Konfiguration der Security Awareness Integration mit Cisco Secure Email Gateway

Download-Optionen

  • PDF     (2.8 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.8 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.7 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:3. April 2023
Dokument-ID:220332

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die erforderlichen Schritte zum Konfigurieren der CSA-Integration (Cisco Security Awareness) mit dem Cisco Secure Email Gateway beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Konzepte und Konfiguration von Cisco Secure Email Gateway
    • CSA-Cloud-Service 

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf AsyncOS für SEG 14.0 und höher.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Erstellen und Senden von Phishing-Simulationen vom CSA Cloud Service

    Schritt 1: Melden Sie sich beim CSA Cloud Service an.

    Siehe:
    1. https://secat.cisco.com/ für die Region AMERIKA

    2. https://secat-eu.cisco.com/ für die Region EUROPA

    Schritt 2: Phishing-E-Mail-Empfänger erstellen 

    Navigieren Sie zu den Feldern E-Mail, Vorname, Nachname und Sprache, Environment > Users > Add New User und füllen Sie diese aus. Klicken Sie dann auf, Save Changeswie im Bild dargestellt.

    User interface page to add new userScreenshot der Benutzeroberflächenseite zum Hinzufügen eines neuen Benutzers

    note-icon

    Anmerkung: Ein Kennwort muss nur für einen CSA-Administrator festgelegt werden, der berechtigt ist, Simulationen zu erstellen und zu starten.

    Die Rolle des Benutzers kann nach dem Erstellen des Benutzers ausgewählt werden. Sie können die Rolle aus der Dropdown-Liste auswählen, wie in dieser Abbildung dargestellt:

    View of the user role drop down optionsAnzeigen der Dropdown-Optionen für Benutzerrollen

    Aktivieren Sie dasUser is Phishing Recipient > Save ChangesKontrollkästchen, wie im Bild dargestellt.

    User is Phishing Recipient checkbox is enabledScreenshot, in dem das Kontrollkästchen "Benutzer ist Phishing-Empfänger" aktiviert ist.

    Überprüfen Sie, ob der Benutzer erfolgreich hinzugefügt wurde und aufgeführt wird, wenn die Suche anhand der E-Mail-Adresse im Filter durchgeführt wird, wie im Bild gezeigt.

    New user in the user listScreenshot des neuen Benutzers in der Benutzerliste

    Schritt 3: Berichts-API aktivieren

    Navigieren Sie zur Environments > Settings > Report API  Registerkarte, und aktivieren Sie das KontrollkästchenEnable Report API > Save Changes .

    note-icon

    Anmerkung: Notieren Sie sich das Träger-Token. Sie benötigen diese, um die SEG mit CSA zu integrieren.

    Enable Report API checkbox is enabledScreenshot, der das Kontrollkästchen "Report API aktivieren" anzeigt, ist aktiviert.

    Schritt 4: Erstellen von Phishing-Simulationen

    antwort: Navigieren Sie zu, Phishing Simulator > Simulations > Create New Simulation und wählen Sie eine Template aus der verfügbaren Liste aus, wie im Bild dargestellt.

    Create New Simulation buttonScreenshot der Schaltfläche "Neue Simulation erstellen"

    b. Geben Sie folgende Informationen ein:

    1. Wählen Sie einen Namen für die Vorlage aus.
    2. Beschreibung der Vorlage.
    3. Domänenname, mit dem die Phishing-E-Mail gesendet wird.
    4. Der Anzeigename für die Phishing-E-Mail.
    5. E-Mail-Absenderadresse (in der Dropdown-Liste auswählen).
    6. Antwortadresse (aus Dropdown-Liste auswählen).
    7. Wählen Sie die Sprache aus.
    8. Speichern Sie die Änderungen.

    Fields that need to be filled into configure new simulationScreenshot der Felder, die für die Konfiguration einer neuen Simulation ausgefüllt werden müssen

    c. Klicken Sie auf Import from Filters und fügen Sie die Phishing-E-Mail-Empfänger  Recipient Listwie im Bild dargestellt zu.

    Import from Filters buttonScreenshot mit der Schaltfläche "Aus Filtern importieren"

    Sie können Benutzer entweder nach Sprache oder nach Managern filtern. Klicken Sie auf Add wie im Bild dargestellt.

    Filter Users dialogue box for filtering by language or managerScreenshot des Dialogfelds "Benutzer filtern" zum Filtern nach Sprache oder Manager

    Hier ist ein Beispiel für den Benutzer, der in Schritt 2 erstellt wurde, der nun, wie im Bild gezeigt, zur Empfängerliste hinzugefügt wird.

    User created earlier listed as a recipient for the phishing simulationScreenshot des zuvor erstellten Benutzers, der als Empfänger für die Phishing-Simulation aufgeführt ist

    d. Legen SieDelivery Startdas Datum und die Save Änderungen so fest, dass die Kampagne wie im Bild dargestellt geplant wird.

    Delivery start fieldScreenshot des Felds Lieferanfang

    Nach der Auswahl des Startdatums wird die Optionend date zur Auswahl der Kampagne aktiviert (siehe Bild).

    Data Collect End field which designates when the simulation should endScreenshot des Feldes Datenerfassungsende, das angibt, wann die Simulation beendet werden soll

    e. Klicken Sie auf, Launch um die Kampagne wie im Bild dargestellt zu starten.

    Final tab of the simulation creation wizard where the campaign can be launchedScreenshot der letzten Registerkarte des Assistenten zum Erstellen von Simulationen, auf der die Kampagne gestartet werden kann

    Nach dem Klicken auf die Schaltfläche zum Starten kann ein Zwei-Faktor-Authentifizierungscode angefordert werden. Geben Sie den Code ein, und klicken Sie auf, Launchwie im Bild dargestellt.

    Pop-up asking for the Two Factor Authentication codeScreenshot des Popup-Fensters mit der Aufforderung, den Code für die Zwei-Faktor-Authentifizierung einzugeben

    Schritt 5: Überprüfung aktiver Simulationen

    Navigieren Sie zu .Phishing Simulator > Dashboards Die aktive Simulationsliste liefert die aktiven Simulationen. Sie können auch auf Export as PDF klicken und erhalten den gleichen Bericht wie im Bild angezeigt.

    Phishing simulations dashboardScreenshot des Dashboards mit Phishing-Simulationen

    Was sieht man auf der Seite des Empfängers?

    Beispiel einer Phishing-Simulations-E-Mail im Empfängereingang.

    Example of the simulated phish email in a user mailboxBeispiel einer simulierten Phishing-E-Mail in einer Benutzer-Mailbox

    Wenn der Empfänger auf die URL klickt, wird dem Benutzer diese Feedback-Seite angezeigt, und dieser Benutzer wird als Teil der Liste "Repeat Clickers" (Clicker wiederholen, die frei auf die Phishing-URL geklickt haben) in CSA angezeigt.

    Example of the feedback page the user will seen after clicking the URL in the phish emailBeispiel für die Feedbackseite, die der Benutzer nach dem Klicken auf die URL in der Phishing-E-Mail sieht.

    Überprüfung auf CSA

    Die Liste Repeat Clickers wird angezeigt unterAnalytics > Standard Reports > Phishing Simulations > Repeat Clickersas shown in the image.

    Repeat Clickers pageScreenshot der Seite "Repeat Clickers"

    Konfigurieren des sicheren E-Mail-Gateways

    note-icon

    Anmerkung: Im Abschnitt Create and Send Phishing Simulations  von CSA Cloud Service Schritt 3. haben Sie bei Aktivierung Report API das Trägertoken notiert. Halten Sie das bereit!

    Report API where the admin can find the bearer tokenScreenshot der Seite unter Report API, auf der der Administrator das Trägertoken finden kann

    Schritt 1: Aktivieren der Cisco Security Awareness-Funktion im sicheren E-Mail-Gateway

    Navigieren Sie auf der Benutzeroberfläche des sicheren E-Mail-Gateways zu Security Services > Cisco Security Awareness > Enable . Enter the Region and the CSA Token (Bearer Token, erhalten vom CSA Cloud Service, wie in der zuvor erwähnten Anmerkung gezeigt), und senden Sie die Änderungen ein, und bestätigen Sie sie.

    Cisco Security Awareness settings page on the Cisco Secure Email GatewayScreenshot der Seite mit den Cisco Security Awareness-Einstellungen auf dem Cisco Secure Email Gateway

    CLI-Konfiguration

    Geben Sie  csaconfig  ein, um CSA über die CLI zu konfigurieren.

    ESA (SERVICE)> csaconfig


Choose the operation you want to perform:
- EDIT - To edit CSA settings
- DISABLE - To disable CSA service
- UPDATE_LIST - To update the Repeat Clickers list
- SHOW_LIST - To view details of the Repeat Clickers list
[]> edit

Currently used CSA Server is: https://secat.cisco.com
Available list of Servers:
1. AMERICAS
2. EUROPE
Select the CSA region to connect
[1]>

Do you want to set the token? [Y]>

Please enter the CSA token for the region selected :
The CSA token should not:
- Be blank
- Have spaces between characters
- Exceed 256 characters.

Please enter the CSA token for the region selected :

Please specify the Poll Interval
[1d]>

    Schritt 2: Simulierte Phishing-E-Mails vom CSA Cloud Service zulassen

    note-icon

    Anmerkung: Die CYBERSEC_AWARENESS_ALLOWED  Mailflow-Richtlinie wird standardmäßig erstellt, wobei alle Scan-Engines wie hier dargestellt deaktiviert sind.

    CYBERSEC_AWARENESS_ALLOWED mail flow policy with security features disabledScreenshot der "CYBERSEC_AWARENESS_ALLOWED"-Mail Flow-Richtlinie mit deaktivierten Sicherheitsfunktionen

    So lassen Sie simulierte Phishing-Kampagnen-E-Mails vom CSA Cloud Service zu, um alle Scan-Engines auf Secure Email Gateway zu umgehen:

    antwort: Erstellen Sie eine neue Absendergruppe, und weisen Sie die CYBERSEC_AWARENESS_ALLOWED  Mail Flow-Richtlinie zu. Navigieren Sie zu  Mail Policies > HAT Overview > Add Sender Group  , wählen Sie die Richtlinie aus, und legen Sie die Reihenfolge auf 1 fest CYBERSEC_AWARENESS_ALLOWED. Submit and Add Senders.

    b. Fügen Sie einen Absender IP/domain oderGeo Locationeinen Absender hinzu, von dem aus die Phishing-Kampagnen-E-Mails initiiert werden.

    Navigieren Sie zuMail Polices > HAT Overview > Add Sender Group > Submit and Add Senders > Add the sender IP > SubmitundCommitändern Sie die im Bild angezeigten Änderungen.

    Screenshot of a CyberSec_Awareness_Allowed sender group with the CYBERSEC_AWARENESS_ALLOWED mail flow policy selectedScreenshot einer Absendergruppe "CyberSec_Awareness_Allowed", bei der die Mail Flow-Richtlinie "CYBERSEC_AWARENESS_ALLOWED" ausgewählt wurde.

    Cisco Security Awareness settings page on the Cisco Secure Email GatewayScreenshot der Seite mit den Cisco Security Awareness-Einstellungen auf dem Cisco Secure Email Gateway

    CLI-Konfiguration:

    1. Navigieren Sie zu  listenerconfig > Edit > Inbound (PublicInterface) > HOSTACCESS > NEW > New Sender Group .

    2. Erstellen Sie eine neue Absendergruppe mitCYBERSEC_AWARENESS_ALLOWEDE-Mail-Richtlinie, und fügen Sie eine Absender-IP/Domäne hinzu, von der aus die E-Mails der Phishing-Kampagne initiiert werden.

    3. Legen Sie die Reihenfolge der neuen Absendergruppe auf 1 fest, und verwenden Sie dieMoveOption unter  listenerconfig > EDIT > Inbound (PublicInterface) > HOSTACCESS > MOVE .

    4. Verpflichten.

    note-icon

    Anmerkung: Die Absender-IP ist die IP-Adresse des CSA und basiert auf der ausgewählten Region. Die richtige IP-Adresse finden Sie in der Tabelle. Lassen Sie diese IP-Adressen/Hostnamen in der Firewall mit der Portnummer 443 für SEG 14.0.0-xxx zu, um eine Verbindung mit dem CSA-Cloud-Service herzustellen.

    CSA Americas and EU regions IP addresses and hostnamesScreenshot der IP-Adressen und Hostnamen der CSA Americas- und EU-Regionen

    Schritt 3. Ergreifen Sie Maßnahmen auf Repeat Clicker von SEG

    Sobald die Phishing-E-Mails versendet und die Liste der wiederholten Klicker in der SEG ausgefüllt wurde, kann eine aggressive Richtlinie für eingehende E-Mails erstellt werden, um Maßnahmen für E-Mails an diese spezifischen Benutzer zu ergreifen.

    Erstellen Sie eine neue aggressive benutzerdefinierte Richtlinie für eingehende E-Mails, und aktivieren Sie Include Repeat Clickers List das Kontrollkästchen im Empfängerbereich.

    Navigieren Sie in der GUI zu Mail Policies > Incoming Mail Policies > Add Policy > Add User > Include Repeat Clickers List > Submit , und ändern Sie Commit die Einstellungen.

    Custom Incoming Mail Policy configured to handle mail destined for repeat clickersScreenshot einer benutzerdefinierten Richtlinie für eingehende E-Mails, die so konfiguriert ist, dass sie für wiederholte Klicker bestimmte E-Mails verarbeitet

    Leitfaden zur Fehlerbehebung

    1. Navigieren Sie zu, csaconfig > SHOW_LISTum die Details der Liste der wiederholten Klicker anzuzeigen.

    ESA (SERVICE)> csaconfig


Choose the operation you want to perform:
- EDIT - To edit CSA settings
- DISABLE - To disable CSA service
- UPDATE_LIST - To update the Repeat Clickers list
- SHOW_LIST - To view details of the Repeat Clickers list
[]> show_list

List Name       : Repeat Clickers
Report ID       : 2020
Last Updated    : 2021-02-22 22:19:08
List Status     : Active
Repeat Clickers : 4

    2. Navigieren Sie zu , csaconfig > UPDATE_LIST  wenn Sie die Aktualisierung der Liste der wiederholten Klicker erzwingen möchten.

    ESA (SERVICE)> csaconfig


Choose the operation you want to perform:
- EDIT - To edit CSA settings
- DISABLE - To disable CSA service
- UPDATE_LIST - To update the Repeat Clickers list
- SHOW_LIST - To view details of the Repeat Clickers list
[]> update_list

Machine: ESA An update for the Repeat Clickers list was initiated successfully.

    3. Überprüfen Sie in den CSA-Protokollen, ob die Liste der wiederholten Klicker heruntergeladen wurde oder ob ein Fehler vorliegt. Dies ist die working setup: 

    tail csa
Tue Jan  5 13:20:31 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/license/info]
Tue Jan  5 13:20:31 2021 Info: CSA: Polling the Cisco Security Awareness cloud service to download the latest Repeat Clickers list.
Tue Jan  5 13:20:31 2021 Info: CSA: Trying to get the license expiry date: loop count 0
Tue Jan  5 13:20:31 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/data/report/2020]
Tue Jan  5 13:20:31 2021 Info: CSA: Trying to download Repeat clickers list: loop count 0
Tue Jan  5 13:20:31 2021 Info: CSA: The update of the Repeat Clickers list was completed at [Tue Jan  5 13:20:29 2021]. Version: 1
Wed Jan  6 13:20:32 2021 Info: CSA: Polling the Cisco Security Awareness cloud service to download the latest Repeat Clickers list.

    Here is an output when you have entered the incorrect token:

    tail csa
Fri Feb 19 12:28:39 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/license/info]
Fri Feb 19 12:28:39 2021 Info: CSA: Trying to get the license expiry date: loop count 0
Fri Feb 19 12:28:39 2021 Info: CSA: Polling the Cisco Security Awareness cloud service to download the latest Repeat Clickers list.
Fri Feb 19 12:28:43 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/data/report/2020]
Fri Feb 19 12:28:43 2021 Info: CSA: Trying to download Repeat clickers list: loop count 0
Fri Feb 19 12:28:44 2021 Warning: CSA: The download of the Repeat Clickers list from the Cisco Security Awareness cloud service failed because of an invalid token.

    4. Die Anzahl der wiederholten Klicker ist auch in der GUI zu sehen. Navigieren Sie zu, wie im Bild dargestellt.Security Services > Cisco Security Awareness

    Awareness page highlighting the number of repeat clickersScreenshot der Seite Security Services > Cisco Security Awareness mit Angabe der Anzahl der wiederholten Klicker

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    05-Apr-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Anvitha Prabhu
      Cisco Customer Delivery Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.