Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Cet article décrit les questions les plus fréquemment posées sur le score de réputation Web (WBRS) et la fonction de catégorisation avec l'appareil de sécurité Web Cisco (WSA).
Les filtres de réputation Web attribuent un score de réputation Web (WBRS) à une URL pour déterminer la probabilité qu'il contienne des programmes malveillants basés sur des URL. L'appliance de sécurité Web utilise des scores de réputation Web pour identifier et arrêter les attaques de programmes malveillants avant qu'elles ne se produisent. Vous pouvez utiliser des filtres de réputation Web avec des stratégies d'accès, de déchiffrement et de sécurité des données Cisco.
Les sites Internet sont des catégories basées sur le comportement et le but de ces sites Web, afin de faciliter aux administrateurs des proxies, nous avons ajouté chaque URL de site Web à une catégorie prédéfinie, où il peut être identifié à des fins de sécurité et de reporting. les sites web qui n'appartiennent pas à l'une des catégories prédéfinies sont appelés sites web non catégorisés, ce qui peut être dû à la création de nouveaux sites web et au manque de données/trafic suffisant, pour déterminer sa catégorie. et cela change avec le temps.
Chaque demande que vous faites via l'appareil de sécurité Web Cisco (WSA) doit être accompagnée d'un score de réputation Web (WBRS) et d'une catégorie d'URL. et l'une des façons de le voir est via les journaux d'accès, exemple est ci-dessous : le score WBRS (Web Based Reputation Score) est de (-1,4) et la catégorie d'URL est : Ordinateurs et Internet.
Référence textuelle pour la capture d'écran ci-dessus.
1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE-1.4 ,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
Les journaux de mises à jour WBRS (Web-Based Reputation Score) se trouvent sous le fichier updater_logs. Vous pouvez les télécharger via la connexion FTP (File Transfer Protocol) à l'interface de gestion. ou via l'interface de ligne de commande (CLI).
Pour afficher les journaux à l'aide du terminal :
WSA.local (SERVICE)> tail
Currently configured logs:
1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
xx.xx.xx.xx
2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
....
43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
Poll
Enter the number of the log you wish to tail.
[]> 44
Press Ctrl-C to stop scrolling, then `q` to quit.
Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
Mon Jul 15 19:24:04 2019 Info: mcafee update completed
Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
Mon Jul 15 19:38:02 2019 Info: wbrs update completed
Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019
Afin de vous assurer que votre appareil de sécurité Web Cisco (WSA) est en mesure d'obtenir les nouvelles mises à jour. vérifiez que vous disposez de la connectivité aux serveurs de mise à jour Cisco sur les ports 80 et 443 TCP suivants :
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
Note: Si vous avez un proxy en amont, effectuez les tests ci-dessus via votre proxy en amont.
Après avoir vérifié que Cisco Web Security Appliance (WSA) et Cisco TALOS ont le même score de réputation, mais que vous pensez toujours que ce n'est pas un résultat valide, vous devez résoudre ce problème en soumettant un litige à l'équipe Cisco TALOS.
Pour ce faire, cliquez sur le lien suivant : https://talosintelligence.com/reputation_center/support
Pour soumettre le différend, veuillez suivre les instructions ci-dessous.
Résultats après avoir cliqué sur Rechercher et la possibilité de modifier manuellement le score.
Note: Les soumissions TALOS de Cisco peuvent prendre un certain temps pour être reflétées dans la base de données, si le problème est urgent, vous pouvez toujours créer une liste blanche ou une liste de blocage, comme solution de contournement jusqu'à ce que le problème soit résolu à partir du serveur principal de Cisco. pour ce faire, vous pouvez vérifier cette section (Comment blanchir ou BlackList URL).
Après avoir vérifié que Cisco Web Security Appliance (WSA) et Cisco TALOS ont la même catégorisation, mais que vous pensez toujours que ce n'est pas un résultat valide, vous devez résoudre ce problème en soumettant un litige à l'équipe Cisco TALOS.
Accédez à la page d'envoi de catégorisation du site Web TALOS : https://talosintelligence.com/reputation_center/support#categorization
Pour soumettre le différend, veuillez suivre les instructions ci-dessous.
Pour mettre à jour la catégorie, choisissez dans le menu déroulant ce qui vous semble le mieux adapté au site Web, et assurez-vous de suivre les directives de commentaires.
Si vous avez déposé un dossier auprès de Cisco TALOS et que la réputation/le score n'a pas été mis à jour dans les 3 à 4 jours. vous pouvez vérifier vos paramètres de mise à jour et vous assurer que vous êtes joignable au serveur de mise à jour Cisco. si toutes ces étapes sont correctes, vous pouvez ouvrir un ticket auprès du centre d'assistance technique de Cisco. L'ingénieur Cisco vous aidera à assurer le suivi auprès de l'équipe Cisco TALOS.
Note: vous pouvez appliquer la solution de contournement WHITELIST/BLOCKLIST pour appliquer l'action requise jusqu'à ce que la catégorie/réputation soit mise à jour par l'équipe Cisco TALOS.
La base de données peut être obsolète sur l'appareil de sécurité Web Cisco (WSA) pour plusieurs raisons, principalement la communication avec nos serveurs de mises à jour. Suivez ces étapes pour vérifier que vous disposez de serveurs de mise à jour et de connectivité corrects.
1. Vérifiez que vous disposez de la connectivité pour les serveurs de mise à jour Cisco sur les ports 80 et 443 :
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
2. Si vous avez un proxy en amont, assurez-vous que le proxy en amont s'assure que vous effectuez les tests ci-dessus via votre proxy en amont.
3. Si la connectivité est correcte et que vous voyez toujours la différence, forcez les mises à jour manuellement : mise à jour à partir de l'interface de ligne de commande ou de l'interface utilisateur graphique->Services de sécurité -> Protection contre les programmes malveillants -> mise à jour maintenant.
Patientez quelques minutes, et si cela ne fonctionne pas, vérifiez l'étape suivante.
4. À ce stade, vous devez vérifier les journaux de mise à jour : terminal ouvert : CLI->tail-> (choisissez le nombre de fichiers journaux de mise à jour_logs.) les journaux de mise à jour afficheront alors uniquement les nouvelles lignes.
Les lignes de journal doivent commencer par cette ligne "Commande à distance reçue pour signaler une mise à jour manuelle" :
Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
Mon Jul 15 19:14:12 2019 Info: Starting manual update
Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock
5. Recherchez les messages "Critiques/Avertissements« , les journaux de mise à jour sont des erreurs lisibles par des êtres humains et vous guideront très probablement où est le problème.
6. S'il n'y a pas eu de réponse, vous pouvez ouvrir un ticket avec l'assistance Cisco avec les résultats des étapes ci-dessus, et ils seront heureux de vous aider.
Certains des paramètres pris en compte lors de l'attribution d'une note à un site Web spécifique :
Score |
Action |
Description |
Exemple |
-10 à -6.0 (Pauvres) |
Block |
Mauvais site. La demande est bloquée, et aucune analyse supplémentaire des programmes malveillants se produit. |
|
-5.9 à 5.9 (Neutre) |
Analyser |
Site indéterminé. La demande est transmis au moteur DVS pour analyse des programmes malveillants. Les Le moteur DVS analyse la demande et du contenu de réponse du serveur. |
|
6.0 à 10.0 (Bien) |
Allow |
Bon site. La demande est autorisée. Aucune analyse de programme malveillant n'est requise. |
|
Score |
Action |
Description |
-10 à -9.0 (Pauvres) |
Déposer |
Mauvais site. La demande est abandonnée sans avis envoyé à l'utilisateur final. Utilisation ce paramètre est prudent. |
-8.9 à 5.9 (Neutre) |
Décrypter |
Site indéterminé. La demande est autorisée, mais la connexion est déchiffrée et les stratégies d'accès sont appliquées au trafic déchiffré. |
6.0 à 10.0 (Bien) |
Passage |
Bon site. La demande est transmise sans inspection ni déchiffrement. |
Score |
Action |
Description |
-10 à -6.0 (Pauvres) |
Block |
Mauvais site. La transaction est bloquée et aucune autre analyse n'est effectuée. |
-5.9 à 0.0 (Neutre) |
Monitor |
La transaction ne sera pas bloquée en fonction de la réputation Web et passera aux vérifications de contenu (type et taille de fichier). Remarque Les sites sans score sont surveillés. |
Les URL non catégorisées sont celles sur lesquelles la base de données Cisco ne dispose pas d'informations suffisantes pour confirmer leur catégorie. généralement les sites Web nouvellement créés.
1. Accédez à la stratégie d'accès souhaitée : Gestionnaire de sécurité Web -> Stratégies d'accès.
2. Faites défiler jusqu'à la section URL non catégorisées.
3. Choisissez l'une des actions souhaitées, Surveillance, Bloquer ou Avertir.
4. Soumettre et valider les modifications.
La fréquence de contrôle des mises à jour peut être mise à jour à l'aide de la commande suivante de l'interface de ligne de commande : mise à jour de la configuration
WSA.local (SERVICE)> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval for Web Reputation and Categorization: 12h
Update interval for all other services: 12h
Proxy server: not enabled
HTTPS Proxy server: not enabled
Routing table for updates: Management
The following services will use this routing table:
- Webroot
- Web Reputation Filters
- L4 Traffic Monitor
- Cisco Web Usage Controls
- McAfee
- Sophos Anti-Virus definitions
- Timezone rules
- HTTPS Proxy Certificate Lists
- Cisco AsyncOS upgrades
Upgrade notification: enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>
Note: la valeur ci-dessus montre la fréquence des vérifications des mises à jour, mais pas la fréquence à laquelle nous publions de nouvelles mises à jour pour la réputation et d'autres services. les mises à jour peuvent être disponibles à tout moment.
OU à partir de l'interface utilisateur graphique : Administration système -> Paramètres de mise à niveau et de mise à jour.
Parfois, les mises à jour des URL de Cisco TALOS prennent du temps, soit en raison d'un manque d'informations. ou il n'y a aucun moyen de changer la réputation car le site web n'a toujours pas prouvé le changement dans le comportement malveillant. à ce stade, vous pouvez ajouter cette URL à une catégorie d'URL personnalisée qui autorise/bloque vos stratégies d'accès ou passe/passe sur votre stratégie de déchiffrement, et qui garantit que l'URL est remise sans analyse ou filtrage d'URL par l'appareil de sécurité Web (WSA) de Cisco ou par bloc.
afin de faire une liste blanche/noire d'une URL, procédez comme suit :
1. Ajouter une URL dans la catégorie d'URL personnalisée.
À partir de l'interface utilisateur graphique, accédez à Web Security Manager -> Personnalisé et Catégorie d'URL externe.
2. Cliquez sur Ajouter une catégorie :
3. Ajoutez les sites Web similaires aux captures d'écran ci-dessous :
4. Accédez au filtrage des URL dans la stratégie d'accès requise (Gestionnaire de sécurité Web -> Stratégies d'accès -> Filtrage des URL).
5. Sélectionnez la liste blanche ou la liste noire que nous venons de créer et incluez-la dans la stratégie.
6. Inclure la catégorie de stratégie dans les paramètres de filtrage URL de stratégie comme ci-dessous.
7. Définissez l'action Bloquer dans la liste de blocage, Autoriser dans la liste blanche. et si vous souhaitez que l'URL passe par les moteurs d'analyse, conservez l'action en tant que moniteur.
8. Envoyer et valider les modifications.