Solucione problemas de conectividade e registro com o AMP no FireSIGHT Management Center
Contents
Introdução
Um FireSIGHT Management Center em sua implantação pode se conectar à nuvem da Cisco. Depois de configurar um FireSIGHT Management Center para se conectar à nuvem, você pode receber registros de varreduras, detecções de malware e quarentenas. Os registros são armazenados no banco de dados do FireSIGHT Management Center como eventos de malware. Por padrão, a nuvem envia eventos de malware para todos os grupos dentro da sua organização, mas você pode restringir por grupo quando configura a conexão. Este documento discute vários problemas e etapas de solução de problemas do recurso Advanced Malware Protection (AMP) de um FireSIGHT Management Center.
A porta ou o servidor está bloqueado no firewall
Se um FireSIGHT Management Center não conseguir se conectar ao FireAMP Cloud Console ou não receber eventos de malware, você deverá verificar se as portas necessárias estão bloqueadas pelo firewall. Um FireSIGHT Management Center usa a porta 443 para receber eventos de malware com base em endpoint do FireAMP Console. O 32137 de porta é necessário para que os dispositivos FirePOWER realizem pesquisas de malware na nuvem da Cisco.
Para saber mais sobre os números de porta e endereços de servidor necessários, leia os seguintes documentos:
- Portas de comunicação necessárias para a operação do sistema FireSIGHT
- Servidores necessários para a operação do AMP
Endereço MAC em Uso
Sintoma
Ao tentar registrar um FireSIGHT Management Center em uma nuvem privada e executar a conexão inicial, você poderá receber uma mensagem indicando que o endereço MAC já está em uso.
Razão
Quando um FireSIGHT Management Center é substituído devido a uma falha de hardware e o registro da unidade de substituição na nuvem não é cancelado corretamente, esse problema pode ocorrer.
Solução
Antes de substituir um dispositivo, você deve cancelar o registro do FireSIGHT Management Center na nuvem do FireAMP. Você também deve remover o FireSIGHT Management Center da nuvem do FireAMP. Isso evita que um endereço MAC seja visto como em uso.
Erro geral/desconhecido é exibido
Sintoma
Ao conectar um FireSIGHT Management Center recriado ou de substituição a um FireAMP Console, uma mensagem de erro é exibida. Ele exibe um erro geral/desconhecido.
Quando a mensagem General/unknown error (Erro geral/desconhecido) é exibida, o estado da conexão FireAMP no FireSIGHT Management Center torna-se crítico. A interface da Web do exibe um ícone vermelho.
Razão
Esse problema ocorre quando um endereço MAC de um FireSIGHT Management Center, que acabou de ser recriado ou substituído, ainda está sendo registrado em um FireAMP Console.
Solução
Antes de recriar ou substituir um dispositivo, você deve cancelar o registro do FireSIGHT Management Center na nuvem do FireAMP. Você também deve remover o FireSIGHT Management Center da nuvem do FireAMP. Isso evita que um endereço MAC seja visto como em uso.
Não é possível selecionar uma nuvem
Sintoma
Ao criar uma conexão de um FireSIGHT Management Center com o FireAMP Cloud Console, não há opções suspensas para a nuvem dos EUA ou da UE.
Razão
Esse problema ocorre quando um FireSIGHT Management Center não consegue resolver o nome de host api.amp.sourcefire.com.
Para verificar o problema, execute um nslookup na CLI do FireSIGHT Management Center. Verifique se as configurações de DNS estão definidas corretamente no FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
A seguinte saída é exibida quando o DNS não consegue resolver o nome do host no FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server: 192.168.45.2 Address: 192.168.45.2#53 ** server can't find api.amp.sourcefire.com
Abaixo está a saída se o DNS for resolvido corretamente no FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com Server: 192.168.45.1 Address: 192.168.45.1#53 Non-authoritative answer: api.amp.sourcefire.com Name: xxxx.xxxx.xxxx Address: xx.xx.xx.xx
Solução
- Se um FireSIGHT Management Center não puder resolver o nome de host, você precisará verificar se as configurações DNS no Management Center estão corretas.
- Se um FireSIGHT Management Center puder resolver o nome de host, mas não puder acessar api.amp.sourcefire.com por meio de um firewall, verifique as regras e configurações do firewall.
Durante o processo de criação da conexão, se um FireSIGHT Management Center não puder resolver o nome do host, a seguinte mensagem de erro será registrada no httpsd_error_log:
Error attempting curl for FireAMP: System
Por exemplo, a seguinte saída de registro mostra o Defense Center falhando ao concluir o comando curl para api.amp.sourcefire.com:
admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log [Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:14.338174 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:24.352374 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting curl for FireAMP: System (/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7499., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:24.352432 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data returned at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/
Durante o processo de criação da conexão, se a seguinte mensagem for registrada no httpsd_error_log sem erro, isso indica que o FireSIGHT Management Center pode resolver o nome de host:
getCloudData completed
Por exemplo, a saída a seguir mostra que um Management Center conclui um comando curl para api.amp.sourcefire.com:
admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log [Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:42:55.856432 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/ [Thu Jul 18 12:42:55.931106 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
14-Aug-2014
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)