简介
本文档介绍安全恶意软件分析正常运行需要添加到防火墙的网络信息。
由思科 TAC 工程师撰稿。
安全恶意软件分析云
NAM云
(https://panacea.threatgrid.com)
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148, 63.162.55.67 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.mtv.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
示例交互窗口 |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
示例交互窗口 |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
示例交互窗口 |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
FMC/FTD文件分析服务 |
欧盟云
(https://panacea.threatgrid.eu)
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.eu |
89.167.128.132 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.threatgrid.eu |
89.167.128.132 |
443 |
示例交互窗口 |
fmc.api.threatgrid.eu |
89.167.128.132 |
443 |
FMC/FTD文件分析服务 |
安全恶意软件分析设备
以下是安全恶意软件分析设备的每个接口的推荐防火墙规则。
脏接口
虚拟机用于与Internet通信,以便样本可以解析DNS并与命令和控制(C&C)服务器通信
允许:
方向
|
协议
|
端口
|
目的地
|
主机名
|
详细信息
|
出站
|
IP
|
ANY
|
ANY
|
|
建议使用,但此处的拒绝部分中指定的除外。
已使用 允许用于分析的连接。
|
出站
|
TCP
|
22
|
|
support-snapshots.threatgrid.com
|
用于自动支持诊断上传
注意:需要软件版本1.2+
|
出站
|
TCP
|
22
|
54.173.182.46
[将于2023年7月31日退任]
|
appliance-updates.threatgrid.com
|
设备更新
|
出站
|
TCP
|
19791
|
54.164.165.137
34.199.44.202
[将于2023年7月31日退任]
|
rash.threatgrid.com
|
远程支持/设备支持模式
|
注意:以下IP地址在2023年7月31日后将保持活动状态
|
出站
|
TCP
|
19791
|
63.97.201.96 63.162.55.96
|
|
远程支持/设备支持模式
|
出站
|
TCP
|
22
|
63.97.201.97 63.162.55.97 |
appliance-updates.threatgrid.com
|
设备更新
|
出站
|
TCP
|
22
|
63.97.201.98
63.162.55.98
|
support-snapshots.threatgrid.com
|
用于自动支持诊断上传
注意:需要软件版本1.2+
|
出站
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
许可证管理
|
远程网络退出
设备使用隧道将VM流量传输到远程出口(以前称为tg-tunnel)。
方向 |
协议 |
端口 |
目的地 |
出站 |
TCP |
21413 |
163.182.175.193 |
出站 |
TCP |
21417 |
69.55.5.250 |
出站 |
TCP |
21415 |
69.55.5.250 |
出站 |
TCP |
21413 |
76.8.60.91 |
注意:Remote Exit 4.14.36.142已删除,并且不再生产。确保将提及的所有IP都添加到防火墙例外列表中。
拒绝:
方向
|
协议
|
端口
|
目的地
|
详细信息
|
出站
|
SMTP
|
ANY |
ANY
|
防止恶意软件发送垃圾邮件。
|
入站
|
IP
|
ANY
|
安全恶意软件分析设备不良界面
|
建议,但上面允许部分中指定的除外。
用于允许用于分析的通信。
|
清洁接口
由各种连接的服务用来提交样本以及分析人员的UI访问。
允许:
方向
|
协议
|
端口
|
目的地
|
详细信息
|
入站
|
TCP
|
443
8443
|
安全恶意软件分析设备全新界面
|
WebUI和API访问
|
入站
|
TCP
|
9443
|
安全恶意软件分析设备全新界面
|
用于Glovebox
|
出站
|
TCP
|
19791
|
主机:rash.threatgrid.com
IP:54.164.165.137 [将于2023年7月31日停用]
IP:34.199.44.202 [将于2023年7月31日停用]
|
安全恶意软件分析支持的恢复模式。
|
允许:
方向
|
协议
|
端口
|
目的地
|
详细信息
|
入站
|
TCP
|
443
8443
|
安全恶意软件分析设备管理界面
|
用于配置硬件和许可的设置。 |