Problemen met connectiviteit en registratie oplossen met AMP op FireSIGHT Management Center
Inhoud
Inleiding
Een FireSIGHT Management Center in uw implementatie kan verbinding maken met de Cisco-cloud. Nadat u een FireSIGHT-beheercentrum hebt geconfigureerd om verbinding te maken met de cloud, kunt u gegevens ontvangen van scans, malwaredetecties en quarantaines. De records worden opgeslagen in de FireSIGHT Management Center-database als malware-gebeurtenissen. De cloud verstuurt standaard malware-events voor alle groepen binnen uw organisatie, maar u kunt deze beperken per groep wanneer u de verbinding configureert. In dit document worden verschillende problemen en stappen voor het oplossen van problemen met de AMP-functie (Advanced Malware Protection) van een FireSIGHT Management Center besproken.
Poort of server is geblokkeerd in Firewall
Als een FireSIGHT Management Center geen verbinding kan maken met de FireAMP Cloud Console of geen malware-gebeurtenissen ontvangt, moet u controleren of de vereiste poorten door de firewall zijn geblokkeerd. Een FireSIGHT Management Center maakt gebruik van poort 443 om malware-events op basis van een eindpunt te ontvangen van de FireAMP-console. De poort 32137 is vereist voor FirePOWER-apparaten om malware-opzoekingen uit te voeren in de Cisco Cloud.
Lees de volgende documenten voor meer informatie over de vereiste poortnummers en serveradressen:
- Vereiste communicatiepoorten voor de werking van het FireSIGHT-systeem
- Vereiste servers voor AMP-werking
MAC-adres in gebruik
Symptoom
Wanneer u probeert een FireSIGHT Management Center te registreren in een privécloud en de eerste verbinding uit te voeren, ontvangt u mogelijk een bericht dat het MAC-adres al in gebruik is.
reden
Wanneer een FireSIGHT Management Center wordt vervangen als gevolg van een hardwarestoring en de vervangende eenheid niet correct is geregistreerd vanuit de cloud, kunt u dit probleem ondervinden.
Oplossing
Voordat u een apparaat vervangt, moet u het FireSIGHT Management Center registreren bij de FireAMP Cloud. U moet ook uw FireSIGHT Management Center verwijderen uit de FireAMP-cloud. Dit voorkomt dat een MAC-adres wordt gezien als in gebruik.
Algemene/onbekende fout wordt weergegeven
Symptoom
Wanneer een vernieuwd of vervangend FireSIGHT Management Center wordt aangesloten op een FireAMP-console, verschijnt er een foutmelding. Er wordt een algemene/onbekende fout weergegeven.
Wanneer de foutmelding Algemeen/onbekend wordt weergegeven, wordt de status van de FireAMP-verbinding op FireSIGHT Management Center kritiek. De webinterface toont een rood pictogram.
reden
Dit probleem treedt op wanneer een MAC-adres van een FireSIGHT Management Center, dat net opnieuw is gekopieerd of vervangen, nog steeds wordt geregistreerd op een FireAMP-console.
Oplossing
Voordat u een image van een apparaat wijzigt of een apparaat vervangt, moet u het FireSIGHT Management Center registreren bij de FireAMP Cloud. U moet ook uw FireSIGHT Management Center verwijderen uit de FireAMP-cloud. Dit voorkomt dat een MAC-adres wordt gezien als in gebruik.
Kan geen cloud selecteren
Symptoom
Bij het maken van een verbinding van een FireSIGHT Management Center naar de FireAMP Cloud Console, zijn er geen drop-down opties gevonden voor US Cloud of EU Cloud.
reden
Dit probleem treedt op wanneer een FireSIGHT Management Center de hostnaam api.amp.sourcefire.com niet kan oplossen.
Om het probleem te verifiëren, voert u een inspectie uit op de CLI van het FireSIGHT Management Center. Controleer of de DNS-instellingen correct zijn geconfigureerd in het FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
De volgende uitvoer wordt weergegeven wanneer DNS de hostnaam niet kan oplossen in het FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server: 192.168.45.2 Address: 192.168.45.2#53 ** server can't find api.amp.sourcefire.com
Hieronder ziet u de uitvoer als DNS correct is opgelost in het FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com Server: 192.168.45.1 Address: 192.168.45.1#53 Non-authoritative answer: api.amp.sourcefire.com Name: xxxx.xxxx.xxxx Address: xx.xx.xx.xx
Oplossing
- Als een FireSIGHT Management Center de hostnaam niet kan oplossen, moet u controleren of de DNS-instellingen in het Management Center correct zijn.
- Als een FireSIGHT Management Center de hostnaam kan oplossen, maar geen toegang heeft tot api.amp.sourcefire.com via een firewall, controleert u de firewallregels en -instellingen.
Als een FireSIGHT Management Center tijdens het maken van de verbinding de hostnaam niet kan oplossen, wordt de volgende foutmelding in het httpsd_error_log geregistreerd:
Error attempting curl for FireAMP: System
De volgende loguitvoer toont bijvoorbeeld dat het Defence Center de opdracht curl niet heeft voltooid naar api.amp.sourcefire.com:
admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log [Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:14.338174 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:24.352374 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting curl for FireAMP: System (/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7499., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:24.352432 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data returned at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/
Als tijdens het maken van de verbinding het volgende bericht zonder fout in het httpsd_error_log wordt geregistreerd, geeft dit aan dat het FireSIGHT Management Center de hostnaam kan oplossen:
getCloudData completed
De volgende uitvoer laat bijvoorbeeld zien dat een beheercentrum een curl-opdracht voltooit naar api.amp.sourcefire.com:
admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log [Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:42:55.856432 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:42:55.931106 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
14-Aug-2014
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)