¿Tiene una cuenta?
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento proporciona un "procedimiento" paso a paso para registrar una nueva aplicación en Windows Azure a fin de generar los ID necesarios y completar la configuración para los ajustes de los buzones de correo de Office 365 en un dispositivo de seguridad Cisco Email Security Appliance (ESA). Se requieren cuando un administrador de ESA configura la solución automática de buzón (MAR) para la protección frente a malware avanzado (AMP) o utiliza la función Remediar del rastreo de mensajes en el dispositivo de administración de seguridad (SMA) o ESA.
Microsoft Exchange siempre ha sido uno de los sistemas de correo electrónico estándar que utilizan las organizaciones de tamaño medio y grande en todo el mundo. Con el auge de las aplicaciones en la nube, Microsoft utiliza Office 365 para proporcionar correo electrónico basado en la nube y software basado en la nube, incluidos Exchange Server alojado y Azure Active Directory.
Cisco Email Security protege a Microsoft Exchange frente al spam, los ataques de phishing y los virus, y con una protección frente a malware mejorada mediante la protección frente a malware avanzado (AMP) para la reputación de archivos y Cisco Threat Grid para el análisis de archivos.
Aunque Cisco Email Security engloba otros servicios de protección, esta guía explica cómo los clientes de Microsoft Office 365 pueden proteger sus buzones de correo frente a ataques malintencionados de día cero, como el ransomware. Da un paso al lector por los detalles de la configuración de Office 365 MAR integrado con AMP. Se requieren los mismos pasos para remediar con éxito los mensajes del seguimiento de mensajes.
Un archivo puede calificarse de malicioso en cualquier momento, incluso después de haber llegado al buzón de un usuario. AMP y Cisco Threat Grid pueden identificar este desarrollo a medida que surge nueva información y enviarán alertas retrospectivas a Cisco Email Security. Con AsyncOS para Email Security, obtendrá algo más que solo alertas. Si su organización utiliza Office 365 para administrar buzones de correo, puede configurar Cisco Email Security para realizar acciones de remediación automática en los mensajes del buzón de un usuario cuando cambie el veredicto de amenaza.
Cisco Email Security se comunica de forma segura y directa con Microsoft Azure Active Directory para obtener acceso a los buzones de correo de Office 365. Si un correo electrónico con datos adjuntos se procesa a través del ESA y AMP lo analiza, el archivo adjunto (SHA256) se proporciona a AMP para la reputación del archivo. La disposición de AMP se puede marcar como Limpia (paso 5, figura 1) y luego entregarse al buzón O365 del destinatario final. Más adelante, la disposición de AMP se cambia a Malicious, Cisco Threat Grid envía una actualización de veredicto retrospectiva (paso 8, figura 1) a cualquier ESA que haya procesado el SHA256. Una vez que el ESA recibe la actualización de veredicto retrospectivo de Malicious si se configura, el ESA entonces tomará la siguiente acción MAR: Reenviar, Eliminar, Reenviar y Eliminar.
Figura 1: Comunicación de Cisco Email Security con Microsoft Office 365
En esta guía se explica cómo configurar Cisco Email Security con O365 sólo para la remediación automática del buzón de correo. AMP (Reputación de archivos y Análisis de archivos) ya debe configurarse. Para obtener más detalles sobre Reputación de archivos y Análisis de archivos, consulte la guía del usuario para la versión de AsyncOS que ha implementado.
Estará creando los siguientes cuatro valores para configurar el conector del buzón ESA de vuelta a Azure AD:
ID de cliente ID del arrendatario Thumbprint Clave privada (archivo PEM) Secreto de cliente (si no se utiliza un certificado) |
Para generar estos valores requeridos, deberá completar los pasos en este documento.
Sugerencia: Por favor, tenga el resultado guardado localmente para $base64Value, $base64Thumbprint y $keyid, ya que se necesitarán más adelante en los pasos de configuración. Tenga el .crt y el .pem asociado del certificado en una carpeta local disponible del equipo.
Nota: A partir de AsyncOS 14.0, la configuración de la cuenta permite la configuración mediante Client Secret al crear Microsoft Azure App Registration. Si desea utilizar un secreto de cliente, por favor SKIP de la primera sección de esta guía, Build a Public and Private Certificate and Key Pair, y comience con Register an Azure app for use with Cisco Email Security. Verá la opción de utilizar un secreto de cliente enumerado en Certificados y secretos en esa sección.
Nota: Si ya tiene un certificado (formato x509/estándar) y una clave privada, omita esta sección. Asegúrese de que tiene los archivos CRT y PEM, ya que los necesitará en las secciones siguientes.
Valores a crear: |
Thumbprint Certificado público (archivo CRT) Clave privada (archivo PEM) |
Los administradores que utilizan Unix/Linux/OS X, para el propósito y la ejecución de la secuencia de comandos proporcionada, se asume que tiene instalado OpenSSL.
Nota: Ejecute los comandos 'what openssl' y 'openssl version' para verificar la instalación de OpenSSL. Instale OpenSSL si no está presente.
Consulte el siguiente documento para obtener asistencia: Azure AD Configuration Script para Cisco Email Security
Desde su host (UNIX/Linux/OS X):
Figura 2: salida de pantalla de my_azure.sh
Como puede ver en la Figura 2, el script genera y llama al Certificado Público (archivo CER) necesario para el registro de la aplicación Azure. La secuencia de comandos también indica elHuella digitalyClave privada de certificado (archivo PEM)se utilizará en la sección Configuración de Cisco Email Security.
Tenemos los valores necesarios para registrar nuestra aplicación en Microsoft Azure.
[Omita la siguiente sección. Proceda a Registrar una aplicación de Azure para su uso con Cisco Email Security.]
Para los administradores que utilizan Windows, deberá utilizar una aplicación o disponer de los conocimientos necesarios para crear un certificado autofirmado. Este certificado se utiliza para crear la aplicación de Microsoft Azure y asociar la comunicación API.
Valores a crear: |
Thumbprint Certificado público (archivo CRT) Clave privada (archivo PEM) |
Nuestro ejemplo para que este documento cree un certificado autofirmado es el uso de XCA (https://hohnstaedt.de/xca/, https://sourceforge.net/projects/xca/).
Nota: XCA se puede descargar para Mac, Linux o Windows.
1. Cree una base de datos para el certificado y las claves: a. Seleccione Archivo de la barra de herramientas b. Seleccionar nueva base de datos c. Crear una contraseña para la base de datos (lo necesitará en pasos posteriores, ¡recuérdelo!) 2. Haga clic en la ficha Certificados y, a continuación, haga clic en Nuevo certificado |
|
3. Haga clic en la ficha Asunto y rellene los siguientes campos: a. Nombre interno b. countryName c. stateOrOwnerName d. localityName e. organizationName f. OrganizationUnitName (OU) g CommonName (CN) h. emailAddress 4. Haga clic en Generar una nueva clave 5. En la ventana emergente, verifique la información proporcionada (cambio según lo deseado): a. Nombre b. Tipo de clave: RSA c. Tamaño de la clave: 2048 bit d. Haga clic en Create (Crear) e. Confirme la ventana emergente "Creado correctamente la clave privada RSA 'Name'" haciendo clic en Aceptar |
![]() |
6. Haga clic en la ficha Key usage (Uso de claves) y seleccione lo siguiente: a. En Uso de claves X509v3: Firma digital, inscripción clave b. En Uso de clave ampliada X509v3: Protección de correo electrónico |
![]() |
7. Haga clic en Aceptar para aplicar cambios a su certificado 8. Acepte la ventana emergente "Creado correctamente el certificado 'Nombre'" haciendo clic en Aceptar |
A continuación, desea exportar tanto el Certificado Público (archivo CER) como la Clave Privada de Certificado (archivo PEM) para utilizarlos en los comandos PowerShell más adelante y para utilizarlos en los pasos de Configuración de Cisco Email Security:
1. Haga clic y resalte el nombre interno del certificado recién creado. 2. Haga clic en Exportar a. Configure el directorio de almacenamiento para facilitar el acceso (cambiando según lo desee) b. Asegúrese de que el formato de exportación esté establecido en PEM (.crt) c. Haga clic en OK (Aceptar). |
![]() |
3. Haga clic en la pestaña Private Keys 4. Haga clic y resalte el nombre interno del certificado recién creado. 5. Haga clic en Exportar a. Configure el directorio de almacenamiento para facilitar el acceso (cambiando según lo desee) b. Asegúrese de que el formato de exportación esté configurado en PEM private (.pem) c. Haga clic en OK (Aceptar). 6. Salir y cerrar XCA |
![]() |
Por último, tomará el certificado creado y extraerá la huella digital, que es necesaria para configurar Cisco Email Security.
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]
$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
$base64Thumbprint
Nota: “c:\Users\joe\Desktop..." es la ubicación del PC en la que se guarda la salida.
La salida esperada al ejecutar el comando PowerShell debe ser similar a la siguiente:
PS C:\Users\joe\Desktop> $base64Thumbprint
75fA1XJEJ4I1ZVFOB2xqkoCIh94=
Como puede ver, el comando PowerShell llama a la huella digital base64Thumbprint, que es la huella digital necesaria para la configuración ESA.
También ha terminado de crear el Certificado público (archivo CER) necesario para el registro de la aplicación de Azure. Y ha creado la clave privada de certificado (archivo PEM) que utilizará en la sección Configuración de Cisco Email Security.
Tenemos los valores necesarios para registrar nuestra aplicación en Microsoft Azure.
Inicie sesión en su Portal de Microsoft Azure 1. Haga clic en Azure Active Directory (Figura 7) 2. Haga clic en Registros de aplicaciones 3. Haga clic en + Nuevo registro 4. En la página "Registrar una aplicación": a. Nombre: Cisco Email Security MAR (o el nombre que elija) [Nota: Puede dejar esto en blanco o no dude en utilizar https://www.cisco.com/sign-on para rellenar] |
|
Se le presentará la pantalla de la aplicación, como se indica anteriormente:
Figura 8: página de registro de Microsoft Azure App
Si ejecuta AsyncOS 14.0 o posterior, puede configurar su aplicación de Azure para utilizar un secreto de cliente. En el panel de la aplicación, en las opciones Administrar:
1. Seleccionar certificados y secretos
2. En la sección Secretos de cliente, haga clic en Nuevo secreto de cliente
3. Agregue una descripción para ayudar a identificar para qué sirve este secreto de cliente, por ejemplo, "Solución de correo electrónico de Cisco"
4. Seleccione un período de vencimiento
5. Haga clic en Add (Agregar)
6. Coloque el ratón sobre la derecha del valor generado y haga clic en Copiar al portapapeles
7. Pegue esto en las notas, el Bloc de notas, el Bloc de notas+, etc. y anote esto como "Secreto de cliente"
Nota: Una vez que haya salido de la sesión activa de Microsoft Azure, el valor del secreto de cliente que acaba de generar será ***. Si no registra y protege el valor antes de salir, deberá volver a crear el secreto del cliente para ver la salida de texto despejado.
Si no está configurando su aplicación de Azure con un secreto de cliente, configure su aplicación de Azure para utilizar su certificado. En el panel de la aplicación, en las opciones Administrar:
En el panel de aplicaciones, en las opciones Administrar...
"¿Desea conceder el consentimiento para los permisos solicitados para todas las cuentas de <Azure Name>? Esto actualizará cualquier registro de consentimiento de administrador existente que esta aplicación ya tenga para coincidir con lo que se enumera a continuación".
Haga clic en Sí
En este punto, debería ver un mensaje de confirmación de color verde y la columna "Consentimiento de administrador requerido" aparece Granted, similar a la que se muestra:
Figura 9: Registro de aplicaciones de Microsoft Azure (se requieren permisos de API)
A partir de AsyncOS 13.0 para Email Security, los permisos de API necesarios para la comunicación entre Azure y ESA han cambiado de Exchange a Microsoft Graph. Si ya ha configurado MAR y está actualizando su ESA existente a AsyncOS 13.0, puede simplemente agregar los nuevos permisos de API.
En el panel de aplicaciones, en las opciones Administrar...
"¿Desea conceder el consentimiento para los permisos solicitados para todas las cuentas de <Azure Name>? Esto actualizará cualquier registro de consentimiento de administrador existente que esta aplicación ya tenga para coincidir con lo que se enumera a continuación".
Haga clic en Sí
En este punto, debería ver un mensaje de confirmación de color verde y la columna "Admin Consent Required" (Consentimiento administrativo requerido) aparece Granted (Concedido).
En el panel de aplicaciones, en las opciones Administrar...
Figura 10: Registro de aplicaciones de Microsoft Azure (ubicación de ID de la aplicación y del directorio)
Valores creados: |
ID de cliente ID del arrendatario Thumbprint Clave privada (archivo PEM) Secreto de cliente (si no se utiliza un certificado) |
En este momento, debería tener los cuatro valores preparados en la tabla: ID de cliente, ID de arrendatario, huella digital, clave privada (archivo PEM).
Estamos listos para usar nuestros valores creados y configurar MAR en el ESA.
o
Figura 11: Configuración ESA (configuración de buzón)
El paso siguiente es solamente verificar la conexión de la API de ESA a Microsoft Azure.
Figura 12: Configurar ESA (Comprobar conexión...)
El último paso es habilitar MAR en la configuración de AMP para las políticas de correo.
Figura 13: Habilitar MAR (políticas de correo entrante)
Figura 14: Habilitar MAR (configuración de AMP)
Configuración completada
En este momento, Cisco Email Security está preparado para evaluar de forma continua las amenazas emergentes a medida que se dispone de nueva información y se le notifican los archivos que se consideran amenazas después de que hayan entrado en la red.
Cuando se produce un veredicto retrospectivo desde Cisco Threat Grid, se envía un mensaje de información al administrador de Email Security (si está configurado):
Figura 15: Ejemplo de mensaje de información de veredicto retrospectivo de Cisco Email Security
La Remediación automática del buzón se tomará como se configuró si se comparó con la política de correo.
Los informes de cualquier SHA256 que se hayan solucionado se incluirán en el informe de remediación automática de buzón disponible tanto en el dispositivo de seguridad de correo electrónico (ESA) como en el dispositivo de gestión de seguridad (SMA).
Figura 16: Ejemplo de informe de remediación automática del buzón de correo del dispositivo de seguridad de correo electrónico (Supervisión > Remediación automática del buzón)
Figura 17: Ejemplo de informe de solución automática de buzón de correo del dispositivo de administración de seguridad (Supervisión > Protección frente a malware avanzado: Remediación automática del buzón)
La Remediación automática del buzón tiene un registro individual, "mar". Los registros de Remediación automática del buzón contendrán toda la actividad de comunicación entre Cisco Email Security y Microsoft Azure y Microsoft O365.
Un ejemplo de los registros de mar:
Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's(robsherw@bce-demo.info) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:robsherw@bce-demo.info.
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Tue Jun 4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:robsherw@bce-demo.info.
Tue Jun 4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Si no ve resultados satisfactorios para la prueba de estado de conexión, puede que desee revisar el registro de la aplicación realizado desde Azure AD.
Desde el ESA, establezca los registros MAR en el nivel Trace y vuelva a probar la conexión.
Para conexiones fallidas, los registros pueden mostrar similares a:
Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
Timestamp: 2017-03-30 20:08:50Z
Confirme la ID de la aplicación, la ID del directorio (que es la misma que la ID del arrendatario) u otros identificadores asociados del registro con su aplicación en Azure AD. Si no está seguro de los valores, elimine la aplicación del portal de Azure AD y vuelva a iniciarla.
Para una conexión correcta, los registros deben ser similares a:
Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
Thu Mar 30 15:51:58 2017 Trace: command session starting
Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's(myuser@mydomain.onmicrosoft.com) mailbox.
Nota: Cisco TAC y Cisco Support no tienen derecho a resolver problemas del lado del cliente con Microsoft Exchange, Microsoft Azure AD o Office 365.
Para los problemas del lado del cliente con Microsoft Azure AD, deberá ponerse en contacto con el soporte técnico de Microsoft. Consulte la opción "Ayuda + soporte" desde su panel de Microsoft Azure. Es posible que pueda abrir solicitudes de soporte directo al soporte técnico de Microsoft desde el panel.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
31-Aug-2021 |
Versión inicial |