Onboard FDM to Defense Orchestrator

簡介

本文檔介紹如何使用註冊金鑰將由Firepower裝置管理器(FDM)管理的裝置註冊到Cisco Defense Orchestrator (CDO)。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower裝置管理器(FDM)
• Cisco Defense Orchestrator (CDO)

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行7.4.1版的Firepower裝置管理器(FDM) Azure
  

有關相容版本和產品的完整清單，請參閱安全防火牆威脅防禦相容性指南以瞭解其他詳細資訊。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

在使用註冊金鑰開始將FDM管理的裝置註冊到Cisco Defense Orchestrator (CDO)之前，請確保滿足以下前提條件：

1. 相容版本：您的裝置必須運行版本6.6或更高版本。

2. 網路要求：將Cisco Defense Orchestrator連線到受管裝置

3. 管理軟體：裝置必須透過「安全防火牆裝置管理員」(FDM)管理。

4. 授權：您的裝置可使用90天評估許可證或智慧許可證。

5. 現有註冊：確保裝置尚未在思科雲服務中註冊，以避免在註冊過程中發生衝突。

6. 暫掛更改：驗證裝置上沒有暫掛更改。

7. DNS配置：必須在FDM管理的裝置上正確配置DNS設定。

8. 時間服務：可以正確配置裝置上的時間服務，以確保與網路時間協定同步。

9. FDM支援啟用需求。防火牆裝置管理員(FDM)支援及其功能只會在要求時授予。未在其租戶上啟用FDM支援的使用者無法管理組態或部署至FDM管理的裝置。若要啟動此平台，使用者必須傳送要求給支援團隊，以啟用FDM支援。

設定

網路圖表

本文重點介紹FDM （Firepower裝置管理器）裝置，該裝置透過其管理介面進行控制。此介面具有向Cisco Defense Orchestrator (CDO)註冊裝置所必需的網際網路訪問。

組態

步驟 1. 登入Cisco Defense Orchestrator (CDO)。

步驟 2. 導航到「資產」窗格，並選擇藍色加號按鈕以裝載裝置。

步驟 3.選擇FTD選項。

第4步轉到板載FTD裝置部分，開始註冊過程。請務必注意用於登入威脅防禦裝置的可用方法：

• 按序列號：此方法適用於物理裝置，例如Firepower 1000、Firepower 2100或具有受支援的軟體版本的安全防火牆3100系列。需要機箱或PCA序列號以及到網際網路的網路連線。

• 按註冊金鑰：這是首選的註冊方法，對於透過DHCP接收IP地址的裝置尤其有利，因為它有助於保持與CDO的連線，即使裝置IP地址發生更改。

• 使用憑證：此替代方法涉及輸入裝置憑證及其外部、內部或管理介面的IP地址，該地址根據網路內的裝置配置進行定製。

對於此過程，請選擇FDM選項，然後選擇Use Registration Key選項以確保與CDO的一致連線，而不考慮裝置IP地址的可能更改。

步驟 5.在Device Name欄位中輸入所需的裝置名稱，並指定Policy Assignment。此外，選擇必須與裝置關聯的訂用許可證。

步驟 6. 預設情況下，「資料庫更新」部分配置為立即執行安全更新並設定定期更新。更改此設定不會更改透過Secure Firewall裝置管理器建立的任何現有更新計畫。

步驟 7. 在CLI Registration Key部分中，CDO自動生成註冊金鑰。在完成之前退出自註冊介面會導致在資產中為裝置建立一個佔位符。如有必要，稍後可從此位置檢索註冊金鑰。

步驟 8. 使用「複製」圖示來複製產生的註冊金鑰。

步驟 9. 訪問用於註冊到CDO的安全防火牆裝置管理器裝置。

步驟 10. 從System Settings選單中選擇Cloud Services。

步驟 11. 在「區域」下拉選單中指定正確的思科雲區域，與租戶地理位置保持一致：

• 對於defenseorchestrator.com，請選擇US。
• 對於defenseorchestrator.eu，請選擇EU。
• 對於apj.cdo.cisco.com，請選擇APJ。

步驟 12. 在Enrollment Type部分，選擇安全帳戶。

步驟 13. 將註冊金鑰貼上到Registration Key欄位中。

步驟 14. 對於版本6.7或更高版本的裝置，請在「Service Enrollment」（服務註冊）部分驗證Cisco Defense Orchestrator是否已啟用。

第15步：（可選）檢視思科成功網路註冊詳細資訊。如果不希望共用，請取消選中Enroll Cisco Success Network覈取方塊。

步驟 16. 選擇註冊並接受思科披露。安全防火牆裝置管理器向CDO提交註冊。

步驟 17. 返回CDO中，在註冊金鑰建立區域中，選擇「下一步」。

第18步：（可選）確定並選擇裝置的許可證，然後選擇「下一步」繼續。

步驟 19. 觀察CDO資產過渡中的裝置狀態，從Unprovisioned 過渡到Location，然後過渡到Syncing，最後過渡到Synced。 

驗證

使用本節內容，確認您的組態是否正常運作。

導航到CDO門戶並檢查裝置狀態，狀態指示Online和Synced。 此外，也可以透過FDM GUI執行狀態驗證。導航到系統>雲服務，觀察Cisco Defense Orchestrator和Cisco Success Network的連線狀態。介面顯示已連線狀態，確認與服務的成功整合。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

• 解決雲服務FQDN故障

如果由於無法解析雲服務FQDN而導致裝置註冊失敗，請檢查網路連線或DNS配置，然後再次嘗試裝置登入。

• 無效的註冊金鑰錯誤

如果由於防火牆裝置管理器中輸入的註冊金鑰無效而造成裝置註冊無法完成，請繼續從Cisco Defense Orchestrator複製正確的註冊金鑰，然後重試註冊過程。如果裝置已經智慧許可，請在防火牆裝置管理器中輸入註冊金鑰之前刪除智慧許可證。

• 許可證問題不足

在裝置連線狀態指示「Insufficient License」的情況下，繼續執行：

1. 允許裝置獲得許可證，因為思科智慧軟體管理器可能需要一段時間才能將新許可證應用到裝置。

2. 如果裝置狀態保持不變，請透過註銷然後重新登入來刷新CDO門戶，以解決許可證伺服器和裝置之間的潛在網路通訊問題。

3. 如果門戶刷新未更新裝置狀態，請採取以下操作：

   • 從思科智慧軟體管理器生成新的註冊金鑰並進行複製。有關指南，請參閱生成智慧許可影片。
   • 在CDO導航欄中，選擇「資產」頁面。
   • 選擇具有Insufficient License狀態列出的裝置。
   • 在Device Details窗格中，按一下Insufficient Licenses警報下的Manage Licenses。系統將提示Manage Licenses窗口。
   • 在Activate欄位中，貼上新的註冊金鑰並選擇Register Device。

成功應用新的註冊金鑰後，裝置連線狀態必須更改為「聯機」。

有關使用註冊金鑰的替代方法註冊Firepower裝置管理器(FDM)的全面指導，請參閱連結中提供的詳細文檔：對FDM管理的裝置進行故障排除。

此資源提供用於成功將FDM載入到Cisco Defense Orchestrator (CDO)的不同註冊技術的逐步說明和故障排除提示。

相關資訊

• 疑難排解FDM管理的裝置

• 使用Cisco Defense Orchestrator管理FDM裝置

• 思科技術支援與下載