Introduction
Este documento descreve o que é o Cisco Aggregator Server e como ele funciona quando o Secure Email Gateway pesquisa o Cisco Aggregator Server (agregator.cisco.com port 443) a cada 30 minutos para os dados do Web Interaction Tracking.
O que é o Cisco Aggregator Server e como ele funciona?
O Secure Email Gateway pesquisa o Cisco Aggregator Server (agregator.cisco.com port 443) a cada 30 minutos para dados de rastreamento de interação da Web. Se habilitado nos recursos de detecção e filtragem, o relatório Rastreamento de interação da Web mostra estes dados:
- Principais URLs mal-intencionados reescritos que foram clicados.
- Lista de quem clicou nos URLs mal-intencionados.
- Carimbo de data e hora do clique.
- Se o URL foi reescrito por um filtro de política ou de detecção.
- A ação é tomada quando o URL é clicado: permitir, bloquear ou desconhecido.
- Principais pessoas que clicaram nos URLs mal-intencionados reescritos.
- Detalhes do Rastreamento de Interação na Web.
- Uma lista de todos os URLs redirecionados e reescritos da nuvem.
- A ação é tomada quando o URL é clicado: permitir, bloquear ou desconhecido.
Note: Para que os Detalhes da interação da Web sejam exibidos, selecione Políticas de recebimento de e-mail > Filtros de epidemia para configurar um filtro de epidemia e ativar a modificação de mensagens e a recriação de URL. Configure um filtro de conteúdo com a ação Redirecionar para o Cisco Security Proxy.
Configurar o Cisco Aggregator Server
> aggregatorconfig
Choose the operation you want to perform:
- EDIT - Edit aggregator configuration
- CLUSTERSET - Set how aggregator is configured in a cluster.
- CLUSTERSHOW - Display how aggregator is configured in a cluster.
[]> edit
Edit aggregator address:
[aggregator.cisco.com]>
Successfully changed aggregator address to : aggregator.cisco.com
Como ativar o rastreamento de interação da Web
Você pode ativar o Rastreamento de interação da Web por meio de duas configurações de recursos diferentes.
Filtros de detecção
Através da GUI:
- Efetue login na GUI do Secure Email Gateway.
- Passe o mouse sobre Serviços de segurança.
- Clique em Outbreak Filters.
- Clique em Editar configurações globais.
- Marque Ativar filtros de detecção.
- Marque Habilitar rastreamento de interação da Web.
- Clique em Submit.
- Clique em Confirmar.
Através do CLI:
> outbreakconfig
Outbreak Filters: Disabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Disabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when Outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be
quarantined or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [N]> Y
What is the largest size message Outbreak Filters should scan?
[524288]>
Do you want to use adaptive rules to compute the threat level of messages? [N]> Y
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> Y
Logging of URLs has been enabled.
Web Interaction Tracking is currently disabled.
Do you wish to enable Web Interaction Tracking? [N]> Y
Web Interaction Tracking is enabled.
The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in
the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
Filtragem de URL
Através da GUI:
- Efetue login na GUI do Secure Email Gateway.
- Passe o mouse sobre Serviços de segurança.
- Clique em Filtragem de URL.
- Clique em Editar configurações globais.
- Marque Habilitar categoria de URL e filtros de reputação.
- Marque Habilitar rastreamento de interação da Web.
- Clique em Submit.
- Clique em Confirmar.
Através do CLI:
> websecurityconfig
Enable URL Filtering? [N]> Y
Do you wish to enable Web Interaction Tracking? [N]> Y
Web Interaction Tracking is enabled.
Do you want to add URLs to the allowed list using a URL list? [N]>
Rastreamento de interação da Web
Fatos importantes:
- Os módulos de relatório não são preenchidos a menos que o rastreamento de interação da Web esteja ativado.
- O relatório não é preenchido em tempo real, ele pesquisa o servidor agregador e obtém novos dados a cada 30 minutos.
- Pode levar até 2 horas para ver um evento de clique no rastreamento.
- Os relatórios estão disponíveis para mensagens de entrada e saída.
- Os eventos de clique de URL são relatados somente se o URL foi reescrito por um filtro de política ou de epidemia.
Se você usar o Security Management Appliance (SMA) para relatórios centralizados:
- Faça login no seu SMA.
- Clique na guia Email.
- Passe o mouse sobre Relatórios.
- Clique em Rastreamento de interação da Web.
Registro do conector de nuvem
Em versões mais recentes do AsyncOS, o Secure Email Gateway agora oferece suporte a Logs de conectores de nuvem, uma nova assinatura de log que contém o rastreamento de interação da Web do Cisco Aggregator Server. Isso foi adicionado para ajudar a solucionar problemas de Rastreamento de interação da Web se ocorrerem problemas.
Através da GUI:
- Faça login na GUI do Secure Email Gateway.
- Passe o mouse sobre Administração do sistema.
- Clique em Registrar assinaturas.
Através do CLI:
>logconfig
Currently configured logs:
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. LDAP_Debug LDAP Debug Logs Manual Download None
2. audit_logs Audit Logs Manual Download None
3. cloud_connector Cloud Connector Logs Manual Download None
Troubleshoot
Problema
Não é possível conectar ao Cisco Aggregator Server.
Solução
- Faça ping no nome do host do Cisco Aggregator Server a partir do Secure Email Gateway. Você pode usar o comando agregadorconfig para localizar o nome de host.
- Verifique a conexão proxy configurada em Serviços de Segurança > Atualizações de Serviço.
- Verifique o firewall, os dispositivos de segurança e a rede.
443 |
TCP |
OUT |
aggregator.cisco.com |
Acesso ao servidor Cisco Aggregator. |
- Faça Telnet para o servidor agregador a partir do gateway de e-mail seguro: telnet agregator.cisco.com 443
- Execute uma captura de pacote para o servidor agregador do Secure Email Gateway afetado.
- Verifique o DNS, certifique-se de que o nome do host do servidor seja resolvido no Secure Email Gateway (execute isso no Secure Email Gateway afetado: nslookup aggregate.cisco.com).
Problema
Não é possível recuperar informações de rastreamento de interação da Web do Cisco Aggregator Server.
Solução
- Verifique a conexão proxy configurada em Serviços de Segurança > Atualizações de Serviço.
- Verifique o firewall, os dispositivos de segurança e a rede.
443 |
TCP |
OUT |
aggregator.cisco.com |
Acesso ao servidor Cisco Aggregator. |
- Faça Telnet para o servidor agregador a partir do gateway de e-mail seguro: telnet agregator.cisco.com 443
- Execute uma captura de pacote para o servidor agregador do Secure Email Gateway afetado.
- Verifique o DNS, certifique-se de que o nome do host do servidor seja resolvido no dispositivo (execute-o no Secure Email Gateway afetado: nslookup aggregate.cisco.com).
Informações Relacionadas