Defense OrchestratorへのオンボードFDM

はじめに

このドキュメントでは、登録キーを使用して、Firepower Device Manager(FDM)によって管理されるデバイスをCisco Defense Orchestrator(CDO)にオンボーディングする方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Firepower Device Manager（FDM）
• Cisco Defense Orchestrator(CDO)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• バージョン7.4.1を実行しているFirepowerデバイスマネージャー(FDM)Azure
  

互換性のあるバージョンと製品の包括的なリストについては、『Secure Firewall Threat Defense Compatibility Guide』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

登録キーを使用してCisco Defense Orchestrator(CDO)へのFDM管理対象デバイスのオンボーディングプロセスを開始する前に、次の前提条件を満たしていることを確認してください：

1. 互換性のあるバージョン：デバイスでバージョン6.6以降が実行されている必要があります。

2. ネットワーク要件:Cisco Defense Orchestratorを管理対象デバイスに接続する

3. 管理ソフトウェア：デバイスはSecure Firewall Device Manager(FDM)で管理する必要があります。

4. ライセンス：デバイスは90日間評価ライセンスまたはスマートライセンスを使用できます。

5. 既存の登録：デバイスがシスコクラウドサービスにまだ登録されていないことを確認して、オンボーディングプロセス中の競合を回避します。

6. 保留中の変更：デバイスに保留中の変更がないことを確認します。

7. DNS構成: FDM管理対象デバイスでDNS設定を正しく構成する必要があります。

8. タイムサービス：デバイス上のタイムサービスを正確に設定して、ネットワークタイムプロトコルと確実に同期させることができます。

9. FDMサポートのアクティブ化の要件。ファイアウォールデバイスマネージャ(FDM)のサポートとその機能は、要求に応じて排他的に許可されます。テナントでFDMサポートが有効になっていないユーザは、FDM管理対象デバイスに対して設定を管理または展開できません。このプラットフォームをアクティブにするには、ユーザーがFDMサポートを有効にするリクエストをサポート・チームに送信する必要があります。

設定

ネットワーク図

この記事では、管理インターフェイスを介して制御されるFDM(Firepower Device Manager)デバイスに焦点を当てています。このインターフェイスは、デバイスをCisco Defense Orchestrator(CDO)に登録するために不可欠なインターネットアクセスを備えています。

コンフィギュレーション

ステップ 1： Cisco Defense Orchestrator(CDO)にログインします。

ステップ 2： Inventoryペインに移動し、青色のプラス(+)ボタンを選択してデバイスをオンボーディングします。

ステップ 3：FTDオプションを選択します。

ステップ4オンボードFTDデバイスのセクションに進み、登録プロセスを開始します。脅威対策デバイスのオンボーディングに使用できる方法に注意することが重要です。

• シリアル番号別：この方式は、サポートされているソフトウェアバージョンを使用するFirepower 1000、Firepower 2100、セキュアファイアウォール3100シリーズなどの物理デバイスに適用されます。シャーシまたはPCAのシリアル番号とインターネットへのネットワーク接続が必要になります。

• 登録キーによる：これは、デバイスのIPアドレスに変更があった場合でもCDOとの接続を維持するのに役立つため、オンボーディングに適した方法です。特に、DHCP経由でIPアドレスを受信するデバイスに適しています。

• クレデンシャルの使用：ネットワーク内のデバイス設定に合わせて、デバイスのクレデンシャルと、外部、内部、または管理インターフェイスのIPアドレスを入力する方法もあります。

このプロセスでは、FDMオプションを選択してからUse Registration Keyオプションを選択し、デバイスIPアドレスの潜在的な変更に関係なく、CDOへの一貫した接続を確保します。

ステップ 5：Device Nameフィールドに目的のデバイス名を入力し、Policy Assignmentを指定します。また、デバイスに関連付ける必要があるサブスクリプションライセンスも選択します。

手順 6： Database Updatesセクションは、セキュリティ更新を即時に実行し、定期的な更新を設定するようにデフォルトで設定されています。この設定を変更しても、Secure Firewallデバイスマネージャで確立された既存の更新スケジュールは変更されません。

手順 7： CLI Registration Keyセクションでは、CDOが登録キーを自動生成します。完了前にオンボーディングインターフェイスを終了すると、インベントリ内のデバイスのプレースホルダが作成されます。登録キーは、この場所から後で必要に応じて取得できます。

ステップ 8： [コピー]アイコンを使用して、生成された登録キーをコピーします。

ステップ 9： CDOへのオンボーディングに使用するSecure Firewall Device Manager(SDM)デバイスにアクセスします。

ステップ 10： System SettingsメニューからCloud Servicesを選択します。

ステップ 11 テナントの地理的位置に合わせて、正しいシスコクラウドのリージョンをリージョンのドロップダウンで指定します。

• defenseorchestrator.comについては、USを選択します。
• defenseorchestrator.euについては、EUを選択します。
• apj.cdo.cisco.comの場合は、APJを選択します。

ステップ 12 [登録の種類]セクションで、セキュリティアカウントを選択します。

ステップ 13 Registration Keyフィールドに登録キーを貼り付けます。

ステップ 14： バージョン6.7以降のデバイスでは、Cisco Defense Orchestratorがサービス登録セクションで有効になっていることを確認します。

ステップ15:（オプション）Cisco Success Network Enrollmentの詳細を確認します。参加しない場合は、Enroll Cisco Success Networkチェックボックスの選択を解除します。

ステップ 16： Registerを選択し、シスコによる情報開示を受け入れます。Secure Firewall Device Manager(SDM)は、登録をCDOに送信します。

ステップ 17： CDOに戻り、登録キー作成領域でNextを選択します。

ステップ18:（オプション）デバイス用のライセンスを特定して選択し、Nextを選択して続行します。

ステップ 19： CDOインベントリのデバイスステータスが、UnprovisionedからLocating、Syncing、最後にSyncedに移行していることを確認します。 

確認

ここでは、設定が正常に機能しているかどうかを確認します。

CDOポータルに移動し、デバイスステータスを確認します。OnlineとSyncedが表示されています。 また、ステータスの確認はFDM GUIを介して実行できます。System > Cloud Servicesの順に選択し、Cisco Defense OrchestratorとCisco Success Networkの接続ステータスを確認します。インターフェイスにConnectedステータスが表示され、サービスとの統合が正常に完了したことが確認されます。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

• クラウドサービスFQDNエラーの解決

クラウドサービスFQDNを解決できないためにデバイス登録が失敗した場合は、ネットワーク接続またはDNS設定を確認し、デバイスのオンボーディングを再試行します。

• 無効な登録キーエラー

ファイアウォールデバイスマネージャに無効な登録キーが入力されたことが原因でデバイスの登録が完了しない場合は、Cisco Defense Orchestratorから正しい登録キーのコピーに進み、登録プロセスを再試行します。デバイスがすでにスマートライセンスを取得している場合は、ファイアウォールデバイスマネージャで登録キーを入力する前に、スマートライセンスを削除します。

• ライセンス不足の問題

デバイスの接続ステータスが「ライセンス不足」を示している場合は、次の手順を実行します。

1. Cisco Smart Software Managerではデバイスに新しいライセンスを適用するために期間が必要になる場合があるため、デバイスがライセンスを取得するまで少し時間をおきます。

2. デバイスのステータスが変更されない場合は、CDOポータルを更新するために、サインアウトしてから再度サインインし、ライセンスサーバーとデバイス間のネットワーク通信の問題を解決してください。

3. ポータルを更新してもデバイスのステータスが更新されない場合は、次の操作を実行します。

   • Cisco Smart Software Managerから新しい登録キーを生成してコピーします。手順については、『Generate Smart Licensing』ビデオを参照してください。
   • CDOナビゲーションバーでInventoryページを選択します。
   • Insufficient License状態でリストされたデバイスを選択します。
   • デバイスの詳細ペインで、Insufficient Licensesアラートの下にあるManage Licensesをクリックします。[ライセンスを管理]ウィンドウが表示されます。
   • Activateフィールドに新しい登録キーをペーストして、Register Deviceを選択します。

新しい登録キーが正常に適用されると、デバイスの接続状態は「Online」に変わります。

登録キーに別の方法を使用してFirepower Device Manager(FDM)を登録する際の包括的なガイダンスについては、「FDM管理対象デバイスのトラブルシューティング」リンクで提供される詳細なドキュメントを参照してください。

このリソースでは、FDMをCisco Defense Orchestrator(CDO)に正常にオンボーディングするために使用できるさまざまな登録技術の手順とトラブルシューティングのヒントを示します。

関連情報

• FDM管理対象デバイスのトラブルシューティング

• Cisco Defense OrchestratorでのFDMデバイスの管理

• シスコのテクニカルサポートとダウンロード