Configuración del host de reputación de archivos estáticos o de un grupo de servidores en la nube de reputación de archivos alternativo en ESA

Introducción

En este documento se describe cómo configurar un dispositivo de seguridad Cisco Email Security Appliance (ESA) para comunicarse y utilizar un host estático o un grupo de servidores en la nube de reputación alternativo para Reputación de archivos con el uso de la protección frente a malware avanzado (AMP).

Antecedentes

Una consulta de Reputación de archivos es la primera de las dos capas de AMP en el ESA. La Reputación de archivos captura una huella dactilar de cada archivo a medida que atraviesa el ESA y lo envía a la red de inteligencia basada en la nube de AMP para emitir un veredicto de reputación. Ante estos resultados, los administradores de ESA pueden bloquear automáticamente los archivos maliciosos y aplicar políticas definidas por el administrador.  El servicio en la nube de Reputación de archivos está alojado en Amazon Web Services (AWS). Cuando realice consultas DNS en los nombres de host descritos en este documento, verá ".amazonaws.com" listado.

La segunda capa de AMP en el ESA es el análisis de archivos.  Esto no se trata en este documento.

La comunicación SSL para el tráfico de Reputación de archivos utiliza el puerto 32137 de forma predeterminada. En el momento de la configuración del servicio, el puerto 443 podría utilizarse como alternativa. Consulte la guía del usuario de ESA, sección "Filtrado de Reputación de Archivos y Análisis de Archivos" para obtener detalles completos. Es posible que los administradores de ESA y de red deseen verificar la conectividad con el grupo para las direcciones IP, la ubicación IP y la comunicación de puertos (32137 frente a 443) antes de continuar con la configuración.

Grupo de servidores en la nube de reputación predeterminado para AMÉRICA (heredado) (cloud-sa.amp.sourcefire.com)

Una vez que Reputación de archivos tenga licencia, esté habilitada y configurada en un ESA, se establecerá de forma predeterminada para este grupo de servidores en la nube de reputación:

• AMÉRICA (heredado) (cloud-sa.amp.sourcefire.com)

El nombre de host "cloud-sa.amp.sourcefire.com" es un registro de nombre canónico de DNS (CNAME). Un CNAME es un tipo de registro de recursos en DNS que se utiliza para especificar que un nombre de dominio es un alias para otro dominio, que es el dominio "canónico". Los hostnames asociados en el conjunto vinculado a este CNAME pueden ser similares a:

• ec2-107-22-180-78.compute-1.amazonaws.com (107.22.180.78)
• ec2-54-225-142-100.compute-1.amazonaws.com (54.225.142.100)
• ec2-23-21-208-4.compute-1.amazonaws.com (23.21.2008.4)
• ec2-54-83-195-228.compute-1.amazonaws.com (54.83.195.228)

Hay dos opciones adicionales de servidores de reputación de archivos que se pueden seleccionar:

• AMÉRICA (cloud-sa.amp.cisco.com)
• EUROPA (cloud-sa.eu.amp.cisco.com)

Ambos servidores se tratan en la sección "Static File Reputation server hostnames (.cisco.com)" de este documento.

Puede verificar los hosts que están asociados a AMERICAS cloud-sa-amp.sourcefire.com CNAME desde su red en cualquier momento cuando ejecute esta consulta dig o nslookup:

╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228

╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4

Nota: Estos hosts NO son estáticos y se recomienda NO restringir el tráfico de Reputación de archivos ESA basado solamente en estos hosts. Los resultados de la consulta pueden variar, ya que los hosts del grupo cambiarán sin previo aviso.

Puede verificar la ubicación geográfica IP desde esta herramienta de terceros:

• http://geoiplookup.net/ip/107.22.180.78

• http://geoiplookup.net/ip/54.225.208.214

• http://geoiplookup.net/ip/23.21.208.4

• http://geoiplookup.net/ip/54.83.195.228

Nombres de host del servidor de Reputación de archivos estáticos (.cisco.com)

Cisco comenzó a proporcionar nombres de host basados en ".cisco.com" para el servicio de Reputación de archivos de AMP en 2016. Hay nombres de host estáticos y direcciones IP disponibles para Reputación de archivos de la siguiente manera:

• cloud-sa.amp.cisco.com (América del Norte - EE.UU.)
• cloud-sa.eu.amp.cisco.com (Europa - República de Irlanda)
• cloud-sa.apjc.amp.cisco.com (Asia-Pacífico - Japón)

Puede verificar los hosts y las direcciones IP asociadas de su red y ejecutar una consulta dig o nslookup:

América del Norte (EE. UU.):

╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50

Europa (República de Irlanda):

╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82

Asia Pacífico (Japón):

 ╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127

Puede verificar la ubicación geográfica IP desde esta herramienta de terceros:

• http://geoiplookup.net/ip/52.21.117.50

• http://geoiplookup.net/ip/52.30.124.82

• http://geoiplookup.net/ip/52.69.39.127

En este momento, no hay planes para retirar los hostnames de ".sourcefire.com".

Grupo de servidores en la nube de reputación de EUROPA alternativa (cloud-sa.eu.amp.sourcefire.com)

En el caso de los clientes basados en la Unión Europea (UE) que deben enviar tráfico específico a servidores y Data Centers basados solo en la UE, los administradores pueden configurar el ESA para que apunte al host estático de la UE o al grupo de servidores en la nube de reputación de la UE:

• cloud-sa-eu.amp.cisco.com
• cloud-sa.eu.amp.sourcefire.com

Al igual que el nombre de host predeterminado "cloud-sa.amp.sourcefire.com", el nombre de host "cloud-sa.eu.amp.sourcefire.com" también es un CNAME. Los nombres de host asociados en el conjunto vinculado a este CNAME pueden ser similares a:

• ec2-54-217-245-97.eu-west-1.compute.amazonaws.com (54.217.245.97)
• ec2-54-247-186-153.eu-west-1.compute.amazonaws.com (54.247.186.153)
• ec2-176-34-122-245.eu-west-1.compute.amazonaws.com (176.34.122.245) 

Puede verificar los hosts que están asociados a EUROPEAN cloud-sa.eu.amp.sourcefire.com CNAME desde su red y ejecutar una consulta dig o nslookup::

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245

╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153

Nota: Estos hosts NO son estáticos y se recomienda NO restringir el tráfico de Reputación de archivos ESA basado sólo en estos hosts. Los resultados de la consulta pueden variar, ya que los hosts del grupo cambiarán sin previo aviso.

Puede verificar la ubicación geográfica IP desde esta herramienta de terceros:

• http://geoiplookup.net/ip/176.34.122.245

• http://geoiplookup.net/ip/54.247.186.153

• http://geoiplookup.net/ip/54.217.245.97

Configuración del host de reputación de archivos estáticos o de un grupo de servidores en la nube de reputación de archivos alternativo en ESA

La Reputación de archivos se puede configurar desde la GUI o la CLI en el ESA. Los pasos de configuración enumerados en este documento demostrarán la configuración de CLI. Sin embargo, se pueden aplicar los mismos pasos e información mediante la GUI (Servicios de seguridad > Reputación y análisis de archivos > Editar configuración global... > Configuración avanzada para Reputación de archivos).

AsyncOS 10.x y posterior

Las nuevas funciones de AsyncOS 10.x permiten configurar el ESA para utilizar una nube de reputación privada (servidor de reputación de archivos en las instalaciones) o un servidor de reputación de archivos basado en la nube. Con este cambio, la configuración de AMP ya no solicita el nombre de host con el paso "Introducir grupo de servidores en la nube de reputación". Debe elegir configurar el servidor de reputación de archivos adicional como una nube de reputación privada y proporcionar la clave pública para ese nombre de host.

Para 10.0.x y versiones posteriores, al configurar un servidor de reputación de AMP alternativo, es posible que deba introducir una clave pública asociada a ese nombre de host.

Todos los servidores de reputación de AMP utilizan la misma clave pública:

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----

Este ejemplo le ayudará a configurar el servidor de reputación de archivos alternativo en cloud-sa.eu.amp.sourcefirce.com:

my11esa.local > ampconfig
 
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
 
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[15]>
 
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
 
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
 
Do you want to input new public key? [N]> y
 
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>

Realice los cambios de configuración.

AsyncOS 9.7.x y anteriores

Este ejemplo de AsyncOS 9.7.2-065 for Email Security le ayudará a configurar el grupo de servidores en la nube de reputación alternativa en cloud-sa.eu.amp.sourcefirce.com:

my97esa.local> ampconfig
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
 
Enter cloud query timeout?
[15]>
 
Enter cloud domain?
[a.immunet.com]>
 
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>

Realice los cambios de configuración.

Servidor de reputación de archivos en las instalaciones (FireAMP para nube privada)

Se introdujo el uso de un servidor de reputación de archivos en las instalaciones, también conocido como nube privada de FireAMP, que comienza con AsyncOS 10.x para Email Security.

Si ha implementado un dispositivo de nube privada virtual de Cisco AMP en la red, ahora puede consultar la reputación de los archivos adjuntos de los mensajes sin enviarlos a la nube de reputación pública. Para configurar el dispositivo para que utilice un servidor de reputación de archivos en las instalaciones, consulte el capítulo "Filtrado y análisis de la reputación de archivos" de la guía del usuario de ESA o la ayuda en línea.

  

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para ver el tráfico de Reputación de archivos que pasa al host estático configurado o al grupo de servidores en la nube de reputación, realice una captura de paquetes desde el ESA con el filtro especificado para capturar el tráfico del puerto 32137 o del puerto 443.

Para este ejemplo, utilice el conjunto de servidores en la nube cloud-sa.eu.amp.sourcefire.com y la comunicación SSL con el uso del puerto 443...

Esto se registra en el ESA en los registros de AMP:

Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2

El seguimiento de paquetes ESA que se ejecuta capturó esta conversación:

1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848

Verá que el tráfico se comunica a través del puerto 443. Desde nuestro ESA (my11esa.local), se comunica con el hostname ec2-176-34-122-245.eu-west-1.compute.amazonaws.com. Este nombre de host está vinculado a la dirección IP 176.34.122.245:

╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245

La dirección IP 176.34.122.245 es un miembro del conjunto de CNAME para cloud-sa.eu.amp.sourcefire.com:

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245

En este ejemplo, la comunicación fue dirigida y aceptada por el grupo de servidores en la nube de reputación configurado, cloud-sa.eu.amp.sourcefire.com.

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

Utilice Telnet para probar la conectividad

Para verificar la conectividad de nivel de puerto a la nube de Reputación de archivos, utilice el nombre de host para el conjunto de servidores de la nube de reputación configurado, y realice pruebas con telnet en el puerto 32137, o el puerto 443, según la configuración.

my97esa.local> telnet cloud-sa.amp.sourcefire.com 443

Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Verifique la conectividad a la UE, con éxito a través del puerto 443:

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443

Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Verifique la conectividad a la UE, no se puede conectar a través del puerto 32137:

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137

Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host

Puede probar telnet con la IP directa o los nombres de host detrás del CNAME para el pool de servidores de nube de reputación con el mismo método de prueba telnet, con el uso del puerto 32137 o el puerto 443. Si no puede comunicarse correctamente vía telnet con el nombre de host y el puerto, es posible que deba verificar la conectividad de red y la configuración del firewall externas al ESA.

La verificación del éxito de telnet a un servidor de reputación de archivos en las instalaciones se realizará mediante el mismo proceso que se muestra.

Entrada de la clave pública

Cuando ingrese la clave pública en un ESA que ejecuta AsyncOS 10.x y versiones posteriores, asegúrese de que pegó o cargó correctamente la clave pública. Cualquier error en la clave pública se mostrará en el resultado de la configuración:

Do you want to input new public key? [N]> y

Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key

Si recibe un error, vuelva a intentar la configuración. Para errores persistentes, póngase en contacto con el soporte de Cisco.

Revisar registros de AMP

Cuando vea el registro de AMP en el ESA, asegúrese de ver la "consulta de reputación de archivos desde la nube" especificada en el momento de la consulta de reputación de archivos:

Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Si ve esto, la consulta extrajo la respuesta de la memoria caché local de ESA y NO del conjunto de servidores en la nube de reputación configurado :

Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Errores y alertas adicionales

Es posible que un administrador de ESA reciba este aviso. Si se recibe, vuelva a pasar por el proceso de configuración y verificación.

The Warning message is:

amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.

Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400

Información Relacionada

• Direcciones de servidor necesarias para las operaciones de AMP adecuadas
• Soporte Técnico y Documentación - Cisco Systems