简介
本文档介绍安全恶意软件分析正常运行需要添加到防火墙的网络信息。
由思科 TAC 工程师撰稿。
安全恶意软件分析云
美国(美国)云
访问URL:https://panacea.threatgrid.com)
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148 63.162.55.67 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.chi.threatgrid.com |
200.194.241.35 |
443 |
示例交互窗口 |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
示例交互窗口 |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
示例交互窗口 |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
FMC/FTD文件分析服务 |
EU(欧洲)云
访问URL:https://panacea.threatgrid.eu
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.eu |
89.167.128.132 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.threatgrid.eu |
89.167.128.132 |
443 |
示例交互窗口 |
fmc.api.threatgrid.eu |
89.167.128.132 |
443 |
FMC/FTD文件分析服务 |
从2024年1月13日起,将更改欧盟云的IP。旧的IP将淘汰。这可能会发生变化,如果延迟,文档将相应更新。
这些新的IP必须允许出站才能使恶意软件分析云功能正常工作。
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.muc.threatgrid.eu |
62.67.214.195 |
443 |
示例交互窗口 |
glovebox.fam.threatgrid.eu
|
200.194.242.35 |
443 |
示例交互窗口
|
fmc.api.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
FMC/FTD文件分析服务 |
CA(加拿大)云
访问URL:https://panacea.threatgrid.ca
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.ca |
200.194.240.35 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.kam.threatgrid.ca |
200.194.240.35 |
443 |
示例交互窗口 |
fmc.api.threatgrid.ca |
200.194.240.35 |
443 |
FMC/FTD文件分析服务 |
AU(澳大利亚)云
访问URL:https://panacea.threatgrid.au
主机名 |
IP |
端口 |
详细信息 |
panacea.threatgrid.com.au |
124.19.22.171 |
443 |
对于安全恶意软件分析门户和集成设备(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
示例交互窗口 |
fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD文件分析服务 |
安全恶意软件分析设备
以下是安全恶意软件分析设备的每个接口的推荐防火墙规则。
脏接口
虚拟机用于与Internet通信,以便样本可以解析DNS并与命令和控制(C&C)服务器通信
允许:
方向
|
协议
|
端口
|
目的地
|
主机名
|
详细信息
|
出站
|
IP
|
ANY
|
ANY
|
|
建议使用,但此处的拒绝部分中指定的除外。
已使用 允许用于分析的连接。
|
出站
|
TCP
|
22
|
63.97.201.98 2
63.162.55.98 2
|
support-snapshots.threatgrid.com
|
用于自动支持诊断上传
注意:需要软件版本1.2+
|
出站
|
TCP
|
22
|
|
appliance-updates.threatgrid.com
|
设备更新
|
出站
|
TCP
|
19791
|
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2 63.162.55.96 2
|
rash.threatgrid.com
|
远程支持/设备支持模式
|
出站
|
TCP
|
22
|
63.97.201.99 63.162.55.99 |
appliance-licensing.threatgrid.com
|
许可证管理
|
1这些IP将在不久的将来禁用。
2这些IP将取代第1部分的这些IP。我们建议添加两个IP,直到在不久的将来完成有关IP更改的通信。
远程网络退出
设备使用隧道将VM流量传输到远程出口,以前称为tg-tunnel。
方向 |
协议 |
端口 |
目的地 |
出站 |
TCP |
21413 |
163.182.175.193 |
出站 |
TCP |
21417 |
69.55.5.250 |
出站 |
TCP |
21415 |
69.55.5.250 |
出站 |
TCP |
21413 |
76.8.60.91 |
注意:Remote Exit 4.14.36.142已删除,并且不再生产。确保将提及的所有IP都添加到防火墙例外列表中。
拒绝:
方向
|
协议
|
端口
|
目的地
|
详细信息
|
出站
|
SMTP
|
ANY |
ANY
|
防止恶意软件发送垃圾邮件。
|
入站
|
IP
|
ANY
|
安全恶意软件分析设备不良界面
|
建议,但上面允许部分中指定的除外。
用于允许用于分析的通信。
|
清洁接口
由各种连接的服务用来提交样本以及分析人员的UI访问。
允许:
方向
|
协议
|
端口
|
目的地
|
详细信息
|
入站
|
TCP
|
443
8443
|
安全恶意软件分析设备全新界面
|
WebUI和API访问
|
入站
|
TCP
|
9443
|
安全恶意软件分析设备全新界面
|
用于Glovebox
|
出站
|
TCP
|
19791
|
主机:rash.threatgrid.com
|
安全恶意软件分析支持的恢复模式。
|
1这些IP将在不久的将来禁用。
2这些IP将取代第1部分的这些IP。我们建议添加两个IP,直到在不久的将来完成有关IP更改的通信。
允许:
方向
|
协议
|
端口
|
目的地
|
详细信息
|
入站
|
TCP
|
443
8443
|
安全恶意软件分析设备管理界面
|
用于配置硬件和许可的设置。 |