Inleiding
Dit document beschrijft de netwerkinformatie die aan uw firewall moet worden toegevoegd om de Secure Malware Analytics goed te laten werken.
Bijgedragen door Cisco TAC-engineers.
Secure Malware Analytics-clouds
NAM Cloud
(https://panacea.threatgrid.com)
Hostname |
IP |
Port |
Gegevens |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148, 63.162.55.67 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.mtv.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
Voorbeeldvenster Interactie |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
Voorbeeldvenster Interactie |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
Voorbeeldvenster Interactie |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
FMC/FTD-service voor bestandsanalyse |
EU-cloud
(https://panacea.threatgrid.eu)
Hostname |
IP |
Port |
Gegevens |
panacea.bedreiggrid.eu |
89.167.128.132 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.bedreiggrid.eu |
89.167.128.132 |
443 |
Voorbeeldvenster Interactie |
fmc.api.bedreiggrid.eu |
89.167.128.132 |
443 |
FMC/FTD-service voor bestandsanalyse |
Secure Malware Analytics-applicatie
Dit zijn de aanbevolen firewallregels per interface van de Secure Malware Analytics-applicatie.
Vuile interface
Gebruikt door VM's om te communiceren met het internet, zodat monsters DNS kunnen oplossen en kunnen communiceren met commando en controle (C&C) servers
Toestaan:
Waarschuwing: de volgende IP-adressen worden op 31 juli 2023 ingetrokken
Richting
|
Protocol
|
Port
|
Bestemming
|
Hostname
|
Gegevens
|
Uitgaand
|
IP
|
ALLE
|
ALLE
|
|
Aanbevolen behalve waar hier opgegeven in het gedeelte Deny.
Gebruikt om connectiviteit voor analyse toe te staan.
|
Uitgaand
|
TCP
|
22
|
[Gaat met pensioen op 31 juli 2023]
|
support-snapshots.threatgrid.com
|
Gebruikt voor automatische ondersteuning van diagnostische uploads
Opmerking: vereist softwareversie 1.2+
|
Uitgaand
|
TCP
|
22
|
54.173.182.46
[Gaat met pensioen op 31 juli 2023]
|
appliance-updates.threatgrid.com
|
Applicatie updates
|
Uitgaand
|
TCP
|
19791
|
54.164.165.137
34.199.44.202
[Gaat met pensioen op 31 juli 2023]
|
rash.threatgrid.com
|
Remote-ondersteuning/modus voor applicatie-ondersteuning
|
Opmerking: de onderstaande IP-adressen blijven actief na 31 juli 2023
|
Uitgaand
|
TCP
|
19791
|
63.97.201.96 63.162.55.96
|
|
Remote-ondersteuning/modus voor applicatie-ondersteuning
|
Uitgaand
|
TCP
|
22
|
63.97.201.97 63.162.55.97 |
appliance-updates.threatgrid.com
|
Applicatie updates
|
Uitgaand
|
TCP
|
22
|
63.97.201.98
63.162.55.98
|
support-snapshots.threatgrid.com
|
Gebruikt voor automatische ondersteuning van diagnostische uploads
Opmerking: vereist softwareversie 1.2+
|
Uitgaand
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
Licentiebeheer
|
Exit van extern netwerk
Gebruikt door het apparaat om VM-verkeer te tunnelen naar een externe uitgang voorheen bekend als tg-tunnel.
Richting |
Protocol |
Port |
Bestemming |
Uitgaand |
TCP |
21413 |
163.182.175.193 |
Uitgaand |
TCP |
21417 |
69.55.5.250 |
Uitgaand |
TCP |
21415 |
69.55.5.250 |
Uitgaand |
TCP |
21413 |
76.8.60.91 |
Opmerking: Remote Exit 4.14.36.142 is verwijderd en is niet langer in productie. Zorg ervoor dat alle genoemde IP's worden toegevoegd aan de lijst met uitzonderingen voor firewalls.
Ontkennen:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Gegevens
|
Uitgaand
|
SMTP
|
ALLE |
ALLE
|
Om te voorkomen dat malware spam verstuurt.
|
Inkomend
|
IP
|
ALLE
|
Secure Malware Analytics-applicatie met vuile interface
|
Aanbevolen, behalve waar dit in het bovenstaande gedeelte Toestaan is gespecificeerd.
Gebruikt om communicatie voor analyse toe te staan.
|
Clean-interface
Gebruikt door verschillende verbonden diensten om monsters in te dienen en UI-toegang voor analisten.
Toestaan:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Gegevens
|
Inkomend
|
TCP
|
443
8443
|
Secure Malware Analytics-applicatie met schone interface
|
WebUI- en API-toegang
|
Inkomend
|
TCP
|
9443
|
Secure Malware Analytics-applicatie met schone interface
|
Gebruikt voor Glovebox
|
Uitgaand
|
TCP
|
19791
|
Host: rash.threatgrid.com
IP: 54.164.165.137 [Met pensioen op 31 juli 2023]
IP: 34.199.44.2022 [Op 31 juli 2023 wordt met pensioen gegaan]
|
Herstelmodus voor ondersteuning van Secure Malware Analytics.
|
Admin-interface
Toegang tot de administratie-gebruikersinterface.
Toestaan:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Gegevens
|
Inkomend
|
TCP
|
443
8443
|
Secure Malware Analytics-applicatie - Admin-interface
|
Hiermee configureert u instellingen voor hardware en licenties. |