Firepower Management Center(FMC)でのセキュリティインテリジェンスフィードアップデート障害のトラブルシューティング

ダウンロード オプション

  • PDF     (445.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (72.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 3 月 15 日
Document ID:117997

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、セキュリティ インテリジェンス フィードの更新に関する問題をトラブルシュートする方法について説明します。

    背景

    セキュリティインテリジェンスフィードは、Cisco Talos Security Intelligence and Research Group(Talos)が決定した、レピュテーションが低い複数の定期的に更新されるIPアドレスのリストで構成されます。Cisco Firepowerシステムが最新の情報を使用してネットワークトラフィックをフィルタリングできるように、インテリジェンスフィードを定期的に更新しておくことが重要です。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco Firepower Management Center

    • セキュリティ インテリジェンス フィード

    使用するコンポーネント

    このドキュメントの情報は、ソフトウェアバージョン5.2以降を実行するCisco Firepower Management Center(FMC)に基づくものです。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    問題

    セキュリティインテリジェンスフィードの更新エラーが発生しました。障害はWeb GUIまたはCLIで確認できます(詳細については以降のセクションで説明します)。

    Web GUIからの問題の確認

    セキュリティインテリジェンスフィードの更新が失敗すると、Firepower Management Center(FMC)にヘルスアラートが表示されます。

    CLIからの問題の確認

    セキュリティインテリジェンスフィードによる更新の失敗の根本原因を特定するには、Firepower Management CenterのCLIで次のコマンドを入力します。

    admin@Sourcefire3D:~$ cat /var/log/messages

    メッセージで次のいずれかの警告を検索します。

    Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
     Sourcefire_Intelligence_Feed

    Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
     unsucessful: Failure when receiving data from the peer

    解決方法

    この問題のトラブルシューティングを行うには、次の手順を実行します。

    1. intelligence.sourcefire.com イトがアクティブであることを確認します。ブラウザでhttps://intelligence.sourcefire.comに移動します。 

    2. セキュアシェル(SSH)からFirepower Management Center(FMC)のCLIにアクセスします。

    3. Firepower Management Centerからpingを実行しますintelligence.sourcefire.com。

      admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
      次のような出力が表示されることを確認します。
      intelligence.sourcefire.com 
      64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ifyou do not receive a response similar to that shown, then you can have an outbound connectivity issue, or you do not have a route to intelligence.sourcefire.com.
    4. のホスト名を解決します。

      admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
      次のような応答を受信したことを確認します。

      Server: 8.8.8.8
      Address: 8.8.8.8#53

      Name: intelligence.sourcefire.com
      Address: xxx.xxx.xx.x

      :上記の出力では、例としてGoogleパブリックドメインネームシステム(DNS)サーバを使用しています。出力は、 Network セクションの下のSystem > Local > Configurationで設定されたDNS設定によって異なります。次に示すような応答が表示されない場合は、DNS設定が正しいことを確認してください。

      注意:サーバでは、ロードバランシング、耐障害性、および稼働時間にラウンドロビンIPアドレススキーマが使用されています。したがって、IPアドレスは変更される可能性があるため、ファイアウォールはIPアドレスではなく CNAME で設定することを推奨します。

    5. Telnetを使用してintelligence.sourcefire.comへの接続を確認します。

      admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
      次のような出力が表示されることを確認します。

      Trying xxx.xxx.xx.x...
      Connected to intelligence.sourcefire.com.
      Escape character is '^]'.

      注:2番目の手順は正常に完了するが、ポート443をintelligence.sourcefire.com 介してTelnetできない場合は、intelligence.sourcefire.comのポート443発信をブロックするファイアウォールルールを設定できます。

    6. System > Local > Configurationの順に移動し、のセクションで設 Manual Proxy 定のプロキシ設定を確認し Network ます。

      注:このプロキシがセキュアソケットレイヤ(SSL)インスペクションを実行する場合、 intelligence.sourcefire.comのプロキシをバイパスするバイパスルールを設定する必要があります。

      intelligence.sourcefire.com
    7. に対してHTTP GETリクエストを実行できるかどうかをテストします。

      admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
      * About to connect() to intelligence.sourcefire.com port 443 (#0)
      *   Trying 192.168.79.58...
      * Adding handle: conn: 0xec5630
      * Adding handle: send: 0
      * Adding handle: recv: 0
      * Curl_addHandleToPipeline: length: 1
      * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
      * Connected to intelligence.sourcefire.com (192.168.79.58) port 443 (#0)
      * SSLv3, TLS handshake, Client hello (1):
      * SSLv3, TLS handshake, Server hello (2):
      * SSLv3, TLS handshake, CERT (11):
      * SSLv3, TLS handshake, Server key exchange (12):
      * SSLv3, TLS handshake, Server finished (14):
      * SSLv3, TLS handshake, Client key exchange (16):
      * SSLv3, TLS change cipher, Client hello (1):
      * SSLv3, TLS handshake, Finished (20):
      * SSLv3, TLS change cipher, Client hello (1):
      * SSLv3, TLS handshake, Finished (20):
      * SSL connection using DHE-RSA-AES256-SHA
      * Server certificate:
      * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
             emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
             CN=intelligence.sourcefire.com
      * 	 start date: 2016-02-29 22:50:29 GMT
      * 	 expire date: 2019-02-28 22:50:29 GMT
      * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
             emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
             CN=intelligence.sourcefire.com; nsCaRevocationUrl=
             https://intelligence.sourcefire.com/vrtca.crl
      * 	 SSL certificate verify result: unable to get local issuer certificate
             (20), continuing anyway.
      > GET / HTTP/1.1
      > User-Agent: curl/7.31.0
      > Host: intelligence.sourcefire.com
      > Accept: */*
      > 
      < HTTP/1.1 200 OK
      < Date: Tue, 01 Mar 2016 13:06:16 GMT
      * Server Apache is not blacklisted
      < Server: Apache
      < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
      < ETag: "9da27-3-509ce19e67580"
      < Accept-Ranges: bytes
      < Content-Length: 3
      < Content-Type: text/html
      < 
      :)
      * Connection #0 to host intelligence.sourcefire.com left intact

      注:curlコマンド出力の最後にあるsmileyの面は、接続が成功したことを示します。

      :プロキシを使用する場合、curlコマンドにはユーザ名が必要です。コマンドは、curl -U <user> -vvk https://intelligence.sourcefire.comです。また、コマンドを入力すると、プロキシパスワードの入力を求められます。

    8. セキュリティインテリジェンスフィードをダウンロードするために使用されるHTTPSトラフィックが、SSL復号化プログラムを通過しないことを確認します。SSL復号化が発生していないことを確認するには、ステップ6の出力でサーバ証明書情報を検証します。サーバ証明書が次の例に示す内容と一致しない場合は、証明書を再署名するSSL復号化機能を使用できます。 トラフィックがSSL復号化モジュールを通過する場合、intelligence.sourcefire.comに向かうすべてのトラフィックをバイパスする必要があります。

      admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
      * About to connect() to intelligence.sourcefire.com port 443 (#0)
      *   Trying 192.168.79.58...
      * Adding handle: conn: 0xec5630
      * Adding handle: send: 0
      * Adding handle: recv: 0
      * Curl_addHandleToPipeline: length: 1
      * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
      * Connected to intelligence.sourcefire.com (192.168.79.58) port 443 (#0)
      * SSLv3, TLS handshake, Client hello (1):
      * SSLv3, TLS handshake, Server hello (2):
      * SSLv3, TLS handshake, CERT (11):
      * SSLv3, TLS handshake, Server key exchange (12):
      * SSLv3, TLS handshake, Server finished (14):
      * SSLv3, TLS handshake, Client key exchange (16):
      * SSLv3, TLS change cipher, Client hello (1):
      * SSLv3, TLS handshake, Finished (20):
      * SSLv3, TLS change cipher, Client hello (1):
      * SSLv3, TLS handshake, Finished (20):
      * SSL connection using DHE-RSA-AES256-SHA
      * Server certificate:
      * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
             emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
             CN=intelligence.sourcefire.com
      * 	 start date: 2016-02-29 22:50:29 GMT
      * 	 expire date: 2019-02-28 22:50:29 GMT
      * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
             emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
             CN=intelligence.sourcefire.com; nsCaRevocationUrl=
             https://intelligence.sourcefire.com/vrtca.crl
      * 	 SSL certificate verify result: unable to get local issuer certificate
             (20), continuing anyway.
      > GET / HTTP/1.1
      > User-Agent: curl/7.31.0
      > Host: intelligence.sourcefire.com
      > Accept: */*
      > 
      < HTTP/1.1 200 OK
      < Date: Tue, 01 Mar 2016 13:06:16 GMT
      * Server Apache is not blacklisted
      < Server: Apache
      < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
      < ETag: "9da27-3-509ce19e67580"
      < Accept-Ranges: bytes
      < Content-Length: 3
      < Content-Type: text/html
      < 
      :)
      * Connection #0 to host intelligence.sourcefire.com left intact
      9.

    :SSL復号化プログラムは、SSLハンドシェイクで不明な証明書をFirepower Management Center(FMC)に送信するため、セキュリティインテリジェンスフィードのSSL復号化をバイパスする必要があります。Firepower Management Center(FMC)に送信される証明書はSourcefireの信頼できるCAによって署名されていないため、接続は信頼されません。

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    15-Mar-2023
    シスコの現行の出版基準に準拠するように更新。
    1.0
    17-Jul-2014
    初版
    TAC Authored

    シスコ エンジニア提供

    • ナズムルラジブ
      TAC
    • フォスター・リプキー
      TAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています