Participação de rede baseada na Web (WBNP - Web Base Network Participation) e Participação de rede baseada no remetente (SBNP - Sender Base Network Participation)
Contents
Introdução
Os produtos de segurança de conteúdo de e-mail e Web da Cisco podem fornecer dados de telemetria para a Cisco e a Talos para aumentar a eficácia da categorização da Web no Web Security Appliance (WSA) e da conexão da reputação de IP para o Email Security Appliance (ESA).
Os dados de telemetria são fornecidos para o WSA e o ESA com base na aceitação.
Os dados são transmitidos através de pacotes criptografados SSL codificados em binário. Os anexos incluídos fornecem informações sobre os dados, formatação específica e descrições para os dados que estão sendo transmitidos. Os dados de Participação de Rede WebBase (WBNP - WebBase Network Participation) e Participação de Rede SenderBase (SBNP - SenderBase Network Participation) não podem ser exibidos em um log direto ou formato de arquivo. Esses dados são transmitidos de forma criptografada. Em nenhum momento esses dados estão 'parados'.
WSA - Participação de rede WebBase
A Cisco reconhece a importância de manter sua privacidade e não coleta nem usa informações pessoais ou confidenciais, como nomes de usuário e senhas. Além disso, os nomes de arquivo e os atributos de URL incluídos com o nome do host são obscurecidos para garantir confidencialidade.
Quando se trata de transações HTTPS descriptografadas, a rede SensorBase recebe apenas o endereço IP, a pontuação de reputação na Web e a categoria de URL do nome do servidor no certificado.
Para obter informações completas, consulte o Guia do usuário do WSA para obter a versão do AsyncOS para Web Security atualmente em execução no seu equipamento. Consulte "A rede Cisco SensorBase" no Guia do usuário.
ESA - Participação de rede SenderBase
Os clientes que participam da rede SenderBase permitem que a Cisco colete estatísticas de tráfego de e-mail agregadas sobre sua organização, aumentando a utilidade do serviço para todos que o utilizam. A participação é voluntária. A Cisco coleta apenas dados de resumo sobre atributos de mensagens e informações sobre como diferentes tipos de mensagens foram tratadas pelos dispositivos da Cisco. Por exemplo, a Cisco não coleta o corpo da mensagem ou o assunto da mensagem. As informações de identificação pessoal e as informações que identificam a sua empresa são mantidas em sigilo.
Para obter informações completas, panalise o Guia do usuário do ESA para a versão do AsyncOS para ESA Security atualmente em execução no seu dispositivo. Consulte o capítulo "Participação de rede SenderBase" no Guia do usuário.
Perguntas frequentes sobre questões gerais de segurança
| Pergunta: | Onde os dados coletados são armazenados? |
| Resposta: | A telemetria do dispositivo é armazenada em data centers da Cisco nos EUA. |
| Pergunta: | Quem tem acesso aos dados coletados e armazenados? |
| Resposta: | O acesso é limitado ao pessoal do Cisco SBG que analisa/usa os dados para criar inteligência acionável. |
| Pergunta: | Qual é o tempo de retenção dos dados coletados? |
| Resposta: | Não há política de retenção/expiração de dados relacionada à telemetria do dispositivo. Os dados podem ser mantidos indefinidamente ou podem ser excluídos por vários motivos, incluindo, mas não se limitando a, amostragem/agregação, gerenciamento de armazenamento, idade, relevância para ameaças atuais/futuras, etc. |
| Pergunta: | Os números de série do cliente ou os endereços IP públicos são armazenados no banco de dados de categorização do Talos? |
| Resposta: | Não, somente URL e categorias são retidas. O pacote WBNP não contém informações IP de origem. |
Operação
Esta seção detalha a operação, o tipo de dados (por descrição) e um exemplo de dados para demonstrar as informações que seriam transmitidas:
- SBNP - Tipos de dados específicos (campos) e dados de exemplo relacionados à Segurança de e-mail
- WBNP - Tipos de dados específicos (campos) e dados de exemplo relacionados à Segurança da Web
- Operação de detecção de ameaças - visão geral da detecção de ameaças de uma perspectiva operacional
Participação de rede SenderBase (e-mail)
Estatísticas compartilhadas por dispositivo de e-mail
| Item | Dados de exemplo |
| Identificador MGA | 10012 MGA |
| Carimbo de data/hora | Dados das 8h às 8h05 em 1º de julho de 2005 |
| Números de versão de software | MGA Versão 4.7.0 |
| Números de Versão do Conjunto de Regras | Conjunto de regras antisspam 102 |
| Intervalo de atualização do antivírus | Atualizações a cada 10 minutos |
| Tamanho da quarentena | 500 MB |
| Contagem de mensagens de quarentena | 50 mensagens atualmente em quarentena |
| Limite de pontuação de vírus | Enviar mensagens para quarentena no nível de ameaça 3 ou superior |
| Soma de pontuações de vírus para mensagens que entram em quarentena | 120 |
| Contagem de mensagens entrando em quarentena | 30 (pontuação média de 4) |
| Tempo máximo de quarentena | 12 horas |
| Contagem de mensagens de quarentena detectadas pela razão de terem entrado e saído da quarentena correlacionada com o resultado do antivírus | 50 entrando em quarentena devido à regra .exe 30 saindo da quarentena devido à versão manual e todas as 30 eram positivas para vírus |
| Contagem de mensagens em quarentena detectadas pela ação executada ao sair da quarentena | 10 mensagens tinham anexos removidos depois de sair da quarentena |
| Soma de tempo em que as mensagens foram mantidas em quarentena | 20 horas |
Estatísticas compartilhadas por endereço IP
| Item |
Dados de exemplo |
Participação Padrão |
Participação limitada |
| Contagem de mensagens em vários estágios dentro do dispositivo |
Visto pelo mecanismo antivírus: 100 |
||
| Soma de pontuações e vereditos de antisspam e antivírus |
2.000 (soma das pontuações antisspam de todas as mensagens vistas) |
||
| Número de mensagens atingindo diferentes combinações de regras de Antisspam e Antivírus |
100 mensagens atingem as regras A e B |
||
| Número de conexões |
20 conexões SMTP |
||
| Número total de destinatários inválidos |
50 destinatários no total |
||
| Nome(s) de arquivo com hash: (a) |
Um arquivo <hash unidirecional>.pif foi encontrado dentro de um anexo de arquivo chamado <hash unidirecional>.zip. |
Nome de arquivo sem fuscação |
Nome de Arquivo com Hash |
| Nome(s) de arquivo ofuscado(s): (b) |
Foi encontrado um arquivo aaaaaa0.aaa.pif dentro de um arquivo aaaaaa.zip. |
Nome de arquivo sem fuscação |
Nome de arquivo ofuscado |
| Nome de host do URL (c) |
Link encontrado dentro de uma mensagem para www.domain.com |
Nome de host de URL sem fuscação |
Nome de host de URL ofuscado |
| Caminho de URL obscuro (d) |
Foi encontrado um link dentro de uma mensagem para o nome de host www.domain.com, e tinha o caminho aaa000aa/aa00aaa. |
Caminho de URL sem fuscagem |
Caminho de URL ofuscado |
| Número de mensagens por resultados de verificação de spam e vírus |
10 Positivos para spam |
| Número de mensagens por diferentes vereditos de antisspam e antivírus |
500 spams, 300 presuntos |
||
| Contagem de Mensagens em Intervalos de Tamanho |
125 no intervalo de 30K a 35K |
||
| Contagem de tipos de extensão diferentes |
300 anexos ".exe" |
||
| Correlação de tipos de anexo, tipo de arquivo verdadeiro e tipo de contêiner |
100 anexos com extensão ".doc", mas que na verdade são ".exe" |
||
| Correlação de extensão e tipo de arquivo verdadeiro com tamanho do anexo |
30 anexos eram ".exe" na faixa de 50 a 55K |
||
| Número de mensagens por resultados de Amostragem Estocástica |
14 mensagens ignoraram a amostragem |
||
| Número de mensagens que falharam na verificação de DMARC |
34 mensagens falharam na verificação de DMARC |
Notas:
(a) Os nomes de arquivos são codificados em um hash unidirecional (MD5).
b) Os nomes de arquivos são enviados de forma ofuscada, com todas as letras ASCII minúsculas ([a-z]) substituídas por "a", todas as letras ASCII maiúsculas ([A-Z]) substituídas por "A", todos os caracteres UTF-8 multibyte substituídos por "x" (para fornecer privacidade para outros conjuntos de caracteres), todos os dígitos ASCII ([0-9]) substituídos.
(c) Os nomes de host de URL apontam para um servidor Web que fornece conteúdo, da mesma forma que um endereço IP. Não são incluídas informações confidenciais, como nomes de usuário e senhas.
(d) As informações de URL incluídas com o nome do host são obscurecidas para garantir que nenhuma informação pessoal do usuário seja revelada.
Estatísticas Compartilhadas por Cliente SDS
| Item |
Dados de exemplo |
| Carimbo de Data/Hora |
|
| Versão do cliente |
|
| Número de solicitações feitas ao Cliente |
|
| Número de solicitações feitas do Cliente SDS |
|
| Resultados de tempo para pesquisas de DNS |
|
| Resultados do tempo de resposta do servidor |
|
| Tempo para estabelecer conexão com o servidor |
|
| Número de conexões estabelecidas |
|
| Número de conexões abertas simultâneas com o servidor |
|
| Número de solicitações de serviço para WBRS |
|
| Número de solicitações que atingiram o cache WBRS local |
|
| Tamanho do cache local WBRS |
|
| Resultados de tempo de resposta do WBRS remoto |
Dados de telemetria do AMP SBNP
| Formato |
Dados de exemplo |
| amp_verdicts' : { ("verdict", "spyname", "score", "uploaded", "file_name"), |
|
| ("verdict", "spyname", "score", "uploaded", "file_name"), |
|
| ("verdict", "spyname", "score", "uploaded", "file_name"), |
|
| ... |
|
| ("verdict", "spyname", "score", "uploaded", "file_name"), |
|
| } |
|
| Descrição |
|
| Veredito - da consulta de reputação da AMP |
mal-intencionado/limpo/desconhecido |
| Spyname- Nome do malware detectado |
[Trojan-Test] |
| Pontuação - pontuação de reputação atribuída pela AMP |
[1-100 ] |
| Carregar - a nuvem da AMP é indicada para carregar o arquivo |
1 |
| Nome do arquivo - Nome do anexo do arquivo |
abcd.pdf |
Participação de rede WebBase (Web)
Estatísticas compartilhadas por solicitação da Web
| Item |
Dados de exemplo |
Participação Padrão |
Participação limitada |
| Versão |
coeus 7.7.0-608 |
||
| Serial Number |
|||
| Fator de amostragem SBNP (volume) |
|||
| Fator de amostragem SBNP (Rate) |
1 |
||
| Porta e IP de destino |
segmentos de caminho de URL sem ofuscação |
segmentos de caminho de URL com hash |
|
| Categoria de malware escolhido pelo Anti-Spyware |
Ignorado |
||
| Pontuação WBRS |
4.7 |
||
| Veredito de categoria de malware da McAfee |
|||
| URL de referência |
segmentos de caminho de URL sem ofuscação |
segmentos de caminho de URL com hash |
|
| ID do Tipo de Conteúdo |
|||
| Marca de decisão da ACL |
0 |
||
| Categorização da Web legada |
|||
| Categoria da Web do CIWUC e origem da decisão |
{'src': 'req', 'cat': '1026'} |
||
| Nome do aplicativo AVC |
Anúncios e rastreamento |
||
| Tipo de aplicativo AVC |
Redes de anúncios |
||
| Comportamento do AVC App |
Não seguro |
||
| Rastreamento de resultados internos AVC |
[0,1,1,1 ] |
||
| Rastreamento de agente de usuário via estrutura de dados indexada |
3 |
Estatísticas avançadas de malware por solicitação da Web
| Estatísticas da AMP |
|
| Veredito - da consulta de reputação da AMP |
mal-intencionado/limpo/desconhecido |
| Spyname- Nome do malware detectado |
[Trojan-Test] |
| Pontuação - pontuação de reputação atribuída pela AMP |
[1-100 ] |
| Carregar - a nuvem da AMP é indicada para carregar o arquivo |
1 |
| Nome do arquivo - Nome do anexo do arquivo |
abcd.pdf |
Feed de estatísticas de feedback do usuário final
| Estatísticas compartilhadas por usuário final Erro de categorização Feedback |
|
| Item |
Dados de exemplo |
| ID do mecanismo (numérico) |
0 |
| Código de Categorização da Web Herdado |
|
| Fonte de Categorização da Web do CIWUC |
"resp" / "req" |
| Categoria da Web do CIWUC |
1026 |
Exemplo de dados fornecidos - Participação padrão
# categorized
"http://google.com/": { "wbrs": "5.8",
"fs": {
"src": "req",
"cat": "1020"
},
}
# uncategorized
"http://fake.example.com": { "fs": {
"cat": "-"
},
}
Exemplo de dados fornecidos - Participação limitada
- Solicitação original do cliente: www.gunexams.com/Non-Restricted-FREE-Practice-Exams
- Mensagem registrada (no servidor de telemetria): http://www.gunexams.com/76bd845388e0
Decodificação WBNP completa
Estatísticas compartilhadas por dispositivo da Cisco
| Item |
Dados de exemplo |
| Versão |
coeus 7.7.0-608 |
| Serial Number |
0022190B6ED5-XYZ1YZ2 |
| Modelo |
S660 |
| Webroot habilitado |
1 |
| AVC habilitado |
1 |
| Sophos habilitado |
0 |
| Categorização do Lado da Resposta habilitada |
1 |
| Mecanismo Anti-Spyware habilitado |
default-2001005008 |
| Versão do Anti-Spyware SSE |
default-2001005008 |
| Versão de definições do Anti-Spyware Spycat |
default-8640 |
| Versão do DAT da lista de bloqueio de URL do Anti-Spyware |
|
| Versão do DAT de phishing de URL do Anti-Spyware |
|
| Versão do DAT de cookies do Anti-Spyware |
|
| Bloqueio de domínio do Anti-Spyware habilitado |
0 |
| Limite de risco de ameaça de antisspyware |
90 |
| McAfee habilitado |
0 |
| Versão do mecanismo McAfee |
|
| versão de DAT da McAfee |
default-5688 |
| Nível de Detalhes WBNP |
2 |
| Versão do Mecanismo WBRS |
freebsd6-i386-300036 |
| Versões do componente WBRS |
categories=v2-1337979188,ip=1379460997-padrão,palavra-chave=v2-1312487822,prefixcat=v2-1379460670,rule=1358979215-padrão |
| Limite da Lista de Bloqueios do WBRS |
-6 |
| Limite da Lista de Permissões do WBRS |
6 |
| WBRS habilitado |
1 |
| Mobilidade segura ativada |
0 |
| L4 Traffic Monitor ativado |
0 |
| Versão da Lista de bloqueio do L4 Traffic Monitor |
default-0 |
| Lista de bloqueio administrativa do L4 Traffic Monitor |
|
| Portas L4 Traffic Monitor Admin da Lista de bloqueio |
|
| Lista de permissões do L4 Traffic Monitor |
|
| Portas da lista de permissão do L4 Traffic Monitor |
|
| Fator de amostragem SBNP |
0.25 |
| Fator de amostragem SBNP (volume) |
0,1 |
| Versão do SDK do SurfControl (herdado) |
default-0 |
| SurfControl Versão completa do banco de dados (legada) |
default-0 |
| Versão do arquivo de Acúmulo Incremental Local SurfControl (herdado) |
default-0 |
| Versão do Firestone Engine |
default-210016 |
| Versão do DAT Firestone |
v2-310003 |
| Versão do AVC Engine |
default-110076 |
| versão de DAT AVC |
default-1377556980 |
| Versão do mecanismo Sophos |
default-1310963572 |
| versão de DAT do Sophos |
default-0 |
| Varredura adaptável ativada |
0 |
| Limite de pontuação de risco da varredura adaptável |
[10, 6, 3] |
| Limite do fator de carga da varredura adaptativa |
[5, 3, 2] |
| SOCKS ativado |
0 |
| Total de transações |
| Total de transações |
|
| Total de transações permitidas |
|
| Total de transações de malware detectadas |
|
| Total de transações bloqueadas pela política de administração |
|
| Total de transações bloqueadas pela pontuação WBRS |
|
| Total de transações de alto risco |
|
| Total de transações detectadas pelo Monitor de tráfego |
|
| Total de transações com clientes IPv6 |
|
| Total de transações com servidores IPv6 |
|
| Total de transações usando proxy SOCKS |
|
| Total de transações de usuários remotos |
|
| Total de transações de usuários locais |
|
| Total de transações permitidas usando o proxy SOCKS |
|
| Total de transações de usuários locais permitidas usando o proxy SOCKS |
|
| Total de transações de usuários remotos permitidas usando o proxy SOCKS |
|
| Total de transações bloqueadas usando proxy SOCKS |
|
| Total de transações de usuários locais bloqueadas usando o proxy SOCKS |
|
| Total de transações de usuários remotos bloqueados usando o proxy SOCKS |
| Segundos desde a última reinicialização |
2843349 |
| Utilização da CPU (%) |
9.9 |
| Utilização de RAM (%) |
55.6 |
| Utilização do Disco Rígido (%) |
57.5 |
| Utilização da Largura de Banda (/s) |
15307 |
| Abrir conexões TCP |
2721 |
| Transações por segundo |
264 |
| Latência do cliente |
163 |
| Taxa de Acertos do Cache |
21 |
| Utilização da CPU do Proxy |
17 |
| Utilização de CPU WUC WBRS |
2.5 |
| Registrando a Utilização da CPU |
3.4 |
| Relatando Utilização da CPU |
3,9 |
| Utilização de CPU do Webroot |
0 |
| Utilização de CPU Sophos |
0 |
| Utilização de CPU da McAfee |
0 |
| saída do utilitário vmstat (vmstat -z, vmstat -m) |
|
| Número de políticas de acesso configuradas |
32 |
| Número de categorias da Web personalizadas configuradas |
32 |
| Provedor de Autenticação |
Básico, NTLMSSP |
| Territórios de autenticação |
Nome de host do provedor de autenticação, protocolo e outros elementos de configuração |
Estatísticas compartilhadas por solicitação da Web
| Item |
Dados de exemplo |
Participação Padrão |
Participação limitada |
| Versão |
coeus 7.7.0-608 |
||
| Serial Number |
|||
| Fator de amostragem SBNP (volume) |
|||
| Fator de amostragem SBNP (Rate) |
1 |
||
| Porta e IP de destino |
segmentos de caminho de URL sem ofuscação |
segmentos de caminho de URL com hash |
|
| Categoria de malware escolhido pelo Anti-Spyware |
Ignorado |
||
| Pontuação WBRS |
4.7 |
||
| Veredito de categoria de malware da McAfee |
|||
| URL de referência |
segmentos de caminho de URL sem ofuscação |
segmentos de caminho de URL com hash |
|
| ID do Tipo de Conteúdo |
|||
| Marca de decisão da ACL |
0 |
||
| Categorização da Web legada |
|||
| Categoria da Web do CIWUC e origem da decisão |
{'src': 'req', 'cat': '1026'} |
||
| Nome do aplicativo AVC |
Anúncios e rastreamento |
||
| Tipo de aplicativo AVC |
Redes de anúncios |
||
| Comportamento do AVC App |
Não seguro |
||
| Rastreamento de resultados internos AVC |
[0,1,1,1 ] |
||
| Rastreamento de agente de usuário via estrutura de dados indexada |
3 |
Estatísticas avançadas de malware por solicitação da Web
| Estatísticas da AMP |
|
| Veredito - da consulta de reputação da AMP |
mal-intencionado/limpo/desconhecido |
| Spyname- Nome do malware detectado |
[Trojan-Test] |
| Pontuação - pontuação de reputação atribuída pela AMP |
[1-100 ] |
| Carregar - a nuvem da AMP é indicada para carregar o arquivo |
1 |
| Nome do arquivo - Nome do anexo do arquivo |
abcd.pdf |
Feed de estatísticas de feedback do usuário final
| Estatísticas compartilhadas por usuário final Erro de categorização Feedback |
|
| Item |
Dados de exemplo |
| ID do mecanismo (numérico) |
0 |
| Código de Categorização da Web Herdado |
|
| Fonte de Categorização da Web do CIWUC |
"resp" / "req" |
| Categoria da Web do CIWUC |
1026 |
Conteúdo de detecção do Talos
Foco em ameaças
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
21-Aug-2024 |
Links e textos atualizados para alinhar com os padrões de publicação da Cisco. |
1.0 |
22-Apr-2016 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)