AMP for Endpoint のステータス

FMC

このモジュールは、FMC が初期接続の成功後に AMP クラウドまたは Cisco AMP Private Cloud に接続できない場合、またはプライベート クラウドがパブリック AMP クラウドに接続できない場合にアラートを出します。また、AMP for Endpoints 管理コンソールを使用して AMP クラウド接続の登録が解除された場合にもアラートを出します。

AMP for Firepower のステータス

（ネットワーク向け AMP ステータス）

FMC

このモジュールは、以下の場合にアラートを出します。

• FMC が AMP クラウド（パブリックまたはプライベート）、Cisco Threat Grid パブリック クラウド、またはオンプレミス アプライアンスに接続できないか、または AMP プライベート クラウドがパブリック AMP クラウドに接続できない。

• 接続に使用する暗号化キーが無効である。

• デバイスが Cisco Threat Grid クラウドまたは Cisco Threat Grid オンプレミス アプライアンスに接続して動的分析用のファイルを送信できない。

• ファイル ポリシー設定に基づいてネットワーク トラフィックで過剰な数のファイルが検出された。

FMC のインターネット接続が切断された場合、ヘルスアラートの生成に最大 30 分かかることがあります。

アプライアンス ハートビート

任意

このモジュールは、アプライアンス ハートビートがアプライアンスから届いているかどうかを確認し、アプライアンスのハートビート ステータスに基づいてアラートを出します。

バックログのステータス

このモジュールは、デバイスから FMC に送信されるのを待機しているイベントデータのバックログのサイズが、30 分を超えて増大し続けた場合にアラートを発します。

バックログを減らすには、帯域幅を評価し、ログに記録するイベント数を減らすことを検討してください。

CPU 使用率

任意

このモジュールは、アプライアンス上の CPU が過負荷になっていないことを確認し、CPU 使用率がモジュールに設定されたパーセンテージを超えた場合にアラートを出します。

カード リセット

任意

このモジュールは、リセット時に、ハードウェア障害原因で再起動されたネットワーク カードをチェックし、アラートを出します。

クラシック ライセンス モニター

FMC

このモジュールは十分なクラシックライセンスが残っているかどうかを確認します。モジュールに自動的に設定された警告レベルに基づいてアラートを出します。このモジュールの設定は変更できません。

クラスタ/フェールオーバーのステータス

FTD

このモジュールは、デバイス クラスタのステータスをモニターします。このモジュールは、以下の場合にアラートを出します。

• クラスタに新しいプライマリ ユニットが選択される。

• 新しいセカンダリ ユニットがクラスタに参加する。

• プライマリまたはセカンダリ ユニットがクラスタから離脱する。

コンフィギュレーション データベース

FMC

このモジュールは、設定データベースのサイズを確認し、サイズが、モジュールに設定されている値（ギガバイト単位）を超えた場合にアラートを出します。

ディスク ステータス

任意

このモジュールは、ハード ディスクと、アプライアンス上のマルウェア ストレージ パック（設置されている場合）のパフォーマンスを調査します。

このモジュールは、ハードディスクと RAID コントローラ（設置されている場合）で障害が発生する恐れがある場合、または、マルウェアストレージパックではない追加のハードドライブが設置されている場合に、警告（黄色）ヘルスアラートを生成します。また、設置されているマルウェアストレージパックを検出できなかった場合はアラート（赤色）ヘルスアラートを生成します。

ディスク使用量

任意

このモジュールは、アプライアンスのハードドライブとマルウェア ストレージ パック上のディスク使用率をモジュールに設定された制限と比較し、その使用率がモジュールに設定されたパーセンテージを超えた時点でアラートを出します。また、モジュールしきい値に基づいて、システムが監視対象のディスク使用カテゴリ内のファイルを過剰に削除する場合、または、これらのカテゴリを除くディスク使用率が過剰なレベルに達した場合にもアラートを出します。ディスク使用率アラートのトラブルシューティング シナリオについては、ディスク使用率とイベントドレインの正常性モニターアラートを参照してください。

ディスク使用率ヘルス ステータス モジュールは、アプライアンス上の / パーティションと /volume パーティションのディスク使用率を監視して、ドレイン頻度を追跡するために使用します。ディスク使用率モジュールは /boot パーティションを監視対象パーティションとして列挙しますが、そのパーティションのサイズが固定のため、このモジュールはブート パーティションに基づいてアラートを出すことはしません。

ハードウェア アラーム

Threat Defense（物理）

このモジュールは、物理管理対象デバイス上のハードウェアを交換する必要があるかどうかを確認し、ハードウェア ステータスに基づいてアラートを出します。また、ハードウェア関連デーモン。

HA ステータス

このモジュールは、FMC ハイ アベイラビリティ ステータスについて、モニタし、アラートを出します。FMC のハイ アベイラビリティを確立していない場合、HA ステータスは、「HA でない（Not in HA）」になります。

このモジュールは、ペアリングされているかどうかに関わらず、管理対象デバイスのハイ アベイラビリティ ステータスについてはモニタしたり、アラートを出したりしません。管理対象デバイスの HA ステータスは常に「HA でない（Not in HA）」になります。[デバイス（Devices）] > [デバイス管理（Device Management）] の [デバイス管理（Device Management）] ページを使用して、ハイ アベイラビリティ ペアのデバイスをモニタします。

ヘルス モニター プロセス

任意

このモジュールは、ヘルス モニター自体のステータスを監視し、FMC で受信された最後のステータス イベント以降の分数が警告制限または重大制限を超えた場合にアラートを出します。

ホスト制限（Host Limit）

FMC

このモジュールは、FMC がモニターできるホスト数が制限に近づいているかどうかを確認し、モジュールに設定された警告レベルに基づいてアラートを出します。詳細については、Firepower システムのホスト制限を参照してください。

ISE 接続ステータスのモニター

FMC

このモジュールは、Cisco Identity Services Engine（ISE）と FMC 間のサーバー接続のステータスをモニターします。ISE は、追加のユーザーデータ、デバイスタイプデータ、デバイスロケーションデータ、SGT（セキュリティグループタグ）、および SXP（Security Exchange Protocol）サービスを提供します。

インライン リンク不一致アラーム

すべての管理対象デバイス（次を除く：ASA FirePOWER ）

このモジュールは、インライン セットに関連付けられたポートを監視し、インライン ペアの 2 つのインターフェイスが別々の速度をネゴシエートした場合にアラートを出します。

インターフェイス ステータス

任意

このモジュールは、デバイスが現在トラフィックを収集しているかどうかを確認して、物理インターフェイスおよび集約インターフェイスのトラフィック ステータスに基づいてアラートを出します。物理インターフェイスの情報には、インターフェイス名、リンク ステート、および帯域幅が含まれます。集約インターフェイスの情報には、インターフェイス名、アクティブ リンクの数、および総集約帯域幅が含まれます。

ASA FirePOWER の場合、DataPlaneInterfacex というラベルの付いたインターフェイス（ここで、x は数値）は、内部インターフェイス（ユーザー定義ではない）で、システム内部のパケット フローに関与します。

侵入およびファイル イベント レート

すべての管理対象デバイス

このモジュールは、1 秒あたりの侵入イベント数をこのモジュールに設定された制限と比較し、制限を超えた場合にアラートを出します。侵入およびファイル イベント レートが 0 の場合は、侵入プロセスがダウンしているか、管理対象デバイスがイベントを送信していない可能性があります。イベントがデバイスから送られているかどうかをチェックするには、[分析（Analysis）] > [侵入（Intrusions）] > [イベント（Events）] の順に選択します。

一般に、ネットワーク セグメントのイベント レートは平均で 1 秒あたり 20 イベントです。この平均レートのネットワーク セグメントでは、[1 秒あたりのイベント（重大）（Events per second (Critical)）] を 50 に設定し、[1 秒あたりのイベント（警告）（Events per second (Warning)）] を 30 に設定する必要があります。システムの制限を決定するには、デバイスの [統計情報（Statistics）] ページ（[システム（System）] > [モニタリング（Monitoring）] > [統計（Statistics）]）で [イベント/秒（Events/Sec）] 値を探してから、次の式を使用して制限を計算します。

• 1 秒あたりのイベント（重大）= イベント/秒 * 2.5

• イベント数/秒（警告）（Events per second (Warning)）= イベント数/秒（Events/Sec）* 1.5

両方の制限に設定可能な最大イベント数は 999 であり、重大制限は警告制限より大きくする必要があります。

リンク ステート伝達

FTD を搭載した ASA 5500-X シリーズおよび ISA 3000

このモジュールは、ペア化されたインライン セット内のリンクで障害が発生した時点を特定して、リンク ステート伝達モードをトリガーとして使用します。

リンク ステートがペアに伝達した場合は、そのモジュールのステータス分類が [重大（Critical）] に変更され、状態が次のように表示されます。

Module Link State Propagation: ethx_ethy is Triggered

ここで、x と y はペア化されたインターフェイス番号です。

ローカル マルウェア分析

任意

このモジュールは、6.2.3 またはそれより前のバージョンを実行中のデバイスがローカルマルウェア分析用に設定され、AMP クラウドからローカルマルウェア分析エンジンのシグネチャの更新をダウンロードできなかった場合、アラートを出します。

バージョン 6.3.0 以降のデバイスの場合は、Threat Data Updates on Devices モジュールを使用します。

メモリ使用率

任意

このモジュールは、アプライアンス上のメモリ使用率をモジュールに設定された制限と比較し、使用率がモジュールに設定されたレベルを超えるとアラートを出します。

メモリが 4 GB を超えるアプライアンスの場合、プリセットされたアラートしきい値は、システム問題を引き起こす可能性のあるメモリ空き容量の割合を求める式に基づいています。4 GB 未満のアプライアンスでは、警告しきい値と重大しきい値の時間間隔が非常に狭いため、[Warning Threshold %] の値を手動で 50 に設定することを推奨します。これにより、時間内にアプライアンスのメモリ アラートを受け取って問題を解決できる可能性がさらに高まります。しきい値の計算方法の詳細については、ヘルスモニターアラートのメモリ使用率しきい値を参照してください。

複雑なアクセス コントロール ポリシーやルールは、重要なリソースを消費し、パフォーマンスに悪影響を与える可能性があります。FirePOWER サービスソフトウェア を含む一部のよりローエンドの ASA デバイスでは、デバイスのメモリ割り当てが最大限に使用されているために、断続的なメモリ使用率の警告が生成されることがあります。

プラットフォームの障害

Firepower 1000/2100

Firepower 2100 および Firepower 1000 デバイスでは、障害は FMC によって管理される変更可能なオブジェクトです。各障害は、Firepower 1000/2100 インスタンスの障害や、発生したしきい値のアラームを表します。障害のライフサイクルの間に、障害の状態または重大度が変化する場合があります。

各障害には、障害の発生時に影響を受けたオブジェクトの動作状態に関する情報が含まれます。障害の状態が移行して解決すると、そのオブジェクトは機能状態に移行します。

詳細については、『Cisco Firepower 1000/2100 FXOS Faults and Error Messages Guide』を参照してください。

電源モジュール

物理 FMC

このモジュールは、デバイスの電源が交換が必要かどうかを確認し、電源ステータスに基づいてアラートを出します。

Process Status

任意

このモジュールは、アプライアンス上のプロセスがプロセス マネージャの外部で停止または終了したかを確認します。

プロセスが故意にプロセス マネージャの外部で停止された場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Warning に変更され、ヘルス イベント メッセージが停止されたプロセスを示します。プロセスがプロセス マネージャの外部で異常終了またはクラッシュした場合は、モジュールが再開してプロセスが再起動するまで、モジュール ステータスが Critical に変更され、ヘルス イベント メッセージが終了したプロセスを示します。

RRD サーバー プロセス

FMC

このモジュールは、時系列データを格納するラウンド ロビン サーバーが正常に機能しているかどうかを確認します。このモジュールは、RRD サーバーが前回の更新以降に再起動した場合にアラートを出します。また、RRD サーバーの再起動を伴う連続更新回数がモジュール設定で指定された数値に達した場合に [重大（Critical）] または [警告（Warning）] ステータスに遷移します。

レルム

すべての管理対象デバイス

レルムまたはユーザーの不一致の次の警告しきい値を設定できます。

• ユーザーの不一致: ユーザーは、Firepower Management Center をダウンロードすることがなく報告されます。

  ユーザーの不一致の一般的な理由は、ユーザーが Firepower Management Center にダウンロードすることから除外がグループに属することです。レルム フィールド で説明されている情報も参照してください。

• レルムの不一致: ユーザーは、Firepower Management Center に不明レルムに対応するドメインにログインします。

詳細については、レルムまたはユーザーの不一致の検出を参照してください。

検出の再設定

すべての管理対象デバイス

このモジュールは、デバイスの再設定が失敗した場合、アラートを出します。

セキュリティ インテリジェンス（Security Intelligence）

FMC およびバージョン 6.2.3 以前を実行しているデバイス

このモジュールは、セキュリティ インテリジェンスが使用中で、次の場合にアラートを出します。

• FMC がフィードを更新できないか、フィード データが破損している、または認識可能な IP アドレスが含まれていない。

• 6.2.3 またはそれより前のリリースを実行中のデバイスで、 FMC から最新のセキュリティ インテリジェンス データを受信する際に問題が発生しました 。

• 6.2.3 またはそれより前のバージョンを実行中のデバイスは、メモリの問題により、FMC から提供されたセキュリティ インテリジェンス データをすべてロードできません。メモリ使用のトラブルシューティングを参照してください。

バージョン 6.3.0 以降のデバイスの場合は、Threat Data Updates on Devices モジュールも参照してください。

スマート ライセンス モニター

FMC

このモジュールは、以下の場合にアラートを出します。

• Smart Licensing Agent（スマートエージェント）と Smart Software Manager (SSM) の間の通信にエラーがある。

• 製品インスタンス登録トークンの有効期限が切れている。

• スマート ライセンスの使用状況がコンプライアンスに違反している。

• スマート ライセンスの権限モードまたは評価モードの有効期限が切れている。

デバイスでの脅威データの更新

FMC およびバージョン 6.3.0 以降のデバイス

6.2.3 またはそれより前のバージョンを実行中のデバイスの場合、Security Intelligence、URL Filtering、および Local Malware Analysis の各正常性モジュールを参照してください。

デバイスが脅威の検出に使用する特定のインテリジェンスデータと設定は、FMC 上で 30 分ごとにクラウドから更新されます。

このモジュールは、指定した期間内にデバイスでこの情報が更新されない場合にアラートを生成します。

モニターされる更新には次の点が含まれます。

• ローカル URL カテゴリおよびレピュテーション データ

• セキュリティ インテリジェンス URL リストおよびフィード（Threat Intelligence Director からのグローバルブロックリストとブロックしないリストおよび URLを含む）

• セキュリティ インテリジェンス ネットワーク リストおよびフィード（IP アドレス）（Threat Intelligence Director からのグローバルブロックリストとブロックしないリストおよび IP アドレスを含む）

• セキュリティ インテリジェンス DNS リストおよびフィード（Threat Intelligence Director からのグローバルブロックリストとブロックしないリストおよびドメインを含む）

• （ClamAV からの）ローカル マルウェア分析の署名

• Threat Intelligence Director からの SHA リスト（[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [セキュリティ インテリジェンス（Security Intelligence）] > [ネットワーク リストおよびフィード（Network Lists and Feeds）] ページにリストされている）

• [AMP] > [動的分析接続（Dynamic Analysis Connections）] ページで設定された動的分析の設定

• キャッシュされた URL の期限切れに関連した脅威の構成時の設定（[System] > [Integration] [Cloud Services] ページの [Cached URLs Expire] 設定を含む）。（このモジュールでは、URL キャッシュの更新はモニターされません。）

• イベントを送信するためのシスコ クラウドとの通信の問題。[システム（System）] > [統合（Integration）] > [クラウドサービス（Cloud Services）] ページの [シスコクラウド（Cisco Cloud）] ボックスを確認します。

デフォルトでは、このモジュールは 1 時間後に警告を送信し、24 時間後に重大なアラートを送信します。

FMC またはいずれかのデバイスで障害が発生していることをこのモジュールが示している場合、FMC がデバイスに到達できることを確認します。

URL カテゴリおよびレピュテーション データ タイプの障害が表示される低メモリ デバイスについては、メモリ使用のトラブルシューティング を参照してください。

時系列データ モニター

FMC

このモジュールは、時系列データ（相関イベント カウントなど）が保存されるディレクトリ内の破損ファイルの存在を追跡して、ファイルが破損としてフラグが付けられ、削除された段階でアラートを出します。

時刻同期ステータス

任意

このモジュールは、NTP を使用して時刻を取得するデバイス クロックと NTP サーバー上のクロックの同期を追跡して、クロックの差が 10 秒を超えた場合にアラートを出します。

URL フィルタリング モニター

FMC

バージョン 6.3.0 以降のデバイスの場合は、Threat Data Updates on Devices モジュールを参照してください。

このモジュールは、FMC が次のことに失敗した場合にアラートを出します。

• シスコクラウドへの登録

• シスコクラウドからの URL 脅威データの更新のダウンロード

• 6.2.3 またはそれより前のバージョンを実行しているデバイスへの URL 脅威データのプッシュ

  バージョン 6.3.0 以降のデバイスの場合は、Threat Data Updates on Devices モジュールで、この問題のためのアラートを設定してください。

• URL ルックアップの実行

これらのアラートの時間しきい値を設定できます。

ユーザー エージェント ステータス

FMC

このモジュールは、FMCに接続されたユーザー エージェントでハートビートが検出されない場合にアラートを出します。

VPN ステータス

FMC

このモジュールは、Firepower デバイス間の 1 つ以上の VPN トンネルがダウンしているときにアラートを出します。

このモジュールは、以下を追跡します。

• Firepower Threat Defense のサイト間 VPN

  注目	仮想トンネルインターフェイス（VTI）を使用して作成されたサイト間 VPN トンネルは、トンネルがダウンしても正常性アラートを生成しません。VTI を使用した VPN でパケット損失が発生した場合は、VPN の設定を確認してください。

• Firepower Threat Defense のリモート アクセス VPN