Utilisation du CPU (par cœur)

Ce module vérifie que l’utilisation de la CPU sur tous les cœurs n’est pas surchargée et alerte lorsque l’utilisation de la CPU dépasse les seuils configurés pour le module. La valeur par défaut du % de seuil d’ avertissement est 80. La valeur par défaut du % de seuil critique est 90.

État du disque

Ce module examine les performances du disque dur et l’ensemble de stockage contre les programmes malveillants (si installés) sur le périphérique.

Ce module génère une alerte d’intégrité d’avertissement (jaune) lorsque le disque dur et le contrôleur RAID (si installé) sont sur le point de tomber en panne ou si un disque dur supplémentaire installé n’est pas un ensemble de stockage malveillant. Ce module génère une alerte d’intégrité Alert (red) lorsqu’un ensemble de stockage de logiciel malveillant installé ne peut pas être détecté.

Utilisation du disque

Ce module compare l’utilisation du disque dur du périphérique et de l’ensemble de stockage contre les programmes malveillants aux limites configurées pour le module et alerte lorsque l’utilisation dépasse les seuils configurés pour le module. Ce module alerte également lorsque le système supprime un nombre excessif de fichiers dans les catégories d’utilisation du disque surveillées ou lorsque l’utilisation du disque à l’exclusion de ces catégories atteint des niveaux excessifs, en fonction des seuils du module.

Utilisez le module d’état d'intégrité de l’utilisation du disque pour surveiller l’utilisation du disque pour les partitions de volume/ et sur le périphérique et suivre la fréquence de vidage. Bien que le module d’utilisation du disque répertorie la partition /boot comme partition surveillée, la taille de la partition est statique; le module n’émet donc pas d’alerte sur la partition de démarrage.

Vérification de l’intégrité du système de fichier

Ce module effectue une vérification de l’intégrité du système de fichiers et s’exécute si le mode CC ou le mode UCAPL est activé, ou si le système exécute une image signée avec une clé DEV. Cette fonction est activée par défaut.

Surveillance de l'intégrité

Ce module surveille l’état du moniteur d’intégrité lui-même et alerte si le nombre de minutes depuis le dernier événement d’intégrité reçu par le centre de gestion dépasse les limites d’avertissement ou critique.

État d’interface

Ce module détermine si le périphérique collecte actuellement du trafic et envoie des alertes en fonction de l’état du trafic des interfaces physiques et des interfaces agrégées. Pour les interfaces physiques, les informations comprennent le nom de l’interface, l’état de la liaison et la bande passante. Pour les interfaces agrégées, les informations comprennent le nom de l’interface, le nombre de liens actifs et la bande passante agrégée totale.

Analyse locale des programmes malveillants

Ce module surveille les mises à jour de ClamAV pour l'analyse locale des programmes malveillants.

Utilisation de la mémoire

Ce module compare l’utilisation de la mémoire du périphérique aux limites configurées pour le module et alerte lorsque l’utilisation dépasse les niveaux configurés pour le module.

Pour les périphériques dotés de plus de 4 Go de mémoire, les seuils d’alerte prédéfinis sont basés sur une formule qui prend en compte les proportions de mémoire disponible susceptibles de provoquer des problèmes au système. Sur les périphériques supérieurs à 4 Go, parce que l’intervalle entre les seuils d’avertissement et critique peut être très étroit, il est recommandé de définir manuellement le % de seuil d’avertissement sur 50. Ainsi, vous serez certain de recevoir à temps des alertes de mémoire pour votre appareil afin de résoudre le problème.

À partir de la version 6.6.0, la RAM minimale requise pour les mises à niveau de centre de gestion virtuel vers la version 6.6.0+ est de 28 Go et la RAM recommandée pour les déploiements de centre de gestion virtuel est de 32 Go. Nous vous recommandons de ne pas diminuer les paramètres par défaut : 32 Go de RAM pour la plupart des instances centre de gestion virtuel , 64 Go pour centre de gestion virtuel 300 (VMware uniquement).

Des politiques et règles de contrôle d’accès complexes peuvent exiger des ressources importantes et nuire aux performances.

État du traitement

Ce module détermine si les processus de l'appliance quittent ou se terminent en dehors du gestionnaire de processus.

Si un processus est délibérément abandonné en dehors du gestionnaire de processus, l'état du module passe à Avertissement et le message d'événement d'intégrité indique quel processus a été abandonné, jusqu'à ce que le module s'exécute à nouveau et que le processus ait redémarré. Si un processus se termine de manière anormale ou se bloque en dehors du gestionnaire de processus, l’état du module passe à Critique et le message d’événement d’intégrité indique que le processus a été arrêté, jusqu’à ce que le module fonctionne à nouveau et que le processus ait redémarré.

Mises à jour des périphériques à propos des données sur les menaces

Certaines données et certaines configurations utilisées par les périphériques pour détecter les menaces sont mises à jour sur le centre de gestion à partir du nuage toutes les 30 minutes.

Ce module vous alerte si ces informations n’ont pas été mises à jour sur les périphériques dans la période que vous avez spécifiée.

Les mises à jour surveillées comprennent :

• Données de catégorie d’URL et de réputation locales

• les listes et les flux d’URL de renseignements sur la sécurité, y compris les listes de blocage globales, et Ne pas bloquer et les URL Threat Intelligence Director

• Listes et flux de réseau Security Intelligence (adresses IP), y compris les listes de blocage globales et Ne pas bloquer, ainsi que les adresses IP du directeur des vigies des menaces (Threat Intelligence Director)

• Listes et flux DNS de renseignements sur la sécurité, y compris les listes de blocage et Ne pas bloquer globales et les domaines de Threat Intelligence Director

• Signatures pour les analyses locales de programmes malveillants (de ClamAV)

• Listes SHA de Threat Intelligence Director, comme répertoriées sur la page Objects > Gestion des objets > Security Intelligence > Listes et flux de réseaux

• Les paramètres d’analyse dynamique configurés sur la page Integration > AMP > Dynamic Analysis Connections (connexions à l’analyse dynamique)

• les paramètres de configuration des menaces liés à l’expiration des URL en cache, y compris le paramètre d’expiration des URL en cache dans la page Integration (intégration) > Other Integrations (autres intégrations) > Cloud Services (cisco Cloud Services). (Les mises à jour du cache d’URL ne sont pas surveillées par ce module.)

• Problèmes de communication avec le nuage Cisco pour l’envoi des événements. Voir l’encadré Cisco Cloud sur la page Intégration > Autres intégrations > Services en nuage.

Par défaut, ce module envoie un avertissement après 1 heure et une alerte critique après 24 heures.

Si ce module indique une défaillance sur le centre de gestion ou sur tout périphérique, vérifiez que le centre de gestion peut atteindre les périphériques.

État de AMP for Endpoints

Le module envoie une alerte si centre de gestion ne peut pas se connecter au nuage AMP ou au nuage privé Cisco AMP après une connexion initiale réussie, ou si le nuage privé ne peut pas contacter le nuage AMP public. Il vous avertit également si vous annulez l’enregistrement d’une connexion au nuage AMP à l’aide de la console de gestion Cisco Secure Endpoint.

AMP pour l’état de FirePower

Ce module alerte si :

• centre de gestion ne peut pas contacter le nuage (public ou privé) AMP ou le nuage Cisco Secure Malware Analytics ou le périphérique, ou le nuage privé AMP ne peut pas contacter le nuage AMP public.

• Les clés de chiffrement utilisées pour la connexion ne sont pas valides.

• Un périphérique ne peut pas contacter le nuage Cisco Secure Malware Analytics ou le périphérique Cisco Secure Malware Analytics pour soumettre des fichiers pour une analyse dynamique.

• Un nombre excessif de fichiers est détecté dans le trafic réseau en fonction de la configuration de la politique de fichiers.

Si votre centre de gestion perd la connectivité à Internet, le système peut prendre jusqu’à 30 minutes pour générer une alerte d’intégrité.

Pulsation de l'appareil

Ce module détermine si une pulsation du périphérique est émise par le périphérique et alerte en fonction de son état.

Taille de la base de données

Ce module vérifie la taille de la base de données de configuration et alerte lorsque celle-ci dépasse les valeurs (en gigaoctets) configurées pour le module.

Limite de découverte des hôtes

Ce module détermine si le nombre d’hôtes que centre de gestion peut surveiller approche de la limite et alerte en fonction du niveau d’avertissement configuré pour le module. Pour en savoir plus, consultez Limite d’hôte du système Firepower.

État du carnet de commandes de l’événement

Ce module alerte si l’arriéré des données d’événements en attente de transmission du périphérique au centre de gestion a augmenté de façon continue pendant plus de 30 minutes.

Pour réduire l’arriéré, évaluez votre bande passante et envisagez de consigner moins d’événements.

Moniteur d’événements

Ce module surveille le taux global d'événements entrants pour centre de gestion.

État de la diffusion d‘événement

Ce module surveille les connexions aux applications clientes tierces qui utilisent Event Streamer sur centre de gestion.

Statistiques du matériel

Ce module surveille l’état des entités matérielles centre de gestion, à savoir la vitesse du ventilateur, la température et l’alimentation. Ce module alerte lorsque la valeur du seuil dépasse les limites d’avertissement ou de critique configurées.

Moniteur de connexion ISE

Ce module surveille l’état des connexions de serveur entre Cisco Identity Services Engine (ISE) et centre de gestion. Cisco ISE fournit des données utilisateur supplémentaires, des données de type d’appareil, des données d’emplacement de périphérique, des services SGT (Security Group Tags) et SXP (Security Exchange Protocol).

Surveillance de licence

Ce module surveille l’expiration des licences

État de haute disponibilité de Centre de gestion

Ce module surveille l’état de haute disponibilité de centre de gestion, et envoie des alertes. centre de gestion Si vous n’avez pas établi la haute disponibilité, l’état de la haute disponibilité est Not in HA (Non en haute disponibilité).

Statistiques MySQL

Ce module surveille l’état de la base de données MySQL, y compris la taille de cette dernière, le nombre de connexions actives et l’utilisation de la mémoire. L'option est désactivée par défaut.

État de RabbitMQ

Ce module recueille diverses statistiques pour RabbitMQ.

Processus du serveur RRD

Ce module détermine si le serveur de données tourniquet qui stocke les données de séries chronologiques fonctionne correctement. Le module alerte si le serveur RRD a redémarré depuis la dernière mise à jour; il passe à l’état critique ou d’avertissement si le nombre de mises à jour consécutives avec un redémarrage du serveur RRD atteint les valeurs spécifiées dans la configuration du module.

Domaine

Vous permet de définir un seuil d’avertissement pour les incompatibilités de domaine ou d’utilisateur, qui sont :

• Incompatibilité de l’utilisateur : un utilisateur est signalé à centre de gestion sans être téléchargé.

  Une raison typique d’une incompatibilité d’utilisateur est que l’utilisateur appartient à un groupe que vous avez exclu du téléchargement sur centre de gestion. Passez en revue les renseignements décrits dans la section Guide de configuration Cisco Secure Firewall Management Center Device.

• Incompatibilité de domaine : un utilisateur se connecte à un domaine qui correspond à un domaine inconnu de centre de gestion.

Guide de configuration Cisco Secure Firewall Management Center Device

Ce module affiche également des alertes d’intégrité lorsque vous essayez de télécharger plus d’utilisateurs que le nombre maximal d’utilisateurs téléchargés pris en charge par domaine. Le nombre maximal d’utilisateurs téléchargés pour un seul domaine dépend du modèle de centre de gestion.

Pour en savoir plus, voir User Limit dans la Guide de configuration Cisco Secure Firewall Management Center Device

Renseignements de sécurité

Ce module alerte si Security Intelligence est en cours d’utilisation et centre de gestion ne peut pas mettre à jour un flux, ou les données de flux sont endommagées ou ne contiennent pas d’adresses IP reconnaissables.

Consultez également le module Mises à jour des données de menaces sur les périphériques.

Moniteur de licence Smart

Ce module surveille l’état des licences Smart et envoie des alertes dans les cas suivants :

• Il y a une erreur de communication entre l’agent de licences Smart (Smart Agent) et le gestionnaire de logiciels Smart.

• Le jeton d’enregistrement de l’instance de produit a expiré.

• L'utilisation de la licence Smart n'est pas conforme.

• L’autorisation ou le mode d’évaluation de la licence Smart a expiré.

Statistiques Sybase

Ce module surveille l'état de la base de données Sybase sur le centre de gestion, y compris la taille de la base de données, le nombre de connexions actives et l'utilisation de la mémoire.

Moniteur de données de séries chronologiques (RRD)

Ce module suit la présence de fichiers corrompus dans le répertoire où les données de séries chronologiques (telles que le nombre d’événements de corrélation) sont stockées et alerte lorsque les fichiers sont marqués comme corrompus et supprimés.

État de la synchronisation du temps

Ce module suit la synchronisation de l’horloge du périphérique qui obtient l’heure à l’aide du protocole NTP avec l’horloge du serveur NTP et envoie des alertes si la différence entre les horloges est de plus de dix secondes.

Moniteur de groupes non résolus

Surveille les groupes non résolus utilisés dans les politiques

Moniteur de filtrage URL

Ce module alerte si le centre de gestion ne parvient pas à :

• S'enregistrer auprès du nuage Cisco Cloud.

• Télécharger les mises à jour des données sur les menaces d’URL à partir du nuage Cisco.

• Terminer les recherches d’URL.

Vous pouvez configurer des seuils temporels pour ces alertes.

Consultez également le module Mises à jour des données de menaces sur les périphériques.

État du RPV

Ce module alerte lorsqu’un ou plusieurs tunnels VPN entre périphériques défense contre les menaces sont en panne.

Ce module suit les :

• VPN de site à site pour Cisco Secure Firewall Threat Defense

• VPN d’accès à distance pour Cisco Secure Firewall Threat Defense

État de la connexion AMP

Le module envoie une alerte si défense contre les menaces ne peut pas se connecter au nuage AMP ou au nuage privé Cisco AMP après une connexion initiale réussie, ou si le nuage privé ne peut pas contacter le nuage AMP public. L'option est désactivée par défaut.

Connexion d’AMP Threat Grid

Le module envoie une alerte si le défense contre les menaces ne peut pas se connecter au nuage AMP Threat Grid après une connexion initiale réussie.

Supprimer l’ASP

Ce module surveille les connexions abandonnées par le chemin de sécurité accéléré du plan de données.

Contournement automatique de l’application

Ce module surveille les applications de détection du contournement des surveillances

État de l’environnement du châssis

Ce module surveille les paramètres du châssis tels que la vitesse et la température du ventilateur et vous permet de définir un seuil d’avertissement et un seuil critique de température. La valeur par défaut de la température critique du châssis (Celsius) est 85 °C. La valeur par défaut de l’avertissement de température du châssis (Celsius) est de 75 °C.

État de l’échec de la grappe ou de la haute disponibilité

Ce module surveille l’état des grappes de périphériques. Le module alerte si :

• Une nouvelle unité principale est choisie dans une grappe.

• Une nouvelle unité secondaire rejoint une grappe.

• Une unité principale ou secondaire quitte une grappe.

Utilisation des ressources de configuration

Ce module vous avertit si la taille des configurations déployées risque de faire manquer de mémoire à un périphérique.

L’alerte vous indique la quantité de mémoire requise par vos configurations et son dépassement de la mémoire disponible. Si cela se produit, réévaluez vos configurations. La plupart du temps, vous pouvez réduire le nombre ou la complexité des règles de contrôle d’accès ou des stratégies de prévention des intrusions.

Attribution de mémoire Snort

• La mémoire totale Snort indique la mémoire allouée aux instances de Snort 2 exécutées sur le périphérique défense contre les menaces .

• La mémoire disponible indique la mémoire allouée par le système pour une instance Snort 2. Notez que cette valeur ne représente pas seulement la différence entre la mémoire totale Snort et la mémoire combinée réservée aux autres modules. Cette valeur est obtenue après quelques autres calculs, puis divisée par le nombre de processus Snort 2.

  Une valeur de mémoire disponible négative indique que l’instance Snort 2 n’a pas assez de mémoire pour la configuration déployée. Pour obtenir de l'aide, communiquez avec le centre d'assistance technique de Cisco (TAC).

Statistiques de connexion

Ce module surveille les statistiques de connexion et le nombre de traductions NAT.

Utilisation du CPU de plan de données

Ce module vérifie que l’utilisation moyenne de la CPU de tous les processus du plan de données sur le périphérique n’est pas surchargée et alerte lorsque l’utilisation de la CPU dépasse les pourcentages configurés pour le module. La valeur par défaut du % de seuil d’ avertissement est 80. La valeur par défaut du % de seuil critique est 90.

Utilisation du CPU Snort

Ce module vérifie que l’utilisation moyenne de la CPU des processus Snort sur le périphérique n’est pas surchargée et alerte lorsque l’utilisation de la CPU dépasse les pourcentages configurés pour le module. La valeur par défaut du % de seuil d’ avertissement est 80. La valeur par défaut du % de seuil critique est 90.

Utilisation du CPU du système

Ce module vérifie que l’utilisation moyenne de la CPU de tous les processus système sur le périphérique n’est pas surchargée et alerte lorsque l’utilisation de la CPU dépasse les pourcentages configurés pour le module. La valeur par défaut du % de seuil d’ avertissement est 80. La valeur par défaut du % de seuil critique est 90.

Statistiques des processus critiques

Ce module surveille l’état des processus critiques, leur utilisation des ressources et le nombre de redémarrages

Statistiques de la configuration déployée

Ce module surveille les statistiques relatives à la configuration déployée, telles que le nombre d'ACE et de règles IPS.

Défaillances de la plateforme Firewall Threat Defense

Ce module génère une alerte pour les défaillances de plateforme pour les périphériques Firepower 1000, 2100 et Secure Firewall 3100. Une défaillance est un objet modifiable géré par centre de gestion. Chaque anomalie représente une défaillance de l’instance de défense contre les menaces ou un seuil d’alarme qui a été élevé. Au cours du cycle de vie d’une défaillance, elle peut passer d’un état ou d’un niveau de gravité à un autre.

Chaque défaillance comprend des renseignements sur l’état opérationnel de l’objet touché au moment où l’anomalie est survenue. Si la défaillance est transitoire et qu'elle est résolue, l'objet passe à un état fonctionnel.

Pour en savoir plus, consultez le Guide des défaillances et des messages d’erreur de Cisco Firepower 1000/2100 FXOS.

Changements apportés à la configuration d’accès Centre de gestion

Ce module surveille les modifications de configuration d’accès du centre de gestion effectuées directement sur le périphérique avec la commande configure network management-data-interface.

Statistiques de déchargement de flux

Ce module surveille les statistiques de déchargement de flux matériel pour un périphérique géré.

Alarmes du matériel

Ce module détermine si le matériel doit être remplacé sur un périphérique physique géré et émet des alertes en fonction de l’état du matériel. Le module fournit également des rapports sur l’état des daemons matériels.

Alarmes de différence de liaison en ligne

Ce module surveille les ports associés aux ensembles en ligne et envoie des alertes si les deux interfaces d’une paire en ligne négocient des vitesses différentes.

Taux d'événements d'intrusion et de fichier

Ce module compare le nombre d’incidents d'intrusion par seconde aux limites configurées pour ce module et envoie des alertes si les limites sont dépassées. Si le Taux d'incidents d'intrusions et d’événements de fichier est égal à zéro, le processus de prévention des intrusions peut être en panne ou le périphérique géré peut ne pas envoyer d’événements. Sélectionnez Analysis (analyse) > Intrusions > Events pour vérifier si les événements sont reçus du périphérique.

En règle générale, le taux d’événements d’un segment de réseau est en moyenne de 20 événements par seconde. Pour un segment de réseau ayant ce débit moyen, le nombre d’événements par seconde (critiques) doit être défini à 50 et le nombre d’événements par seconde (avertissement) doit être défini à 30. Pour déterminer les limites de votre système, trouvez la valeur Événements/sec sur la page des statistiques pour votre périphérique (System () > Monitoring (surveillance) > Statistics (statistiques), puis calculez les limites à l’aide des formules suivantes :

• Événements par seconde (critique) = Événements/Sec * 2,5

• Événements par seconde (avertissement) = Événements/Sec * 1.5

Le nombre maximal d’événements que vous pouvez définir pour l’une ou l’autre des limites est de 999, et la limite critique doit être supérieure à la limite d’avertissement.

Propagation de l'état de liaison

ISA 3000 uniquement.

Ce module détermine quand un lien dans un ensemble en ligne jumelé échoue et déclenche le mode de propagation de l’état du lien. Si un état de liaison se propage à la paire, la classification d’état pour ce module devient Critical (critique), et l’état indique :

Module Link State Propagation: ethx_ethy is Triggered

où x et y sont les numéros d’interface jumelée.

Utilisation de la mémoire par le plan de données

Ce module vérifie le pourcentage de mémoire allouée utilisée par les processus du plan de données et alerte lorsque l’utilisation de la mémoire dépasse les pourcentages configurés pour le module. La valeur par défaut du % de seuil d’ avertissement est 80. La valeur par défaut du % de seuil critique est 90.

Utilisation de la mémoire par Snort

Ce module vérifie le pourcentage de mémoire allouée utilisée par le processus Snort et alerte lorsque l’utilisation de la mémoire dépasse les pourcentages configurés pour le module. La valeur par défaut du % de seuil d’ avertissement est 80. La valeur par défaut du % de seuil critique est 90.

Réinitialisation de la carte réseau

Ce module vérifie les cartes réseau qui ont redémarré en raison d’une défaillance matérielle et alerte lorsqu’une réinitialisation se produit.

Statistiques du NTP

Ce module surveille l'état de la synchronisation de l'horloge NTP du périphérique géré. L'option est désactivée par défaut.

Bloc d’alimentation

Ce module détermine si les blocs d’alimentation du périphérique doivent être remplacés et alerte en fonction de l’état du bloc d’alimentation.

Statistiques de routage

Ce module surveille l'état actuel de la table de routage.

Statistiques de Snort 3

Ce module recueille et surveille les statistiques de Snort 3 pour les événements, les flux et les paquets.

Utilisation de la mémoire par Snort Identity

Vous permet de définir un seuil d’avertissement pour le traitement de l’identité Snort et d’alertes lorsque l’utilisation de la mémoire dépasse le niveau configuré pour le module. La valeur par défaut du % de seuil critique est 80.

Ce module d’intégrité effectue le suivi de l’espace total utilisé pour les informations d’identité de l’utilisateur dans Snort. Il affiche les détails de l’utilisation actuelle de la mémoire, le nombre total de liaisons utilisateur-IP et les détails de mappage de groupes d’utilisateurs. Snort enregistre ces détails dans un fichier. Si le fichier d’utilisation de la mémoire n’est pas disponible, l’alerte d’intégrité pour ce module affiche En attente de données. Cela peut se produire lors du redémarrage de Snort en raison d’une nouvelle installation ou d’une mise à jour majeure, du passage de Snort 2 à Snort 3 ou d’une sauvegarde précédente, ou du déploiement d’une politique majeure. Selon le cycle de surveillance de l’intégrité et lorsque le fichier est disponible, l’avertissement disparaît et le moniteur de l’intégrité affiche les détails de ce module, qui devient vert.

Détection de reconfiguration de Snort

Ce module alerte en cas d’échec de la reconfiguration d’un périphérique. Ce module détecte les échecs de reconfiguration pour les instances Snort 2 et Snort 3.

Statistiques Snort

Ce module surveille les statistiques de Snort 3 pour les événements, les flux et les paquets.

État de la connexion aux services de sécurité Exchange

Le module alerte si défense contre les menaces ne peut pas se connecter au nuage d’échange des services de sécurité après une connexion initiale réussie. L'option est désactivée par défaut.

Haute disponibilité du Défense contre les menaces(vérification de l'état split-brain)

Ce module surveille l’état de haute disponibilité de défense contre les menaces et envoie des alertes et fournit une alerte d’intégrité en cas de scission. défense contre les menaces Si vous n’avez pas établi la haute disponibilité, l’état de la haute disponibilité est Not in HA (Non en haute disponibilité).

Statistiques du VPN

Ce module surveille les tunnels de site à site et de VPN d'accès à distance entre les périphériques défense contre les menaces .

Compteurs XTLS

Ce module surveille les flux des protocoles XTLS /SSL, l’efficacité de la mémoire et du cache L'option est désactivée par défaut.