Безопасность : Cisco AMP Virtual Private Cloud Appliance

Подключение устранения неполадок и регистрационные проблемы с AMP на центре управления FireSIGHT

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Центр управления FireSIGHT в развертываниях может соединиться с облаком Cisco. После настройки Центра управления FireSIGHT для соединения с облаком, можно получить записи просмотров, вредоносных обнаружений и карантина. Записи сохранены в базе данных Центра управления FireSIGHT как вредоносные события. По умолчанию облако передает вредоносные события за всеми группами в организации, но можно ограничить группой при настройке соединения. Этот документ обсуждает различные проблемы и действия по устранению проблем на функции Усовершенствованной вредоносной защиты (AMP) Центра управления FireSIGHT.

Внесенный Nazmul Rajib, специалистом службы технической поддержки Cisco.

Порт или Сервер Заблокированы в Межсетевом экране

Если Центр управления FireSIGHT неспособен соединиться с Облачной Консолью FireAMP или не получением вредоносных событий, необходимо проверить, являются ли требуемые порты blosked межсетевым экраном. Центр управления FireSIGHT использует порт 443 для получения основанных на оконечной точке вредоносных событий от Консоли FireAMP. Порт 32137 требуется для устройств FirePOWER выполнить вредоносные поиски в Облаке Cisco.

Для узнавания больше о количестве требуемого порта и адресах сервера, считайте следующие документы:

MAC-адрес в использовании

Признак

Когда вы пытаетесь зарегистрировать Центр управления FireSIGHT к закрытому облаку и выполнить первоначальное подключение, можно получить сообщение, указывающее, что MAC-адрес уже находится в использовании.

Причина

Когда Центр управления FireSIGHT заменен из-за отказа оборудования, и сменный модуль должным образом не отменен регистрацию от облака, можно испытать эту проблему.

Решение

Перед заменой устройства необходимо вычеркнуть из списка Центр управления FireSIGHT от Облака FireAMP. Необходимо также удалить Центр управления FireSIGHT из облака FireAMP. Это препятствует тому, чтобы MAC-адрес был воспринят как в использовании.

Совет: Считайте этот документ для обучения подробного процесса о том, как вычеркнуть из списка устройство от Облака FireAMP и удалить облако из Центра управления FireSIGHT.

Общий / Неизвестная ошибка Отображен

Признак

При соединении повторно захваченного образ или замены Центр управления FireSIGHT к Консоли FireAMP, появляется сообщение об ошибках. Это отображает Общее / неизвестную ошибку.

Когда Общее / неизвестное сообщение об ошибках появляются, состояние соединения FireAMP на Центре управления FireSIGHT становится важным. Веб-интерфейс отображает красный значок.

Причина

Эта проблема происходит, когда MAC-адрес Центра управления FireSIGHT, который был просто повторно захвачен образ или заменен, все еще регистрируется к Консоли FireAMP.

Решение

Прежде чем вы повторно захватите образ или замените устройство, необходимо вычеркнуть из списка Центр управления FireSIGHT от Облака FireAMP. Необходимо также удалить Центр управления FireSIGHT из облака FireAMP. Это препятствует тому, чтобы MAC-адрес был воспринят как в использовании.

Совет: Считайте этот документ для обучения подробного процесса о том, как вычеркнуть из списка устройство от Облака FireAMP и удалить облако из Центра управления FireSIGHT.

Неспособный выбрать облако

Признак

При создании соединения с Центра управления FireSIGHT на Облачную Консоль FireAMP нет никаких выпадающих опций, найденных для Облака US или Облака EU.

Причина

Когда Центр управления FireSIGHT неспособен решить имя хоста api.amp.sourcefire.com, эта проблема происходит.

Для подтверждения проблемы выполните nslookup на CLI Центра управления FireSIGHT. Проверьте, настроены ли Параметры настройки DNS должным образом на Центре управления FireSIGHT:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Когда DNS неспособен решить имя хоста на Центре управления FireSIGHT, следующий результат отображен:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Server: 192.168.45.2
Address: 192.168.45.2#53

** server can't find api.amp.sourcefire.com

Если DNS должным образом решен на Центре управления FireSIGHT, ниже выходные данные:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server: 192.168.45.1
Address: 192.168.45.1#53

Non-authoritative answer:
api.amp.sourcefire.com
Name: xxxx.xxxx.xxxx
Address: xx.xx.xx.xx

Решение

  • Если Центр управления FireSIGHT неспособен решить имя хоста, необходимо проверить, корректны ли Параметры настройки DNS на Центре управления.
  • Если Центр управления FireSIGHT в состоянии решить, что имя хоста, но неспособный обратиться к api.amp.sourcefire.com через межсетевой экран, проверяет правила межсетевого экрана и параметры настройки.

Во время процесса создания соединения, если Центр управления FireSIGHT неспособен решить имя хоста, следующее сообщение об ошибке зарегистрировано в httpsd_error_log:

Error attempting curl for FireAMP: System

Например, придерживающийся вывод лога показывает Центр Защиты, бывший не в состоянии завершить вихревую команду к api.amp.sourcefire.com:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220]
AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line
1778., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:38:14.338174 2013] [cgi:error]
[pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-
timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/
keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json;
version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/
System.pm line 7491., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:38:24.352374
2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting
curl for FireAMP: System
(/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-
redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/
-H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1
https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/
System.pm line 7499., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:38:24.352432
2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data
returned
at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer:
https://192.168.45.45/ddd/[Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920]
[client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/
perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

Во время процесса создания соединения, если следующее сообщение зарегистрировано в httpsd_error_log без ошибки, это указывает, что Центр управления FireSIGHT в состоянии решить имя хоста:

getCloudData completed

Например, следующий результат показывает, что Центр управления завершает вихревую команду к api.amp.sourcefire.com:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253]
AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line
1778., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:42:55.856432 2013] [cgi:error]
[pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-
timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/
keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json;
version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/
System.pm line 7491., referer: https://192.168.45.45/ddd/[Thu Jul 18 12:42:55.931106
2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData
completed
... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer:
https://192.168.45.45/ddd/

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.