Mensaje De Alerta De Resolución De Problemas: No Se Puede Acceder Al Servicio De Reputación De Archivos

Opciones de descarga

  • PDF     (289.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (112.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (110.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:26 de enero de 2021
ID del documento:118785

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la alerta atribuida al dispositivo de seguridad Cisco Email Security Appliance (ESA) con la protección frente a malware avanzado (AMP) habilitada, donde el servicio no puede comunicarse a través del puerto 32137 o 443 para la reputación de archivos.

    "No se puede acceder al servicio de reputación de archivos" Error recibido para AMP

    AMP se publicó para su uso en ESA en AsyncOS versión 8.5.5 para Email Security. Con la licencia de AMP y activada en el ESA, los administradores reciben este mensaje:

    The Warning message is:

    The File Reputation service is not reachable.

    Last message occurred 2 times between Tue Sep 10 14:15:14 2024 and Tue Sep 10 14:16:23 2024.

    Version: 15.5.1-055
    Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
    Timestamp: 10 Sep 2024 14:19:00 -0500

    AsyncOS 14.x o anterior

    El servicio AMP está activado, pero es posible que no se comunique en la red a través del puerto 32137 para Reputación de archivos.

    Si ese es el caso, el administrador ESA puede elegir que Reputación de archivos se comunique a través del puerto 443.

    Para ello, ejecute ampconfig > advanced desde la CLI y asegúrese de que Y esté seleccionado para ¿Desea habilitar la comunicación SSL (puerto 443) para la reputación de archivos? [N]>:

    (Cluster example.com)> ampconfig

    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [15]>

    Choose a file reputation server:
    1. AMERICAS (cloud-sa.amp.cisco.com)
    2. AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)
    3. EUROPE (cloud-sa.eu.amp.cisco.com)
    4. APJC (cloud-sa.apjc.amp.cisco.com)
    5. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Do you want to enable SSL communication (port 443) for file reputation? [N]> Y

    Proxy server detail:
    Server : 
    Port : 
    User :

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [N]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. EUROPE (https://panacea.threatgrid.eu)
    3. Private analysis cloud
    [1]>

    Si utiliza la GUI, elija Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (desplegable) y asegúrese de que la casilla de verificación Use SSL esté marcada como se muestra aquí:

    AMP Use SSL

    Realice todos y cada uno de los cambios en la configuración.

    Por último, revise el registro de AMP actual para ver si el servicio y la conectividad se han realizado correctamente o no. Puede lograr esto desde la CLI con tail amp.

    Antes de realizar cambios en ampconfig > advanced, debería haber visto esto en los registros de AMP:

    Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.

    Después de realizar el cambio en ampconfig > advanced, verá esto en los registros de AMP:

    Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
    Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud 
    is reachable.
    Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized 
    successfully
    Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized 
    successfully
    Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
    Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name = 
    'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query 
    from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
    Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
    fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

    El archivo amp_watchdog.txt como se muestra en el ejemplo anterior se ejecutará cada 10 minutos y se realizará un seguimiento en el registro de AMP. Este archivo forma parte del keepalive de AMP.

    Una consulta normal en el registro de AMP con un mensaje con los tipos de archivo configurados para Reputación de archivos y Análisis de archivos sería similar a la siguiente:

    Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
    'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File 
    Type = text/html
    Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from 
    Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file 
    unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
    533d80d4bec0205553465e997f9c672983346f, upload_action = 1

    Con esta información de registro, el administrador puede correlacionar el ID de mensaje (MID) en los registros de correo.

    Resolución de otros problemas

    Revise los parámetros de red y firewall para asegurarse de que la comunicación SSL está abierta para:

    Puerto Protocolo Entrada/Salida Hostname Descripción
    443 TCP FUERA Según la configuración de Servicios de seguridad > Reputación y análisis de archivos, sección Avanzadas. Acceso a servicios en la nube para el análisis de archivos.
    32137 TCP FUERA Según la configuración de Servicios de seguridad > Reputación y análisis de archivos, sección Avanzadas, sección Avanzadas, parámetro Pool de servidores en la nube. Acceso a servicios en la nube para obtener reputación de archivos.

    Puede probar la conectividad básica de su ESA al servicio en la nube a través de 443 mediante Telnet para asegurarse de que su dispositivo puede alcanzar correctamente los servicios de AMP, la reputación de archivos y el análisis de archivos.

    Nota: las direcciones de Reputación de archivos y Análisis de archivos se configuran en la CLI con ampconfig > advanced o desde la GUI con Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (desplegable).

    Nota: Si utiliza un proxy de túnel entre el ESA y los servidores de Reputación de archivos, es posible que deba activar la opción Relax Certificate Validation for Tunnel Proxy. Esta opción se proporciona para omitir la validación de certificados estándar si el certificado del servidor proxy de túnel no está firmado por una autoridad raíz en la que confíe el ESA. Por ejemplo, seleccione esta opción si utiliza un certificado autofirmado en un servidor proxy de túnel interno de confianza.

    Ejemplo de Reputación de archivos:

    10.0.0-125.local> telnet cloud-sa.amp.sourcefire.com 443

    Trying 23.21.199.158...
    Connected to ec2-23-21-199-158.compute-1.amazonaws.com.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Ejemplo de análisis de archivos:

    10.0.0-125.local> telnet panacea.threatgrid.com 443

    Trying 69.55.5.244...
    Connected to 69.55.5.244.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Si el ESA puede establecer una conexión telnet con el servidor de reputación de archivos y no hay un proxy upstream que descifre la conexión, es posible que sea necesario volver a registrar el dispositivo con Threat Grid. En la CLI de ESA hay un comando oculto:

    10.0.0-125.local> diagnostic

    Choose the operation you want to perform:
    - RAID - Disk Verify Utility.
    - DISK_USAGE - Check Disk Usage.
    - NETWORK - Network Utilities.
    - REPORTING - Reporting Utilities.
    - TRACKING - Tracking Utilities.
    - RELOAD - Reset configuration to the initial manufacturer values.
    - SERVICES - Service Utilities.
    []> ampregister

    AMP registration initiated.

    AsyncOS 15.x o posterior

    Asegúrese de que está seleccionado el servidor de Reputación de archivos correcto. Esto también se puede lograr en la GUI navegando hasta Servicios de seguridad > Reputación y análisis de archivos > Editar configuración global > Configuración avanzada para Reputación de archivos > Servidor de Reputación de archivos.

    Nota: Para obtener información sobre el nombre de host y el puerto para configurar el firewall, consulte la sección Información del firewall en la guía del usuario aquí

    (Cluster example.com)> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [20]>

    Choose a file reputation server:
    1. US Cloud
    2. EU Cloud
    3. APJC Cloud
    4. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Passphrase:

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [Y]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. AUSTRALIA (https://panacea.threatgrid.com.au)
    3. CANADA (https://panacea.threatgrid.ca)
    4. EUROPE (https://panacea.threatgrid.eu)
    5. Private analysis cloud
    [1]>

    Use Existing File Reputation Proxy? [N]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Password :

    Do you want to change proxy detail [N]>

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    25-Feb-2015
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Robert Sherwin
      Cisco Technical Leader
    • Dennis McCabe Jr
      Cisco Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos