Introducción
Este documento describe la información de red que se debe agregar a su firewall para que Secure Malware Analytics funcione correctamente.
Colaboración de los ingenieros del TAC de Cisco.
Nubes de análisis de malware seguras
Nube de EE. UU. (Estados Unidos)
URL de acceso: https://panacea.threatgrid.com)
Hostname |
IP |
Puerto |
Detalles |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148 63.162.55.67 |
443 |
Para Secure Malware Analytics Portal y dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.mtv.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
Ventana de interacción de ejemplo |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
Ventana de interacción de ejemplo |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
Ventana de interacción de ejemplo |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
Servicio de análisis de archivos FMC/FTD |
Nube de la UE (Europa)
URL de acceso: https://panacea.threatgrid.eu
Hostname |
IP |
Puerto |
Detalles |
panacea.threatgrid.eu |
89.167.128.132 |
443 |
Para Secure Malware Analytics Portal y dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.threatgrid.eu |
89.167.128.132 |
443 |
Ventana de interacción de ejemplo |
fmc.api.threatgrid.eu |
89.167.128.132 |
443 |
Servicio de análisis de archivos FMC/FTD |
Nube de CA (Canadá)
URL de acceso: https://panacea.threatgrid.ca
Hostname |
IP |
Puerto |
Detalles |
panacea.threat.ca |
200.194.240.35 |
443 |
Para Secure Malware Analytics Portal y dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.kam.threat.ca |
200.194.240.35 |
443 |
Ventana de interacción de ejemplo |
fmc.api.threat.ca |
200.194.240.35 |
443 |
Servicio de análisis de archivos FMC/FTD |
Dispositivo de análisis de malware seguro
Estas son las reglas de firewall recomendadas por interfaz del dispositivo de análisis de malware seguro.
Interfaz sucia
Las máquinas virtuales las utilizan para comunicarse con Internet, de modo que las muestras puedan resolver DNS y comunicarse con servidores de comando y control (C&C)
Permiso:
Dirección:
|
Protocolo
|
Puerto
|
Destino
|
Hostname
|
Detalles
|
Salientes
|
IP
|
CUALQUIERA
|
CUALQUIERA
|
|
Se recomienda, excepto cuando se especifique en la sección Denegar aquí.
Usado para permitir la conectividad para el análisis.
|
Salientes
|
TCP
|
22
|
63.97.201.98 2
63.162.55.98 2
|
support-snapshots.threatgrid.com
|
Se utiliza para cargas de diagnóstico de soporte automático
Nota: requiere la versión de software 1.2+
|
Salientes
|
TCP
|
22
|
|
appliance-updates.threatgrid.com
|
Actualizaciones de dispositivos
|
Salientes
|
TCP
|
19791
|
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2 63.162.55.96 2
|
rash.threatgrid.com
|
Soporte remoto/Modo de soporte de dispositivo
|
Salientes
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
Administración de licencias
|
1Estas IP se desactivarán en un futuro próximo.
2Estas son las IP que reemplazarían a las de 1. Sugerimos agregar ambas IP hasta que la comunicación sobre los cambios de IP se realice en un futuro próximo.
Salida de red remota
Utilizado por el dispositivo para tunelizar el tráfico de VM a una salida remota antes conocida como tg-tunnel.
Dirección: |
Protocolo |
Puerto |
Destino |
Salientes |
TCP |
21413 |
163.182.175.193 |
Salientes |
TCP |
21417 |
69.55.5.250 |
Salientes |
TCP |
21415 |
69.55.5.250 |
Salientes |
TCP |
21413 |
76.8.60.91 |
Nota: la salida remota 4.14.36.142 se ha eliminado y ya no está en producción. Asegúrese de agregar todas las direcciones IP mencionadas a la lista de excepciones del firewall.
Denegar:
Dirección:
|
Protocolo
|
Puerto(s)
|
Destino
|
Detalles
|
Salientes
|
SMTP
|
CUALQUIERA |
CUALQUIERA
|
Para evitar que el malware envíe spam.
|
Entrante
|
IP
|
CUALQUIERA
|
Interfaz sucia de Secure Malware Analytics Appliance
|
Se recomienda, excepto cuando se especifique en la sección Permitir anterior.
Se utiliza para permitir la comunicación para el análisis.
|
Limpiar interfaz
Utilizado por varios servicios conectados para enviar muestras, así como acceso a la interfaz de usuario para los analistas.
Permiso:
Dirección:
|
Protocolo
|
Puerto(s)
|
Destino
|
Detalles
|
Entrante
|
TCP
|
443
8443
|
Interfaz limpia de Secure Malware Analytics Appliance
|
Acceso a WebUI y API
|
Entrante
|
TCP
|
9443
|
Interfaz limpia de Secure Malware Analytics Appliance
|
Se utiliza para guantera
|
Salientes
|
TCP
|
19791
|
Host: rash.threatgrid.com
|
Modo de recuperación para el soporte de Secure Malware Analytics.
|
1Estas IP se desactivarán en un futuro próximo.
2Estas son las IP que reemplazarían a las de 1. Sugerimos agregar ambas IP hasta que la comunicación sobre los cambios de IP se realice en un futuro próximo.
Interfaz de administración
Acceso a la interfaz de administración.
Permiso:
Dirección:
|
Protocolo
|
Puerto(s)
|
Destino
|
Detalles
|
Entrante
|
TCP
|
443
8443
|
Interfaz de administración de Secure Malware Analytics Appliance
|
Se utiliza para configurar el hardware y las licencias. |