Ce document décrit les scénarios courants dans lesquels le système Firepower déclenche l'alerte d'intégrité : mises à jour des données de menace Échec de la configuration du cloud Cisco.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
L'erreur Cloud Configuration est observée parce que le FTD ne peut pas communiquer avec api-sse.cisco.com. Il s'agit du site que les périphériques Firepower doivent atteindre pour s'intégrer avec SecureX et les services Cloud.
Cette alerte fait partie de la fonctionnalité Rapid Threat Containment (RTC). Cette fonctionnalité est activée par défaut sur les nouvelles versions de Firepower, où FTD doit communiquer avec api-sse.cisco.com sur Internet. Si cette communication n'est pas disponible, le module FTD Health Monitor affiche ce message d'erreur : Threat Data Updates - Cisco Cloud Configuration - Failure

Le bogue Cisco ayant l'ID CSCvr46845 explique quand le système Firepower déclenche l'alerte d'intégrité Cisco Cloud Configuration - Failure, ce problème est fréquemment lié à la connectivité entre FTD et api-sse.cisco.com. Cependant, l'alerte est générique et peut signaler divers problèmes, même liés à la connectivité, mais dans un contexte différent.
Il existe deux principaux scénarios possibles :
Scénario 1. Dans le cas où l'intégration cloud n'est pas activée, cette alerte est attendue car la connectivité au portail cloud n'est pas autorisée.
Scénario 2. Dans le cas où l'intégration cloud est activée, il est nécessaire d'effectuer une analyse plus détaillée afin d'éliminer les circonstances impliquant une défaillance de connectivité.
Exemple d'alerte de défaillance d'intégrité dans l'image suivante :
Exemple d'alerte de défaillance sanitaire
Solution pour le scénario 1. L'erreur de configuration du cloud est observée car le FTD ne peut pas communiquer avec https://api-sse.cisco.com/. Pour désactiver l'alerte Échec de configuration du cloud Cisco, accédez à Système > Intégrité > Stratégie > Modifier la stratégie > Mises à jour des données de menace sur les périphériques. Choisissez Enabled (Off) > Save Policy > Exit. Reportez-vous aux Instructions relatives aux ensembles en ligne et aux interfaces passives pour Firepower Threat Defense pour les configurations en ligne.
Solution pour le scénario 2. Quand l'intégration cloud doit être activée :
Commandes utiles pour le dépannage :
curl -v -k https://api-sse.cisco.com <-- To verify connection with the external site
nslookup api-sse.cisco.com <-- To dicard any DNS error
/ngfw/etc/sf/connector.properties <-- To verify is configure properly the FQDN settings
netstat -na | grep 8989 <-- To verify the outbound connection to the cloud on port 8989/tcp is ESTABLISHED
netstat -na | grep 443 <-- To verify the outbound connection to the cloud on port 443/tcp is ESTABLISHED
Étape 1 : vérification de la configuration de DNS sur le FTD S’il n’existe aucune configuration DNS, procédez comme suit :
> show network
Étape 2. Ajouter DNS en exécutant la commande suivante :
> configure network dns servers dns_ip_addresses
Une fois le DNS configuré, l'alerte d'intégrité est résolue et le périphérique s'affiche comme sain. Il s’écoule un bref laps de temps avant que la modification soit reflétée et que les serveurs DNS appropriés soient configurés.
Exécutez la commande curl. Si le périphérique ne peut pas atteindre le site cloud, un résultat similaire à celui de cet exemple est généré.
FTD01:/home/ldap/abbac# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
Remarque : Il peut y avoir un problème DNS possible après l'exécution de la commande curl. Si c’est le cas, commencez par la même méthode de dépannage dans l’option 1. Vérifiez que la configuration DNS est correctement définie.
Une sortie de boucle correcte doit être :
root@fp:/home/admin# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying 10.6.187.110...
* Connected to api-sse.cisco.com (10.6.187.110) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api-sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 30 Dec 2020 21:41:15 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5fb40950-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src https: ;
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Strict-Transport-Security: max-age=31536000; includeSubDomains
<
* Connection #0 to host api-sse.cisco.com left intact
Forbidden
Accédez au nom d'hôte du serveur :
# curl -v -k https://cloud-sa.amp.cisco.com
* Trying 10.21.117.50...
* TCP_NODELAY set
* Connected to cloud-sa.amp.cisco.com (10.21.117.50) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
Utilisez les outils de connectivité de base tels que les commandes nslookup, telnet et ping pour vérifier la résolution DNS correcte pour le site cloud Cisco.
Appliquez nslookup aux noms d'hôte du serveur.
# nslookup cloud-sa.amp.sourcefire.com
# nslookup cloud-sa.amp.cisco.com
# nslookup api.amp.sourcefire.com
# nslookup panacea.threatgrid.com
root@fp:/home/admin# nslookup api-sse.cisco.com
Server: 10.25.0.1
Address: 10.25.0.1#53
Non-authoritative answer:
api-sse.cisco.com canonical name = api-sse.cisco.com.akadns.net.
Name: api-sse.cisco.com.akadns.net
Address: 10.6.187.110
Name: api-sse.cisco.com.akadns.net
Address: 10.234.20.16
Les problèmes de connexion au cloud AMP sont probablement dus à la résolution DNS. Vérifiez les paramètres DNS ou exécutez nslookup à partir du FMC.
nslookup api.amp.sourcefire.com
Telnet
root@fp:/home/admin# telnet api-sse.cisco.com 8989
root@fp:/home/admin# telnet api-sse.cisco.com 443
root@fp:/home/admin# telnet cloud-sa.amp.cisco.com 443
Ping
root@fp:/home/admin# ping api-sse.cisco.com
Vérifiez les propriétés du connecteur sous /ngfw/etc/sf/connector.properties. Vous devez voir cette sortie avec le port de connecteur correct (8989) et le connector_fqdn avec l'URL correcte.
root@Firepower-module1:sf# cat /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions
connector_fqdn=api-sse.cisco.com
Pour plus d'informations, référez-vous au Guide de configuration Firepower.
ID de bogue Cisco CSCvs05084 FTD Échec de la configuration du cloud Cisco dû au proxy.
ID de bogue Cisco CSCvp56922 Utilisez l'API update-context sse-connector pour mettre à jour le nom d'hôte et la version du périphérique.
ID de bogue Cisco CSCvu02123 DOC Bogue : Mettez à jour l'URL accessible à partir de Firepower Devices vers SSE dans le guide de configuration CTR.
ID de bogue Cisco CSCvr46845 ENH : Message d'intégrité Configuration du cloud Cisco - L'échec doit être amélioré.
| Révision | Date de publication | Commentaires |
|---|---|---|
4.0 |
09-Jul-2026
|
Mise à jour de l'orthographe, de l'espacement, de la grammaire, insertion de lignes dans des sections séparées pour plus de lisibilité, espacement du texte de remplacement et alertes CCW. |
3.0 |
01-Mar-2023
|
PII supprimées.
Titre, introduction, exigences de style, traduction automatique, fonds et mise en forme mis à jour. |
2.0 |
05-Jan-2022
|
Vidéo ajoutée |
1.0 |
05-Jan-2022
|
Première publication |