소개
이 문서에서는 지원되는 서드파티 통합을 Secure Malware Analytics Appliance(이전의 Threat grid)와 구성하고 트러블슈팅하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Secure Malware Analytics
- Cisco Umbrella
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
- Umbrella
- Secure Malware Analytics Appliance
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
제출된 샘플의 추가 분석 정보(예: Umbrella 위험 점수)를 제공하기 위해 Malware Analytics Appliance는 API 키를 통해 Umbrella와 통합됩니다.
설정
팁: TGA 클러스터 작업에서 각 TGA 노드는 개별적으로 구성됩니다. 각 TGA 노드를 구성 하지 못하면 일관성 없는 결과를 초래할 수 있습니다.
참고: 어플라이언스의 더티(dirty) 인터페이스에서 소스를 통합합니다. 더티(dirty) 인터페이스가 연결되어 있고 적절한 작업을 위해 아웃바운드 액세스를 허용해야 합니다.
1단계. Umbrella 대시보드에 로그인하고 왼쪽 탐색 메뉴에서 Admin(관리) > Licensing(라이센싱)을 클릭합니다. 현재 패키지 유형이 표시됩니다.
2단계. SIG 학위 라이선스가 있는지 확인합니다.
https://umbrella.cisco.com/products/umbrella-enterprise-security-packages
3단계. Umbrella 대시보드에서 Investigate > API keys > copy API Access Tokens를 클릭합니다
4단계. Malware Analytics Appliance의 Opadmin(관리자) 인터페이스에 로그인합니다.
5단계. Configuration > Integrations로 이동합니다.
6단계. API 액세스 토큰으로 TGA를 구성합니다.
구성이 완료되면 Save(저장)를 클릭한 다음 reconfigure(재구성)를 클릭합니다.
7단계. 고객 어플라이언스에 RASH를 사용하여
systemctl - no-block restart tg-supervisor
8단계. 라이센스에 적절한 API 계층 수준이 있는지 테스트합니다.
curl —include —request POST —header "Authorization: Bearer 12345678910" —data-binary "["cnn.com"]" https://investigate.api.umbrella.com/domains/categorization
참고: 라이센스를 업그레이드하려면 고객의 어카운트 매니저에게 문의해야 합니다.
Tier 1 라이센스에는 대량 엔드포인트에 대한 액세스 권한이 없으므로 원하는 작업을 완료할 수 없습니다. 이를 위해서는 Tier 2 또는 Tier 3 액세스로 라이센스를 업그레이드해야 합니다.
1단계. 분석을 위해 URL 샘플을 제출합니다.
2단계. 샘플 완료 후, Samples(샘플)>DNS 트래픽을 확인합니다.
3단계. Umbrella Risk 점수로 이동합니다.
문제 해결
1. DNS 트래픽 아래의 악성코드 분석 어플라이언스 샘플에는 Umbrella 위험 점수가 표시되지 않습니다
8단계에서 HTTP 오류 403이 발생하지 않도록 합니다. 라이센스에 적절한 API 계층 수준이 있는지 테스트합니다.
이러한 문제를 해결하려면 고객은 보안 전문가 및 어카운트 팀에 문의하여 Umbrella 라이센스를 업그레이드해야 합니다. Umbrella 라이센스에 대한 지원은 GATE의 의무나 책임이 아닙니다.
2. Umbrella 토큰이 악성코드 분석 어플라이언스에 저장되지 않음
어플라이언스에서 API Umbrella 토큰이 올바르게 하드코딩되었는지 확인하려면 graphiql을 사용하여 컨피그레이션 파일을 쿼리할 수 있습니다. 응답은 Umbrella Dashboard에서 가져온 올바른 API Umbrella 토큰이어야 합니다.
팁: <IP>를 TGA의 해당 호스트 이름으로 바꾸고 기본값을 지운 다음 재생 버튼을 누르지 말고 화면에 있는 내용을 정확히 입력하십시오.
흑연선