Introduction
Este documento descreve as informações de rede que devem ser adicionadas ao firewall para que o Secure Malware Analytics opere corretamente.
Contribuição dos engenheiros do Cisco TAC.
Nuvens de análise de malware seguras
Nuvem NAM
(https://panacea.threatgrid.com)
Hostname |
IP |
Porta |
Detalhes |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148 , 63.162.55.67 |
443 |
Para Secure Malware Analytics Portal e dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.mtv.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
Janela Interação de exemplo |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
Janela Interação de exemplo |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
Janela Interação de exemplo |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
FMC/FTD Serviço de análise de ficheiros |
Nuvem da UE
(https://panacea.threatgrid.eu)
Hostname |
IP |
Porta |
Detalhes |
panacea.threatgrid.eu |
89.167.128.132 |
443 |
Para Secure Malware Analytics Portal e dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.threat.eu |
89.167.128.132 |
443 |
Janela Interação de exemplo |
fmc.api.threatGrid.eu |
89.167.128.132 |
443 |
FMC/FTD Serviço de análise de ficheiros |
Dispositivo de análise de malware seguro
Essas são as regras de firewall recomendadas por interface do Secure Malware Analytics Appliance.
Interface suja
Usado pelas VMs para se comunicar com a Internet para que as amostras possam resolver DNS e se comunicar com servidores de comando e controle (C&C)
Permissão:
Aviso: os seguintes endereços IP serão descontinuados em 31 de julho de 2023
Direção
|
Protocolo
|
Porta
|
Destino
|
Hostname
|
Detalhes
|
Saída
|
IP
|
QUALQUER UM
|
QUALQUER UM
|
|
Recomendado, exceto onde especificado na seção Negar aqui.
Utilizado para permitir a conectividade para análise.
|
Saída
|
TCP
|
22
|
[Será descontinuado em 31 de julho de 2023]
|
support-snapshots.threatgrid.com
|
Usado para uploads de diagnóstico de suporte automático
Observação: requer software versão 1.2+
|
Saída
|
TCP
|
22
|
54.173.182.46
[Será descontinuado em 31 de julho de 2023]
|
appliance-updates.threatgrid.com
|
Atualizações do equipamento
|
Saída
|
TCP
|
19791
|
54.164.165.137
34.199.44.202
[Será descontinuado em 31 de julho de 2023]
|
rash.threatgrid.com
|
Suporte remoto / Modo de suporte do dispositivo
|
Observação: os endereços IP abaixo permanecerão ativos após 31 de julho de 2023
|
Saída
|
TCP
|
19791
|
63.97.201.96 63.162.55.96
|
|
Suporte remoto / Modo de suporte do dispositivo
|
Saída
|
TCP
|
22
|
63.97.201.97 63.162.55.97 |
appliance-updates.threatgrid.com
|
Atualizações do equipamento
|
Saída
|
TCP
|
22
|
63.97.201.98
63.162.55.98
|
support-snapshots.threatgrid.com
|
Usado para uploads de diagnóstico de suporte automático
Observação: requer software versão 1.2+
|
Saída
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
Gerenciamento de licenças
|
Saída de rede remota
Usado pelo dispositivo para criar um túnel do tráfego da VM para a saída remota, anteriormente conhecida como tg-tunnel.
Direção |
Protocolo |
Porta |
Destino |
Saída |
TCP |
21413 |
163.182.175.193 |
Saída |
TCP |
21417 |
69.55.5.250 |
Saída |
TCP |
21415 |
69.55.5.250 |
Saída |
TCP |
21413 |
76.8.60.91 |
Observação: a saída remota 4.14.36.142 foi removida e não está mais em produção. Verifique se todos os IPs mencionados foram adicionados à sua lista de exceções de firewall.
Negar:
Direção
|
Protocolo
|
Porta(s)
|
Destino
|
Detalhes
|
Saída
|
SMTP
|
QUALQUER UM |
QUALQUER UM
|
Para evitar que o malware envie spam.
|
Entrada
|
IP
|
QUALQUER UM
|
Secure Malware Analytics Appliance Dirty Interface
|
Recomendado, exceto quando especificado na seção Permitir acima.
Usado para permitir comunicação para análise.
|
Limpar interface
Usado por vários serviços conectados para enviar amostras, bem como acesso de IU para analistas.
Permissão:
Direção
|
Protocolo
|
Porta(s)
|
Destino
|
Detalhes
|
Entrada
|
TCP
|
443
8443
|
Secure Malware Analytics Appliance Clean Interface
|
Acesso a WebUI e API
|
Entrada
|
TCP
|
9443
|
Secure Malware Analytics Appliance Clean Interface
|
Usado para Glovebox
|
Saída
|
TCP
|
19791
|
Anfitrião: rash.threatgrid.com
IP: 54.164.165.137 [Será descontinuado em 31 de julho de 2023]
IP: 34.199.44.202 [Será descontinuado em 31 de julho de 2023]
|
Modo de recuperação para suporte analítico seguro contra malware.
|
Interface do administrador
Acesso à interface de usuário da administração.
Permissão:
Direção
|
Protocolo
|
Porta(s)
|
Destino
|
Detalhes
|
Entrada
|
TCP
|
443
8443
|
Interface de administração do Secure Malware Analytics Appliance
|
Usado para definir as configurações de hardware e licenciamento. |