Score de réputation de Web (WBRS) et forums aux questions d'engine de catégorisation de Web (Foire aux questions)
Contenu
Score de réputation de Web (WBRS) et forums aux questions d'engine de catégorisation de Web (Foire aux questions).
Cet article décrit les questions fréquemment posées sur la caractéristique du score (WBRS) et de la catégorisation de réputation de Web avec l'appliance de sécurité Web de Cisco (WSA).
Quel score de réputation de Web signifie ?
Les filtres de réputation de Web assigne un score basé sur le WEB de réputation (WBRS) à un URL pour déterminer la probabilité qu'elle contient le malware basé sur URL. L'appliance de sécurité Web emploie des scores de réputation de Web pour identifier et arrêter des attaques de malware avant qu'elles se produisent. Vous pouvez utiliser des filtres de réputation de Web avec Access, le déchiffrement, et les stratégies de sécurité de données Cisco.
Quelle catégorisation de Web signifie ?
Les sites Web d'Internet sont des catégories basées sur le comportement et le but de ces sites Web, afin de le faciliter pour les administrateurs des proxys, nous avons ajouté chaque URL du site Web à une catégorie de prédéfinis, où elle peut être identifiée pour des buts de Sécurité et d'enregistrement. les sites Web qui n'appartient pas à une des catégories de prédéfinis, s'appellent les sites Web uncategorized, qui peuvent être dus à la création de nouveau site internet et au manque d'assez de données/de trafic, pour déterminer sa catégorie. et ceci change par temps.
Comment trouver le score de réputation dans l'accès se connecte ?
Chaque demande que vous faites par l'appliance de sécurité Web de Cisco (WSA) devriez avoir un score basé sur le WEB du score de réputation (WBRS) et la catégorie URL reliés à elle. et une des manières de le visualiser est par les logs d'accès, exemple est ci-dessous : le score basé sur le WEB du score de réputation (WBRS) est (-1.4), et la catégorie URL est : Ordinateurs et Internet.
Référence des textes pour le tir d'écran ci-dessus.
1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <IW_comp,-1.4,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
Comment trouver le score de réputation dans mes états ?
- Naviguez vers le GUI des appareils de sécurité Web de Cisco (WSA) - > enregistrement - > cheminement de Web.
- Recherchez le domaine que vous recherchez.
- Dans les résultats paginez, klick sur le lien nécessaire, et plus de détails apparaîtront en tant que ci-dessous.
Où vérifiez-vous les logs basés sur le WEB de mises à jour du score de réputation (WBRS) ?
Le score basé sur le WEB de réputation (WBRS) met à jour des logs peut être trouvé sous les updater_logs, vous peut télécharger ces logs par l'intermédiaire de la procédure de connexion de Protocole FTP (File Transfer Protocol) à l'interface de gestion. ou par l'intermédiaire de l'interface de ligne de commande (CLI).
Pour visualiser des logs utilisant le terminal :
- Ouvrez le terminal.
- Tapez la queue de commande.
- A choisi le nombre de logs (il varie dépend de la version et du nombre de logs configurés).
- Les logs seront affichés.
WSA.local (SERVICE)> tail
Currently configured logs:
1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
xx.xx.xx.xx
2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
....
43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
Poll
Enter the number of the log you wish to tail.
[]> 44
Press Ctrl-C to stop scrolling, then `q` to quit.
Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
Mon Jul 15 19:24:04 2019 Info: mcafee update completed
Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
Mon Jul 15 19:38:02 2019 Info: wbrs update completed
Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019
Comment vérifiez-vous si vous avez la Connectivité aux serveurs basés sur le WEB de mises à jour du score de réputation (WBRS) ?
Afin de s'assurer votre appliance de sécurité Web de Cisco (WSA) peut obtenir les nouvelles mises à jour. vérifiez s'il vous plaît que vous avez la Connectivité aux serveurs de la mise à jour de Cisco sur les ports suivants 80 et 443 de Protocole TCP (Transmission Control Protocol) :
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
Comment classez-vous un conflit pour la catégorisation de Web ?
Après avoir vérifié que l'appliance de sécurité Web de Cisco (WSA) et le Cisco TALOS ayant le même score de réputation, mais vous pensent toujours ce n'est pas un résultat valide, puis ce besoin d'être réparé en soumettant un conflit avec l'équipe de Cisco TALOS.
Ceci peut être fait utilisant le lien suivant : https://talosintelligence.com/reputation_center/support
Afin de soumettre le conflit, suivez s'il vous plaît les instructions ci-dessous.
Résultats après avoir frappé la consultation et l'option de changer manuellement le score.
Comment classez-vous le conflit pour la réputation de Web marquez-vous ?
Après avoir vérifié que l'appliance de sécurité Web de Cisco (WSA) et le Cisco TALOS ayant la même catégorisation, mais vous pensent toujours ce n'est pas un résultat valide, puis ce besoin d'être réparé en soumettant un conflit avec l'équipe de Cisco TALOS.
Allez à la page d'envoi de catégorisation dans le site Web TALOS : https://talosintelligence.com/reputation_center/support#categorization
Afin de soumettre le conflit, suivez s'il vous plaît les instructions ci-dessous.
Pour mettre à jour la catégorie, a choisi du menu déroulant ce qui vous vous jugez qu'il adapte au site Web mieux, et veillez pour suivre les instructions de commentaires.
Un conflit a été classé mais le score ou la catégorie n'est pas obtenir mis à jour sur l'appliance de sécurité Web de Cisco (WSA) ou le Cisco TALOS.
Au cas où vous classeriez une caisse avec Cisco TALOS et la réputation/score n'a pas obtenu mis à jour dans les 3-4 jours. vous pouvez vérifier vos configurations de mises à jour et vous veiller pour avoir l'accessibilité au serveur de la mise à jour de Cisco. si toutes ces étapes étaient correctes, alors vous pouvez avancer et ouvrir un ticket avec Cisco TAC, et Cisco machinent vous aidera à la continuation avec l'équipe de Cisco TALOS.
Appliance de sécurité Web de Cisco (WSA) donnant différents résultats que Cisco TALOS, comment réparer ceci ?
La base de données peut être périmée sur l'appliance de sécurité Web de Cisco (WSA) due à de plusieurs raisons, principalement transmission avec nos serveurs de mises à jour, suit s'il vous plaît ces étapes pour vous vérifier ont les serveurs corrects et la Connectivité de mise à jour.
1. Vérifiez que vous avez la Connectivité pour les serveurs de la mise à jour de Cisco sur le port 80 et 443 :
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
2. Si vous avez n'importe quel proxy en amont, assurez-vous que le proxy en amont s'assure que vous faites les tests ci-dessus par votre proxy en amont.
3. Si la Connectivité est bien et vous voyez toujours la différence, alors forcez les mises à jour manuellement : l'updatenow du CLI, ou de GUI->Security entretient - > protection de malware - > updatenow.
Attendez peu de minutes, et si cela ne fonctionne pas s'il vous plaît vérifiez l'étape suivante.
4. En ce moment vous devrez vérifier les updater_logs : ouvrez le terminal : CLI->tail-> (a choisi le nombre de fichier journal d'updater_logs.) ceci fera à l'affichage de logs de mise à jour les nouvelles lignes seulement.
Les lignes de log devraient commencer par cette ligne « remote command reçue de signaler une mise à jour manuelle » :
Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
Mon Jul 15 19:14:12 2019 Info: Starting manual update
Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock
5. Vérifiez tous les messages « essentiels/avertissants », les logs de mise à jour sont des erreurs très lisibles pour l'homme, et très probablement vous guideront où est le problème.
6. S'il y avait pas de réponse puis vous pouvez avancer et ouvrir un ticket avec le support de Cisco avec les résultats des étapes ci-dessus, et ils seront heureux d'aider.
Comment va-t-ils les scores de réputation de Web sont-ils calculés ?
Certains des paramètres qui sont considérés en assignant un score au site Web spécifique :
- Données de catégorisation URL
- Présence de code téléchargeable
- Présence des longs, assombris contrats de licence utilisateurs finaux (CLUF)
- Volume et changements globaux de volume
- Les informations de propriétaire de réseau
- Historique d'un URL
- Âge d'un URL
- Présence sur toutes listes de bloc
- La présence sur en permettent des listes
- Typos URL des domaines populaires
- Les informations de registrar de domaine
- Les informations d'adresse IP
Quelle est la plage de score pour chacune des catégories de réputation (bon, neutre, pauvre) ?
Chaînes de réputation de Web et leurs actions associées :
Stratégies d'Access :
| Score |
Action |
Description |
Exemple |
| -10 à -6.0 (Pauvres) |
Bloc |
Mauvais site. La demande est bloquée, et aucune autre lecture de malware se produit. |
|
| -5.9 à 5.9 (Point mort) |
Balayage |
Site indéterminé. La demande est passé à l'engine DVS pour davantage de lecture de malware. L'engine DVS balaye la demande et contenu de réponse de serveur. |
|
| 6.0 à 10.0 (Bon) |
Laissez |
Bon site. On permet la demande. Aucune lecture de malware requise. |
|
Stratégies de déchiffrement :
| Score |
Action |
Description |
| -10 à -9.0 (Pauvres) |
Baisse |
Mauvais site. La demande est abandonnée sans l'avis envoyé à l'utilisateur final. Utilisation ce établissement avec prudence. |
| -8.9 à 5.9 (Point mort) |
Déchiffrage |
Site indéterminé. La demande est permise, mais la connexion est déchiffrée et des stratégies d'Access sont appliquées au trafic déchiffré. |
| 6.0 à 10.0 (Bon) |
Traversez |
Bon site. La demande est traversée sans l'inspection ou le déchiffrement. |
Stratégies de sécurité de données Cisco :
| Score |
Action |
Description |
| -10 à -6.0 (Pauvres) |
Bloc |
Mauvais site. La transaction est bloquée, et aucune autre lecture ne se produit. |
| -5.9 à 0.0 (Point mort) |
Moniteur |
La transaction ne sera pas bloquée a basé sur la réputation de Web, et poursuivra aux contrôles satisfaits (type de fichier et taille). Des sites de note sans le score sont surveillés. |
Que le site Web uncategorized signifie-t-il ?
URLS Uncategorized sont celui sur lequel Cisco Database n'a pas assez d'informations pour confirmer leur catégorie. sites Web habituellement de création récente.
Comment bloquez-vous URLS uncategorized ?
1. Allez à Access la stratégie désirée : Gestionnaire de sécurité Web - > stratégies d'Access.
2. Faites descendre l'écran à la section Uncategorized URLs.
3. A choisi une des actions désirées, moniteur, bloc, ou avertit.
4. Soumettez et commettez les modifications.
Comment fréquentez la base de données obtient mis à jour ?
La fréquence de contrôle de mises à jour peut être mise à jour l'un ou l'autre utilisant la commande suivante du CLI : updateconfig
WSA.local (SERVICE)> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval for Web Reputation and Categorization: 12h
Update interval for all other services: 12h
Proxy server: not enabled
HTTPS Proxy server: not enabled
Routing table for updates: Management
The following services will use this routing table:
- Webroot
- Web Reputation Filters
- L4 Traffic Monitor
- Cisco Web Usage Controls
- McAfee
- Sophos Anti-Virus definitions
- Timezone rules
- HTTPS Proxy Certificate Lists
- Cisco AsyncOS upgrades
Upgrade notification: enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>
OU du GUI : Administration système - > configurations de mise à jour et de mises à jour.
Comment au whitelist/à liste noire un URL ?
Parfois les mises à jour pour l'URLs de Cisco TALOS prend du temps, l'un ou l'autre devant manquer d'assez d'informations. ou il n'y a aucune manière de changer la réputation car le site Web n'a toujours pas prouvé le changement du comportement malveillant. en ce moment vous pouvez ajouter cet URL à une catégorie URL de coutume qui est autorisent/blocs sur vos stratégies d'Access ou traversées/baisse sur votre stratégie de déchiffrement, et qui garantira l'URL obtient livrent sans balayer ou contrôle de Filtrage URL par l'appliance de sécurité Web de Cisco (WSA) ou bloquent.
Whitelist/mettent un URL sur la liste noire suivent s'il vous plaît les étapes suivantes :
1. Ajoutez l'URL dans la catégorie faite sur commande URL.
Du GUI allez au gestionnaire de sécurité Web - > catégorie faite sur commande et externe URL.
2. Cliquez sur ajoutent en fonction la catégorie :
3. Ajoutez les sites Web semblables aux captures d'écran ci-dessous :
4. Allez au Filtrage URL dans la stratégie requise d'Access (gestionnaire de sécurité Web - > des stratégies d'Access - > Filtrage URL).
5. Sélectionnez le WHITELIST ou METTEZ- sur la liste noireque nous avons juste créé et incluez-le dans la stratégie.
6. Incluez la catégorie de stratégie dans les configurations de Filtrage URL de stratégie en tant que ci-dessous.
7. Définissez l'action, la bloquez à Blocklist, autorisez à Whitelist. et si vous souhaitez l'URL pour passer par les engines de lecture gardez l'action comme moniteur.
8. Soumettez et commettez les modifications.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)