Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document fournit un pas à pas « comment-à » pour enregistrer une nouvelle application dans Windows Azure afin de générer les id nécessaires et se terminer la configuration pour des configurations de boîte aux lettres du bureau 365 sur une appliance de sécurité du courrier électronique de Cisco (ESA). Ceci est exigé quand un administrateur ESA configure la correction automatique de boîte aux lettres (MARS) connecteur pour de malware LDAP avancé de protection (AMP), de Microsoft Office 365, ou s'exécuter sur-prem la version de l'analyseur de menace de Cisco pour le bureau 365.
Microsoft Exchange a toujours été l'un des systèmes de courrier électronique standard utilisés par moyen aux organismes de grande puissance globalement. Avec l'arrivée d'applications de nuage, Microsoft utilise le bureau 365 pour fournir l'email à la force du nuage et le logiciel basé sur nuage comprenant le Répertoire actif hébergé de serveur exchange et d'azur.
La sécurité du courrier électronique de Cisco protège Microsoft Exchange contre le Spam, les attaques par phishing, et les virus, et avec la protection améliorée de malware utilisant la protection avancée de malware (AMP) pour la grille de réputation de fichier et de menace de Cisco pour l'analyse de fichier.
Tandis que la sécurité du courrier électronique de Cisco entoure d'autres services de protection, ce guide explique comment les clients de la Microsoft Office 365 peuvent protéger leurs boîtes aux lettres contre des attaques malveillantes de zéro-jour telles que le ransomware. Il fait un pas le lecteur par les détails de la correction automatique de boîte aux lettres du bureau 365 d'établissement (MARS) intégrée avec l'AMP.
Un fichier peut être marqué comme malveillant à tout moment, même après qu'il a atteint la boîte aux lettres d'un utilisateur. L'AMP et la grille de menace de Cisco peuvent identifier ce développement pendant que les nouvelles informations émergent et pousseront des alertes rétrospectives à la sécurité du courrier électronique de Cisco. Avec AsyncOS pour la sécurité du courrier électronique, vous obtenez plus que juste l'alerte. Si votre organisation emploie le bureau 365 pour gérer des boîtes aux lettres, vous pouvez configurer la sécurité du courrier électronique de Cisco pour exécuter des actions d'automatique-correction sur les messages dans la boîte aux lettres d'un utilisateur quand le verdict de menace change.
La sécurité du courrier électronique de Cisco communique sécurisé et directement au Répertoire actif de Microsoft Azure pour accéder aux boîtes aux lettres du bureau 365. Si un email avec la connexion est traité par votre ESA et balayé par AMP, la connexion de fichier (SHA256) est donnée à l'AMP pour la réputation de fichier. La disposition d'AMP peut être marquée en tant que propre (étape 5, le schéma 1), et alors livré à la boîte aux lettres O365 du destinataire d'extrémité. À une date ultérieure, la disposition d'AMP est changée à malveillant, grille de menace de Cisco envoie une mise à jour de verdict de rétrospective (étape 8, le schéma 1) à tout ESA qui a traité le SHA256. Une fois que l'ESA reçoit la mise à jour rétrospective de verdict de malveillant si configuré, l'ESA prendra alors en mars prochain une mesure : En avant, l'effacement, expédient et suppriment.
Figure 1 : Transmission de sécurité du courrier électronique de Cisco avec la Microsoft Office 365
Ce guide est de couvrir comment-à configurent la sécurité du courrier électronique de Cisco avec O365 pour la correction automatique de boîte aux lettres seulement. L'AMP (réputation de fichier et analyse de fichier) devrait déjà être configuré. Pour d'autres détails sur la réputation de fichier et l'analyse de fichier, consultez s'il vous plaît le guide utilisateur pour la version d'AsyncOS que vous vous êtes déployé.
Vous créerez les quatre valeurs suivantes afin de configurer le connecteur de boîte aux lettres ESA de nouveau à l'AD azuré :
Afin d'établir ces valeurs priées, vous devrez se terminer les étapes dans ce document.
Conseil : Veuillez avoir la sortie enregistrée localement pour $base64Value, $base64Thumbprint, et $keyid, car ils seront exigés plus tard dans les étapes de configuration. Veuillez avoir le .crt et le .pem associé de votre certificat dans un répertoire disponible et local sur votre ordinateur.
Remarque: Si vous avez déjà un certificat (format x509/norme) et la clé privée, ignorez cette section. Soyez sûr que vous avez des fichiers tube cathodique et PEM, car vous aurez besoin de eux dans les sections étantes livré !
Valeurs à créer : |
● Thumbprint Certificat public de ● (fichier tube cathodique) Clé privée de ● (fichier PEM) |
Des administrateurs utilisant Unix/Linux/OS X, pour le but et l'exécution du script fourni, c'est dans la supposition que vous avez OpenSSL avez installé.
Remarque: Exécutez les commandes « qui openssl » et « version d'openssl » afin de vérifier l'installation d'OpenSSL. Installez OpenSSL s'il n'est pas présent !
Voyez le document suivant pour l'assistance : Script de configuration azuré d'AD pour la sécurité du courrier électronique de Cisco
De votre hôte (UNIX/Linux/OS X) :
Figure 2 : sortie d'écran de my_azure.sh
Comme vous voyez dans la figure 2, le script construit et exige le certificat public (fichier CER) requis pour l'enregistrement azuré d'app. Le script la clé privée exige également theThumbprintandCertificate (fichier PEM) que vous utiliserez dans la section configurante de sécurité du courrier électronique de Cisco.
Nous avons les valeurs nécessaires pour enregistrer notre application dans le Microsoft Azure !
[Ignorez la section suivante ! Poursuivez pour enregistrer un app azuré pour l'usage avec la sécurité du courrier électronique de Cisco.]
Pour des administrateurs utilisant Windows, vous devrez utiliser une application ou avoir la connaissance pour créer un certificat auto-signé. Ce certificat est utilisé afin de créer l'application de Microsoft Azure et associer la transmission API.
Valeurs à créer : |
● Thumbprint Certificat public de ● (fichier tube cathodique) Clé privée de ● (fichier PEM) |
Notre exemple pour que ce document crée un certificat auto-signé utilise XCA (https://hohnstaedt.de/xca/, https://sourceforge.net/projects/xca/).
Remarque: XCA peut être téléchargé pour le MAC, le Linux, ou le Windows.
1. Créez une base de données pour votre certificat et clés : a. Sélectionnez le fichier de la barre d'outils b. Nouvelle base de données choisie c. Créez un mot de passe pour votre base de données (vous aurez besoin de lui dans les étapes postérieures, ainsi souvenez-vous le !) 2. Cliquez sur en fonction l'onglet de Certificats, puis cliquez sur New le certificat |
|
3. Cliquez sur en fonction l'onglet soumis et complétez ce qui suit : a. Nom interne b. countryName c. stateOrProvinceName d. localityName e. organizationName f. organizationalUnitName (OU) g. commonName (NC) h. emailAddress 4. Cliquez sur génèrent en fonction une nouvelle clé 5. Au popup, vérifiez les informations fournies (changeant comme désiré) : a. Name (nom) b. Keytype : RSA c. Keysize : bit 2048 d. Cliquez sur créent en fonction e. Reconnaissez « le nom » » popup a avec succès créé RSA clé privée « en cliquant sur sur l'OK |
![]() |
6. Cliquez sur en fonction l'onglet d'utilisation principale et sélectionnez ce qui suit : a. Sous l'utilisation principale X509v3 : Signature numérique, chiffrement principal b. Sous X509v3 utilisation principale étendue : Protection de courrier électronique |
![]() |
7. Cliquez sur en fonction CORRECT pour appliquer des modifications à votre certificat 8. Reconnaissez « le nom » » popup a avec succès créé certificat « en cliquant sur sur l'OK |
Ensuite, vous voudrez exporter chacun des deux le certificat public (fichier CER) et délivrer un certificat la clé privée (fichier PEM) pour l'usage dans le PowerShell commande vers le haut d'ensuite, et pour l'usage dans les étapes configurantes de sécurité du courrier électronique de Cisco :
1. Cliquez sur et mettez en valeur le nom interne de votre certificat de création récente. 2. Exportation de clic a. Placez le répertoire de sauvegarde pour la facilité de l'accès (changeant comme désiré) b. Assurez le format d'exportation est placé à PEM (.crt) c. Cliquez sur OK |
![]() |
3. Cliquez sur en fonction l'onglet de clés privées 4. Cliquez sur et mettez en valeur le nom interne de votre certificat de création récente. 5. Exportation de clic a. Placez le répertoire de sauvegarde pour la facilité de l'accès (changeant comme désiré) b. Assurez le format d'exportation est placé au PEM privé (.pem) c. Cliquez sur OK 6. Quittez et XCA étroit |
![]() |
En conclusion, vous prendrez votre certificat créé et extrairez le Thumbprint, qui est nécessaire pour configurer la sécurité du courrier électronique de Cisco.
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]
$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
$base64Thumbprint
Remarque: « c:\Users\joe\Desktop… » est l'emplacement sur votre PC où vous enregistrez la sortie.
La sortie prévue quand exécuter la commande de PowerShell devrait aimer semblable à ce qui suit :
PS C:\Users\joe\Desktop> $base64Thumbprint
75fA1XJEJ4I1ZVFOB2xqkoCIh94=
Comme vous voyez, la commande de PowerShell exige le base64Thumbprint, qui est le Thumbprint requis pour la configuration ESA.
Vous vous êtes également terminé créant le certificat public (fichier CER) requis pour l'enregistrement azuré d'app. Et vous la clé privée avez créé certificat (fichier PEM) que vous utiliserez dans la section configurante de sécurité du courrier électronique de Cisco.
Nous avons les valeurs nécessaires pour enregistrer notre application dans le Microsoft Azure !
Procédure de connexion à votre portail de Microsoft Azure 1. Cliquez sur en fonction le Répertoire actif azuré (le schéma 7) 2. Cliquez sur en fonction les enregistrements d'app 3. Cliquez sur en fonction + nouvel enregistrement 4. Sur le « registre une application » paginent : a. Name : Sécurité du courrier électronique MARS de Cisco (ou le nom de votre choix) [Note : Vous pouvez laisser ce blanc, ou sentez-vous libre d'utiliser https://www.cisco.com/sign-on pour d'appoint] |
|
Vous serez présenté votre écran d'app, comme nommé ci-dessus :
Figure 8 : Page d'inscription d'app de Microsoft Azure
Sur votre volet d'application, dans les options de gérer…
Sur votre volet d'application, dans les options de gérer…
« Voulez-vous accorder le consentement pour les autorisations priées pour tous les comptes dans le <Azure Name> ? Ceci mettra à jour n'importe quel consentement existant d'admin enregistre cette application déjà doit apparier ce qui est répertorié ci-dessous. »
Clic oui
En ce moment, vous devriez voir un message de succès vert et l'affichage de colonne prié par consentement de « admin » accordés, semblable affiché :
Figure 9 : Enregistrement d'app de Microsoft Azure (autorisations API exigées)
Commençant dans AsyncOS 13.0 pour la sécurité du courrier électronique, les autorisations API pour l'azur à la transmission ESA exigée ont changé de l'échange au graphique de Microsoft. Si vous avez déjà configuré MARS et vous améliorez votre ESA existant à AsyncOS 13.0, vous pouvez simplement ajouter les nouvelles autorisations API.
Sur votre volet d'application, dans les options de gérer…
« Voulez-vous accorder le consentement pour les autorisations priées pour tous les comptes dans le <Azure Name> ? Ceci mettra à jour n'importe quel consentement existant d'admin enregistre cette application déjà doit apparier ce qui est répertorié ci-dessous. »
Clic oui
En ce moment, vous devriez voir un message de succès vert et l'affichage de colonne prié par consentement de « admin » accordés.
Sur votre volet d'application, dans les options de gérer…
Figure 10 : Enregistrement d'app de Microsoft Azure (emplacement d'ID d'application et de répertoire)
Valeurs créées : |
ID de client de ● ID de locataire de ● ● Thumbprint Clé privée de ● (fichier PEM) |
À ce moment, vous devriez avoir les quatre valeurs disposées affichées dans la table : ID de client, ID de locataire, Thumbprint, clé privée (fichier PEM).
Nous sommes prêts à employer nos valeurs créées et configurons MARS sur l'ESA.
Figure 11 : Configuration ESA (configurations de boîte aux lettres)
L'étape suivante est de vérifier seulement la connexion API de l'ESA au Microsoft Azure.
Figure 12 : Configurez ESA (la connexion de contrôle…)
La dernière étape est d'activer MARS dans la configuration d'AMP pour des stratégies de messagerie.
Figure 13 : Enable MARS (stratégies de messagerie entrante)
Figure 14 : Enable MARS (configurations d'AMP)
Configuration complète !
À ce moment Cisco la sécurité du courrier électronique est prête à évaluer continuellement des menaces d'émergeant car les nouvelles informations deviennent disponibles et vous informant au sujet des fichiers qui sont déterminés pour être des menaces après qu'elles soient entrées dans votre réseau.
Quand un verdict rétrospectif est produit à partir de la grille de menace de Cisco, un message de l'information est envoyé à l'administrateur de sécurité du courrier électronique (si configuré) :
Figure 15 : Exemple rétrospectif de message de l'information de verdict de sécurité du courrier électronique de Cisco
La correction automatique de boîte aux lettres sera prise comme configuré si configuré contre la stratégie de messagerie.
Signaler pour n'importe quels SHA256 qui remediated sera dans l'état automatique de correction de boîte aux lettres disponible tous deux sur l'appliance de sécurité du courrier électronique (ESA) et l'appliance de Gestion de la sécurité (SMA).
Figure 16 : Exemple automatique d'état de correction de boîte aux lettres d'appareils de sécurité du courrier électronique (moniteur > correction automatique de boîte aux lettres)
Figure 17 : Exemple automatique d'état de correction de boîte aux lettres d'appareils de Gestion de la sécurité (la surveillance > a avancé la protection de malware : Correction automatique de boîte aux lettres)
La correction automatique de boîte aux lettres a un log individuel, « mars ». Les logs automatiques de correction de boîte aux lettres contiendront toute l'activité de transmission entre la sécurité du courrier électronique et le Microsoft Azure et le Microsoft O365 de Cisco.
Un exemple des logs de mars :
Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's(robsherw@bce-demo.info) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:robsherw@bce-demo.info.
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Tue Jun 4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:robsherw@bce-demo.info.
Tue Jun 4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Si vous ne voyez pas que les résultats positifs pour l'état de la connexion testent, vous pouvez souhaiter passer en revue l'enregistrement d'application exécuté de l'AD azuré.
De l'ESA, placez les logs de MARS au niveau de suivi et retestez la connexion.
Pour les connexions infructueuses, les logs peuvent afficher semblable à :
Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
Timestamp: 2017-03-30 20:08:50Z
Confirmez l'ID d'ID de la demande, de répertoire (qui est identique que l'ID de locataire), ou d'autres identifiants associés du log avec votre application dans l'AD azuré. Si vous êtes incertain des valeurs, supprimez l'application de l'AD azuré portail et recommencez.
Pour une connexion réussie, les logs devraient être semblables à :
Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
Thu Mar 30 15:51:58 2017 Trace: command session starting
Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's(myuser@mydomain.onmicrosoft.com) mailbox.
Remarque: Cisco TAC et le support de Cisco ne sont pas autorisés à dépanner des questions de côté client avec l'AD de Microsoft Exchange, de Microsoft Azure, ou le bureau 365.
Pour des questions de côté client avec l'AD de Microsoft Azure, vous devrez engager le support de Microsoft. Veuillez voir l'option de « aide + de support » de votre tableau de bord de Microsoft Azure. Vous pouvez pouvoir ouvrir des demandes de support direct au support de Microsoft du tableau de bord.