Questo documento descrive gli scenari comuni in cui il sistema Firepower attiva l'avviso di integrità: Threat Data Updates Cisco Cloud Configuration Failure.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
L'errore di configurazione del cloud è stato osservato perché l'FTD non è in grado di comunicare con api-sse.cisco.com. Questo è il sito a cui i dispositivi Firepower devono connettersi per integrarsi con i servizi SecureX e Cloud.
Questo avviso fa parte della funzionalità Rapid Threat Container (RTC). Questa funzione è abilitata per impostazione predefinita nelle nuove versioni di Firepower, dove FTD deve comunicare con api-sse.cisco.com su Internet. Se questa comunicazione non è disponibile, il modulo di monitoraggio dell'integrità FTD visualizza questo messaggio di errore: Threat Data Updates - Cisco Cloud Configuration - Failure

L'ID bug Cisco CSCvr46845 spiega quando il sistema Firepower attiva l'avviso di integrità Configurazione cloud Cisco - Errore, questo problema è spesso correlato alla connettività tra FTD e api-sse.cisco.com. Tuttavia, l'avviso è generico e può indicare vari problemi, anche relativi alla connettività, ma in un contesto diverso.
Esistono due scenari principali:
Scenario 1. Se l'integrazione cloud non è abilitata, questo avviso è previsto perché la connettività al portale cloud non è consentita.
Scenario 2. Nel caso in cui l'integrazione cloud sia abilitata, è necessario eseguire un'analisi più dettagliata per eliminare le circostanze che comportano un errore di connettività.
Esempio di avviso di errore di integrità nell'immagine seguente:
Esempio di avviso di errore di integrità
Soluzione per lo scenario 1. L'errore di configurazione del cloud viene osservato perché l'FTD non è in grado di comunicare con https://api-sse.cisco.com/. Per disabilitare l'avviso errore di configurazione del cloud Cisco, selezionare Sistema > Integrità > Criteri > Modifica criterio > Aggiornamenti dati di rischio sui dispositivi. Scegliere Attivato (Disattivato) > Salva criterio > Esci. Per le configurazioni in linea, consultare le linee guida Inline Sets e Passive Interfaces for Firepower Threat Defense.
Soluzione per lo scenario 2. Quando è necessario abilitare l'integrazione cloud:
Comandi utili per la risoluzione dei problemi:
curl -v -k https://api-sse.cisco.com <-- To verify connection with the external site
nslookup api-sse.cisco.com <-- To dicard any DNS error
/ngfw/etc/sf/connector.properties <-- To verify is configure properly the FQDN settings
netstat -na | grep 8989 <-- To verify the outbound connection to the cloud on port 8989/tcp is ESTABLISHED
netstat -na | grep 443 <-- To verify the outbound connection to the cloud on port 443/tcp is ESTABLISHED
Passaggio 1. Verificare che il DNS sia configurato nell'FTD. Se non sono disponibili configurazioni DNS, procedere come segue:
> show network
Passaggio 2. Aggiungere DNS eseguendo questo comando:
> configure network dns servers dns_ip_addresses
Dopo aver configurato il DNS, l'avviso di integrità viene risolto e il dispositivo risulta integro. Prima di applicare la modifica e configurare i server DNS appropriati, è necessario attendere un breve intervallo di tempo.
Eseguire il comando curl. Se il dispositivo non riesce a raggiungere il sito cloud, è presente un output simile a questo esempio.
FTD01:/home/ldap/abbac# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
Nota: Dopo l'esecuzione del comando curl è possibile che si sia verificato un problema DNS. In tal caso, iniziare con lo stesso metodo per la risoluzione dei problemi nell'opzione 1. Verificare che la configurazione DNS sia impostata correttamente.
L'output corretto della curva deve essere:
root@fp:/home/admin# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying 10.6.187.110...
* Connected to api-sse.cisco.com (10.6.187.110) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api-sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 30 Dec 2020 21:41:15 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5fb40950-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src https: ;
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Strict-Transport-Security: max-age=31536000; includeSubDomains
<
* Connection #0 to host api-sse.cisco.com left intact
Forbidden
Curl per il nome host del server:
# curl -v -k https://cloud-sa.amp.cisco.com
* Trying 10.21.117.50...
* TCP_NODELAY set
* Connected to cloud-sa.amp.cisco.com (10.21.117.50) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
Utilizzare gli strumenti di connettività di base, ad esempio i comandi nslookup, telnet e ping, per verificare la risoluzione DNS corretta per il sito Cisco Cloud.
Applicare nslookup ai nomi host del server.
# nslookup cloud-sa.amp.sourcefire.com
# nslookup cloud-sa.amp.cisco.com
# nslookup api.amp.sourcefire.com
# nslookup panacea.threatgrid.com
root@fp:/home/admin# nslookup api-sse.cisco.com
Server: 10.25.0.1
Address: 10.25.0.1#53
Non-authoritative answer:
api-sse.cisco.com canonical name = api-sse.cisco.com.akadns.net.
Name: api-sse.cisco.com.akadns.net
Address: 10.6.187.110
Name: api-sse.cisco.com.akadns.net
Address: 10.234.20.16
I problemi di connessione a AMP Cloud potrebbero essere dovuti alla risoluzione DNS. Verificare le impostazioni DNS o eseguire nslookup dal CCP.
nslookup api.amp.sourcefire.com
Telnet
root@fp:/home/admin# telnet api-sse.cisco.com 8989
root@fp:/home/admin# telnet api-sse.cisco.com 443
root@fp:/home/admin# telnet cloud-sa.amp.cisco.com 443
Ping
root@fp:/home/admin# ping api-sse.cisco.com
Verificare le proprietà del connettore in /ngfw/etc/sf/connector.properties. Questo output deve essere visualizzato con la porta del connettore corretta (8989) e il connettore_fqdn con l'URL corretto.
root@Firepower-module1:sf# cat /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions
connector_fqdn=api-sse.cisco.com
Per ulteriori informazioni, consultare la Guida alla configurazione di Firepower.
ID bug Cisco CSCvs05084 FTD Configurazione cloud Cisco non riuscita a causa del proxy.
Cisco: ID bug CSCvp56922. Usare l'API del connettore sse update-context per aggiornare il nome host e la versione del dispositivo.
ID bug Cisco CSCvu02123 DOC Bug: Aggiornare l'URL raggiungibile dai dispositivi Firepower a SSE nella guida alla configurazione di CTR.
ID bug Cisco CSCvr46845 ENH: Messaggio di integrità Configurazione cloud Cisco - È necessario migliorare l'errore.
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
4.0 |
09-Jul-2026
|
È stato aggiornato il controllo ortografico, la spaziatura, alcune regole grammaticali, l'inserimento di righe in sezioni separate per la leggibilità, la spaziatura per il testo alternativo e gli avvisi CCW. |
3.0 |
01-Mar-2023
|
PII rimossa.
Aggiornamento di titolo, introduzione, requisiti di stile, traduzione automatica, gerund e formattazione. |
2.0 |
05-Jan-2022
|
Video aggiunto |
1.0 |
05-Jan-2022
|
Versione iniziale |