Intégration Archer : Dépanner l'intégration de RSA Archer

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette section donne des instructions pour résoudre les problèmes communs que vous pouvez rencontrer lors de la configuration d'Archer SecOps 1.2 ou d'Archer SecOps 1.3 avec Security Analytics Incident Management. 

Configurer le magasin d'approbations de l'autorité de certification (AC)

Problème : Après avoir ajouté le point de terminaison de Security Analytics Incident Management, le magasin d'approbations de l'autorité de certification n'est pas configuré.

Solution : 

  1. Assurez-vous que les informations d'identification SSH de l'hôte Security Analytics sont valides.
  2. Si les informations d'identification sont correctes mais que des erreurs se produisent encore, copiez manuellement les certificats.

Copier manuellement des certificats Enterprise Management

Si les certificats n'ont pas été copiés automatiquement, vous pouvez les copier manuellement.

  1. Copiez keystore-em.crt du certificat à partir de la machine UCF à l'emplacement suivant :
    <install_dir>\SA IM integration service\cert-tool\certs to the Security Analytics server at /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.31-1.b13.el6_6.x86_64/jre/lib/security.
  2. Connectez-vous à la machine où est installé RSA Security Analytics.
  3. Accédez à l'emplacement où le certificat du magasin d'approbations SA est copié :
    cd /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.31-1.b13.el6_6.x86_64/jre/lib/security
  4. Exécutez la commande suivante :
    keytool -import -alias ucfcert -keystore cacerts -filekeystore-em.crt.der

Remarque :  Si vous avez copié les certificats parce que l'ajout du point de terminaison Enterprise Management a échoué, vous devez ajouter de nouveau le point de terminaison sans copier automatiquement les certificats. Voir Configurer les points de terminaison dans RSA Unified Collector Framework Configurer Security Analytics pour une utilisation avec Archer.

Certificats Security Analytics Incident Management

Si des certificats ne sont pas copiés automatiquement, vous pouvez les copier manuellement.

  1. Copiez keystore.crt.pem du certificat à partir de la machine UCF à l'emplacement <rép_installation>\SA IM integration service\cert-tool\certs vers le serveur Security Analytics : path/tmp.
  2. Connectez-vous à la machine où est installé RSA Security Analytics.
  3. Accédez à /tmp.
  4. Pour ajouter le certificat UCF à Security Analytics RabbitMQ, saisissez ce qui suit :
    cat keystore.crt.pem >>
    /etc/puppet/modules/rabbitmq/files/truststore.pem
  1. Fournissez les informations suivantes (en anglais) :
    >puppet agent -t
  1. Lorsque l'agent termine, quittez Connection Manager.

  2. Redémarrez le service RSA Unified Collector Framework à partir de services.msc.

  3. Exécutez de nouveau Connection Manager.

Incidents dans la solution RSA Archer Security Operations Management

Problème : Les conclusions et incidents de sécurité n'apparaissent pas dans la solution RSA Archer Security Operations Management.

Solution : 

  1. Confirmez que les heures de votre système middleware et de la plate-forme RSA Archer sont synchronisées ou présentent une différence maximale d'une seconde.
  2. Vérifiez que le point de terminaison est correctement configuré.
  3. Confirmez qu'UCF est configuré sur le mode approprié.
    • Pour les conclusions, vous devez choisir de gérer le workflow d'incidents dans RSA Security Analytics.
    • Pour les incidents de sécurité, vous devez choisir de gérer le workflow d'incidents dans RSA Archer Security Operations Management.
  4. Connectez-vous via SSH à l'hôte du serveur Web SA et saisissez la commande suivante pour vérifier que la file d'incidents RSA Archer (im.archer_incident_queue) est créée :

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_incident_queue --

    silent --stderr - | grep -o '"name"\:.*

    Remarque : Si la file d'attente est créée, le résultat sera le suivant :

    "name":"im.archer_incident_

    queue","vhost":"/rsa/im/integration","durable

    ":true,"auto_delete":false,"arguments":

    {},"node":"sa@localhost"}

  5. Connectez-vous via SSH à l'hôte du serveur Web SA et saisissez la commande suivante pour vérifier que la file d'attente de tickets RSA Archer (im.archer_incident_queue) est créée :

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_tickets_queue --

    silent --stderr - | grep -o '"name"\:.*'

    Remarque : Si la file d'attente est créée, le résultat sera le suivant :

    "name":"im.archer_tickets_

    queue","vhost":"/rsa/im/integration","durable

    ":true,"auto_delete":false,"arguments":

    {},"node":"sa@localhost"}

  6. Connectez-vous via SSH à l'hôte du serveur Web SA et saisissez la commande suivante pour vérifier le nombre de messages dans la file d'attente :

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_incident_queue -- silent --stderr - | grep -o '"messages"\:[0-

    9]*'

  7. Remarque : Si la file d'attente est créée, le résultat sera le suivant : "messages" : 5

  8. Confirmez que les files d'attente ci-dessus sont renseignées par des messages provenant d'UCF.

Tâches de remédiation dans RSA Archer Security Operations Management

Problème : Les tâches de remédiation qui sont envoyées à la file d'attente des Opérations via UCF n'apparaissent pas dans RSA Archer Security Operations Management comme conclusions. 

Solution :

  1. Ouvrez Connection Manager :
    • Ouvrez une invite de commande
    • Remplacez les répertoires par <rép_installation>\SA IM integration service\data-collector.
    • Saisissez : runConnectionManager.bat
  2. Saisissez 2 pour Modifier le point de terminaison.
  3. Saisissez 3 pour Security Analytics Incident Management.
  4. Assurez-vous que la file d'attente est configurée sur Tous ou Opérations.

Erreurs entre RSA Security Analytics et RSA Unified Collector Framework

Problème : Dans <rép_install>\SA IM integration service\logs\collector.log, il existe des erreurs SSL entre RSA Security Analytics et RSA Unified Collector Framework.

Solution :

  1. Vérifiez que les certificats SSL sont valides.
  2. Remarque : Les certificats Security Analytics Incident Management sont valides pendant deux ans. 

  3. Si vos certificats ont expiré, générez de nouveau et copiez les certificats expirés.

Pour générer de nouveau et copier les certificats, procédez comme suit :

  1. Dans l'invite de commande, accédez à <rép_installation>\SA IM integration service\data-collector.
  2. Saisissez : runConnectionManager.bat
  3. Saisissez le chiffre correspondant à une nouvelle génération de certificat du service d'intégration Security Analytics Incident Management.

  4. Dans le point de terminaison Security Analytics Incident Management de Connection Manager, saisissez le chiffre correspondant à la modification du point de terminaison.

  5. Saisissez Oui pour copier automatiquement les certificats dans la zone de stockage fiable Security Analytics.

Remarque : Si la copie des certificats a échoué, procédez manuellement.

You are here
Table of Contents > Dépanner l'intégration de RSA Archer

Attachments

    Outcomes