Para parceiros
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar Cisco envia por correio eletrónico a ferramenta de segurança (ESA) para comunicar e usar um host estático ou um pool alternativo do server da nuvem da reputação para a reputação do arquivo com o uso da proteção avançada do malware (AMP).
Uma pergunta da reputação do arquivo é a primeira de duas camadas para o AMP no ESA. Arquive a reputação captura uma impressão digital de cada arquivo como atravessa o ESA e o envia à rede nuvem-baseada da inteligência do AMP para uma sentença da reputação. Dado estes resultados, os administradores ESA podem automaticamente obstruir arquivos maliciosos e aplicar políticas administrador-definidas. O serviço da nuvem da reputação do arquivo é hospedado nos serviços de Web das Amazonas (AW). Quando você executa perguntas DNS contra os hostname descritos neste documento, você verá que “.amazonaws.com” alistou.
A segunda camada de AMP no ESA é análise do arquivo. Isso não é coberto neste documento.
Uma comunicação SSL para o tráfego da reputação do arquivo usa a porta 32137 à revelia. Na altura da configuração do serviço, a porta 443 pôde ser usada como uma alternativa. Consulte o Guia do Usuário ESA, “arquive a reputação que filtra e arquive seção da análise” para detalhes completos. O ESA e os administradores de rede puderam desejar verificar a Conectividade ao pool para o endereço IP de Um ou Mais Servidores Cisco ICM NT, lugar IP, e igualmente movem uma comunicação (32137 contra 443) antes que continuem com a configuração.
A reputação do arquivo é licenciada uma vez, permitido, e configurado em um ESA, será ajustada à revelia para este pool do server da nuvem da reputação:
O hostname “cloud-sa.amp.sourcefire.com” é um registro do nome canônico DNS (CNAME). Um CNAME é um tipo de registro de recurso no DNS usado para especificar que um Domain Name é um pseudônimo para um outro domínio, que seja o domínio “canônico”. O hostnamesin associado o pool amarrado a este CNAME pôde ser similar a:
Há duas escolhas adicionais dos server da reputação do arquivo que podem ser selecionadas:
Both of these server são cobertos “na seção dos nomes de host estáticos do server da reputação do arquivo (.cisco.com)” deste documento.
Você pôde verificar os anfitriões que estão associados aos AMERICAS cloud-sa-amp.sourcefire.com CNAME de sua rede a qualquer hora quando você executa esta pergunta da escavação ou do nslookup:
╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228
╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4
Nota: Estes anfitriões não são estáticos e recomenda-se não restringir o tráfego da reputação do arquivo ESA baseado somente a estes anfitriões. Os resultados de sua pergunta puderam variar, como os anfitriões no pool mudarão sem aviso prévio.
Você pode verificar a localização geográfica IP desta ferramenta da 3ª parte:
Cisco começou a fornecer nomes de host baseados “.cisco.com” para o serviço da reputação do arquivo para o AMP em 2016. Há nomes de host estáticos e uns endereços IP de Um ou Mais Servidores Cisco ICM NT disponíveis para a reputação do arquivo deste:
Você pôde verificar os anfitriões e os endereços IP de Um ou Mais Servidores Cisco ICM NT associados de sua rede e executar uma pergunta da escavação ou do nslookup:
America do Norte (E.U.):
╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50
Europa (a República da Irlanda):
╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82
Ásia-Pacífico (Japão):
╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127
Você pode verificar a localização geográfica IP desta ferramenta da 3ª parte:
Neste tempo, não há nenhum plano para desarmar os nomes de host “.sourcefire.com”.
Para European Union (EU) os clientes baseados que são exigidos enviar o tráfego específico somente aos server e aos centros de dados com base nos EU, os administradores podem configurar o ESA para apontar ao host estático EU ou ao pool do server da nuvem da reputação EU:
Como o hostname de padrão “cloud-sa.amp.sourcefire.com”, o hostname “cloud-sa.eu.am p.sourcefire.com” é igualmente um CNAME. Os nomes de host associados no pool amarrado a este CNAME puderam ser similares a:
Você pôde verificar os anfitriões que são associados a cloud-sa.eu.amp.sourcefire.com EUROPEU CNAME de sua rede e executam uma pergunta da escavação ou do nslookup::
╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245
╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153
Nota: Estes anfitriões não são estáticos e recomenda-se não restringir o tráfego da reputação do arquivo ESA baseado somente a estes anfitriões. Os resultados de sua pergunta puderam variar, como os anfitriões no pool mudarão sem aviso prévio.
Você pode verificar a localização geográfica IP desta ferramenta da 3ª parte:
A reputação do arquivo pode ser configurada do GUI ou do CLI no ESA. As etapas de configuração alistadas neste documento demonstrarão a configuração de CLI. Contudo, as mesmas etapas e informação podem ser aplicadas através do GUI (os Serviços de segurança > a reputação e a análise do arquivo > editam configurações globais… > avançou ajustes para a reputação do arquivo).
Os novos recursos de AsyncOS 10.x permitem que o ESA seja configurado para usar uma nuvem privada da reputação (os Em-locais arquivam o server da reputação) ou o server nuvem-baseado da reputação do arquivo. Com esta mudança, a configuração AMP já não alerta para o hostname com “entra a etapa no pool do server da nuvem da reputação”. Você deve escolher setup o server adicional da reputação do arquivo como uma nuvem privada da reputação e fornecer a chave pública para esse hostname.
Para 10.0.x e mais novo, quando você configura um server da reputação da alternativa AMP, você pôde ser exigido incorporar uma chave pública associada a esse hostname.
Todos os server da reputação AMP usam a mesma chave pública:
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
Este exemplo ajudá-lo-á a setup o server alternativo da reputação do arquivo a cloud-sa.eu.amp.sourcefirce.com:
my11esa.local > ampconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced
Enter cloud query timeout?
[15]>
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
Do you want to input new public key? [N]> y
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
Do you want use the recommended reputation threshold from cloud service? [Y]>
Enter heartbeat interval?
[15]>
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
Do you want to change proxy detail [N]>
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>
Comprometa todas as alterações de configuração.
Este exemplo em AsyncOS 9.7.2-065 para a Segurança do email ajudá-lo-á acima do pool alternativo do server da nuvem da reputação a cloud-sa.eu.amp.sourcefirce.com:
my97esa.local> ampconfig
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
Enter cloud query timeout?
[15]>
Enter cloud domain?
[a.immunet.com]>
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
Do you want use the recommended reputation threshold from cloud service? [Y]>
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
Enter heartbeat interval?
[15]>
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
Proxy server detail:
Server :
Port :
User :
Do you want to change proxy detail [N]>
Comprometa todas as alterações de configuração.
O uso do em-locais arquiva o server da reputação, igualmente conhecido como uma nuvem privada de FireAMP, foi introduzido que comece com AsyncOS 10.x para a Segurança do email.
Se você distribuiu um dispositivo privado virtual da nuvem de Cisco AMP em sua rede, você pode agora perguntar a reputação do arquivo de acessórios da mensagem sem enviá-los à nuvem pública da reputação. Para configurar seu dispositivo para usar os em-locais arquivam o server da reputação, consideram do “reputação arquivo filtrar e arquivam o capítulo da análise” no Guia do Usuário ou na ajuda online ESA.
Use esta seção para confirmar se a sua configuração funciona corretamente.
A fim ver o tráfego da reputação do arquivo passar ao pool do server do host estático configurado ou da nuvem da reputação, execute uma captura de pacote de informação do ESA com o filtro especificado para capturar o tráfego da porta 32137 ou da porta 443.
Para este exemplo, use o pool do server da nuvem de cloud-sa.eu.amp.sourcefire.com e uma comunicação SSL com o uso da porta 443…
Isto é registrado ao ESA nos logs AMP:
Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2
O corredor do rastreamento de pacotes ESA capturou esta conversação:
1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848
Você vê que o tráfego se comunica sobre a porta 443. De nosso ESA (my11esa.local), comunica-se ao hostname ec2-176-34-122-245.eu-west-1.compute.amazonaws.com. Este hostname é amarrado ao endereço IP 176.34.122.245:
╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245
O endereço IP de Um ou Mais Servidores Cisco ICM NT de 176.34.122.245 é um membro do pool do CNAME para cloud-sa.eu.amp.sourcefire.com:
╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245
Para este exemplo, uma comunicação foi dirigida e aceitada pelo pool configurado do server da nuvem da reputação, cloud-sa.eu.amp.sourcefire.com.
Esta seção fornece informações que você pode usar na solução de problemas de sua configuração.
A fim verificar a Conectividade nivelada da porta à nuvem da reputação do arquivo, use o hostname para o pool configurado do server da nuvem da reputação, e teste-o com o telnet à porta 32137, ou a porta 443, como configurado.
my97esa.local> telnet cloud-sa.amp.sourcefire.com 443
Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
Conectividade de Verfiy ao EU, porta excedente bem sucedida 443:
my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443
Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
Conectividade de Verfiy ao EU, não capaz de conectar sobre a porta 32137:
my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137
Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host
Você pode testar o telnet ao IP direto ou os nomes de host atrás do CNAME para o pool do server da nuvem da reputação com o mesmo método do teste do telnet, com o uso da porta 32137 ou da porta 443. Se você não é com sucesso telnet capaz ao hostname e move, você pôde precisar de verificar a conectividade de rede e as configurações de firewall externos ao ESA.
A verificação do sucesso do telnet a um server da reputação do arquivo dos em-locais será feita pelo mesmo processo como mostrado.
Quando você incorpora a chave pública em um ESA que executa AsyncOS 10.x e mais novo, assegure que você era bem sucedido em colar ou em carregar a chave pública. Todos os erros na chave pública serão indicados às saídas de configuração:
Do you want to input new public key? [N]> y
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key
Se você recebe um erro, experimente de novo a configuração. Para erros persistentes, contacte o apoio de Cisco.
Quando você vê o fazer logon AMP o ESA, assegure-se de que você ver do “a pergunta da reputação arquivo da nuvem” especificada na altura da pergunta da reputação do arquivo:
Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2
Se você vê este, a pergunta puxou a resposta do esconderijo local ESA e NÃO do pool configurado do server da nuvem da reputação:
Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2
Um administrador ESA pôde receber esta observação. Se isto é recebido, re-etapa com a configuração e o processo de verificação.
The Warning message is:
amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.
Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400