简介
本文档介绍集成、验证SecureX与网络安全设备(WSA)的集成并对其进行故障排除所需的步骤
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
- 网络安全设备(WSA)
- 安全服务交换(SSE)
- SecureX门户
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
SecureX的每个区域所需的URL
验证WSA设备是否可以访问端口443上的URL:
美国地区
欧盟地区
- api.eu.ss e.itd.cisco.com
注意:如果通过亚太地区、日本和中国URL(https://visibility.apjc.amp.cisco.com/)访问SecureX,则当前不支持与设备的集成。
为SSE注册准备WSA
1. — 在SSE门户上,导航至Devices,然后点击(+)Add Devices and Generate Tokens图标,如图所示:
2. — 单击“继续”,生成WSA的令牌,如图所示。
3. — 在WSA命令行界面(CLI)中启用CTROBSERVABLE,在REPORTINGCONFIG下,您可以找到用于启用CTROBSERVABLE的选项,如图所示:
4. — 启用安全服务交换(SSE)云门户,导航到网络>云服务设置>编辑设置,点击启用和提交,如图所示:
5. — 选择要连接的云:
6. — 输入您在SEE上生成的令牌(请确保在过期时间之前使用令牌):
7. — 注册令牌后,您会看到一条消息,指示设备已成功注册
8. — 之后,您会看到在SSE门户上注册的设备:
将设备集成到SecureX
步骤1:要将WSA与SecureX集成,请导航到集成>添加新模块,然后选择网络安全设备,然后选择您的设备,设置请求时间范围,然后单击保存,如图所示。
第二步:要创建仪表板,请单击+新建仪表板图标,选择要用于仪表板的名称和磁贴。
验证
执行集成后,您可以看到从SSE填充的控制面板信息,您可以点击任何检测到的威胁,然后启动SSE门户,并在其上使用Event Type过滤器。
故障排除
从CLI验证设备注册
步骤1:在后端运行curl命令以检查连接状态。从curl输出中查找exchange下的状态字段以及FQDN(完全限定域名)和注册等字段。注册设备处于注册状态:
/usr/local/bin/curl -XGET -v http://localhost:8823/v1/contexts/default
"exchange": [
{
"type": "registration",
"status": "Enrolled",
"name": "",
"description": "Device has been enrolled."
第二步:从此输出中,您还可以检查从连接器进行的查询:
type": "administration",
"statistics": {
"transactionsProcessed": 20,
"failedTransactions": 0,
"lastFailedTransaction": "0001-01-01T00:00:00Z",
"requestFetchFailures": 0,
"responseUploadFailures": 0,
"commandsProcessed": 20,
"commandsFailed": 0,
"lastFailedCommand": "0001-01-01T00:00:00Z"
第三步:您还可以检查从连接器到SSE的心跳(默认情况下为5分钟):
refresh": {
"registration": {
"timestamp": "2010-06-29T03:51:45Z",
"timeTaken": 1.387869786,
"successCount": 6,
"failureCount": 0
第四步:要检查WSA上的连接器日志,您需要导航到:
/data/pub/sse_connectord_logs/sse_connectord_log.current
可以在sse_connectord_log.current中找到的信息
- 与SSE的注册交易
- 富集查询的日志
- 用于在SSE门户中取消注册的日志
视频
您可以在此视频中找到本文档中包含的信息