Introduzione
In questo documento viene descritto come eseguire un'analisi di base e come risolvere i problemi relativi al modulo di integrazione di XDR, Insights e Secure Email Appliance.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- XDR
- Security Services Exchange
- Posta elettronica protetta
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Security Services Exchange
- XDR
- Secure Email C100V sul software versione 13.0.0-392
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Cisco Secure Email Appliance (in precedenza Email Security Appliance) fornisce funzionalità avanzate di protezione dalle minacce per rilevare, bloccare e correggere più rapidamente le minacce, prevenire la perdita di dati e proteggere le informazioni importanti in transito con la crittografia end-to-end. Una volta configurato, il modulo Secure Email Appliance fornisce i dettagli associati agli osservatori. È possibile:
- Visualizzare i report e-mail e tenere traccia dei messaggi provenienti da più appliance dell'organizzazione
- Identificazione, analisi e risoluzione delle minacce osservate nei report e-mail e nelle tracce dei messaggi
- Risolvere rapidamente le minacce identificate e fornire le azioni consigliate per contrastare le minacce identificate
- Documentare le minacce per salvare l'indagine e consentire la collaborazione di informazioni tra altri dispositivi
L'integrazione di un modulo Secure Email Appliance richiede l'utilizzo di Security Services Exchange (SSE). SSE consente a un dispositivo Secure Email Appliance di registrarsi con Exchange e fornisce l'autorizzazione esplicita per accedere ai dispositivi registrati.
Per ulteriori informazioni sulla configurazione, fare riferimento a questo articolo contenente i dettagli del modulo di integrazione.
Risoluzione dei problemi
Per la risoluzione dei problemi più comuni relativi all'integrazione di XDR e Secure Email Appliance, è possibile verificare i passaggi descritti di seguito.
Il dispositivo di posta elettronica sicura non è visualizzato nel portale XDR né nel portale Exchange dei servizi di sicurezza
Se il dispositivo non è visualizzato nel portale SSE, assicurarsi di aver abilitato XDR Threat Response and Event Services nel portale SSE, passare a Cloud Services e abilitare i servizi, come illustrato nell'immagine seguente:
![cloud](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-13.png)
Secure Email non richiede il token di registrazione
Assicurarsi di eseguire il commit delle modifiche, una volta abilitato il servizio Cisco XDR / Threat Response, altrimenti le modifiche non verranno applicate alla sezione Cloud Service (Servizio cloud) dell'e-mail sicura. Vedere l'immagine seguente.
![securex_commit](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-14.png)
Registrazione non riuscita a causa di un token non valido o scaduto
Se viene visualizzato il messaggio di errore: "Registrazione non riuscita a causa di un token non valido o scaduto. Verificare di utilizzare un token valido per l'appliance con il portale Cisco XDR Threat Response nell'interfaccia utente di Secure Email, come nell'immagine seguente:
![esa_error](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-15.png)
Verificare che il token sia generato dal cloud corretto:
Se utilizzi Europe (EU) Cloud per Secure Email, genera il token da https://admin.eu.sse.itd.cisco.com/
Se usi Americas (NAM) Cloud per Secure Email, genera il token da https://admin.sse.itd.cisco.com/
Tenere inoltre presente che il token di registrazione ha una scadenza (selezionare l'ora più conveniente per completare l'integrazione in tempo), come mostrato nell'immagine.
![adddevice](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-16.png)
XDR Dashboard non visualizza informazioni sul modulo Secure Email
È possibile selezionare un intervallo di tempo più ampio nelle tessere disponibili, da Ultima ora a Ultimi 90 giorni, come nell'immagine seguente.
![time](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-17.png)
Altri esempi potrebbero essere il messaggio "C 'è stato un problema. Riprovare più tardi." oppure il messaggio di errore "Si è verificato un errore del client nel modulo Secure Email: E4017: Device is offline [409]". Verificare se il dispositivo è ancora visualizzato come registrato sul portale SSE, probabilmente è stato escluso dalla registrazione e non è più visibile. Provare ad aggiungere un nuovo modulo al portale XDR.
Nel modulo del riquadro Secure Email di XDR viene visualizzato l'errore "Si è verificato un errore imprevisto nel modulo Secure Email"
Secure Email richiede che la configurazione AsyncOS API HTTP e HTTPS sia abilitata sull'interfaccia di gestione per comunicare con il portale XDR/CTR. Per una e-mail sicura locale, configurare questa funzione dalla GUI del portale Secure Email, selezionare Rete > Interfacce IP > Interfaccia di gestione > API AsyncOS e abilitare HTTP e HTTPS, come mostrato nell'immagine.
![network_mgnt](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-18.jpeg)
![AsyncOS](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-19.jpeg)
Per un servizio CES (Cloud-Based Secure Email) questa configurazione deve essere effettuata dal back-end da un tecnico TAC per la posta elettronica sicura, deve poter accedere al tunnel di supporto del servizio CES interessato.
Verifica
Una volta che Secure Email è stato aggiunto come origine a Device Insights, puoi vedere lo stato della connessione all'API REST.
- È possibile visualizzare la connessione API REST con stato verde
- Premere il tasto SYNC NOW per attivare la sincronizzazione completa iniziale, come mostrato nell'immagine
![Screenshot 2023-09-21 at 17.24.20](/c/dam/en/us/support/docs/security/xdr/220676-troubleshoot-xdr-and-secure-email-applia-20.png)
Se il problema persiste con l'integrazione di XDR e Secure Email Appliance, consultare questo articolo per raccogliere i log HAR dal browser e contattare il supporto TAC per eseguire un'analisi più approfondita.
Informazioni correlate