O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o processo de integração do Cisco Threat Response (CTR) com o Email Security Appliance (ESA) e como verificar isso para realizar algumas investigações do CTR.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Para configurar o CTR e o ESA de integração, faça login no Email Security Virtual Appliance e siga estas etapas rápidas:
No ESA, navegue até o menu de contexto Network > Cloud Service Settings (Rede > Configurações de serviço de nuvem) para ver o status atual da resposta à ameaça (Desabilitado / Habilitado) como mostrado na imagem.
Até agora, o recurso Resposta a ameaças no ESA está desabilitado. Para habilitar o recurso, clique em Editar configurações, conforme mostrado na imagem:
Marque a caixa de seleção Enable (Habilitar) e escolha o Threat Response Server. Consulte a imagem abaixo:
Note: A seleção padrão para a URL do Threat Response Server é AMERICAS (api-sse.cisco.com). Para empresas EUROPE, clique no menu suspenso e escolha EUROPE (api.eu.sse.itd.cisco.com)
É necessário enviar e confirmar as alterações para salvar e aplicar qualquer alteração. Agora, se a interface ESA for atualizada, um token de registro será solicitado para registrar a Integração, como mostrado na imagem abaixo.
Note: Você pode ver uma mensagem de êxito: Suas alterações foram confirmadas.
1.- No portal CTR, navegue até Modules > Devices > Manage Devices (Módulos > Dispositivos > Gerenciar dispositivos). Consulte a próxima imagem.
2.- O link Gerenciar dispositivos o redireciona para o Security Services Exchange (SSE), quando estiver lá, clique no ícone Adicionar dispositivos e Gerar tokens, como mostrado na imagem.
3.- Clique em Continuar para gerar o Token, depois de gerá-lo, clique em Copiar para a Área de Transferência, conforme mostrado na imagem.
Tip: Você pode selecionar o número de dispositivos a serem adicionados (de 1 e até 100) e também selecionar o tempo de expiração do token (1h, 2h, 4h, 6h, 8h, 12h, 01 dias, 02 dias, 03 dias, 04 dias e 05 dias).
Quando o Token de registro for gerado, cole-o na seção Cloud Services Settings do ESA, como a imagem abaixo.
Note: Você pode ver uma mensagem de êxito: Uma solicitação para registrar seu dispositivo no portal Cisco Threat Response é iniciada. Volte para esta página depois de algum tempo para verificar o status do aplicativo.
Você pode navegar até o portal SSE (CTR > Modules > Dispositivos > Gerenciar dispositivos) e, na guia Pesquisar, veja o dispositivo ESA, como mostrado na imagem.
1.- Quando estiver no portal CTR, navegue até Modules > Add New Module (Módulos > Adicionar novo módulo), conforme mostrado na imagem.
2.- Escolha o tipo de módulo, nesse caso, o módulo é um módulo do Email Security Appliance como a imagem abaixo.
3.- Insira os campos: Nome do módulo, Dispositivo registrado (selecione o registrado anteriormente) e Prazo da solicitação (dias) e Salvar, como mostrado na imagem.
Para verificar a Integração CTR e ESA, você pode enviar um e-mail de teste, que também pode ser visto em seu ESA, navegar até Monitor > Message Tracking e encontrar o e-mail de teste. Nesse caso, filtrei por assunto do e-mail como a imagem abaixo.
Agora, no portal do CTR, você pode executar uma investigação, navegar até Investigar e usar alguns e-mails observáveis, como mostrado na imagem.
Tip: Você pode usar a mesma sintaxe para outros observáveis de e-mail da seguinte forma na imagem.
Se você for um cliente CES ou se gerenciar seus dispositivos ESA por meio de um SMA, poderá se conectar somente à resposta a ameaças por meio do SMA. Certifique-se de que o seu SMA execute o AsyncOS 12.5 ou posterior. Se você não gerenciar seu ESA com um SMA e integrar o ESA diretamente, verifique se ele está na versão 13.0 do AsyncOS ou superior.
Se o dispositivo ESA não for exibido na lista suspensa Dispositivo registrado enquanto o módulo ESA for adicionado ao portal CTR, certifique-se de que o CTR tenha sido ativado no SSE, no CTR, navegue para Módulos > Dispositivos > Gerenciar dispositivos e, em seguida, no portal SSE, navegue para Serviços de nuvem e ative o CTR, como a imagem abaixo:
Certifique-se de que:
Certifique-se de confirmar as alterações, quando a resposta à ameaça for ativada, caso contrário, as alterações não serão aplicadas à seção Resposta à ameaça no ESA.
Certifique-se de que o token seja gerado a partir da nuvem correta:
Se você usar a nuvem da Europa (UE) para ESA, gere o token a partir de: https://admin.eu.sse.itd.cisco.com/
Se você usar o NAM (Americas) Cloud para ESA, gere o token de: https://admin.sse.itd.cisco.com/
Além disso, lembre-se de que o token Registration tem um tempo de expiração (selecione o horário mais conveniente para concluir a Integração no tempo).