La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come configurare e risolvere i problemi di integrazione di Cisco SD-WAN Advanced Malware Protection (AMP) su un router Cisco IOS® XE SD-WAN.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
L'integrazione SD-WAN AMP è parte integrante della soluzione SD-WAN Edge Security che mira alla visibilità e alla protezione degli utenti di una filiale da malware.
È costituito dai seguenti componenti:
Questi componenti interagiscono per fornire le seguenti funzionalità chiave per AMP:
Processo dell'hash SHA256 utilizzato per confrontare il file con il server cloud Advanced Malware Protection (AMP) e accedere alle relative informazioni di intelligence sulle minacce. La risposta può essere Pulita, Sconosciuta o Dannosa. Se la risposta è Sconosciuto e l'analisi del file è configurata, il file viene automaticamente inviato per un'ulteriore analisi.
File sconosciuto inviato al cloud ThreatGrid (TG) per la detonazione in un ambiente sandbox. Durante la detonazione, la sandbox cattura gli artefatti e osserva il comportamento del file, quindi assegna al file un punteggio complessivo. In base alle osservazioni e al punteggio, Threat Grid può modificare la risposta alla minaccia in Clean (Pulita) o Malicious (Dannosa). Le scoperte di ThreatGrid vengono segnalate al cloud AMP in modo che tutti gli utenti di AMP siano protetti dal malware appena scoperto.
Mantiene informazioni sui file anche dopo che sono stati scaricati, possiamo segnalare i file che sono stati ritenuti dannosi dopo che sono stati scaricati. L'eliminazione dei file potrebbe cambiare in base alle nuove informazioni sulle minacce acquisite dal cloud AMP. La riclassificazione genera notifiche retroattive automatiche.
Attualmente, SD-WAN con integrazione AMP supporta l'ispezione dei file per i protocolli:
Nota: il trasferimento di file tramite HTTPS è supportato solo con il proxy SSL/TLS.
Nota: l'analisi dei file può essere eseguita solo su un file completo e non su un file suddiviso in contenuto parziale. Ad esempio, quando un client HTTP richiede un contenuto parziale con l'intestazione Range e recupera il contenuto parziale HTTP/1.1 206. In questo caso, poiché l'hash del file parziale è significativamente diverso dal file completo, Snort ignora l'ispezione del file per il contenuto parziale.
L'immagine mostra il flusso di alto livello per l'integrazione SD-WAN AMP quando un file deve essere inviato a ThreatGrid per l'analisi.
Per il flusso mostrato:
Nota: è necessario caricare un'immagine virtuale di protezione in vManage prima di configurare la funzionalità AMP. Per ulteriori informazioni, passare a Security Virtual Image (Immagine virtuale di sicurezza).
Nota: per informazioni sui requisiti di rete necessari per il corretto funzionamento della connettività AMP/ThreatGrid, vedere questo documento: Indirizzi IP/nomi host obbligatori AMP/TG
Per abilitare AMP, passare a Configurazione -> Protezione -> Aggiungi criterio di protezione. Selezionare Accesso diretto a Internet e selezionare Procedi come mostrato nell'immagine.
Configurare le funzioni di sicurezza in base alle esigenze fino a raggiungere la funzione Advanced Malware Protection. Aggiungere un nuovo criterio di protezione avanzata da malware.
Specificare un nome per il criterio. Selezionare una delle aree cloud AMP globali e abilitare l'analisi dei file. Per l'analisi dei file con ThreatGrid usato, scegliere una delle aree del cloud TG e immettere la chiave API ThreatGrid, che può essere ottenuta dal portale ThreatGrid in Account ThreatGrid.
Al termine, salvare il criterio e aggiungerlo al modello di dispositivo in Modelli aggiuntivi -> Criteri di protezione come mostrato nell'immagine.
Configurare il dispositivo con il modello aggiornato.
Una volta eseguito correttamente il push del modello di dispositivo al dispositivo periferico, la configurazione AMP può essere verificata dalla CLI di Edge Router:
branch1-edge1#show sdwan running-config | section utd
app-hosting appid utd
app-resource package-profile cloud-low
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
!
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.0.2.2 netmask 255.255.255.252
!
start
utd multi-tenancy
utd engine standard multi-tenancy
threat-inspection profile IPS_Policy_copy
threat detection
policy balanced
logging level notice
!
utd global
file-reputation
cloud-server cloud-isr-asn.amp.cisco.com
est-server cloud-isr-est.amp.cisco.com
!
file-analysis
cloud-server isr.api.threatgrid.com
apikey 0 <redacted>
!
!
file-analysis profile AMP-Policy-fa-profile
file-types
ms-exe
new-office
rtf
mdb
mscab
msole2
wri
xlw
flv
swf
!
alert level critical
!
file-reputation profile AMP-Policy-fr-profile
alert level critical
!
file-inspection profile AMP-Policy-fi-profile
analysis profile AMP-Policy-fa-profile
reputation profile AMP-Policy-fr-profile
!
policy utd-policy-vrf-1
all-interfaces
file-inspection profile AMP-Policy-fi-profile
vrf 1
threat-inspection profile IPS_Policy_copy
exit
policy utd-policy-vrf-global
all-interfaces
file-inspection profile AMP-Policy-fi-profile
vrf global
exit
no shutdown
L'integrazione SD-WAN AMP coinvolge molti componenti come descritto. Quando si tratta di risolvere un problema, è fondamentale essere in grado di stabilire alcuni punti di demarcazione chiave per limitare il problema ai componenti del flusso di funzionalità:
Il presente articolo si concentra sul dispositivo periferico (2) con i vari strumenti del piano dati disponibili per aiutare a risolvere i problemi con l'integrazione AMP sul router perimetrale WAN.
Utilizzare questo flusso di lavoro di alto livello per risolvere rapidamente i problemi relativi ai vari componenti coinvolti nell'integrazione AMP con un obiettivo chiave per stabilire il punto di demarcazione del problema tra il dispositivo periferico e il cloud AMP/TG.
Queste procedure di risoluzione dei problemi sono illustrate in dettaglio in questo documento.
Come illustrato nella configurazione della policy AMP, la policy AMP è piuttosto semplice senza numerose opzioni di configurazione. Di seguito sono riportate alcune considerazioni comuni da tenere in considerazione:
Per eseguire la verifica, accedere al database neo4j e visualizzare il contenuto della tabella vmanagedbAPIKEYNODE.
neo4j@neo4j> match (n:vmanagedbAPIKEYNODE) return n; +------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | n | +------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | (:vmanagedbAPIKEYNODE {_rid: "0:ApiKeyNode:1621022413389:153", keyServerHostName: "isr.api.threatgrid.com", feature: "Amp", apiKey: "$CRYPT_CLUSTER$IbGLEMGlYMNRy1s9P+WcfA==$dozo7tmRP1+HrvEnXQr4x1VxSViYkKwQ4HBAlhXWOtQ=", deviceID: "CSR-07B6865F-7FE7-BA0D-7240-1BDA16328455"}) | +------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ |
Utilizzare i comandi show utd per verificare lo stato complessivo del contenitore UTD:
show utd engine standard config
show utd engine standard status
show platform hardware qfp active feature utd config
show platform hardware qfp active feature utd stats
show app-hosting detail appid utd
show sdwan virtual-application utd
Verificare che l'ispezione dei file sia abilitata:
branch1-edge1#show sdwan utd dataplane config
utd-dp config context 0
context-flag 25427969
engine Standard
state enabled
sn-redirect fail-open
redirect-type divert
threat-inspection not-enabled
defense-mode not-enabled
domain-filtering not-enabled
url-filtering not-enabled
all-interface enabled
file-inspection enabled
utd-dp config context 1
context-flag 25559041
engine Standard
state enabled
sn-redirect fail-open
redirect-type divert
threat-inspection enabled
defense-mode IDS
domain-filtering not-enabled
url-filtering not-enabled
all-interface enabled
file-inspection enabled
Verificare che la connessione al cloud AMP sia attiva:
branch1-edge1#show utd engine standard status file-reputation
File Reputation Status:
Process: Running
Last known status: 2021-06-17 16:14:20.357884-0400 [info] AMP module version 1.12.4.999
branch1-edge1#show sdwan utd file reputation
utd-oper-data utd-file-reputation-status version 1.12.4.999
utd-oper-data utd-file-reputation-status status utd-file-repu-stat-connected
utd-oper-data utd-file-reputation-status message "Connected to AMP Cloud!"
Verificare che la connessione a ThreatGrid sia attiva:
branch1-edge1#show utd engine standard status file-analysis
File Analysis Status:
Process: Running
Last Upload Status: No upload since process init
branch1-edge1#show sdwan utd file analysis
utd-oper-data utd-file-analysis-status status tg-client-stat-up
utd-oper-data utd-file-analysis-status backoff-interval 0
utd-oper-data utd-file-analysis-status message "TG Process Up"
Se il processo ThreatGrid non mostra lo stato Attivo, la reimpostazione della chiave API è di aiuto. Per attivare una nuova chiave API, passare a Manutenzione -> Sicurezza:
Nota: la reimpostazione di una chiave API attiva un push di modello al dispositivo.
Da vManage, le attività relative ai file AMP possono essere monitorate dal dashboard di protezione o dalla Vista dispositivi.
Dashboard di protezione:
Visualizzazione dispositivo:
Verifica statistiche reputazione file:
branch1-edge1#show utd engine standard statistics file-reputation
File Reputation Statistics
--------------------------
File Reputation Clean Count: 1
File Reputation Malicious Count: 4
File Reputation Unknown Count: 44
File Reputation Requests Error: 0
File Reputation File Block: 4
File Reputation File Log: 45
Controllare le statistiche di analisi file:
branch1-edge1#show utd engine standard statistics file-analysis
File Analysis Statistics
------------------------
File Analysis Request Received: 2
File Analysis Success Submissions: 2
File Analysis File Not Interesting: 0
File Analysis File Whitelisted: 0
File Analysis File Not Supported: 0
File Analysis Limit Exceeding: 0
File Analysis Failed Submissions: 0
File Analysis System Errors: 0
Nota: è possibile ottenere ulteriori statistiche interne con il comando show utd engine standard statistics file-reputation vrf global internal.
Il traffico del dataplane soggetto all'ispezione dei file in base ai criteri AMP configurati viene deviato al contenitore UTD per l'elaborazione. Questa condizione può essere confermata con l'uso di una traccia del pacchetto. Se il traffico non viene deviato correttamente al contenitore, non può verificarsi alcuna delle successive operazioni di ispezione dei file.
Il contenitore UTD dispone di una cache locale di hash SHA256, tipo di file, disposizione e azione basata sui risultati di ricerche precedenti nel cloud AMP. Il contenitore richiede una disposizione dal cloud AMP solo se l'hash del file non è presente nella cache locale. La cache locale ha un TTL di 2 ore prima dell'eliminazione.
branch1-edge1#show utd engine standard cache file-inspection
Total number of cache entries: 6
File Name| SHA256| File Type| Disposition| action|
-----------------------------------------------------------------------------------------------------
sand.png 78A908C1DDAC169A 69 1 1
putty.exe 13D8429D500E20BE 21 1 2
makemalware.exe AEBA9F39FE18D27E 21 3 2
putty_unknown.exe 833A609CA00665EB 21 1 2
document1.pdf 5CBF56E3C3B07259 285 1 1
eicar.com.txt 275A021BBFB6489E 273 3 2
Codice smaltimento AMP:
0 NONE
1 UNKNOWN
2 CLEAN
3 MALICIOUS
Codice azione AMP:
0 UNKNOWN
1 ALLOW
2 DROP
Per ottenere l'hash SHA256 completo per i file, che è molto importante per risolvere uno specifico problema di verdetto dei file, usare l'opzione detail del comando:
branch1-edge1#show utd engine standard cache file-inspection detail
SHA256: 78A908C1DDAC169A6E147A781E3B1B7EC637797E88B0F42A6A5B59810B8E7EE5
amp verdict: unknown
amp action: 1
amp disposition: 1
reputation score: 0
retrospective disposition: 0
amp malware name:
file verdict: 1
TG status: 0
file name: sand.png
filetype: 69
create_ts: 2021-06-21 16:58:1624309104
sig_state: 3
-----------------------------------------------------------------------------------------
SHA256: 13D8429D500E20BE8588F250449F70A6E8F8F34DF9423B2897FD33BBB8712C5F
amp verdict: unknown
amp action: 2
amp disposition: 1
reputation score: 0
retrospective disposition: 0
amp malware name:
file verdict: 1
TG status: 7
file name: putty.exe
filetype: 21
create_ts: 2021-06-21 16:58:1624309107
sig_state: 3
-----------------------------------------------------------------------------------------
SHA256: AEBA9F39FE18D27E40D0629D80BA3B2EEEA003FB5B33A376C611BB4D8FFD03A6
amp verdict: malicious
amp action: 2
amp disposition: 3
reputation score: 95
retrospective disposition: 0
amp malware name: W32.AEBA9F39FE-95.SBX.TG
file verdict: 1
TG status: 0
file name: makemalware.exe
filetype: 21
create_ts: 2021-06-21 16:58:1624309101
sig_state: 3
<SNIP>
Per eliminare le voci della cache locale del motore UTD, utilizzare il comando:
clear utd engine standard cache file-inspection
I debug utd possono essere abilitati per la risoluzione dei problemi AMP:
debug utd engine standard file-reputation level info
debug utd engine standard file-analysis level info
debug utd engine standard climgr level info
L'output del comando debug può essere recuperato direttamente dalla shell di sistema all'indirizzo /tmp/rp/trace/vman_utd_R0-0.bin oppure è possibile copiare il file di trace nel file system del router eseguendo la procedura seguente:
branch1-edge1#app-hosting move appid utd log to bootflash:
Successfully moved tracelog to bootflash:/iox_utd_R0-0_R0-0.5113_0.20210622110241.bin.gz
branch1-edge1#
Per visualizzare il registro di traccia UTD:
branch1-edge1#more /compressed bootflash:/iox_utd_R0-0_R0-0.5113_0.20210622110241.bin.gz
<snip>
2021-06-22 10:35:04.265:(#1):SPP-FILE-INSPECTION File signature query: sig_state = 3
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION start_time : 1624372489, current_time : 1624372504,Difference is : 15
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION amp_cache_node_exists:: Entry
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION Signature not found in cache
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION file_type_id = 21
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION Write to cbuffer
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION Sent signature lookup query to Beaker
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION File Name = /putty_unknown.exe, file_name = /putty_unknown.exe
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION amp_extract_filename :: Extracted filename 'putty_unknown.exe' of length 17 from path: /putty_unknown.exe
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION amp_cache_add:: Entry
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION amp_cache_allocate:: Entry
2021-06-22 10:35:04.266:(#1):SPP-FILE-INSPECTION Return FILE_VERDICT_PENDING
<SNIP>
Nota: nella versione 20.6.1 e successive, il modo per recuperare e visualizzare i registri di traccia utd è in linea con il flusso di lavoro di traccia standard con il comando show logging process vman module utd ....
Per verificare la comunicazione tra il dispositivo periferico e il cloud AMP/TG, è possibile utilizzare EPC sul router perimetrale WAN per confermare la comunicazione bidirezionale tra i servizi cloud:
branch1-edge1#show monitor capture amp parameter
monitor capture amp interface GigabitEthernet1 BOTH
monitor capture amp access-list amp-cloud
monitor capture amp buffer size 10
monitor capture amp limit pps 1000
Una volta confermata, la periferica perimetrale acquisisce correttamente il file e lo invia ad AMP/TG per l'analisi, ma il verdetto non è corretto, richiede la risoluzione dei problemi AMP o il cloud Threatgrid, che esula dall'ambito di questo documento. Le informazioni sono importanti quando vengono presentate le questioni relative all'integrazione:
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
18-Jan-2022 |
Versione iniziale |