配置ThreatGrid设备第三方集成

下载选项

PDF (227.4 KB)
在各种设备上使用 Adobe Reader 查看
ePub (112.0 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (85.2 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2020 年 4 月 24 日

文档 ID:215471

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何配置和排除支持的第三方与ThreatGrid设备(TGA)的集成故障。

先决条件

要求

Cisco 建议您了解以下主题：

思科ThreatGrid设备
思科雨伞

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

为了提供已提交样本的其他分析信息，Threat Grid设备(TGA)与第三方服务集成。这些服务当前包括VirusTotal和Umbrella Investigate。

配置

提示：在TGA群集操作中，每个TGA节点都单独配置。未能配置每个TGA节点可能导致结果不一致。

注意：来自设备脏接口的集成源；必须连接脏接口并允许其进行出站访问才能正常运行。

步骤1: 登录到TGA的Opadmin(Admin)接口。

步骤2.导航至Configuration > Integrations。

步骤3.使用所需设置配置TGA。

   Virus Total
      URL: http://www.virustotal.com/vtapi/v2/
      Key: (Obtained API key from the Virus Total Website)

   Umbrella/OpenDNS Configuration Details
      Investigate API Key (Obtained from Umbrella Console)

步骤4.配置完毕后，单击“保存”，然后单击“应用”。

注意：单击“保存”时，TGA将应用配置，并且最多20分钟无法处理样本。提交的样本在配置申请过程完成后按接收的顺序进行处理。

验证

步骤1.提交示例（文件或URL）供审核。

步骤2.样品完成后；查看生成的示例分析报告。

步骤3.导航至行为指示器。

步骤4.成功集成表示防病毒服务检测。如果没有VirusTotal集成，则不会进行此检测。图中显示了一个成功的集成示例。

步骤1.提交示例（文件或URL）供审核。

步骤2.样品完成后；查看生成的示例分析报告。

步骤3.导航至“提取的域”。

步骤4.选择URL。

步骤5.成功集成显示所选URL的其他详细信息。示例如图所示。

故障排除

为了验证API密钥是否正确，您可以从安装了ping和curl的任何设备完成故障排除过程。

提示：使用配置部分中获得的相应API密钥替换<key>，以便正确操作。

病毒总数

Query Example
curl --request GET --url 'https://www.virustotal.com/vtapi/v2/file/report?apikey= 
      &resource= 
      
        >' 
      

Success Response
{"scans": 
{"Bkav": {"detected": true, "version": "1.3.0.10239", "result": "W32.FamVT.RorenNHc.Trojan", "update": "20190522"}, 
"MicroWorld-eScan": {"detected": true, "version": "14.0.297.0", "result": "Trojan.CryptZ.Gen", "update": "20190522"}, 
"CMC": {"detected": false, "version": "1.1.0.977", "result": null, "update": "20190321"}, 
"CAT-QuickHeal": {"detected": true, "version": "14.00", "result": "Trojan.Swrort.A", "update": "20190522"}, 
"McAfee": {"detected": true, "version": "6.0.6.653", "result": "Swrort.i", "update": "20190522"}, 
"Cylance": {"detected": true, "version": "2.3.1.101", "result": "Unsafe", "update": "20190522"}, 
"VIPRE": {"detected": true, "version": "75204", "result": "Trojan.Win32.Swrort.B (v)", "update": "20190522"}, 
"Qihoo-360": {"detected": true, "version": "1.0.0.1120", "result": "HEUR/QVM20.1.5BD9.Malware.Gen", "update": "20190522"}}, 
"scan_id": "7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2-1558548981", "sha1": "936c9a7a5c92d2987569f3dbe1a8bddee80e98e7", 
"resource": "7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2", "response_code": 1, "scan_date": "2019-05-22 18:16:21", 
"permalink": "https://www.virustotal.com/file/7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2/analysis/1558548981/", 
"verbose_msg": "Scan finished, information embedded", "total": 72, "positives": 50, 
"sha256": "7943e9a19548a94f481f9dfdf448c835789a462ccb6740ebabda901ed5e909a2", "md5": "327684f9c54b2785b7b67510c3aed372"}

Umbrella/OpenDNS

Query Example
curl --interface dirty -H "Authorization: Bearer 
     
     
       " " 
      https://investigate.api.umbrella.com/domains/categorization/ 
       " 
      
 
      
 
     Success Response
{"example.com":{"status":0,"security_categories":[],"content_categories":["54"]}}

Invalid API Key Example
{"error":"unauthorized"}

由思科工程师提供

TJ Busch
Cisco Tac Engineer