Introdução
Este documento descreve como configurar e solucionar problemas de integrações de terceiros suportadas com o Secure Malware Analytics Appliance (conhecido anteriormente como Threat grid).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco Secure Malware Analytics
- Guarda-chuva da Cisco
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
- Umbrella
- Dispositivo de análise de malware seguro
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Para fornecer informações analíticas adicionais de uma amostra enviada, como a pontuação de risco do Umbrella, o Malware Analytics Appliance integra-se ao Umbrella via chave de API.
Configuração
Dica: em Operações de Cluster TGA, cada nó TGA é configurado individualmente. A falha na configuração de cada nó TGA pode levar a resultados inconsistentes.
Observação: a origem das integrações é a interface suja do dispositivo; a interface suja deve ser conectada e ter acesso de saída permitido para operações apropriadas.
Etapa 1. Inicie a sessão no painel do Umbrella e clique em Admin > Licensing no menu de navegação do lado esquerdo. Você verá seu tipo de pacote atual.
Etapa 2. Certifique-se de que você tenha uma licença de graduação SIG
https://umbrella.cisco.com/products/umbrella-enterprise-security-packages
Etapa 3. No painel do Umbrella, clique em Investigar > Chaves de API > Copiar Tokens de Acesso de API
Etapa 4. Faça login na interface Opadmin (Admin) do Malware Analytics Appliance.
Etapa 5. Navegue até Configuração > Integrações.
Etapa 6. Configure o TGA com os tokens de acesso da API.
Depois de configurado, clique em Save e em reconfigure.
Passo 7. Use RASH no dispositivo do cliente para executar
systemctl — no-block restart tg-supervisor
Etapa 8. Teste se sua licença tem o nível de camada de API apropriado:
curl —include —request POST —header "Autorização: 12345678910 do portador" —data-binary "["cnn.com"]" https://investigate.api.umbrella.com/domains/categorization
Observação: você precisa entrar em contato com o gerente de contas do cliente para obter a atualização da licença.
Não foi possível concluir a ação desejada porque a licença de Camada 1 não tem acesso a pontos de extremidade em massa. Isso exige uma atualização de licença para acesso de Nível 2 ou Nível 3.
Etapa 1. Envie uma amostra de URL para análise.
Etapa 2. Após a conclusão da amostra; Visualize as Amostras>tráfego DNS .
Etapa 3. Navegue até Pontuação de risco de guarda-chuva.
Troubleshooting
1. A pontuação de risco abrangente não é apresentada na amostra do dispositivo de análise de malware no tráfego DNS
Certifique-se de não receber o erro HTTP 403 na etapa 8. Teste se sua licença tem o nível de camada de API apropriado.
![umbrella problem](/c/dam/en/us/support/docs/security/threat-grid/215471-configure-threatgrid-appliance-third-par-00.png)
Para resolver o problema acima, os clientes devem entrar em contato com o especialista em segurança e a equipe de contas para atualizar suas licenças Umbrella. Não é dever ou responsabilidade do GATE ajudar com a licença do Umbrella.
2. O token de guarda-chuva não é salvo no dispositivo de análise de malware
Para verificar se o token do API Umbrella está codificado corretamente no equipamento, você pode usar o graphiql para consultar o arquivo de configuração. A resposta deve ser o token do Umbrella da API correto obtido do Umbrella Dashboard.
Dica: substitua <IP> pelo nome de host correspondente da TGA, limpe os valores padrão e digite exatamente o que está na tela à esquerda, em vez de pressionar o botão play.
graphiql