セキュリティ : Cisco AMP Virtual Private Cloud Appliance

FireSIGHT Management Center の AMP で接続および登録問題を解決して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

配備の FireSIGHT Management Center は Cisco にクラウドを接続できます。 クラウドに接続するために FireSIGHT Management Center を設定した後スキャン、malware 検出および検疫のレコードを受け取ることができます。 レコードは malware イベントとして FireSIGHT Management Center データベースで保存されます。 デフォルトで、クラウドは組織内のすべてのグループのための malware イベントを送信 しますが、接続を設定するときグループによって制限できます。 この資料は FireSIGHT Management Center の高度 Malware 保護(AMP)機能のさまざまな問題およびトラブルシューティング の 手順を説明します。

著者:Cisco TAC エンジニア、ナズムル・ラジブ。

ポートかサーバはファイアウォールでブロックされます

FireSIGHT Management Center が FireAMP Cloud コンソール、malware イベントを受け取らないことに接続することができないかどうか必須ポートがファイアウォールによって blosked かどうか確認して下さい。 FireSIGHT Management Center は FireAMP コンソールからエンドポイント ベースの malware イベントを受け取るのにポート 443 を使用します。 FirePOWER アプライアンスが Cisco Cloud で malware ルックアップを行うことができるようにポート 32137 が必要となります。

詳細を必須ポート番号およびサーバアドレスについて学ぶために、次に挙げるドキュメントを読んで下さい:

使用中の MAC アドレス

症状

FireSIGHT Management Center をプライベート クラウドに登録し、最初 の 接続を行うように試みるとき MAC アドレスが既に使用中であることを示すメッセージを受け取ることができます。

原因

FireSIGHT Management Center がハードウェア障害が取り替えられた原因の、置換 ユニットがクラウドからきちんと登録を解除されないとき、この問題に直面することができます。

解決策

アプライアンスを取り替える前に、FireAMP Cloud からの FireSIGHT Management Center の登録を取り消して下さい。 また FireAMP クラウドから FireSIGHT Management Center を取除く必要があります。 これは MAC アドレスが使用中ように感知されることを防ぎます。

ヒント: FireAMP Cloud からのアプライアンスの登録を取り消し FireSIGHT Management Center からクラウドを削除する方法の詳細 プロセスを理解するためにこの資料を読んで下さい。

一般/未知 の エラーは表示する

症状

イメージ変更されるか、または置換 FireSIGHT Management Center を FireAMP コンソールに接続するとき、エラーメッセージが現れます。 それは一般/未知 の エラーを表示する。

一般/Unknown エラー メッセージが現われるとき、FireSIGHT Management Center の FireAMP 接続の状態は重要になります。 Webインターフェイスはレッド アイコンを表示する。

原因

この問題は FireAMP コンソールへのちょうどイメージ変更されるか、または取り替えられた FireSIGHT Management Center の MAC アドレスが、それでも登録されているとき発生します。

解決策

アプライアンスをイメージ変更するか、または取り替える前に、FireAMP Cloud からの FireSIGHT Management Center の登録を取り消して下さい。 また FireAMP クラウドから FireSIGHT Management Center を取除く必要があります。 これは MAC アドレスが使用中ように感知されることを防ぎます。

ヒント: FireAMP Cloud からのアプライアンスの登録を取り消し FireSIGHT Management Center からクラウドを削除する方法の詳細 プロセスを理解するためにこの資料を読んで下さい。

Cloud を選択することが不可能

症状

FireSIGHT Management Center からの FireAMP Cloud コンソールへの接続を作成した場合、ない米国 Cloud か EU Cloud のために見つけられるオプションを廃棄して下さい。

原因

この問題は FireSIGHT Management Center がホスト名 api.amp.sourcefire.com を解決することができないと発生します。

問題を確認するために、FireSIGHT Management Center の CLI の nslookup を行って下さい。 DNS 設定が FireSIGHT Management Center で正しく設定されるかどうか確認して下さい:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

次の出力は DNS が FireSIGHT Management Center のホスト名を解決することができないとき表示する:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Server: 192.168.45.2
Address: 192.168.45.2#53

** server can't find api.amp.sourcefire.com

DNS が FireSIGHT Management Center できちんと解決される場合出力は下記にあります:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server: 192.168.45.1
Address: 192.168.45.1#53

Non-authoritative answer:
api.amp.sourcefire.com
Name: xxxx.xxxx.xxxx
Address: xx.xx.xx.xx

解決策

  • FireSIGHT Management Center がホスト名を解決することができない場合管理センターの DNS 設定が正しいかどうか確認する必要があります。
  • FireSIGHT Management Center がホスト名を、ファイアウォールによって api.amp.sourcefire.com にアクセスすることが不可能解決できればがファイアウォール ルールおよび設定をチェックして下さい。

接続作成プロセスの間に、FireSIGHT Management Center がホスト名を解決することができなければ次のエラーメッセージは httpsd_error_log ログオンされます:

Error attempting curl for FireAMP: System

たとえば、ログ 出力は以下に示します防御センターを api.amp.sourcefire.comカール コマンドを完了しないことを:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220]
AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line
1778., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:38:14.338174 2013] [cgi:error]
[pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-
timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/
keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json;
version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/
System.pm line 7491., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:38:24.352374
2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting
curl for FireAMP: System
(/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-
redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/
-H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1
https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/
System.pm line 7499., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:38:24.352432
2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data
returned
at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer:
https://192.168.45.45/ddd/[Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920]
[client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/
perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

接続作成プロセスの間に、次 の メッセージがエラーなしで httpsd_error_log ログオンされれば、FireSIGHT Management Center がホスト名を解決できることを示します:

getCloudData completed

たとえば管理センターが api.amp.sourcefire.comカール コマンドを完了することを、以下に示したものです:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253]
AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line
1778., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:42:55.856432 2013] [cgi:error]
[pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-
timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/
keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json;
version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/
System.pm line 7491., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:42:55.931106
2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData
completed
... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer:
https://192.168.45.45/ddd/

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118290