Archer統合:RSA Archer統合のトラブルシューティング

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このセクションでは、Security Analytics Incident ManagementでArcher SecOps 1.2またはArcher SecOps 1.3を構成する際に発生する可能性のある一般的な問題を解決する方法を示します。 

CAトラストストアの設定

問題:Security Analytics Incident Managementのエンドポイントを追加した後、CAトラストストアの設定に失敗します。

解決策: 

  1. Security AnalyticsホストのSSH認証情報が有効であることを確認します。
  2. 認証情報は正しいが、エラーが引き続き発生する場合は、証明書を手動でコピーします。

Enterprise Managementの証明書を手動でコピーする

証明書が自動的にコピーされない場合は、証明書を手動でコピーできます。

  1. UCFマシンの証明書「keystore-em.crt」を
    「<install_dir>\SA IM integration service\cert-tool\certs」から、Security Analyticsサーバの「/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.31-1.b13.el6_6.x86_64/jre/lib/security」にコピーします。
  2. RSA Security Analyticsがインストールされているマシンにログオンします。
  3. 証明書のコピー先に移動します。
    cd /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.31-1.b13.el6_6.x86_64/jre/lib/security
  4. 次のコマンドを実行します。
    keytool -import -alias ucfcert -keystore cacerts -filekeystore-em.crt.der

注: Enterprise Managementエンドポイントの追加に失敗したため、証明書をコピーした場合は、証明書の自動コピーを選択しないで、エンドポイントを再度追加する必要があります。「Archerと連携するSecurity Analyticsの構成する」トピックで「RSA Unified Collector Frameworkのエンドポイントを構成するArcherと連携するSecurity Analyticsの構成.

Security Analytics Incident Managementの証明書

証明書が自動的にコピーされない場合は、証明書を手動でコピーできます。

  1. 証明書ファイル「keystore.crt.pem」を、UCFマシンの「<install_dir>\SA IM integration service\cert-tool\certs」から、Security Analyticsサーバ上の「/tmp」にコピーします。
  2. RSA Security Analyticsがインストールされているマシンにログオンします。
  3. /tmpに移動します。
  4. Security Analytics RabbitMQにUCF証明書を追加するため、次のコマンドを実行します。
    cat keystore.crt.pem >>
    /etc/puppet/modules/rabbitmq/files/truststore.pem
  1. 次のコマンドを実行します。
    >puppet agent -t
  1. エージェントが完了したら、Connection Managerを終了します。

  2. services.mscからRSA Unified Collector Frameworkサービスを再起動します。

  3. Connection Managerを再度実行して、SAエンドポイントの構成を続けます。

RSA Archer Security Operations Managementソリューションのインシデント

問題:RSA Archer Security Operations Managementソリューションに発見事項とセキュリティ インシデントが表示されません。

解決策: 

  1. ミドルウェア システムとRSA Archer Platformの時刻が同期されていること、または時刻の差異が1秒未満であることを確認します。
  2. エンドポイントが正しく構成されていることを確認します。
  3. UCFが適切なモードに設定されていることを確認します。
    • 発見事項については、RSA Security Analyticsでインシデント ワークフローを選択および管理する必要があります。
    • セキュリティ インシデントについては、RSA Archer Security Operations Managementでインシデント ワークフローを選択および管理する必要があります。
  4. SA Webサーバ ホストにSSH接続し、次のコマンドを入力して、RSA Archerインシデント キュー(im.archer_incident_queue)が作成されていることを確認します。

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_incident_queue --

    silent --stderr - | grep -o '"name"\:.*

    注:キューが作成された場合、出力は次のようになります。

    "name":"im.archer_incident_

    queue","vhost":"/rsa/im/integration","durable

    ":true,"auto_delete":false,"arguments":

    {},"node":"sa@localhost"}

  5. SA Webサーバ ホストにSSH接続し、次のコマンドを入力して、RSA Archerチケット キュー(im.archer_tickets_queue)が作成されていることを確認します。

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_tickets_queue --

    silent --stderr - | grep -o '"name"\:.*'

    注:キューが作成された場合、出力は次のようになります。

    "name":"im.archer_tickets_

    queue","vhost":"/rsa/im/integration","durable

    ":true,"auto_delete":false,"arguments":

    {},"node":"sa@localhost"}

  6. SA Webサーバ ホストにSSH接続し、次のコマンドを入力して、インシデント キューのメッセージの数を確認します。

    curl -k -u guest:guest

    https://127.0.0.1:15671/api/queues/%2Frsa%2Fi

    m%2Fintegration/im.archer_incident_queue -- silent --stderr - | grep -o '"messages"\:[0-

    9]*'

  7. 注:キューが作成された場合、出力は次のようになります。"messages" : 5

  8. 上記のキューにUCFからのメッセージが入力されることを確認します。

RSA Archer Security Operations Managementの改善タスク

問題:UCFを介してOperationsキューにプッシュされる改善タスクがRSA Archer Security Operations Managementに発見事項として表示されません。 

解決策:

  1. Connection Managerを開きます。
    • コマンド プロンプトを開きます。
    • 次のディレクトリに移動します:<install_dir>\SA IM integration service\data-collector
    • 次のコマンドを実行します:runConnectionManager.bat
  2. 「2」を入力して、エンドポイントの編集を選択します。
  3. 「3」を入力して、「Security Analytics Incident Management」を選択します。
  4. ターゲット キューが[All]または[Operations]に設定されていることを確認します。

RSA Security AnalyticsとRSA Unified Collector Framework間のエラー

問題:<install_dir>\SA IM integration service\logs\collector.logに、RSA Security AnalyticsとRSA Unified Collector Framework間のSSLエラーが記録されています。

解決策:

  1. SSL証明書が有効であることを確認します。
  2. 注:Security Analytics Incident Managementの証明書は、2年間有効です。 

  3. 証明書が期限切れの場合は、期限が切れた証明書を再生成して、コピーします。

証明書を再生成およびコピーするには、次の手順を実行します。

  1. コマンド プロンプトを開き、次のディレクトリに移動します:<install_dir>\SA IM integration service\data-collector
  2. 次のように入力します。runConnectionManager.bat
  3. 番号を入力し、「Regenerate Security Analytics Incident Management Integration Service Certificate」を選択します。

  4. 番号を入力し、Security Analytics Incident Managementエンドポイントの編集を選択します。

  5. Security Analyticsトラスト ストアに証明書を自動的にコピーするには、「Yes」を入力します。

注:証明書のコピーに失敗する場合は、証明書を手動でコピーします。

You are here
Table of Contents > RSA Archer統合のトラブルシューティング

Attachments

    Outcomes