Web声誉得分(WBRS)和Web分类引擎常见问题(FAQ)。

本文介绍有关思科网络安全设备(WSA)的网络信誉得分(WBRS)和分类功能的最常见问题。

Web声誉得分意味着什么？

Web信誉过滤器将基于Web的信誉得分(WBRS)分配给URL，以确定其包含基于URL的恶意软件的可能性。网络安全设备使用网络信誉得分在恶意软件攻击发生之前识别并阻止它们。您可以将网络信誉过滤器与访问、解密和思科数据安全策略结合使用。

Web分类意味着什么？

Internet网站是根据这些网站的行为和用途而分类的，为了使代理的管理员更容易，我们已将每个网站URL添加到预定义的类别中，在该类别中，可以出于安全和报告目的对其进行识别。不属于预定义类别之一的网站称为未分类网站，这可能是由于新网站的创建以及确定其类别所需的数据/流量不足。而且这种情况会随时间而改变。

如何在访问日志中查找信誉得分？

您通过思科网络安全设备(WSA)提出的每个请求都应附有基于Web的信誉得分(WBRS)分数和URL类别。其中一种查看方法是通过访问日志，例如：基于Web的信誉得分(WBRS)得分为(-1.4),URL类别为：计算机和Internet。

以上屏幕截图的文本引用。

1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE 
     
     
       
       
       
        
        
        
       -1.4 
     
       
       
       ,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -

注意：

访问日志可以从命令行界面(CLI)查看，也可以通过在管理接口IP上使用文件传输协议(FTP)方法进行连接来下载。（确保接口上已启用FTP）。
类别缩写的完整列表：https://www.cisco.com/c/en/us/td/docs/security/wsa/wsa11-7/user_guide/b_WSA_UserGuide_11_7/b_WSA_UserGuide_11_7_chapter_01001.html#con_1208638

如何在我的报告中查找信誉得分？

导航至思科网络安全设备(WSA)GUI ->报告->网络跟踪。
搜索所查找的域。
在“结果”页面中，单击所需链接，将显示如下详细信息。

您在哪里检查基于Web的信誉得分(WBRS)更新日志？

基于Web的信誉得分(WBRS)更新日志可在updater_logs下找到，您可以通过文件传输协议(FTP)登录到管理界面下载这些日志。或通过命令行界面(CLI)。

要使用终端查看日志，请执行以下操作：

打开终端。
键入命令tail。
选择日志编号（它取决于所配置的版本和日志数量）。
将显示日志。


WSA.local (SERVICE)> tail

Currently configured logs:
1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
xx.xx.xx.xx
2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
....
43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
Poll
Enter the number of the log you wish to tail.
[]> 44

Press Ctrl-C to stop scrolling, then `q` to quit.
Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
Mon Jul 15 19:24:04 2019 Info: mcafee update completed
Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
Mon Jul 15 19:38:02 2019 Info: wbrs update completed
Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019

如何验证是否与基于Web的信誉得分(WBRS) 更新服务器？

为了确保您的思科网络安全设备(WSA)能够获取新更新。请验证您是否已连接到以下传输控制协议(TCP)端口80和443上的Cisco更新服务器：

wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.

wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.

注意：如果您有任何上游代理，请通过上游代理执行上述测试。

您如何为Web分类提出争议？

在验证思科网络安全设备(WSA)和思科TALOS具有相同的信誉得分后，但您仍认为这不是有效的结果，因此需要通过提交与思科TALOS团队的争议来解决此问题。

这可以通过以下链接完成：https://talosintelligence.com/reputation_center/support

要提交争议，请按照以下说明操作。

点击“查找”(Lookup)和手动更改分数的选项后的结果。

注意：Cisco TALOS提交可能需要一些时间才能反映在数据库上，如果问题紧急，您始终可以创建WHITELIST或BLOCKLIST，作为解决问题的方法，直到问题从Cisco后端解决。为此，您可以检查此部分(如何将白名单或黑名单URL)。

您如何提交Web声誉得分的争议？

在验证思科网络安全设备(WSA)和思科TALOS具有相同分类后，但您仍认为这不是有效结果，因此需要通过提交与思科TALOS团队的争议来解决此问题。

转至TALOS网站中的分类提交页面：https://talosintelligence.com/reputation_center/support#categorization

要提交争议，请按照以下说明操作。

要更新类别，请从下拉菜单中选择您认为更适合网站的内容，并确保遵循评论指南。

争议已提交，但思科网络安全设备(WSA)或思科TALOS上的分数或类别尚未更新。

如果您向Cisco TALOS提交了案例，信誉/分数在3-4天内未更新。您可以检查更新设置，并确保您能访问Cisco更新的服务器。如果所有这些步骤都可以，则您可以向Cisco TAC开单，思科工程师将协助您跟进Cisco TALOS团队。

注意：您可以应用白名单/阻止列表工作，以应用所需的操作，直到类别/信誉从思科TALOS团队更新。

思科网络安全设备(WSA) 如何解决此问题？

由于多种原因（主要是与更新服务器通信），思科网络安全设备(WSA)上的数据库可能已过时，请按照以下步骤验证您是否具有正确的更新服务器和连接。

1.验证端口80和443上是否具有Cisco更新服务器的连接：

wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.

wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.

2.如果您有任何上游代理，请确保上游代理通过上游代理执行上述测试。

3.如果连接正常，但您仍看到差异，则手动强制更新：立即从CLI或从GUI->安全服务 — >恶意软件防护 — >立即更新。

等待几分钟，如果这不起作用，请检查下一步。

4.此时，您需要检查updater_logs:打开终端：CLI->tail->（选择updater_logs日志文件的数量。）这将使更新日志仅显示新行。

日志行应以下行“Received remote command to signal a manual update”开头：

Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
Mon Jul 15 19:14:12 2019 Info: Starting manual update
Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock

5.检查是否有任何“严重/警告”消息，更新日志是可读的非常人类错误，而且很可能会引导您找出问题所在。

6.如果没有答案，您可以使用上述步骤的结果，在思科支持下打开一张票，他们将很乐意提供帮助。

如何计算Web声誉得分？

为特定网站分配分数时考虑的一些参数：

URL分类数据
存在可下载代码
存在冗长且模糊的最终用户许可协议(EULA)
全局卷和卷变化
网络所有者信息
URL的历史记录
URL的使用期限
在任何阻止列表上
任何允许列表上的状态
常用域的URL拼写
域注册器信息
IP地址信息

每个信誉类别（好、中性、差）的得分范围是多少？

Web信誉范围及其关联操作：

访问策略：

分数	操作	描述	示例
-10 到 -6.0 （差）	阻止	站点不正确。请求被阻止，没有进一步的恶意软件扫描。	URL下载信息时不带。用户权限。 URL卷突然激增。 URL是常用域的类型。
-5.9 到 5.9 （中性）	扫描	未确定的地点。请求为已传递至DVS引擎，恶意软件扫描。的 DVS引擎扫描请求和服务器响应内容。	最近创建的URL 动态IP地址并包含可下载内容。具有正Web声誉得分。
6.0 到 10.0 （好）	允许	好地方。允许请求。无需恶意软件扫描。	URL不包含可下载内容。信誉良好、容量大、历史悠久。多个允许列表上存在的域。没有指向信誉不佳的URL的链接。

解密策略：

分数	操作	描述
-10 到 -9.0 （差）	丢弃	站点不正确。请求将被丢弃，但不会向最终用户发送通知。使用此设置应谨慎。
-8.9 到 5.9 （中性）	解密	未确定的地点。允许请求，但连接已解密和访问策略将应用于解密的流量。
6.0 到 10.0 （好）	通过	好地方。请求在不检查或解密的情况下通过。

思科数据安全策略：

分数

操作

描述

-10 到 -6.0

（差）

阻止

站点不正确。事务被阻止，并且不再进行进一步扫描。

-5.9 到 0.0

（中性）

监控

不会根据Web信誉阻止事务，并将继续内容检查（文件类型和大小）。

注意无分数的站点受监控。

未分类的网站意味着什么？

未分类的URL是思科数据库没有足够信息来确认其类别的URL。通常是新创建的网站。

如何阻止未分类的URL?

1.转至所需的访问策略：Web安全管理器 — >访问策略。

2.向下滚动到未分类URL部分。

3.选择所需操作之一，即“监控”、“阻止”或“警告”。

4.提交和提交更改。

数据库更新的频率如何？

更新检查频率可以使用以下命令从CLI更新：updateconfig

WSA.local (SERVICE)> updateconfig

Service (images): Update URL:

------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers

Service (list): Update URL:

------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers

Update interval for Web Reputation and Categorization: 12h
Update interval for all other services: 12h

Proxy server: not enabled
HTTPS Proxy server: not enabled
Routing table for updates: Management
The following services will use this routing table:
- Webroot
- Web Reputation Filters
- L4 Traffic Monitor
- Cisco Web Usage Controls
- McAfee
- Sophos Anti-Virus definitions
- Timezone rules
- HTTPS Proxy Certificate Lists
- Cisco AsyncOS upgrades

Upgrade notification: enabled

Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>

注意：上述值显示我们检查更新的频率，但不显示我们发布信誉和其他服务新更新的频率。更新可随时提供。

或从GUI:系统管理 — >升级和更新设置。

如何将URL列入白名单/黑名单？

有时，Cisco TALOS的URL更新需要时间，原因可能是信息不足。或者，由于网站仍未证明恶意行为的改变，因此无法改变声誉。此时，您可以将此URL添加到自定义URL类别，该类别在访问策略上允许/阻止或在解密策略上通过/丢弃，并保证URL在不经思科网络安全设备(WSA)或阻止的扫描或URL过滤检查的情况下送达。

要将URL列入白名单/黑名单，请执行以下步骤：

1.在自定义URL类别中添加URL。

从GUI中，转到Web Security Manager -> Custom和External URL Category。