In diesem Dokument werden häufige Szenarien beschrieben, in denen das FirePOWER-System einen Warnhinweis auslöst: Aktualisierung von Bedrohungsdaten Cisco Cloud-Konfigurationsfehler.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Der Cloud-Konfigurationsfehler wurde beobachtet, da die FTD nicht mit api-sse.cisco.com kommunizieren kann. Dies ist die Website, die FirePOWER-Geräte erreichen müssen, um SecureX- und Cloud-Services zu integrieren.
Diese Warnung ist Teil der Funktion Rapid Threat Containment (RTC). Diese Funktion ist bei neuen Firepower-Versionen standardmäßig aktiviert, bei denen FTD im Internet mit api-sse.cisco.com kommunizieren muss. Wenn diese Kommunikation nicht verfügbar ist, zeigt das FTD-Statusüberwachungsmodul die folgende Fehlermeldung an: Threat Data Updates - Cisco Cloud Configuration - Failure (Aktualisierung der Bedrohungsdaten - Cisco Cloud-Konfiguration - Fehler)

Cisco Bug-ID CSCvr46845 erklärt, wenn das FirePOWER-System den Health Alert Cisco Cloud Configuration - Failure auslöst. Dieses Problem hängt häufig mit der Verbindung zwischen FTD und api-sse.cisco.com zusammen. Die Warnmeldung ist jedoch allgemein gehalten und kann auf verschiedene Probleme hinweisen, auch im Zusammenhang mit der Anbindung, jedoch in einem anderen Kontext.
Es gibt zwei mögliche Hauptszenarien:
1. Szenario: Wenn die Cloud-Integration nicht aktiviert ist, wird diese Warnung erwartet, da die Verbindung zum Cloud-Portal nicht zulässig ist.
2. Szenario: Wenn die Cloud-Integration aktiviert ist, muss eine detailliertere Analyse durchgeführt werden, um Umstände zu vermeiden, die einen Verbindungsausfall zur Folge haben.
Beispiel für eine Statusfehlerwarnung im nächsten Bild:
Beispiel für eine Warnmeldung bei einem Systemausfall
Lösung für Szenario 1. Der Cloud-Konfigurationsfehler wurde beobachtet, da das FTD nicht mit https://api-sse.cisco.com/ kommunizieren kann. Um die Warnung Cisco Cloud-Konfigurationsfehler zu deaktivieren, navigieren Sie zu System > Gesundheit > Richtlinie > Richtlinie bearbeiten > Richtlinie > Aktualisierung von Bedrohungsdaten auf Geräten. Wählen Sie Enabled (Aus) > Save Policy > Exit (Richtlinie speichern > Beenden) aus. Informationen zu Inline-Konfigurationen finden Sie in den Richtlinien zu Inline-Sets und passiven Schnittstellen für Firepower Threat Defense.
Lösung für Szenario 2. Wenn die Cloud-Integration aktiviert werden muss:
Hilfreiche Befehle zur Fehlerbehebung:
curl -v -k https://api-sse.cisco.com <-- To verify connection with the external site
nslookup api-sse.cisco.com <-- To dicard any DNS error
/ngfw/etc/sf/connector.properties <-- To verify is configure properly the FQDN settings
netstat -na | grep 8989 <-- To verify the outbound connection to the cloud on port 8989/tcp is ESTABLISHED
netstat -na | grep 443 <-- To verify the outbound connection to the cloud on port 443/tcp is ESTABLISHED
Schritt 1: Überprüfen der DNS-Konfiguration auf dem FTD Wenn keine DNS-Konfigurationen vorhanden sind, gehen Sie wie folgt vor:
> show network
Schritt 2: Fügen Sie DNS hinzu, indem Sie den folgenden Befehl ausführen:
> configure network dns servers dns_ip_addresses
Nach der Konfiguration des DNS wird die Integritätswarnung aufgelöst, und das Gerät wird als fehlerfrei angezeigt. Es gibt eine kurze Zeitspanne, bevor die Änderung übernommen wird und die richtigen DNS-Server konfiguriert werden.
Führen Sie den Befehl curl aus. Wenn das Gerät den Cloud-Standort nicht erreichen kann, wird eine Ausgabe ähnlich diesem Beispiel ausgegeben.
FTD01:/home/ldap/abbac# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
Anmerkung: Nach dem Ausführen des curl-Befehls kann es zu einem DNS-Problem kommen. Wenn dies der Fall ist, beginnen Sie mit der Fehlerbehebung mit der gleichen Methode wie bei Option 1. Überprüfen Sie, ob die DNS-Konfiguration richtig eingestellt ist.
Die richtige Curl-Ausgabe muss wie folgt aussehen:
root@fp:/home/admin# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying 10.6.187.110...
* Connected to api-sse.cisco.com (10.6.187.110) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api-sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 30 Dec 2020 21:41:15 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5fb40950-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src https: ;
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Strict-Transport-Security: max-age=31536000; includeSubDomains
<
* Connection #0 to host api-sse.cisco.com left intact
Forbidden
Kurve zum Serverhostnamen:
# curl -v -k https://cloud-sa.amp.cisco.com
* Trying 10.21.117.50...
* TCP_NODELAY set
* Connected to cloud-sa.amp.cisco.com (10.21.117.50) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
Verwenden Sie grundlegende Verbindungstools wie die Befehle nslookup, telnet und ping, um die richtige DNS-Auflösung für die Cisco Cloud-Website zu überprüfen.
Wenden Sie nslookup auf die Server-Hostnamen an.
# nslookup cloud-sa.amp.sourcefire.com
# nslookup cloud-sa.amp.cisco.com
# nslookup api.amp.sourcefire.com
# nslookup panacea.threatgrid.com
root@fp:/home/admin# nslookup api-sse.cisco.com
Server: 10.25.0.1
Address: 10.25.0.1#53
Non-authoritative answer:
api-sse.cisco.com canonical name = api-sse.cisco.com.akadns.net.
Name: api-sse.cisco.com.akadns.net
Address: 10.6.187.110
Name: api-sse.cisco.com.akadns.net
Address: 10.234.20.16
Verbindungsprobleme mit der AMP Cloud sind möglicherweise auf die DNS-Auflösung zurückzuführen. Überprüfen Sie die DNS-Einstellungen, oder führen Sie nslookup vom FMC aus.
nslookup api.amp.sourcefire.com
Telnet
root@fp:/home/admin# telnet api-sse.cisco.com 8989
root@fp:/home/admin# telnet api-sse.cisco.com 443
root@fp:/home/admin# telnet cloud-sa.amp.cisco.com 443
Ping
root@fp:/home/admin# ping api-sse.cisco.com
Überprüfen Sie die Konnektoreigenschaften unter /ngfw/etc/sf/connector.properties. Sie müssen diese Ausgabe mit dem richtigen Anschluss (8989) und connector_fqdn mit der richtigen URL sehen.
root@Firepower-module1:sf# cat /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions
connector_fqdn=api-sse.cisco.com
Weitere Informationen finden Sie im Firepower-Konfigurationsleitfaden.
Cisco Bug-ID CSCvs05084 FTD Cisco Cloud Configuration Failure due to proxy.
Cisco Bug-ID CSCvp56922 Verwenden Sie die Update-Context-Set-Connector-API, um den Hostnamen und die Version des Geräts zu aktualisieren.
Cisco Bug-ID CSCvu02123 DOC Bug: Aktualisieren Sie die URL, die von FirePOWER-Geräten erreichbar ist, auf SSE im CTR-Konfigurationsleitfaden.
Cisco Bug-ID CSCvr46845 DEU: Statusmeldung Cisco Cloud-Konfiguration - Fehler muss behoben werden.
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
4.0 |
09-Jul-2026
|
Aktualisierte Rechtschreibung, Abstände, einige Grammatik, Einfügen von Zeilen in separate Abschnitte zur besseren Lesbarkeit, Abstände für Alternativtext und CCW-Warnungen. |
3.0 |
01-Mar-2023
|
PII entfernt.
Aktualisierter Titel, Einführung, Stilvorgaben, maschinelle Übersetzung, Gerunds und Formatierung. |
2.0 |
05-Jan-2022
|
Video hinzugefügt |
1.0 |
05-Jan-2022
|
Erstveröffentlichung |