Integración de Archer: Solucionar problemas de integración de RSA Archer

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En esta sección se proporcionan soluciones a problemas comunes que pueden surgir durante la configuración de Archer SecOps 1.2 o Archer SecOps 1.3 con Security Analytics Incident Management. 

Configuración del almacén de confianza de CA

Problema: Después de agregar el terminal para Security Analytics Incident Management, el almacén de confianza de CA no se puede configurar.

Solución: 

  1. Asegúrese de que las credenciales del protocolo SSH para el host de Security Analytics sean válidas.
  2. Si las credenciales son correctas, pero el error persiste, copie manualmente los certificados.

Copiar manualmente los certificados de Enterprise Management

Si los certificados no se copiaron automáticamente, puede copiarlos de forma manual.

  1. Copie el certificado keystore-em.crt desde la máquina de UCF en la siguiente ubicación:
    <install_dir>\SA IM integration service\cert-tool\certs al servidor de Security Analytics en /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.31-1.b13.el6_6.x86_64/jre/lib/security.
  2. Inicie sesión en la máquina que tiene instalado RSA Security Analytics.
  3. Vaya a la ubicación donde se copia el certificado del almacén de confianza de SA:
    cd /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.31-1.b13.el6_6.x86_64/jre/lib/security
  4. Ejecute el siguiente comando:
    keytool -import -alias ucfcert -keystore cacerts -filekeystore-em.crt.der

Nota:  Si copió los certificados debido a que no se pudo agregar el terminal de Enterprise Management, debe volver a agregar el terminal sin copiar automáticamente los certificados. Consulte Configurar terminales en RSA Unified Collector Framework en Configurar Security Analytics para trabajar con Archer.

Certificados de Security Analytics Incident Management

Si los certificados no se copian automáticamente, puede copiarlos de forma manual.

  1. Copie el certificado keystore.crt.pem desde la máquina de UCF en <install_dir>\SA IM integration service\cert-tool\certs al servidor de Security Analytics en una ruta /tmp.
  2. Inicie sesión en la máquina que tiene instalado RSA Security Analytics.
  3. Vaya a /tmp.
  4. Para agregar el certificado de UCF a Security Analytics RabbitMQ, escriba lo siguiente:
    cat keystore.crt.pem >>
    /etc/puppet/modules/rabbitmq/files/truststore.pem
  1. Ingrese la siguiente información:
    >puppet agent -t
  1. Una vez que se complete el agente, salga del administrador de conexión.

  2. Reinicie el servicio de RSA Unified Collector Framework desde services.msc.

  3. Vuelva a ejecutar Connection Manager para continuar con la configuración de extremos de SA.

Incidentes en la solución RSA Archer Security Operations Management

Problema: Las conclusiones y los incidentes de seguridad no aparecen en la solución RSA Archer Security Operations Management.

Solución: 

  1. Confirme que las horas de su sistema de middleware y de RSA Archer Platform estén sincronizadas o que no tengan una diferencia superior a un segundo.
  2. Verifique que el extremo esté configurado correctamente.
  3. Confirme que el UCF esté configurado en el modo adecuado.
    • En el caso de las conclusiones, debe optar por administrar el flujo de trabajo de incidentes en RSA Security Analytics.
    • En el caso de los incidentes de seguridad, debe optar por administrar el flujo de trabajo de incidentes en RSA Archer Security Operations Management.
  4. Obtenga acceso al host del servidor web de SA mediante el protocolo SSH y escriba el siguiente comando para verificar la creación de la línea de espera de incidentes de RSA Archer (im.archer_incident_queue):

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_incident_queue --

    silent --stderr - | grep -o '"name"\:.*

    Nota: Si se crea la línea de espera, la salida se lee de la siguiente manera:

    "name":"im.archer_incident_

    queue","vhost":"/rsa/im/integration","durable

    ":true,"auto_delete":false,"arguments":

    {},"node":"sa@localhost"}

  5. Obtenga acceso al host del servidor web de SA mediante el protocolo SSH y escriba el siguiente comando para verificar la creación de la línea de espera de vales de RSA Archer (im.archer_tickets_queue):

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_tickets_queue --

    silent --stderr - | grep -o '"name"\:.*'

    Nota: Si se crea la línea de espera, la salida se lee de la siguiente manera:

    "name":"im.archer_tickets_

    queue","vhost":"/rsa/im/integration","durable

    ":true,"auto_delete":false,"arguments":

    {},"node":"sa@localhost"}

  6. Obtenga acceso al host del servidor web de SA mediante el protocolo SSH y escriba el siguiente comando para comprobar la cantidad de mensajes en la línea de espera de incidentes:

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_incident_queue -- silent --stderr - | grep -o '"messages"\:[0-

    9]*'

  7. Nota: Si se crea la línea de espera, la salida se lee de la siguiente manera: "messages" : 5

  8. Confirme que las líneas de espera anteriores se completen con mensajes del UCF.

Tareas de corrección en RSA Archer Security Operations Management

Problema: Las tareas de corrección que migran a la línea de espera de operaciones a través del UCF no aparecen en RSA Archer Security Operations Management como conclusiones. 

Solución:

  1. Abra el administrador de conexión:
    • Abra una línea de comandos
    • Cambie de directorio a <install_dir>\SA IM integration service\data-collector.
    • Escriba: runConnectionManager.bat
  2. Ingrese 2 para editar extremo.
  3. Ingrese 3 para Security Analytics Incident Management.
  4. Asegúrese de que la línea de espera objetivo esté configurada en Todo o en Operaciones.

Errores entre RSA Security Analytics y RSA Unified Collector Framework

Problema: En <install_dir>\SA IM integration service\logs\collector.log, hay errores de SSL entre RSA Security Analytics y RSA Unified Collector Framework.

Solución:

  1. Verifique que los certificados de SSL sean válidos.
  2. Nota: Los certificados de Security Analytics Incident Management son válidos durante dos años. 

  3. Si sus certificados están vencidos, vuelva a generarlos y copie los certificados vencidos.

Para volver a generar y copiar los certificados, realice lo siguiente:

  1. En la línea de comandos, vaya a <install_dir>\SA IM integration service\data-collector.
  2. Escriba: runConnectionManager.bat
  3. Ingrese el número para Volver a generar el certificado de servicio de integración de Security Analytics Incident Management.

  4. En el terminal de Security Analytics Incident Management en el administrador de conexión, ingrese el número que corresponde a Editar terminal.

  5. Ingrese Sí para copiar automáticamente los certificados en el área de almacenamiento de confianza de Security Analytics.

Nota: Si los certificados no se copian, cópielos manualmente.

You are here
Table of Contents > Solucionar problemas de integración de RSA Archer

Attachments

    Outcomes