AMP for Endpoints 상태

FMC

이 모듈은 FMC가 초기 연결에 성공한 후 AMP 클라우드 또는 Cisco AMP 프라이빗 클라우드에 연결할 수 없거나 프라이빗 클라우드가 공용 AMP 클라우드에 연결할 수 없는 경우에 경고를 보냅니다. 또한 엔드포인트용 AMP 관리 콘솔을 사용하여 AMP 클라우드 연결을 등록 취소하면 경고를 보냅니다.

Firepower용 AMP 상태

(AMP for Networks 상태)

FMC

이 모듈은 다음의 경우에 경고를 보냅니다.

• FMC은 AMP 클라우드(퍼블릭 또는 프라이빗), Cisco Threat Grid 퍼블릭 클라우드 또는 온프레미스 어플라이언스에 연결할 수 없으며 또는 AMP 프라이빗 클라우드는 퍼블릭 AMP 클라우드에 연결할 수 없습니다.

• 연결에 사용되는 암호화 키가 유효하지 않습니다.

• 디바이스는 Cisco Threat Grid 클라우드 또는 Cisco Threat Grid 온프레미스 어플라이언스에 연결하여 동적 분석을 위한 파일을 제출할 수 없습니다.

• 파일 정책 구성을 기반으로 네트워크 트래픽에서 과도한 수의 파일이 검색됩니다.

FMC에서 인터넷 연결이 끊어지는 경우, 시스템이 상태 알림을 생성하는 데 최대 30분이 걸릴 수 있습니다.

어플라이언스 하트비트

Any(모든)

이 모듈은 어플라이언스에서 어플라이언스 하트비트가 전송되는지 확인하고, 어플라이언스 하트비트 상태를 기반으로 알림을 전송합니다.

자동 애플리케이션 우회 상태

7000 및 8000 Series

카드 재설정

Any(모든)

이 모듈은 하드웨어 장애 때문에 다시 시작된 네트워크 카드를 확인하고, 재설정이 발생하면 알림을 전송합니다.

기존 라이선스 모니터

FMC

이 모듈은 기본 라이선스가 충분히 남아 있는지 확인합니다. 스택의 디바이스가 라이선스 세트와 일치하지 않는 경우에도 알림을 전송합니다. 모듈에 대해 자동으로 구성된 경고 레벨을 기반으로 알림이 전송됩니다. 이 모듈의 구성은 변경할 수 없습니다.

클러스터/페일오버 상태

FTD

이 모듈은 디바이스 클러스터의 상태를 모니터링합니다. 이 모듈은 다음의 경우 경고를 보냅니다.

• 새 기본 유닛이 클러스터에 선택됩니다.

• 새 보조 유닛에서 클러스터에 가입합니다.

• 기본 또는 보조 유닛이 클러스터를 떠납니다.

구성 데이터베이스

FMC

이 모듈은 구성 데이터베이스 크기를 확인하고, 크기가 모듈에 대해 구성된 값(기가바이트)을 초과하면 알림을 보냅니다.

연결 통계

FTD

이 모듈은 연결 통계 및 NAT 변환 수를 모니터링합니다.

CPU 사용량(코어당)

FTD

이 모듈은 모든 코어의 CPU 사용량이 과부하되지 않았는지 확인하고, CPU 사용량이 모듈에 대해 설정된 비율을 초과하면 알림을 전송합니다. Warning Threshold %(경고 임계값 %) 기본값은 80입니다. Critical Threshold %(위험 임계값 %) 기본값은 90입니다.

CPU 사용 데이터 플레인

FTD

이 모듈은 디바이스에 있는 모든 데이터 플레인의 평균 CPU 사용량이 과부하되지 않았는지 확인하고, CPU 사용량이 모듈에 대해 설정된 비율을 초과하면 알림을 전송합니다. Warning Threshold %(경고 임계값 %) 기본값은 80입니다. Critical Threshold %(위험 임계값 %) 기본값은 90입니다.

CPU 사용량 Snort

FTD

이 모듈은 디바이스에 있는 Snort 프로세스의 평균 CPU 사용량이 과부하되지 않았는지 확인하고, CPU 사용량이 모듈에 대해 설정된 비율을 초과하면 알림을 전송합니다. Warning Threshold %(경고 임계값 %) 기본값은 80입니다. Critical Threshold %(위험 임계값 %) 기본값은 90입니다.

CPU 사용량 시스템

FTD

이 모듈은 디바이스에 있는 모든 시스템의 평균 CPU 사용량이 과부하되지 않았는지 확인하고, CPU 사용량이 모듈에 대해 설정된 비율을 초과하면 알림을 전송합니다. Warning Threshold %(경고 임계값 %) 기본값은 80입니다. Critical Threshold %(위험 임계값 %) 기본값은 90입니다.

중요한 프로세스 통계

FTD

이 모듈은 중요한 프로세스의 상태, 리소스 소비 및 재시작 횟수를 모니터링합니다.

구축된 컨피그레이션 통계

FTD

이 모듈은 구축된 설정에 대한 통계(예: ACE 수 및 IPS 규칙)를 모니터링합니다.

디스크 상태

Any(모든)

이 모듈은 하드 디스크의 성능과 어플라이언스의 악성코드 스토리지 팩(설치된 경우)을 점검합니다.

이 모듈에서는 하드 디스크와 RAID 컨트롤러(설치된 경우)가 실패할 위험이 있을 때 또는 악성코드 스토리지 팩이 아닌 추가 하드 드라이브가 설치된 경우 Warning(노란색) 상태 알림을 생성합니다. 설치된 악성코드 스토리지 팩을 탐지할 수 없는 경우에는 Alert(빨간색) 상태 알림이 생성됩니다.

디스크 사용

Any(모든)

이 모듈은 어플라이언스 하드 드라이브 및 악성코드 스토리지 팩의 디스크 사용량을 모듈에 대해 구성된 제한과 비교하고, 사용량이 모듈에 대해 구성된 비율을 초과하면 알림을 전송합니다. 또한 시스템이 모니터링되는 디스크 사용량 카테고리에서 과도하게 파일을 삭제하는 경우 또는 모듈 임계값을 기반으로 그러한 카테고리 외의 디스크 사용량이 과도한 수준에 도달하는 경우에도 알림을 전송합니다. 디스크 사용량 알림의 문제 해결 시나리오에 대한 내용은 이벤트 상태 모니터 알림의 디스크 사용량 및 소모의 내용을 참조하십시오.

디스크 사용량 상태 모듈을 사용 하 여 기기에서 /및/ 또는 볼륨 파티션의 디스크 사용량을 모니터링 하 고 배수 빈도를 추적 합니다. 디스크 사용 모듈은 /boot 파티션을 모니터링되는 파티션으로 나열하지만 파티션의 크기는 정적이므로 모듈은 부팅 파티션에서 경고를 보내지 않습니다.

하드웨어 경보

7000 및 8000 Series

Threat Defense(물리적)

이 모듈은 하드웨어의 교체가 필요한지 여부를 판단하고, 하드웨어 상태를 기반으로 알림을 전송합니다. 이 모듈은 또한 하드웨어 관련 데몬의 상태와 고가용성 구축에서 7000 및 8000 Series 디바이스의 상태에 대해 보고합니다.

HA 상태

이 모듈은 FMC의 고가용성 상태를 모니터링하고 경고합니다. FMC 고가용성이 설정되지 않은 경우, HA 상태는 Not in HA(HA가 아님) 입니다.

이 모듈은 매니지드 디바이스의 페어링 여부와 관계없이 해당 디바이스의 고가용성 상태를 모니터링하거나 경고하지 않습니다. 매니지드 디바이스의 HA 상태는 항상 Not in HA(HA가 아님) 입니다. 디바이스 관리 페이지Devices(디바이스) > Device Management(디바이스 관리)를 사용하여 고가용성 쌍의 디바이스를 모니터링합니다.

상태 모니터 프로세스

Any(모든)

이 모듈은 상태 모니터 자체의 상태를 모니터링하고, FMC에서 마지막으로 상태 이벤트를 수신한 후 시간(분 단위)이 Warning(경고) 또는 Critical(심각) 한도를 초과하면 알림을 전송합니다.

FMC

이 모듈은 FMC가 모니터할 수있는 호스트의 수가 한계에 가까워지고 모듈에 구성된 경고 수준에 따라 경고를 할지 결정합니다. 자세한 내용은 Firepower System 호스트 제한의 내용을 참고하십시오.

인라인 링크 불일치 경보

다음을 제외한ASA FirePOWER 모든 매니지드 디바이스

이 모듈은 인라인 집합과 관련된 포트를 모니터링하고, 인라인 쌍의 두 인터페이스가 서로 다른 속도를 협상하는 경우 알림을 전송합니다.

인터페이스 상태

Any(모든)

이 모듈은 디바이스가 현재 트래픽을 수집하는지 확인하고, 물리적 인터페이스와 집계 인터페이스의 트래픽 상태를 기준으로 알림을 제공합니다. 물리적 인터페이스의 경우 정보에 인터페이스 이름, 링크 상태 및 대역폭이 포함됩니다. 집계 인터페이스의 경우 정보에 인터페이스 이름, 활성 링크의 수, 총 집계 대역폭이 포함됩니다.

ASA FirePOWER의 경우, DataPlaneInterfacex라는 인터페이스(여기서 x는 숫자값)는 내부 인터페이스(사용자 정의 아님)이며 시스템 내 패킷 플로우에 관여합니다.

침입 및 파일 이벤트 비율

모든 매니지드 디바이스

이 모듈은 초당 침입 이벤트 수를 모듈에 대해 구성된 제한과 비교하고, 제한을 초과하는 경우 알림을 전송합니다. 침입 및 파일 이벤트 비율이 0이면 침입 프로세스가 다운되거나 매니지드 디바이스가 이벤트를 전송하지 못할 수 있습니다. Analysis(분석) > Intrusions(침입) > Events(이벤트)을 선택하고 이벤트가 디바이스에서 수신되는지 확인합니다.

일반적으로 네트워크 세그먼트의 이벤트 속도는 초당 이벤트 20개입니다. 이 평균 속도의 네트워크 세그먼트에서 Events per second(Critical)는 50, Events per second (Warning)는 30으로 설정해야 합니다. 시스템에 대한 제한을 확인하려면 디바이스의 Statistics(통계) 페이지에서 Events/Sec 값을 찾고(System(시스템) > Monitoring(모니터링) > Statistics(통계)), 다음 공식을 사용하여 제한을 계산합니다.

• Events per second (Critical) = Events/Sec * 2.5

• Events per second (Warning) = Events/Sec * 1.5

두 가지 제한 중 하나에 대해 설정할 수 있는 최대 이벤트 수는 999이며, Critical 제한이 Warning 제한보다 높아야 합니다.

ISE 연결 상태 모니터

FMC

이 모듈은 Cisco ISE(Identity Services Engine)와 FMC간의 서버 연결 상태를 모니터링 합니다. ISE는 추가 사용자 데이터, 디바이스 유형 데이터, 디바이스 위치 데이터, SGT(Security Group Tags), SXP(Security Exchange Protocol) 서비스를 제공합니다.

링크 상태 전파

NGIPSv, ASA FirePOWER, Firepower 9300, Firepower 2100 Series, Firepower 1000 Series를 제외하고 모두

페어링된 인라인 집합의 링크가 실패하는 경우를 확인하고 링크 상태 전파 모드를 트리거합니다.

링크 상태가 쌍으로 전파되면 해당 모듈에 대한 상태 분류가 Critical로 변경되고 다음과 같은 메시지가 나타납니다.

Module Link State Propagation: ethx_ethy is Triggered

여기서 x및 y는 쌍을 이룬 인터페이스 번호입니다.

메모리 사용

Any(모든)

이 모듈은 어플라이언스의 메모리 사용량을 모듈에 대해 구성된 제한과 비교하고, 사용량이 모듈에 대해 구성된 레벨을 초과하면 알림을 전송합니다.

메모리가 4GB를 넘는 어플라이언스의 경우 프리셋 알림 임계값은 시스템 문제를 일으킬 수 있는 사용 가능한 메모리의 비율을 고려하는 공식을 기반으로 합니다. 4GB를 넘는 어플라이언스에서는 Warning 임계값과 Critical 임계값 사이의 간격이 매우 좁기 때문에 Cisco에서는 Warning Threshold %(경고 임계값 %) 값을 50으로 수동으로 설정할 것을 권장합니다. 이렇게 하면 문제를 해결할 수 있도록 적시에 어플라이언스에 대한 메모리 알림을 받을 수 있습니다.

버전 6.6부터 FMCv를 버전 6.6.0 이상으로 업그레이드하는 데 필요한 최소 RAM은 28GB이며, FMCv 구축에 권장되는 RAM은 32GB입니다. 기본 설정을 줄이지 않는 것이 좋습니다. 대부분의 FMCv 인스턴스의 경우 32GB RAM, FMCv 300의 경우 64GB가 필요합니다(VMware만 해당).

복잡한 액세스 제어 정책 및 규칙을 적용할 경우 상당한 리소스가 소모되어 성능이 저하될 수 있습니다.FirePOWER Services 소프트웨어이 포함된 일부 저사양 ASA 디바이스는 디바이스의 메모리 할당을 가능한 한 최대로 사용하기 때문에 수시로 메모리 사용 경고를 생성할 수 있습니다.

메모리 사용량 데이터 플레인

FTD

이 모듈은 데이터 플레인 프로세스에서 사용하는 할당된 메모리의 백분율을 확인하고 메모리 사용량이 모듈에 대해 설정된 백분율을 초과할 때 경고를 표시합니다. Warning Threshold %(경고 임계값 %) 기본값은 80입니다. Critical Threshold %(위험 임계값 %) 기본값은 90입니다.

메모리 사용량 Snort

FTD

이 모듈은 Snort 프로세스에서 사용하는 할당된 메모리의 백분율을 확인하고 메모리 사용량이 모듈에 대해 설정된 백분율을 초과할 때 경고를 표시합니다. Warning Threshold %(경고 임계값 %) 기본값은 80입니다. Critical Threshold %(위험 임계값 %) 기본값은 90입니다.

플랫폼 결함

Firepower 1000/2100

Firepower 2100 및 Firepower 1000 디바이스에서 결함은 FMC에서 관리하는 변경 가능한 개체입니다. 각 결함은 Firepower 1000/2100 인스턴스의 장애 또는 경고 임계값 증가를 나타냅니다. 결함의 라이프사이클 중에 상태 또는 심각도가 서로 변경될 수 있습니다.

각 결함에는 결함이 제기된 시점에 영향을 받은 개체의 운영 상태에 대한 정보가 포함됩니다. 결함이 과도적이고 실패가 해결될 경우, 개체가 기능적 상태로 전환됩니다.

자세한 내용은Cisco Firepower 1000 /2100 FXOS 결함 및 오류 메시지 가이드를 참조하십시오.

전력 공급 장치

물리적 FMC

7000 및 8000 Series

이 모듈은 디바이스의 전력 공급 장치를 교체해야 하는지 여부를 확인하고, 전력 공급 장치 상태를 기반으로 알림을 전송합니다.

프로세스 상태

Any(모든)

이 모듈은 어플라이언스의 프로세스가 프로세스 관리자 외부에서 종료되는지를 확인합니다.

프로세스가 프로세스 관리자 외부에서 고의로 종료되면 모듈 상태가 Warning으로 변경되며, 모듈이 다시 실행되고 프로세스가 다시 시작될 때까지 상태 이벤트 메시지에 프로세스가 종료되었음이 표시됩니다. 프로세스가 프로세스 관리자 외부에서 비정상적으로 종료되거나 충돌되면 모듈 상태가 Critical로 변경되며, 모듈이 다시 실행되고 프로세스가 다시 시작될 때까지 상태 이벤트 메시지에 프로세스가 종료되었음이 표시됩니다.

영역

모든 매니지드 디바이스

영역 또는 사용자 불일치에 대한 경고 임계값을 설정할 수 있습니다.

• 사용자 불일치: 사용자가 다운로드되지 않고 Firepower Management Center에 보고됩니다.

  사용자 불일치가 발생하는 일반적인 이유는 사용자가 Firepower Management Center 다운로드에서 제외된 그룹에 속하기 때문입니다. 영역 필드에서 논의된 정보를 검토합니다.

• 영역 불일치: 사용자가 Firepower Management Center의 알 수 없는 영역에 해당하는 도메인에 로그인합니다.

자세한 내용은 영역 또는 사용자 불일치 탐지의 내용을 참고하십시오.

탐지 재구성

모든 매니지드 디바이스

이 모듈은 디바이스 재구성이 실패한 경우 경고를 보냅니다.

RRD 서버 프로세스

FMC

이 모듈은 시계열 데이터를 저장하는 라운드 로빈 데이터 서버가 제대로 실행되고 있는지 확인합니다. 마지막으로 업데이트된 이후 RRD 서버가 다시 시작되면 알림이 전송됩니다. RRD 서버 다시 시작의 연속 업데이트 수가 모듈 컨피그레이션에 지정된 수에 도달하면 Critical 또는 Warning 상태로 들어가게 됩니다.

보안 인텔리전스

이 모듈은 보안 인텔리전스를 사용 중이고 FMC가 피드를 업데이트할 수 없거나 피드 데이터가 손상되었거나 인식할 수 없는 IP 주소를 포함하는 경우 알림을 표시합니다.

디바이스의 위협 데이터 업데이트 모듈도 참조하십시오.

스마트 라이선스 모니터

FMC

이 모듈은 다음의 경우에 경고를 보냅니다.

• 스마트 라이선싱 에이전트(Smart Agent)와 스마트 소프트웨어 매니저 간에 통신 오류가 있습니다.

• 제품 인스턴스 등록 토큰이 만료되었습니다.

• 스마트 라이선스 사용량이 미준수 상태입니다.

• 스마트 라이선스 권한 부여 또는 평가 모드 만료 되었습니다.

Snort ID 메모리 사용량

FTD

메모리 사용량이 모듈에 대해 설정된 레벨을 초과할 때 Snort ID 처리 및 알림에 대한 경고 임계값을 설정할 수 있습니다. Critical Threshold %(위험 임계값 %) 기본값은 80입니다.

Snort 통계

FTD

이 모듈은 이벤트, 플로우 및 패킷에 대한 Snort 통계를 모니터링합니다.

디바이스에서 위협 데이터 업데이트

Any(모든 상태)

디바이스가 위협을 탐지하는 데 사용하는 특정 인텔리전스 데이터 및 구성은 30분마다 클라우드의 FMC에서 업데이트됩니다.

이 모듈은 사용자가 지정한 기간 내에 해당 정보가 디바이스에 업데이트 되지 않은 경우 경고를 보냅니다.

모니터링되는 업데이트는 다음을 포함합니다.

• 로컬 URL 카테고리 및 평판 데이터

• 보안 인텔리전스 URL 목록 및 피드. Threat Intelligence Director의 전역 차단 및 차단 안 함 목록 및 URL이 포함됩니다.

• 보안 인텔리전스 네트워크 목록 및 피드(IP 주소). Threat Intelligence Director의 전역 차단 및 차단 안 함 목록 및 IP 주소가 포함됩니다.

• 보안 인텔리전스 DNS 목록 및 피드. Threat Intelligence Director의 전역 차단 및 차단 안 함 목록 및 도메인이 포함됩니다.

• 에서 로컬 악성코드 분석 서명(ClamAV)

• Threat Intelligence Director의 SHA 목록. Objects(개체) > Object Management(개체 관리) > Security Intelligence(보안 인텔리전스) > Network Lists and Feeds(네트워크 목록 및 피드) 페이지에 나와 있습니다.

• 동적 분석 설정. AMP > Dynamic Analysis Connections(동적 분석 연결) 페이지에 구성되어 있습니다.

• 캐시된 URL 만료와 관련한 Threat Configuration 설정. System(시스템) > Integration(통합) > Cloud Services페이지의 Cached URLs Expire 설정을 포함합니다. (URL 캐시에 대한 업데이트는 이 모듈에서 모니터링하지 않습니다.)

• 이벤트 전송에서의 Cisco Cloud와의 통신 이슈 System(시스템) > Integration(통합) > Cloud Services(클라우드 서비스) 페이지의 Cisco Cloud 상자를 참조하십시오.

기본적으로 이 모듈은 1시간 후에 warning(경고) 알림을 보내고 24시간 후에 critical(심각) 알림을 보냅니다.

이 모듈에서 FMC 또는 어떠한 디바이스에 실패가 표시되는 경우, FMC가 디바이스에 연결되는지 확인합니다.

URL 카테고리 및 평판 데이터 유형의 실패가 표시되는 메모리 부족 디바이스의 경우, 메모리 사용 문제 해결를 참조하십시오.

시계열 데이터 모니터링

FMC

이 모듈은 시계열 데이터(예: 상관관계 이벤트 카운트)가 저장된 디렉토리에 손상된 파일이 있는지를 추적하고, 손상되어 제거된 것으로 파일에 플래그가 표시되는 경우 알림을 전송합니다.

동기화 상태

Any(모든)

이 모듈은 NTP를 사용하여 시간을 가져오는 디바이스 시계와 NTP 서버에 있는 시계의 동기화를 추적하고, 두 시계 간 차이가 10초를 넘으면 알림을 전송합니다.

URL 필터링 모니터

FMC

FMC가 다음에 실패하는 경우 이 모듈이 경고를 보냅니다.

• Cisco Cloud에 등록

• Cisco Cloud에서 URL 위협 데이터 업데이트 다운로드

• 완전한 URL 조회

이러한 경고에 대해 시간 임계값을 구성할 수 있습니다.

디바이스의 위협 데이터 업데이트 모듈도 참조하십시오.

VPN 상태

FMC

이 모듈은 Firepower 디바이스 간에 하나 이상의 VPN 터널이 다운되면 알림을 보냅니다.

이 모듈을 다음을 추적합니다.

• 7000 및 8000 Series 디바이스에 대한 VPN)

• Site-to-Site VPN Firepower Threat Defense

  주의	VTI(Virtual Tunnel Interface)로 생성된 사이트 대 사이트 VPN 터널은 터널이 다운될 때 상태 알림을 생성하지 않습니다. VTI를 사용하는 VPN에서 패킷 손실이 발생하는 경우 VPN 설정을 확인하십시오.

• 원격 액세스 VPN Firepower Threat Defense

중대

상태 테스트 결과가 Critical(심각) 알림 상태를 트리거하는 기준을 충족함.

경고

상태 테스트 결과가 Warning(경고) 알림 상태를 트리거하는 기준을 충족함.

정상

상태 테스트 결과가 Normal(정상) 알림 상태를 트리거하는 기준을 충족함.

오류

상태 테스트가 실행되지 않음.

복원됨

상태 테스트 결과가 Critical(심각) 또는 Warning(경고) 알림 상태에 이어 Normal(정상) 알림 상태로 전환되는 기준을 충족함.