Troubleshoot Security Intelligence Feed Update Failures on the FireSIGHT Management Center

下载选项

  • PDF     (539.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (80.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (68.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 7 月 22 日
文档 ID:117997

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何解决安全情报源更新的问题。安全情报源由思科Talos安全情报和研究小组(Talos)确定的信誉不佳的多个IP地址定期更新列表组成。 定期更新情报源非常重要,以便Cisco FireSIGHT系统可以使用最新信息来过滤网络流量。

先决条件

要求

Cisco 建议您了解以下主题:

  • Cisco FireSIGHT管理中心

  • 安全情报源

使用的组件

本文档中的信息基于运行软件版本5.2或更高版本的Cisco FireSIGHT管理中心。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

问题

发生安全情报源更新故障。您可以通过Web GUI或CLI验证故障(将在后续章节中进一步说明)。

从Web GUI验证问题

当安全情报源更新失败时,FireSIGHT管理中心会显示运行状况警报。

从CLI验证问题

要确定安全情报源更新故障的根本原因,请在FireSIGHT管理中心的CLI中输入以下命令:

admin@Sourcefire3D:~$ cat /var/log/messages

在邮件中搜索以下警告之一:

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
 Sourcefire_Intelligence_Feed

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
 unsucessful: Failure when receiving data from the peer

解决方案

完成以下步骤以解决该问题:

  1. 验证intelligence.sourcefire.com站点是否处于活动状态。在浏览器中导航至https://intelligence.sourcefire.com。您应该会看到一个笑脸,表示该站点处于活动状态。

  2. 通过安全外壳(SSH)访问FireSIGHT管理中心的CLI。

  3. 从FireSIGHT管理中心ping intelligence.sourcefire.com:

    admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
    您应该会收到如下输出:

    64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
    如果您没有收到与图中所示类似的响应,则可能出现了出站连接问题,或者您没有通向intelligence.sourcefire.com的路由。

  4. 解析intelligence.sourcefire.com的主机名:

    admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
    您应该会收到类似以下内容的响应:

    Server: 8.8.8.8
    Address: 8.8.8.8#53

    Name: intelligence.sourcefire.com
    Address: xxx.xxx.xx.x

    注意:上述输出以Google公共域名系统(DNS)服务器为例。输出取决于网络部分下System > Local > Configuration中配置的DNS设置。如果您没有收到与所示类似的响应,请确保DNS设置正确。

    警告:服务器使用轮询IP地址方案来实现负载均衡、容错和正常运行时间。因此,IP地址可能会改变,Cisco建议使用CNAME而不是IP地址配置防火墙。

  5. 使用Telnet检查与intelligence.sourcefire.com的连接:

    admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
    您应该会收到如下输出:

    Trying xxx.xxx.xx.x...
    Connected to intelligence.sourcefire.com.
    Escape character is '^]'.

    注意:如果能够成功完成第二步,但无法通过端口443通过Telnet访问intelligence.sourcefire.com,则您可能具有防火墙规则,该规则会阻止intelligence.sourcefire.com的出站端口443

  6. 导航到System > Local > Configuration,并验证Network部分下Manual Proxy配置的代理设置。

    注意:如果此代理执行安全套接字层(SSL)检查,则必须实施绕过intelligence.sourcefire.com代理的绕行规则

  7. 测试是否可以对intelligence.sourcefire.com执行HTTP GET请求:

    admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
    * About to connect() to intelligence.sourcefire.com port 443 (#0)
    *   Trying 198.148.79.58...
    * Adding handle: conn: 0xec5630
    * Adding handle: send: 0
    * Adding handle: recv: 0
    * Curl_addHandleToPipeline: length: 1
    * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
    * Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
    * SSLv3, TLS handshake, Client hello (1):
    * SSLv3, TLS handshake, Server hello (2):
    * SSLv3, TLS handshake, CERT (11):
    * SSLv3, TLS handshake, Server key exchange (12):
    * SSLv3, TLS handshake, Server finished (14):
    * SSLv3, TLS handshake, Client key exchange (16):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com
    * 	 start date: 2016-02-29 22:50:29 GMT
    * 	 expire date: 2019-02-28 22:50:29 GMT
    * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com; nsCaRevocationUrl=
           https://intelligence.sourcefire.com/vrtca.crl
    * 	 SSL certificate verify result: unable to get local issuer certificate
           (20), continuing anyway.
    > GET / HTTP/1.1
    > User-Agent: curl/7.31.0
    > Host: intelligence.sourcefire.com
    > Accept: */*
    > 
    < HTTP/1.1 200 OK
    < Date: Tue, 01 Mar 2016 13:06:16 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
    < ETag: "9da27-3-509ce19e67580"
    < Accept-Ranges: bytes
    < Content-Length: 3
    < Content-Type: text/html
    < 
    :)
    * Connection #0 to host intelligence.sourcefire.com left intact

    注意:curl命令输出末尾的笑脸表示连接成功。

    注:如果使用代理,则curl命令需要用户名。命令将为curl -U <user> -vvk https://intelligence.sourcefire.com。此外,输入命令后,系统会提示您输入代理密码。

  8. 验证用于下载安全情报源的HTTPS流量未通过SSL解密器。要验证是否未发生SSL解密,请验证步骤6的输出中的服务器证书信息。如果服务器证书与以下示例中显示的不匹配,则您可能具有重新签名证书的SSL解密器。如果流量通过SSL解密器,则必须绕过所有进入intelligence.sourcefire.com的流量。

    admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
    * About to connect() to intelligence.sourcefire.com port 443 (#0)
    *   Trying 198.148.79.58...
    * Adding handle: conn: 0xec5630
    * Adding handle: send: 0
    * Adding handle: recv: 0
    * Curl_addHandleToPipeline: length: 1
    * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
    * Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
    * SSLv3, TLS handshake, Client hello (1):
    * SSLv3, TLS handshake, Server hello (2):
    * SSLv3, TLS handshake, CERT (11):
    * SSLv3, TLS handshake, Server key exchange (12):
    * SSLv3, TLS handshake, Server finished (14):
    * SSLv3, TLS handshake, Client key exchange (16):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSLv3, TLS change cipher, Client hello (1):
    * SSLv3, TLS handshake, Finished (20):
    * SSL connection using DHE-RSA-AES256-SHA
    * Server certificate:
    * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com
    * 	 start date: 2016-02-29 22:50:29 GMT
    * 	 expire date: 2019-02-28 22:50:29 GMT
    * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
           emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
           CN=intelligence.sourcefire.com; nsCaRevocationUrl=
           https://intelligence.sourcefire.com/vrtca.crl
    * 	 SSL certificate verify result: unable to get local issuer certificate
           (20), continuing anyway.
    > GET / HTTP/1.1
    > User-Agent: curl/7.31.0
    > Host: intelligence.sourcefire.com
    > Accept: */*
    > 
    < HTTP/1.1 200 OK
    < Date: Tue, 01 Mar 2016 13:06:16 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
    < ETag: "9da27-3-509ce19e67580"
    < Accept-Ranges: bytes
    < Content-Length: 3
    < Content-Type: text/html
    < 
    :)
    * Connection #0 to host intelligence.sourcefire.com left intact

注意:安全情报源必须绕过SSL解密,因为SSL解密器在SSL握手中向FireSIGHT管理中心发送未知证书。发送到FireSIGHT管理中心的证书未由Sourcefire信任的CA签名,因此连接不受信任。

相关信息

修订历史记录

版本 发布日期 备注
1.0
17-Jul-2014
初始版本
TAC Authored

由思科工程师提供

  • Nazmul Rajib and Foster Lipkey
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品