Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Dépannage des échecs de mise à jour du flux Security Intelligence sur FireSIGHT Management Center

Options de téléchargement

  • PDF     (124.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (89.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (80.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 juillet 2021
ID du document:117997
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment résoudre les problèmes liés aux mises à jour du flux Security Intelligence. Le flux Security Intelligence se compose de plusieurs listes d'adresses IP régulièrement mises à jour et dont la réputation est médiocre, comme le détermine le groupe Cisco Talos Security Intelligence and Research Group (Talos). Il est important de mettre à jour régulièrement le flux d'informations afin qu'un système Cisco FireSIGHT puisse utiliser des informations à jour afin de filtrer le trafic réseau.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Cisco FireSIGHT Management Center

  • Flux Security Intelligence

Components Used

Les informations de ce document sont basées sur un Cisco FireSIGHT Management Center qui exécute le logiciel version 5.2 ou ultérieure.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problème

Une erreur de mise à jour du flux Security Intelligence se produit. Vous pouvez vérifier l'échec via l'interface utilisateur graphique Web ou l'interface de ligne de commande (expliquée plus loin dans les sections suivantes).

Vérifier le problème à partir de l'interface utilisateur graphique Web

Lorsque la mise à jour du flux Security Intelligence échoue, FireSIGHT Management Center affiche des alertes d'intégrité.

Vérifier le problème à partir de l’interface de ligne de commande

Afin de déterminer la cause première d'un échec de mise à jour avec le flux Security Intelligence, entrez cette commande dans l'interface de ligne de commande de FireSIGHT Management Center :

admin@Sourcefire3D:~$ cat /var/log/messages

Recherchez l'un de ces avertissements dans les messages :

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
 Sourcefire_Intelligence_Feed

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
 unsucessful: Failure when receiving data from the peer

Solution

Suivez ces étapes afin de résoudre ce problème :

  1. Vérifiez que le site intelligence.sourcefire.com est actif. Accédez à https://intelligence.sourcefire.com dans un navigateur. Vous devriez recevoir un visage souriant, qui indique que le site est en direct.

  2. Accédez à l'interface de ligne de commande de FireSIGHT Management Center via Secure Shell (SSH).

  3. Envoyez une requête ping intelligence.sourcefire.com à partir de FireSIGHT Management Center :

    admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
    Vous devez recevoir une sortie similaire à celle-ci :

    64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
    Si vous ne recevez pas de réponse similaire à celle affichée, vous pourriez avoir un problème de connectivité sortante ou vous n'avez pas de route vers intelligence.sourcefire.com.

  4. Résolvez le nom d'hôte pour intelligence.sourcefire.com :

    admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
    Vous devez recevoir une réponse similaire à celle-ci :

    Server: 8.8.8.8
    Address: 8.8.8.8#53

    Name: intelligence.sourcefire.com
    Address: xxx.xxx.xx.x

    Note: Le résultat ci-dessus utilise le serveur DNS (Public Domain Name System) de Google comme exemple. Le résultat dépend des paramètres DNS configurés dans System > Local > Configuration, sous la section Network. Si vous ne recevez pas de réponse similaire à celle affichée, assurez-vous que les paramètres DNS sont corrects.

    Attention : Le serveur utilise un schéma d'adresse IP à cycle variable pour l'équilibrage de charge, la tolérance aux pannes et la disponibilité. Par conséquent, les adresses IP peuvent changer et Cisco recommande que le pare-feu soit configuré avec un CNAME au lieu d'une adresse IP.

  5. Vérifiez la connectivité à intelligence.sourcefire.com à l'aide de Telnet :

    admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
    Vous devez recevoir une sortie similaire à celle-ci :

    Trying xxx.xxx.xx.x...
    Connected to intelligence.sourcefire.com.
    Escape character is '^]'.

    Note: Si vous parvenez à terminer la deuxième étape avec succès mais que vous ne parvenez pas à établir une connexion Telnet à intelligence.sourcefire.com sur le port 443, vous pouvez avoir une règle de pare-feu qui bloque le port 443 sortant pour intelligence.sourcefire.com.

  6. Accédez à System > Local > Configuration et vérifiez les paramètres proxy de la configuration Manual Proxy sous la section Network.

    Note: Si ce proxy effectue une inspection SSL (Secure Sockets Layer), vous devez mettre en place une règle de contournement qui ignore le proxy pour intelligence.sourcefire.com.

  7. Vérifiez si vous pouvez exécuter une requête HTTP GET contre intelligence.sourcefire.com :

    admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
    * About to connect() to intelligence.sourcefire.com port 443 (#0)
    *   Trying 198.148.79.58...
    * Adding handle: conn: 0xec5630
    * Adding handle: send: 0
    * Adding handle: recv: 0
    * Curl_addHandleToPipeline: length: 1
    * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
    * Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
    * SSLv3, TLS handshake, Client hello (1):
    * SSLv3, TLS handshake, Server hello (2):
    * SSLv3, TLS handshake, CERT (11):
    * SSLv3, TLS handshake, Server key exchange (12):
    * SSLv3, TLS handshake, Server finished (14):
    * SSLv3, TLS handshake, Client key exchange (16):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com
    * 	 start date: 2016-02-29 22:50:29 GMT
    * 	 expire date: 2019-02-28 22:50:29 GMT
    * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com; nsCaRevocationUrl=
           https://intelligence.sourcefire.com/vrtca.crl
    * 	 SSL certificate verify result: unable to get local issuer certificate
           (20), continuing anyway.
    > GET / HTTP/1.1
    > User-Agent: curl/7.31.0
    > Host: intelligence.sourcefire.com
    > Accept: */*
    > 
    < HTTP/1.1 200 OK
    < Date: Tue, 01 Mar 2016 13:06:16 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
    < ETag: "9da27-3-509ce19e67580"
    < Accept-Ranges: bytes
    < Content-Length: 3
    < Content-Type: text/html
    < 
    :)
    * Connection #0 to host intelligence.sourcefire.com left intact

    Note: La face souriante à la fin de la sortie de la commande curl indique une connexion réussie.

    Remarque : si vous utilisez un proxy, la commande curl nécessite un nom d'utilisateur. La commande sera curl -U <user> -vk https://intelligence.sourcefire.com. En outre, après avoir entré la commande, vous êtes invité à saisir le mot de passe du proxy.

  8. Vérifiez que le trafic HTTPS utilisé pour télécharger le flux Security Intelligence ne passe pas par un déchiffrement SSL. Afin de vérifier qu'aucun déchiffrement SSL ne se produit, validez les informations du certificat de serveur dans le résultat de l'étape 6. Si le certificat du serveur ne correspond pas à celui affiché dans l'exemple qui suit, vous pouvez avoir un déchiffrement SSL qui déconnecte le certificat. Si le trafic passe par un décrypteur SSL, vous devez contourner tout le trafic qui va à intelligence.sourcefire.com.

    admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
    * About to connect() to intelligence.sourcefire.com port 443 (#0)
    *   Trying 198.148.79.58...
    * Adding handle: conn: 0xec5630
    * Adding handle: send: 0
    * Adding handle: recv: 0
    * Curl_addHandleToPipeline: length: 1
    * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
    * Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
    * SSLv3, TLS handshake, Client hello (1):
    * SSLv3, TLS handshake, Server hello (2):
    * SSLv3, TLS handshake, CERT (11):
    * SSLv3, TLS handshake, Server key exchange (12):
    * SSLv3, TLS handshake, Server finished (14):
    * SSLv3, TLS handshake, Client key exchange (16):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com
    * 	 start date: 2016-02-29 22:50:29 GMT
    * 	 expire date: 2019-02-28 22:50:29 GMT
    * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com; nsCaRevocationUrl=
           https://intelligence.sourcefire.com/vrtca.crl
    * 	 SSL certificate verify result: unable to get local issuer certificate
           (20), continuing anyway.
    > GET / HTTP/1.1
    > User-Agent: curl/7.31.0
    > Host: intelligence.sourcefire.com
    > Accept: */*
    > 
    < HTTP/1.1 200 OK
    < Date: Tue, 01 Mar 2016 13:06:16 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
    < ETag: "9da27-3-509ce19e67580"
    < Accept-Ranges: bytes
    < Content-Length: 3
    < Content-Type: text/html
    < 
    :)
    * Connection #0 to host intelligence.sourcefire.com left intact

Note: Le déchiffrement SSL doit être ignoré pour le flux Security Intelligence car le déchiffrement SSL envoie au FireSIGHT Management Center un certificat inconnu dans la connexion SSL. Le certificat envoyé à FireSIGHT Management Center n'est pas signé par une autorité de certification de confiance Sourcefire, de sorte que la connexion n'est pas fiable.

Informations connexes

Revision History

Revision Publish Date Comments
1.0
17-Jul-2014
Initial Release
TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib and Foster Lipkey
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits

Suivez-nous
Salle de presseÉvénementsBloguesCommunauté
À propos de nous
Communiquer Avec Nous
Travailler Avec Nous