AMP for Endpoint のステータス

Management Center

このモジュールは、最初に接続に成功した後 Firepower Management Center が AMP クラウドまたは Cisco AMP Private Cloud (AMPv) に接続できない場合、または AMPv が AMP クラウドに接続できない場合、アラートを出します。また、AMP for Endpoints 管理コンソールを使用して AMP クラウド接続の登録が解除された場合にもアラートを出します。

AMP for Firepower のステータス

Management Center

このモジュールは、以下の場合にアラートを出します。

• Firepower Management Center が AMP クラウド、Cisco AMP Private Cloud (AMPv)、AMP Threat Grid クラウド、AMP Threat Grid オンプレミス アプライアンスに接続できない、または AMPv が AMP クラウドに接続できない。

• 接続に使用する暗号化キーが無効である。

• デバイスが AMP Threat Grid クラウドまたは AMP Threat Grid オンプレミス アプライアンスに接続して動的分析用のファイルを送信できない。

• ファイル ポリシー設定に基づいてネットワーク トラフィックで過剰な数のファイルが検出された。

Firepower Management Center のインターネット接続が切断された場合、AMP for Firepower ステータス ヘルス アラートの生成に最大 30 分かかることがあります。

アプライアンス ハートビート

任意（Any）

このモジュールは、アプライアンス ハートビートがアプライアンスから届いているかどうかを確認し、アプライアンスのハートビート ステータスに基づいてアラートを出します。

自動アプリケーション バイパス ステータス

7000 & 8000 シリーズ

クラシック ライセンス モニタ

Management Center

このモジュールは、制御、保護、URL フィルタリング、マルウェア、および VPN 用の十分なクラシック ライセンスが残っているかどうかを確認します。また、スタック内のデバイスに適合しないライセンス セットが含まれている場合にアラートを出します。モジュールに自動的に設定された警告レベルに基づいてアラートを出します。このモジュールの設定は変更できません。

CPU 使用率

任意（Any）

このモジュールは、アプライアンス上の CPU が過負荷になっていないことを確認し、CPU 使用率がモジュールに設定されたパーセンテージを超えた場合にアラートを出します。

カード リセット

任意（Any）

このモジュールは、リセット時に、ハードウェア障害原因で再起動されたネットワーク カードをチェックし、アラートを出します。

ディスク ステータス

任意（Any）

このモジュールは、ハード ディスクと、アプライアンス上のマルウェア ストレージ パック（設置されている場合）のパフォーマンスを調査します。このモジュールは、ハード ディスクと RAID コントローラ（設置されている場合）で障害が発生する恐れがある場合、または、マルウェア ストレージ パックではない追加のハードドライブが設置されている場合に、警告（黄色）ヘルス アラートを生成します。また、設置されているマルウェア ストレージ パックを検出できなかった場合はアラート（赤色）ヘルス アラートを生成します。

ディスク使用量

任意（Any）

このモジュールは、アプライアンスのハードドライブとマルウェア ストレージ パック上のディスク使用率をモジュールに設定された制限と比較し、その使用率がモジュールに設定されたパーセンテージを超えた時点でアラートを出します。また、モジュールしきい値に基づいて、システムが監視対象のディスク使用カテゴリ内のファイルを過剰に削除する場合、または、これらのカテゴリを除くディスク使用率が過剰なレベルに達した場合にもアラートを出します。ディスク使用率ヘルス ステータス モジュールは、アプライアンス上の / パーティションと /volume パーティションのディスク使用率を監視して、ドレイン頻度を追跡するために使用します。ディスク使用率モジュールは /boot パーティションを監視対象パーティションとして列挙しますが、そのパーティションのサイズが固定のため、このモジュールはブート パーティションに基づいてアラートを出すことはしません。

FireSIGHT ホスト制限

Management Center

このモジュールは、Firepower Management Center がモニタできるホスト数が制限に近づいているかどうかを確認し、モジュールに設定された警告レベルに基づいてアラートを出します。詳細については、Firepower システムのホスト制限を参照してください。

ハードウェア アラーム

7000 & 8000 シリーズ

このモジュールは、物理管理対象デバイス上のハードウェアを交換する必要があるかどうかを確認し、ハードウェア ステータスに基づいてアラートを出します。また、ハードウェア関連デーモンのステータスと高可用性展開の 7000 および 8000 シリーズ デバイスのステータスについてレポートします。

ヘルス モニタ プロセス

任意（Any）

このモジュールは、ヘルス モニタ自体のステータスを監視し、Firepower Management Center で受信された最後のステータス イベント以降の分数が警告制限または重大制限を超えた場合にアラートを出します。

インライン リンク不一致アラーム

ASA FirePOWER を除くすべての管理対象デバイス

このモジュールは、インライン セットに関連付けられたポートを監視し、インライン ペアの 2 つのインターフェイスが別々の速度をネゴシエートした場合にアラートを出します。

侵入およびファイル イベント レート

すべての管理対象デバイス

このモジュールは、1 秒あたりの侵入イベント数をこのモジュールに設定された制限と比較し、制限を超えた場合にアラートを出します。侵入およびファイル イベント レートが 0 の場合は、侵入プロセスがダウンしているか、管理対象デバイスがイベントを送信していない可能性があります。イベントがデバイスから送られているかどうかをチェックするには、[分析（Analysis）] > [侵入（Intrusions）] > [イベント（Events）] の順に選択します。

一般に、ネットワーク セグメントのイベント レートは平均で 1 秒あたり 20 イベントです。この平均レートのネットワーク セグメントでは、[1 秒あたりのイベント（重大）（Events per second (Critical)）] を 50 に設定し、[1 秒あたりのイベント（警告）（Events per second (Warning)）] を 30 に設定する必要があります。システムの制限を決定するには、デバイスの [統計情報（Statistics）] ページ（[システム（System）] > [モニタリング（Monitoring）] > [統計（Statistics）]）で [イベント/秒（Events/Sec）] 値を探してから、次の式を使用して制限を計算します。

• 1 秒あたりのイベント（重大）= イベント/秒 * 2.5

• 1 秒あたりのイベント（警告）= イベント/秒 * 1.5

両方の制限に設定可能な最大イベント数は 999 であり、重大制限は警告制限より大きくする必要があります。

インターフェイス ステータス

任意（Any）

このモジュールは、デバイスが現在トラフィックを収集しているかどうかを確認して、物理インターフェイスおよび集約インターフェイスのトラフィック ステータスに基づいてアラートを出します。物理インターフェイスの情報には、インターフェイス名、リンク ステート、および帯域幅が含まれます。集約インターフェイスの情報には、インターフェイス名、アクティブ リンクの数、および総集約帯域幅が含まれます。

ASA FirePOWER の場合、DataPlaneInterfacex というラベルの付いたインターフェイス（ここで、x は数値）は、内部インターフェイス（ユーザ定義ではない）で、システム内部のパケット フローに関与します。

リンク ステート伝達

NGIPSv と ASA FirePOWER を除くすべて

このモジュールは、ペア化されたインライン セット内のリンクで障害が発生した時点を特定して、リンク ステート伝達モードをトリガーとして使用します。

リンク ステートがペアに伝達した場合は、そのモジュールのステータス分類が [重大（Critical）] に変更され、状態が次のように表示されます。

Module Link State Propagation: ethx_ethy is Triggered

ここで、x と y はペア化されたインターフェイス番号です。

ローカル マルウェア分析

任意（Any）

このモジュールは、デバイスがローカル マルウェア分析用に設定され、AMP クラウドからローカル マルウェア分析エンジンのシグネチャの更新をダウンロードできなかった場合、アラートを出します。

メモリ使用率

任意（Any）

このモジュールは、アプライアンス上のメモリ使用率をモジュールに設定された制限と比較し、使用率がモジュールに設定されたレベルを超えるとアラートを出します。

メモリが 4 GB を超えるアプライアンスの場合、プリセットされたアラートしきい値は、システム問題を引き起こす可能性のあるメモリ空き容量の割合を求める式に基づいています。4 GB 未満のアプライアンスでは、警告しきい値と重大しきい値の時間間隔が非常に狭いため、[警告しきい値 %（Warning Threshold %）] の値を手動で 50 に設定することを推奨します。これにより、時間内にアプライアンスのメモリ アラートを受け取って問題を解決できる可能性がさらに高まります。

複雑なアクセス コントロール ポリシーやルールは、重要なリソースを消費し、パフォーマンスに悪影響を与える可能性があります。FirePOWER サービス ソフトウェア を含む一部のよりローエンドの ASA デバイスでは、デバイスのメモリ割り当てが最大限に使用されているため、断続的なメモリ使用率の警告が生成されることがあります。

電源モジュール

物理 Management Center、7000 & 8000 シリーズ

このモジュールは、デバイスの電源が交換が必要かどうかを確認し、電源ステータスに基づいてアラートを出します。

Process Status

任意（Any）

このモジュールは、アプライアンス上のプロセスがプロセス マネージャの外部で停止または終了したかを確認します。プロセスが故意にプロセス マネージャの外部で停止された場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが [警告（Warning）] に変更され、ヘルス イベント メッセージが停止されたプロセスを示します。プロセスがプロセス マネージャの外部で異常終了またはクラッシュした場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが [重大（Critical）] に変更され、ヘルス イベント メッセージが終了したプロセスを示します。

検出の再設定

すべての管理対象デバイス

このモジュールは、デバイスの再設定が失敗した場合、アラートを出します。

RRD サーバ プロセス

Management Center

このモジュールは、時系列データを格納するラウンド ロビン サーバが正常に機能しているかどうかを確認します。このモジュールは、RRD サーバが前回の更新以降に再起動した場合にアラートを出します。また、RRD サーバの再起動を伴う連続更新回数がモジュール設定で指定された数値に達した場合に [重大（Critical）] または [警告（Warning）] ステータスに遷移します。

セキュリティ インテリジェンス（Security Intelligence）

Management Center

このモジュールは、セキュリティ インテリジェンス フィルタリングに関するさまざまな状況でアラートを出します。このモジュールは、セキュリティ インテリジェンスが使用中で次の場合にアラートを出します。

• Firepower Management Center がフィードを更新できないか、フィード データが破損している、または認識可能な IP アドレスが含まれていない。

• 管理対象デバイスが Firepower Management Center から更新されたセキュリティ インテリジェンス データを受信できない。

• 管理対象デバイスが、メモリ問題のために、Firepower Management Center から提供されたすべてのセキュリティ インテリジェンス データをロードできない。

セキュリティ インテリジェンス メモリ警告がヘルス モニタに表示された場合は、影響を受けるデバイスのアクセス コントロール ポリシーを再適用して、セキュリティ インテリジェンスに割り当てるメモリを増やすことができます。

時系列データ モニタ

Management Center

このモジュールは、時系列データ（相関イベント カウントなど）が保存されるディレクトリ内の破損ファイルの存在を追跡して、ファイルが破損としてフラグが付けられ、削除された段階でアラートを出します。

時刻同期ステータス

任意（Any）

このモジュールは、NTP を使用して時刻を取得するデバイス クロックと NTP サーバ上のクロックの同期を追跡して、クロックの差が 10 秒を超えた場合にアラートを出します。

URL フィルタリング モニタ

Management Center

このモジュールは、Firepower Management Center と管理対象デバイス間の通信、およびシステムがよくアクセスされる URL の脅威インテリジェンスを取得する Cisco Collective Security Intelligence（CSI）との通信を追跡します。Firepower Management Center が Cisco CSI との通信または Cisco CSI からの更新の取得に失敗した場合にアラートを出します。

このモジュールは、Firepower Management Center が管理対象デバイスに URL データをプッシュできない場合にもアラートを出します。

ユーザ エージェント ステータス モニタ

Management Center

このモジュールは、Firepower Management Center に接続されたユーザ エージェントでハートビートが検出されない場合にアラートを出します。

VPN ステータス

Management Center

このモジュールは、Firepower システム デバイス間の 1 つ以上の VPN トンネルがダウンしているときにアラートを出します。

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint

クリティカル（Critical）

ヘルス テスト結果がクリティカル アラート ステータスをトリガーとして使用する基準を満たしました。

警告

ヘルス テスト結果が警告アラート ステータスをトリガーとして使用する基準を満たしました。

標準

ヘルス テスト結果が通常のアラート ステータスをトリガーとして使用する基準を満たしました。

エラー（Error）

ヘルス テストが実行されませんでした。

回復済み（Recovered）

ヘルス テスト結果がクリティカルまたは警告のアラート ステータスから通常のアラート ステータスに戻るための基準を満たしました。

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin

エラー（Error）

黒色

アプライアンス上の 1 つ以上のヘルス モニタリング モジュールで障害が発生し、それ以降、正常に再実行していないことを示します。テクニカル サポート担当者に連絡して、ヘルス モニタリング モジュールの更新プログラムを入手してください。

クリティカル（Critical）

赤

アプライアンス上の 1 つ以上のヘルス モジュールが重大制限を超え、問題が解決されていないことを示します。

警告

黄色

アプライアンス上の 1 つ以上のヘルス モジュールが警告制限を超え、問題が解決されていないことを示します。

標準

グリーン

アプライアンス上のすべてのヘルス モジュールがアプライアンスに適用された正常性ポリシーで設定された制限内で動作していることを示します。

回復済み（Recovered）

グリーン

アプライアンス上のすべてのヘルス モジュールがアプライアンスに適用された正常性ポリシーで設定された制限内で動作していることを示します。これには、前にクリティカルまたは警告状態だったモジュールも含まれます。

無効

青

アプライアンスが無効またはブラックリストに登録されている、アプライアンスに正常性ポリシーが適用されていない、またはアプライアンスが現在到達不能になっていることを示します。

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint/Any Security Analyst

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint/Any Security Analyst

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint/Any Security Analyst

Snort のパフォーマンスと設定（Snort Performance and Configuration）

アプライアンス上の Snort に関連するデータと構成設定

ハードウェア パフォーマンスとログ（Hardware Performance and Logs）

アプライアンス ハードウェアのパフォーマンスに関連するデータとログ

システムの設定、ポリシー、ログ（System Configuration, Policy, and Logs）

アプライアンスの現在のシステム設定に関連する構成設定、データ、およびログ

検知機能の構成、ポリシー、ログ（Detection Configuration, Policy, and Logs）

アプライアンス上の検知機能に関連する構成設定、データ、およびログ

インターフェイスとネットワーク関連データ（Interface and Network Related Data）

アプライアンスのインライン セットとネットワーク設定に関連する構成設定、データ、およびログ

検知、認識、VDB データ、およびログ（Discovery, Awareness, VDB Data, and Logs）

アプライアンス上の現在の検出設定と認識設定に関連する構成設定、データ、およびログ

データおよびログのアップグレード（Upgrade Data and Logs）

アプライアンスの以前のアップグレードに関連するデータおよびログ

全データベースのデータ（All Database Data）

トラブルシュート レポートに含まれるすべてのデータベース関連データ

全ログのデータ（All Log Data）

アプライアンス データベースによって収集されたすべてのログ

ネットワーク マップ情報（Network Map Information）

現在のネットワーク トポロジ データ

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint/Any Security Analyst

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint/Any Security Analyst

任意（Any）

任意（Any）

任意（Any）

任意（Any）

Admin/Maint/Any Security Analyst

モジュール名（Module Name）

表示するヘルス イベントを生成したモジュールの名前を指定します。たとえば、CPU パフォーマンスを測定するイベントを表示するには、「CPU」と入力します。検索によって、該当する CPU 使用率イベントと CPU 温度イベントが取得されます。

テスト名（Test Name）

（検索専用）

イベントを生成したヘルス モジュールの名前。

時刻（Time）

（検索専用）

ヘルス イベントのタイムスタンプ。

説明

イベントを生成したヘルス モジュールの説明。たとえば、プロセスが実行できない場合に生成されるヘルス イベントには「Unable to Execute」というラベルが付けられます。

値

イベントが生成されたヘルス テストから得られた結果の値（単位数）。

たとえば、監視対象デバイスが 80% 以上の CPU リソースを使用しているときに生成されるヘルス イベントを Firepower Management Center が生成した場合の値は 80 ～ 100 です。

単位

結果の単位記述子。アスタリスク（*）を使用してワイルドカード検索を作成できます。

たとえば、監視対象デバイスが 80% 以上の CPU リソースを使用しているときに生成されるヘルス イベントを Firepower Management Center が生成した場合の単位記述子はパーセント記号（%）です。

ステータス（Status）

アプライアンスに報告されるステータス（[クリティカル（Critical）]、[黄色（Yellow）]、[緑色（Green）]、または [無効（Disabled）]）。

ドメイン（Domain）

管理対象デバイスによって報告されたヘルス イベントの場合は、ヘルス イベントを報告したデバイスのドメイン。Firepower Management Center によって報告されたヘルス イベントの場合は、Global。このフィールドは、マルチドメイン展開の場合にのみ存在します。

Device

ヘルス イベントが報告されたアプライアンス。