Configurer un hôte de réputation de fichiers statique ou un pool de serveurs cloud de réputation de fichiers secondaire sur ESA

Introduction

Ce document décrit comment configurer un appareil de sécurité de la messagerie Cisco (ESA) pour communiquer et utiliser un hôte statique ou un pool de serveurs cloud de réputation alternatif pour la réputation des fichiers avec l'utilisation d'Advanced Malware Protection (AMP).

Informations générales

Une requête de réputation de fichiers est la première des deux couches d'AMP sur l'ESA. La réputation de fichiers capture une empreinte de chaque fichier lorsqu'il traverse l'ESA et l'envoie au réseau d'intelligence cloud d'AMP pour un verdict de réputation. Grâce à ces résultats, les administrateurs ESA peuvent automatiquement bloquer les fichiers malveillants et appliquer des stratégies définies par l'administrateur.  Le service cloud File Reputation est hébergé sur Amazon Web Services (AWS). Lorsque vous effectuez des requêtes DNS sur le ou les noms d'hôte décrits dans ce document, vous verrez « .amazonaws.com » répertorié.

La deuxième couche d'AMP sur l'ESA est l'analyse de fichiers.  Ce point n'est pas traité dans le présent document.

La communication SSL pour le trafic File Reputation utilise le port 32137 par défaut. Au moment de la configuration du service, le port 443 peut être utilisé comme alternative. Consultez le Guide de l'utilisateur ESA, section « Filtrage par réputation de fichiers et analyse de fichiers » pour plus de détails. Les administrateurs ESA et réseau souhaiteront peut-être vérifier la connectivité au pool pour les adresses IP, l'emplacement IP et également la communication de port (32137 contre 443) avant de poursuivre la configuration.

Pool de serveurs cloud de réputation AMERICAS (hérité) par défaut (cloud-sa.amp.sourcefire.com)

Une fois que la réputation des fichiers est concédée sous licence, activée et configurée sur un ESA, elle est définie par défaut pour ce pool de serveurs cloud de réputation :

• AMÉRIQUES (hérité) (cloud-sa.amp.sourcefire.com)

Le nom d'hôte « cloud-sa.amp.sourcefire.com » est un enregistrement de nom canonique DNS (CNAME). Un CNAME est un type d'enregistrement de ressource dans DNS utilisé pour spécifier qu'un nom de domaine est un alias pour un autre domaine, qui est le domaine « canonique ». Les noms d'hôte associés dans le pool lié à ce CNAME peuvent être similaires à :

• ec2-107-22-180-78.compute-1.amazonaws.com (107.22.180.78)
• ec2-54-225-142-100.compute-1.amazonaws.com (54 225 142 100)
• ec2-23-21-208-4.compute-1.amazonaws.com (23.21.208.4)
• ec2-54-83-195-228.compute-1.amazonaws.com (54.83.195.228)

Deux autres choix de serveurs de réputation de fichiers peuvent être sélectionnés :

• AMÉRIQUES (cloud-sa.amp.cisco.com)
• EUROPE (cloud-sa.eu.amp.cisco.com)

Ces deux serveurs sont traités dans la section « Static File Reputation server hostnames (.cisco.com) » de ce document.

Vous pouvez vérifier les hôtes qui sont associés au CNAME AMERICAS cloud-sa-amp.sourcefire.com depuis votre réseau à tout moment lorsque vous exécutez cette requête dig ou nslookup :

╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228

╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4

Remarque : ces hôtes ne sont PAS statiques et il est recommandé de NE PAS restreindre le trafic de réputation de fichiers ESA basé uniquement sur ces hôtes. Les résultats de votre requête peuvent varier, car les hôtes du pool changent sans préavis.

Vous pouvez vérifier l'emplacement géographique IP à partir de cet outil tiers :

• http://geoiplookup.net/ip/107.22.180.78

• http://geoiplookup.net/ip/54.225.208.214

• http://geoiplookup.net/ip/23.21.208.4

• http://geoiplookup.net/ip/54.83.195.228

Noms d'hôte du serveur de réputation de fichiers statiques (.cisco.com)

En 2016, Cisco a commencé à fournir des noms d'hôte basés sur « .cisco.com » pour le service File Reputation d'AMP. Des noms d'hôte et des adresses IP statiques sont disponibles pour File Reputation à partir de ce qui suit :

• cloud-sa.amp.cisco.com (Amérique du Nord - États-Unis)
• cloud-sa.eu.amp.cisco.com (Europe - République d'Irlande)
• cloud-sa.apjc.amp.cisco.com (Asie-Pacifique - Japon)

Vous pouvez vérifier les hôtes et les adresses IP associées à partir de votre réseau et exécuter une requête dig ou nslookup :

Amérique du Nord (États-Unis) :

╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50

Europe (République d'Irlande) :

╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82

Asie-Pacifique (Japon) :

 ╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127

Vous pouvez vérifier l'emplacement géographique IP à partir de cet outil tiers :

• http://geoiplookup.net/ip/52.21.117.50

• http://geoiplookup.net/ip/52.30.124.82

• http://geoiplookup.net/ip/52.69.39.127

Pour le moment, il n'est pas prévu de déclasser les noms d'hôte ".sourcefire.com".

Pool de serveurs cloud de réputation Alternative EUROPE (cloud-sa.eu.amp.sourcefire.com)

Pour les clients basés dans l'Union européenne (UE) qui doivent envoyer un trafic spécifique vers des serveurs et des data centers basés dans l'UE uniquement, les administrateurs peuvent configurer l'ESA pour pointer vers l'hôte statique de l'UE ou vers le pool de serveurs cloud de réputation de l'UE :

• cloud-sa-eu.amp.cisco.com
• cloud-sa.eu.amp.sourcefire.com

Comme le nom d'hôte par défaut « cloud-sa.amp.sourcefire.com », le nom d'hôte « cloud-sa.eu.amp.sourcefire.com » est également un nom de domaine (CNAME). Les noms d'hôte associés dans le pool lié à ce CNAME peuvent être similaires à :

• ec2-54-217-245-97.eu-west-1.compute.amazonaws.com (54 217 245 97)
• ec2-54-247-186-153.eu-west-1.compute.amazonaws.com (54 247 186 153)
• ec2-176-34-122-245.eu-west-1.compute.amazonaws.com (176.34.122.245) 

Vous pouvez vérifier les hôtes associés au EUROPEAN cloud-sa.eu.amp.sourcefire.com CNAME depuis votre réseau et exécuter une requête dig ou nslookup ::

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245

╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153

Remarque : ces hôtes ne sont PAS statiques et il est recommandé de NE PAS limiter le trafic de réputation de fichiers ESA uniquement à ces hôtes. Les résultats de votre requête peuvent varier, car les hôtes du pool changent sans préavis.

Vous pouvez vérifier l'emplacement géographique IP à partir de cet outil tiers :

• http://geoiplookup.net/ip/176.34.122.245

• http://geoiplookup.net/ip/54.247.186.153

• http://geoiplookup.net/ip/54.217.245.97

Configurer un hôte de réputation de fichiers statique ou un pool de serveurs cloud de réputation de fichiers secondaire sur ESA

La réputation des fichiers peut être configurée à partir de l'interface utilisateur graphique ou de l'interface de ligne de commande sur ESA. Les étapes de configuration répertoriées dans ce document présentent la configuration de l'interface de ligne de commande. Toutefois, les mêmes étapes et informations peuvent être appliquées via l'interface utilisateur graphique (Services de sécurité > File Reputation and Analysis > Modifier les paramètres globaux... > Paramètres avancés de File Reputation).

AsyncOS 10.x et versions ultérieures

Les nouvelles fonctionnalités d'AsyncOS 10.x permettent à l'ESA d'être configuré pour utiliser un cloud de réputation privé (serveur de réputation de fichiers sur site) ou un serveur de réputation de fichiers basé sur le cloud. Avec cette modification, la configuration AMP ne demande plus le nom d'hôte à l'étape « Enter reputation cloud server pool ». Vous devez choisir de configurer le serveur de réputation de fichiers supplémentaire en tant que cloud de réputation privé et fournir la clé publique pour ce nom d'hôte.

Pour les versions 10.0.x et ultérieures, lorsque vous configurez un autre serveur de réputation AMP, vous devrez peut-être entrer une clé publique associée à ce nom d'hôte.

Tous les serveurs de réputation AMP utilisent la même clé publique :

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----

Cet exemple vous aidera à configurer le serveur de réputation de fichiers alternatif sur cloud-sa.eu.amp.sourcefirce.com:

my11esa.local > ampconfig
 
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
 
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[15]>
 
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
 
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
 
Do you want to input new public key? [N]> y
 
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>

Validez toutes les modifications de configuration.

AsyncOS 9.7.x et versions antérieures

Cet exemple sur AsyncOS 9.7.2-065 pour la sécurité de la messagerie électronique vous aidera à configurer le pool de serveurs cloud de réputation alternatif sur cloud-sa.eu.amp.sourcefirce.com:

my97esa.local> ampconfig
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
 
Enter cloud query timeout?
[15]>
 
Enter cloud domain?
[a.immunet.com]>
 
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>

Validez toutes les modifications de configuration.

Serveur de réputation de fichiers sur site (cloud privé FireAMP)

L'utilisation d'un serveur de réputation de fichiers sur site, également appelé cloud privé FireAMP, a été introduite et commence avec AsyncOS 10.x pour la sécurité de la messagerie.

Si vous avez déployé une appliance de cloud privé virtuel Cisco AMP sur votre réseau, vous pouvez désormais interroger la réputation des fichiers des pièces jointes des messages sans les envoyer au cloud de réputation publique. Pour configurer votre appliance afin qu'elle utilise un serveur de réputation de fichiers sur site, reportez-vous au chapitre « Filtrage par réputation de fichiers et analyse de fichiers » du Guide de l'utilisateur ESA ou à l'aide en ligne.

  

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Afin de voir le trafic de File Reputation passer à l'hôte statique configuré ou au pool de serveurs cloud de réputation, effectuez une capture de paquets à partir de l'ESA avec le filtre spécifié pour capturer le trafic du port 32137 ou du port 443.

Pour cet exemple, utilisez le pool de serveurs cloud cloud-sa.eu.amp.sourcefire.com et la communication SSL avec le port 443...

Il est consigné dans les journaux AMP de l'ESA :

Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2

Le suivi de paquets ESA en cours a capturé cette conversation :

1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848

Vous voyez que le trafic communique par le port 443. Depuis notre ESA (my11esa.local), il communique avec le hostname ec2-176-34-122-245.eu-west-1.compute.amazonaws.com. Ce nom d'hôte est lié à l'adresse IP 176.34.122.245 :

╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245

L'adresse IP 176.34.122.245 est un membre du pool du CNAME pour cloud-sa.eu.amp.sourcefire.com:

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245

Dans cet exemple, la communication a été dirigée et acceptée par le pool de serveurs cloud de réputation configuré, cloud-sa.eu.amp.sourcefire.com.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Utiliser Telnet pour tester la connectivité

Afin de vérifier la connectivité au niveau du port vers le cloud File Reputation, utilisez le nom d'hôte du pool de serveurs cloud de réputation configuré et testez avec telnet vers le port 32137 ou le port 443, tel que configuré.

my97esa.local> telnet cloud-sa.amp.sourcefire.com 443

Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Vérification de la connectivité avec l'UE, réussie sur le port 443 :

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443

Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Vérification de la connectivité vers l'UE, impossible de se connecter via le port 32137 :

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137

Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host

Vous pouvez tester telnet sur l'adresse IP directe ou les noms d'hôte derrière le CNAME pour le pool de serveurs cloud de réputation avec la même méthode de test telnet, en utilisant le port 32137 ou le port 443. Si vous ne parvenez pas à établir une connexion Telnet avec le nom d'hôte et le port, vous devrez peut-être vérifier la connectivité réseau et les paramètres de pare-feu externes à l'ESA.

La vérification de la réussite de Telnet vers un serveur de réputation de fichiers sur site s'effectue selon le même processus que celui illustré.

Entrée de la clé publique

Lorsque vous entrez la clé publique sur un ESA exécutant AsyncOS 10.x et versions ultérieures, assurez-vous que vous avez réussi à coller ou à charger la clé publique. Toute erreur dans la clé publique s'affiche dans le résultat de la configuration :

Do you want to input new public key? [N]> y

Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key

Si vous recevez une erreur, recommencez la configuration. Pour les erreurs persistantes, contactez l'assistance Cisco.

Consulter les journaux AMP

Lorsque vous affichez le journal AMP sur l'ESA, assurez-vous que vous voyez « file reputation query from Cloud » spécifié au moment de la requête de réputation de fichiers :

Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Si vous voyez ceci, la requête a extrait la réponse du cache ESA local et NON du pool de serveurs cloud de réputation configuré :

Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Erreurs et alertes supplémentaires

Un administrateur ESA peut recevoir cette notification. Si vous le recevez, reprenez le processus de configuration et de vérification.

The Warning message is:

amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.

Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400

Informations connexes

• Adresses de serveur requises pour le bon fonctionnement d'AMP
• Assistance et documentation techniques - Cisco Systems