أستكشاف أخطاء موجز ويب للتهديدات الخارجية وإصلاحها أهم أسباب الفشل
المحتويات
المقدمة
يوضح هذا المستند العديد من أسباب الفشل أثناء تنفيذ موجز ويب التهديد الخارجي وتحليل الأخطاء والإجراءات الخاصة بالحل.
المتطلبات الأساسية
هناك ما من متطلب خاص، لذلك cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
- عبارة البريد الإلكتروني الآمنة (ESA) من Cisco
- موجز ويب التهديد الخارجي (ETF)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- عبارة البريد الإلكتروني الآمنة (ESA) من Cisco التي تشغل البرنامج 12.x أو الإصدار الأحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
سبب الفشل:
إما أن خدمة ETF معطلة أو لا يوجد مفتاح ميزة صالح للخدمة
(Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds
Press Ctrl-C to stop.
Wed Sep 8 16:15:26 2021 Info: THREAT_FEEDS: A delta poll is scheduled for the source: Test_Poll_Path
Machine: ‘esa03.taclab.krk'. A failure was encountered for the source 'Test_Poll_Path'.
Reason for failure: The ETF service is either disabled or there is no valid feature key for the service.
الحل
تأكد من:
- تم تثبيت مفتاح ميزة ETF بشكل صحيح.
- تم قبول EULA وتم تمكين مفتاح الميزة بشكل عام.
- التراخيص المطبقة على مستوى الجهاز.
فشل إنشاء اتصال جديد: انتهت مهلة الاتصال [Errno 110]
(Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds
Press Ctrl-C to stop.
Reason for failure: Taxii Error: HTTPSConnectionPool(host= otx.alienvault.comport, port=443): Max retries exceeded with url: /taxii/poll/ (Caused by NewConnectionError('<requests.packages....
Failed to establish a new connection: [Errno 110] Connection timed out',))
الحل
- تأكيد جدار الحماية والوكيل لا يحجبان حركة المرور.
يمكن التحقق من الوكيل تحت واجهة المستخدم الرسومية (GUI) > خدمات الأمان > تحديثات الخدمة. - تأكيد الاتصال باستخدام التقاط الحزمة. انتقل إلى واجهة المستخدم الرسومية (GUI) > المساعدة والدعم > التقاط الحزمة.
سبب الفشل: "400"
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 6 13:38" threatfeeds
Mon Sep 6 13:38:16 2021 Debug: THREAT_FEEDS: Failed to fetch observables from the source: Test_Poll_Path. Reason for failure: '400'
Mon Sep 6 13:38:55 2021 Info: THREAT_FEEDS: The source 'Test_Poll_Path' is currently in a polling state and therefore a poll for this source cannot be initiated at this time.
الحل
يشير الخطأ "400" إلى وجود مسار الاستقصاء هذا، ولكنه يشير إلى خدمة مختلفة يقدمها خادم TAXII.
- تأكيد تكوين مسار التحقق يتم تكوينه بطلب الاستطلاع وليس طلب الاكتشاف.
- تأكد من تمكين HTTPS تحت واجهة المستخدم الرسومية (GUI) > سياسات البريد > مدير موجز ويب التهديدات الخارجية > إستخدام HTTPS.
خطأ HTTP: فشل مصادقة رمز الحالة 401
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 8 16:35" threatfeeds
Wed Sep 8 16:35:39 2021 Debug: THREAT_FEEDS: Updating the timestamp: 2021-09-08 16:31:36.071684 for the last attempted poll for the source: ETF_Source_Name
Wed Sep 8 16:35:39 2021 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: HTTP Error: status code 401 authentication failureurce not available
الحل
يشير رمز الخطأ هذا إلى أنه يفتقر إلى بيانات اعتماد مصادقة صالحة للمورد الهدف.
تأكد من تكوين بيانات الاعتماد بشكل صحيح.
هناك خيار أيضا ألا يتم تكوين بيانات الاعتماد للمستخدمين.
خطأ تاكسي: خطأ HTTP: المورد المطلوب لرمز الحالة 404 غير متوفر
(Machine esa03.taclab.krk) (SERVICE)> grep "Aug 27 08:51" threatfeeds
Fri Aug 27 08:51:16 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: Test after 3 failed attempts. Reason for failure: Taxii Error: HTTP Error: status code 404 requested resource not available
Fri Aug 27 08:51:16 2021 Info: THREAT_FEEDS: Job failed with exception : Source: Test. Reason for failure: Taxii Error: HTTP Error: status code 404 requested resource not available
الحل
تأكيد مسار الاقتراع/اسم المجموعة على المصدر تحت ESA GUI> سياسات البريد > مدير موجز ويب التهديدات الخارجية > إختيار اسم المصدر المناسب.
سبب الفشل: "405"
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 13 00:2" threatfeeds
Mon Sep 13 00:20:21 2021 Debug: THREAT_FEEDS: Failed to fetch observables from the source: Anomali. Reason for failure: '405’
الحل
هذا خطأ في بناء الجملة بسبب شرطة المسار "/" المفقودة في نهاية مسار الاقتراع.
إضافة شرطة المسار في نهاية المسار /taxii/poll/.
خطأ HTTP: خدمة رمز الحالة 503 غير متوفرة
(Machine esa03.taclab.krk) (SERVICE)> grep "Nov 10 13:45" threatfeeds
Sun Nov 10 13:45:21 2020 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: HTTP Error: status code 503 service unavailable
Sun Nov 10 13:45:22 2020 Info: THREAT_FEEDS: A delta poll is scheduled for the source: ETF_Source_Name
الحل
يشير رمز الخطأ إلى وجود مشكلة في خادم TAXII الوجهة، والتي يجب التحقيق فيها أكثر.
قد يحدث ذلك عندما يتم تحميل الخادم فوق طاقته. اتصل بالمورد للحصول على مزيد من المعلومات.
NOT_FOUND: تعذر العثور على المجموعة المطلوبة
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 7 12:53" threatfeeds
Tue Sep 7 12:53:16 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: Test_Poll_Path after 3 failed attempts. Reason for failure: Taxii Error: NOT_FOUND: The requested collection could not be found
Tue Sep 7 12:53:16 2021 Debug: THREAT_FEEDS: Updating the timestamp: 2021-09-07 12:49:12.648625 for the last attempted poll for the source: Test_Poll_Path
الحل
يشير هذا الخطأ إلى أن اسم المجموعة له الإملاء الصحيح، ومع ذلك، هناك مشكلة في خادم TAXII ضمن Collection، والتي ترفض الطلب.
قد يكون السبب المحتمل مؤقت انتهاء صلاحية على اسم المجموعة.
اتصل بالمورد للتحقق من عدم التناسق هذا.
[SSL: CERTIFICATE_VERIFY_FAILED] فشل التحقق من الشهادة (_ssl.c:590)
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 8 16:35" threatfeeds
Wed Sep 8 16:35:26 2021 Info: THREAT_FEEDS: A delta poll is scheduled for the source: ETF_Source_Name
Wed Sep 8 16:35:33 2019 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: ETF_Source_Name after 3 failed attempts. Reason for failure: Taxii Error: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
الحل
يشير هذا الخطأ إلى فشل الشهادة.
لحل المشكلة، قم باستيراد الشهادة في قائمة المرجع المصدق (CA).
انتقل إلى واجهة المستخدم الرسومية (GUI) > الشبكة > الشهادات > تحرير الإعدادات > قائمة مخصصة >
أختر تمكين الوضع وتحميل الشهادة.
خطأ في تحليل XML: لم يتم العثور على عنصر (السطر 0)
(Machine esa03.taclab.krk) (SERVICE)> grep "Aug 21 02:39" threatfeeds
Fri Aug 21 02:39:37 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: ETF_Source_Name after 3 failed attempts. Reason for failure: Taxii Error: XML Parising Error: no element found (line 0)
Fri Aug 21 02:39:37 2021 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: XML Parising Error: no element found (line 0)
الحل
قلل القيمة الفترة الزمنية لمقطع الاستطلاع من تكوين ESA إلى 3-4 أيام.
فشل إنشاء اتصال جديد: تم رفض اتصال [Errno 111]
(Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds
Press Ctrl-C to stop.
Reason for failure: Taxii Error: HTTPSConnectionPool(host=otx.alienvault.comport=443): Max retries exceeded with url: /taxii/poll/ (Caused by NewConnectionError('<requests.packages..
Failed to establish a new connection: [Errno 111] Connection refused',))
الحل
- أستخدم الأمر telnet أو netstat عبر واجهة سطر الأوامر (CLI) للتحقق من أن المنفذ المناسب هو الاستماع.
- تحقق من عدم حظر جدار الحماية للمنفذ.
- تأكد من عدم وجود منفذ Misconfiguration/ Stale على الخدمة قيد التشغيل.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
25-Apr-2023 |
الإصدار الأولي |
التعليقات