アラートメッセージのトラブルシューティング：ファイルレピュテーションサービスに到達できない

はじめに

このドキュメントでは、高度なマルウェア防御(AMP)が有効になっているCisco Eメールセキュリティアプライアンス(ESA)に起因するアラートについて説明します。このアラートでは、サービスがファイルレピュテーションのポート32137または443経由で通信できません。

AMPに関する「The File Reputation service is not reachable」エラーの受信

AMPは、AsyncOSバージョン8.5.5のEメールセキュリティ用にESAで使用するためにリリースされました。ESAでAMPのライセンスを取得して有効にすると、管理者は次のメッセージを受信します。

The Warning message is:

The File Reputation service is not reachable.

Last message occurred 2 times between Tue Sep 10 14:15:14 2024 and Tue Sep 10 14:16:23 2024.

Version: 15.5.1-055
Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
Timestamp: 10 Sep 2024 14:19:00 -0500

AsyncOS 14.x以前

AMPサービスは有効になっていますが、ファイルレピュテーションのポート32137経由でネットワーク上で通信できない可能性があります。

この場合、ESA管理者は、ファイルレピュテーションがポート443経由で通信するように選択できます。

そのためには、CLIからampconfig > advancedを実行し、Do you want to enable SSL communication (port 443) for file reputation?[N]>:

(Cluster example.com)> ampconfig

Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CACHESETTINGS - Configure the cache settings for AMP.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[15]>

Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.cisco.com)
2. AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)
3. EUROPE (cloud-sa.eu.amp.cisco.com)
4. APJC (cloud-sa.apjc.amp.cisco.com)
5. Private reputation cloud
[1]>

Do you want use the recommended analysis threshold from cloud service? [Y]>

Enter heartbeat interval?
[15]>

Do you want to enable SSL communication (port 443) for file reputation? [N]> Y

Proxy server detail:
Server : 
Port : 
User :

Do you want to change proxy detail [N]>

Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [N]>

Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. EUROPE (https://panacea.threatgrid.eu)
3. Private analysis cloud
[1]>

GUIを使用する場合、Security Services > File Reputation and Analysis > Edit Global Settings > Advanced（ドロップダウン）の順に選択し、次に示すようにUse SSLチェックボックスにチェックマークが入っていることを確認します。

設定に対するすべての変更をコミットします。

最後に、現在のAMPログを確認して、サービスと接続の成功または失敗を確認します。これは、CLIからtail ampを使用して実行できます。

ampconfig > advancedを変更する前は、AMPログに次のように記録されていました。

Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.

ampconfig > advancedに変更を加えると、AMPログに次のように記録されます。

Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud 
is reachable.
Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized 
successfully
Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized 
successfully
Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name = 
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query 
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

前の例に示したamp_watchdog.txtファイルは10分ごとに実行し、AMPログで追跡します。このファイルはAMPのキープアライブの一部です。

ファイルレピュテーションとファイル分析に設定されたファイルタイプを含むメッセージに対するAMPログの通常のクエリは次のようになります。

Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File 
Type = text/html
Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from 
Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file 
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

このログ情報を使用して、管理者はメールログ内のメッセージID(MID)を関連付けることができます。

その他のトラブルシューティング

ファイアウォールとネットワークの設定を見直して、SSL通信が次に対して開かれていることを確認します。

ESAからクラウドサービスへの基本的な接続をTelnet経由で443を使用してテストし、アプライアンスがAMPサービス、ファイルレピュテーション、およびファイル分析に正常に到達できることを確認できます。

注：ファイルレピュテーションとファイル分析のアドレスは、CLIでampconfig > advancedを使用して設定するか、GUIでSecurity Services > File Reputation and Analysis > Edit Global Settings > Advanced（ドロップダウン）を使用して設定します。

注:ESAとファイルレピュテーションサーバの間でトンネルプロキシを使用する場合、トンネルプロキシの証明書検証をリラックスするオプションを有効にする必要がある場合があります。 このオプションは、トンネルプロキシサーバの証明書がESAによって信頼されるルート認証局によって署名されていない場合に、標準的な証明書の検証をスキップするために提供されます。たとえば、信頼された内部トンネルプロキシサーバーで自己署名証明書を使用する場合は、このオプションを選択します。

ファイルレピュテーションの例

10.0.0-125.local> telnet cloud-sa.amp.sourcefire.com 443

Trying 23.21.199.158...
Connected to ec2-23-21-199-158.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

ファイル分析の例：

10.0.0-125.local> telnet panacea.threatgrid.com 443

Trying 69.55.5.244...
Connected to 69.55.5.244.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

ESAがファイルレピュテーションサーバにTelnet接続でき、接続を復号化するアップストリームプロキシがない場合、アプライアンスをThreat Gridに再登録する必要があります。ESA CLIには隠しコマンドがあります。

10.0.0-125.local> diagnostic

Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> ampregister

AMP registration initiated.

AsyncOS 15.x以降

正しいファイルレピュテーションサーバが選択されていることを確認します。この操作はGUIでも、Security Services > File Reputation and Analysis > Edit Global Settings > Advanced Settings for File Reputation > File Reputation Serverの順に移動して実行できます。

注：ファイアウォールを設定するためのホスト名およびポート情報については、ここにあるユーザガイドの「ファイアウォール情報」セクションを参照してください。 

(Cluster example.com)> ampconfig

File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CACHESETTINGS - Configure the cache settings for AMP.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[20]>

Choose a file reputation server:
1. US Cloud
2. EU Cloud
3. APJC Cloud
4. Private reputation cloud
[1]>

Do you want use the recommended analysis threshold from cloud service? [Y]>

Enter heartbeat interval?
[15]>

Proxy server detail:
Server : 
Port : 
User : 
Passphrase:

Do you want to change proxy detail [N]>

Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [Y]>

Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. AUSTRALIA (https://panacea.threatgrid.com.au)
3. CANADA (https://panacea.threatgrid.ca)
4. EUROPE (https://panacea.threatgrid.eu)
5. Private analysis cloud
[1]>

Use Existing File Reputation Proxy? [N]>

Proxy server detail:
Server : 
Port : 
User : 
Password :

Do you want to change proxy detail [N]>

File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet

関連情報

• ESA の Advanced Malware Protection（AMP）のテスト
• ESAユーザガイド
• ESA FAQ：メッセージID(MID)、インジェクション接続ID(ICID)、配信接続ID(DCID)とは何ですか。
• ESA でメール ログを検索して表示するにはどうしますか。
• テクニカル サポートとドキュメント - Cisco Systems