Score de réputation Web (WBRS) et moteur de catégorisation Web Foire aux questions (FAQ)

Options de téléchargement

  • PDF     (1.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (753.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 août 2019
ID du document:214699

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Score de réputation Web (WBRS) et moteur de catégorisation Web Foire aux questions (FAQ).

    Cet article décrit les questions les plus fréquemment posées sur le score de réputation Web (WBRS) et la fonction de catégorisation avec l'appareil de sécurité Web Cisco (WSA).

    Que signifie le score de réputation Web ?

    Les filtres de réputation Web attribuent un score de réputation Web (WBRS) à une URL pour déterminer la probabilité qu'il contienne des programmes malveillants basés sur des URL. L'appliance de sécurité Web utilise des scores de réputation Web pour identifier et arrêter les attaques de programmes malveillants avant qu'elles ne se produisent. Vous pouvez utiliser des filtres de réputation Web avec des stratégies d'accès, de déchiffrement et de sécurité des données Cisco.

    Que signifie la catégorisation Web ?

    Les sites Internet sont des catégories basées sur le comportement et le but de ces sites Web, afin de faciliter aux administrateurs des proxies, nous avons ajouté chaque URL de site Web à une catégorie prédéfinie, où il peut être identifié à des fins de sécurité et de reporting. les sites web qui n'appartiennent pas à l'une des catégories prédéfinies sont appelés sites web non catégorisés, ce qui peut être dû à la création de nouveaux sites web et au manque de données/trafic suffisant, pour déterminer sa catégorie. et cela change avec le temps.

    Comment trouver le score de réputation dans les journaux d'accès ?

    Chaque demande que vous faites via l'appareil de sécurité Web Cisco (WSA) doit être accompagnée d'un score de réputation Web (WBRS) et d'une catégorie d'URL. et l'une des façons de le voir est via les journaux d'accès, exemple est ci-dessous : le score WBRS (Web Based Reputation Score) est de (-1,4) et la catégorie d'URL est : Ordinateurs et Internet.

    Référence textuelle pour la capture d'écran ci-dessus.

    1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE 
     
     
       -1.4 
     ,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
    Remarques :

    Comment trouver un score de réputation dans mes rapports ?

    1. Accédez à l'interface utilisateur de Cisco Web Security Appliance (WSA) -> Reporting -> Web Tracking.
    2. Recherchez le domaine que vous recherchez.
    3. Dans la page Résultats, cliquez sur le lien nécessaire, et plus de détails apparaîtront comme ci-dessous.

    Où vérifiez-vous les journaux de mises à jour WBRS (Web-Based Reputation Score) ?

    Les journaux de mises à jour WBRS (Web-Based Reputation Score) se trouvent sous le fichier updater_logs. Vous pouvez les télécharger via la connexion FTP (File Transfer Protocol) à l'interface de gestion. ou via l'interface de ligne de commande (CLI).

    Pour afficher les journaux à l'aide du terminal :

    1. Ouvrez Terminal.
    2. Tapez la commande tail.
    3. Choisissez le numéro de journal (il varie selon la version et le nombre de journaux configurés).
    4. Les journaux s'affichent.

    WSA.local (SERVICE)> tail

    Currently configured logs:
    1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
    xx.xx.xx.xx
    2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
    3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
    4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
    5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
    ....
    43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
    44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
    45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
    46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
    47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
    48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
    49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
    50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
    Poll
    Enter the number of the log you wish to tail.
    []> 44

    Press Ctrl-C to stop scrolling, then `q` to quit.
    Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
    Mon Jul 15 19:24:04 2019 Info: mcafee update completed
    Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
    Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
    Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
    Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
    Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
    Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
    Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
    Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
    Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
    Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
    Mon Jul 15 19:38:02 2019 Info: wbrs update completed
    Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
    Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
    Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
    Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
    Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019

    Comment vérifier si vous avez une connectivité à Score de réputation Web (WBRS) met à jour les serveurs ?

    Afin de vous assurer que votre appareil de sécurité Web Cisco (WSA) est en mesure d'obtenir les nouvelles mises à jour. vérifiez que vous disposez de la connectivité aux serveurs de mise à jour Cisco sur les ports 80 et 443 TCP suivants :

    wsa.local (SERVICE)> telnet updates.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to updates.ironport.com.
    Escape character is '^]'.

    wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to upgrades.ironport.com.
    Escape character is '^]'.

    Note: Si vous avez un proxy en amont, effectuez les tests ci-dessus via votre proxy en amont.

    Comment déposer un litige pour la catégorisation Web ?

    Après avoir vérifié que Cisco Web Security Appliance (WSA) et Cisco TALOS ont le même score de réputation, mais que vous pensez toujours que ce n'est pas un résultat valide, vous devez résoudre ce problème en soumettant un litige à l'équipe Cisco TALOS.

    Pour ce faire, cliquez sur le lien suivant : https://talosintelligence.com/reputation_center/support

    Pour soumettre le différend, veuillez suivre les instructions ci-dessous.

    Résultats après avoir cliqué sur Rechercher et la possibilité de modifier manuellement le score.

    Note: Les soumissions TALOS de Cisco peuvent prendre un certain temps pour être reflétées dans la base de données, si le problème est urgent, vous pouvez toujours créer une liste blanche ou une liste de blocage, comme solution de contournement jusqu'à ce que le problème soit résolu à partir du serveur principal de Cisco. pour ce faire, vous pouvez vérifier cette section (Comment blanchir ou BlackList URL).

    Comment déposer un litige pour le score de réputation Web ?

    Après avoir vérifié que Cisco Web Security Appliance (WSA) et Cisco TALOS ont la même catégorisation, mais que vous pensez toujours que ce n'est pas un résultat valide, vous devez résoudre ce problème en soumettant un litige à l'équipe Cisco TALOS.

    Accédez à la page d'envoi de catégorisation du site Web TALOS : https://talosintelligence.com/reputation_center/support#categorization

    Pour soumettre le différend, veuillez suivre les instructions ci-dessous.

    Pour mettre à jour la catégorie, choisissez dans le menu déroulant ce qui vous semble le mieux adapté au site Web, et assurez-vous de suivre les directives de commentaires.

    Un litige a été déposé mais le score ou la catégorie n'est pas mis à jour sur Cisco Web Security Appliance (WSA) ou Cisco TALOS.

    Si vous avez déposé un dossier auprès de Cisco TALOS et que la réputation/le score n'a pas été mis à jour dans les 3 à 4 jours. vous pouvez vérifier vos paramètres de mise à jour et vous assurer que vous êtes joignable au serveur de mise à jour Cisco. si toutes ces étapes sont correctes, vous pouvez ouvrir un ticket auprès du centre d'assistance technique de Cisco. L'ingénieur Cisco vous aidera à assurer le suivi auprès de l'équipe Cisco TALOS.

    Note: vous pouvez appliquer la solution de contournement WHITELIST/BLOCKLIST pour appliquer l'action requise jusqu'à ce que la catégorie/réputation soit mise à jour par l'équipe Cisco TALOS.

    Appareil de sécurité Web Cisco (WSA) montrant des résultats différents de ceux de Cisco TALOS, comment résoudre ce problème ?

    La base de données peut être obsolète sur l'appareil de sécurité Web Cisco (WSA) pour plusieurs raisons, principalement la communication avec nos serveurs de mises à jour. Suivez ces étapes pour vérifier que vous disposez de serveurs de mise à jour et de connectivité corrects.

    1. Vérifiez que vous disposez de la connectivité pour les serveurs de mise à jour Cisco sur les ports 80 et 443 :

    wsa.local (SERVICE)> telnet updates.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to updates.ironport.com.
    Escape character is '^]'.

    wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to upgrades.ironport.com.
    Escape character is '^]'.

    2. Si vous avez un proxy en amont, assurez-vous que le proxy en amont s'assure que vous effectuez les tests ci-dessus via votre proxy en amont.

    3. Si la connectivité est correcte et que vous voyez toujours la différence, forcez les mises à jour manuellement : mise à jour à partir de l'interface de ligne de commande ou de l'interface utilisateur graphique->Services de sécurité -> Protection contre les programmes malveillants -> mise à jour maintenant.

    Patientez quelques minutes, et si cela ne fonctionne pas, vérifiez l'étape suivante.

    4. À ce stade, vous devez vérifier les journaux de mise à jour : terminal ouvert : CLI->tail-> (choisissez le nombre de fichiers journaux de mise à jour_logs.) les journaux de mise à jour afficheront alors uniquement les nouvelles lignes.

    Les lignes de journal doivent commencer par cette ligne "Commande à distance reçue pour signaler une mise à jour manuelle" :

    Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
    Mon Jul 15 19:14:12 2019 Info: Starting manual update
    Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
    Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
    Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
    Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
    Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
    Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
    Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
    Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
    Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
    Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
    Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
    Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock

    5. Recherchez les messages "Critiques/Avertissements« , les journaux de mise à jour sont des erreurs lisibles par des êtres humains et vous guideront très probablement où est le problème.

    6. S'il n'y a pas eu de réponse, vous pouvez ouvrir un ticket avec l'assistance Cisco avec les résultats des étapes ci-dessus, et ils seront heureux de vous aider.

    Comment les scores de réputation Web sont-ils calculés ?

    Certains des paramètres pris en compte lors de l'attribution d'une note à un site Web spécifique :

    • Données de catégorisation des URL
    • Présence du code téléchargeable
    • Présence de contrats de licence d'utilisateur final (CLUF) longs et confus
    • Volume global et modifications du volume
    • Informations sur le propriétaire du réseau
    • Historique d'une URL
    • Âge d'une URL
    • Présence sur les listes de blocage
    • Présence sur les listes d'autorisation
    • Types d'URL des domaines courants
    • Informations sur l'enregistrement de domaine
    • Informations sur l'adresse IP

    Quelle est la plage de scores pour chacune des catégories de réputation (bonne, neutre, mauvaise) ?

    Plages de réputation Web et actions associées :

    Stratégies d'accès :

    Score

    Action

    Description

    Exemple

    -10 à -6.0

    (Pauvres)

    Block

    Mauvais site. La demande est bloquée,

    et aucune analyse supplémentaire des programmes malveillants

    se produit.
    • Télécharge les informations sans URL.
    • autorisation utilisateur.
    • Pic soudain sur le volume d'URL.
    • URL est une faute de frappe d'un domaine courant.

    -5.9 à 5.9

    (Neutre)

    Analyser

    Site indéterminé. La demande est

    transmis au moteur DVS pour

    analyse des programmes malveillants. Les

    Le moteur DVS analyse la demande

    et du contenu de réponse du serveur.
    • URL récemment créée qui possède une
    • adresse IP dynamique et contient
    • contenu téléchargeable.
    • Adresse IP du propriétaire du réseau qui possède
    • score de réputation Web positif.

    6.0 à 10.0

    (Bien)

    Allow

    Bon site. La demande est autorisée.

    Aucune analyse de programme malveillant n'est requise.
    • L'URL ne contient aucun contenu téléchargeable.
    • Domaine réputé à volume élevé avec une longue histoire.
    • Domaine présent sur plusieurs listes d'autorisation.
    • Aucun lien vers des URL dont la réputation est médiocre.

    Stratégies de déchiffrement :

    Score

    Action

    Description

     -10 à -9.0

    (Pauvres)

    Déposer

    Mauvais site. La demande est abandonnée sans avis envoyé à l'utilisateur final. Utilisation

    ce paramètre est prudent.

     -8.9 à 5.9

    (Neutre)

    Décrypter

    Site indéterminé. La demande est autorisée, mais la connexion est déchiffrée

    et les stratégies d'accès sont appliquées au trafic déchiffré.

    6.0 à 10.0

    (Bien)

    Passage

    Bon site. La demande est transmise sans inspection ni déchiffrement.

    Stratégies de sécurité des données Cisco :

    Score

    Action

    Description

     -10 à -6.0

    (Pauvres)

    Block

    Mauvais site. La transaction est bloquée et aucune autre analyse n'est effectuée.

     -5.9 à 0.0

    (Neutre)

    Monitor

    La transaction ne sera pas bloquée en fonction de la réputation Web et passera aux vérifications de contenu (type et taille de fichier).

    Remarque Les sites sans score sont surveillés.

    Qu'est-ce qu'un site web non classé signifie ?

    Les URL non catégorisées sont celles sur lesquelles la base de données Cisco ne dispose pas d'informations suffisantes pour confirmer leur catégorie. généralement les sites Web nouvellement créés.

    Comment bloquez-vous les URL non catégorisées ?

    1. Accédez à la stratégie d'accès souhaitée : Gestionnaire de sécurité Web -> Stratégies d'accès.

    2. Faites défiler jusqu'à la section URL non catégorisées.

    3. Choisissez l'une des actions souhaitées, Surveillance, Bloquer ou Avertir.

    4. Soumettre et valider les modifications.

    À quelle fréquence la base de données est-elle mise à jour ?

    La fréquence de contrôle des mises à jour peut être mise à jour à l'aide de la commande suivante de l'interface de ligne de commande : mise à jour de la configuration

    WSA.local (SERVICE)> updateconfig

    Service (images): Update URL:

    ------------------------------------------------------------------------------
    Webroot Cisco Servers
    Web Reputation Filters Cisco Servers
    L4 Traffic Monitor Cisco Servers
    Cisco Web Usage Controls Cisco Servers
    McAfee Cisco Servers
    Sophos Anti-Virus definitions Cisco Servers
    Timezone rules Cisco Servers
    HTTPS Proxy Certificate Lists Cisco Servers
    Cisco AsyncOS upgrades Cisco Servers

    Service (list): Update URL:

    ------------------------------------------------------------------------------
    Webroot Cisco Servers
    Web Reputation Filters Cisco Servers
    L4 Traffic Monitor Cisco Servers
    Cisco Web Usage Controls Cisco Servers
    McAfee Cisco Servers
    Sophos Anti-Virus definitions Cisco Servers
    Timezone rules Cisco Servers
    HTTPS Proxy Certificate Lists Cisco Servers
    Cisco AsyncOS upgrades Cisco Servers

    Update interval for Web Reputation and Categorization: 12h
    Update interval for all other services: 12h

    Proxy server: not enabled
    HTTPS Proxy server: not enabled
    Routing table for updates: Management
    The following services will use this routing table:
    - Webroot
    - Web Reputation Filters
    - L4 Traffic Monitor
    - Cisco Web Usage Controls
    - McAfee
    - Sophos Anti-Virus definitions
    - Timezone rules
    - HTTPS Proxy Certificate Lists
    - Cisco AsyncOS upgrades

    Upgrade notification: enabled

    Choose the operation you want to perform:
    - SETUP - Edit update configuration.
    - VALIDATE_CERTIFICATES - Validate update server certificates
    - TRUSTED_CERTIFICATES - Manage trusted certificates for updates
    []>

    Note: la valeur ci-dessus montre la fréquence des vérifications des mises à jour, mais pas la fréquence à laquelle nous publions de nouvelles mises à jour pour la réputation et d'autres services. les mises à jour peuvent être disponibles à tout moment.

    OU à partir de l'interface utilisateur graphique : Administration système -> Paramètres de mise à niveau et de mise à jour.

    Comment mettre une URL en liste blanche/noire ?

    Parfois, les mises à jour des URL de Cisco TALOS prennent du temps, soit en raison d'un manque d'informations. ou il n'y a aucun moyen de changer la réputation car le site web n'a toujours pas prouvé le changement dans le comportement malveillant. à ce stade, vous pouvez ajouter cette URL à une catégorie d'URL personnalisée qui autorise/bloque vos stratégies d'accès ou passe/passe sur votre stratégie de déchiffrement, et qui garantit que l'URL est remise sans analyse ou filtrage d'URL par l'appareil de sécurité Web (WSA) de Cisco ou par bloc.

    afin de faire une liste blanche/noire d'une URL, procédez comme suit :

    1. Ajouter une URL dans la catégorie d'URL personnalisée.

    À partir de l'interface utilisateur graphique, accédez à Web Security Manager -> Personnalisé et Catégorie d'URL externe.

    2. Cliquez sur Ajouter une catégorie :

    3. Ajoutez les sites Web similaires aux captures d'écran ci-dessous :

    4. Accédez au filtrage des URL dans la stratégie d'accès requise (Gestionnaire de sécurité Web -> Stratégies d'accès -> Filtrage des URL).

    5. Sélectionnez la liste blanche ou la liste noire que nous venons de créer et incluez-la dans la stratégie.

    6. Inclure la catégorie de stratégie dans les paramètres de filtrage URL de stratégie comme ci-dessous.

    7. Définissez l'action Bloquer dans la liste de blocage, Autoriser dans la liste blanche. et si vous souhaitez que l'URL passe par les moteurs d'analyse, conservez l'action en tant que moniteur.

    8. Envoyer et valider les modifications.

    TAC Authored

    Contribution d’experts de Cisco

    • Fuad Asouli
      Cisco Technical Consulting Engineer
    • Handy Putra
      Cisco Technical Consulting Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits