Umbrella를 사용하여 Secure Malware Analytics Appliance 구성

다운로드 옵션

  • PDF     (368.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (172.0 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (145.6 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2023년 9월 25일
문서 ID:215471

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 지원되는 서드파티 통합을 Secure Malware Analytics Appliance(이전의 Threat grid)와 구성하고 트러블슈팅하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • Cisco Secure Malware Analytics
    • Cisco Umbrella

    사용되는 구성 요소

    이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

    • Umbrella
    •  Secure Malware Analytics Appliance

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경 정보

    제출된 샘플의 추가 분석 정보(예: Umbrella 위험 점수)를 제공하기 위해 Malware Analytics Appliance는 API 키를 통해 Umbrella와 통합됩니다.

    설정

    : TGA 클러스터 작업에서 각 TGA 노드는 개별적으로 구성됩니다. 각 TGA 노드를 구성 하지 못하면 일관성 없는 결과를 초래할 수 있습니다.

    참고: 어플라이언스의 더티(dirty) 인터페이스에서 소스를 통합합니다. 더티(dirty) 인터페이스가 연결되어 있고 적절한 작업을 위해 아웃바운드 액세스를 허용해야 합니다. 

    1단계. Umbrella 대시보드에 로그인하고 왼쪽 탐색 메뉴에서 Admin(관리) > Licensing(라이센싱)을 클릭합니다. 현재 패키지 유형이 표시됩니다.

    2단계. SIG 학위 라이선스가 있는지 확인합니다.
    https://umbrella.cisco.com/products/umbrella-enterprise-security-packages

    3단계. Umbrella 대시보드에서 Investigate > API keys > copy API Access Tokens를 클릭합니다

    4단계. Malware Analytics Appliance의 Opadmin(관리자) 인터페이스에 로그인합니다.


    5단계. Configuration > Integrations로 이동합니다.


    6단계. API 액세스 토큰으로 TGA를 구성합니다.

    구성이 완료되면 Save(저장)를 클릭한 다음 reconfigure(재구성)를 클릭합니다.

    7단계. 고객 어플라이언스에 RASH를 사용하여

    systemctl - no-block restart tg-supervisor

    8단계. 라이센스에 적절한 API 계층 수준이 있는지 테스트합니다.

    curl —include —request POST —header "Authorization: Bearer 12345678910" —data-binary "["cnn.com"]" https://investigate.api.umbrella.com/domains/categorization

    참고: 라이센스를 업그레이드하려면 고객의 어카운트 매니저에게 문의해야 합니다.
    Tier 1 라이센스에는 대량 엔드포인트에 대한 액세스 권한이 없으므로 원하는 작업을 완료할 수 없습니다. 이를 위해서는 Tier 2 또는 Tier 3 액세스로 라이센스를 업그레이드해야 합니다.

    1단계. 분석을 위해 URL 샘플을 제출합니다.

    2단계. 샘플 완료 후, Samples(샘플)>DNS 트래픽을 확인합니다.

    3단계. Umbrella Risk 점수로 이동합니다.

    문제 해결

    1. DNS 트래픽 아래의 악성코드 분석 어플라이언스 샘플에는 Umbrella 위험 점수가 표시되지 않습니다

    8단계에서 HTTP 오류 403이 발생하지 않도록 합니다. 라이센스에 적절한 API 계층 수준이 있는지 테스트합니다.

    umbrella problem

    이러한 문제를 해결하려면 고객은 보안 전문가 및 어카운트 팀에 문의하여 Umbrella 라이센스를 업그레이드해야 합니다. Umbrella 라이센스에 대한 지원은 GATE의 의무나 책임이 아닙니다.

    2. Umbrella 토큰이 악성코드 분석 어플라이언스에 저장되지 않음

    어플라이언스에서 API Umbrella 토큰이 올바르게 하드코딩되었는지 확인하려면 graphiql을 사용하여 컨피그레이션 파일을 쿼리할 수 있습니다. 응답은 Umbrella Dashboard에서 가져온 올바른 API Umbrella 토큰이어야 합니다.

    : <IP>를 TGA의 해당 호스트 이름으로 바꾸고 기본값을 지운 다음 재생 버튼을 누르지 말고 화면에 있는 내용을 정확히 입력하십시오.

    graphiql흑연선

    개정 이력

    개정 게시 날짜 의견
    1.0
    05-May-2020
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • TJ Busch
      TAC
    • David Janulik
      게이트

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의