Participación de red base web (WBNP) y participación de red base de remitente (SBNP)
Contenido
Introducción
Los productos Cisco Web and Email Content Security pueden devolver los datos de telemetría a Cisco y Talos para aumentar la eficacia de la categorización web en el dispositivo de seguridad web (WSA) y la conexión de la reputación de IP para el dispositivo de seguridad de correo electrónico (ESA).
Los datos de telemetría se proporcionan para el WSA y el ESA sobre una base de "inclusión voluntaria".
Los datos se transmiten a través de paquetes cifrados SSL codificados binarios. Los archivos adjuntos incluidos proporcionan información sobre los datos, el formato específico y las descripciones de los datos que se transmiten. Los datos de participación de red WebBase (WBNP) y participación de red SenderBase (SBNP) no se pueden ver en un formato de archivo o registro directo. Estos datos se transmiten de forma cifrada. En ningún momento estos datos están 'en reposo'.
WSA - Participación de red WebBase
Cisco reconoce la importancia de mantener su privacidad y no recopila ni utiliza información personal o confidencial, como nombres de usuario y frases de paso. Además, los nombres de archivo y los atributos de URL incluidos con el nombre de host se confunden para garantizar la confidencialidad.
Cuando se trata de transacciones HTTPS descifradas, la red SensorBase sólo recibe la dirección IP, la puntuación de reputación web y la categoría URL del nombre del servidor en el certificado.
Para obtener la información completa, consulte la Guía del usuario de WSA para obtener la versión de AsyncOS para la seguridad web que se ejecuta actualmente en su dispositivo. Consulte "La red Cisco SensorBase" en la guía del usuario.
ESA - Participación de red SenderBase
Los clientes que participan en SenderBase Network permiten a Cisco recopilar estadísticas de tráfico de correo electrónico agregadas sobre su organización, lo que aumenta la utilidad del servicio para todos los que lo utilizan. La participación es voluntaria. Cisco solo recopila datos de resumen sobre los atributos de los mensajes e información sobre cómo los diferentes tipos de mensajes fueron manejados por los dispositivos de Cisco. Por ejemplo, Cisco no recopila el cuerpo del mensaje ni el asunto del mensaje. La información personal identificable y la información que identifica a su organización se mantiene confidencial.
Para obtener información completa, pRevise la Guía del usuario de ESA para obtener la versión de AsyncOS para la seguridad de ESA que se está ejecutando actualmente en su dispositivo. Consulte el capítulo "Participación de red SenderBase" de la guía del usuario.
Preguntas frecuentes sobre preocupaciones generales de seguridad
| Pregunta: | ¿Dónde se almacenan los datos recopilados? |
| Respuesta: | La telemetría de dispositivos se almacena en los Data Centers de Cisco basados en EE. UU. |
| Pregunta: | ¿Quién tiene acceso a los datos recopilados y almacenados? |
| Respuesta: | El acceso está limitado al personal de Cisco SBG que analiza/utiliza los datos para crear inteligencia procesable. |
| Pregunta: | ¿Cuál es el tiempo de conservación de los datos recopilados? |
| Respuesta: | No hay ninguna política de caducidad/retención de datos relacionada con la telemetría del dispositivo. Los datos se pueden conservar indefinidamente o se pueden eliminar por diversos motivos, entre los que se incluyen, entre otros, la reducción del muestreo/agregación, la gestión del almacenamiento, la antigüedad, la relevancia para las amenazas actuales o futuras, etc. |
| Pregunta: | ¿Se almacenan los números de serie o las direcciones IP públicas del cliente en la base de datos de categorización de Talos? |
| Respuesta: | No, solo se conservan la URL y las categorías. El paquete WBNP no contiene información de IP de origen. |
Operación
En esta sección se detalla el funcionamiento, el tipo de datos (por descripción) y un ejemplo de datos para mostrar la información que se transmitiría:
- SBNP: tipos de datos (campos) específicos y datos de ejemplo relacionados con Email Security
- WBNP: tipos de datos (campos) específicos y datos de ejemplo relacionados con Web Security
- Operación de detección de amenazas: descripción general de la detección de amenazas desde una perspectiva operativa
Participación de red SenderBase (correo electrónico)
Estadísticas compartidas por dispositivo de correo electrónico
| Ítem | Datos de ejemplo |
| Identificador MGA | MGA 10012 |
| Grupo fecha/hora | Datos de 8 AM a 8:05 AM el 1 de julio de 2005 |
| Números de versión de software | Versión 4.7.0 de MGA |
| Números de versión del conjunto de reglas | Conjunto de reglas antispam 102 |
| Intervalo de actualización de antivirus | Se actualiza cada 10 minutos |
| Tamaño de cuarentena | 500 MB |
| Recuento de mensajes en cuarentena | 50 mensajes actualmente en cuarentena |
| Umbral de puntuación de virus | Enviar mensajes a cuarentena en el nivel de amenaza 3 o superior |
| Suma de las puntuaciones de virus de los mensajes que entran en cuarentena | 120 |
| Recuento de mensajes que entran en cuarentena | 30 (obtiene una puntuación media de 4) |
| Tiempo máximo de cuarentena | 12 horas |
| Conteo de mensajes en cuarentena para prevención de contagio desglosados según el motivo por el que entraron y salieron de la cuarentena, correlacionados con los resultados del antivirus | 50 entraron en cuarentena debido a la regla .exe 30 abandonaron cuarentena debido a liberación manual, y los 30 eran virus positivos |
| Conteo de mensajes en cuarentena para prevención de contagio desglosados según la acción que se tomó al salir de cuarentena | A 10 mensajes se les quitaron archivos adjuntos después de salir de cuarentena |
| Suma de los mensajes de tiempo que se mantuvieron en cuarentena | 20 horas |
Estadísticas compartidas por dirección IP
| Ítem |
Datos de ejemplo |
Participación estándar |
Participación limitada |
| Recuento de mensajes en varias fases del dispositivo |
Visto por el motor antivirus: 100 |
||
| Suma de las puntuaciones y veredictos de Anti-Spam y Anti-Virus |
2000 (suma de las puntuaciones antispam de todos los mensajes vistos) |
||
| Número de mensajes que alcanzan diferentes combinaciones de reglas Anti-Spam y Anti-Virus |
100 mensajes activan las reglas A y B |
||
| Número de conexiones |
20 conexiones SMTP |
||
| Número total de destinatarios y destinatarios no válidos |
50 destinatarios en total |
||
| Nombre(s) de los archivos codificados: (a) |
Se encontró un archivo <one-way-hash>.pif dentro de un archivo adjunto llamado <one-way-hash>.zip. |
Nombre de archivo no oculto |
Nombre de archivo codificado |
| Nombre(s) del(de los) fichero(s) desordenado(s): (b) |
Se encontró un archivo aaaaaaa0.aaa.pif dentro de un archivo aaaaaaa.zip. |
Nombre de archivo no oculto |
Nombre de archivo desordenado |
| Nombre de host de URL (c) |
Se ha encontrado un enlace dentro de un mensaje a www.domain.com |
Hostname de URL no confundido |
Nombre de host URL desordenado |
| Ruta de acceso URL desordenada (d) |
Se encontró un enlace dentro de un mensaje al nombre de host www.domain.com, y tenía la ruta aaa000aa/aa00aaa. |
Ruta de URL no desordenada |
Ruta de URL desordenada |
| Número de mensajes por resultados de análisis de spam y virus |
10 Spam positivos |
| Número de mensajes por diferentes veredictos de Anti-Spam y Anti-Virus |
500 spam, 300 ham |
||
| Recuento de mensajes en rangos de tamaño |
125 en la gama 30K-35K |
||
| Recuento de tipos de extensión diferentes |
300 archivos adjuntos ".exe" |
||
| Correlación de tipos de adjuntos, tipo de archivo verdadero y tipo de contenedor |
100 adjuntos que tienen la extensión ".doc" pero que en realidad son ".exe" |
||
| Correlación de extensión y tipo de archivo verdadero con el tamaño de los datos adjuntos |
30 adjuntos eran ".exe" dentro del rango de 50-55K |
||
| Número de mensajes por resultados de muestreo estocástico |
14 mensajes omitidos muestreo |
||
| Número de mensajes que no han superado la verificación de DMARC |
34 mensajes han fallado en la verificación de DMARC |
Notas:
(a) Los nombres de archivo están codificados en un hash unidireccional (MD5).
(b) Los nombres de archivo se envían de forma ofuscada, con todas las letras ASCII en minúsculas ([a-z]) sustituidas por "a", todas las letras ASCII en mayúsculas ([A-Z]) sustituidas por "A", todos los caracteres UTF-8 multibyte sustituidos por "x" (para proporcionar privacidad a otros conjuntos de caracteres), todos los dígitos ASCII ([0-9]) sustituidos.
(c) Los hostnames de URL apuntan a un servidor web que proporciona contenido, al igual que lo hace una dirección IP. No se incluye información confidencial, como nombres de usuario y contraseñas.
(d) La información de URL incluida con el nombre de host se confunde para garantizar que no se revele ninguna información personal del usuario.
Estadísticas compartidas por cliente SDS
| Ítem |
Datos de ejemplo |
| Grupo fecha/hora |
|
| Versión del cliente |
|
| Número de solicitudes realizadas al cliente |
|
| Número de solicitudes realizadas desde el cliente SDS |
|
| Resultados de tiempo para búsquedas de DNS |
|
| Resultados del tiempo de respuesta del servidor |
|
| Tiempo para establecer la conexión con el servidor |
|
| Número de conexiones establecidas |
|
| Número de conexiones abiertas simultáneas al servidor |
|
| Número de solicitudes de servicio a WBRS |
|
| Número de solicitudes que alcanzaron la caché WBRS local |
|
| Tamaño de la caché WBRS local |
|
| Resultados de tiempo de respuesta de WBRS remoto |
datos de telemetría de AMP SBNP
| Formato |
Datos de ejemplo |
| amp_verdicts' : { ("veredicto", "nombre_espía", "puntuación", "cargado", "nombre_archivo"), |
|
| ("veredicto", "nombre_espía", "puntuación", "cargado", "nombre_archivo"), |
|
| ("veredicto", "nombre_espía", "puntuación", "cargado", "nombre_archivo"), |
|
| ........ |
|
| ("veredicto", "nombre_espía", "puntuación", "cargado", "nombre_archivo"), |
|
| } |
|
| Descripción |
|
| Veredicto: de la consulta de reputación de AMP |
malicioso/limpio/desconocido |
| Spyname: nombre del malware detectado. |
[Trojan-Test] |
| Puntuación: puntuación de reputación asignada por AMP |
[1-100 ] |
| Cargar: se indica que la nube de AMP carga el archivo. |
1 |
| Nombre de archivo: nombre del archivo adjunto |
abcd.pdf |
Participación de red WebBase (Web)
Estadísticas compartidas por solicitud web
| Ítem |
Datos de ejemplo |
Participación estándar |
Participación limitada |
| Versión |
coeus 7.7.0-608 |
||
| Serial Number |
|||
| Factor de muestreo SBNP (volumen) |
|||
| Factor de muestreo SBNP (velocidad) |
1 |
||
| IP y puerto de destino |
segmentos de ruta de URL no desordenados |
segmentos de ruta URL con hash |
|
| Categoría de malware de Anti-Spyware elegido |
Omitido |
||
| Puntuación WBRS |
4.7 |
||
| Veredicto de categoría de malware de McAfee |
|||
| URL de referencia |
segmentos de ruta de URL no desordenados |
segmentos de ruta URL con hash |
|
| ID del tipo de contenido |
|||
| Etiqueta de decisión de ACL |
0 |
||
| Categorización web heredada |
|||
| Categoría web de CIWUC y fuente de decisión |
{'src': 'req', 'cat': '1026'} |
||
| Nombre de aplicación AVC |
Anuncios y seguimiento |
||
| Tipo de aplicación AVC |
Redes publicitarias |
||
| Comportamiento de la aplicación AVC |
No Seguros |
||
| Seguimiento de resultados AVC interno |
[0,1,1,1 ] |
||
| Seguimiento del agente de usuario mediante la estructura de datos indizada |
3 |
Estadísticas avanzadas de malware por solicitud web
| Estadísticas de AMP |
|
| Veredicto: de la consulta de reputación de AMP |
malicioso/limpio/desconocido |
| Spyname: nombre del malware detectado. |
[Trojan-Test] |
| Puntuación: puntuación de reputación asignada por AMP |
[1-100 ] |
| Cargar: se indica que la nube de AMP carga el archivo. |
1 |
| Nombre de archivo: nombre del archivo adjunto |
abcd.pdf |
Fuente de estadísticas de votos del usuario final
| Estadísticas compartidas por usuario final Categorización errónea Comentarios |
|
| Ítem |
Datos de ejemplo |
| ID del motor (numérico) |
0 |
| Código de categorización web heredado |
|
| Fuente de categorización web de CIWUC |
"resp"/"req" |
| Categoría web de CIWUC |
1026 |
Datos de ejemplo facilitados - Participación estándar
# categorized
"http://google.com/": { "wbrs": "5.8",
"fs": {
"src": "req",
"cat": "1020"
},
}
# uncategorized
"http://fake.example.com": { "fs": {
"cat": "-"
},
}
Datos de ejemplo facilitados - Participación limitada
- Solicitud original del cliente: www.gunexams.com/Non-Restricted-FREE-Practice-Exams
- Mensaje registrado (en el servidor de telemetría): http://www.gunexams.com/76bd845388e0
Descodificación WBNP completa
Estadísticas compartidas por dispositivo de Cisco
| Ítem |
Datos de ejemplo |
| Versión |
coeus 7.7.0-608 |
| Número de serie |
0022190B6ED5-XYZ1YZ2 |
| Modelo |
S660 |
| Webroot activado |
1 |
| AVC activado |
1 |
| Sophos activado |
0 |
| Categorización del lado de respuesta habilitada |
1 |
| Motor anti-spyware activado |
default-2001005008 |
| Versión de Anti-Spyware SSE |
default-2001005008 |
| Anti-Spyware Versión de definiciones de Spycat |
default-8640 |
| Versión DAT de la lista de bloqueo de URL de Anti-Spyware |
|
| Versión DAT de suplantación de identidad de URL antispyware |
|
| Cookies antispyware, versión DAT |
|
| Bloqueo de dominio de Anti-Spyware habilitado |
0 |
| Umbral de riesgo de amenazas de antispyware |
90 |
| McAfee habilitado |
0 |
| Versión del motor de McAfee |
|
| Versión DAT de McAfee |
default-5688 |
| Nivel de detalle de WBNP |
2 |
| Versión del motor WBRS |
freebsd6-i386-300036 |
| Versiones de componentes WBRS |
category=v2-1337979188,ip=default-1379460997,keyword=v2-1312487822,prefixcat=v2-1379460670,rule=default-1358979215 |
| Umbral de lista de bloqueo WBRS |
-6 |
| Umbral de lista permitida WBRS |
6 |
| WBRS activado |
1 |
| Movilidad segura habilitada |
0 |
| Monitor de tráfico L4 activado |
0 |
| Versión de la lista de bloqueo del monitor de tráfico L4 |
default-0 |
| Lista de bloqueo del administrador del monitor de tráfico L4 |
|
| Puertos de lista de bloqueo de administración de monitor de tráfico L4 |
|
| Lista de permitidos del monitor de tráfico L4 |
|
| Puertos de lista permitida del monitor de tráfico L4 |
|
| factor de muestreo SBNP |
0.25 |
| Factor de muestreo SBNP (volumen) |
0,1 |
| Versión de SurfControl SDK (heredada) |
default-0 |
| SurfControl Full Database version (legacy) |
default-0 |
| Versión del archivo de acumulación incremental local de SurfControl (heredada) |
default-0 |
| Versión de Firestone Engine |
default-210016 |
| Versión DAT de Firestone |
v2-310003 |
| Versión del motor AVC |
default-110076 |
| Versión DAT de AVC |
default-1377556980 |
| Versión del motor Sophos |
default-1310963572 |
| Versión DAT de Sophos |
default-0 |
| Escaneo adaptable habilitado |
0 |
| Umbral de puntuación de riesgo de escaneo adaptable |
[10, 6, 3] |
| Umbral de factor de carga de escaneo adaptable |
[5, 3, 2] |
| SOCKS activado |
0 |
| Transacciones totales |
| Transacciones totales |
|
| Total de transacciones permitidas |
|
| Total de transacciones de malware detectadas |
|
| Total de transacciones bloqueadas por la directiva de administración |
|
| Total de transacciones bloqueadas por puntuación WBRS |
|
| Total de transacciones de alto riesgo |
|
| Transacciones totales detectadas por el Monitor de tráfico |
|
| Transacciones totales con clientes IPv6 |
|
| Transacciones totales con servidores IPv6 |
|
| Transacciones totales con el proxy SOCKS |
|
| Total de transacciones de usuarios remotos |
|
| Total de transacciones de usuarios locales |
|
| Total de transacciones permitidas con el proxy SOCKS |
|
| Total de transacciones de usuarios locales permitidas mediante el proxy SOCKS |
|
| Total de transacciones de usuarios remotos permitidas mediante el proxy SOCKS |
|
| Total de transacciones bloqueadas mediante el proxy SOCKS |
|
| Total de transacciones de usuarios locales bloqueadas mediante el proxy SOCKS |
|
| Total de transacciones de usuarios remotos bloqueadas mediante el proxy SOCKS |
| Segundos desde el último reinicio |
2843349 |
| Uso de la CPU (%) |
9.9 |
| Utilización de RAM (%) |
55.6 |
| Utilización del disco duro (%) |
57.5 |
| Utilización del ancho de banda (/s) |
15307 |
| Conexiones TCP abiertas |
2721 |
| Transacciones por segundo |
264 |
| Latencia del cliente |
163 |
| Tasa de aciertos de caché |
21 |
| Utilización de CPU del proxy |
17 |
| Uso de CPU WBRS WUC |
2.5 |
| Utilización de CPU de registro |
3,4 |
| Generación de informes de uso de CPU |
3,9 |
| Utilización de CPU Webroot |
0 |
| Utilización de CPU de Sophos |
0 |
| Utilización de CPU de McAfee |
0 |
| resultado de la utilidad vmstat (vmstat -z, vmstat -m) |
|
| Número de políticas de acceso configuradas |
32 |
| Número de categorías web personalizadas configuradas |
32 |
| Proveedor de autenticación |
Básico, NTLMSSP |
| Rangos de autenticación |
Nombre de host del proveedor de autenticación, protocolo y otros elementos de configuración |
Estadísticas compartidas por solicitud web
| Ítem |
Datos de ejemplo |
Participación estándar |
Participación limitada |
| Versión |
coeus 7.7.0-608 |
||
| Serial Number |
|||
| Factor de muestreo SBNP (volumen) |
|||
| Factor de muestreo SBNP (velocidad) |
1 |
||
| IP y puerto de destino |
segmentos de ruta de URL no desordenados |
segmentos de ruta URL con hash |
|
| Categoría de malware de Anti-Spyware elegido |
Omitido |
||
| Puntuación WBRS |
4.7 |
||
| Veredicto de categoría de malware de McAfee |
|||
| URL de referencia |
segmentos de ruta de URL no desordenados |
segmentos de ruta URL con hash |
|
| ID del tipo de contenido |
|||
| Etiqueta de decisión de ACL |
0 |
||
| Categorización web heredada |
|||
| Categoría web de CIWUC y fuente de decisión |
{'src': 'req', 'cat': '1026'} |
||
| Nombre de aplicación AVC |
Anuncios y seguimiento |
||
| Tipo de aplicación AVC |
Redes publicitarias |
||
| Comportamiento de la aplicación AVC |
No Seguros |
||
| Seguimiento de resultados AVC interno |
[0,1,1,1 ] |
||
| Seguimiento del agente de usuario mediante la estructura de datos indizada |
3 |
Estadísticas avanzadas de malware por solicitud web
| Estadísticas de AMP |
|
| Veredicto: de la consulta de reputación de AMP |
malicioso/limpio/desconocido |
| Spyname: nombre del malware detectado. |
[Trojan-Test] |
| Puntuación: puntuación de reputación asignada por AMP |
[1-100 ] |
| Cargar: se indica que la nube de AMP carga el archivo. |
1 |
| Nombre de archivo: nombre del archivo adjunto |
abcd.pdf |
Fuente de estadísticas de votos del usuario final
| Estadísticas compartidas por usuario final Categorización errónea Comentarios |
|
| Ítem |
Datos de ejemplo |
| ID del motor (numérico) |
0 |
| Código de categorización web heredado |
|
| Fuente de categorización web de CIWUC |
"resp"/"req" |
| Categoría web de CIWUC |
1026 |
Contenido de detección de Talos
Centrado en las amenazas
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
21-Aug-2024 |
Enlaces y texto actualizados para alinearlos con los estándares de publicación de Cisco. |
1.0 |
22-Apr-2016 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)