Este documento descreve cenários comuns em que o sistema Firepower aciona o alerta de integridade: falha na configuração de nuvem da Cisco com atualizações de dados de ameaças.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O erro Cloud Configuration é observado porque o FTD não pode se comunicar com api-sse.cisco.com. Este é o site que os dispositivos Firepower devem acessar para se integrarem com SecureX e serviços em nuvem.
Este alerta faz parte do recurso Contenção rápida de ameaças (RTC). Esse recurso é habilitado por padrão em novas versões do Firepower, nas quais o FTD deve se comunicar com api-sse.cisco.com na Internet. Se essa comunicação não estiver disponível, o módulo do monitor de integridade do FTD exibirá esta mensagem de erro: Atualizações de dados de ameaças - Configuração de nuvem da Cisco - Falha

O bug da Cisco ID CSCvr46845 explica quando o Sistema Firepower aciona o Alerta de Integridade Configuração de Nuvem da Cisco - Falha, esse problema está frequentemente relacionado à conectividade entre o FTD e o api-sse.cisco.com. No entanto, o alerta é genérico e pode apontar vários problemas, até relacionados à conectividade, mas em um contexto diferente.
Existem dois cenários principais possíveis:
Cenário 1. No caso em que a Integração de Nuvem não está habilitada, esse alerta é esperado porque a conectividade com o portal de nuvem não é permitida.
Cenário 2. No caso em que a integração de nuvem está habilitada, é necessário realizar uma análise mais detalhada para eliminar circunstâncias que envolvam uma falha de conectividade.
Exemplo de um alerta de falha de integridade na próxima imagem:
Exemplo de alerta de falha de integridade
Solução para o Cenário 1. O erro de configuração de nuvem foi observado porque o FTD não pode se comunicar com https://api-sse.cisco.com/. Para Desabilitar o alerta Cisco Cloud Configuration-Failure, navegue até Sistema > Integridade > Política > Editar política > Atualizações de Dados de Ameaça em Dispositivos. Escolha Enabled (Off) > Save Policy > Exit. Consulte as Diretrizes de Conjuntos em Linha e Interfaces Passivas do Firepower Threat Defense para obter as configurações em linha.
Solução para o Cenário 2. Quando a Integração de Nuvem deve ser habilitada:
Comandos úteis para a solução de problemas:
curl -v -k https://api-sse.cisco.com <-- To verify connection with the external site
nslookup api-sse.cisco.com <-- To dicard any DNS error
/ngfw/etc/sf/connector.properties <-- To verify is configure properly the FQDN settings
netstat -na | grep 8989 <-- To verify the outbound connection to the cloud on port 8989/tcp is ESTABLISHED
netstat -na | grep 443 <-- To verify the outbound connection to the cloud on port 443/tcp is ESTABLISHED
Etapa 1. Verificar se o DNS está configurado no FTD. Se não houver configurações de DNS, proceda da seguinte forma:
> show network
Etapa 2. Adicione o DNS executando este comando:
> configure network dns servers dns_ip_addresses
Depois de configurar o DNS, o alerta de integridade é resolvido e o dispositivo é exibido como íntegro. Há um breve intervalo de tempo antes que a alteração seja refletida e que os servidores DNS apropriados sejam configurados.
Execute o comando curl. Se o dispositivo não puder alcançar o local da nuvem, há uma saída semelhante a este exemplo.
FTD01:/home/ldap/abbac# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'
Note: Pode haver um possível problema de DNS após a execução do comando curl. Em caso afirmativo, comece com o mesmo método de solução de problemas na Opção 1. Verifique se a configuração do DNS está definida corretamente.
Uma saída curl correta deve ser:
root@fp:/home/admin# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying 10.6.187.110...
* Connected to api-sse.cisco.com (10.6.187.110) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api-sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 30 Dec 2020 21:41:15 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5fb40950-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src https: ;
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Strict-Transport-Security: max-age=31536000; includeSubDomains
<
* Connection #0 to host api-sse.cisco.com left intact
Forbidden
Mova para o nome do host do servidor:
# curl -v -k https://cloud-sa.amp.cisco.com
* Trying 10.21.117.50...
* TCP_NODELAY set
* Connected to cloud-sa.amp.cisco.com (10.21.117.50) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
Use ferramentas básicas de conectividade, como os comandos nslookup, telnet e ping para verificar a resolução DNS correta para o site de nuvem da Cisco.
Aplique nslookup aos nomes de host do servidor.
# nslookup cloud-sa.amp.sourcefire.com
# nslookup cloud-sa.amp.cisco.com
# nslookup api.amp.sourcefire.com
# nslookup panacea.threatgrid.com
root@fp:/home/admin# nslookup api-sse.cisco.com
Server: 10.25.0.1
Address: 10.25.0.1#53
Non-authoritative answer:
api-sse.cisco.com canonical name = api-sse.cisco.com.akadns.net.
Name: api-sse.cisco.com.akadns.net
Address: 10.6.187.110
Name: api-sse.cisco.com.akadns.net
Address: 10.234.20.16
Os problemas de conexão com a AMP Cloud possivelmente se devem à resolução de DNS. Verifique as configurações de DNS ou execute nslookup no FMC.
nslookup api.amp.sourcefire.com
Telnet
root@fp:/home/admin# telnet api-sse.cisco.com 8989
root@fp:/home/admin# telnet api-sse.cisco.com 443
root@fp:/home/admin# telnet cloud-sa.amp.cisco.com 443
Ping
root@fp:/home/admin# ping api-sse.cisco.com
Verifique as propriedades do conector em /ngfw/etc/sf/connector.properties. Você deve ver essa saída com a porta de conector correta (8989) e o connector_fqdn com a URL correta.
root@Firepower-module1:sf# cat /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
region_discovery_endpoint=https://api-sse.cisco.com/providers/sse/api/v1/regions
connector_fqdn=api-sse.cisco.com
Para obter mais informações, consulte o Guia de configuração do Firepower.
ID de bug da Cisco CSCvs05084 FTD Cisco Falha na configuração de nuvem devido ao proxy.
ID de bug da Cisco CSCvp56922 Use a API do conector sse do contexto de atualização para atualizar o nome de host e a versão do dispositivo.
ID de bug da Cisco CSCvu02123 Bug DOC: Atualize a URL acessível de dispositivos Firepower para SSE no guia de configuração do CTR.
ID de bug da Cisco CSCvr46845 ENH: A mensagem de integridade Cisco Cloud Configuration - Failure precisa de melhoria.
| Revisão | Data de publicação | Comentários |
|---|---|---|
4.0 |
09-Jul-2026
|
Ortografia e espaçamento atualizados, gramática, linhas de inserção para seções separadas para legibilidade, espaçamento para texto alternativo e alertas do CCW. |
3.0 |
01-Mar-2023
|
PII removido.
Título atualizado, Introdução, Requisitos de estilo, Tradução automática, Gerunds e Formatação. |
2.0 |
05-Jan-2022
|
Vídeo adicionado |
1.0 |
05-Jan-2022
|
Versão inicial |