Le moteur de visibilité chiffrée (EVE, Encrypted Visibility Engine) est utilisé pour offrir plus de visibilité sur les sessions chiffrées sans qu’il soit nécessaire de les déchiffrer. Ces informations sur les sessions chiffrées sont obtenues par la bibliothèque de logiciels libres de Cisco, qui est présente dans la base de données de vulnérabilités (VDB) de Cisco. La bibliothèque prend et analyse les empreintes des sessions chiffrées entrantes et les compare à un ensemble d’empreintes connues. Cette base de données d’empreintes digitales connues est également disponible dans la base de données de Cisco VDB.

Remarque

La fonctionnalité de moteur de visibilité chiffrée n'est prise en charge que sur les périphériques gérés par centre de gestion exécutant Snort 3. Cette fonctionnalité n’est pas prise en charge sur les périphériques Snort 2 ni les périphériques gérés par gestionnaire d'appareil.

Certaines des caractéristiques importantes d’EVE sont les suivantes :

• Vous pouvez appliquer des actions de politique de contrôle d’accès sur le trafic en utilisant les informations dérivées d'EVE.

• La VDB incluse dans Cisco Secure Firewall a la capacité d’affecter des applications à certains processus détectés par EVE avec une valeur de confiance élevée. Vous pouvez également créer des détecteurs d’application personnalisés pour :

  • Mettre en correspondance des processus détectés par EVE pour les nouvelles applications définies par l’utilisateur.

  • Remplacer la valeur intégrée de niveau de confiance de processus qui est utilisée pour affecter des applications aux processus détectés par EVE.

    Reportez-vous aux sections Configuration des détecteurs d’application personnalisés et Spécification des affectations de processus EVE dans le chapitre sur la détection d’applications du Guide de configuration des périphériques de Cisco Secure Firewall Management Center.

• EVE peut détecter le type et la version du système d'exploitation du client qui a créé un paquet Client Hello dans le trafic chiffré.

• EVE prend également en charge l'empreinte et l'analyse du trafic QUIC (Quick UDP Internet Connections). Le nom du serveur du paquet Client Hello s’affiche dans le champ URL de la page des événements de connexion.

Attention

Pour utiliser la fonctionnalité Encrypted Visibility Engine (Moteur de visibilité chiffrée) sur centre de gestion, vous devez avoir une licence Menace valide sur votre périphérique. En l'absence de licence Menace , la politique affiche un avertissement et le déploiement n'est pas autorisé.

Remarque

La fonctionnalité Encrypted Visibility Engine (Moteur de visibilité chiffrée) peut détecter le type et la version des sessions SSL du système d’exploitation. L’utilisation normale du système d’exploitation, comme l’exécution d’applications et d’un logiciel de gestion des paquets, peut déclencher la détection du système d’exploitation. Pour afficher la détection du système d’exploitation client, en plus d’activer le bouton à bascule EVE, vous devez activer Hôtes sous Politiques > Détection du réseau. Pour afficher une liste des systèmes d’exploitation possibles sur l’adresse IP de l’hôte, cliquez sur Analyse > Hôtes > Carte du réseau, puis choisissez l’hôte requis. EVE ne fournit pas de visibilité ni d’observations sur le trafic encapsulé.

Liens connexes

Configurer la fonctionnalité Encrypted Visibility Engine (Moteur de visibilité chiffrée)

Le moteur de visibilité chiffrée (EVE) inspecte la partie Client Hello de l’établissement de liaison TLS pour identifier les processus clients. Le Client Hello est le paquet de données initial qui est envoyé au serveur. Cela donne une bonne indication du processus client sur l’hôte. Cette empreinte, combinée à d’autres données telles que l’adresse IP de destination, fournit la base pour l’identification de l’application d’EVE. En identifiant des empreintes d’applications précises lors de l’établissement de session TLS, le système peut identifier le processus client et prendre les mesures appropriées (autoriser/bloquer).

La fonctionnalité Encrypted Visibility Engine (Moteur de visibilité chiffrée) peut identifier plus de 5 000 processus clients. Le système mappe un certain nombre de ces processus aux applications clientes afin de les utiliser comme critères dans les règles de contrôle d’accès. Cela donne au système la capacité d’identifier et de contrôler ces applications sans activer le déchiffrement TLS. En utilisant les empreintes de processus malveillants connus, la technologie EVE peut également être utilisée pour identifier et bloquer le trafic malveillant chiffré sans déchiffrement sortant.

Grâce à la technologie d’apprentissage automatique, Cisco traite plus d’un milliards d’empreintes TLS et plus de 10 000 échantillons de programmes malveillants par jour pour créer et mettre à jour des empreintes EVE. Ces mises à jour sont ensuite fournies aux clients au moyen de l’offre groupée de la base de données de vulnérabilités (VDB) Cisco.

Si EVE ne reconnaît pas une empreinte, il identifie l’application client et estime le score de dangerosité d’une menace du premier flux à l’aide des détails de destination, tels que l’adresse IP, le port et le nom du serveur. À ce stade, l’état des empreintes est aléatoire et peut être affiché dans les journaux de débogage. Pour les flux ultérieurs avec la même empreinte, EVE ignore la réanalyse et marque l’état de l’empreinte comme non étiquetée. Si vous envisagez de bloquer le trafic en fonction des seuils de score faible ou très faible EVE, le flux initial est bloqué. Cependant, les flux ultérieurs seront autorisés une fois l’empreinte de l’application mise en cache.