排除XDR和安全邮件设备(以前称为ESA)集成故障

下载选项

  • PDF     (682.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (252.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (202.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 6 月 14 日
文档 ID:220676

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍执行基本分析的步骤以及如何对XDR和见解以及安全邮件设备集成模块进行故障排除。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • XDR
    • 安全服务交换
    • 安全电子邮件

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 安全服务交换
    • XDR
    • 软件版本13.0.0-392上的安全电子邮件C100V

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    思科安全邮件设备(以前称为邮件安全设备)提供高级威胁防护功能,通过端到端加密来更快地检测、阻止和修复威胁,防止数据丢失,并保护传输中的重要信息。配置完成后,安全邮件设备模块将提供与可观察项相关的详细信息。您可以:

    • 查看邮件报告和邮件跟踪来自您组织中的多个设备的数据
    • 识别、调查并修复在邮件报告和邮件跟踪中观察到的威胁
    • 快速解决已确定的威胁,并针对已确定的威胁提供建议措施
    • 记录威胁以保存调查,并在其他设备之间实现信息协作

    集成安全邮件设备模块需要使用安全服务交换(SSE)。SSE允许安全邮件设备向Exchange注册,并且您提供访问已注册设备的明确权限。 

    如果您想了解有关配置的更多信息,请查看,此文章介绍集成模块详情。

    故障排除

    为了排除XDR和安全邮件设备集成的常见问题,您可以验证这些步骤。

    XDR和安全服务交换门户中未显示安全电子邮件设备

    如果您的设备未显示在SSE门户中,请确保已在SSE门户中启用XDR威胁响应事件服务,导航到云服务,然后启用服务,如下图所示:


    cloud

    安全电子邮件不请求注册令牌

    启用思科XDR/威胁响应服务后,请确保提交更改,否则,更改将不会应用于安全邮件中的“云服务”部分,请参阅下图。

    securex_commit

    注册失败,因为令牌无效或过期

    如果看到错误消息:“注册因无效或过期的令牌而失败。确保与安全邮件GUI中的Cisco XDR威胁响应门户“”一起使用适用于您的设备的有效令牌,如下图所示:

    esa_error

    请确保从正确的云生成令牌:

    如果您使用欧洲(欧盟)云安全邮件,请从https://admin.eu.sse.itd.cisco.com/生成令

    如果使用美洲(NAM)云进行安全邮件,请从https://admin.sse.itd.cisco.com/生成令

    安全服务交换(SSE)门户:

    NAM:https://admin.sse.itd.cisco.com/

    欧盟:https://admin.eu.sse.itd.cisco.com/
    Cisco XDR门户

    NAM:https://XDR.us.security.cisco.com/

    欧盟:https://XDR.eu.security.cisco.com/
    安全邮件Cisco XDR/威胁响应服务器:

    NAM:api-sse.cisco.com

    欧盟:api.eu.sse.itd.cisco.com

    此外,请记住,注册令牌有一个到期时间(选择最方便的时间及时完成集成),如图所示。

    adddevice

    XDR控制面板不显示有关安全邮件模块的信息

    您可以在可用磁贴中选择较宽的时间范围,从Last HourLast 90 Days,如下图所示。

    time

    其他示例可能是,我们看到消息“There a problem.请稍后重试。”甚至错误消息“There was an client error in the Secure Email module: E4017: Device is offline [409]”。 验证设备是否仍显示为通过SSE门户注册,设备可能已取消注册并且不再可见。请尝试向XDR门户添加新模块。

    XDR安全邮件磁贴模块显示错误“There an unexpected Error on the Secure Email module”

    安全电子邮件需要通过管理接口启用AsyncOS API HTTP和HTTPS配置才能与XDR/CTR门户通信。 对于内部安全邮件,请从安全邮件门户GUI配置此功能,导航到网络(Network)> IP接口(IP Interfaces)>管理接口(Management interface)> AsyncOS API,然后启用HTTP和HTTPS,如图所示。

    network_mgnt

    AsyncOS

    对于CES(基于云的安全邮件),此配置需要由安全邮件TAC工程师从后端完成,它需要访问受影响的CES的支持隧道。

    验证

    将安全邮件作为源添加到Device Insights后,您可以看到成功的REST API连接状态。

    • 您可以看到REST API连接处于绿色状态
    • SYNC NOW以触发初始完全同步,如图所示

    Screenshot 2023-09-21 at 17.24.20

    如果XDR和安全邮件设备集成仍然存在问题,请参阅本文以从浏览器收集HAR日志,并与TAC支持联系,以执行更深入的分析。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    28-Jul-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • Nayeli Calva
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品