In dit document worden algemene scenario's beschreven waarbij het Firepower-systeem Health Alert: Threat Data Updates Cisco Cloud Configuration Failure activeert.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De cloudconfiguratiefout wordt waargenomen omdat de FTD niet kan communiceren met api-sse.cisco.com. Dit is de site die Firepower-apparaten moeten bereiken om te integreren met SecureX- en cloudservices.
Deze waarschuwing maakt deel uit van de functie Rapid Threat Containment (RTC). Deze functie is standaard ingeschakeld op nieuwe Firepower-versies, waarbij FTD op internet met api-sse.cisco.com moet praten. Als deze communicatie niet beschikbaar is, wordt in de FTD-controlemodule het volgende foutbericht weergegeven: Threat Data Updates - Cisco Cloud Configuration - Failure

Cisco bug ID CSCvr46845 legt uit wanneer het Firepower System de Health Alert Cisco Cloud Configuration - Failure activeert, dit probleem is vaak gerelateerd aan connectiviteit tussen FTD en api-sse.cisco.com. De waarschuwing is echter algemeen en kan wijzen op verschillende problemen, zelfs met betrekking tot connectiviteit, maar in een andere context.
Er zijn twee mogelijke scenario’s:
Scenario 1. In het geval dat Cloud Integration niet is ingeschakeld, wordt deze waarschuwing verwacht omdat de connectiviteit met het cloudportaal niet is toegestaan.
Scenario 2. In het geval dat Cloud Integration is ingeschakeld, is het noodzakelijk om een meer gedetailleerde analyse uit te voeren om omstandigheden te elimineren die een connectiviteitsfout met zich meebrengen.
Voorbeeld van een waarschuwing voor een gezondheidsprobleem in de volgende afbeelding:
Voorbeeld van een waarschuwing voor een gezondheidsstoring
Oplossing voor scenario 1. De fout in de cloudconfiguratie wordt waargenomen omdat de FTD niet kan communiceren met https://api-sse.cisco.com/. Als u de waarschuwing Cisco Cloud Configuration-Failure wilt uitschakelen, gaat u naar Systeem > Gezondheid > Beleid > Beleid bewerken > Gegevensupdates over bedreigingen op apparaten. Kies Ingeschakeld (Uit) > Opslagbeleid > Afsluiten. Raadpleeg de inline sets en passieve interfaces voor Firepower Threat Defense Guidelines voor inline configuraties.
Oplossing voor scenario 2. Wanneer de cloudintegratie moet worden ingeschakeld:
Handige opdrachten voor probleemoplossing:
curl -v -k https://api-sse.cisco.com <-- To verify connection with the external site
nslookup api-sse.cisco.com <-- To dicard any DNS error
/ngfw/etc/sf/connector.properties <-- To verify is configure properly the FQDN settings
netstat -na | grep 8989 <-- To verify the outbound connection to the cloud on port 8989/tcp is ESTABLISHED
netstat -na | grep 443 <-- To verify the outbound connection to the cloud on port 443/tcp is ESTABLISHED
Stap 1. Controleer of DNS is geconfigureerd op de FTD. Als er geen DNS-configuraties zijn, gaat u als volgt te werk:
> show network
Stap 2. Voeg DNS toe door deze opdracht uit te voeren:
> configure network dns servers dns_ip_addresses
Nadat u de DNS hebt geconfigureerd, wordt het gezondheidsalarm opgelost en wordt het apparaat als gezond weergegeven. Er is een korte tijd verstreken voordat de wijziging wordt weergegeven en de juiste DNS-servers worden geconfigureerd.
Voer de opdracht curl uit. Als het apparaat de cloudsite niet kan bereiken, is er een uitvoer vergelijkbaar met dit voorbeeld.
FTD01:/home/ldap/abbac# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
Opmerking: er kan een mogelijk DNS-probleem zijn na het uitvoeren van de opdracht curl. Als dat het geval is, begint u met dezelfde methode om problemen op te lossen in optie 1. Controleer of de DNS-configuratie juist is ingesteld.
Een juiste kruluitgang moet zijn:
root@fp:/home/admin# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying 10.6.187.110...
* Connected to api-sse.cisco.com (10.6.187.110) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api-sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 30 Dec 2020 21:41:15 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5fb40950-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src https: ;
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Strict-Transport-Security: max-age=31536000; includeSubDomains
<
* Connection #0 to host api-sse.cisco.com left intact
Forbidden
Curl naar de hostnaam van de server:
# curl -v -k https://cloud-sa.amp.cisco.com
* Trying 10.21.117.50...
* TCP_NODELAY set
* Connected to cloud-sa.amp.cisco.com (10.21.117.50) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
Gebruik eenvoudige connectiviteitstools zoals nslookup, telnet en ping-opdrachten om de juiste DNS-resolutie voor de Cisco Cloud-site te controleren.
Pas nslookup toe op de hostnamen van de server.
# nslookup cloud-sa.amp.sourcefire.com
# nslookup cloud-sa.amp.cisco.com
# nslookup api.amp.sourcefire.com
# nslookup panacea.threatgrid.com
root@fp:/home/admin# nslookup api-sse.cisco.com
Server: 10.25.0.1
Address: 10.25.0.1#53
Non-authoritative answer:
api-sse.cisco.com canonical name = api-sse.cisco.com.akadns.net.
Name: api-sse.cisco.com.akadns.net
Address: 10.6.187.110
Name: api-sse.cisco.com.akadns.net
Address: 10.234.20.16
Verbindingsproblemen met AMP Cloud zijn mogelijk te wijten aan DNS-resolutie. Controleer de DNS-instellingen of voer nslookup uit vanuit de FMC.
nslookup api.amp.sourcefire.com
Telnet
root@fp:/home/admin# telnet api-sse.cisco.com 8989
root@fp:/home/admin# telnet api-sse.cisco.com 443
root@fp:/home/admin# telnet cloud-sa.amp.cisco.com 443
pingelen
root@fp:/home/admin# ping api-sse.cisco.com
Controleer de eigenschappen van de connector onder /ngfw/etc/sf/connector.properties. U moet deze uitvoer zien met de juiste aansluitpoort (8989) en de connector_fqdn met de juiste URL.
root@Firepower-module1:sf# cat /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions
connector_fqdn=api-sse.cisco.com
Raadpleeg de configuratiehandleiding van Firepower voor meer informatie.
Cisco bug ID CSCvs05084 FTD Cisco Cloud Configuration Failure vanwege proxy.
Cisco bug ID CSCvp56922 Gebruik update-context sse-connector API om de hostnaam en versie van het apparaat bij te werken.
Cisco-bug-ID CSCvu02123 DOC-bug: URL bijwerken die bereikbaar is vanaf Firepower-apparaten naar SSE in de CTR-configuratiehandleiding.
Cisco bug ID CSCvr46845 ENH: gezondheidsbericht Cisco Cloud Configuration - Failure needs improvement.
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
4.0 |
09-Jul-2026
|
Bijgewerkte spelling, spatiëring, enkele grammatica, lijnen invoegen om secties te scheiden voor leesbaarheid, spatiëring voor alt-tekst en CCW-waarschuwingen. |
3.0 |
01-Mar-2023
|
Verwijderde PII.
Bijgewerkte titel, inleiding, stijlvereisten, machinevertaling, redenen en opmaak. |
2.0 |
05-Jan-2022
|
Video toegevoegd |
1.0 |
05-Jan-2022
|
Eerste vrijgave |