將面向終端的AMP和Threat Grid與WSA整合
簡介
本檔案介紹將適用於終端和威脅網格(TG)的高級惡意軟體防護(AMP)與網路安全裝置(WSA)相整合的步驟。
作者:Uriel Montero,編輯者:Yeraldin Sanchez,思科TAC工程師。
必要條件
需求
思科建議您瞭解以下主題:
- AMP端點訪問
- TG高級訪問
- 具有檔案分析和檔案信譽功能金鑰的WSA
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
AMP公共雲控制檯
-
WSA GUI
-
TG主控台
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
登入到WSA控制檯。
登入後,請導航至安全服務>防惡意軟體和信譽,在此部分中,您可以找到用於整合AMP和TG的選項。
AMP整合
在「Anti-Malware Scanning Services」部分,按一下Edit Global Settings,如下圖所示。
搜尋Advanced > Advanced Settings for File Reputation部分並展開它,然後顯示一系列雲伺服器選項,選擇最接近您的位置。
選擇雲後,按一下向面向終端的AMP註冊裝置按鈕。
系統將顯示一個彈出視窗,重定向到AMP控制檯,按一下Ok按鈕,如下圖所示。
您需要輸入有效的AMP憑據並按一下Log in,如下圖所示。
接受裝置註冊,注意客戶端ID,因為它有助於以後在控制檯上查詢WSA。
返回WSA控制檯,檢查內容將出現在Amp for Endpoints控制檯整合部分,如下圖所示。
Threat Grid整合
導覽至Security Services > Anti-Malware and Reputation,然後在Anti-Malware Protection Services上按一下Edit Global Settings 按鈕,如下圖所示。
搜尋「Advanced> Advanced Settings for File Analysis」部分並展開它,選擇最靠近您所在位置的選項,如下圖所示。
按一下「Submit」和「Commit」變更內容。
在TG門戶端,如果裝置成功與AMP/TG整合,請在Users(使用者)頁籤下搜尋WSA裝置。
如果按一下Login(登入),則可以訪問所述裝置的資訊。
驗證
使用本節內容,確認您的組態是否正常運作。
為了驗證AMP和WSA之間的整合是否成功,您可以登入到AMP控制檯並搜尋WSA裝置。
導航到管理>電腦,在過濾器部分上搜尋Web安全裝置並應用過濾器
如果註冊了多個WSA裝置,則可以使用檔案分析客戶端ID來識別它們。
如果展開裝置,您可以看到它屬於哪個組、應用的策略和裝置GUID可用於檢視裝置軌跡。
在策略部分,可以配置應用到裝置的簡單自定義檢測和應用控制 — 允許。
檢視WSA的「裝置軌跡」部分很有用,您需要開啟另一台電腦的裝置軌跡並使用裝置GUID。
更改將應用於URL,如圖所示。
對於Threat Grid,有一個閾值90,如果檔案在該數值下獲得分數,則該檔案不會受到惡意攻擊,但是您可以在WSA上配置自定義閾值。
疑難排解
WSA不會重定向到AMP頁面
- 確保防火牆允許AMP所需的地址,按一下此處。
- 確保您已選擇正確的AMP雲(避免選擇傳統雲)。
WSA不會阻止指定的SHA
- 確保您的WSA位於正確的組中。
- 確保您的WSA使用正確的策略。
- 確保SHA在雲上不是乾淨的,否則WSA將無法阻止它。
WSA不會出現在我的TG組織上
- 確保您選擇了正確的TG雲(美洲或歐洲)。
- 確保防火牆允許TG所需的地址。
- 注意File Analysis Client ID。
- 在「使用者」部分下搜尋它。
- 如果您沒有找到它,請聯絡思科支援人員,以便他們能夠幫助您在組織之間移動它。
意見