Configurar o host de reputação de arquivo estático ou um pool de servidores em nuvem de reputação de arquivo alternativo no ESA

Introdução

Este documento descreve como configurar um Cisco Email Security Appliance (ESA) para se comunicar e usar um host estático ou um pool de servidores em nuvem de reputação alternativa para a reputação de arquivos com o uso da Proteção avançada contra malware (AMP).

Informações de Apoio

Uma consulta de reputação de arquivo é a primeira de duas camadas para a AMP no ESA. A reputação de arquivo captura uma impressão digital de cada arquivo enquanto atravessa o ESA e a envia para a rede de inteligência baseada em nuvem da AMP para um veredito de reputação. Com esses resultados, os administradores do ESA podem bloquear automaticamente arquivos mal-intencionados e aplicar políticas definidas pelo administrador.  O serviço em nuvem File Reputation é hospedado no Amazon Web Services (AWS). Quando você realizar consultas DNS com base nos nomes de host descritos neste documento, você verá ".amazonaws.com" listado.

A segunda camada da AMP no ESA é a análise de arquivos.  Isso não é abordado neste documento.

A comunicação SSL para o tráfego do File Reputation usa a porta 32137 por padrão. No momento da configuração do serviço, a porta 443 pode ser usada como alternativa. Consulte o Guia do usuário do ESA, seção "Filtragem de reputação de arquivo e análise de arquivo" para obter detalhes completos. Os administradores de ESA e de rede talvez queiram verificar a conectividade com o pool para endereços IP, localização de IP e também comunicação de porta (32137 vs. 443) antes de prosseguir com a configuração.

Pool padrão de servidores em nuvem de reputação AMÉRICAS(herdadas) (cloud-sa.amp.sourcefire.com)

Depois que a reputação do arquivo for licenciada, habilitada e configurada em um ESA, por padrão ela será definida para este pool de servidores de nuvem de reputação:

• AMÉRICAS (herdadas) (cloud-sa.amp.sourcefire.com)

O nome de host "cloud-sa.amp.sourcefire.com" é um registro de Nome Canônico (CNAME) DNS. Um CNAME é um tipo de registro de recurso no DNS usado para especificar que um nome de domínio é um alias para outro domínio, que é o domínio "canônico". Os nomes de host associados no pool vinculado a este CNAME podem ser semelhantes a:

• ec2-107-22-180-78.compute-1.amazonaws.com (107.22.180.78)
• ec2-54-225-142-100.compute-1.amazonaws.com (54 225 142 100)
• ec2-23-21-208-4.compute-1.amazonaws.com (23.21.208.4)
• ec2-54-83-195-228.compute-1.amazonaws.com (54 83 195 228)

Há duas opções adicionais de servidores de reputação de arquivos que podem ser selecionadas:

• AMÉRICAS (cloud-sa.amp.cisco.com)
• EUROPA (cloud-sa.eu.amp.cisco.com)

Esses dois servidores são abordados na seção "Nomes de host do servidor de reputação de arquivo estático (.cisco.com)" deste documento.

Você pode verificar os hosts associados ao AMERICAS cloud-sa-amp.sourcefire.com CNAME da sua rede a qualquer momento quando executar esta consulta dig ou nslookup:

╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228

╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4

Observação: esses hosts são NOT estáticos e é recomendável NOT restringir o tráfego do ESA File Reputation com base apenas nesses hosts. Os resultados da consulta podem variar, pois os hosts no pool serão alterados sem aviso prévio.

Você pode verificar a localização geográfica do IP nesta ferramenta de terceiros:

• http://geoiplookup.net/ip/107.22.180.78

• http://geoiplookup.net/ip/54.225.208.214

• http://geoiplookup.net/ip/23.21.208.4

• http://geoiplookup.net/ip/54.83.195.228

Nomes de host do servidor do Static File Reputation (.cisco.com)

A Cisco começou a fornecer nomes de host baseados em ".cisco.com" para o serviço File Reputation para AMP em 2016. Há nomes de host estáticos e endereços IP disponíveis para o File Reputation a partir deste:

• cloud-sa.amp.cisco.com (América do Norte - EUA)
• cloud-sa.eu.amp.cisco.com (Europa - República da Irlanda)
• cloud-sa.apjc.amp.cisco.com (Pacífico Asiático - Japão)

Você pode verificar os hosts e os endereços IP associados de sua rede e executar uma consulta dig ou nslookup:

América do Norte (EUA):

╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50

Europa (Irlanda):

╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82

Ásia-Pacífico (Japão):

 ╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127

Você pode verificar a localização geográfica do IP nesta ferramenta de terceiros:

• http://geoiplookup.net/ip/52.21.117.50

• http://geoiplookup.net/ip/52.30.124.82

• http://geoiplookup.net/ip/52.69.39.127

No momento, não há planos de desativar os nomes de host ".sourcefire.com".

Pool de servidores em nuvem de reputação da Europa alternativa (cloud-sa.eu.amp.sourcefire.com)

Para clientes com sede na União Europeia (UE) que precisam enviar tráfego específico para servidores e data centers somente com base na UE, os administradores podem configurar o ESA para apontar para o host estático da UE ou para o pool de servidores de nuvem de reputação da UE:

• cloud-sa-eu.amp.cisco.com
• cloud-sa.eu.amp.sourcefire.com

Como o nome de host padrão "cloud-sa.amp.sourcefire.com", o nome de host "cloud-sa.eu.amp.sourcefire.com" também é um CNAME. Os nomes de host associados no pool vinculado a este CNAME podem ser semelhantes a:

• ec2-54-217-245-97.eu-west-1.compute.amazonaws.com (54 217 245 97)
• ec2-54-247-186-153.eu-west-1.compute.amazonaws.com (54 247 186 153)
• ec2-176-34-122-245.eu-west-1.compute.amazonaws.com (176.34.122.245) 

Você pode verificar os hosts associados ao EUROPEAN cloud-sa.eu.amp.sourcefire.com CNAME de sua rede e executar um dig ou nslookup query::

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245

╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153

Observação: esses hosts NÃO são estáticos e é recomendável NÃO restringir o tráfego do ESA File Reputation com base apenas nesses hosts. Os resultados da consulta podem variar, pois os hosts no pool serão alterados sem aviso prévio.

Você pode verificar a localização geográfica do IP nesta ferramenta de terceiros:

• http://geoiplookup.net/ip/176.34.122.245

• http://geoiplookup.net/ip/54.247.186.153

• http://geoiplookup.net/ip/54.217.245.97

Configurar o host de reputação de arquivo estático ou um pool de servidores em nuvem de reputação de arquivo alternativo no ESA

A reputação de arquivo pode ser configurada na GUI ou na CLI no ESA. As etapas de configuração listadas neste documento demonstrarão a configuração da CLI. No entanto, as mesmas etapas e informações podem ser aplicadas por meio da GUI (Serviços de segurança > Reputação e análise de arquivo > Editar configurações globais... > Configurações avançadas para reputação de arquivo).

AsyncOS 10.x e mais recente

Os novos recursos do AsyncOS 10.x permitem que o ESA seja configurado para usar uma nuvem de reputação privada (servidor de reputação de arquivos no local) ou um servidor de reputação de arquivos baseado em nuvem. Com essa alteração, a configuração da AMP não solicitará mais o nome do host com a etapa "Entrar no pool de servidores de nuvem de reputação". Você deve optar por configurar o servidor de reputação de arquivo adicional como uma nuvem de reputação privada e fornecer a chave pública para esse nome de host.

Para a versão 10.0.x e mais recente, ao configurar um servidor de reputação AMP alternativo, talvez seja necessário inserir uma chave pública associada a esse nome de host.

Todos os servidores de reputação da AMP usam a mesma chave pública:

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----

Este exemplo o ajudará a configurar o servidor de reputação de arquivo alternativo como cloud-sa.eu.amp.sourcefirce.com:

my11esa.local > ampconfig
 
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
 
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[15]>
 
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
 
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
 
Do you want to input new public key? [N]> y
 
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>

Confirme todas as alterações de configuração.

AsyncOS 9.7.x e anterior

Este exemplo no AsyncOS 9.7.2-065 para Email Security ajudará você a configurar o pool de servidores de nuvem de reputação alternativa para cloud-sa.eu.amp.sourcefirce.com:

my97esa.local> ampconfig
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
 
Enter cloud query timeout?
[15]>
 
Enter cloud domain?
[a.immunet.com]>
 
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>

Confirme todas as alterações de configuração.

Servidor de reputação de arquivos no local (nuvem privada do FireAMP)

O uso de um servidor de reputação de arquivos no local, também conhecido como nuvem privada do FireAMP, foi introduzido a partir do AsyncOS 10.x for Email Security.

Se você implantou um dispositivo Cisco AMP Virtual Private Cloud em sua rede, agora é possível consultar a reputação de arquivo dos anexos de mensagens sem enviá-los para a nuvem de reputação pública. Para configurar seu dispositivo para usar um servidor de reputação de arquivo local, consulte o capítulo "Filtragem de reputação de arquivo e análise de arquivo" no Guia do usuário do ESA ou na ajuda on-line.

  

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Para ver o tráfego do File Reputation passando para o host estático configurado ou para o pool de servidores de nuvem de reputação, execute uma captura de pacote do ESA com filtro especificado para capturar o tráfego da porta 32137 ou da porta 443.

Para este exemplo, use o pool de servidores em nuvem cloud-sa.eu.amp.sourcefire.com e a comunicação SSL com o uso da porta 443...

Isso é registrado no ESA nos registros do AMP:

Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2

O rastreamento de pacote ESA em execução capturou esta conversa:

1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848

Você vê que o tráfego se comunica pela porta 443. Em nosso ESA (my11esa.local), ele se comunica com o hostname ec2-176-34-122-245.eu-west-1.compute.amazonaws.com. Esse nome de host está vinculado ao endereço IP 176.34.122.245:

╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245

O endereço IP 176.34.122.245 é um membro do pool do CNAME para cloud-sa.eu.amp.sourcefire.com:

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245

Para este exemplo, a comunicação foi direcionada e aceita pelo pool de servidores em nuvem de reputação configurado, cloud-sa.eu.amp.sourcefire.com.

Troubleshooting

Esta seção disponibiliza informações para a solução de problemas de configuração.

Usar Telnet para testar a conectividade

Para verificar a conectividade no nível de porta para a nuvem do File Reputation, use o nome de host para o pool do servidor de nuvem de reputação configurado e teste com telnet para a porta 32137, ou a porta 443, conforme configurado.

my97esa.local> telnet cloud-sa.amp.sourcefire.com 443

Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Verifique a conectividade com EU, bem-sucedido na porta 443:

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443

Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Verifique a conectividade com EU, não é possível se conectar pela porta 32137:

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137

Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host

Você pode testar o telnet para o IP direto ou nomes de host atrás do CNAME para o pool de servidores de nuvem de reputação com o mesmo método de teste de telnet, com o uso da porta 32137 ou 443. Se você não conseguir executar telnet com êxito para o nome do host e a porta, talvez seja necessário verificar a conectividade de rede e as configurações de firewall externas ao ESA.

A verificação do sucesso do telnet para um servidor de reputação de arquivo local será feita pelo mesmo processo mostrado.

Entrada da chave pública

Ao inserir a chave pública em um ESA que executa o AsyncOS 10.x e mais recente, certifique-se de que você teve êxito ao colar ou carregar a chave pública. Todos os erros na chave pública serão exibidos na saída da configuração:

Do you want to input new public key? [N]> y

Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key

Se você receber um erro, repita a configuração. Para erros persistentes, entre em contato com o Suporte da Cisco.

Examinar os logs da AMP

Ao visualizar o registro da AMP no ESA, certifique-se de que você veja a "consulta de reputação de arquivo da nuvem" especificada no momento da consulta de reputação de arquivo:

Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Se você vir isso, a consulta obteve a resposta do cache do ESA local e NÃO do pool de servidores de nuvem de reputação configurada:

Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Erros e alertas adicionais

Um administrador do ESA pode receber esse aviso. Se isso for recebido, repita o processo de configuração e verificação.

The Warning message is:

amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.

Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400

Informações Relacionadas

• Endereços de servidor necessários para operações adequadas do AMP
• Suporte Técnico e Documentação - Cisco Systems