Configureer de Static File Reputation Host of een Alternate File Reputation Cloud Server Pool op ESA
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document beschrijft hoe u een Cisco Email Security Applicatie (ESA) kunt configureren om te communiceren en een statische host of een alternatieve reputatie en cloudserverpool voor File Reputation te gebruiken met het gebruik van Advanced Malware Protection (AMP).
Achtergrondinformatie
Een File Reputation query is de eerste van twee lagen voor AMP op de ESA. File Reputation legt een vingerafdruk van elk bestand vast terwijl het doorgaat de ESA en stuurt het naar AMP's cloud-based intelligence network voor een reputatie-uitspraak. Gezien deze resultaten kunnen ESA-beheerders automatisch kwaadaardige bestanden blokkeren en door de beheerder gedefinieerde beleidsregels toepassen. De bestandsreputatie-cloudservice wordt gehost op Amazon Web Services (AWS). Wanneer u DNS-vragen uitvoert op basis van de hostnaam(en) die in dit document is/zijn beschreven, ziet u ".amazonaws.com" in de lijst.
De tweede laag AMP op de ESA is File Analysis. Dat wordt in dit document niet behandeld.
SSL-communicatie voor File Reputation traffic maakt standaard gebruik van poort 32137. Ten tijde van de configuratie van de service kan poort 443 als alternatief worden gebruikt. Raadpleeg de ESA User Guide, "File Reputation Filtering and File Analysis" sectie voor meer informatie. ESA- en netwerkbeheerders kunnen de connectiviteit met de pool voor IP-adres(sen), IP-locatie en ook poortcommunicatie (32137 vs. 443) willen verifiëren voordat zij overgaan tot de configuratie.
Default AmericAS(Verouderde) reputatie cloud server pool (cloud-sa.amp.sourcefire.com)
Zodra File Reputation is gelicentieerd, ingeschakeld en geconfigureerd op een ESA, zal het standaard worden ingesteld voor deze reputatie cloud server pool:
- AMERIKAS(Verouderde producten) (cloud-sa.amp.sourcefire.com)
De hostnaam "cloud-sa.amp.sourcefire.com" is een DNS Canonical Name record (CNAME). Een CNAME is een type resource record in DNS gebruikt om te specificeren dat een domeinnaam een alias is voor een ander domein, dat het "canonieke" domein is. Geassocieerde hostnamen in het zwembad verbonden aan deze CNAME kan vergelijkbaar zijn met:
- ec2-107-22-180-78.compute-1.amazonaws.com (107.22.180.78)
- ec2-54-225-142-100.compute-1.amazonaws.com (54.225.142.100)
- ec2-23-21-208-4.compute-1.amazonaws.com (23.21.2008)
- ec2-54-83-195-228.compute-1.amazonaws.com (54.83.195.228)
Er zijn twee extra opties voor bestandsreputatieservers die kunnen worden geselecteerd:
- AMERIKA (cloud-sa.amp.cisco.com)
- EUROPA (cloud-sa.eu.amp.cisco.com)
Beide servers worden behandeld in de sectie "Static File Reputation server hostnames (.cisco.com)" van dit document.
U kunt de hosts die zijn gekoppeld aan de Americas cloud-sa-amp.sourcefire.com CNAME vanaf uw netwerk altijd verifiëren wanneer u deze dig of nslookup query uitvoert:
╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228
╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4
Opmerking: deze hosts zijn NIET statisch en het wordt aanbevolen om het verkeer via ESA File Reputation NIET te beperken op basis van alleen deze hosts. De resultaten van uw zoekopdracht kunnen variëren, aangezien de hosts in de pool zonder kennisgeving zullen veranderen.
U kunt de geografische locatie van het IP-adres controleren met behulp van dit hulpprogramma van derden:
Hostnamen voor statische bestandsreputatie server (.cisco.com)
Cisco is in 2016 begonnen hostnamen op ".cisco.com" te leveren voor de File Reputation-service voor AMP. Er zijn statische hostnamen en IP-adressen beschikbaar voor File Reputation vanuit deze:
- cloud-sa.amp.cisco.com (Noord-Amerika - Verenigde Staten)
- cloud-sa.eu.amp.cisco.com (Europa - Republiek Ierland)
- cloud-sa.apjc.amp.cisco.com (Zuidoost-Azië - Japan)
U kunt de hosts en de bijbehorende IP-adressen van uw netwerk verifiëren en een opgraving- of lookup-query uitvoeren:
Noord-Amerika (VS):
╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50
Europa (Republiek Ierland):
╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82
Zuidoost-Azië (Japan)
╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127
U kunt de geografische locatie van het IP-adres controleren met behulp van dit hulpprogramma van derden:
Op dit moment zijn er geen plannen om de ".sourcefire.com" hostnamen uit bedrijf te nemen.
Alternative Europe reputation cloud server pool (cloud-sa.eu.amp.sourcefire.com)
Voor in de Europese Unie (EU) gevestigde klanten die specifiek verkeer naar alleen in de EU gevestigde servers en datacentra moeten verzenden, kunnen beheerders de ESA configureren om te verwijzen naar de statische EU-host of naar de EU-reputatie-cloudserverpool:
- cloud-sa-eu.amp.cisco.com
- cloud-sa.eu.amp.sourcefire.com
Net als de standaard hostnaam "cloud-sa.amp.sourcefire.com", is de hostnaam "cloud-sa.eu.amp.sourcefire.com" ook een CNAME. Geassocieerde hostnames in het zwembad verbonden aan deze CNAME kan vergelijkbaar zijn met:
- ec2-54-217-245-97.eu-west-1.compute.amazonaws.com (54 217 245 97)
- ec2-54-247-186-153.eu-west-1.compute.amazonaws.com (54 247 186 153).
- ec2-176-34-122-245.eu-west-1.compute.amazonaws.com (176.34.12.245)
U kunt de hosts die zijn gekoppeld aan de EUROPEAN cloud-sa.eu.amp.sourcefire.com CNAME vanaf uw netwerk verifiëren en een dig of opzoekquery uitvoeren::
╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245
╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153
Opmerking: deze hosts zijn NIET statisch en het wordt aanbevolen om het ESR File Reputation-verkeer NIET te beperken op basis van alleen deze hosts. De resultaten van uw zoekopdracht kunnen variëren, aangezien de hosts in de pool zonder kennisgeving zullen veranderen.
U kunt de geografische locatie van het IP-adres controleren met behulp van dit hulpprogramma van derden:
Configureer de Static File Reputation Host of een Alternate File Reputation Cloud Server Pool op ESA
Bestandsreputatie kan worden geconfigureerd via de GUI of CLI op de ESA. De configuratiestappen die in dit document worden vermeld, zullen de CLI-configuratie demonstreren. Dezelfde stappen en informatie kunnen echter ook worden toegepast via de GUI (Security Services > File Reputation and Analysis > Edit Global Settings... > Advanced Settings for File Reputation).
AsyncOS 10.x en nieuwer
Nieuwe functies van AsyncOS 10.x maken het mogelijk om de ESA te configureren om een cloud voor de persoonlijke reputatie (On-Premises File Reputation Server) of een cloudserver voor de reputatie van bestanden te gebruiken. Met deze verandering, AMP configuratie niet meer vraagt voor de hostname met de "Enter reputation cloud server pool" stap. U moet ervoor kiezen om de extra bestandsreputatieserver in te stellen als een privé-reputatieschade en de openbare sleutel voor die hostname te leveren.
Voor 10.0.x en nieuwer, wanneer u een alternatieve AMP reputatieserver configureren, kan het nodig zijn om een openbare sleutel in te voeren die gekoppeld is aan die hostnaam.
Alle AMP-reputatieservers gebruiken dezelfde openbare sleutel:
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
In dit voorbeeld kunt u de alternatieve server voor de reputatie van bestanden instellen op cloud-sa.eu.amp.sourcefirce.com:
my11esa.local > ampconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced
Enter cloud query timeout?
[15]>
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
Do you want to input new public key? [N]> y
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
Do you want use the recommended reputation threshold from cloud service? [Y]>
Enter heartbeat interval?
[15]>
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
Do you want to change proxy detail [N]>
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>
Breng eventuele configuratiewijzigingen aan.
AsyncOS 9.7.x en hoger
Dit voorbeeld op AsyncOS 9.7.2-065 voor Email Security helpt u de alternatieve reputatie cloud server pool naar cloud-sa.eu.amp.sourcefirce.com:
my97esa.local> ampconfig
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
Enter cloud query timeout?
[15]>
Enter cloud domain?
[a.immunet.com]>
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
Do you want use the recommended reputation threshold from cloud service? [Y]>
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
Enter heartbeat interval?
[15]>
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
Proxy server detail:
Server :
Port :
User :
Do you want to change proxy detail [N]>
Breng eventuele configuratiewijzigingen aan.
On-Premises File Reputation Server (FireAMP Private Cloud)
Het gebruik van een server voor bestandsreputatie op locatie, ook bekend als FireAMP Private Cloud, werd geïntroduceerd die begint met AsyncOS 10.x voor Email Security.
Als u een Cisco AMP Virtual Private Cloud-applicatie op uw netwerk hebt geïmplementeerd, kunt u nu de bestandsreputatie van berichtbijlagen bevragen zonder ze naar de public reputation cloud te verzenden. Raadpleeg het hoofdstuk "Bestandsreputatie filtering en bestandsanalyse" in de ESA-gebruikershandleiding of de online Help voor het configureren van het apparaat voor gebruik van een server voor de bestandsnaam in het gebouw.
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Om te zien dat het verkeer van de Reputatie van het Bestand aan de gevormde statische gastheer of de serverpool van de reputatieschade overgaat, voer een pakketopname van ESA met gespecificeerde filter uit om haven 32137 of haven 443 verkeer op te nemen.
Gebruik bijvoorbeeld de cloud-sa.eu.amp.sourcefire.com cloud server pool en SSL communicatie met het gebruik van poort 443...
Dit wordt ingelogd bij de ESA in de AMP-logboeken:
Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2
Het ESA pakketspoor dat loopt nam dit gesprek op:
1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848
Je ziet dat het verkeer communiceert via poort 443. Vanuit onze ESA (my11esa.local), communiceert het met de hostname ec2-176-34-122-245.eu-west-1.compute.amazonaws.com. Deze hostnaam is gekoppeld aan het IP-adres 176.34.122.245:
╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245
Het IP-adres van 176.34.122.245 is een poollid van de CNAME voor cloud-sa.eu.amp.sourcefire.com:
╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245
Voor dit voorbeeld werd communicatie gestuurd en geaccepteerd door de geconfigureerde reputation cloud server pool, cloud-sa.eu.amp.sourcefire.com.
Problemen oplossen
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
Gebruik Telnet om de connectiviteit te testen
Om poortniveau connectiviteit met de File Reputation cloud te verifiëren, gebruikt u de hostnaam voor de geconfigureerde reputatie cloud server pool en test u met telnet naar poort 32137, of poort 443, zoals geconfigureerd.
my97esa.local> telnet cloud-sa.amp.sourcefire.com 443
Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
Controleer de connectiviteit met de EU, met succes via poort 443:
my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443
Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
Controleer de connectiviteit met de EU, die geen verbinding via poort 32137 kan maken:
my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137
Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host
U kunt met behulp van poort 32137 of poort 443 telnet testen met de directe IP of hostnames achter de CNAME voor de reputatie cloud server pool met dezelfde telnet testmethode. Als u niet in staat bent om met succes te telnet naar de hostnaam en poort, moet u mogelijk de netwerkverbinding en firewall instellingen extern aan de ESA controleren.
Verificatie van telnet-succes naar een server voor bestandsreputatie op locatie zal worden uitgevoerd door hetzelfde proces als wordt getoond.
Invoer van de openbare sleutel
Wanneer u de openbare sleutel invoert op een ESA waarop AsyncOS 10.x en nieuwer worden uitgevoerd, zorg er dan voor dat u succesvol bent geweest bij het plakken of laden van de openbare sleutel. Om het even welke fouten in de openbare sleutel zullen aan de configuratieoutput worden getoond:
Do you want to input new public key? [N]> y
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key
Als u een fout ontvangt, probeer dan de configuratie opnieuw. Neem voor blijvende fouten contact op met Cisco ondersteuning.
AMP-logbestanden bekijken
Wanneer u de AMP log op de ESA bekijkt, zorg er dan voor dat u "file reputation query from Cloud" ziet gespecificeerd op het moment van bestandsreputatie query:
Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2
Als u dit ziet, haalde de vraag de reactie van lokaal ESA geheim voorgeheugen en NIET van de gevormde pool van de de servergroep van de reputatieschakelaar:
Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2
Aanvullende fouten en meldingen
Een ESA-beheerder kan deze kennisgeving ontvangen. Als dit wordt ontvangen, stap dan opnieuw door het configuratie- en verificatieproces.
The Warning message is:
amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.
Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
07-Apr-2017 |
Eerste vrijgave |
Bijgedragen door Cisco-engineers
- Robert SherwinCisco TAC Engineer
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)