外部の脅威フィードのトラブルシューティング失敗の主な原因
内容
はじめに
このドキュメントでは、外部の脅威フィードの実装、エラー分析、および解決のためのアクション中に失敗するいくつかの理由について説明します。
前提条件
特別な要件はありません。そのため、次の項目に関する知識があることが推奨されます。
- Cisco Secure Email Gateway(ESA)
- 外部脅威フィード(ETF)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェア12.x以降のバージョンが稼働するCisco Secure Email Gateway(ESA)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
失敗の理由:
ETFサービスが無効になっているか、サービスに有効な機能キーがありません
(Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds
Press Ctrl-C to stop.
Wed Sep 8 16:15:26 2021 Info: THREAT_FEEDS: A delta poll is scheduled for the source: Test_Poll_Path
Machine: ‘esa03.taclab.krk'. A failure was encountered for the source 'Test_Poll_Path'.
Reason for failure: The ETF service is either disabled or there is no valid feature key for the service.
解決方法
次の内容を確認してください。
- ETF機能キーが正しくインストールされている。
- EULAが承認され、機能キーがグローバルに有効になりました。
- マシンレベルでライセンスを適用。
新しい接続を確立できませんでした: [Errno 110]接続がタイムアウトしました
(Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds
Press Ctrl-C to stop.
Reason for failure: Taxii Error: HTTPSConnectionPool(host= otx.alienvault.comport, port=443): Max retries exceeded with url: /taxii/poll/ (Caused by NewConnectionError('<requests.packages....
Failed to establish a new connection: [Errno 110] Connection timed out',))
解決方法
- ファイアウォールとプロキシがトラフィックをブロックしないことを確認します。
プロキシは、GUI > Security Services > Service Updatesで確認できます。 - パケットキャプチャで接続を確認します。GUI > Help and Support > Packet Captureの順に移動します。
失敗の理由:「400」
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 6 13:38" threatfeeds
Mon Sep 6 13:38:16 2021 Debug: THREAT_FEEDS: Failed to fetch observables from the source: Test_Poll_Path. Reason for failure: '400'
Mon Sep 6 13:38:55 2021 Info: THREAT_FEEDS: The source 'Test_Poll_Path' is currently in a polling state and therefore a poll for this source cannot be initiated at this time.
解決方法
エラー「400」は、このポーリングパスは存在するが、TAXIIサーバが提供する別のサービスを指していることを示しています。
- ポーリングパスの設定が、ディスカバリ要求ではなくポーリング要求で設定されていることを確認します。
- GUI > Mail Policies > External Threat Feeds Manager > Use HTTPSでHTTPSが有効になっていることを確認します。
HTTPエラー:ステータスコード401認証エラー
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 8 16:35" threatfeeds
Wed Sep 8 16:35:39 2021 Debug: THREAT_FEEDS: Updating the timestamp: 2021-09-08 16:31:36.071684 for the last attempted poll for the source: ETF_Source_Name
Wed Sep 8 16:35:39 2021 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: HTTP Error: status code 401 authentication failureurce not available
解決方法
このエラーコードは、ターゲットリソースの有効な認証資格情報がないことを示します。
クレデンシャルが正しく設定されていることを確認します。
ユーザのクレデンシャルを設定しないオプションもあります。
Taxiiエラー: HTTPエラー:状態コード404要求されたリソースは利用できません
(Machine esa03.taclab.krk) (SERVICE)> grep "Aug 27 08:51" threatfeeds
Fri Aug 27 08:51:16 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: Test after 3 failed attempts. Reason for failure: Taxii Error: HTTP Error: status code 404 requested resource not available
Fri Aug 27 08:51:16 2021 Info: THREAT_FEEDS: Job failed with exception : Source: Test. Reason for failure: Taxii Error: HTTP Error: status code 404 requested resource not available
解決方法
ESA GUI > Mail Policies > External Threat Feeds Manager > Choose the Proper Source Nameで、ソースのポーリングパス/コレクション名を確認します。
失敗の理由: 「405」
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 13 00:2" threatfeeds
Mon Sep 13 00:20:21 2021 Debug: THREAT_FEEDS: Failed to fetch observables from the source: Anomali. Reason for failure: '405’
解決方法
これは、ポーリングパスの最後にトレール「/」スラッシュがないために発生する構文エラーです。
パス/taxii/poll/の最後にトレイルスラッシュを追加します。
HTTPエラー:ステータスコード503 Service Unavailable
(Machine esa03.taclab.krk) (SERVICE)> grep "Nov 10 13:45" threatfeeds
Sun Nov 10 13:45:21 2020 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: HTTP Error: status code 503 service unavailable
Sun Nov 10 13:45:22 2020 Info: THREAT_FEEDS: A delta poll is scheduled for the source: ETF_Source_Name
解決方法
エラーコードは、宛先TAXIIサーバの問題を示しています。この問題をさらに調査する必要があります。
これは、サーバが過負荷のときに発生する可能性があります。詳細については、ベンダーにお問い合わせください。
NOT_FOUND:要求されたコレクションが見つかりませんでした
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 7 12:53" threatfeeds
Tue Sep 7 12:53:16 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: Test_Poll_Path after 3 failed attempts. Reason for failure: Taxii Error: NOT_FOUND: The requested collection could not be found
Tue Sep 7 12:53:16 2021 Debug: THREAT_FEEDS: Updating the timestamp: 2021-09-07 12:49:12.648625 for the last attempted poll for the source: Test_Poll_Path
解決方法
このエラーは、コレクション名のスペルが正しいことを示していますが、コレクションのTAXIIサーバに要求を拒否する問題があります。
コレクション名の有効期限タイマーが原因である可能性があります。
この種の不整合を確認するには、ベンダーにお問い合わせください。
[SSL: CERTIFICATE_VERIFY_FAILED]証明書の検証に失敗しました(_ssl.c:590)
(Machine esa03.taclab.krk) (SERVICE)> grep "Sep 8 16:35" threatfeeds
Wed Sep 8 16:35:26 2021 Info: THREAT_FEEDS: A delta poll is scheduled for the source: ETF_Source_Name
Wed Sep 8 16:35:33 2019 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: ETF_Source_Name after 3 failed attempts. Reason for failure: Taxii Error: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
解決方法
このエラーは、証明書の障害を示します。
この問題を解決するには、認証局(CA)リストの証明書をインポートします。
GUI > Network > Certificates > Edit Settings > Custom Listの順に移動します。
Enableモードを選択し、証明書をアップロードします。
XML解析エラー:要素が見つかりません(行0)
(Machine esa03.taclab.krk) (SERVICE)> grep "Aug 21 02:39" threatfeeds
Fri Aug 21 02:39:37 2021 Warning: THREAT_FEEDS: Unable to fetch the observables from the source: ETF_Source_Name after 3 failed attempts. Reason for failure: Taxii Error: XML Parising Error: no element found (line 0)
Fri Aug 21 02:39:37 2021 Info: THREAT_FEEDS: Job failed with exception : Source: ETF_Source_Name. Reason for failure: Taxii Error: XML Parising Error: no element found (line 0)
解決方法
ESA設定のTime Span of Poll Segment値を3 ~ 4日に減らします。
新しい接続を確立できませんでした: [Errno 111]接続が拒否されました
(Machine esa03.taclab.krk) (SERVICE)> tail threatfeeds
Press Ctrl-C to stop.
Reason for failure: Taxii Error: HTTPSConnectionPool(host=otx.alienvault.comport=443): Max retries exceeded with url: /taxii/poll/ (Caused by NewConnectionError('<requests.packages..
Failed to establish a new connection: [Errno 111] Connection refused',))
解決方法
- CLIからtelnetまたはnetstatコマンドを使用して、適切なポートがリッスンしていることを確認します。
- ファイアウォールがポートをブロックしていないことを確認します。
- 実行中のサービスにPort Misconfiguration/Stale portがないことを確認します。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
25-Apr-2023 |
初版 |
フィードバック