Host estático de la reputación del archivo de la configuración o un pool del servidor de la nube de la reputación del archivo alterno en el ESA

Introducción

Este documento describe cómo configurar un dispositivo de seguridad del correo electrónico de Cisco (ESA) para comunicar y para utilizar un host estático o un pool alternativo del servidor de la nube de la reputación para la reputación del archivo con el uso de la protección avanzada de Malware (amperio).

Antecedentes

Una interrogación de la reputación del archivo es la primera de dos capas para el amperio en el ESA.  Clasifíe la reputación captura una huella dactilar de cada archivo como atraviesa el ESA y lo envía a la red nube-basada de la inteligencia amperio para un veredicto de la reputación. Dado estos resultados, los administradores ESA pueden bloquear automáticamente los archivos malévolos y aplicar las directivas administrador-definidas.  El servicio de la nube de la reputación del archivo se recibe en los servicios web del Amazonas (AWS). Cuando usted realiza las interrogaciones DNS contra los hostname descritos en este documento, usted verá que “.amazonaws.com” enumeró.

La segunda capa de amperio en el ESA es análisis del archivo.  Eso no se cubre en este documento.

La comunicación SSL para el tráfico de la reputación del archivo utiliza el puerto 32137 por abandono. A la hora de la configuración del servicio, el puerto 443 se pudo utilizar como alternativa. Consulte el guía del usuario ESA, “clasifíe la reputación que filtra y clasifíe sección del análisis” para los detalles completos. El ESA y los administradores de la red pudieron desear verificar la Conectividad al pool para la dirección IP, ubicación IP, y también viran la comunicación hacia el lado de babor (32137 contra 443) antes de que procedan con la configuración.

Pool predeterminado del servidor de la nube de la reputación de AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)

La reputación del archivo se autoriza una vez, habilitado, y configurado en un ESA, por abandono será fijada para este pool del servidor de la nube de la reputación:

• AMERICAS(Legacy) (cloud-sa.amp.sourcefire.com)

El nombre de host “cloud-sa.amp.sourcefire.com” es un expediente del nombre canónico DNS (CNAME).  Un CNAME es un tipo de registro de recursos en el DNS usado para especificar que un Domain Name es un alias para otro dominio, que es el dominio “canónico”. El hostnamesin asociado el pool atado a este CNAME pudo ser similar a:

• ec2-107-22-180-78.compute-1.amazonaws.com (107.22.180.78)
• ec2-54-225-142-100.compute-1.amazonaws.com (54.225.142.100)
• ec2-23-21-208-4.compute-1.amazonaws.com (23.21.208.4)
• ec2-54-83-195-228.compute-1.amazonaws.com (54.83.195.228)

Hay dos opciones adicionales de los servidores de la reputación del archivo que pueden ser seleccionadas:

• AMÉRICAS (cloud-sa.amp.cisco.com)
• EUROPA (cloud-sa.eu.am p.cisco.com)

Ambos servidores se cubren en la sección “del archivo de la reputación de los nombres de host estáticos del servidor (.cisco.com)” de este documento.

Usted puede ser que verifique los host que se asocian a las AMÉRICAS cloud-sa-amp.sourcefire.com CNAME de su red en cualquier momento cuando usted funciona con esta interrogación del empuje o del nslookup:

╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228

╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4

Nota: Estos host no son estáticos y se recomienda para no restringir el tráfico de la reputación del archivo ESA basado solamente a estos host. Los resultados de su interrogación pudieron variar, como los host en el pool cambiarán sin previó aviso.

Usted puede verificar la ubicación geográfica IP de esta herramienta de las de otras compañías:

• http://geoiplookup.net/ip/107.22.180.78

• http://geoiplookup.net/ip/54.225.208.214

• http://geoiplookup.net/ip/23.21.208.4

• http://geoiplookup.net/ip/54.83.195.228

Nombres de host estáticos del servidor de la reputación del archivo (.cisco.com)

Cisco comenzó a proporcionar los nombres de host basados “.cisco.com” para el servicio de la reputación del archivo para el amperio en 2016.  Hay nombres de host estáticos y IP Addresses disponibles para la reputación del archivo de esto:

• cloud-sa.amp.cisco.com (Norteamérica - USA)
• cloud-sa.eu.amp.cisco.com (Europa – Irlanda)
• cloud-sa.apjc.amp.cisco.com (Asia-Pacífico – Japón)

Usted puede ser que verifique los host y los IP Addresses asociados de su red y funcione con una interrogación del empuje o del nslookup:

Norteamérica (los E.E.U.U.):

╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50

Europa (Irlanda):

╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82

Asia-Pacífico (Japón):

 ╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127

Usted puede verificar la ubicación geográfica IP de esta herramienta de las de otras compañías:

• http://geoiplookup.net/ip/52.21.117.50

• http://geoiplookup.net/ip/52.30.124.82

• http://geoiplookup.net/ip/52.69.39.127

Ahora, no hay planes para desarmar los nombres de host “.sourcefire.com”.

Pool alternativo del servidor de la nube de la reputación de EUROPA (cloud-sa.eu.am p.sourcefire.com)

Para los clientes basados European Union (EU) que se requieren enviar el tráfico específico solamente a los servidores y a los centros de datos con base en UE, los administradores pueden configurar el ESA para señalar al host estático EU o al pool del servidor de la nube de la reputación EU:

• cloud-sa-eu.amp.cisco.com
• cloud-sa.eu.am p.sourcefire.com

Como el nombre de host predeterminado “cloud-sa.amp.sourcefire.com”, el nombre de host “cloud-sa.eu.am p.sourcefire.com” es también un CNAME. Los nombres de host asociados en el pool atados a este CNAME pudieron ser similares a:

• ec2-54-217-245-97.eu-west-1.compute.amazonaws.com (54.217.245.97)
• ec2-54-247-186-153.eu-west-1.compute.amazonaws.com (54.247.186.153)
• ec2-176-34-122-245.eu-west-1.compute.amazonaws.com (176.34.122.245) 

Usted puede ser que verifique los host que se asocian a cloud-sa.eu.amp.sourcefire.com EUROPEO CNAME de su red y funcionan con una interrogación del empuje o del nslookup::

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245

╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53

Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153

Nota: Estos host no son estáticos y se recomienda para no restringir el tráfico de la reputación del archivo ESA basado solamente a estos host. Los resultados de su interrogación pudieron variar, como los host en el pool cambiarán sin previó aviso.

Usted puede verificar la ubicación geográfica IP de esta herramienta de las de otras compañías:

• http://geoiplookup.net/ip/176.34.122.245

• http://geoiplookup.net/ip/54.247.186.153

• http://geoiplookup.net/ip/54.217.245.97

Host estático de la reputación del archivo de la configuración o un pool del servidor de la nube de la reputación del archivo alterno en el ESA

La reputación del archivo se puede configurar del GUI o del CLI en el ESA. Los pasos para la configuración enumerados en este documento demostrarán la configuración CLI. Sin embargo, los mismos pasos e información pueden ser aplicados vía el GUI (los Servicios de seguridad > la reputación y el análisis del archivo > editan las configuraciones globales… > avanzó las configuraciones para la reputación del archivo).

AsyncOS 10.x y más nuevo

Las nuevas funciones de AsyncOS 10.x permiten que el ESA sea configurado para utilizar una nube privada de la reputación (las En-premisas clasifían el servidor de la reputación) o el servidor nube-basado de la reputación del archivo. Con este cambio, la configuración amperio indica no más para el nombre de host con “ingresa el paso del pool del servidor de la nube de la reputación”. Usted debe elegir poner el servidor adicional de la reputación del archivo como nube privada de la reputación y proporcionar la clave pública para ese nombre de host.

Para 10.0.x y más nuevo, cuando usted configura un servidor de la reputación amperio de la alternativa, usted puede ser que sea requerido ingresar una clave pública asociada a ese nombre de host.

Todos los servidores de la reputación amperio utilizan la misma clave pública:

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----

Este ejemplo le ayudará a poner el servidor alternativo de la reputación del archivo a cloud-sa.eu.amp.sourcefirce.com:

my11esa.local > ampconfig
 
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
 
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced

Enter cloud query timeout?
[15]>
 
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
 
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
 
Do you want to input new public key? [N]> y
 
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>

Confíe cualquier cambio de configuración.

AsyncOS 9.7.x y anterior

Este ejemplo en AsyncOS 9.7.2-065 para la Seguridad del correo electrónico le ayudará encima del pool alternativo del servidor de la nube de la reputación a cloud-sa.eu.amp.sourcefirce.com:

my97esa.local> ampconfig
 
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
 
Enter cloud query timeout?
[15]>
 
Enter cloud domain?
[a.immunet.com]>
 
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
 
Do you want use the recommended reputation threshold from cloud service? [Y]>
 
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
 
Enter heartbeat interval?
[15]>
 
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
 
Proxy server detail:
Server :
Port :
User :
 
Do you want to change proxy detail [N]>

Confíe cualquier cambio de configuración.

Servidor de la reputación del archivo de las En-premisas (nube privada de FireAMP)

El uso del las en-premisas clasifía el servidor de la reputación, también conocido como nube privada de FireAMP, fue introducido que comience con AsyncOS 10.x para la Seguridad del correo electrónico.

Si usted ha desplegado un dispositivo privado virtual de la nube de Cisco amperio en su red, usted puede ahora preguntar la reputación del archivo de las conexiones del mensaje sin el envío de ellas a la nube pública de la reputación. Para configurar su dispositivo para utilizar las en-premisas clasifían el servidor de la reputación, consideran “reputación del archivo el filtrar y clasifían el capítulo del análisis” en el guía del usuario o la ayuda en línea ESA.

  

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para ver el tráfico de la reputación del archivo el pasar al pool del servidor del host estático configurado o de la nube de la reputación, realice a una captura de paquetes del ESA con el filtro especificado para capturar el tráfico del puerto 32137 o del puerto 443.

Por este ejemplo, utilice el pool del servidor de la nube de cloud-sa.eu.amp.sourcefire.com y la comunicación SSL con el uso del puerto 443…

Esto se registra al ESA en los registros amperio:

Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2

El funcionamiento de la traza del paquete ESA capturó esta conversación:

1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848

Usted ve que el tráfico comunica sobre el puerto 443. De nuestro ESA (my11esa.local), comunica al nombre de host ec2-176-34-122-245.eu-west-1.compute.amazonaws.com. Este nombre de host se ata a la dirección IP 176.34.122.245:

╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245

La dirección IP de 176.34.122.245 es un miembro del pool del CNAME para cloud-sa.eu.amp.sourcefire.com:

╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245

Por este ejemplo, la comunicación fue dirigida y validada por el pool configurado del servidor de la nube de la reputación, cloud-sa.eu.amp.sourcefire.com.

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Utilice Telnet para probar la Conectividad

Para verificar la Conectividad llana del puerto a la nube de la reputación del archivo, utilice el nombre de host para el pool configurado del servidor de la nube de la reputación, y pruebe con el telnet al puerto 32137, o el puerto 443, según lo configurado.

my97esa.local> telnet cloud-sa.amp.sourcefire.com 443

Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Conectividad de Verfiy al EU, puerto excesivo acertado 443:

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443

Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Conectividad de Verfiy al EU, no capaz de conectar sobre el puerto 32137:

my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137

Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host

Usted puede probar el telnet al IP o a los nombres de host directos detrás del CNAME para el pool del servidor de la nube de la reputación con el mismo método de prueba telnet, con el uso del puerto 32137 o del puerto 443. Si usted no es con éxito telnet capaz al nombre de host y puerto, usted puede ser que necesite marcar la conectividad de red y las configuraciones del Firewall externas al ESA.

La verificación del éxito telnet a un servidor de la reputación del archivo de la en-premisa será hecha por el mismo proceso como se muestra.

Entrada de la clave pública

Cuando usted ingresa la clave pública en un ESA que ejecuta AsyncOS 10.x y más nuevo, asegure que usted era acertado en pegar o cargar la clave pública. Cualquier error en la clave pública será visualizado al resultado de la configuración:

Do you want to input new public key? [N]> y

Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key

Si usted recibe un error, revise la configuración. Para los errores persistentes, entre en contacto el soporte de Cisco.

Revise los registros amperio

Cuando usted ve el inicio amperio el ESA, asegúrese de que usted vea “la interrogación de la reputación del archivo de la nube” especificada a la hora de la interrogación de la reputación del archivo:

Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Si usted ve esto, la interrogación tiró de la respuesta del caché local ESA y NO del pool configurado del servidor de la nube de la reputación:

Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2

Errores y alertas adicionales

Un administrador ESA pudo recibir este aviso. Si se recibe esto, re-paso con la configuración y el proceso de verificación.

The Warning message is:

amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.

Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400

Información Relacionada

• Direccionamientos del servidor requerido para las operaciones apropiadas amperio
• Soporte Técnico y Documentación - Cisco Systems