Configurez le module FirePOWER pour AMP réseau ou le contrôle de fichiers avec ASDM.

Options de téléchargement

  • PDF     (725.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (765.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (758.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:11 avril 2016
ID du document:200341

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la fonctionnalité Network Advanced Malware Protection (AMP)/contrôle d'accès aux fichiers du module FirePOWER et la méthode de configuration de ces fonctionnalités avec Adaptive Security Device Manager (ASDM).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance du pare-feu ASA (Adaptive Security Appliance) et de l'ASDM.
  • Connaissances des appliances FirePOWER.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Modules ASA Firepower (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) exécutant le logiciel version 5.4.1 et ultérieure.
  • Module ASA Firepower (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) qui exécute la version 6.0.0 du logiciel et les versions ultérieures.
  • ASDM 7.5.1 et versions ultérieures.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Les logiciels malveillants peuvent pénétrer dans le réseau d'une entreprise de plusieurs manières. Afin d'identifier et d'atténuer les effets de ces logiciels malveillants et programmes malveillants, les fonctionnalités AMP de FirePOWER peuvent être utilisées afin de détecter et éventuellement de bloquer la transmission de logiciels malveillants et de programmes malveillants sur le réseau.

Avec la fonctionnalité de contrôle de fichier, vous pouvez choisir de surveiller (détecter), bloquer ou autoriser le transfert de fichiers à télécharger et à télécharger. Par exemple, une politique de fichiers peut être mise en oeuvre pour bloquer le téléchargement de fichiers exécutables par l'utilisateur.

Grâce à la fonctionnalité AMP de réseau, vous pouvez sélectionner les types de fichiers que vous souhaitez surveiller sur les protocoles couramment utilisés et envoyer des hachages SHA 256, des métadonnées à partir des fichiers ou même des copies des fichiers eux-mêmes vers Cisco Security Intelligence Cloud pour analyse des programmes malveillants. Le cloud renvoie la disposition des hashs de fichiers comme propre ou malveillant en fonction de l'analyse des fichiers.

Le contrôle des fichiers et AMP for Firepower peuvent être configurés en tant que stratégie de fichiers et utilisés dans le cadre de votre configuration globale du contrôle d'accès. Les politiques de fichiers associées aux règles de contrôle d'accès inspectent le trafic réseau qui répond aux conditions des règles.  

Remarque : assurez-vous que le module FirePOWER dispose d'une licence Protect/Control/Malware afin de configurer cette fonctionnalité. Afin de vérifier les licences, choisissez Configuration > ASA FirePOWER Configuration > License.

Configurer la politique de fichiers pour le contrôle des fichiers/AMP réseau 

Configurer le contrôle d'accès aux fichiers

Connectez-vous à ASDM et choisissez Configuration > ASA Firepower Configuration > Policies > Files. La boîte de dialogue Nouvelle stratégie de fichier s'affiche.

Entrez un nom et une description facultative pour votre nouvelle stratégie, puis cliquez sur l'option Store ASA Firepower Changes. La page File Policy Rule s'affiche.  

200341-Configure-Firepower-module-for-Network-A-00.png

Cliquez sur Add File Rule afin d'ajouter une règle à la stratégie de fichier. La règle de fichier vous donne un contrôle granulaire sur les types de fichiers que vous souhaitez enregistrer, bloquer ou analyser à la recherche de programmes malveillants.  

Protocole d'application : spécifiez le protocole d'application Any (par défaut) ou le protocole spécifique (HTTP, SMTP, IMAP, POP3, FTP, SMB).

Direction du transfert : spécifiez la direction du transfert de fichiers. Il peut s'agir de Any (Tous) ou Upload/Download (Télécharger) basé sur le protocole Application. Vous pouvez contrôler le protocole (HTTP, IMAP, POP3, FTP, SMB) pour le téléchargement du fichier et le protocole (HTTP, SMTP, FTP, SMB) pour le téléchargement du fichier. Utilisez l'option Any afin de détecter les fichiers sur plusieurs protocoles d'application, indépendamment du fait que les utilisateurs envoient ou reçoivent le fichier.

Action : spécifiez l'action pour la fonctionnalité de contrôle d'accès aux fichiers. L'action peut être Détecter les fichiers ou Bloquer les fichiers. L'action Détecter le fichier génère l'événement et l'action Bloquer les fichiers génère l'événement et bloque la transmission du fichier. Avec l'action Bloquer les fichiers, vous pouvez éventuellement sélectionner Réinitialiser la connexion pour mettre fin à la connexion. 

File Type Categories : sélectionnez les catégories de type de fichier pour lesquelles vous souhaitez bloquer le fichier ou générer l'alerte.

File Types : sélectionnez les types de fichiers. L'option Types de fichiers offre une option plus précise pour choisir le type de fichier spécifique. 

Choisissez l'option Store ASA Firepower Changes pour enregistrer la configuration.

200341-Configure-Firepower-module-for-Network-A-01.png

Configurer la protection contre les programmes malveillants sur le réseau (AMP réseau) 

Connectez-vous à ASDM et naviguez jusqu'à Configuration > ASA Firepower Configuration > Policies > Files.  La page File Policy s'affiche. Cliquez maintenant sur la boîte de dialogue Nouvelle politique de fichiers qui s'affiche.

Entrez un nom et une description facultative pour votre nouvelle stratégie, puis cliquez sur l'option Store ASA Firepower Changes. La page Règles de stratégie de fichier s'affiche.  

200341-Configure-Firepower-module-for-Network-A-02.png

Cliquez sur l'option Ajouter une règle de fichier pour ajouter une règle à la stratégie de fichier. La règle de fichier vous permet de contrôler précisément les types de fichiers que vous souhaitez enregistrer, bloquer ou analyser à la recherche de programmes malveillants.

Protocole d'application : spécifiez un protocole quelconque (par défaut) ou spécifique (HTTP, SMTP, IMAP, POP3, FTP, SMB)

Direction du transfert : spécifiez la direction du transfert de fichiers. Il peut s'agir de Any ou Upload/ Download basé sur le protocole d'application. Vous pouvez inspecter le protocole (HTTP, IMAP, POP3, FTP, SMB) pour le téléchargement de fichiers et le protocole (HTTP, SMTP, FTP, SMB) pour le téléchargement de fichiers. Utilisez l'option Any pour détecter les fichiers sur plusieurs protocoles d'application, quels que soient les utilisateurs qui envoient ou reçoivent le fichier.

Action : pour la fonctionnalité de protection contre les programmes malveillants sur le réseau, l'action peut être Malware Cloud Lookup ou Block Malware. Action Malware Cloud Lookup génère uniquement un événement, tandis que l'action Block Malware génère l'événement et bloque la transmission du fichier de programme malveillant. 

Remarque : les règles Malware Cloud Lookup and Block Malware permettent à Firepower de calculer le hachage SHA-256 et de l'envoyer pour le processus de recherche dans le cloud afin de déterminer si les fichiers traversant le réseau contiennent des programmes malveillants.

File Type Categories : sélectionnez les catégories de fichiers spécifiques.

Types de fichiers : sélectionnez les types de fichiers spécifiques pour des types de fichiers plus granulaires. 

Choisissez l'option Store ASA Firepower Changes pour enregistrer la configuration. 

200341-Configure-Firepower-module-for-Network-A-03.png

Remarque : les stratégies de fichiers gèrent les fichiers dans l'ordre d'action suivant : le blocage a priorité sur l'inspection des programmes malveillants, qui a priorité sur la simple détection et la journalisation.

Si vous configurez AMP (Advanced Malware Protection) basé sur le réseau et que Cisco Cloud détecte de manière incorrecte la disposition d'un fichier, vous pouvez ajouter le fichier à la liste de fichiers à l'aide d'une valeur de hachage SHA-256 pour améliorer la détection de la disposition du fichier à l'avenir. Selon le type de liste de fichiers, vous pouvez effectuer les opérations suivantes :

  • Pour traiter un fichier comme si le cloud lui avait attribué une disposition propre, ajoutez le fichier à la liste propre.
  • Pour traiter un fichier comme si le cloud lui avait attribué une disposition de programme malveillant, ajoutez le fichier à la liste personnalisée.

Pour configurer cela, accédez à Configuration > ASA FirePOWER Configuration > Object Management > File List et modifiez la liste pour ajouter SHA-256. 

200341-Configure-Firepower-module-for-Network-A-04.png

Configurer la stratégie de contrôle d'accès pour la stratégie de fichiers

Naviguez jusqu'à Configuration > ASA Firepower Configuration > Policies > Access Control Policy, et créez une nouvelle règle d'accès ou modifiez une règle d'accès existante, comme indiqué dans cette image.

Pour configurer la stratégie de fichiers, l'action doit être Autoriser. Accédez à l'onglet Inspection, et sélectionnez File Policy dans le menu déroulant.

Pour activer la journalisation, naviguez dans l'option logging, et sélectionnez l'option de journalisation appropriée et l'option Log Files. Cliquez sur le bouton Enregistrer/Ajouter pour enregistrer la configuration.

Choisissez l'option Store ASA Firepower Changes pour enregistrer les modifications de la stratégie CA. 

200341-Configure-Firepower-module-for-Network-A-05.png

Déployer une stratégie de contrôle d'accès

Accédez à l'option Deploy d'ASDM, et choisissez Deploy Firepower Change option dans le menu déroulant. Cliquez sur l'option Déployer pour déployer les modifications. 

200341-Configure-Firepower-module-for-Network-A-06.png

Naviguez jusqu'à Monitoring > ASA Firepower Monitoring > Task Status.  Assurez-vous que la tâche doit être terminée pour appliquer la modification de configuration.

Remarque : dans la version 5.4.x, pour appliquer la stratégie d'accès au capteur, vous devez cliquer sur Appliquer les modifications ASA FirePOWER.

    

Surveiller la connexion pour les événements de stratégie de fichier 

Afin de voir les événements générés par le module Firepower liés à la politique de fichiers, naviguez à Surveillance > ASA Firepower Monitoring > Real Time Event.

200341-Configure-Firepower-module-for-Network-A-07.png

Vérifier

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Assurez-vous que la stratégie de fichiers est correctement configurée avec le protocole/ la direction/ l'action/ les types de fichiers.  Assurez-vous que la stratégie de fichiers correcte est incluse dans les règles d'accès. 

Assurez-vous que le déploiement de la stratégie de contrôle d'accès se termine correctement. 

Surveillez les événements de connexion et les événements de fichier (Surveillance > Surveillance ASA Firepower > Événement en temps réel) pour vérifier si le flux de trafic atteint la règle correcte ou non.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
09-Feb-2016
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Yogesh Dhanuka
    Ingénieur TAC Cisco
  • Prashant Joshi
    Ingénieur TAC Cisco
  • Sunil Kumar
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits