소개
이 문서에서는 Secure Malware Analytics가 제대로 작동하기 위해 방화벽에 추가해야 하는 네트워크 정보에 대해 설명합니다.
기고자: Cisco TAC 엔지니어
보안 악성코드 분석 클라우드
NAM 클라우드
(https://panacea.threatgrid.com)
호스트 이름 |
IP |
포트 |
세부사항 |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148 , 63.162.55.67 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.mtv.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
샘플 상호작용 창 |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
샘플 상호작용 창 |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
샘플 상호작용 창 |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
FMC/FTD 파일 분석 서비스 |
EU 클라우드
(https://panacea.threatgrid.eu)
호스트 이름 |
IP |
포트 |
세부사항 |
panacea.threatgrid.eu |
89.167.128.132 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.threatgrid.eu |
89.167.128.132 |
443 |
샘플 상호작용 창 |
fmc.api.threatgrid.eu |
89.167.128.132 |
443 |
FMC/FTD 파일 분석 서비스 |
Secure Malware Analytics Appliance
Secure Malware Analytics Appliance의 인터페이스당 권장 방화벽 규칙입니다.
더티 인터페이스
샘플이 DNS를 확인하고 C&C(Command and Control) 서버와 통신할 수 있도록 VM에서 인터넷과 통신하는 데 사용됩니다.
허용:
경고: 다음 IP 주소는 2023년 7월 31일에 사용이 중단됩니다.
방향
|
프로토콜
|
포트
|
대상
|
호스트 이름
|
세부사항
|
아웃바운드
|
IP
|
모두
|
모두
|
|
여기서 Deny 섹션에 지정된 위치를 제외하고는 권장됩니다.
사용됨 분석을 위해 연결을 허용합니다.
|
아웃바운드
|
TCP
|
22
|
|
support-snapshots.threatgrid.com
|
자동 지원 진단 업로드에 사용됩니다.
참고: 소프트웨어 버전 1.2 이상이 필요합니다.
|
아웃바운드
|
TCP
|
22
|
54.173.182.46
[2023년 7월 31일 자로 중단]
|
appliance-updates.threatgrid.com
|
어플라이언스 업데이트
|
아웃바운드
|
TCP
|
19791
|
54.164.165.137
34.199.44.202
[2023년 7월 31일 자로 중단]
|
rash.threatgrid.com
|
원격 지원/어플라이언스 지원 모드
|
참고: 아래의 IP 주소는 2023년 7월 31일 이후에도 활성 상태로 유지됩니다.
|
아웃바운드
|
TCP
|
19791
|
63.97.201.96 63.162.55.96
|
|
원격 지원/어플라이언스 지원 모드
|
아웃바운드
|
TCP
|
22
|
63.97.201.97 63.162.55.97 |
appliance-updates.threatgrid.com
|
어플라이언스 업데이트
|
아웃바운드
|
TCP
|
22
|
63.97.201.98
63.162.55.98
|
support-snapshots.threatgrid.com
|
자동 지원 진단 업로드에 사용됩니다.
참고: 소프트웨어 버전 1.2 이상이 필요합니다.
|
아웃바운드
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
라이센스 관리
|
원격 네트워크 종료
어플라이언스에서 VM 트래픽을 이전의 tg-tunnel로 알려진 원격 종료로 터널링하는 데 사용합니다.
방향 |
프로토콜 |
포트 |
대상 |
아웃바운드 |
TCP |
21413 |
163.182.175.193 |
아웃바운드 |
TCP |
21417 |
69.55.5.250 |
아웃바운드 |
TCP |
21415 |
69.55.5.250 |
아웃바운드 |
TCP |
21413 |
76.8.60.91 |
참고: 원격 출구 4.14.36.142가 제거되어 더 이상 운영 중이 아닙니다. 언급된 모든 IP를 방화벽 예외 목록에 추가해야 합니다.
거부:
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
아웃바운드
|
SMTP
|
모두 |
모두
|
스팸을 전송할 악성코드를 차단합니다.
|
인바운드
|
IP
|
모두
|
Secure Malware Analytics Appliance 더티 인터페이스
|
위의 Allow 섹션에 지정된 경우를 제외하고는 권장됩니다.
분석을 위해 통신을 허용하는 데 사용됩니다.
|
깨끗한 인터페이스
분석가를 위한 UI 액세스와 샘플을 제출하기 위해 연결된 다양한 서비스에서 사용됩니다.
허용:
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
인바운드
|
TCP
|
443
8443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
WebUI 및 API 액세스
|
인바운드
|
TCP
|
9443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
글로브박스에 사용
|
아웃바운드
|
TCP
|
19791
|
호스트: rash.threatgrid.com
IP: 54.164.165.137 [2023년 7월 31일에 사용 중지됨]
IP: 34.199.44.202 [2023년 7월 31일에 사용 중지됨]
|
Secure Malware Analytics 지원을 위한 복구 모드
|
허용:
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
인바운드
|
TCP
|
443
8443
|
Secure Malware Analytics Appliance 관리 인터페이스
|
하드웨어 및 라이센스에 대한 설정을 구성하는 데 사용됩니다. |