Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Solucione problemas de falhas de atualização do feed do Security Intelligence no FireSIGHT Management Center

Opções de download

  • PDF     (158.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (91.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (81.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de Julho de 2021
ID do documento:117997

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como solucionar problemas com as atualizações do Security Intelligence Feed. O feed de inteligência de segurança é composto de várias listas regularmente atualizadas de endereços IP com má reputação, conforme determinado pelo Cisco Talos Security Intelligence and Research Group (Talos). É importante manter o feed de inteligência atualizado regularmente para que um Cisco FireSIGHT System possa usar informações atualizadas para filtrar o tráfego da rede.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco FireSIGHT Management Center

  • Feed de inteligência de segurança

Componentes Utilizados

As informações neste documento são baseadas em um Cisco FireSIGHT Management Center que executa o software versão 5.2 ou posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problema

Ocorre uma falha na atualização do feed de inteligência de segurança. Você pode verificar a falha por meio da GUI da Web ou da CLI (explicado mais nas seções a seguir).

Verifique o problema na GUI da Web

Quando ocorre uma falha na atualização do feed do Security Intelligence, o FireSIGHT Management Center exibe alertas de integridade.

Verifique o problema na CLI

Para determinar a causa raiz de uma falha de atualização com o Security Intelligence Feed, insira este comando no CLI do FireSIGHT Management Center:

admin@Sourcefire3D:~$ cat /var/log/messages

Procure um destes avisos nas mensagens:

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
 Sourcefire_Intelligence_Feed

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
 unsucessful: Failure when receiving data from the peer

Solução

Conclua estes passos para fazer o troubleshooting do problema:

  1. Verifique se o site intelligence.sourcefire.com está ativo. Navegue até https://intelligence.sourcefire.comin um navegador. Você deve receber um rosto sorridente, o que indica que o site está ao vivo.

  2. Acesse o CLI do FireSIGHT Management Center via Secure Shell (SSH).

  3. Faça ping no intelligence.sourcefire.com do FireSIGHT Management Center:

    admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
    Você deve receber uma saída semelhante a esta:

    64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
    Se você não receber uma resposta semelhante à mostrada, você poderá ter um problema de conectividade de saída ou não terá uma rota para intelligence.sourcefire.com.

  4. Resolva o nome do host para intelligence.sourcefire.com:

    admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
    Você deve receber uma resposta semelhante a esta:

    Server: 8.8.8.8
    Address: 8.8.8.8#53

    Name: intelligence.sourcefire.com
    Address: xxx.xxx.xx.x

    Note: A saída mencionada acima usa o servidor do Sistema de Nome de Domínio Público (DNS - Public Domain Name System) do Google como exemplo. A saída depende das configurações de DNS configuradas em System > Local > Configuration, na seção Network. Se você não receber uma resposta semelhante à mostrada, verifique se as configurações de DNS estão corretas.

    Caution: O servidor usa um esquema de endereço IP round-robin para balanceamento de carga, tolerância a falhas e tempo de atividade. Portanto, os endereços IP podem mudar e a Cisco recomenda que o firewall seja configurado com um CNAME em vez de um endereço IP.

  5. Verifique a conectividade com intelligence.sourcefire.com com o uso de Telnet:

    admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
    Você deve receber uma saída semelhante a esta:

    Trying xxx.xxx.xx.x...
    Connected to intelligence.sourcefire.com.
    Escape character is '^]'.

    Note: Se você conseguir concluir a segunda etapa com êxito, mas não puder executar telnet para intelligence.sourcefire.com sobre a porta 443, você poderá ter uma regra de firewall que bloqueia a porta 443 de saída para intelligence.sourcefire.com.

  6. Navegue até System > Local > Configuration e verifique as configurações de proxy da configuração Manual Proxy na seção Network.

    Note: Se esse proxy fizer a inspeção SSL (Secure Sockets Layer), você deverá colocar em prática uma regra de desvio que ignore o proxy para intelligence.sourcefire.com.

  7. Teste se você pode executar uma solicitação HTTP GET contra intelligence.sourcefire.com:

    admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
    * About to connect() to intelligence.sourcefire.com port 443 (#0)
    *   Trying 198.148.79.58...
    * Adding handle: conn: 0xec5630
    * Adding handle: send: 0
    * Adding handle: recv: 0
    * Curl_addHandleToPipeline: length: 1
    * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
    * Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
    * SSLv3, TLS handshake, Client hello (1):
    * SSLv3, TLS handshake, Server hello (2):
    * SSLv3, TLS handshake, CERT (11):
    * SSLv3, TLS handshake, Server key exchange (12):
    * SSLv3, TLS handshake, Server finished (14):
    * SSLv3, TLS handshake, Client key exchange (16):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com
    * 	 start date: 2016-02-29 22:50:29 GMT
    * 	 expire date: 2019-02-28 22:50:29 GMT
    * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com; nsCaRevocationUrl=
           https://intelligence.sourcefire.com/vrtca.crl
    * 	 SSL certificate verify result: unable to get local issuer certificate
           (20), continuing anyway.
    > GET / HTTP/1.1
    > User-Agent: curl/7.31.0
    > Host: intelligence.sourcefire.com
    > Accept: */*
    > 
    < HTTP/1.1 200 OK
    < Date: Tue, 01 Mar 2016 13:06:16 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
    < ETag: "9da27-3-509ce19e67580"
    < Accept-Ranges: bytes
    < Content-Length: 3
    < Content-Type: text/html
    < 
    :)
    * Connection #0 to host intelligence.sourcefire.com left intact

    Note: A face sorridente no final da saída do comando curl indica uma conexão bem-sucedida.

    Observação: se você usar um proxy, o comando curl exigirá um nome de usuário. O comando será curl -U <user> -vk https://intelligence.sourcefire.com. Além disso, após inserir o comando, você será solicitado a inserir a senha do proxy.

  8. Verifique se o tráfego HTTPS usado para baixar o feed Security Intelligence não passa por um decodificador SSL. Para verificar se não há descriptografia de SSL, valide as informações do certificado do servidor na saída da Etapa 6. Se o certificado do servidor não corresponder ao exibido no exemplo a seguir, você pode ter um decodificador SSL que renuncia o certificado. Se o tráfego passa por um descriptografador SSL, você deve ignorar todo o tráfego que vai para intelligence.sourcefire.com.

    admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
    * About to connect() to intelligence.sourcefire.com port 443 (#0)
    *   Trying 198.148.79.58...
    * Adding handle: conn: 0xec5630
    * Adding handle: send: 0
    * Adding handle: recv: 0
    * Curl_addHandleToPipeline: length: 1
    * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
    * Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
    * SSLv3, TLS handshake, Client hello (1):
    * SSLv3, TLS handshake, Server hello (2):
    * SSLv3, TLS handshake, CERT (11):
    * SSLv3, TLS handshake, Server key exchange (12):
    * SSLv3, TLS handshake, Server finished (14):
    * SSLv3, TLS handshake, Client key exchange (16):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com
    * 	 start date: 2016-02-29 22:50:29 GMT
    * 	 expire date: 2019-02-28 22:50:29 GMT
    * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com; nsCaRevocationUrl=
           https://intelligence.sourcefire.com/vrtca.crl
    * 	 SSL certificate verify result: unable to get local issuer certificate
           (20), continuing anyway.
    > GET / HTTP/1.1
    > User-Agent: curl/7.31.0
    > Host: intelligence.sourcefire.com
    > Accept: */*
    > 
    < HTTP/1.1 200 OK
    < Date: Tue, 01 Mar 2016 13:06:16 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
    < ETag: "9da27-3-509ce19e67580"
    < Accept-Ranges: bytes
    < Content-Length: 3
    < Content-Type: text/html
    < 
    :)
    * Connection #0 to host intelligence.sourcefire.com left intact

Note: A descriptografia de SSL deve ser ignorada para o feed Security Intelligence porque o decodificador de SSL envia ao FireSIGHT Management Center um certificado desconhecido no handshake SSL. O certificado enviado para o FireSIGHT Management Center não é assinado por uma CA confiável do Sourcefire, portanto, a conexão não é confiável.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
17-Jul-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib and Foster Lipkey
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos