Probleemoplossing voor Secure Web Applicatie en Advanced Malware Protection Logs (ampverdict)

Downloadopties

  • PDF     (256.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (75.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 mei 2022
Document-id:217890

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het gedeelte van het wachtwoord in het logniveau INFO en DEBUG van de Advanced Malware Protection (AMP) engine van Web Security Appliance (WSA).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Geïnstalleerd WAP
    • Bestandsreputatie en bestandsanalyse zijn ingeschakeld
    • Advanced Malware Protection
    • Cisco Secure Web-applicatie
    • SSH-client

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    WSA biedt integratie met AMP voor endpoints en een lokale AMP-engine. AMP biedt Malware bescherming tegen nul-dag malware door middel van de reputatie van bestanden en de functies voor bestandsanalyse. De WSA bevat een pre-classificatie engine die verantwoordelijk is voor het intern scannen van bestanden vóór openbare cloudcontroles. De logbestanden die in het volgende gedeelte worden beschreven, zijn gerelateerd aan de AMP-engine op de WSA en niet aan de AMP-cloud of Threat Grid.

    Probleemoplossing voor AMP-logbestanden van WSA

    Toegang tot de AMP-logboeken. Log in via CLI en staart of begroet de amp logs:

    1. Log in op de CLI via SSH-client.

    2. Typ de opdracht grep en druk op ENTER-toets.

    3. Voer het nummer van de amp_logs in zoals deze is besteld.

    4. Beantwoord de volgende opties (Als u live verkeer uitvoert, kies dan de optie om de logbestanden bij te houden).
    5. Druk op ENTER-toets.

    6. Logbestanden worden weergegeven.

    WSA AMP logboeken bestaan in verschillende niveaus van informatie, kunt u het niveau van INFO selecteren of de resultaten ZUIVEREN die lichte verschillen hebben die in de volgende sectie worden verklaard.

    Opmerking: de AMP-licentie moet op de WSA worden geïnstalleerd om de AMP-logs te selecteren.

    Logboeken AMP INFO niveau:

    Wed Apr 27 12:21:26 2022 Info: Txn 18210 Binary scan on instance[0] Id[1345]: AMP allocated memory = 0, AMP used memory = 0, Scans in flight = 1, Active faster connections = 1, Active slower connections = 0
    Wed Apr 27 12:21:35 2022 Info: Binary scan on instance[0] id[1345]: filename[npp.8.4.Installer.x64.exe] filemime[application/x-dosexec] file_extension[exe] length[4493047b] ampverdict[(1, 1, 'amp', '', 0, 0, True)] scanverdict[0] malwareverdict[0] spyname[] SHA256[ecdcf497418a1988ebf20c647acadc9eca7bc8569fd980713582acd0de011ba1] From[Cloud] uploadreason[Enqueued in the local queue for submission to upload] verdict_str[FILE UNKNOWN] is_slow[0] scans_in_flight[0] Active faster connections[0] Active slower connections[0]
    Wed Apr 27 12:22:28 2022 Info: File uploaded for analysis. Server: https://panacea.threatgrid.com, SHA256: ecdcf497418a1988ebf20c647acadc9eca7bc8569fd980713582acd0de011ba1, Filename: npp.8.4.Installer.x64.exeTimestamp: 1651044116 sampleid[]

    AMP INFO level logs (ampverdict):

    ampverdict[(1, 1, 'amp', '', 0, 0, True)]
    (analysis_Action, scan_verdict, ‘verdict_source', ‘spyname’, malware_verdict, file_reputation, upload_action)]

    AMP DEBUG-niveaulogboeken:

    Fri Apr 29 01:38:40 2022 Debug: Binary scan: proxid[3951] filename[favicon.ico] len[41566b] readtime[109.721680ms] scantime[2.205322ms] ampverdict[(1, 1, 'amp', '', 0, 0, False)] scanverdict[0] malwareverdict[0] SHA256[e7a2345c75a03e63202b12301c29bb8b6bae7cef9e191ed58797ec028def7c4f] From[Cloud] FileName[favicon.ico] FileMime[application/octet-stream]

    AMP DEBUG level logs (ampverdict):

    ampverdict[(1, 1, 'amp', '', 0, 0, False)]
    ampverdict[(analysis_action, scan_verdict,disposition, ‘spyname: policy name if amp registered with console’, file_reputation, upload_action, ‘sha256', ‘threat_name’)]

    Gedetailleerde opties voor veld versus waarde:

    Veld

    Waarde

    Analyse_actie

    "0" geeft aan dat Advanced Malware Protection geen verzoek heeft ingediend voor het uploaden van het bestand voor analyse

    "1" geeft aan dat Advanced Malware Protection het bestand ter analyse heeft geüpload.

    Scan_verdict

    0: Het bestand is niet kwaadaardig
    1: Het bestand is niet gescand vanwege het bestandstype
    2: Time-out voor scannen van bestanden
    3: Scanfout
    Groter dan 3: Bestand is kwaadaardig

    Oordeel_bron

    amp: bestandsanalyse

    schikking

    1: onbekend
    2: Reinigen
    3: Kwaadaardig (amp)
    4: Niet-scanneerbaar (niet-scannbaar)

    Spyname

    Leeg: als het AMP-uitbraakbeleid niet wordt gebruikt
    Simple_Custom_Detection: als een AMP-uitbraakbeleid wordt gebruikt

    Upload_action

    Waar: bestand is ingesteld op sandbox
    Onjuist: bestand wordt niet naar sandbox verzonden

    Sha256

    SHA256-software

    Threat_name

    Bedreigingsnaam op basis van type AMP-bedreiging

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    18-May-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Fuad Al Asouli
      Cisco TAC Engineer
    • Nik Kale
      Cisco TAC Technical Leader

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten