Configurar a integração de percepção de segurança com o Cisco Secure Email Gateway

Opções de download

  • PDF     (2.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de abril de 2023
ID do documento:220332

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as etapas necessárias para configurar a integração do Cisco Security Awareness (CSA) com o Cisco Secure Email Gateway.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conceitos e configuração do Cisco Secure Email Gateway
    • Serviço em nuvem CSA 

    Componentes Utilizados

    As informações neste documento são baseadas no AsyncOS para SEG 14.0 e posterior.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Criar e enviar simulações de phishing do CSA Cloud Service

    Etapa 1. Fazer login no CSA Cloud Service

    Consulte:
    1. https://secat.cisco.com/ para a região AMÉRICAS

    2. https://secat-eu.cisco.com/ para a região Europa

    Etapa 2. Criar um destinatário de e-mail de phishing 

    Navegue até Environment > Users > Add New User os campos E-mail, Nome, Sobrenome e Idioma, preencha-os e clique Save Changesconforme mostrado na imagem.

    User interface page to add new userCaptura de tela da página da interface do usuário para adicionar um novo usuário

    note-icon

    Note: Uma senha precisa ser definida apenas para um usuário administrador do CSA que está autorizado a criar e iniciar simulações.

    A função do usuário pode ser selecionada depois que o usuário é criado. Você pode selecionar a função no menu suspenso como indicado nesta imagem:

    View of the user role drop down optionsExibição das opções suspensas de função de usuário

    Marque aUser is Phishing Recipient > Save Changescaixa de seleção conforme mostrado na imagem.

    User is Phishing Recipient checkbox is enabledcaptura de tela mostrando que a caixa de seleção "O usuário é o destinatário de phishing" está ativada

    Verifique se o usuário foi adicionado com êxito e se está listado quando pesquisado com base no endereço de e-mail no filtro, conforme mostrado na imagem.

    New user in the user listCaptura de tela do novo usuário na lista de usuários

    Etapa 3. Habilitar a API de Relatório

    Navegue até a Environments > Settings > Report API  guia e marqueEnable Report API > Save Changes .

    note-icon

    Note: Anote o Bearer Token (Token do portador). Você precisa disso para integrar o SEG ao CSA.

    Enable Report API checkbox is enabledCaptura de tela mostrando que a caixa de seleção "Habilitar API de Relatório" está habilitada.

    Etapa 4. Criar Simulações de Phishing

    a. Navegue até Phishing Simulator > Simulations > Create New Simulation e selecione um Template na lista disponível, conforme mostrado na imagem.

    Create New Simulation buttonCaptura de tela destacando o botão "Criar nova simulação"

    b. Preencha estas informações:

    1. Selecione um nome para o modelo.
    2. Descrever o modelo.
    3. Nome de domínio para o qual o email de phishing é enviado.
    4. O nome de exibição do email de phishing.
    5. Endereço de e-mail de (selecione no menu suspenso).
    6. Endereço para resposta (selecione no menu suspenso).
    7. Selecione o idioma.
    8. Salvar alterações.

    Fields that need to be filled into configure new simulationCaptura de tela destacando campos que precisam ser preenchidos na configuração de uma nova simulação

    c. Clique em Import from Filters e adicione os destinatários do e-mail de phishing à  Recipient Listconforme mostrado na imagem .

    Import from Filters buttonCaptura de tela destacando o botão "Importar de filtros"

    Você pode filtrar usuários por idioma ou gerentes. Clique em Add como mostrado na imagem.

    Filter Users dialogue box for filtering by language or managerCaptura de tela da caixa de diálogo Filtrar usuários para filtrar por idioma ou gerente

    Aqui está um exemplo do usuário que foi criado na Etapa 2, que agora foi adicionado à lista de destinatários como mostrado na imagem.

    User created earlier listed as a recipient for the phishing simulationCaptura de tela do usuário criado anteriormente listado como um destinatário para a simulação de phishing

    d. DefinaDelivery Starta data e as Save alterações para agendar a campanha, conforme mostrado na imagem.

    Delivery start fieldCaptura de tela destacando o campo Início da entrega

    Depois que a data de início é escolhida, a opção de selecionar oend date para a campanha é habilitada conforme mostrado na imagem.

    Data Collect End field which designates when the simulation should endCaptura de tela do realce do campo Data Collect End, que designa quando a simulação deve terminar

    e. Clique em Launch para iniciar a campanha, conforme mostrado na imagem.

    Final tab of the simulation creation wizard where the campaign can be launchedCaptura de tela da aba final do assistente de criação de simulação onde a campanha pode ser iniciada

    Um código de autenticação de dois fatores pode ser solicitado depois de clicar no botão Iniciar. Digite o código e clique em Launchconforme mostrado na imagem.

    Pop-up asking for the Two Factor Authentication codeCaptura de tela do pop-up solicitando o código de Autenticação de dois fatores

    Etapa 5. Verificação de Simulações Ativas

    Navegue atéPhishing Simulator > Dashboards. A lista de simulação ativa atual fornece as simulações ativas. Você também pode clicar Export as PDF e obter o mesmo relatório como mostrado na imagem.

    Phishing simulations dashboardCaptura de tela do painel de simulações de phishing

    O que é visto no lado do destinatário?

    Exemplo de um e-mail de simulação de phishing na caixa de entrada do destinatário.

    Example of the simulated phish email in a user mailboxExemplo de e-mail simulado de phishing em uma caixa de correio de usuário

    Quando o destinatário clica no URL, essa página de feedback é mostrada ao usuário e esse usuário aparece como parte da lista de Clientes Repetidos (que clicou livremente no URL do phishing) no CSA.

    Example of the feedback page the user will seen after clicking the URL in the phish emailExemplo da página de comentários que o usuário verá depois de clicar no URL no e-mail de phishing

    Verificar no CSA

    A lista Repetir cliques é exibida emAnalytics > Standard Reports > Phishing Simulations > Repeat Clickersas shown in the image.

    Repeat Clickers pageCaptura de tela da página Repetir cliques

    Configurar o Secure Email Gateway

    note-icon

    Note: Na seção Create and Send Phishing Simulations  da Etapa 3 do CSA Cloud Service, quando você habilita o Report API , você anota o token do portador. Mantenha isto à mão.

    Report API where the admin can find the bearer tokenCaptura de tela da página na API de relatório, onde o administrador pode encontrar o token do portador

    Etapa 1. Ativar o recurso Cisco Security Awareness no Secure Email Gateway

    Na GUI do Secure Email Gateway, navegue para Security Services > Cisco Security Awareness > Enable . Enter the Region and the CSA Token (Bearer Token obtain from CSA Cloud Service, conforme mostrado na observação mencionada anteriormente) e envie e confirme as alterações.

    Cisco Security Awareness settings page on the Cisco Secure Email GatewayCaptura de tela da página de configurações do Cisco Security Awareness no Cisco Secure Email Gateway

    Configuração de CLI

    Digite  csaconfig  para configurar o CSA através do CLI.

    ESA (SERVICE)> csaconfig


Choose the operation you want to perform:
- EDIT - To edit CSA settings
- DISABLE - To disable CSA service
- UPDATE_LIST - To update the Repeat Clickers list
- SHOW_LIST - To view details of the Repeat Clickers list
[]> edit

Currently used CSA Server is: https://secat.cisco.com
Available list of Servers:
1. AMERICAS
2. EUROPE
Select the CSA region to connect
[1]>

Do you want to set the token? [Y]>

Please enter the CSA token for the region selected :
The CSA token should not:
- Be blank
- Have spaces between characters
- Exceed 256 characters.

Please enter the CSA token for the region selected :

Please specify the Poll Interval
[1d]>

    Etapa 2. Permitir e-mails simulados de phishing do CSA Cloud Service

    note-icon

    Note: A política de fluxo de e-mail CYBERSEC_AWARENESS_ALLOWED  é criada por padrão com todos os mecanismos de varredura definidos como Off (Desativado), conforme mostrado aqui.

    CYBERSEC_AWARENESS_ALLOWED mail flow policy with security features disabledCaptura de tela da política de fluxo de e-mail "CYBERSEC_AWARENESS_ALLOWED" com recursos de segurança desativados

    Para permitir que e-mails simulados de campanha de phishing do CSA Cloud Service ignorem todos os mecanismos de verificação no Secure Email Gateway:

    a. Crie um novo grupo de remetente e atribua a política de fluxo CYBERSEC_AWARENESS_ALLOWED  de e-mail. Navegue até  Mail Policies > HAT Overview > Add Sender Group  e selecione a políticaCYBERSEC_AWARENESS_ALLOWED, defina a ordem como 1 e, em seguida, Submit and Add Senders.

    b. Adicione um remetente IP/domain ouGeo Locationde onde os emails da campanha de Phishing foram iniciados.

    Navegue atéMail Polices > HAT Overview > Add Sender Group > Submit and Add Senders > Add the sender IP > SubmiteCommitalterações conforme mostrado na imagem.

    Screenshot of a CyberSec_Awareness_Allowed sender group with the CYBERSEC_AWARENESS_ALLOWED mail flow policy selectedCaptura de tela de um grupo de remetente CyberSec_Awareness_Allowed com a política de fluxo de mensagens "CYBERSEC_AWARENESS_ALLOWED" selecionada.

    Cisco Security Awareness settings page on the Cisco Secure Email GatewayCaptura de tela da página de configurações do Cisco Security Awareness no Cisco Secure Email Gateway

    Configuração de CLI:

    1. Navegue até  listenerconfig > Edit > Inbound (PublicInterface) > HOSTACCESS > NEW > New Sender Group .

    CYBERSEC_AWARENESS_ALLOWED2. Crie um novo grupo de remetente com a política de e-mail e adicione um IP/domínio do remetente de onde os e-mails da campanha de Phishing são iniciados.

    3. Defina a ordem do novo grupo de remetente como 1 e use aMoveopção em  listenerconfig > EDIT > Inbound (PublicInterface) > HOSTACCESS > MOVE .

    4. Confirmar.

    note-icon

    Note: O IP do remetente é o endereço IP do CSA e se baseia na região selecionada. Consulte a tabela para obter o endereço IP correto a ser usado. Permita que esses endereços IP/nomes de host no firewall com número de porta 443 para SEG 14.0.0-xxx se conectem ao serviço de nuvem CSA.

    CSA Americas and EU regions IP addresses and hostnamesCaptura de tela dos endereços IP e nomes de host das regiões CSA Americas e EU

    Etapa 3. Executar Ação no Clique de Repetição do SEG

    Depois que os e-mails de phishing forem enviados e a lista de cliques repetidos for preenchida no SEG, uma política agressiva de recebimento de e-mail pode ser criada para agir sobre e-mails para esses usuários específicos.

    Crie uma nova política agressiva de recebimento de e-mails personalizados e ative Include Repeat Clickers List a caixa de seleção na seção do destinatário.

    Na GUI, navegue até Mail Policies > Incoming Mail Policies > Add Policy > Add User > Include Repeat Clickers List > Submit e faça Commit as alterações.

    Custom Incoming Mail Policy configured to handle mail destined for repeat clickersCaptura de tela da Política de recebimento de e-mails configurada para manipular e-mails destinados a cliques repetidos

    Guia de solução de problemas

    1. Navegue até csaconfig > SHOW_LISTpara ver os detalhes da lista de cliques repetidos.

    ESA (SERVICE)> csaconfig


Choose the operation you want to perform:
- EDIT - To edit CSA settings
- DISABLE - To disable CSA service
- UPDATE_LIST - To update the Repeat Clickers list
- SHOW_LIST - To view details of the Repeat Clickers list
[]> show_list

List Name       : Repeat Clickers
Report ID       : 2020
Last Updated    : 2021-02-22 22:19:08
List Status     : Active
Repeat Clickers : 4

    2. Navegue até csaconfig > UPDATE_LIST  se você deseja forçar a atualização da lista de cliques repetidos.

    ESA (SERVICE)> csaconfig


Choose the operation you want to perform:
- EDIT - To edit CSA settings
- DISABLE - To disable CSA service
- UPDATE_LIST - To update the Repeat Clickers list
- SHOW_LIST - To view details of the Repeat Clickers list
[]> update_list

Machine: ESA An update for the Repeat Clickers list was initiated successfully.

    3. Localize os logs do csa para ver se a lista de cliques repetidos foi baixada ou se há um erro. Aqui está o working setup: 

    tail csa
Tue Jan  5 13:20:31 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/license/info]
Tue Jan  5 13:20:31 2021 Info: CSA: Polling the Cisco Security Awareness cloud service to download the latest Repeat Clickers list.
Tue Jan  5 13:20:31 2021 Info: CSA: Trying to get the license expiry date: loop count 0
Tue Jan  5 13:20:31 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/data/report/2020]
Tue Jan  5 13:20:31 2021 Info: CSA: Trying to download Repeat clickers list: loop count 0
Tue Jan  5 13:20:31 2021 Info: CSA: The update of the Repeat Clickers list was completed at [Tue Jan  5 13:20:29 2021]. Version: 1
Wed Jan  6 13:20:32 2021 Info: CSA: Polling the Cisco Security Awareness cloud service to download the latest Repeat Clickers list.

    Here is an output when you have entered the incorrect token:

    tail csa
Fri Feb 19 12:28:39 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/license/info]
Fri Feb 19 12:28:39 2021 Info: CSA: Trying to get the license expiry date: loop count 0
Fri Feb 19 12:28:39 2021 Info: CSA: Polling the Cisco Security Awareness cloud service to download the latest Repeat Clickers list.
Fri Feb 19 12:28:43 2021 Info: CSA: Connecting to the Cisco Security Awareness cloud service [https://secat.cisco.com/portal/api/data/report/2020]
Fri Feb 19 12:28:43 2021 Info: CSA: Trying to download Repeat clickers list: loop count 0
Fri Feb 19 12:28:44 2021 Warning: CSA: The download of the Repeat Clickers list from the Cisco Security Awareness cloud service failed because of an invalid token.

    4. A lista de contagens de cliques repetidos também pode ser vista na GUI. Navegue até Security Services > Cisco Security Awarenessconforme mostrado na imagem.

    Awareness page highlighting the number of repeat clickersCaptura de tela da página Serviços de segurança > Cisco Security Awareness destacando o número de cliques repetidos

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    05-Apr-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Anvitha Prabhu
      Líder de entrega ao cliente da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos