El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe las funciones avanzadas red del control de acceso de la protección de Malware (AMP) /file del módulo de FirePOWER y del método para configurarlos con el Administrador de dispositivos de seguridad adaptante (ASDM).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
El software/el malware malévolos puede ingresar en la red de una organización vía las diferentes formas. Para identificar y atenuar los efectos de este software y malware malévolos, las características AMP de FirePOWER se pueden utilizar para detectar y bloquear opcionalmente la transmisión del software y del malware malévolos en la red.
Con las funciones del control de archivos, usted puede elegir monitorear (detectar), bloquear, o permitir la transferencia de File Upload (Subir archivo) y la descarga. Por ejemplo, una directiva del archivo puede ser implementada que bloquea la descarga de los archivos ejecutables del usuario.
Con las funciones de la red AMP, usted puede seleccionar los tipos de archivo que usted desea monitorear sobre los protocolos de uso general y enviar SHA 256 desmenuza, los meta datos de los archivos, o aún las copias de los archivos ellos mismos a la nube de la inteligencia del Cisco Security para el análisis del malware. La disposición de las devoluciones de la nube para el archivo desmenuza como limpio o malévolo basado en el análisis del archivo.
El control de archivos y el AMP para FirePOWER se pueden configurar como directiva del archivo y utilizar como parte de su configuración total del control de acceso. Las directivas del archivo asociadas a las reglas del control de acceso examinan el tráfico de la red que cumple las condiciones de la regla.
Note: Asegúrese de que el módulo de FirePOWER tenga una licencia de la protección/del control/de Malware para configurar estas funciones. Para verificar las licencias, elija la configuración > la configuración > la licencia ASA FirePOWER.
Inicie sesión al ASDM y elija la configuración > la configuración > las directivas > los archivos ASA FirePOWER. El cuadro de diálogo de la directiva del nuevo archivo aparece.
Ingrese un nombre y una descripción opcional para su nueva directiva, después haga clic la opción de los cambios del almacén ASA FirePOWER. La página de la regla de la directiva del archivo aparece.
El tecleo agrega la regla del archivo para agregar una regla a la directiva del archivo. La regla del archivo le da el control granular sobre los tipos de archivo que usted quiere registrar, bloquear, o analizar para el malware.
Application Protocol: Especifique el Application Protocol como (valor por defecto) o el protocolo específico (HTTP, S TP, IMAP, POP3, FTP, SMB).
Dirección de la transferencia: Especifique la dirección de la transferencia de archivos. Podía ser ninguno o carga/descarga basada en el Application Protocol. Usted puede examinar el protocolo (HTTP, IMAP, POP3, FTP, SMB) para saber si hay la descarga del archivo y el protocolo (HTTP, S TP, FTP, SMB) para File Upload (Subir archivo). Utilice la cualquier opción para detectar los archivos sobre los protocolos de la aplicación múltiple, sin importar si los usuarios envían o reciben el archivo.
Acción: Especifique la acción para las funciones del control de acceso del archivo. La acción sería detecta los archivos o bloquea los archivos. Detecte la acción del archivo genera el evento y la acción de los archivos del bloque genera el evento y bloquea la transmisión de archivo. Con la acción de los archivos del bloque, usted puede seleccionar opcionalmente para reajustar la conexión para terminar la conexión.
Categorías del tipo de archivo: Seleccione las categorías del tipo de archivo para las cuales usted quiere al archivo del bloque o genera la alerta.
Tipos de archivo: Seleccione los tipos de archivo. La opción de los tipos de archivo da una opción más granular para elegir el tipo de archivo específico.
Elija la opción de los cambios del almacén ASA FirePOWER para salvar la configuración.
Inicie sesión al ASDM y navegue a la configuración > a la configuración > a las directivas > a los archivos ASA FirePOWER. La página de la directiva del archivo aparece. Ahora haga clic en el cuadro de diálogo de la directiva del nuevo archivo aparece.
Ingrese un nombre y una descripción opcional para su nueva directiva, después haga clic en la opción de los cambios del almacén ASA FirePOWER. La página de las reglas de la directiva del archivo aparece.
Haga clic la opción de la regla del archivo del agregar para agregar una regla para clasifiar la directiva. La regla del archivo le da el control granular sobre los tipos de archivo que usted quiere registrar, bloquear, o analizar para el malware.
Application Protocol: Especifique ningunos (predeterminado) o el protocolo específico (HTTP, S TP, IMAP, POP3, FTP, el SMB)
Dirección de la transferencia: Especifique la dirección de la transferencia de archivos. Podía ser ninguno o descarga de la carga por teletratamiento basada en el Application Protocol. Usted puede examinar el protocolo (HTTP, IMAP, POP3, FTP, SMB) para saber si hay descarga del archivo y el protocolo (HTTP, S TP, FTP, SMB) para File Upload (Subir archivo). Utilice cualquier opción para detectar los archivos sobre los protocolos de la aplicación múltiple, sin importar los usuarios que envían o que reciben el archivo.
Acción: Para las funciones de la protección de Malware de la red, la acción sería cualquier operaciones de búsqueda de la nube de Malware o bloquearía Malware. Las operaciones de búsqueda de la nube de Malware de la acción generan solamente un evento mientras que el bloque Malware de la acción genera el evento así como bloquean la transmisión de archivo del malware.
Note: Las reglas de Malware del andBlock de las operaciones de búsqueda de la nube de Malware permiten que FirePOWER calcule el hash del SHA-256 y lo envíe para que el proceso de búsqueda de la nube determine si los archivos que atraviesan la red contienen el malware.
Categorías del tipo de archivo: Seleccione las categorías del archivo específico.
Tipos de archivo: Seleccione los tipos de archivo específico para tipos de archivo más granulares.
Elija los cambios del almacén ASA FirePOWER de la opción para salvar la configuración.
Note: Las directivas del archivo manejan los archivos en la orden siguiente de la regla-acción: El bloqueo toma la precedencia sobre el examen del malware, que toma la precedencia sobre la detección y el registro simples.
Si usted configura la protección avanzada network basado del malware (AMP), y nube de Cisco detecta incorrectamente la disposición de un archivo, usted puede agregar el archivo a la lista de archivos usando un valor de troceo del SHA-256 para mejorar detecta la disposición del archivo en el futuro. dependiendo del tipo de lista de archivos, usted puede hacer:
Para configurar esto, navegue a la configuración > a la configuración ASA FirePOWER > a la Administración > a la lista de archivos del objeto y edite la lista para agregar el SHA-256.
Navegue a la configuración > a la configuración ASA FirePOWER > a las directivas > a la directiva del control de acceso, y cree cualquier nueva regla de acceso o edite la regla de acceso existente, tal y como se muestra en de esta imagen.
Para configurar la directiva del archivo, la acción debe ser permite. Navegue a la lengueta del examen, y seleccione la directiva del archivo del menú desplegable.
Para habilitar el registro, navegue la opción de registro, y seleccione la opción de registro y la opción apropiadas de los archivos del registro. Haga clic la salvaguardia/el botón Add para salvar la configuración.
Elija los cambios del almacén ASA FirePOWER de la opción para salvar los cambios de política AC.
Navegue a ASDM despliegan la opción, y eligen despliegan la opción del cambio de FirePOWER del menú desplegable. Haga clic en despliegan la opción para desplegar los cambios.
Navegue a monitorear > ASA FirePOWER que monitorea > estatus de la tarea. Asegúrese de que la tarea deba completar para aplicar el cambio de configuración.
Note: En la versión 5.4.x, aplicar la política de acceso al sensor, usted necesita clickApply los cambios ASA FirePOWER.
Para ver los eventos generados por el módulo de FirePOWER relacionado para clasifiar la directiva, navegue a monitorear > ASA FirePOWER que monitorea > Eventing en tiempo real.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Asegúrese de que la directiva del archivo conifigured correctamente con los tipos de archivo de la acción de la dirección del protocolo. Asegure a eso la directiva correcta del archivo incluida en las reglas de acceso.
Asegúrese de que la implementación de política del control de acceso complete con éxito.
Monitoree los eventos de los eventos de conexión y del archivo (supervisión > ASA FirePOWER que monitorea > Eventing en tiempo real) para verificar si el flujo de tráfico está golpeando la regla correcta o no.