Risoluzione Dei Problemi Relativi Al Messaggio Di Avviso: Il Servizio Di Reputazione Dei File Non È Raggiungibile

Opzioni per il download

  • PDF     (288.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (113.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (111.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 gennaio 2021
ID documento:118785

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive l'avviso attribuito a Cisco Email Security Appliance (ESA) con Advanced Malware Protection (AMP) abilitato, dove il servizio non è in grado di comunicare sulla porta 32137 o 443 per la reputazione dei file.

    Errore ricevuto per AMP: "Servizio di reputazione file non raggiungibile"

    AMP è stato rilasciato per l'uso sull'ESA in AsyncOS versione 8.5.5 for Email Security. Se AMP è concesso in licenza e abilitato sull'ESA, gli amministratori ricevono questo messaggio:

    The Warning message is:

    The File Reputation service is not reachable.

    Last message occurred 2 times between Tue Sep 10 14:15:14 2024 and Tue Sep 10 14:16:23 2024.

    Version: 15.5.1-055
    Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
    Timestamp: 10 Sep 2024 14:19:00 -0500

    AsyncOS 14.x o versioni precedenti

    Il servizio AMP è abilitato ma potrebbe non comunicare in rete tramite la porta 32137 per la reputazione dei file.

    In questo caso, l'amministratore ESA può scegliere di far comunicare la reputazione del file sulla porta 443.

    A tale scopo, eseguire ampconfig > advanced dalla CLI e assicurarsi che Y sia selezionato in Do you want to enable SSL communication (port 443) for file reputation? (Abilitare la comunicazione SSL (porta 443) per la reputazione del file?) [N]>:

    (Cluster example.com)> ampconfig

    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [15]>

    Choose a file reputation server:
    1. AMERICAS (cloud-sa.amp.cisco.com)
    2. AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)
    3. EUROPE (cloud-sa.eu.amp.cisco.com)
    4. APJC (cloud-sa.apjc.amp.cisco.com)
    5. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Do you want to enable SSL communication (port 443) for file reputation? [N]> Y

    Proxy server detail:
    Server : 
    Port : 
    User :

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [N]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. EUROPE (https://panacea.threatgrid.eu)
    3. Private analysis cloud
    [1]>

    Se si utilizza la GUI, scegliere Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (a discesa) e assicurarsi che la casella di controllo Use SSL sia selezionata come mostrato di seguito:

    AMP Use SSL

    Eseguire il commit su qualsiasi modifica apportata alla configurazione.

    Infine, esaminare il registro AMP corrente per verificare se il servizio e la connettività hanno avuto esito positivo o negativo. A tale scopo, è possibile dalla CLI con tail amp.

    Prima di apportare modifiche ad ampconfig > advanced, nei log di AMP viene visualizzato quanto segue:

    Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.
    Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud 
    is unreachable.

    Dopo aver apportato la modifica ad ampconfig > advanced, nei log di AMP viene visualizzato quanto segue:

    Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
    Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud 
    is reachable.
    Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized 
    successfully
    Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized 
    successfully
    Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
    Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name = 
    'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query 
    from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
    Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
    fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

    Il file amp_watchdog.txt, come illustrato nell'esempio precedente, viene eseguito ogni 10 minuti e registrato nel registro AMP. Questo file fa parte del servizio keep-alive per AMP.

    Una normale query nel registro AMP relativa a un messaggio con i tipi di file configurati per Reputazione file e Analisi file sarebbe simile alla seguente:

    Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
    'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File 
    Type = text/html
    Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from 
    Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file 
    unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
    533d80d4bec0205553465e997f9c672983346f, upload_action = 1

    Con queste informazioni di log, l'amministratore può correlare l'ID messaggio (MID) nei log di posta.

    Risoluzione dei problemi aggiuntivi

    Verificare le impostazioni del firewall e della rete per assicurarsi che la comunicazione SSL venga aperta per i seguenti elementi:

    Port Protocollo Entrata/uscita Nome host Descrizione
    443 TCP Uscita Come configurato in Servizi di sicurezza > Reputazione e analisi file, sezione Avanzate. Accesso ai servizi cloud per l'analisi dei file.
    32137 TCP Uscita Come configurato in Servizi di sicurezza > Reputazione e analisi file, sezione Avanzate, sezione Avanzate, parametro Cloud Server Pool. Accesso ai servizi cloud per ottenere la reputazione dei file.

    È possibile testare la connettività di base dall'ESA al servizio cloud su 443 tramite Telnet per assicurarsi che l'appliance possa raggiungere correttamente i servizi AMP, la reputazione dei file e l'analisi dei file.

    Nota: gli indirizzi per la reputazione e l'analisi dei file sono configurati sulla CLI con ampconfig > advanced o dalla GUI con Security Services > File Reputation and Analysis > Edit Global Settings > Advanced (a discesa).

    Nota: se si utilizza un proxy tunnel tra l'ESA e i server File Reputation, potrebbe essere necessario abilitare l'opzione per rilasciare la convalida del certificato per il proxy tunnel. Questa opzione consente di ignorare la convalida dei certificati standard se il certificato del server proxy del tunnel non è firmato da un'autorità radice considerata attendibile dall'ESA. Ad esempio, selezionare questa opzione se si utilizza un certificato autofirmato su un server proxy tunnel interno attendibile.

    Esempio di reputazione del file:

    10.0.0-125.local> telnet cloud-sa.amp.sourcefire.com 443

    Trying 23.21.199.158...
    Connected to ec2-23-21-199-158.compute-1.amazonaws.com.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Esempio di analisi dei file:

    10.0.0-125.local> telnet panacea.threatgrid.com 443

    Trying 69.55.5.244...
    Connected to 69.55.5.244.
    Escape character is '^]'.
    ^]
    telnet> quit
    Connection closed.

    Se l'ESA è in grado di collegarsi in modalità telnet al file reputation server e non è disponibile un proxy a monte che decifri la connessione, potrebbe essere necessario registrare nuovamente l'appliance con Threat Grid. Sulla CLI dell'ESA è presente un comando nascosto:

    10.0.0-125.local> diagnostic

    Choose the operation you want to perform:
    - RAID - Disk Verify Utility.
    - DISK_USAGE - Check Disk Usage.
    - NETWORK - Network Utilities.
    - REPORTING - Reporting Utilities.
    - TRACKING - Tracking Utilities.
    - RELOAD - Reset configuration to the initial manufacturer values.
    - SERVICES - Service Utilities.
    []> ampregister

    AMP registration initiated.

    AsyncOS 15.x o versioni successive

    Assicurarsi che sia selezionato il server di reputazione file corretto. Per eseguire questa operazione nella GUI, selezionare Security Services > File Reputation and Analysis > Edit Global Settings > Advanced Settings for File Reputation > File Reputation Server (Servizi di sicurezza > Reputazione e analisi file > Modifica impostazioni globali > Impostazioni avanzate per la reputazione dei file > Server di reputazione file).

    Nota: per informazioni sul nome host e sulla porta per configurare il firewall, consultare la sezione Informazioni sul firewall nella guida per l'utente qui

    (Cluster example.com)> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
    - CACHESETTINGS - Configure the cache settings for AMP.
    - CLUSTERSET - Set how advanced malware protection is configured in a cluster.
    - CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
    []> advanced

    Enter cloud query timeout?
    [20]>

    Choose a file reputation server:
    1. US Cloud
    2. EU Cloud
    3. APJC Cloud
    4. Private reputation cloud
    [1]>

    Do you want use the recommended analysis threshold from cloud service? [Y]>

    Enter heartbeat interval?
    [15]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Passphrase:

    Do you want to change proxy detail [N]>

    Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [Y]>

    Choose a file analysis server:
    1. AMERICAS (https://panacea.threatgrid.com)
    2. AUSTRALIA (https://panacea.threatgrid.com.au)
    3. CANADA (https://panacea.threatgrid.ca)
    4. EUROPE (https://panacea.threatgrid.eu)
    5. Private analysis cloud
    [1]>

    Use Existing File Reputation Proxy? [N]>

    Proxy server detail:
    Server : 
    Port : 
    User : 
    Password :

    Do you want to change proxy detail [N]>

    File Reputation: Enabled
    File Analysis: Enabled
    Appliance Group ID/Name: Not part of any group yet

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    25-Feb-2015
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Robert Sherwin
      Cisco Technical Leader
    • Dennis McCabe Jr
      Cisco Technical Leader

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti