はじめに
本ドキュメントは、Threat Intelligence (SLIC) に関する問題のトラブルシューティング方法について説明します。Threat Intelligence (SLIC) サービスで取得するデータのことを、以降では SLIC Feed と記載します。
ライセンスの確認
Threat Intelligence (SLIC) はライセンスが必要なサービスです。必要なライセンスを購入しているか確認してください。
プロキシの設定確認
SLIC Feed はインターネット上のサーバから受信します。インターネット上のホストとの通信にプロキシが必要である場合は、プロキシが正しく設定されている必要があります。また、特定のホストとしか通信できないようにプロキシに制限をかけている場合は、以下のホストが許可されているかどうか確認してください。
- lancope.flexnetoperations.com
- esdhttp.flexnetoperations.com
SNA 側がアクセスするのは lancope.flexnetoperations.com ですが、esdhttp.flexnetoperations.com にリダイレクトされますので、両方を許可する必要があります。flexnetoperations.com のサイト側の動作変更により、別のFQDNのホストが使われる可能性もあります。その場合は、プロキシの許可設定を変更してください。
ログの確認
SLIC Feed を取得するアプリケーションの動作は以下のログファイルで確認できます。
/lancope/var/smc/log/smc-core.log
2024-04-10 03:18:38,330 INFO [SlicFeedGetter] Threat Feed has not been modified.
2024-04-10 03:19:36,289 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
2024-04-10 03:19:36,295 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '185.146.155.66'
2024-04-10 03:19:36,295 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=XXX&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=1712710240318
2024-04-10 03:19:38,117 INFO [SlicFeedGetter] Threat Feed has not been modified.
2024-04-10 03:20:36,289 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
2024-04-10 03:20:36,295 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '185.146.155.64'
2024-04-10 03:20:36,295 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=XXX&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=1712710240318
2024-04-10 03:20:38,105 INFO [SlicFeedGetter] Threat Feed has not been modified.
2024-04-10 03:21:36,289 INFO [SlicFeedGetter] Performing request to get Threat Feed update file.
2024-04-10 03:21:36,299 INFO [SlicFeedGetter] Threat Feed Host 'lancope.flexnetoperations.com' resolves to ip address '185.146.155.65'
2024-04-10 03:21:36,299 INFO [SlicFeedGetter] Threat Feed URL: /control/lncp/LancopeDownload?token=XXX&accountID=Stealthwatch+Threat+Intelligence&fileID=TEAMB-FILE&lastUpdate=1712710240318
"resolves to ip address ..." のメッセージで確認できるように、このホストのIPアドレスは、第一オクテットが 64, 65, 66 の3種類のホストで構成されており、DNS で負荷分散していることが分かります。
これは、実際に名前解決してみることでも確認できます。(AWS上の3つのホストが使われていることも分かります)
❯ dig lancope.flexnetoperations.com
; <<>> DiG 9.10.6 <<>> lancope.flexnetoperations.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39625
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;lancope.flexnetoperations.com. IN A
;; ANSWER SECTION:
lancope.flexnetoperations.com. 0 IN CNAME api-prod.flexnetoperations.com.
api-prod.flexnetoperations.com. 0 IN CNAME front-nlb-prod-us-west-2-0-b532f90042a6cf90.elb.us-west-2.amazonaws.com.
front-nlb-prod-us-west-2-0-b532f90042a6cf90.elb.us-west-2.amazonaws.com. 0 IN A185.146.155.64
front-nlb-prod-us-west-2-0-b532f90042a6cf90.elb.us-west-2.amazonaws.com. 0 IN A185.146.155.65
front-nlb-prod-us-west-2-0-b532f90042a6cf90.elb.us-west-2.amazonaws.com. 0 IN A185.146.155.66
SLIC Feed の確認
SMC が flexnetoperations.com から取得した SLIC Feed は、以下の場所に置かれます。
/lancope/var/smc/config/threat_feed_data.enc
このファイルは新しい SLIC Feed が配信されるまで残されますので、いつ取得した SLIC Feed なのかはファイルのタイムスタンプを見ることで確認できます。
smc:/# ls -l /lancope/var/smc/config/threat_feed_data.enc
-rw-r--r-- 1 tomcat tomcat 828032 Apr 10 03:50 /lancope/var/smc/config/threat_feed_data.enc
この SLIC Feed が実際に使われるのは Flow Collector (Netflow Engine) です。
ファイル名が変わっていますが中身は同じです。(MD5 値が一致します)
fc:/# ls -l /lancope/var/sw/config/threat_hosts.enc
-rw-r--r-- 1 tomcat tomcat 828032 Apr 10 03:50 /lancope/var/sw/config/threat_hosts.enc
なお、このファイルは暗号化されているため、お客様が中のデータを見ることはできません。