Fehlerbehebung Warnmeldung - Der Dateireputations-Dienst ist nicht erreichbar

Download-Optionen

  • PDF     (290.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (108.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (105.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:26. Januar 2021
Dokument-ID:118785

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Warnung beschrieben, die der Cisco E-Mail Security Appliance (ESA) mit aktiviertem Advanced Malware Protection (AMP) zugewiesen wurde, wenn der Service nicht über Port 32137 oder 443 für die Dateireputation kommunizieren kann.

    "Der Dateireputations-Service ist nicht erreichbar" Fehler für AMP empfangen

    AMP wurde für die Verwendung auf der ESA in AsyncOS Version 8.5.5 für Email Security veröffentlicht. Wenn AMP auf der ESA lizenziert und aktiviert ist, erhalten Administratoren die folgende Meldung:

    The Warning message is:

    The File Reputation service is not reachable.

    Last message occurred 2 times between Tue Sep 10 14:15:14 2024 and Tue Sep 10 14:16:23 2024.

    Version: 15.5.1-055
    Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
    Timestamp: 10 Sep 2024 14:19:00 -0500

    AsyncOS 14.x oder frühere Version

    Der AMP-Dienst ist aktiviert, kommuniziert aber für die Dateireputation möglicherweise nicht im Netzwerk über Port 32137.

    In diesem Fall kann der ESA-Administrator festlegen, dass die Dateireputation über Port 443 kommuniziert.

    Führen Sie dazu ampconfig > advanced aus der CLI aus, und stellen Sie sicher, dass Y für Do you want to enable SSL communication (port 443) for file reputation ausgewählt ist. [N]>:

    (Cluster example.com)> ampconfig

    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [15]>

    Choose a file reputation server:
    1. AMERICAS (cloud-sa.amp.cisco.com)
    2. AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)
    3. EUROPE (cloud-sa.eu.amp.cisco.com)
    4. APJC (cloud-sa.apjc.amp.cisco.com)
    5. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Do you want to enable SSL communication (port 443) for file reputation? [N]> Y

    Proxy server detail:
    Server : 
    Port : 
    User :

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [N]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. EUROPE (https://panacea.threatgrid.eu)
    3. Private analysis cloud
    [1]>

    Wenn Sie die GUI verwenden, wählen Sie Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (Dropdown-Liste) aus, und stellen Sie sicher, dass das Kontrollkästchen SSL verwenden wie hier dargestellt aktiviert ist:

    AMP Use SSL

    Bestätigen Sie alle Konfigurationsänderungen.

    Überprüfen Sie abschließend das aktuelle AMP-Protokoll, um festzustellen, ob der Service erfolgreich war oder die Verbindung fehlschlug. Dies kann über die CLI mit Tail Amp erreicht werden.

    Bevor Änderungen an ampconfig > advanced vorgenommen wurden, hätten Sie dies in den AMP-Protokollen gesehen:

    Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.

    Nachdem die Änderung an "ampconfig > advanced" vorgenommen wurde, wird dies in den AMP-Protokollen angezeigt:

    Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
    Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud 
    is reachable.
    Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized 
    successfully
    Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized 
    successfully
    Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
    Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name = 
    'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query 
    from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
    Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
    fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

    Die Datei amp_watchdog.txt, wie im vorherigen Beispiel gezeigt, wird alle 10 Minuten ausgeführt und im AMP-Protokoll nachverfolgt. Diese Datei ist Teil des Keepalives für AMP.

    Eine normale Abfrage im AMP-Protokoll für eine Nachricht mit den konfigurierten Dateitypen für Dateireputation und Dateianalyse wäre ähnlich:

    Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
    'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File 
    Type = text/html
    Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from 
    Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file 
    unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
    533d80d4bec0205553465e997f9c672983346f, upload_action = 1

    Mit diesen Protokollinformationen kann der Administrator die Nachrichten-ID (MID) in den Mail-Protokollen korrelieren.

    Zusätzliche Fehlerbehebung

    Überprüfen Sie die Firewall- und Netzwerkeinstellungen, um sicherzustellen, dass die SSL-Kommunikation für diese Geräte geöffnet ist:

    Anschluss Protokolle Ein/Aus Hostname Beschreibung
    443 TCP Aus Wie in Security Services > File Reputation and Analysis, Advanced (Sicherheitsdienste > Dateireputation und -analyse) konfiguriert. Zugriff auf Cloud-Services zur Dateianalyse
    32137 TCP Aus Wie konfiguriert unter Sicherheitsdienste > Dateireputation und -analyse, Erweitert, Erweitert, Cloud Server Pool-Parameter. Zugriff auf Cloud-Services zur Erlangung der Dateireputation

    Sie können die grundlegende Verbindung von Ihrer ESA zum Cloud-Service über 443 via Telnet testen, um sicherzustellen, dass Ihre Appliance die AMP-Services, die Dateireputation und die Dateianalyse erfolgreich erreichen kann.

    Hinweis: Die Adressen für Dateireputation und Dateianalyse werden in der CLI mit "ampconfig" > "advanced" oder in der GUI mit "Security Services" > "File Reputation and Analysis" > "Edit Global Settings" > "Advanced" (Dropdown-Liste) konfiguriert.

    Hinweis: Wenn Sie einen Tunnel-Proxy zwischen der ESA und dem/den File Reputation Server(s) verwenden, müssen Sie möglicherweise die Option "Zertifikatsvalidierung für Tunnel-Proxy entspannen" aktivieren. Diese Option wird bereitgestellt, um die Standardzertifikatvalidierung zu überspringen, wenn das Zertifikat des Tunnelproxyservers nicht von einer von der ESA vertrauenswürdigen Root-Autorität signiert wird. Wählen Sie diese Option beispielsweise aus, wenn Sie ein selbstsigniertes Zertifikat auf einem vertrauenswürdigen internen Tunnelproxyserver verwenden.

    Beispiel für Dateireputation:

    10.0.0-125.local> telnet cloud-sa.amp.sourcefire.com 443

    Trying 23.21.199.158...
    Connected to ec2-23-21-199-158.compute-1.amazonaws.com.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Beispiel für die Dateianalyse:

    10.0.0-125.local> telnet panacea.threatgrid.com 443

    Trying 69.55.5.244...
    Connected to 69.55.5.244.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Wenn die ESA eine Telnet-Verbindung zum Dateireputations-Server herstellen kann und es keinen Upstream-Proxy gibt, der die Verbindung entschlüsselt, muss die Appliance möglicherweise bei Threat Grid neu registriert werden. In der ESA-CLI gibt es einen verborgenen Befehl:

    10.0.0-125.local> diagnostic

    Choose the operation you want to perform:
    - RAID - Disk Verify Utility.
    - DISK_USAGE - Check Disk Usage.
    - NETWORK - Network Utilities.
    - REPORTING - Reporting Utilities.
    - TRACKING - Tracking Utilities.
    - RELOAD - Reset configuration to the initial manufacturer values.
    - SERVICES - Service Utilities.
    []> ampregister

    AMP registration initiated.

    AsyncOS 15.x oder spätere Version

    Stellen Sie sicher, dass der richtige Dateireputations-Server ausgewählt ist. Dies kann auch über die Benutzeroberfläche erreicht werden, indem Sie zu Sicherheitsdienste > Dateireputation und -analyse > Globale Einstellungen bearbeiten > Erweiterte Einstellungen für Dateireputation > Dateireputations-Server navigieren.

    Hinweis: Informationen zu Hostnamen und Ports, mit denen Sie Ihre Firewall konfigurieren können, finden Sie im Abschnitt Firewall-Informationen im Benutzerhandbuch hier

    (Cluster example.com)> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [20]>

    Choose a file reputation server:
    1. US Cloud
    2. EU Cloud
    3. APJC Cloud
    4. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Passphrase:

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [Y]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. AUSTRALIA (https://panacea.threatgrid.com.au)
    3. CANADA (https://panacea.threatgrid.ca)
    4. EUROPE (https://panacea.threatgrid.eu)
    5. Private analysis cloud
    [1]>

    Use Existing File Reputation Proxy? [N]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Password :

    Do you want to change proxy detail [N]>

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    25-Feb-2015
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Robert Sherwin
      Cisco Technical Leader
    • Dennis McCabe Jr
      Cisco Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.