소개
이 문서에서는 Secure Malware Analytics의 원활한 작동을 위해 방화벽에 구현하는 데 필요한 필수 네트워크 컨피그레이션에 대해 간략하게 설명합니다.
기고자: Cisco TAC 엔지니어
보안 악성코드 분석 클라우드
미국 클라우드
액세스 URL: https://panacea.threatgrid.com
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6::6e |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.chi.threatgrid.com |
IPv4: 200.194.241.35 IPv6: 2602:811:900f:6::6e |
443 |
샘플 상호작용 창 |
| glovebox.rcn.threatgrid.com |
IPv4: 63.97.201.67 IPv6: 2602:811:9007:6::61 |
443 |
샘플 상호작용 창 |
| glovebox.scl.threatgrid.com |
IPv4: 63.162.55.67
IPv6: 2602:811:900b:6::6e |
443 |
샘플 상호작용 창 |
| fmc.api.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6::6e |
443 |
FMC/FTD 파일 분석 서비스 |
EU(유럽) 클라우드
액세스 URL: https://panacea.threatgrid.eu
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.muc.threatgrid.eu |
62.67.214.195 |
443 |
샘플 상호작용 창 |
| glovebox.fam.threatgrid.eu
|
200.194.242.35 |
443 |
샘플 상호작용 창
|
| fmc.api.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
FMC/FTD 파일 분석 서비스 |
기존 IP 89.167.128.132가 폐기되었습니다. 위의 IP로 방화벽 규칙을 업데이트하십시오.
CA(캐나다) 클라우드
액세스 URL: https://panacea.threatgrid.ca
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.ca |
200.194.240.35 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.kam.threatgrid.ca |
200.194.240.35 |
443 |
샘플 상호작용 창 |
| fmc.api.threatgrid.ca |
200.194.240.35 |
443 |
FMC/FTD 파일 분석 서비스 |
AU(호주) 클라우드
액세스 URL: https://panacea.threatgrid.com.au
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.com.au |
124.19.22.171 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
샘플 상호작용 창 |
| fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD 파일 분석 서비스 |
Secure Malware Analytics Appliance
다음은 Secure Malware Analytics Appliance의 인터페이스당 권장되는 방화벽 규칙입니다.
더티 인터페이스
이는 VM이 인터넷과 통신하는 데 사용되므로 샘플이 DNS를 확인하고 C&C(command and control) 서버와 통신할 수 있습니다.
허용:
|
방향
|
프로토콜
|
포트
|
대상
|
호스트 이름
|
세부사항
|
|
아웃바운드
|
IP
|
모두
|
모두
|
|
여기서 Deny 섹션에 지정된 위치를 제외하고는 권장됩니다.
분석을 위해 연결을 허용하는 데 사용됩니다.
|
|
아웃바운드
|
TCP
|
22
|
63.97.201.98
|
support-snapshots.threatgrid.com
|
자동 지원 진단 업로드에 사용됩니다.
참고: 소프트웨어 버전 1.2 이상 필요
|
|
아웃바운드
|
TCP
|
22
|
|
appliance-updates.threatgrid.com
|
어플라이언스 업데이트
|
|
아웃바운드
|
TCP
|
19791
|
63.97.201.96
63.162.55.96
|
|
원격 지원/어플라이언스 지원 모드
|
|
아웃바운드
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
라이선스 관리
|
원격 네트워크 종료
이는 어플라이언스에서 VM 트래픽을 이전에 tg-tunnel로 알려진 원격 출구로 터널링하는 데 사용됩니다.
| 방향 |
프로토콜 |
포트 |
대상 |
| 아웃바운드 |
TCP |
21413 |
173.198.252.53 |
| 아웃바운드 |
TCP |
21413 |
163.182.175.193 * * |
| 아웃바운드 |
TCP |
21417 |
69.55.5.250 |
| 아웃바운드 |
TCP |
21415 |
69.55.5.250 |
| 아웃바운드 |
TCP |
21413 |
76.8.60.91 |
참고: 원격 출구 4.14.36.142가 제거되어 더 이상 운영 중이 아닙니다. 언급된 모든 IP를 방화벽 예외 목록에 추가해야 합니다.
** 원격 출구 163.182.175.193은 173.198.252.53으로 교체됩니다.
거부:
|
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
|
아웃바운드
|
SMTP
|
모두 |
모두
|
악성코드가 스팸을 전송하지 않도록 합니다.
|
|
인바운드
|
IP
|
모두
|
Secure Malware Analytics Appliance 더티 인터페이스
|
위의 Allow 섹션에 지정된 경우를 제외하고는 권장됩니다.
분석을 위해 통신을 허용하는 데 사용됩니다.
|
깨끗한 인터페이스
이는 다양한 연결된 서비스에서 샘플을 제출하고 분석가를 위한 UI 액세스에 사용됩니다.
허용:
|
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
|
인바운드
|
TCP
|
443 및 8443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
WebUI 및 API 액세스
|
|
인바운드
|
TCP
|
9443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
글로브박스에 사용
|
|
인바운드
|
TCP
|
22
|
Secure Malware Analytics Appliance 안전한 인터페이스 |
|
|
아웃바운드
|
TCP
|
19791
|
호스트: rash.threatgrid.com
|
Secure Malware Analytics 지원을 위한 복구 모드
|
관리 인터페이스
관리 콘솔 또는 사용자 인터페이스에 액세스하는 데 사용됩니다.
허용:
|
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
|
인바운드
|
TCP
|
443 및 8443
|
Secure Malware Analytics Appliance 관리 인터페이스
|
하드웨어 및 라이센스에 대한 설정을 구성하는 데 사용됩니다. |
|
인바운드
|
TCP
|
22
|
Secure Malware Analytics Appliance 관리 인터페이스 |
SSH를 통한 관리자 TUI 액세스 |
피드백