Inleiding
Dit document beschrijft de essentiële netwerkconfiguraties die u op uw firewall moet implementeren om een naadloze werking van Secure Malware Analytics te garanderen.
Bijgedragen door Cisco TAC-engineers.
Secure Malware Analytics-clouds
VS (Verenigde Staten) Cloud
Toegang tot URL: https://panacea.threatgrid.com
Hostnaam |
IP |
Port |
Details |
panacea.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6:60 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.chi.threatgrid.com |
IPv4-server: 200.194.241.35 IPv6: 2602:811:900f:6:60 |
443 |
Voorbeeldvenster Interactie |
glovebox.rcn.threatgrid.com |
IPv4: 63.97.201.67 IPv6: 2602:811:9007:6::61 |
443 |
Voorbeeldvenster Interactie |
glovebox.scl.threatgrid.com |
IPv4: 63.162.55.67
IPv6: 2602:811:900b:6:60 |
443 |
Voorbeeldvenster Interactie |
fmc.api.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6:60 |
443 |
FMC/FTD-service voor bestandsanalyse |
EU (Europa) Cloud
Toegang tot URL: https://panacea.threatgrid.eu
Hostnaam |
IP |
Port |
Details |
panacea.bedreiggrid.eu |
62.67.214.195 200.194.242.35 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.muc.bedreiggrid.eu |
62.67.214.195 |
443 |
Voorbeeldvenster Interactie |
glovebox.fam.bedreiggrid.eu
|
200.194.242.35 |
443 |
Voorbeeldvenster Interactie
|
fmc.api.bedreiggrid.eu |
62.67.214.195 200.194.242.35 |
443 |
FMC/FTD-service voor bestandsanalyse |
De oude IP 89.167.128.132 is teruggetrokken, update uw firewallregels met hierboven IPs.
CA (Canada) Cloud
Toegang tot URL: https://panacea.threatgrid.ca
Hostnaam |
IP |
Port |
Details |
panacea.bedreiggrid.ca |
200.194.240.35 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.kam.bedreiggrid.ca |
200.194.240.35 |
443 |
Voorbeeldvenster Interactie |
fmc.api.bedreiggrid.ca |
200.194.240.35 |
443 |
FMC/FTD-service voor bestandsanalyse |
AU (Australië) Cloud
Toegang tot URL: https://panacea.threatgrid.com.au
Hostnaam |
IP |
Port |
Details |
panacea.threatgrid.com.au |
124.19.22.171 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
Voorbeeldvenster Interactie |
fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD-service voor bestandsanalyse |
Secure Malware Analytics-applicatie
Het volgende is de aanbevolen firewallregels per interface van de Secure Malware Analytics-applicatie.
Vuile interface
Dit wordt door VM's gebruikt om te communiceren met het internet, zodat de monsters DNS kunnen oplossen en kunnen communiceren met commando en controle (C&C) servers.
Toestaan:
Richting
|
Protocol
|
Port
|
Bestemming
|
Hostnaam
|
Details
|
Uitgaand
|
IP
|
ALLE
|
ALLE
|
|
Aanbevolen behalve waar hier opgegeven in het gedeelte Deny.
Gebruikt om connectiviteit voor analyse toe te staan.
|
Uitgaand
|
TCP
|
22
|
63.97.201.98 2
63.162.55.98 2
|
support-snapshots.threatgrid.com
|
Gebruikt voor automatische ondersteuning van diagnostische uploads
Opmerking: vereist softwareversie 1.2+
|
Uitgaand
|
TCP
|
22
|
54.173.181.217 1
54.173.182.46 1
63.162.55.97 2
63.97.201.97 2
|
appliance-updates.threatgrid.com
|
Applicatie updates
|
Uitgaand
|
TCP
|
19791
|
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2
63.162.55.96 2
|
|
Remote-ondersteuning/modus voor applicatie-ondersteuning
|
Uitgaand
|
TCP
|
22
|
54.173.124.172 1 63.97.201.99 2 63.162.55.99 2 |
appliance-licensing.threatgrid.com
|
Licentiebeheer
|
1Deze IP’s worden in de nabije toekomst uitgeschakeld.
2Dit zijn de IP's die de in 1 genoemde vervangen. Wij stellen voor om beide IP's toe te voegen totdat de communicatie over de IP-wijzigingen in de nabije toekomst is gemaakt.
Exit van extern netwerk
Dit wordt door het apparaat gebruikt om VM-verkeer te tunnelen naar een externe uitgang die voorheen bekend stond als tg-tunnel.
Richting |
Protocol |
Port |
Bestemming |
Uitgaand |
TCP |
21413 |
173.198.252.53 |
Uitgaand |
TCP |
21413 |
163.182.175.193 ** |
Uitgaand |
TCP |
21417 |
69.55.5.250 |
Uitgaand |
TCP |
21415 |
69.55.5.250 |
Uitgaand |
TCP |
21413 |
76.8.60.91 |
Opmerking: Remote Exit 4.14.36.142 is verwijderd en is niet langer in productie. Zorg ervoor dat alle genoemde IP's worden toegevoegd aan de lijst met uitzonderingen voor firewalls.
** Afstandsbediening 163.182.175.193 wordt vervangen door 173.198.252.53
Ontkennen:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Details
|
Uitgaand
|
SMTP
|
ALLE |
ALLE
|
Om te voorkomen dat malware spam verstuurt.
|
Inkomend
|
IP
|
ALLE
|
Secure Malware Analytics-applicatie met vuile interface
|
Aanbevolen, behalve waar dit in het bovenstaande gedeelte Toestaan is gespecificeerd.
Gebruikt om communicatie voor analyse toe te staan.
|
Clean-interface
Dit wordt gebruikt door verschillende verbonden diensten om monsters in te dienen en UI-toegang voor analisten.
Toestaan:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Details
|
Inkomend
|
TCP
|
443 en 843
|
Secure Malware Analytics-applicatie met schone interface
|
WebUI- en API-toegang
|
Inkomend
|
TCP
|
9443
|
Secure Malware Analytics-applicatie met schone interface
|
Gebruikt voor Glovebox
|
Inkomend
|
TCP
|
22
|
Secure Malware Analytics-applicatie met schone interface |
Beheerderstoegang via SSH
|
Uitgaand
|
TCP
|
19791
|
Host: rash.threatgrid.com
54.164.165.137 1 34.199.44.202 1
63.97.201.96 2 63.162.55.96 2
|
Herstelmodus voor ondersteuning van Secure Malware Analytics.
|
1Deze IP’s worden in de nabije toekomst uitgeschakeld.
2Dit zijn de IP's die de in 1 genoemde vervangen. Wij stellen voor om beide IP's toe te voegen totdat de communicatie over de IP-wijzigingen in de nabije toekomst is gemaakt.
Admin-interface
Dit wordt gebruikt voor toegang tot de beheerconsole of gebruikersinterface.
Toestaan:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Details
|
Inkomend
|
TCP
|
443 en 843
|
Secure Malware Analytics-applicatie - Admin-interface
|
Hiermee configureert u instellingen voor hardware en licenties. |
Inkomend
|
TCP
|
22
|
Secure Malware Analytics-applicatie - Admin-interface |
Beheerderstoegang via SSH |