Mensagem De Alerta De Solução De Problemas - O File Reputation Service Não Está Acessível

Introdução

Este documento descreve o alerta atribuído ao Cisco Email Security Appliance (ESA) com Advanced Malware Protection (AMP) habilitado, em que o serviço não consegue se comunicar pela porta 32137 ou 443 para a reputação do arquivo.

Erro "O serviço de reputação de arquivo não está acessível" recebido para AMP

O AMP foi lançado para uso no ESA no AsyncOS versão 8.5.5 para segurança de e-mail. Com a AMP licenciada e habilitada no ESA, os administradores recebem esta mensagem:

The Warning message is:

The File Reputation service is not reachable.

Last message occurred 2 times between Tue Sep 10 14:15:14 2024 and Tue Sep 10 14:16:23 2024.

Version: 15.5.1-055
Serial Number: 123A82F6780XXX9E1E10-XXX5DBEFCXXX
Timestamp: 10 Sep 2024 14:19:00 -0500

AsyncOS 14.x ou anterior

O serviço AMP está habilitado, mas pode não se comunicar na rede por meio da porta 32137 para a reputação do arquivo.

Se esse for o caso, o administrador do ESA pode optar por fazer com que a reputação do arquivo se comunique pela porta 443.

Para fazer isso, execute ampconfig > advanced na CLI e certifique-se de que Y esteja selecionado para Deseja habilitar a comunicação SSL (porta 443) para a reputação do arquivo? [N]>:

(Cluster example.com)> ampconfig

Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CACHESETTINGS - Configure the cache settings for AMP.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[15]>

Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.cisco.com)
2. AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)
3. EUROPE (cloud-sa.eu.amp.cisco.com)
4. APJC (cloud-sa.apjc.amp.cisco.com)
5. Private reputation cloud
[1]>

Do you want use the recommended analysis threshold from cloud service? [Y]>

Enter heartbeat interval?
[15]>

Do you want to enable SSL communication (port 443) for file reputation? [N]> Y

Proxy server detail:
Server : 
Port : 
User :

Do you want to change proxy detail [N]>

Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [N]>

Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. EUROPE (https://panacea.threatgrid.eu)
3. Private analysis cloud
[1]>

Se você usar a GUI, escolha Serviços de segurança > Reputação e análise de arquivo > Editar configurações globais > Avançado (lista suspensa) e verifique se a caixa de seleção Usar SSL está marcada como mostrado aqui:

Confirme toda e qualquer alteração na configuração.

Por fim, analise o registro atual da AMP para ver o sucesso ou a falha do serviço e da conectividade. Você pode fazer isso a partir do CLI com tail amp.

Antes das alterações serem feitas em ampconfig > advanced, você teria visto isso nos registros do AMP:

Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.

Depois que a alteração for feita em ampconfig > advanced, você verá isso nos registros do AMP:

Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud 
is reachable.
Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized 
successfully
Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized 
successfully
Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name = 
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query 
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, 
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

O arquivo amp_watchdog.txt, como mostrado no exemplo anterior, deve ser executado a cada 10 minutos e ser rastreado no registro de AMP. Esse arquivo faz parte do keep-alive do AMP.

Uma consulta normal no registro da AMP em relação a uma mensagem com o(s) tipo(s) de arquivo configurado(s) para Reputação de arquivo e Análise de arquivo seria semelhante a esta:

Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File 
Type = text/html
Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from 
Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file 
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

Com essas informações de log, o administrador pode correlacionar o ID da mensagem (MID) nos logs de e-mail.

Troubleshooting Adicional

Revise as configurações de firewall e rede para garantir que a comunicação SSL esteja aberta para:

Você pode testar a conectividade básica de seu ESA para o serviço de nuvem por meio de Telnet para garantir que seu dispositivo possa acessar com êxito os serviços AMP, a reputação de arquivos e a análise de arquivos.

Observação: os endereços para Reputação de arquivo e Análise de arquivo são configurados na CLI com ampconfig > advanced ou na GUI com Serviços de segurança > Reputação e análise de arquivo > Editar configurações globais > Advanced (menu suspenso).

Observação: se estiver utilizando um proxy de túnel entre o ESA e o(s) servidor(es) do File Reputation, talvez seja necessário ativar a opção Relax Certificate Validation for Tunnel Proxy. Esta opção é fornecida para ignorar a validação de certificado padrão se o certificado do servidor proxy de túnel não for assinado por uma autoridade raiz confiável pelo ESA. Por exemplo, selecione esta opção se estiver usando um certificado autoassinado em um servidor proxy de túnel interno confiável.

Exemplo de reputação de arquivo:

10.0.0-125.local> telnet cloud-sa.amp.sourcefire.com 443

Trying 23.21.199.158...
Connected to ec2-23-21-199-158.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Exemplo de análise de arquivo:

10.0.0-125.local> telnet panacea.threatgrid.com 443

Trying 69.55.5.244...
Connected to 69.55.5.244.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Se o ESA puder executar telnet para o servidor de reputação de arquivos e não houver um proxy de upstream descriptografando a conexão, talvez seja necessário registrar novamente o dispositivo com o Threat Grid. Na CLI do ESA, há um comando oculto:

10.0.0-125.local> diagnostic

Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> ampregister

AMP registration initiated.

AsyncOS 15.x ou posterior

Verifique se o servidor de reputação de arquivo correto está selecionado. Isso também pode ser feito na GUI navegando para Serviços de segurança > Reputação e análise de arquivo > Editar configurações globais > Configurações avançadas para reputação de arquivo > Servidor de reputação de arquivo.

Observação: para obter informações sobre o nome do host e a porta para configurar seu firewall, consulte a seção Informações sobre firewall no guia do usuário aqui. 

(Cluster example.com)> ampconfig

File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CACHESETTINGS - Configure the cache settings for AMP.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[20]>

Choose a file reputation server:
1. US Cloud
2. EU Cloud
3. APJC Cloud
4. Private reputation cloud
[1]>

Do you want use the recommended analysis threshold from cloud service? [Y]>

Enter heartbeat interval?
[15]>

Proxy server detail:
Server : 
Port : 
User : 
Passphrase:

Do you want to change proxy detail [N]>

Do you want to suppress the verdict update alerts for all messages that are not delivered to the recipient? [Y]>

Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. AUSTRALIA (https://panacea.threatgrid.com.au)
3. CANADA (https://panacea.threatgrid.ca)
4. EUROPE (https://panacea.threatgrid.eu)
5. Private analysis cloud
[1]>

Use Existing File Reputation Proxy? [N]>

Proxy server detail:
Server : 
Port : 
User : 
Password :

Do you want to change proxy detail [N]>

File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet

Informações Relacionadas

• Teste de proteção avançada contra malware (AMP) do ESA
• Guias do usuário do ESA
• Perguntas frequentes sobre ESA: O que é um ID de mensagem (MID), ID de conexão de injeção (ICID) ou ID de conexão de entrega (DCID)?
• Como faço para pesquisar e exibir os logs de e-mail no ESA?
• Suporte Técnico e Documentação - Cisco Systems