Inleiding
In dit document wordt beschreven hoe u systeemalarmen voor "SLIC Channel Down"-analyse van Secure Network Analytics (SNA) kunt oplossen.
Voorwaarden
Vereisten
Cisco raadt aan dat u over fundamentele SNA-kennis beschikt.
SLIC staat voor "Stealthwatch Labs Intelligence Center"
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Procedure
Het "SLIC Channel Down" alarm wordt geactiveerd wanneer de SNA Manager geen feed updates kan ontvangen van de Threat Intelligence Servers, voorheen SLIC. Om beter te begrijpen wat de onderbreking van de updates heeft veroorzaakt, gaat u als volgt te werk:
- Verbind met de SNA Manager via SSH en log in met
root referenties.
- Analyseer het
/lancope/var/smc/log/smc-core.log bestand en zoek naar de logboeken van het type SlicFeedGetter.
Zodra u de relevante logbestanden vindt, gaat u verder naar de volgende sectie omdat er meerdere omstandigheden zijn die ervoor kunnen zorgen dat dit alarm wordt geactiveerd.
Gemeenschappelijke foutenlogboeken
De meest voorkomende foutenlogboeken die in de smc-core.log meldingen met betrekking tot het SLIC Channel Down-alarm worden weergegeven, zijn:
Time out verbinding
2023-01-03 22:43:28,533 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
2023-01-03 22:43:28,592 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
2023-01-03 22:45:39,604 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
org.apache.http.conn.HttpHostConnectException: Connect to lancope.flexnetoperations.com:443 [lancope.flexnetoperations.com/64.14.29.85] failed: Connection timed out (Connection timed out)
Kan geen geldig certificeringspad naar aangevraagd doel vinden
2023-01-04 00:27:50,497 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
2023-01-04 00:27:50,502 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
2023-01-04 00:27:51,239 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Handdruk is mislukt
2023-01-02 20:00:49,427 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '64.14.29.85'
2023-01-02 20:00:49,433 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=20190925-9EAE0&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=0
2023-01-02 20:00:50,227 ERROR [SlicFeedGetter] Getting Threat Feed update failed with exception.
javax.net.ssl.SSLHandshakeException: Handshake failed
Uit te voeren stappen
De updates van Threat Intelligence kunnen vanwege verschillende omstandigheden worden onderbroken. Voer de volgende validatiestappen uit om er zeker van te zijn dat uw SNA Manager aan de vereisten voldoet.
Stap 1. Slimme licentiestatus valideren
Navigeer naar Central Management > Smart Licensing en controleer of de status van de Threat Feed Licentie is Authorized.
Stap 2. Controleer de resolutie van Domain Name System (DNS)
Zorg ervoor dat de SNA Manager met succes het IP-adres kan oplossen voor lancope.flexnetoperations.com and esdhttp.flexnetoperations.com
Stap 3. Controleer de connectiviteit met de Threat Intelligence Feed Servers
Zorg ervoor dat de SNA Manager toegang tot internet heeft en dat verbinding met de volgende Threat Intelligence Servers is toegestaan:
Poorten en protocollen |
Bron |
Bestemming |
443/TCP-switch |
SNA-beheer |
esdhttp.flexnetoperations.com lancope.flexnetoperations.com |
Opmerking: Als de SNA Manager geen directe internettoegang mag hebben, zorg er dan voor dat de Proxy-configuratie voor internettoegang aanwezig is.
Stap 4. SSL-inspectie (Secure Socket Layer) uitschakelen/decryptie
De tweede en derde fout die in de Common Error Logs sectie worden beschreven, kunnen optreden wanneer de SNA-manager niet het juiste identiteitsbewijs of de juiste vertrouwensketen die door de Threat Intelligence Feed-servers wordt gebruikt, ontvangt. Om dit te voorkomen, dient u ervoor te zorgen dat er geen SSL-inspectie/decryptie wordt uitgevoerd over uw netwerk (door geschikte firewalls of proxyservers) voor verbindingen tussen de SNA Manager en de Threat Intelligence-servers die in de Verify Connectivity to the Threat Intelligence Feed Servers sectie worden vermeld.
Als u niet zeker weet of SSL-inspectie/decryptie wordt uitgevoerd in uw netwerk, kunt u een pakketopname verzamelen tussen het IP-adres van SNA Manager en het IP-adres van Threat Intelligence Servers en de opname analyseren om het ontvangen certificaat te verifiëren. Voer hiervoor de volgende handelingen uit:
1. Maak verbinding met de SNA Manager via SSH en log in met root referenties.
2. Voer een van de volgende twee opdrachten uit (de uit te voeren opdracht is afhankelijk van de vraag of de SNA-beheerder een proxyserver voor internettoegang gebruikt of niet):
tcpdump -w /lancope/var/tcpdump/slic_issue.pcap -nli eth0 host 64.14.29.85
tcpdump -w /lancope/var/tcpdump/slic_issue2.pcap -nli eth0 host [IP address of Proxy Server]
3. Laat de opname 2 tot 3 minuten lopen en stop ermee.
4. Breng het gegenereerde bestand voor analyse naar de SNA Manager. Dit kan worden bereikt met Secure Copy Protocol (SCP).
Gerelateerde gebreken
Er is één bekend defect dat gevolgen kan hebben voor de verbinding met SLIC-servers:
- SMC SLIC-communicatie kan uitvallen en mislukken als bestemmingshaven 80 is geblokkeerd. Zie Cisco bug-id CSCwe08331
Gerelateerde informatie