Web Base Network Participation (WBNP) en Sender Base Network Participation (SBNP)
Inhoud
Inleiding
Het web en de e-mail content security producten van Cisco kunnen telemetriegegevens terugsturen naar Cisco en Talos om de efficiëntie van webcategorisatie in de Web Security Applicatie (WSA) en de verbindingsreputatie van IP voor de e-mail security applicatie (ESA) te verhogen.
De telemetriegegevens worden verstrekt voor de WSA en de ESA op "opt-in"-basis.
De gegevens worden verzonden via binaire gecodeerde SSL-versleutelde pakketten. De meegeleverde bijlagen bieden inzicht in de gegevens, specifieke opmaak en beschrijvingen voor de gegevens die worden verzonden. WebBase Network Participation (WBNP)- en SenderBase Network Participation (SBNP)-gegevens kunnen niet worden weergegeven in een direct log- of bestandsformaat. Deze gegevens worden in versleutelde vorm verzonden. Deze gegevens worden op geen enkel moment 'gerustgesteld'.
WSA - WebBase Network Participation
Cisco erkent het belang van het behoud van uw privacy en verzamelt of gebruikt geen persoonlijke of vertrouwelijke informatie zoals gebruikersnamen en wachtwoorden. Bovendien, de bestandsnamen en URL attributen inbegrepen met de hostname worden verduisterd om vertrouwelijkheid te verzekeren.
Wanneer het gaat om gedecrypteerde HTTPS-transacties, ontvangt het SensorBase-netwerk alleen het IP-adres, de webreputatiescore en de URL-categorie van de servernaam in het certificaat.
Raadpleeg de gebruikershandleiding van de Async OS voor webbeveiliging die op dit moment op uw apparaat wordt uitgevoerd voor volledige informatie. Raadpleeg "Het Cisco SensorBase-netwerk" in de gebruikershandleiding.
ESA - SenderBase Network Participation
Klanten die deelnemen aan het SenderBase Network, kunnen Cisco geaggregeerde e-mailverkeersstatistieken over hun organisatie verzamelen, waardoor het hulpprogramma van de service wordt verhoogd voor iedereen die deze gebruikt. Deelname is vrijwillig. Cisco verzamelt alleen overzichtsgegevens over berichtkenmerken en informatie over hoe verschillende soorten berichten door Cisco-toestellen werden verwerkt. Cisco verzamelt bijvoorbeeld de berichttekst of het berichtonderwerp niet. Persoonlijk identificeerbare informatie en informatie die uw organisatie identificeert wordt vertrouwelijk gehouden.
Voor volledige informatie, pBekijk de ESA Gebruikershandleiding voor de versie van AsyncOS voor ESA Security die momenteel op uw apparaat wordt uitgevoerd. Raadpleeg het hoofdstuk "SenderBase Network Participation" in de gebruikershandleiding.
Algemene beveiligingsproblemen Veelgestelde vragen
| Vraag: | Waar worden de verzamelde gegevens opgeslagen? |
| Antwoord: | Applicatietelemetrie wordt opgeslagen in Cisco in de VS gebaseerde datacenters. |
| Vraag: | Wie heeft toegang tot de verzamelde en opgeslagen gegevens? |
| Antwoord: | De toegang is beperkt tot Cisco SBG-personeel dat de gegevens analyseert/gebruikt om bruikbare intelligentie te maken. |
| Vraag: | Wat is de bewaartijd van de verzamelde gegevens? |
| Antwoord: | Er is geen beleid voor gegevensbewaring/verloopdatums met betrekking tot telemetrie van het apparaat. Gegevens kunnen voor onbepaalde tijd worden bewaard of kunnen om verschillende redenen worden verwijderd, waaronder maar niet beperkt tot downsampling/aggregatie, opslagbeheer, leeftijd, relevantie voor huidige/toekomstige bedreigingen, enzovoort. |
| Vraag: | Worden serienummer(s) van de klant of openbaar IP-adres(sen) opgeslagen in de Talos-categorisatiedatabank? |
| Antwoord: | Nee, alleen de URL en de categorieën blijven behouden. Het WBNP-pakket bevat geen IP-broninformatie. |
Bediening
In dit deel worden de werking, het soort gegevens (per beschrijving) en een voorbeeldgegevens beschreven om aan te tonen welke informatie zou worden doorgegeven:
- SBNP - Specifieke gegevenstypen (velden) en voorbeeldgegevens met betrekking tot e-mailbeveiliging
- WBNP - Specifieke gegevenstypen (velden) en voorbeeldgegevens met betrekking tot Web Security
- Threat Detection Operation - Algemeen overzicht van de detectie van bedreigingen vanuit operationeel perspectief
Deelname aan SenderBase-netwerk (e-mail)
Statistieken gedeeld per e-mailapplicatie
| Item | Voorbeeldgegevens |
| MGA-id | MGA 10012 |
| tijdstempel | Gegevens van 8 tot 8.05 uur op 1 juli 2005 |
| Software, versienummers | MGA versie 4.7.0 |
| Versienummers van regelsets | anti-spam regelset 102 |
| Interval voor bijwerken antivirus | Wordt elke 10 minuten bijgewerkt |
| Quarantainegrootte | 500 MB |
| Quarantaine aantal berichten | 50 berichten in quarantaine |
| Drempel virusscore | Verzend berichten naar quarantaine op bedreigingsniveau 3 of hoger |
| Som van virusscores voor berichten die in quarantaine worden geplaatst | 120 |
| Aantal berichten dat in quarantaine wordt geplaatst | 30 (een gemiddelde score van 4) |
| Maximale quarantainetijd | 12 uur |
| Aantal uitbraakquarantaineberichten uitgesplitst naar de reden waarom ze de quarantaine zijn binnengegaan en verlaten, gecorreleerd aan het resultaat voor anti-virussen | 50 in quarantaine als gevolg van .exe regel 30 verlaten quarantaine als gevolg van handmatige release, en alle 30 waren virus positief |
| Aantal quarantaineberichten bij uitbraak uitgesplitst naar de maatregelen die zijn genomen bij het verlaten van de quarantaine | 10 berichten hadden bijlagen gestript na het verlaten van quarantaine |
| Aantal berichten in quarantaine | 20 uur |
Statistieken gedeeld per IP-adres
| Item |
Voorbeeldgegevens |
Standaarddeelname |
Beperkte deelname |
| Berichttelling in verschillende fasen in het apparaat |
Gezien door Anti-Virus motor: 100 |
||
| Som van Anti-Spam en Anti-Virus scores en vonnissen |
2.000 (som van scores tegen spam voor alle waargenomen berichten) |
||
| Aantal berichten dat verschillende antispam- en antivirusregelcombinaties raakt |
100 berichten raken regels A en B |
||
| Aantal verbindingen |
20 SMTP-verbindingen |
||
| Aantal totale en ongeldige ontvangers |
50 totale begunstigden |
||
| Hashed Filename(s): a) |
Een bestand <one-way-hash>.pif is gevonden in een archiefbijlage met de naam <one-way-hash>.zip. |
Niet-gefuseerde bestandsnaam |
Gehakte bestandsnaam |
| Verduisterde bestandsnaam: b) |
Er is een bestand aaaaaaa0.aaa.pif gevonden in het bestand aaaaaaa.zip. |
Niet-gefuseerde bestandsnaam |
Verduisterde bestandsnaam |
| URL Hostname (c) |
In een bericht werd een link gevonden naar www.domain.com |
Ongecompliceerde URL-hostnaam |
Verduisterde URL Hostname |
| Verbroken URL-pad (d) |
Er is een link gevonden in een bericht naar hostname www.domain.com, en had pad aaa000aa/aa00aaa. |
Ongecompliceerd URL-pad |
Verduisterd URL-pad |
| Aantal berichten per spam- en virusscanresultaten |
10 Spam positief |
| Aantal berichten door verschillende vonnissen tegen antispam en antivirus |
500 spam, 300 ham |
||
| Aantal berichten in grootteklasse |
125-inch 30K-35K-bereik |
||
| Aantal verschillende extensie types |
300 ".exe" bijlagen |
||
| Correlatie van bijlagetypen, type waar bestand en type container |
100 bijlagen met de extensie ".doc" maar die eigenlijk ".exe" zijn |
||
| Correlatie van extensie en waar bestandstype met bijlagegrootte |
30 bijlagen waren ".exe" binnen het 50-55K bereik |
||
| Aantal berichten per stochastische bemonsteringsresultaten |
14 berichten overgeslagen bemonstering |
||
| Aantal berichten dat DMARC-verificatie heeft mislukt |
34 berichten hebben DMARC-verificatie mislukt |
Opmerkingen:
a) Bestandsnamen worden gecodeerd in een 1-way hash (MD5).
(b) Bestandsnamen worden verzonden in een verduisterde vorm, waarbij alle kleine letters van ASCII ([a-z]) worden vervangen door "a", alle hoofdletters van ASCII ([A-Z]) worden vervangen door "A", alle multi-byte UTF-8 tekens worden vervangen door "x" (om privacy te bieden voor andere tekensets), alle ASCII-cijfers ([0-9]) worden vervangen.
c) URL-hostnamen verwijzen naar een webserver die inhoud levert, net zoals een IP-adres. Er is geen vertrouwelijke informatie, zoals gebruikersnamen en wachtwoorden, opgenomen.
d) URL-informatie die bij de hostnaam is inbegrepen, wordt verduisterd om te voorkomen dat persoonlijke informatie van de gebruiker wordt onthuld.
Statistieken gedeeld per SDS-client
| Item |
Voorbeeldgegevens |
| Tijdstempel |
|
| Clientversie |
|
| Aantal aan de Klant gerichte verzoeken |
|
| Aantal verzoeken van de SDS-client |
|
| Tijdresultaten voor DNS Lookups |
|
| Resultaten responstijd server |
|
| Tijd om verbinding met de server te maken |
|
| Aantal vastgestelde verbindingen |
|
| Aantal gelijktijdige open verbindingen met de server |
|
| Aantal serviceaanvragen voor WBRS |
|
| Aantal verzoeken die het lokale WBRS-cachegeheugen raken |
|
| Grootte van lokaal WBRS-cache |
|
| Responstijd resultaten van externe WBRS |
AMP SBNP-telemetriegegevens
| Notatie |
Voorbeeldgegevens |
| amp_verdicts': { ("verdict", "spyname", "score", "geüpload", "file_name"), |
|
| ("verdict", "spyname", "score", "geüpload", "file_name"), |
|
| ("verdict", "spyname", "score", "geüpload", "file_name"), |
|
| .... |
|
| ("verdict", "spyname", "score", "geüpload", "file_name"), |
|
| } |
|
| Beschrijving |
|
| Oordeel - van de AMP reputation query |
kwaadaardig/schoon/onbekend |
| Spyname - Naam van de gedetecteerde malware |
[Trojan-Test] |
| Score - AMP toegewezen reputatiescore |
[1-100 ] |
| Upload - AMP cloud aangegeven om het bestand te uploaden |
1 |
| Bestandsnaam - naam van de bestandsbijlage |
abcd.pdf |
WebBase-netwerkdeelname (Web)
Statistieken gedeeld per webverzoek
| Item |
Voorbeeldgegevens |
Standaarddeelname |
Beperkte deelname |
| Versie |
Coëfficiënt 7.7.0-608 |
||
| Serienummer |
|||
| SBNP-bemonsteringsfactor (volume) |
|||
| SBNP-bemonsteringsfactor (snelheid) |
1 |
||
| IP-bestemming en poort |
Niet-verduisterde URL-padsegmenten |
Gehakte URL-padsegmenten |
|
| Anti-Spyware gekozen malware categorie |
Overgeslagen |
||
| WBRS-score |
4.7 |
||
| vonnis in categorie McAfee malware |
|||
| URL voor referentie |
Niet-verduisterde URL-padsegmenten |
Gehakte URL-padsegmenten |
|
| Content Type ID |
|||
| ACL-beslissingstag |
0 |
||
| Verouderde webcategorisatie |
|||
| CIWUC-webcategorie en -beslissingsbron |
{'src': 'req', 'cat': '1026'} |
||
| AVC-app naam |
Advertenties en tracering |
||
| AVC-app type |
Advertentienetwerken |
||
| AVC-app-gedrag |
onveilig |
||
| Interne AVC-resultaattracering |
[0,1,1,1 ] |
||
| Tracering van gebruikersagents via geïndexeerde gegevensstructuur |
3 |
Advanced Malware Statistics per webverzoek
| AMP-statistieken |
|
| Oordeel - van de AMP reputation query |
kwaadaardig/schoon/onbekend |
| Spyname - Naam van de gedetecteerde malware |
[Trojan-Test] |
| Score - AMP toegewezen reputatiescore |
[1-100 ] |
| Upload - AMP cloud aangegeven om het bestand te uploaden |
1 |
| Bestandsnaam - naam van de bestandsbijlage |
abcd.pdf |
Feedbackstatistieken van eindgebruikers invoeren
| Statistieken gedeeld per eindgebruiker miscategorisering Feedback |
|
| Item |
Voorbeeldgegevens |
| Motor-ID (numeriek) |
0 |
| Verouderde webcategorisatiecode |
|
| CIWUC-webcategorisatiebron |
"resp" / "req" |
| CIWUC-webcategorie |
1026 |
Voorbeeldgegevens - standaarddeelneming
# categorized
"http://google.com/": { "wbrs": "5.8",
"fs": {
"src": "req",
"cat": "1020"
},
}
# uncategorized
"http://fake.example.com": { "fs": {
"cat": "-"
},
}
Voorbeeldgegevens - Beperkte deelname
- Oorspronkelijke aanvraag van client: www.gunexams.com/Non-Restricted-FREE-Practice-Exams
- Bericht vastgelegd (in telemetrieserver): http://www.gunexams.com/76bd845388e0
Volledig WBNP-decoderen
Statistieken gedeeld per Cisco-applicatie
| Item |
Voorbeeldgegevens |
| Versie |
Coëfficiënt 7.7.0-608 |
| Serienummer |
0022190B6ED5-XYZ1YZ2 |
| Model |
S660-software |
| Webroot ingeschakeld |
1 |
| AVC ingeschakeld |
1 |
| Sophos ingeschakeld |
0 |
| Categorisering van reactiezijde ingeschakeld |
1 |
| Anti-Spyware Engine ingeschakeld |
2001005008 |
| Anti-Spyware SSE versie |
2001005008 |
| Anti-Spyware Spycat Definitions versie |
standaard-8640 |
| Versie van Anti-Spyware URL-blokkeringslijst met dataversie |
|
| Versie van Anti-Spyware URL voor Phishing Dat |
|
| Anti-Spyware Cookies DAT versie |
|
| Anti-Spyware Domain Blocking ingeschakeld |
0 |
| Drempelwaarde voor antispywarerisico |
90 |
| McAfee ingeschakeld |
0 |
| McAfee Engine versie |
|
| McAfee DAT versie |
standaard-5688 |
| WBNP-detailniveau |
2 |
| WBRS Engine versie |
freebsd6-i386-300036 |
| WBRS-componentversies |
Categorieën=v2-1337979188, ip=standaard-1379460997, trefwoord=v2-1312487822, prefixcat=v2-1379460670, regel=standaard-1358979215 |
| WBRS-blokkeringsdrempel |
-6 |
| Drempel WBRS-toegestaan |
6 |
| WBRS ingeschakeld |
1 |
| Beveiligde mobiliteit ingeschakeld |
0 |
| L4 Traffic Monitor ingeschakeld |
0 |
| L4 Traffic Monitor Blocklist versie |
standaard-0 |
| L4 Traffic Monitor Admin-blokkeringslijst |
|
| L4 Traffic Monitor Admin-blokkeringspoorten |
|
| L4 traffic monitor-toewijzingslijst |
|
| L4 Traffic Monitor Toegestane poorten |
|
| SBNP-bemonsteringsfactor |
0.25 |
| SBNP-bemonsteringsfactor (volume) |
0.1 |
| SurfControl SDK versie (legacy) |
standaard-0 |
| SurfControl volledige database versie (legacy) |
standaard-0 |
| SurfControl Local Incremental Accumulation file versie (legacy) |
standaard-0 |
| Firestone Engine versie |
210016 |
| Firestone DAT versie |
v2-310003 |
| AVC Engine versie |
110076 |
| AVC DAT versie |
1377556980 |
| Sophos Engine versie |
1310963572 |
| Sophos DAT versie |
standaard-0 |
| Adaptief scannen ingeschakeld |
0 |
| Drempelwaarde voor adaptieve scanrisico-score |
[10, 6, 3] |
| Drempel adaptieve scanlastfactor |
[5, 3, 2] |
| SOCKS ingeschakeld |
0 |
| Totaal transacties |
| Totaal transacties |
|
| Totaal toegestane transacties |
|
| Totaal aantal malware gedetecteerde transacties |
|
| Totaal aantal transacties geblokkeerd door Admin-beleid |
|
| Totale transacties geblokkeerd door WBRS-score |
|
| Totaal transacties met hoog risico |
|
| Totale transacties gedetecteerd door Traffic Monitor |
|
| Totaal aantal transacties met IPv6-clients |
|
| Totaal aantal transacties met IPv6-servers |
|
| Totaal aantal transacties met SOCKS-proxy |
|
| Totaal aantal transacties van externe gebruikers |
|
| Totaal aantal transacties van lokale gebruikers |
|
| Totaal aantal toegestane transacties met behulp van een SOCKS-proxy |
|
| Totaal aantal transacties van lokale gebruikers toegestaan met behulp van SOCKS proxy |
|
| Totaal aantal transacties van gebruikers op afstand toegestaan met behulp van een SOCKS-proxy |
|
| Totaal aantal geblokkeerde transacties met behulp van SOCKS proxy |
|
| Totaal aantal transacties van lokale gebruikers geblokkeerd met behulp van SOCKS-proxy |
|
| Totaal aantal transacties van externe gebruikers geblokkeerd met behulp van SOCKS-proxy |
| Seconden sinds laatste herstart |
2843349 |
| CPU-gebruik (%) |
9.9 |
| RAM-gebruik (%) |
55.6 |
| Gebruik vaste schijf (%) |
57.5 |
| Bandbreedteconsumptie (1/sec) |
15307 |
| TCP-verbindingen openen |
2721 |
| Transacties per seconde |
264 |
| Clientlatentie |
163 |
| Snelheid cachegeheugen |
21 |
| Proxy-CPU-gebruik |
17 |
| WBRS WUC CPU-gebruik |
2.5 |
| Vastlegging CPU-gebruik |
3.4 |
| CPU-gebruik rapporteren |
3.9 |
| Webex CPU-gebruik |
0 |
| Gebruik van Sophos CPU |
0 |
| McAfee CPU-gebruik |
0 |
| vmstat utility output (vmstat -z, vmstat -m) |
|
| Aantal geconfigureerd toegangsbeleid |
32 |
| Aantal geconfigureerde aangepaste webcategorieën |
32 |
| Verificatieprovider |
Basic, NTSP |
| Verificatieterreinen |
Hostnaam, protocol en andere configuratie-elementen van de verificatieprovider |
Statistieken gedeeld per webverzoek
| Item |
Voorbeeldgegevens |
Standaarddeelname |
Beperkte deelname |
| Versie |
Coëfficiënt 7.7.0-608 |
||
| Serienummer |
|||
| SBNP-bemonsteringsfactor (volume) |
|||
| SBNP-bemonsteringsfactor (snelheid) |
1 |
||
| IP-bestemming en poort |
Niet-verduisterde URL-padsegmenten |
Gehakte URL-padsegmenten |
|
| Anti-Spyware gekozen malware categorie |
Overgeslagen |
||
| WBRS-score |
4.7 |
||
| vonnis in categorie McAfee malware |
|||
| URL voor referentie |
Niet-verduisterde URL-padsegmenten |
Gehakte URL-padsegmenten |
|
| Content Type ID |
|||
| ACL-beslissingstag |
0 |
||
| Verouderde webcategorisatie |
|||
| CIWUC-webcategorie en -beslissingsbron |
{'src': 'req', 'cat': '1026'} |
||
| AVC-app naam |
Advertenties en tracering |
||
| AVC-app type |
Advertentienetwerken |
||
| AVC-app-gedrag |
onveilig |
||
| Interne AVC-resultaattracering |
[0,1,1,1 ] |
||
| Tracering van gebruikersagents via geïndexeerde gegevensstructuur |
3 |
Advanced Malware Statistics per webverzoek
| AMP-statistieken |
|
| Oordeel - van de AMP reputation query |
kwaadaardig/schoon/onbekend |
| Spyname - Naam van de gedetecteerde malware |
[Trojan-Test] |
| Score - AMP toegewezen reputatiescore |
[1-100 ] |
| Upload - AMP cloud aangegeven om het bestand te uploaden |
1 |
| Bestandsnaam - naam van de bestandsbijlage |
abcd.pdf |
Feedbackstatistieken van eindgebruikers invoeren
| Statistieken gedeeld per eindgebruiker miscategorisering Feedback |
|
| Item |
Voorbeeldgegevens |
| Motor-ID (numeriek) |
0 |
| Verouderde webcategorisatiecode |
|
| CIWUC-webcategorisatiebron |
"resp" / "req" |
| CIWUC-webcategorie |
1026 |
Talos-detectieinhoud
Bedreigingsgericht
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
21-Aug-2024 |
Bijgewerkte koppelingen en tekst om deze op één lijn te brengen met Cisco-publicatienormen. |
1.0 |
22-Apr-2016 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)