Este documento describe escenarios comunes en los que Firepower System activa Health Alert: Threat Data Updates Cisco Cloud Configuration Failure.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Se observa el error Cloud Configuration porque el FTD no puede comunicarse con api-sse.cisco.com. Este es el sitio al que los dispositivos Firepower deben llegar para integrarse con los servicios SecureX y en la nube.
Esta alerta forma parte de la función Rapid Threat Containment (RTC). Esta función está activada de forma predeterminada en las nuevas versiones de Firepower, donde FTD debe hablar con api-sse.cisco.com en Internet. Si esta comunicación no está disponible, el módulo de supervisión de estado de FTD muestra este mensaje de error: Threat Data Updates - Cisco Cloud Configuration - Failure

El Id. de error de Cisco CSCvr46845 explica cuando Firepower System activa la alerta de estado Cisco Cloud Configuration - Failure, este problema se relaciona con frecuencia con la conectividad entre FTD y api-sse.cisco.com. Sin embargo, la alerta es genérica y puede señalar varios problemas, incluso relacionados con la conectividad, pero en un contexto diferente.
Hay dos escenarios posibles principales:
Situación 1. En el caso de que la integración en la nube no esté habilitada, se espera esta alerta porque no se permite la conectividad con el portal de la nube.
Situación 2. En el caso de que se habilite Cloud Integration, es necesario llevar a cabo un análisis más detallado para eliminar las circunstancias que implican una falla de conectividad.
Ejemplo de una alerta de fallo de estado en la siguiente imagen:
Ejemplo de alerta de falla de estado
Solución para el escenario 1. Se observa el error de configuración de la nube porque el FTD no puede comunicarse con https://api-sse.cisco.com/. Para deshabilitar la alerta Cisco Cloud Configuration-Failure, navegue hasta System > Health > Policy > Edit policy > Threat Data Updates on Devices. Elija Enabled (Off) > Save Policy > Exit. Consulte las Pautas de Conjuntos en Línea e Interfaces Pasivas para Firepower Threat Defence para configuraciones en línea.
Solución para la situación 2. Cuando se debe habilitar la integración en la nube:
Comandos útiles para la resolución de problemas:
curl -v -k https://api-sse.cisco.com <-- To verify connection with the external site
nslookup api-sse.cisco.com <-- To dicard any DNS error
/ngfw/etc/sf/connector.properties <-- To verify is configure properly the FQDN settings
netstat -na | grep 8989 <-- To verify the outbound connection to the cloud on port 8989/tcp is ESTABLISHED
netstat -na | grep 443 <-- To verify the outbound connection to the cloud on port 443/tcp is ESTABLISHED
Paso 1. Verifique que DNS esté configurado en el FTD. Si no hay configuraciones DNS, proceda de la siguiente manera:
> show network
Paso 2. Agregue DNS ejecutando este comando:
> configure network dns servers dns_ip_addresses
Después de configurar el DNS, la alerta de estado se resuelve y el dispositivo se muestra como correcto. Hay un breve lapso de tiempo antes de que se refleje el cambio y se configuren los servidores DNS adecuados.
Ejecute el comando curl. Si el dispositivo no puede alcanzar el sitio en la nube, hay un resultado similar a este ejemplo.
FTD01:/home/ldap/abbac# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
Nota: Puede haber un posible problema de DNS después de ejecutar el comando curl. Si es así, comience con el mismo método para resolver problemas en la opción 1. Verifique que la configuración de DNS esté configurada correctamente.
Una salida curl correcta debe ser:
root@fp:/home/admin# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying 10.6.187.110...
* Connected to api-sse.cisco.com (10.6.187.110) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api-sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 30 Dec 2020 21:41:15 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5fb40950-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src https: ;
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Strict-Transport-Security: max-age=31536000; includeSubDomains
<
* Connection #0 to host api-sse.cisco.com left intact
Forbidden
Diríjase al nombre de host del servidor:
# curl -v -k https://cloud-sa.amp.cisco.com
* Trying 10.21.117.50...
* TCP_NODELAY set
* Connected to cloud-sa.amp.cisco.com (10.21.117.50) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
Utilice herramientas básicas de conectividad como los comandos nslookup, telnet y ping para verificar la resolución de DNS correcta para el sitio de la nube de Cisco.
Aplique nslookup a los nombres de host del servidor.
# nslookup cloud-sa.amp.sourcefire.com
# nslookup cloud-sa.amp.cisco.com
# nslookup api.amp.sourcefire.com
# nslookup panacea.threatgrid.com
root@fp:/home/admin# nslookup api-sse.cisco.com
Server: 10.25.0.1
Address: 10.25.0.1#53
Non-authoritative answer:
api-sse.cisco.com canonical name = api-sse.cisco.com.akadns.net.
Name: api-sse.cisco.com.akadns.net
Address: 10.6.187.110
Name: api-sse.cisco.com.akadns.net
Address: 10.234.20.16
Los problemas de conexión a AMP Cloud posiblemente se deban a la resolución de DNS. Verifique la configuración de DNS o ejecute nslookup desde el FMC.
nslookup api.amp.sourcefire.com
TELNET
root@fp:/home/admin# telnet api-sse.cisco.com 8989
root@fp:/home/admin# telnet api-sse.cisco.com 443
root@fp:/home/admin# telnet cloud-sa.amp.cisco.com 443
Ping
root@fp:/home/admin# ping api-sse.cisco.com
Verifique las propiedades del conector en /ngfw/etc/sf/connector.properties. Debe ver esta salida con el puerto de conector correcto (8989) y el connector_fqdn con la URL correcta.
root@Firepower-module1:sf# cat /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions
connector_fqdn=api-sse.cisco.com
Para obtener más información, consulte la Guía de configuración de Firepower.
ID de bug de Cisco CSCvs05084 FTD Falla de configuración de nube de Cisco debido al proxy.
ID de bug de Cisco CSCvp56922 Use la API update-context sse-connector para actualizar el nombre de host y la versión del dispositivo.
ID de bug de Cisco CSCvu02123 DOC Bug: Actualice la URL a la que se puede acceder desde los dispositivos Firepower a SSE en la guía de configuración de CTR.
ID de bug de Cisco CSCvr46845 ENH: Mensaje de estado Configuración de la nube de Cisco: es necesario mejorar el fallo.
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
4.0 |
09-Jul-2026
|
Ortografía actualizada, espaciado, gramática, inserción de líneas para separar secciones para facilitar la lectura, espaciado para texto alternativo y alertas de CCW. |
3.0 |
01-Mar-2023
|
PII eliminado.
Título actualizado, Introducción, Requisitos de estilo, Traducción automática, Jardín y Formato. |
2.0 |
05-Jan-2022
|
Vídeo agregado |
1.0 |
05-Jan-2022
|
Versión inicial |