セキュリティ : Cisco E メール セキュリティ アプライアンス

AMP の ESA は「クラウドのファイル評判サービスです到達不能」をエラー受け取ります

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料はサービスが Secure Sockets Layer (SSL)のためのポート 443 に通信しないところでそれで有効に なる Malware 高度保護(AMP)の Cisco E メール セキュリティ アプライアンス(ESA)に帰因するアラートを記述したものです。

ロバート Sherwin によって貢献される、Cisco TAC エンジニア。

「クラウドのファイル評判サービスをです AMP のために受け取った到達不能」エラー訂正して下さい

AMP は AsyncOS バージョン 8.5.5 および それ 以降の ESA の使用のためにリリースされました。 ESA で認可され、有効に されて AMP が管理者はこのメッセージを受け取ります:

The Warning message is:

amp The File Reputation service in the cloud is unreachable.

Last message occurred 2 times between Mon Jan 26 10:17:15 2015 and Mon Jan 26 10:18:16 2015.

Version: 8.5.6-092
Serial Number: 123A82F6780EEE9E1E10-AAA5DBEFCEEE
Timestamp: 26 Jan 2015 10:56:28 -0600

AMP サービスは有効に なるかもしれませんがポート 443 におそらく通信しません。 

Y がに SSL 通信(ファイル評判のための 443) ポートを有効に したいと思う選択されることを AMP が 443 に通信すること保証するために、ampconfig を > 進められる CLI から実行し、確かめて下さいか。 [Y] >:

> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced

Enter cloud query timeout?
[15]>

Enter cloud domain?
[a.immunet.com]>

Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]>

Do you want use the recommended reputation threshold from cloud service? [Y]>

Enter file analysis server URL?
[https://intel.api.sourcefire.com]>

Enter heartbeat interval?
[15]>

Do you want to enable SSL communication (port 443) for file reputation? [Y]>

Proxy server detail:
Server :
Port :
User :

Do you want to change proxy detail [N]>

GUI を使用する場合、サービス > ファイル評判を『Security』 をクリック すれば 分析 > Edit グローバル な 設定はここに示されているように > (ドロップダウン)進め、使用 SSL チェックボックスを有効に なります確認します:

設定のためのありとあらゆる変更を保存して下さい

最終的には、サービスおよび接続成功または失敗見るために現在の AMP ログを見て下さい。 末尾 amp.の CLI からこれを達成できます

行った ampconfig への変更を前に >、見よう AMP ログでこれを進みました:

Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:14:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:15:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:16:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:17:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:18:16 2015 Warning: amp The File Reputation service in the cloud
is unreachable.

ampconfig への変更を > 高度行った後、AMP ログでこれを見ます:

Mon Jan 26 10:18:47 2015 Info: amp File reputation service initialized 
successfully
Mon Jan 26 10:18:47 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:18:48 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud
is reachable.
Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized
successfully
Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown,
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

amp_watchdog.txt ファイルはログの 10 分毎に表示する。 このファイルは AMP のためのキープアライブの一部です。

AMP ログでは、正常なクエリはこれに類似したです:

Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File
Type = text/html
Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from
Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

この情報を利用して、メール ログのメッセージID (MID)を関連できるはずです。

トラブルシューティング

SSL 通信がこれらのために開くこと保証するためにファイアウォールおよびネットワーク設定を検討して下さい:

ポートプロトコルイン/アウト[hostname]説明
443TCPOutセキュリティ サービス > ファイル評判および分析の設定によって、Advanced セクション。ファイル 分析のためのサービスを曇らせるアクセス。
32137TCPOutセキュリティ サービス > ファイル評判および分析の設定によって、Advanced セクション、Advanced セクション、Cloud サーバ プール パラメータ。ファイル評判を得るためのサービスを曇らせるアクセス。

Telnet によってアプライアンスが AMP サービスに問題なく到達することができるようにするために ESA から 443 上のクラウド サービスに基本的な接続をテストできます。

: ファイル評判のためのアドレスおよびファイル 分析は ampconfig> 高度、またはセキュリティ サービス > ファイル評判および分析 > Edit グローバル な 設定で GUI から CLI で > 高度設定されます(ドロップダウン)

ファイル評判例:

ironport:service 36] telnet cloud-sa.amp.sourcefire.com 443
Trying 184.73.186.190...
Connected to cloud-sa.amp.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

ファイル 分析例:

ironport:service 37] telnet intel.api.sourcefire.com 443
Trying 198.148.79.52...
Connected to intel.api.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118785