Einführung
Dieses Dokument beschreibt die Schritte zur Integration von Advanced Malware Protection (AMP) für Endgeräte und Threat Grid (TG) in die Web Security Appliance (WSA).
Verfasst von Uriel Montero und herausgegeben von Yeraldin Sanchez, Cisco TAC Engineers.
Voraussetzungen
Anforderungen
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
- AMP für Endgerätezugriff
- TG Premium-Zugriff
- WSA mit Feature-Schlüsseln für Dateianalyse und Dateireputation
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
-
AMP Public Cloud-Konsole
-
WSA-Benutzeroberfläche
-
TG-Konsole
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konfigurieren
Melden Sie sich bei der WSA-Konsole an.
Wenn Sie sich angemeldet haben, navigieren Sie zu Security Services > Anti-Malware and Reputation. In diesem Abschnitt finden Sie Optionen zur Integration von AMP und TG.
AMP-Integration
Klicken Sie im Bereich Anti-Malware Scanning Services auf Globale Einstellungen bearbeiten, wie im Bild gezeigt.
Suchen Sie nach dem Abschnitt Erweitert > Erweiterte Einstellungen für Dateireputation, und erweitern Sie diesen. Dann werden eine Reihe von Cloud-Serveroptionen angezeigt, und wählen Sie die Ihrem Standort am nächsten gelegene aus.
Nachdem die Cloud ausgewählt wurde, klicken Sie auf die Schaltfläche Einheit mit AMP für Endgeräte registrieren.
Es wird ein Popup angezeigt, das zur AMP-Konsole umgeleitet wird. Klicken Sie auf die Schaltfläche OK, wie im Bild gezeigt.
Sie müssen gültige AMP-Anmeldeinformationen eingeben und auf Anmelden klicken, wie im Bild gezeigt.
Akzeptieren Sie die Geräteregistrierung. Notieren Sie sich die Client-ID, da die WSA später auf der Konsole gefunden werden kann.
Kehren Sie zur WSA-Konsole zurück. Wie im Bild gezeigt, wird im Abschnitt AMP für Endpoints-Konsolenintegration ein Häkchen angezeigt.
Hinweis: Vergessen Sie nicht, auf Senden und Bestätigen der Änderungen zu klicken (wenn Sie dazu aufgefordert werden). Andernfalls muss der Vorgang erneut durchgeführt werden.
Threat Grid-Integration
Navigieren Sie zu Sicherheitsdienste > Anti-Malware und Reputation, und klicken Sie dann auf Anti-Malware Protection Services (Anti-Malware-Schutzdienste), und klicken Sie auf die Schaltfläche Edit Global Settings (Globale Einstellungen bearbeiten), wie im Bild gezeigt.
Suchen Sie nach dem Abschnitt Erweitert> Erweiterte Einstellungen für Dateianalyse, und erweitern Sie ihn, und wählen Sie die Option aus, die Ihrem Speicherort am nächsten liegt, wie im Bild gezeigt.
Klicken Sie auf Senden und Bestätigen der Änderungen.
Suchen Sie auf der Seite des TG-Portals unter der Registerkarte Benutzer nach dem WSA-Gerät, wenn die Appliance erfolgreich in AMP/TG integriert wurde.
Wenn Sie auf "Anmelden" klicken, können Sie auf die Informationen dieser Appliance zugreifen.
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Um zu überprüfen, ob die Integration zwischen AMP und WSA erfolgreich ist, können Sie sich bei der AMP-Konsole anmelden und nach Ihrem WSA-Gerät suchen.
Navigieren Sie zu Management > Computers, suchen Sie im Abschnitt "Filter" nach der Websicherheits-Appliance, und wenden Sie den Filter an.
Wenn Sie mehrere WSA-Geräte registriert haben, können Sie diese mithilfe der Datei-Analyse-Client-ID identifizieren.
Wenn Sie das Gerät erweitern, sehen Sie, zu welcher Gruppe es gehört, die angewendete Richtlinie und die Geräte-GUID können zum Anzeigen des Device Trajectory verwendet werden.
Im Richtlinienabschnitt können Sie Simple Custom Detections (Einfache benutzerdefinierte Erkennung) und Application Control (Anwendungskontrolle - Zulässig) konfigurieren, die auf das Gerät angewendet werden.
Es gibt einen Trick, den Abschnitt Device Trajectory der WSA anzuzeigen. Sie müssen die Device Trajectory eines anderen Computers öffnen und die Geräte-GUID verwenden.
Die Änderung wird auf den URL angewendet, wie in den Bildern gezeigt.
Für Threat Grid gibt es einen Schwellenwert von 90. Wenn eine Datei eine Bewertung unter dieser Nummer erhält, ist die Datei nicht schädlich. Sie können jedoch einen benutzerdefinierten Grenzwert auf der WSA konfigurieren.
Fehlerbehebung
WSA leitet nicht zur AMP-Seite um
- Stellen Sie sicher, dass die Firewall die erforderlichen Adressen für AMP bereitstellt. Klicken Sie hier.
- Stellen Sie sicher, dass Sie die richtige AMP-Cloud ausgewählt haben (vermeiden Sie die Wahl der Legacy-Cloud).
Die WSA blockiert die angegebenen SHAs nicht.
- Stellen Sie sicher, dass Ihre WSA in der richtigen Gruppe ist.
- Stellen Sie sicher, dass Ihre WSA die richtigen Richtlinien verwendet.
- Stellen Sie sicher, dass die SHA nicht in der Cloud sauber ist. Andernfalls kann die WSA sie nicht blockieren.
WSA wird in meiner TG-Organisation nicht angezeigt.
- Stellen Sie sicher, dass Sie die richtige TG-Cloud (Nord- und Südamerika oder Europa) ausgewählt haben.
- Stellen Sie sicher, dass die Firewall die erforderlichen Adressen für TG zulässt.
- Notieren Sie sich die File Analysis Client-ID.
- Suchen Sie im Abschnitt "Benutzer" danach.
- Wenn Sie es nicht finden, wenden Sie sich bitte an den Cisco Support, damit dieser Ihnen beim Umzug zwischen verschiedenen Organisationen behilflich sein kann.