De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit artikel beschrijft de meest frequent gestelde vragen op Web Reputation Score (WBRS) en Categorieoptie met de Cisco Web Security Appliance (WSA).
Web Reputation Filters wijzen een Web-Based Reputation Score (WBRS) aan een URL toe om de waarschijnlijkheid te bepalen dat deze op URL gebaseerde malware bevat. Web security applicatie gebruikt platforminfcaties om malware aanvallen te identificeren en te stoppen voordat ze zich voordoen. U kunt Web Reputation Filters met Access, Decryptie, en Cisco gegevensveiligheidsbeleid gebruiken.
De internetwebsites zijn categorieën op basis van het gedrag en het doel van deze websites, om het voor de beheerders van de volmachten gemakkelijker te maken, hebben we elke URL van de website toegevoegd aan een vooraf gedefinieerde categorie, waar deze kan worden geïdentificeerd voor veiligheids- en rapportagedoeleinden. websites die niet tot een van de vooraf gedefinieerde categorieën behoren, worden niet-gecategoriseerde websites genoemd, die kunnen worden veroorzaakt door nieuwe websites en een gebrek aan voldoende gegevens/verkeer om de categorie ervan te bepalen. en dit verandert mettertijd .
Elk verzoek dat u via de Cisco Web Security Appliance (WSA) maakt, moet een Web-Based Reputation Score (WBRS) score en URL categorie aan het programma hebben bevestigd. en een van de manieren om het te bekijken is via de toeganglogs , is een voorbeeld : de Web-Based Reputation Score (WBRS) score is (-1.4) en de URL-categorie is: Computers en internet.
Tekstreferentie voor de bovenstaande screenshot.
1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE-1.4 ,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
Web-Based Reputation Score (WBRS) updates zijn te vinden in de update_logs en u kunt deze bestanden downloaden via File Transfer Protocol (FTP) en inloggen op de beheerinterface. of via Opdrachtlijn Interface (CLI).
U kunt Logs als volgt weergeven met behulp van terminal:
WSA.local (SERVICE)> tail
Currently configured logs:
1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
xx.xx.xx.xx
2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
....
43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
Poll
Enter the number of the log you wish to tail.
[]> 44
Press Ctrl-C to stop scrolling, then `q` to quit.
Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
Mon Jul 15 19:24:04 2019 Info: mcafee update completed
Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
Mon Jul 15 19:38:02 2019 Info: wbrs update completed
Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019
Om ervoor te zorgen dat uw Cisco Web Security Appliance (WSA) de nieuwe updates kan krijgen. controleer of u de connectiviteit met de servers van Cisco update op de volgende poorten 80 en 443 van het Transmission Control Protocol (TCP) hebt:
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
Opmerking: Als u een stroomopwaartse proxy hebt, voer dan de bovenstaande tests uit via uw stroomopwaartse proxy.
Na het controleren dat zowel Cisco Web Security Appliance (WSA) als Cisco TALOS dezelfde reputatiescore hebben maar u nog steeds denkt dat dit geen geldig resultaat is, moet dit worden vastgesteld door een geschil met Cisco TALOS-team te verzenden.
U kunt dit doen via de volgende link: https://talosintelligence.com/reputation_center/support
Om het geschil in te dienen, volgt u de onderstaande instructies.
Resultaten nadat u Lookup hebt ingedrukt en de optie om de score handmatig te wijzigen.
Opmerking: CISCO TALOS-inzendingen kunnen enige tijd in beslag nemen om gereflecteerd te worden in een database als de kwestie dringend is, kunt u altijd een WHITELIST of BLOCKLIST maken, als tijdelijke oplossing voor de kwestie vanaf Cisco-backend. om dat te doen, kunt u deze sectie controleren (Hoe werkt Whitelist of BlackList URL).
Na het controleren dat zowel Cisco Web Security Appliance (WSA) als Cisco TALOS dezelfde categorieën hebben maar u nog steeds denkt dat dit geen geldig resultaat is, moet dit worden vastgesteld door een geschil met Cisco TALOS-team te verzenden.
Ga naar de pagina voor categorisering in TALOS: https://talosintelligence.com/reputation_center/support#categorization
Om het geschil in te dienen, volgt u de onderstaande instructies.
Als u de categorie wilt bijwerken, kiest u in het vervolgkeuzemenu wat u vindt dat de inhoud beter op de website past, en volgt u de commentaar-richtlijnen.
Heeft u een case ingediend bij Cisco TALOS en wordt de reputatie/score niet binnen 3-4 dagen bijgewerkt. U kunt uw updates controleren en ervoor zorgen dat u bereikbaarheid hebt aan de server van Cisco update. als al deze stappen ok waren, dan kunt u doorgaan en een ticket openen met Cisco TAC en Cisco Engineer helpt u bij het volgen met Cisco TALOS-team.
Opmerking: U kunt het WHITELIST/BLOCKLIST-werk toepassen om de gewenste actie toe te passen tot de categorie/reputatie wordt bijgewerkt vanaf Cisco TALOS-team.
Database kan verouderd zijn op Cisco Web Security Appliance (WSA) vanwege meerdere redenen, voornamelijk communicatie met onze updates servers, volgt deze stappen om te controleren of u juiste update servers en connectiviteit hebt.
1. Controleer dat u de connectiviteit voor de servers van Cisco update op poort 80 en 443 hebt:
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
2. Als u een stroomopwaartse proxy hebt, zorg er dan voor dat de stroomopwaartse proxy ervoor zorgt dat u de bovenstaande tests uitvoert via uw stroomopwaartse proxy.
3. Als de connectiviteit fijn is en u nog steeds het verschil ziet, forceer dan de updates handmatig: updates van de CLI, of van GUI->Security services -> Malware Protection -> updates hieronder.
Wacht een paar minuten en als dat niet werkt, controleer dan de volgende stap.
4. Op dit moment moet u de update_logs controleren: open terminal: CLI->tail-> (kies het aantal logbestanden update_logs.) hierdoor worden de update-logbestanden alleen de nieuwe regels weergegeven.
Loglijnen moeten starten met deze regel "Ontvangen afstandsbediening om een handmatige update aan te geven":
Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
Mon Jul 15 19:14:12 2019 Info: Starting manual update
Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock
5. Controleer op 'Kritisch/Waarschuwing'-berichten en de update logbestanden zijn zeer menselijke leesbare fouten en zal u naar alle waarschijnlijkheid begeleiden waar het probleem is.
6. Als er geen antwoord is geweest, kunt u verdergaan en een ticket met Cisco-ondersteuning openen met de resultaten van de bovengenoemde stappen, en ze zullen met plezier helpen.
Enkele parameters die in overweging worden genomen bij het toewijzen van een score aan een specifieke website:
kern |
Handeling |
Beschrijving |
Voorbeeld |
-10 t/m -6,0 (Arm) |
blokkeren |
Slechte plek. Het verzoek is geblokkeerd, en geen andere malware scans gebeurt. |
|
-5,9 t/m 5,9 (Neutraal) |
Scannen |
Onbepaalde plaats. Aanvraag is: naar de DVS-motor voor verder scannen van malware. Het DVS-motor scant het verzoek en de inhoud van de serverreactie. |
|
6,0 t/m 10,0 (goed) |
toestaan |
Goede site. Aanvraag is toegestaan. Geen malware scan vereist. |
|
kern |
Handeling |
Beschrijving |
-10 t/m -9,0 (Arm) |
druppel |
Slechte plek. Het verzoek wordt ingetrokken zonder kennisgeving aan de eindgebruiker. Gebruik deze instelling is voorzichtig . |
-8,9 t/m 5,9 (Neutraal) |
decrypteren |
Onbepaalde plaats. Aanvraag is toegestaan, maar de verbinding wordt gedecrypteerd en toegangsbeleid wordt toegepast op het ontsleutelde verkeer. |
6,0 t/m 10,0 (goed) |
Doorlopen |
Goede site. Aanvraag wordt doorgegeven zonder inspectie of decryptie. |
kern |
Handeling |
Beschrijving |
-10 t/m -6,0 (Arm) |
blokkeren |
Slechte plek. De transactie wordt geblokkeerd en er wordt geen verder scannen uitgevoerd. |
-5,9 t/m 0,0 (Neutraal) |
monitor |
De transactie wordt niet geblokkeerd op basis van Web Reputation, en zal worden uitgevoerd naar contentcontroles (bestandstype en -grootte). Opmerking Sites zonder score worden bewaakt. |
Niet gecategoriseerde URLS zijn degenen die de Databank van Cisco niet genoeg informatie over heeft om hun categorie te bevestigen. gewoonlijk pas opgerichte websites .
1. Ga naar het gewenste toegangsbeleid: Web security Manager -> toegangsbeleid.
2. Scrolt naar het gedeelte Ongecategoriseerde URL’s.
3. Selecteer een van de gewenste handelingen, monitor, Blok of waarschuwing.
4. Indienen en beloven van wijzigingen.
De frequentie van de updates kan worden bijgewerkt met behulp van de volgende opdracht van CLI: updates
WSA.local (SERVICE)> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval for Web Reputation and Categorization: 12h
Update interval for all other services: 12h
Proxy server: not enabled
HTTPS Proxy server: not enabled
Routing table for updates: Management
The following services will use this routing table:
- Webroot
- Web Reputation Filters
- L4 Traffic Monitor
- Cisco Web Usage Controls
- McAfee
- Sophos Anti-Virus definitions
- Timezone rules
- HTTPS Proxy Certificate Lists
- Cisco AsyncOS upgrades
Upgrade notification: enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>
Opmerking: de bovenstaande waarde laat zien hoe vaak we op updates controleren , maar niet hoe vaak we nieuwe actualiseringen voor de reputatie en andere diensten publiceren . de bijgewerkte gegevens kunnen op elk moment beschikbaar zijn .
OF UIT GUI: Systeembeheer -> Instellingen voor upgrade en updates.
Soms kost het updates voor URLs van Cisco TALOS tijd, of door gebrek aan genoeg informatie. of er is geen manier om de reputatie te veranderen omdat de website nog steeds niet aantoonde dat het slecht gedrag veranderde . Op dit punt kunt u deze URL aan een aangepaste URL categorie toevoegen die uw toegangsbeleid toestaat/blokkeert of uw decryptie beleid doorlaat/laat vallen, en die de URL zonder het scannen of URL filteren controle door het Cisco Web Security Appliance (WSA) of blok garandeert.
Volg voor Whitelist/Blacklist de volgende stappen:
1. Voeg URL toe in aangepaste URL categorie.
Ga van de GUI naar Web Security Manager -> Aangepaste en externe URL-categorie.
2. Klik op categorie toevoegen:
3. Voeg de websites toe die vergelijkbaar zijn met de screenshots hieronder:
4. Ga naar de URL-filtering in het gewenste toegangsbeleid (Web security Manager -> toegangsbeleid -> URL-filtering).
5. Selecteer de WHITELIST of BLACKLIST die we net hebben gecreëerd en neem deze op in het beleid.
6. Voeg de beleidscategorie toe in de URL-filterinstellingen van het beleid zoals hieronder.
7. Defineer de actie, Blok naar Blocklist, sta toe aan Whitelist. en als u wilt dat de URL door de scanmotoren gaat, behoudt u de Actie als monitor.
8. Vermeld en verbind wijzigingen.