Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Cet article décrit les questions fréquemment posées sur la caractéristique du score (WBRS) et de la catégorisation de réputation de Web avec l'appliance de sécurité Web de Cisco (WSA).
Les filtres de réputation de Web assigne un score basé sur le WEB de réputation (WBRS) à un URL pour déterminer la probabilité qu'elle contient le malware basé sur URL. L'appliance de sécurité Web emploie des scores de réputation de Web pour identifier et arrêter des attaques de malware avant qu'elles se produisent. Vous pouvez utiliser des filtres de réputation de Web avec Access, le déchiffrement, et les stratégies de sécurité de données Cisco.
Les sites Web d'Internet sont des catégories basées sur le comportement et le but de ces sites Web, afin de le faciliter pour les administrateurs des proxys, nous avons ajouté chaque URL du site Web à une catégorie de prédéfinis, où elle peut être identifiée pour des buts de Sécurité et d'enregistrement. les sites Web qui n'appartient pas à une des catégories de prédéfinis, s'appellent les sites Web uncategorized, qui peuvent être dus à la création de nouveau site internet et au manque d'assez de données/de trafic, pour déterminer sa catégorie. et ceci change par temps.
Chaque demande que vous faites par l'appliance de sécurité Web de Cisco (WSA) devriez avoir un score basé sur le WEB du score de réputation (WBRS) et la catégorie URL reliés à elle. et une des manières de le visualiser est par les logs d'accès, exemple est ci-dessous : le score basé sur le WEB du score de réputation (WBRS) est (-1.4), et la catégorie URL est : Ordinateurs et Internet.
Référence des textes pour le tir d'écran ci-dessus.
1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <IW_comp,-1.4,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
Le score basé sur le WEB de réputation (WBRS) met à jour des logs peut être trouvé sous les updater_logs, vous peut télécharger ces logs par l'intermédiaire de la procédure de connexion de Protocole FTP (File Transfer Protocol) à l'interface de gestion. ou par l'intermédiaire de l'interface de ligne de commande (CLI).
Pour visualiser des logs utilisant le terminal :
WSA.local (SERVICE)> tail
Currently configured logs:
1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
xx.xx.xx.xx
2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
....
43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
Poll
Enter the number of the log you wish to tail.
[]> 44
Press Ctrl-C to stop scrolling, then `q` to quit.
Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
Mon Jul 15 19:24:04 2019 Info: mcafee update completed
Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
Mon Jul 15 19:38:02 2019 Info: wbrs update completed
Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019
Afin de s'assurer votre appliance de sécurité Web de Cisco (WSA) peut obtenir les nouvelles mises à jour. vérifiez s'il vous plaît que vous avez la Connectivité aux serveurs de la mise à jour de Cisco sur les ports suivants 80 et 443 de Protocole TCP (Transmission Control Protocol) :
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
Remarque: Si vous avez n'importe quel proxy en amont, faites les tests ci-dessus par votre proxy en amont.
Après avoir vérifié que l'appliance de sécurité Web de Cisco (WSA) et le Cisco TALOS ayant le même score de réputation, mais vous pensent toujours ce n'est pas un résultat valide, puis ce besoin d'être réparé en soumettant un conflit avec l'équipe de Cisco TALOS.
Ceci peut être fait utilisant le lien suivant : https://talosintelligence.com/reputation_center/support
Afin de soumettre le conflit, suivez s'il vous plaît les instructions ci-dessous.
Résultats après avoir frappé la consultation et l'option de changer manuellement le score.
Remarque: Les envois de Cisco TALOS pourraient prendre un certain temps d'être réfléchi sur la base de données, si la question est urgente, vous peuvent toujours créer un WHITELIST ou un BLOCKLIST, comme a travail-autour de jusqu'à la question est réparé du backend de Cisco. afin de faire cela, vous pouvez vérifier cette section (comment à Whitelist ou mettre l'URL sur la liste noire).
Après avoir vérifié que l'appliance de sécurité Web de Cisco (WSA) et le Cisco TALOS ayant la même catégorisation, mais vous pensent toujours ce n'est pas un résultat valide, puis ce besoin d'être réparé en soumettant un conflit avec l'équipe de Cisco TALOS.
Allez à la page d'envoi de catégorisation dans le site Web TALOS : https://talosintelligence.com/reputation_center/support#categorization
Afin de soumettre le conflit, suivez s'il vous plaît les instructions ci-dessous.
Pour mettre à jour la catégorie, a choisi du menu déroulant ce qui vous vous jugez qu'il adapte au site Web mieux, et veillez pour suivre les instructions de commentaires.
Au cas où vous classeriez une caisse avec Cisco TALOS et la réputation/score n'a pas obtenu mis à jour dans les 3-4 jours. vous pouvez vérifier vos configurations de mises à jour et vous veiller pour avoir l'accessibilité au serveur de la mise à jour de Cisco. si toutes ces étapes étaient correctes, alors vous pouvez avancer et ouvrir un ticket avec Cisco TAC, et Cisco machinent vous aidera à la continuation avec l'équipe de Cisco TALOS.
Remarque: vous pouvez appliquer le WHITELIST/BLOCKLIST travail-autour de pour appliquer l'action nécessaire jusqu'à ce que la catégorie/réputation obtienne mis à jour de l'équipe de Cisco TALOS.
La base de données peut être périmée sur l'appliance de sécurité Web de Cisco (WSA) due à de plusieurs raisons, principalement transmission avec nos serveurs de mises à jour, suit s'il vous plaît ces étapes pour vous vérifier ont les serveurs corrects et la Connectivité de mise à jour.
1. Vérifiez que vous avez la Connectivité pour les serveurs de la mise à jour de Cisco sur le port 80 et 443 :
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
2. Si vous avez n'importe quel proxy en amont, assurez-vous que le proxy en amont s'assure que vous faites les tests ci-dessus par votre proxy en amont.
3. Si la Connectivité est bien et vous voyez toujours la différence, alors forcez les mises à jour manuellement : l'updatenow du CLI, ou de GUI->Security entretient - > protection de malware - > updatenow.
Attendez peu de minutes, et si cela ne fonctionne pas s'il vous plaît vérifiez l'étape suivante.
4. En ce moment vous devrez vérifier les updater_logs : ouvrez le terminal : CLI->tail-> (a choisi le nombre de fichier journal d'updater_logs.) ceci fera à l'affichage de logs de mise à jour les nouvelles lignes seulement.
Les lignes de log devraient commencer par cette ligne « remote command reçue de signaler une mise à jour manuelle » :
Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
Mon Jul 15 19:14:12 2019 Info: Starting manual update
Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock
5. Vérifiez tous les messages « essentiels/avertissants », les logs de mise à jour sont des erreurs très lisibles pour l'homme, et très probablement vous guideront où est le problème.
6. S'il y avait pas de réponse puis vous pouvez avancer et ouvrir un ticket avec le support de Cisco avec les résultats des étapes ci-dessus, et ils seront heureux d'aider.
Certains des paramètres qui sont considérés en assignant un score au site Web spécifique :
Score |
Action |
Description |
Exemple |
-10 à -6.0 (Pauvres) |
Bloc |
Mauvais site. La demande est bloquée, et aucune autre lecture de malware se produit. |
|
-5.9 à 5.9 (Point mort) |
Balayage |
Site indéterminé. La demande est passé à l'engine DVS pour davantage de lecture de malware. L'engine DVS balaye la demande et contenu de réponse de serveur. |
|
6.0 à 10.0 (Bon) |
Laissez |
Bon site. On permet la demande. Aucune lecture de malware requise. |
|
Score |
Action |
Description |
-10 à -9.0 (Pauvres) |
Baisse |
Mauvais site. La demande est abandonnée sans l'avis envoyé à l'utilisateur final. Utilisation ce établissement avec prudence. |
-8.9 à 5.9 (Point mort) |
Déchiffrage |
Site indéterminé. La demande est permise, mais la connexion est déchiffrée et des stratégies d'Access sont appliquées au trafic déchiffré. |
6.0 à 10.0 (Bon) |
Traversez |
Bon site. La demande est traversée sans l'inspection ou le déchiffrement. |
Score |
Action |
Description |
-10 à -6.0 (Pauvres) |
Bloc |
Mauvais site. La transaction est bloquée, et aucune autre lecture ne se produit. |
-5.9 à 0.0 (Point mort) |
Moniteur |
La transaction ne sera pas bloquée a basé sur la réputation de Web, et poursuivra aux contrôles satisfaits (type de fichier et taille). Des sites de note sans le score sont surveillés. |
URLS Uncategorized sont celui sur lequel Cisco Database n'a pas assez d'informations pour confirmer leur catégorie. sites Web habituellement de création récente.
1. Allez à Access la stratégie désirée : Gestionnaire de sécurité Web - > stratégies d'Access.
2. Faites descendre l'écran à la section Uncategorized URLs.
3. A choisi une des actions désirées, moniteur, bloc, ou avertit.
4. Soumettez et commettez les modifications.
La fréquence de contrôle de mises à jour peut être mise à jour l'un ou l'autre utilisant la commande suivante du CLI : updateconfig
WSA.local (SERVICE)> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval for Web Reputation and Categorization: 12h
Update interval for all other services: 12h
Proxy server: not enabled
HTTPS Proxy server: not enabled
Routing table for updates: Management
The following services will use this routing table:
- Webroot
- Web Reputation Filters
- L4 Traffic Monitor
- Cisco Web Usage Controls
- McAfee
- Sophos Anti-Virus definitions
- Timezone rules
- HTTPS Proxy Certificate Lists
- Cisco AsyncOS upgrades
Upgrade notification: enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>
Remarque: la valeur ci-dessus affiche combien fréquent nous vérifions des mises à jour, mais pas combien fréquent nous libérons de nouvelles mises à jour pour la réputation et d'autres services. les mises à jour peuvent être disponibles à un point quelconque du temps.
OU du GUI : Administration système - > configurations de mise à jour et de mises à jour.
Parfois les mises à jour pour l'URLs de Cisco TALOS prend du temps, l'un ou l'autre devant manquer d'assez d'informations. ou il n'y a aucune manière de changer la réputation car le site Web n'a toujours pas prouvé le changement du comportement malveillant. en ce moment vous pouvez ajouter cet URL à une catégorie URL de coutume qui est autorisent/blocs sur vos stratégies d'Access ou traversées/baisse sur votre stratégie de déchiffrement, et qui garantira l'URL obtient livrent sans balayer ou contrôle de Filtrage URL par l'appliance de sécurité Web de Cisco (WSA) ou bloquent.
Whitelist/mettent un URL sur la liste noire suivent s'il vous plaît les étapes suivantes :
1. Ajoutez l'URL dans la catégorie faite sur commande URL.
Du GUI allez au gestionnaire de sécurité Web - > catégorie faite sur commande et externe URL.
2. Cliquez sur ajoutent en fonction la catégorie :
3. Ajoutez les sites Web semblables aux captures d'écran ci-dessous :
4. Allez au Filtrage URL dans la stratégie requise d'Access (gestionnaire de sécurité Web - > des stratégies d'Access - > Filtrage URL).
5. Sélectionnez le WHITELIST ou METTEZ- sur la liste noireque nous avons juste créé et incluez-le dans la stratégie.
6. Incluez la catégorie de stratégie dans les configurations de Filtrage URL de stratégie en tant que ci-dessous.
7. Définissez l'action, la bloquez à Blocklist, autorisez à Whitelist. et si vous souhaitez l'URL pour passer par les engines de lecture gardez l'action comme moniteur.
8. Soumettez et commettez les modifications.