Solución de problemas de conectividad y registro con AMP en FireSIGHT Management Center

Opciones de descarga

  • PDF     (287.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (120.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (116.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de julio de 2021
ID del documento:118290

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Un FireSIGHT Management Center en su implementación puede conectarse a la nube de Cisco. Después de configurar un FireSIGHT Management Center para conectarse a la nube, puede recibir registros de análisis, detecciones de malware y cuarentenas. Los registros se almacenan en la base de datos de FireSIGHT Management Center como eventos de malware. De forma predeterminada, la nube envía eventos de malware a todos los grupos de la organización, pero puede restringir los eventos por grupo al configurar la conexión. Este documento trata varios problemas y pasos de solución de problemas relacionados con la función de protección frente a malware avanzado (AMP) de FireSIGHT Management Center.

El puerto o servidor está bloqueado en el firewall

Si FireSIGHT Management Center no puede conectarse a la consola en la nube de FireAMP o no recibe eventos de malware, debe comprobar si el firewall ha bloqueado los puertos necesarios. Un FireSIGHT Management Center utiliza el puerto 443 para recibir eventos de malware basados en terminales desde la consola de FireAMP. El puerto 32137 es necesario para que los appliances FirePOWER realicen búsquedas de malware en la nube de Cisco.

Para obtener más información sobre los números de puerto y las direcciones del servidor requeridos, lea los siguientes documentos:

Dirección MAC en uso

Síntoma

Al intentar registrar un FireSIGHT Management Center en una nube privada y realizar la conexión inicial, es posible que reciba un mensaje que indica que la dirección MAC ya está en uso.

Motivo

Cuando se sustituye un FireSIGHT Management Center debido a un fallo de hardware y la unidad de sustitución no se deja de registrar correctamente desde la nube, es posible que se produzca este problema.

Solución

Antes de sustituir un appliance, debe anular el registro de FireSIGHT Management Center en la nube de FireAMP. También debe eliminar FireSIGHT Management Center de la nube de FireAMP. Esto evita que una dirección MAC se considere en uso.

Consejo: Lea este documento para obtener información detallada sobre el proceso para anular el registro de un appliance en la nube de FireAMP y eliminar una nube de FireSIGHT Management Center.

Se muestra el error general/desconocido

Síntoma


Al conectar un FireSIGHT Management Center renovado o de sustitución a una consola de FireAMP, aparece un mensaje de error. Muestra un error general/desconocido.

Cuando aparece el mensaje de error General/unknown, el estado de la conexión de FireAMP en FireSIGHT Management Center se vuelve crítico. La interfaz web muestra un icono rojo.

Motivo

Este problema se produce cuando una dirección MAC de un FireSIGHT Management Center, que se acaba de recrear o sustituir, se sigue registrando en una consola de FireAMP.

Solución

Antes de recrear imágenes o sustituir un appliance, debe anular el registro de FireSIGHT Management Center en la nube de FireAMP. También debe eliminar FireSIGHT Management Center de la nube de FireAMP. Esto evita que una dirección MAC se considere en uso.

Consejo: Lea este documento para obtener información detallada sobre el proceso para anular el registro de un appliance en la nube de FireAMP y eliminar una nube de FireSIGHT Management Center.

No se puede seleccionar una nube

Síntoma

Al crear una conexión desde un FireSIGHT Management Center a la consola de nube de FireAMP, no se encuentran opciones desplegables para la nube de EE. UU. o la nube de la UE.

Motivo

Este problema se produce cuando FireSIGHT Management Center no puede resolver el nombre de host api.amp.sourcefire.com.

Para verificar el problema, realice una nslookup en la CLI de FireSIGHT Management Center. Compruebe si los parámetros de DNS están configurados correctamente en FireSIGHT Management Center:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Cuando DNS no puede resolver el nombre de host en FireSIGHT Management Center, se muestra el siguiente resultado:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Server:         192.168.45.2
Address:        192.168.45.2#53
 
** server can't find api.amp.sourcefire.com

A continuación se muestra el resultado si DNS se resuelve correctamente en FireSIGHT Management Center:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server:         192.168.45.1
Address:        192.168.45.1#53
 
Non-authoritative answer:
api.amp.sourcefire.com
Name:   xxxx.xxxx.xxxx
Address: xx.xx.xx.xx

Solución

  • Si FireSIGHT Management Center no puede resolver el nombre de host, debe comprobar si la configuración de DNS del Management Center es correcta.
  • Si un FireSIGHT Management Center puede resolver el nombre de host, pero no puede acceder a api.amp.sourcefire.com a través de un firewall, compruebe las reglas y la configuración del firewall.

Durante el proceso de creación de la conexión, si FireSIGHT Management Center no puede resolver el nombre de host, se registra el siguiente mensaje de error en httpsd_error_log:

Error attempting curl for FireAMP: System

Por ejemplo, el siguiente resultado del registro muestra que el Centro de defensa no pudo completar el comando curl en api.amp.sourcefire.com:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:14.338174 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352374 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting curl for FireAMP: System (/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7499., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352432 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data returned at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

Durante el proceso de creación de la conexión, si el siguiente mensaje se registra en el httpsd_error_log sin un error, indica que FireSIGHT Management Center puede resolver el nombre de host:

getCloudData completed

Por ejemplo, el siguiente resultado muestra que Management Center completa un comando curl en api.amp.sourcefire.com:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.856432 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.931106 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Aug-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nazmul Rajib
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos