はじめに
このドキュメントでは、Webセキュリティアプライアンス(WSA)の高度なマルウェア防御(AMP)エンジンのINFOログレベルとDEBUGログレベルの「ampverdict」の項について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- WSAがインストールされました
- ファイルレピュテーションとファイル分析が有効
- 高度なマルウェア防御
- CiscoセキュアWebアプライアンス
- SSH client
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
WSAは、エンドポイント用AMPおよびローカルAMPエンジンとの統合を提供します。AMPは、ファイルレピュテーションおよびファイル分析機能を通じて、ゼロデイマルウェアに対するマルウェア防御を提供します。WSAには、パブリッククラウドチェックの前に内部でファイルスキャンを実行する事前分類エンジンが含まれています。次のセクションで説明するログは、AMPクラウドまたは脅威グリッドではなく、WSAのAMPエンジンに関連しています。
WSA AMPログのトラブルシューティング
AMPログにアクセスします。CLIを使用してログインし、ampログをtailまたはgrepします。
1. SSHクライアントを介してCLIにログインします。
2. コマンドgrepを入力してEnterキーを押します。
3. amp_logsをオーダーした数を入力します。
4. 次のオプションに解答します(ライブトラフィックを実行している場合は、ログを追跡するオプションを選択します)。
5. Enterキーを押します。
6. ログが表示されます。
WSA AMPログはさまざまなレベルの情報に存在するため、結果をINFOレベルまたはDEBUGで選択できますが、次のセクションではそれらの違いについて説明します。
注:AMPログを選択するには、AMPライセンスをWSAにインストールする必要があります。
AMP情報レベルログ:
Wed Apr 27 12:21:26 2022 Info: Txn 18210 Binary scan on instance[0] Id[1345]: AMP allocated memory = 0, AMP used memory = 0, Scans in flight = 1, Active faster connections = 1, Active slower connections = 0
Wed Apr 27 12:21:35 2022 Info: Binary scan on instance[0] id[1345]: filename[npp.8.4.Installer.x64.exe] filemime[application/x-dosexec] file_extension[exe] length[4493047b] ampverdict[(1, 1, 'amp', '', 0, 0, True)] scanverdict[0] malwareverdict[0] spyname[] SHA256[ecdcf497418a1988ebf20c647acadc9eca7bc8569fd980713582acd0de011ba1] From[Cloud] uploadreason[Enqueued in the local queue for submission to upload] verdict_str[FILE UNKNOWN] is_slow[0] scans_in_flight[0] Active faster connections[0] Active slower connections[0]
Wed Apr 27 12:22:28 2022 Info: File uploaded for analysis. Server: https://panacea.threatgrid.com, SHA256: ecdcf497418a1988ebf20c647acadc9eca7bc8569fd980713582acd0de011ba1, Filename: npp.8.4.Installer.x64.exeTimestamp: 1651044116 sampleid[]
AMP情報レベルのログ(ampverdict):
ampverdict[(1, 1, 'amp', '', 0, 0, True)]
(analysis_Action, scan_verdict, ‘verdict_source', ‘spyname’, malware_verdict, file_reputation, upload_action)]
AMPデバッグレベルログ:
Fri Apr 29 01:38:40 2022 Debug: Binary scan: proxid[3951] filename[favicon.ico] len[41566b] readtime[109.721680ms] scantime[2.205322ms] ampverdict[(1, 1, 'amp', '', 0, 0, False)] scanverdict[0] malwareverdict[0] SHA256[e7a2345c75a03e63202b12301c29bb8b6bae7cef9e191ed58797ec028def7c4f] From[Cloud] FileName[favicon.ico] FileMime[application/octet-stream]
AMPデバッグレベルログ(ampverdict):
ampverdict[(1, 1, 'amp', '', 0, 0, False)]
ampverdict[(analysis_action, scan_verdict,disposition, ‘spyname: policy name if amp registered with console’, file_reputation, upload_action, ‘sha256', ‘threat_name’)]
フィールドと値の詳細オプション:
フィールド |
値 |
分析_アクション |
「0」は、高度なマルウェア防御が分析のためにファイルのアップロードを要求しなかったことを示します。 「1」は、Advanced Malware Protectionが分析用にファイルのアップロードを要求したことを示します。 |
判定(_V) |
0:ファイルに悪意はありません 1:ファイルの種類が原因でファイルがスキャンされませんでした 2:ファイルスキャンがタイムアウトしました 3:スキャンエラー 3より大きい:ファイルに悪意がある |
判定ソース |
amp:ファイル分析 |
評価 |
1:不明 2:クリーン 3:悪意のある(amp) 4:スキャン不能(スキャン不能) |
Spyname(別名) |
空:AMPアウトブレイクポリシーが使用されていない場合 Simple_Custom_Detection:AMPアウトブレイクポリシーが使用されているかどうか |
アップロード_アクション |
True:ファイルはサンドボックスに設定されています False:ファイルはサンドボックスに送信されません |
Sha256 |
SHA256 |
脅威の名前 |
AMP脅威タイプに基づく脅威名 |
関連情報