Inleiding
In dit document worden de stappen beschreven om Advanced Malware Protection (AMP) voor endpoints en Threat Grid (TG) te integreren met Web Security Appliance (WSA).
Bijgedragen door Uriel Montero en bewerkt door Yeraldin Sanchez, Cisco TAC-engineers.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Advanced Malware Protection voor endpoints
- TG-premietoegang
- WSA met functiekaarten voor bestandsanalyse en bestanduploaden
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Configureren
Meld u aan bij de WSA-console.
Nadat u hebt aangemeld, navigeer u naar Security Services > Anti-Malware en Reputation. In deze sectie vindt u de opties om AMP en TG te integreren.
AMP-integratie
Klik in het gedeelte Anti-Malware scans op Global Settings, zoals in de afbeelding, om de Global Settings te bewerken.
Zoeken naar het gedeelte Geavanceerde instellingen voor bestanduputatie en uitvouwen, dan wordt een serie Cloud-serveropties weergegeven en kies de dichtstbijzijnde optie van uw locatie.
Klik op de knop Registreren van applicatie met AMP voor endpoints.
Er verschijnt een pop-up-pop die wordt omgeleid naar de AMP-console, op de OK-knop zoals in de afbeelding wordt weergegeven.
U moet geldige AMP Credentials invoeren en op Log in, zoals in de afbeelding weergegeven.
Accepteer de apparaatregistratie, neem nota van de client-ID omdat deze de WSA later op de console helpt vinden.
Terug naar de WSA console, verschijnt een controle op de Amp voor de sectie van de Integratie van Endpoints, zoals in de afbeelding getoond.
Opmerking: vergeet niet op Verzenden te klikken en de wijzigingen aan te binden (indien dit wordt gevraagd). Anders moet het proces opnieuw uitgevoerd worden.
Threat Grid-integratie
Navigeer naar Security Services > Anti-Malware en Reputation, dan klik op de anti-Malware Protection Services op de knop Global Settings, zoals in de afbeelding wordt getoond.
Zoeken naar het gedeelte Geavanceerde instellingen voor bestandsanalyse en uitvouwen, kies de dichtstbijzijnde optie voor uw locatie, zoals in de afbeelding.
Klik op Inzenden en de wijzigingen Commit.
Aan de kant van het TG-portaal kunt u het WSA-apparaat zoeken onder het tabblad Gebruikers als het apparaat met succes is geïntegreerd met AMP/TG.
Als u op Aanmelden klikt, kunt u de informatie over dit apparaat benaderen.
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Om te verifiëren dat de integratie tussen AMP en WSA succesvol is, kunt u aan de console van AMP en aan onderzoek naar uw apparaat van WSA inloggen.
Navigeren in op Beheer > Computers, in het gedeelte Filters, op Web security applicatie en pas het filter toe
Als u meerdere WSA-apparaten hebt geregistreerd, kunt u deze identificeren met de client-ID voor bestandsanalyse.
Als u het apparaat uitvouwt, kunt u zien tot welke groep het behoort, het toegepaste Beleid en het Dienstmiddel kan worden gebruikt om het traject van het apparaat te bekijken.
In het beleidsgedeelte kunt u Eenvoudige Aangepaste Detecties en Toepassingscontrole configureren - toegestaan dat op het apparaat wordt toegepast.
Er is een truc om het gedeelte van het WSA van de Transmissie van het Apparaat te bekijken, moet u het Transformer van een andere computer openen en het apparaat GUI gebruiken.
De verandering wordt toegepast op de URL, zoals in de afbeeldingen wordt getoond.
Voor Threat Grid is er een drempelwaarde van 90, als een bestand een score krijgt onder dat nummer, wordt het bestand niet kwaadwillig gepokt, maar u kunt een aangepaste drempel op de WSA configureren.
Problemen oplossen
WSA wijst niet terug naar AMP-pagina
- Zorg ervoor dat de firewall de vereiste adressen voor AMP toestaat, klik hier.
- Zorg ervoor dat u de juiste AMP-cloud hebt geselecteerd (vermijd het kiezen van een verouderde cloud).
WSA blokkeert niet de gespecificeerde SHAs
- Zorg ervoor dat uw WSA in de juiste Groep is.
- Zorg ervoor dat uw WSA het juiste beleid gebruikt.
- Zorg ervoor dat de SHA niet op de cloud is schoon, anders zou WSA niet in staat zijn deze te blokkeren.
WSA verschijnt niet op mijn TG Organisatie
- Zorg ervoor dat u de juiste TG-wolk (Amerika of Europa) hebt geselecteerd.
- Zorg ervoor dat de firewall de vereiste adressen voor TG toestaat.
- Let op de client-ID voor bestandsanalyse.
- Zoeken onder het kopje Gebruikers.
- Als u deze niet vindt, neemt u contact op met Cisco-ondersteuning zodat u deze tussen organisaties kunt verplaatsen.