Dépannage des sources de menaces externes Principales raisons de l'échec

Options de téléchargement

  • PDF     (412.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (246.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (175.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:25 avril 2023
ID du document:220420

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit plusieurs causes d'échec lors de la mise en oeuvre du Flux de menaces externes, l'analyse des erreurs et les actions de résolution.

    Conditions préalables 

    Il n'y a pas de conditions spécifiques, c'est pourquoi Cisco vous recommande de connaître les sujets suivants :

    • Passerelle de messagerie sécurisée Cisco (ESA)
    • Flux de menaces externes (ETF)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Secure Email Gateway (ESA) exécutant le logiciel 12.x ou une version ultérieure

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Raison des échecs :

    Le service ETF est désactivé ou il n'existe pas de clé de fonction valide pour le service

    (Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds

    Press Ctrl-C to stop.
    Wed Sep 8 16:15:26 2021 Info: THREAT_FEEDS: A delta poll is scheduled for the source: Test_Poll_Path
    Machine: ‘esa03.taclab.krk'. A failure was encountered for the source 'Test_Poll_Path'. 
    Reason for failure: The ETF service is either disabled or there is no valid feature key for the service.

    Solution

    Vérifiez les points suivants :

    1. Clé de fonction ETF installée correctement.
    2. CLUF accepté et clé de fonction activée globalement.
    3. Licences appliquées au niveau machine. 

    Remarque : s'il existe un niveau de cluster, il doit copier le paramètre au niveau de l'ordinateur.

    Échec de l'établissement d'une nouvelle connexion : [Erreur 110] Expiration de la connexion

    (Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds

    Press Ctrl-C to stop.
    Reason for failure: Taxii Error: HTTPSConnectionPool(host= otx.alienvault.comport, port=443): Max retries exceeded with url:  /taxii/poll/ (Caused by NewConnectionError('<requests.packages....
    Failed to establish a new connection: [Errno 110] Connection timed out',))

    Remarque : le délai d'attente de la connexion indique généralement un problème lié au réseau, qui empêche ESA d'obtenir une réponse. Les vérifications de pare-feu/proxy sont recommandées et la capture de paquets pour une analyse plus approfondie.

    Solution

    1. Vérifiez que le pare-feu et le proxy ne bloquent pas le trafic.
      Le proxy peut être vérifié sous GUI > Security Services > Service Updates.
    2. Confirmez la connectivité avec la capture de paquets. Accédez à GUI > Help and Support > Packet Capture.

    Conseil : en cas d'indications de problèmes liés au réseau, il est prudent d'exécuter des captures de paquets afin de vérifier que la connexion a été correctement établie.

    Raison de l'échec : « 400 »

    (Machine esa03.taclab.krk) (SERVICE)> grep "Sep 6 13:38" threatfeeds
    Mon Sep 6 13:38:16 2021 Debug: THREAT_FEEDS: Failed to fetch observables from the source: Test_Poll_Path. Reason for failure: '400'
    Mon Sep 6 13:38:55 2021 Info: THREAT_FEEDS: The source 'Test_Poll_Path' is currently in a polling state and therefore a poll for this source cannot be initiated at this time.

    Remarque : l'erreur 400 (Requête incorrecte) RFC7231 indique que le serveur ne peut pas ou ne traite pas la requête en raison d'un élément perçu comme une erreur du client. La plupart du temps, il apparaît en raison d'une syntaxe de requête incorrecte ou d'un verrouillage de trame de message de requête non valide.

    Solution

    L'erreur « 400 » indique que ce chemin d'interrogation existe, mais qu'il pointe vers un service différent offert par le serveur TAXII.

    1. Confirmez que la configuration du chemin d'interrogation est configurée avec une demande d'interrogation et non avec une demande de découverte.
    2. Vérifiez que HTTPS est activé sous GUI > Mail Policies > External Threat Feeds Manager > Use HTTPS.

    Attention : ce problème se produit généralement lorsque le chemin d'interrogation est mal configuré avec une requête de découverte, telle que : /api/v1/taxii/taxii-discovery-service/
    Le chemin d'interrogation peut être configuré pour utiliser la requête d'interrogation pour les flux, par exemple : /api/v1/taxi/poll

    Remarque : différence entre la demande d'interrogation et la demande de découverte : 
    - L'URL d'interrogation est en fait l'endroit où vous consommez les flux de.
    - URL du service de découverte est utilisé pour trouver quels services le service de taxi offre. 

    Polling Path Configuration

    Erreur HTTP : code d'état 401 - échec d'authentification

    (Machine esa03.taclab.krk) (SERVICE)> grep "Sep 8 16:35" threatfeeds
    Wed Sep 8 16:35:39 2021 Debug: THREAT_FEEDS: Updating the timestamp: 2021-09-08 16:31:36.071684 for the last attempted poll for the source: ETF_Source_Name
    Wed Sep 8 16:35:39 2021 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: HTTP Error: status code 401 authentication failureurce not available

    Solution

    Ce code d'erreur indique qu'il manque des informations d'authentification valides pour la ressource cible.

    Vérifiez que les informations d'identification sont correctement configurées.
    Il est également possible de ne pas configurer les informations d'identification des utilisateurs.

    Erreur de taxi : Erreur HTTP : Code d'état 404 Ressource demandée non disponible

    (Machine esa03.taclab.krk) (SERVICE)> grep "Aug 27 08:51" threatfeeds
    Fri Aug 27 08:51:16 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: Test after 3 failed attempts. Reason for failure: Taxii Error: HTTP Error: status code 404 requested resource not available
    Fri Aug 27 08:51:16 2021 Info: THREAT_FEEDS: Job failed with exception : Source: Test. Reason for failure: Taxii Error: HTTP Error: status code 404 requested resource not available

    Remarque : le code d'état 404 (introuvable) indique que le serveur d'origine n'a pas trouvé de représentation actuelle pour la ressource cible ou n'est pas disposé à en divulguer une. Cela indique qu'il peut y avoir une URL non valide et, dans la plupart des cas, que le problème s'est produit en raison du chemin de la ressource est introuvable.

    Solution

    Confirmez le chemin d'interrogation/nom de la collection sur la source sous ESA GUI> Politiques de messagerie > Gestionnaire des sources de menaces externes > Choisissez le nom de la source approprié

    Confirm Polling Path/Collection Name

    Raison de l'échec : « 405 »

    (Machine esa03.taclab.krk) (SERVICE)> grep "Sep 13 00:2" threatfeeds
    Mon Sep 13 00:20:21 2021 Debug: THREAT_FEEDS: Failed to fetch observables from the source: Anomali. Reason for failure: '405’

    Remarque : selon RFC7231, l'erreur 405 (Method Not Allowed) indique que la méthode reçue dans la ligne de requête est connue du serveur d'origine, mais non prise en charge par la ressource cible.

    Solution

    Il s'agit d'une erreur de syntaxe due à la barre oblique « / » manquante à la fin du chemin d'interrogation.
    Ajouter la barre oblique à la fin du chemin /taxi/poll/.

    Polling Path Syntax Error

    Erreur HTTP : Service de code d'état 503 indisponible

    (Machine esa03.taclab.krk) (SERVICE)> grep "Nov 10 13:45" threatfeeds
    Sun Nov 10 13:45:21 2020 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: HTTP Error: status code 503 service unavailable
    Sun Nov 10 13:45:22 2020 Info: THREAT_FEEDS: A delta poll is scheduled for the source: ETF_Source_Name

    Remarque : selon RFC7231, l'erreur 503 « Service indisponible » est un code d'état de réponse HTTP qui indique qu'un serveur est temporairement incapable de traiter la requête.

    Solution

    Le code d'erreur indique un problème avec le serveur TAXII de destination, qui doit être étudié plus en détail.
    Cela peut se produire lorsque le serveur est surchargé. Pour plus d'informations, contactez le fournisseur.

    NOT_FOUND : impossible de trouver la collection demandée

    (Machine esa03.taclab.krk) (SERVICE)> grep "Sep 7 12:53" threatfeeds
    Tue Sep 7 12:53:16 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: Test_Poll_Path after 3 failed attempts. Reason for failure: Taxii Error: NOT_FOUND: The requested collection could not be found
    Tue Sep 7 12:53:16 2021 Debug: THREAT_FEEDS: Updating the timestamp: 2021-09-07 12:49:12.648625 for the last attempted poll for the source: Test_Poll_Path

    Solution

    Cette erreur indique que le nom de la collection est correctement orthographié. Cependant, un problème se produit sur le serveur TAXII sous Collection, qui rejette la demande.


    La cause possible peut être un minuteur d'expiration sur le nom de la collection.
    Contactez le Fournisseur pour vérifier ce type d'incohérence.

    Collection Name Configuration

    [SSL : CERTIFICATE_VERIFY_FAILED] La vérification du certificat a échoué (_ssl.c : 590)

    (Machine esa03.taclab.krk) (SERVICE)> grep "Sep 8 16:35" threatfeeds
    Wed Sep 8 16:35:26 2021 Info: THREAT_FEEDS: A delta poll is scheduled for the source: ETF_Source_Name
    Wed Sep 8 16:35:33 2019 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: ETF_Source_Name after 3 failed attempts. Reason for failure: Taxii Error: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

    Solution

    Cette erreur indique un échec du certificat.


    Pour résoudre le problème, importez le certificat dans la liste de l'autorité de certification (CA).
    Accédez à GUI > Network > Certificates > Edit Settings > Custom List >
    Choisissez le mode Enable et téléchargez le certificat.

    Certificate Upload

    Erreur d'analyse XML : Aucun élément trouvé (ligne 0)

    (Machine esa03.taclab.krk) (SERVICE)> grep "Aug 21 02:39" threatfeeds
    Fri Aug 21 02:39:37 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: ETF_Source_Name after 3 failed attempts. Reason for failure: Taxii Error: XML Parising Error: no element found (line 0)
    Fri Aug 21 02:39:37 2021 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: XML Parising Error: no element found (line 0)

    Solution

    Réduisez la valeur Durée du segment d'interrogation de la configuration ESA à 3-4 jours.

    Remarque : il s'agit d'une incohérence avec les serveurs Anomali pour certains flux spécifiques, où aucun indicateur de fin de données n'est envoyé pour arrêter les flux.
    Dans ce cas, ESA qui est configuré avec une source ETF d'Anomali, n'est pas en mesure d'interroger les données pendant une période de plus de 5 jours.
    Une solution de contournement valide serait de réduire la valeur Time Span of Poll Segment à partir de la configuration ESA.

    Time Span of Poll Segment

    Impossible d'établir une nouvelle connexion : [Erreur 111] Connexion refusée

    (Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds

    Press Ctrl-C to stop.
    Reason for failure: Taxii Error: HTTPSConnectionPool(host=otx.alienvault.comport=443): Max retries exceeded with url: /taxii/poll/ (Caused by NewConnectionError('<requests.packages..
    Failed to establish a new connection: [Errno 111] Connection refused',))

    Remarque : « Connexion refusée » indique que le client ne peut pas se connecter au port sur le serveur en cours d'exécution. En général, cela se produit lorsque le serveur écoute sur le mauvais port ou lorsque le port n'est pas disponible.

    Solution

    1. Utilisez la commande telnet ou netstat via CLI pour vérifier que le port approprié écoute.
    2. Vérifiez que le pare-feu ne bloque pas le port.
    3. Assurez-vous qu'il n'y a aucune erreur de configuration de port / port obsolète sur le service en cours.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    25-Apr-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Evangelos Triantis
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits