أستكشاف أخطاء الاتصال والتسجيل وإصلاحها باستخدام AMP على مركز إدارة FireSIGHT

المقدمة

يمكن أن يتصل مركز إدارة FireSIGHT في عملية النشر لديك بسحابة Cisco. بعد تكوين FireSIGHT Management Center للاتصال بالسحابة، يمكنك تلقي سجلات من عمليات الفحص واكتشاف البرامج الضارة والحجر الصحي. يتم تخزين السجلات في قاعدة بيانات FireSIGHT Management Center كأحداث برامج ضارة. ترسل السحابة بشكل افتراضي أحداث البرامج الضارة لجميع المجموعات داخل مؤسستك، ولكن يمكنك تقييدها حسب المجموعة عند تكوين الاتصال. يناقش هذا المستند العديد من المشاكل وخطوات أستكشاف الأخطاء وإصلاحها فيما يتعلق بميزة "الحماية المتقدمة من البرامج الضارة" (AMP) من مركز إدارة FireSIGHT.

المنفذ أو الخادم محظور في جدار الحماية

إذا لم يتمكن FireSIGHT Management Center من الاتصال بوحدة تحكم سحابة FireAMP، أو عدم تلقي أحداث برامج ضارة، فيجب عليك التحقق مما إذا كانت المنافذ المطلوبة قد تم تكبيرها بواسطة جدار الحماية. يستخدم مركز إدارة FireSIGHT المنفذ 443 لتلقي أحداث البرامج الضارة المستندة إلى نقطة النهاية من وحدة تحكم FireAMP. يتطلب المنفذ 32137 لأجهزة FirePOWER لإجراء عمليات البحث عن البرامج الضارة في Cisco Cloud.

لمعرفة المزيد حول أرقام المنافذ وعناوين الخوادم المطلوبة، اقرأ المستندات التالية:

• منافذ الاتصال المطلوبة لتشغيل نظام FireSIGHT
• الخوادم المطلوبة لتشغيل AMP

عنوان MAC قيد الاستخدام

عرض

عند محاولة تسجيل مركز إدارة FireSIGHT إلى سحابة خاصة وإجراء الاتصال الأولي، قد تتلقى رسالة تشير إلى أن عنوان MAC قيد الاستخدام بالفعل.

سبب

عند إستبدال مركز إدارة FireSIGHT بسبب عطل في الجهاز، ولم يتم إلغاء تسجيل الوحدة البديلة بشكل صحيح من مجموعة النظراء، فقد تواجه هذه المشكلة.

الحل

قبل إستبدال جهاز، يجب إلغاء تسجيل "مركز إدارة FireSIGHT" من السحابة FireAMP. يجب أيضا إزالة "مركز إدارة FireSIGHT" من سحابة FireAMP. يؤدي ذلك إلى منع التعرف على عنوان MAC على أنه قيد الاستخدام.

تلميح: اقرأ هذا المستند للتعرف على العملية التفصيلية حول كيفية إلغاء تسجيل جهاز من سحابة FireAMP وحذف سحابة من مركز إدارة FireSIGHT.

يظهر خطأ عام/غير معروف

عرض

عند توصيل FireSIGHT Management Center (مركز إدارة FireSIGHT) الذي تم تعويضه أو إستبداله بوحدة تحكم FireAMP، تظهر رسالة خطأ. يعرض خطأ عام/غير معروف.

عندما تظهر رسالة الخطأ العام/غير المعروف، تصبح حالة اتصال FireAMP على FireSIGHT Management Center حرجة. تعرض واجهة الويب أيقونة حمراء.

سبب

تحدث هذه المشكلة عندما يكون عنوان MAC الخاص بمركز إدارة FireSIGHT، والذي تم تعويضه أو إستبداله للتو لا يزال قيد التسجيل في وحدة تحكم FireAMP.

الحل

قبل إعادة تكوين جهاز أو إستبداله، يجب إلغاء تسجيل FireSIGHT Management Center من السحابة FireAMP. يجب أيضا إزالة "مركز إدارة FireSIGHT" من سحابة FireAMP. يؤدي ذلك إلى منع التعرف على عنوان MAC على أنه قيد الاستخدام.

تلميح: اقرأ هذا المستند للتعرف على العملية التفصيلية حول كيفية إلغاء تسجيل جهاز من سحابة FireAMP وحذف سحابة من مركز إدارة FireSIGHT.

تعذر تحديد مجموعة النظراء

عرض

عند إنشاء اتصال من FireSIGHT Management Center بوحدة تحكم السحابة FireAMP، لا توجد خيارات منسدلة لسحابة الولايات المتحدة أو شبكة الاتحاد الأوروبي.

سبب

تحدث هذه المشكلة عندما يكون FireSIGHT Management Center غير قادر على حل hostname api.amp.sourcefire.com.

للتحقق من المشكلة، قم بإجراء بحث على واجهة سطر الأوامر (CLI) الخاصة بمركز إدارة FireSIGHT. تحقق مما إذا تم تكوين إعدادات DNS بشكل صحيح على مركز إدارة FireSIGHT:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

يتم عرض الإخراج التالي عندما يتعذر على DNS حل اسم المضيف في مركز إدارة FireSIGHT:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Server:         192.168.45.2
Address:        192.168.45.2#53
 
** server can't find api.amp.sourcefire.com

فيما يلي المخرج إذا تم حل DNS بشكل صحيح على مركز إدارة FireSIGHT:

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server:         192.168.45.1
Address:        192.168.45.1#53
 
Non-authoritative answer:
api.amp.sourcefire.com
Name:   xxxx.xxxx.xxxx
Address: xx.xx.xx.xx

الحل

• إذا تعذر على FireSIGHT Management Center حل اسم المضيف، فأنت بحاجة إلى التحقق من صحة إعدادات DNS على مركز الإدارة.
• إذا كان مركز إدارة FireSIGHT قادرا على حل اسم المضيف، ولكنه غير قادر على الوصول إلى api.amp.sourcefire.com من خلال جدار حماية، فتحقق من قواعد وإعدادات جدار الحماية.

أثناء عملية إنشاء الاتصال، إذا تعذر على "مركز إدارة FireSIGHT" حل اسم المضيف، يتم تسجيل رسالة الخطأ التالية في httpsd_error_log:

Error attempting curl for FireAMP: System

على سبيل المثال، يوضح إخراج السجل التالي فشل "مركز الدفاع" في إكمال الأمر curl إلى api.amp.sourcefire.com:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:14.338174 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352374 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting curl for FireAMP: System (/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7499., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352432 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data returned at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

أثناء عملية إنشاء الاتصال، إذا تم تسجيل الرسالة التالية في httpsd_error_log بدون خطأ، فإنها تشير إلى أن مركز إدارة FireSIGHT قادر على حل اسم المضيف:

getCloudData completed

على سبيل المثال، يوضح الإخراج التالي أن مركز الإدارة يقوم بإكمال أمر curl إلى api.amp.sourcefire.com:

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.856432 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.931106 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/