ThreatGrid Appliance 타사 통합 구성

소개

이 문서에서는 TGA(ThreatGrid Appliance)와의 지원되는 타사 통합을 구성하고 문제를 해결하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco ThreatGrid 어플라이언스
• Cisco Umbrella

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

제출된 샘플의 추가 분석 정보를 제공하기 위해 TGA(Threat Grid Appliance)는 타사 서비스와 통합됩니다.이러한 서비스에는 현재 VirusTotal 및 Umbrella Investigate가 포함됩니다.

구성

팁:TGA Cluster Operations(TGA 클러스터 작업)에서 각 TGA 노드는 개별적으로 구성됩니다.각 TGA 노드를 구성하지 않으면 일관성 없는 결과가 발생할 수 있습니다.

참고:어플라이언스의 더티 인터페이스의 통합 소스올바른 작업을 위해 더티(dirty) 인터페이스를 연결하고 아웃바운드 액세스를 허용해야 합니다. 

1단계.  TGA의 Opadmin(Admin) 인터페이스에 로그인합니다.

2단계. Configuration(컨피그레이션) >Integrations(통합)로 이동합니다.

3단계. 필요한 설정으로 TGA를 구성합니다.

   Virus Total
      URL: http://www.virustotal.com/vtapi/v2/
      Key: (Obtained API key from the Virus Total Website)

   Umbrella/OpenDNS Configuration Details
      Investigate API Key (Obtained from Umbrella Console)

4단계. 구성했으면 Save(저장)를 클릭하고 Apply(적용)를 클릭합니다.

참고:Save(저장)를 클릭하면 TGA가 컨피그레이션을 적용하며 최대 20분 동안 샘플을 처리할 수 없습니다.제출된 샘플은 구성 애플리케이션 절차가 완료되면 받은 순서대로 처리됩니다.

다음을 확인합니다.

1단계. 검토를 위해 샘플(파일 또는 URL)을 제출합니다.

2단계: 시료 완료 후생성된 샘플 분석 보고서를 봅니다.

3단계. 행동 지표로 이동합니다.

4단계. 성공적인 통합은 안티바이러스 서비스별 탐지를 나타냅니다.VirusTotal을 통합하지 않으면 이 탐지가 발생하지 않습니다.이미지에 성공적인 통합 예가 표시됩니다.

1단계. 검토를 위해 샘플(파일 또는 URL)을 제출합니다.

2단계: 시료 완료 후생성된 샘플 분석 보고서를 봅니다.

3단계. 추출된 도메인으로 이동합니다.

4단계. URL을 선택합니다.

5단계. 성공적인 통합으로 선택한 URL의 추가 세부 정보가 표시됩니다.이미지에 예제가 표시됩니다.

문제 해결

API 키가 올바른지 확인하려면 ping 및 curl이 설치된 모든 디바이스에서 문제 해결 절차를 완료할 수 있습니다.

팁:<key>를 적절한 작업을 위해 구성 섹션에서 가져온 해당 API 키로 대체합니다.

바이러스 합계

Query Example
curl --request GET --url 'https://www.virustotal.com/vtapi/v2/file/report?apikey= 
      &resource= 
      
        >' 
      

Success Response
{"scans": 
{"Bkav": {"detected": true, "version": "1.3.0.10239", "result": "W32.FamVT.RorenNHc.Trojan", "update": "20190522"}, 
"MicroWorld-eScan": {"detected": true, "version": "14.0.297.0", "result": "Trojan.CryptZ.Gen", "update": "20190522"}, 
"CMC": {"detected": false, "version": "1.1.0.977", "result": null, "update": "20190321"}, 
"CAT-QuickHeal": {"detected": true, "version": "14.00", "result": "Trojan.Swrort.A", "update": "20190522"}, 
"McAfee": {"detected": true, "version": "6.0.6.653", "result": "Swrort.i", "update": "20190522"}, 
"Cylance": {"detected": true, "version": "2.3.1.101", "result": "Unsafe", "update": "20190522"}, 
"VIPRE": {"detected": true, "version": "75204", "result": "Trojan.Win32.Swrort.B (v)", "update": "20190522"}, 
"Qihoo-360": {"detected": true, "version": "1.0.0.1120", "result": "HEUR/QVM20.1.5BD9.Malware.Gen", "update": "20190522"}}, 
"scan_id": "7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2-1558548981", "sha1": "936c9a7a5c92d2987569f3dbe1a8bddee80e98e7", 
"resource": "7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2", "response_code": 1, "scan_date": "2019-05-22 18:16:21", 
"permalink": "https://www.virustotal.com/file/7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2/analysis/1558548981/", 
"verbose_msg": "Scan finished, information embedded", "total": 72, "positives": 50, 
"sha256": "7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2", "md5": "327684f9c54b2785b7b67510c3aed372"}

Umbrella/OpenDNS

Query Example
curl --interface dirty -H "Authorization: Bearer 
     
     
       " " 
      https://investigate.api.umbrella.com/domains/categorization/ 
       " 
      
 
      
 
     Success Response
{"example.com":{"status":0,"security_categories":[],"content_categories":["54"]}}

Invalid API Key Example
{"error":"unauthorized"}