Introducción
Este documento describe cómo configurar y resolver problemas de integraciones de terceros compatibles con Secure Malware Analytics Appliance (anteriormente Threat grid).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Secure Malware Analytics
- Cisco Umbrella
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
- Umbrella
- Dispositivo de análisis de malware seguro
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Para proporcionar información analítica adicional de una muestra enviada, como la puntuación de riesgo general, el dispositivo de análisis de malware se integra con Umbrella a través de la clave de la API.
Configuración
Sugerencia: En Operaciones de Cluster de TGA, cada nodo de TGA se configura de forma individual. Si no se configura cada nodo TGA, pueden producirse resultados incoherentes.
Nota: Las integraciones se originan en la interfaz dañada del dispositivo; la interfaz dañada debe estar conectada y tener permiso de acceso saliente para realizar las operaciones adecuadas.
Paso 1. Inicie sesión en el panel de Umbrella y haga clic en Admin > Licensing en el menú de navegación del lado izquierdo. Verá el tipo de paquete actual.
Paso 2. Asegúrese de que tiene una licencia de grado SIG
https://umbrella.cisco.com/products/umbrella-enterprise-security-packages
Paso 3. En el panel de Umbrella, haga clic en Investigate > API keys > copy API Access Tokens (Investigar > Claves API > Copiar tokens de acceso API)
Paso 4. Inicie sesión en la interfaz Opadmin (Admin) del dispositivo de análisis de malware.
Paso 5. Vaya a Configuration > Integrations .
Paso 6. Configure el TGA con los Tokens de Acceso API.
Una vez configurado, haga clic en Save y luego en reconfigure.
Paso 7. Utilice RASH para que el dispositivo del cliente realice
systemctl —no-block restart tg-supervisor
Paso 8. Compruebe que su licencia tiene el nivel de API adecuado:
curl —include —request POST —header "Authorization: Bearer 12345678910" —data-binary "["cnn.com"]" https://investigate.api.umbrella.com/domains/categorization
Nota: debe ponerse en contacto con el gerente de cuentas del cliente para obtener la actualización de la licencia.
No se pudo completar la acción deseada porque la licencia de nivel 1 no tiene acceso a los terminales masivos. Esto requiere una actualización de la licencia para el acceso de nivel 2 o nivel 3.
Paso 1. Envíe una muestra de URL para su análisis.
Paso 2. Después de completar el ejemplo; vea Ejemplos>Tráfico DNS .
Paso 3. Navegue hasta Umbrella Risk score.
Troubleshoot
1. La puntuación de riesgo general no se presenta en la muestra del dispositivo de análisis de malware en el tráfico DNS
Asegúrese de que no obtiene el error HTTP 403 en el paso 8. Compruebe que la licencia tiene el nivel de API adecuado.
Para resolver lo anterior, los clientes deben ponerse en contacto con el especialista en seguridad y el equipo de cuentas para actualizar sus licencias Umbrella. No es responsabilidad de GATE ayudar con la licencia de Umbrella.
2. El token de paraguas no se guarda en el dispositivo de análisis de malware
Para verificar que el token Umbrella de API esté correctamente codificado en el dispositivo, puede utilizar el graphiql para consultar el archivo de configuración. La respuesta debe ser el token Umbrella de API correcto obtenido del panel de Umbrella.
Sugerencia: reemplace <IP> por el nombre de host correspondiente de la TGA, borre los valores predeterminados y escriba exactamente lo que aparece en la pantalla de la izquierda, luego presione el botón de reproducción.
graphiql