare l'attivazione di questo allarme.

    Log degli errori comuni

    I log degli errori più comuni rilevati nei smc-core.log relativi allarmi SLIC Channel Down sono:

    Timeout della connessione

    2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)

    Impossibile trovare un percorso di certificazione valido per la destinazione richiesta

    2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    Handshake non riuscito

    2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
    2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
    2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
    javax.net.ssl.SSLHandshakeException: Handshake failed

    Passi da eseguire

    Gli aggiornamenti del feed di Threat Intelligence possono essere interrotti a causa di condizioni diverse. Eseguire i passaggi di convalida successivi per verificare che SNA Manager soddisfi i requisiti.

    Passaggio 1. Convalida stato licenze Smart

    Individuare la licenza Threat Feed Central Management > Smart Licensing License e verificarne lo stato Authorized.

    Passaggio 2. Verifica risoluzione DNS (Domain Name System)

    Accertarsi che SNA Manager sia in grado di risolvere correttamente l'indirizzo IP per lancope.flexnetoperations.com and esdhttp.flexnetoperations.com

    Passaggio 3. Verifica della connettività ai server feed di Threat Intelligence

    Verificare che SNA Manager disponga di accesso a Internet e che sia consentita la connettività ai server di Threat Intelligence elencati di seguito:

    Porta e protocollo

    Origine

    Destinazione

    443/TCP

    Gestione SNA

    esdhttp.flexnetoperations.com

    lancope.flexnetoperations.com

    Nota: se a SNA Manager non è consentito l'accesso diretto a Internet, verificare che sia presente la configurazione proxy per l'accesso a Internet.

    Passaggio 4. Disabilita controllo/decrittografia SSL (Secure Sockets Layer)

    Il secondo e il terzo errore descritti nella Common Error Logs sezione possono verificarsi quando Gestione SNA non riceve il certificato di identità corretto o la catena di attendibilità corretta utilizzata dai server dei feed di Threat Intelligence. Per evitare ciò, accertarsi che non venga eseguita alcuna ispezione/decrittografia SSL sulla rete (da parte di firewall o server proxy compatibili) per le connessioni tra SNA Manager e i server Threat Intelligence elencati nella Verify Connectivity to the Threat Intelligence Feed Servers sezione.

    Se non si è certi che l'ispezione/decrittografia SSL venga eseguita nella rete, è possibile raccogliere un'acquisizione di pacchetto tra l'indirizzo IP di SNA Manager e l'indirizzo IP dei server Threat Intelligence e analizzare l'acquisizione per verificare il certificato ricevuto. A tale scopo, effettuare le seguenti operazioni:

    1. Connettersi a SNA Manager tramite SSH e accedere con le root credenziali.
    2. Eseguire uno dei due comandi elencati di seguito (il comando da eseguire dipende dal fatto che il gestore SNA utilizzi o meno un server proxy per l'accesso a Internet):

    tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
    tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]

    3. Lasciare in esecuzione l'acquisizione per 2-3 minuti, quindi arrestarla.
    4. Trasferire il file generato fuori da SNA Manager per l'analisi. A tale scopo, è possibile utilizzare SCP (Secure Copy Protocol).

    Difetti correlati

    Esiste un difetto noto che può influire sulla connessione ai server SLIC:

    • La comunicazione SLIC SMC può scadere e non riuscire se la porta di destinazione 80 è bloccata. Vedere l'ID bug Cisco CSCwe0831

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    08-Feb-2023
    Sezione "Difetti correlati" aggiunta
    1.0
    19-Jan-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Angel Ortiz
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti