Message D'Alerte De Dépannage - Le Service De Réputation De Fichiers Est Inaccessible

Options de téléchargement

  • PDF     (288.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (110.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (107.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 janvier 2021
ID du document:118785

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit l'alerte attribuée à l'appliance de sécurité de la messagerie Cisco (ESA) avec Advanced Malware Protection (AMP) activé, où le service ne peut pas communiquer via le port 32137 ou 443 pour la réputation des fichiers.

    Erreur « Le service File Reputation n'est pas accessible » reçue pour AMP

    AMP a été publié pour être utilisé sur ESA dans AsyncOS version 8.5.5 pour la sécurité de la messagerie. Avec AMP sous licence et activé sur ESA, les administrateurs reçoivent le message suivant :

    The Warning message is:

    The File Reputation service is not reachable.

    Last message occurred 2 times between Tue Sep 10 14:15:14 2024 and Tue Sep 10 14:16:23 2024.

    Version: 15.5.1-055
    Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
    Timestamp: 10 Sep 2024 14:19:00 -0500

    AsyncOS 14.x ou antérieure

    Le service AMP est activé mais peut ne pas communiquer sur le réseau via le port 32137 pour la réputation des fichiers.

    Dans ce cas, l'administrateur ESA peut choisir de faire communiquer File Reputation via le port 443.

    Pour ce faire, exécutez ampconfig > advanced à partir de l'interface de ligne de commande et assurez-vous que Y est sélectionné pour Do you want to enable SSL communication (port 443) for file reputation ? [N]> :

    (Cluster example.com)> ampconfig

    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [15]>

    Choose a file reputation server:
    1. AMERICAS (cloud-sa.amp.cisco.com)
    2. AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)
    3. EUROPE (cloud-sa.eu.amp.cisco.com)
    4. APJC (cloud-sa.apjc.amp.cisco.com)
    5. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Do you want to enable SSL communication (port 443) for file reputation? [N]> Y

    Proxy server detail:
    Server : 
    Port : 
    User :

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [N]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. EUROPE (https://panacea.threatgrid.eu)
    3. Private analysis cloud
    [1]>

    Si vous utilisez l'interface graphique utilisateur, choisissez Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (liste déroulante) et vérifiez que la case à cocher Use SSL est cochée comme indiqué ici :

    AMP Use SSL

    Validez toutes les modifications apportées à la configuration.

    Enfin, consultez le journal AMP actuel pour connaître la réussite ou l'échec du service et de la connectivité. Vous pouvez accomplir ceci à partir de l'interface de ligne de commande avec l'amplificateur de queue.

    Avant d'apporter des modifications à ampconfig > advanced, vous auriez vu ceci dans les journaux d'AMP :

    Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.

    Une fois la modification apportée à ampconfig > advanced, vous voyez ceci dans les journaux d'AMP :

    Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
    Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud 
    is reachable.
    Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized 
    successfully
    Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized 
    successfully
    Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
    Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name = 
    'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query 
    from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
    Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
    fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

    Le fichier amp_watchdog.txt comme indiqué dans l'exemple précédent doit être exécuté toutes les 10 minutes et être suivi dans le journal AMP. Ce fichier fait partie de l'application keep-alive pour AMP.

    Une requête normale dans le journal AMP sur un message avec le ou les types de fichiers configurés pour File Reputation et File Analysis serait similaire à ceci :

    Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
    'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File 
    Type = text/html
    Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from 
    Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file 
    unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
    533d80d4bec0205553465e997f9c672983346f, upload_action = 1

    Grâce à ces informations de journal, l'administrateur peut mettre en corrélation l'ID de message (MID) dans les journaux de messagerie.

    Dépannage supplémentaire

    Vérifiez les paramètres du pare-feu et du réseau pour vous assurer que la communication SSL est ouverte pour les éléments suivants :

    Port Protocol Entrée/Sortie Nom de l'hôte Description
    443 TCP Dehors Comme configuré dans Services de sécurité > File Reputation and Analysis, section Advanced. Accès aux services cloud pour l'analyse des fichiers.
    32137 TCP Dehors Comme configuré dans Services de sécurité > File Reputation and Analysis, section Advanced, section Advanced, paramètre Pool de serveurs cloud. Accès aux services cloud afin d'obtenir la réputation des fichiers.

    Vous pouvez tester la connectivité de base entre votre ESA et le service cloud sur 443 via Telnet pour vous assurer que votre appliance peut atteindre les services AMP, la réputation des fichiers et l'analyse des fichiers.

    Remarque : les adresses pour File Reputation et File Analysis sont configurées sur l'interface de ligne de commande avec ampconfig > advanced ou depuis l'interface utilisateur graphique avec Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (liste déroulante).

    Remarque : si vous utilisez un proxy de tunnel entre le serveur ESA et le ou les serveurs File Reputation, vous devrez peut-être activer l'option Relâcher la validation de certificat pour le proxy de tunnel. Cette option permet d'ignorer la validation de certificat standard si le certificat du serveur proxy du tunnel n'est pas signé par une autorité racine approuvée par l'ESA. Par exemple, sélectionnez cette option si vous utilisez un certificat auto-signé sur un serveur proxy de tunnel interne approuvé.

    Exemple de réputation de fichiers :

    10.0.0-125.local> telnet cloud-sa.amp.sourcefire.com 443

    Trying 23.21.199.158...
    Connected to ec2-23-21-199-158.compute-1.amazonaws.com.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Exemple d'analyse de fichier :

    10.0.0-125.local> telnet panacea.threatgrid.com 443

    Trying 69.55.5.244...
    Connected to 69.55.5.244.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Si l'ESA peut établir une connexion Telnet avec le serveur de réputation de fichiers et qu'aucun proxy en amont ne déchiffre la connexion, il se peut que l'appliance doive être réenregistrée auprès de Threat Grid. Sur l'interface de ligne de commande ESA se trouve une commande masquée :

    10.0.0-125.local> diagnostic

    Choose the operation you want to perform:
    - RAID - Disk Verify Utility.
    - DISK_USAGE - Check Disk Usage.
    - NETWORK - Network Utilities.
    - REPORTING - Reporting Utilities.
    - TRACKING - Tracking Utilities.
    - RELOAD - Reset configuration to the initial manufacturer values.
    - SERVICES - Service Utilities.
    []> ampregister

    AMP registration initiated.

    AsyncOS 15.x ou version ultérieure

    Assurez-vous que le serveur File Reputation approprié est sélectionné. Pour ce faire, vous pouvez également utiliser l'interface graphique utilisateur en accédant à Services de sécurité > File Reputation and Analysis > Modifier les paramètres globaux > Paramètres avancés de File Reputation > Serveur de réputation de fichiers.

    Remarque : pour obtenir des informations sur le nom d'hôte et le port permettant de configurer votre pare-feu, consultez la section Informations sur le pare-feu dans le guide de l'utilisateur ici

    (Cluster example.com)> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [20]>

    Choose a file reputation server:
    1. US Cloud
    2. EU Cloud
    3. APJC Cloud
    4. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Passphrase:

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [Y]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. AUSTRALIA (https://panacea.threatgrid.com.au)
    3. CANADA (https://panacea.threatgrid.ca)
    4. EUROPE (https://panacea.threatgrid.eu)
    5. Private analysis cloud
    [1]>

    Use Existing File Reputation Proxy? [N]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Password :

    Do you want to change proxy detail [N]>

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    25-Feb-2015
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Robert Sherwin
      Responsable technique Cisco
    • Dennis McCabe Jr
      Responsable technique Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits