Web/participação baixa rede do remetente(WBNP/SBNP) Índice

IntroduçãoParticipação da rede WSA WebBaseParticipação da rede ESA SenderBaseInteresses de segurança gerais FAQOperaçãoParticipação da rede de SenderBase (email)Estatísticas compartilhadas por EmailapplianceEstatísticas compartilhadas pelo endereço IP de Um ou Mais Servidores Cisco ICM NTEstatísticas compartilhadas pelo cliente SD (adicionado na versão 8.5 de AsyncOS)Dados da telemetria AMP SBNP (adicionados na versão 8.5.6 de AsyncOS)Participação da rede de WebBase (Web)Estatísticas compartilhadas pelo pedido da WebEstatísticas avançadas do malware pelo pedido da WebAlimentação das estatísticas do feedback do utilizador finalDados do exemplo fornecidos – Participação padrãoDados do exemplo fornecidos – Participação limitadaWBNP completos descodificamEstatísticas compartilhadas pelo pedido da WebEstatísticas avançadas do malware pelo pedido da WebAlimentação das estatísticas do feedback do utilizador finalÍndice da detecção de TalosAmeaça focalizadaInformações Relacionadas

Introdução

Os produtos de segurança satisfeitos da Web e do email de Cisco podem fornecer dados datelemetria de volta a Cisco para aumentar a eficácia da categorização da Web na ferramenta desegurança da Web (WSA) e a reputação de conexão IP para a ferramenta de segurança doemail (ESA).  

Os dados da telemetria são fornecidos para o WSA/ESA no “optar-” em bases.

Note: Isto é permite à revelia.

Os dados são transmitidos através dos pacotes criptografado codificados binário SSL.  Osacessórios fornecidos abaixo fornecerão a introspecção nos dados, no formato específico e nasdescrições para os dados que estão sendo transmitidos.  A participação da rede de WebBase(WBNP) e da participação da rede de SenderBase dados (SBNP) não são visualizável em um log

ou em um formato do arquivo direto, estes dados são transmitidos no formulário criptografado esão nunca estes dados “em repouso”.

Participação da rede WSA WebBase

Cisco reconhece a importância de manter sua privacidade, e não recolhe nem usa pessoal ou ainformação confidencial tal como nomes de usuário e frases de passagem. Adicionalmente, osnomes de arquivo e os atributos URL que seguem o hostname são confundidos para assegurar aconfidencialidade.

Quando se trata das transações decifradas HTTPS, a rede de SensorBase recebe somente oendereço IP de Um ou Mais Servidores Cisco ICM NT, a contagem da reputação da Web, e acategoria URL do nome do servidor no certificado

Para a informação completa, reveja por favor o Guia do Usuário WSA para a versão de AsyncOSpara a Segurança da Web que é executado atualmente em seu dispositivo.  Veja por favor “a redede Cisco SensorBase” no Guia do Usuário.

Participação da rede ESA SenderBase

Os clientes que participam na rede de SenderBase permitem que Cisco recolha estatísticas detráfego agregadas do email sobre sua organização, aumentando a utilidade do serviço para tudoque o usa. A participação é voluntária. Cisco recolhe somente dados sumários em atributos e eminformação da mensagem sobre como os tipos de mensagem diferentes foram segurados pordispositivos de Cisco. Por exemplo, Cisco não recolhe o corpo da mensagem ou o assunto damensagem. A informação pessoalmente identificável e a informação que identificasua organização são mantidas confidencial.

Para a informação completa, reveja por favor o Guia do Usuário ESA para a versão de AsyncOSpara a Segurança ESA que é executado atualmente em seu dispositivo.  Veja por favor de “ocapítulo da participação da rede SenderBase” no Guia do Usuário.

Interesses de segurança gerais FAQ

Pergunta:  Onde os dados são armazenados?

Resposta: A telemetria do dispositivo é armazenada em Cisco USA-baseou datacenters.

Pergunta:  Quem tem o acesso a ele?

Resposta: O acesso é limitado aos pessoais de Cisco SBG que analisam/usos os dados criar ainteligência acionável.

Pergunta:  Que é o tempo de retenção?

Resposta: Não há nenhuma política da retenção de dados/expiração em relação à telemetria dodispositivo. Os dados podem ser mantidos indefinidamente ou podem ser por razões diversasincluir suprimido mas não limitado à para baixo-amostra/agregação, à gestão de armazenamento,à idade, à importância ameaças atuais/futuras, etc.

Pergunta:  O número de série ou o endereço IP público do cliente são armazenados no base de

dados da categorização de Talos?

Resposta: Não, somente a URL e as categorias são retidos. O pacote WBNP não contém ainformação IP da fonte. 

Operação

Abaixo da operação dos detalhes, do tipo de dados (pela descrição), e de uns dados da amostrapara demonstrar a informação que seria transmitida:

WBNP - Tipos de dados específicos (campos) e dados da amostra relativos à Segurança da Web

SBNP -  Tipos de dados específicos (campos) e dados da amostra relativos para enviar porcorreio eletrónico a Segurança

Operação da detecção da ameaça - Visão geral ampla da detecção da ameaça de umaperspectiva operacional

Participação da rede de SenderBase (email)

Estatísticas compartilhadas por Emailappliance

Item Dados da amostraIdentificador MGA MGA 10012Timestamp Dados de 8 AM a 8:05 AM o 1º de julho de 2005Números de versão de software Versão 4.7.0 MGANúmeros de versão ajustados da regra A regra do Anti-Spam ajustou 102Intervalo anti-vírus da atualização Atualiza os minutos cada 10Tamanho da quarentena 500 MBContagem de mensagens da quarentena mensagens dos 50 pés atualmente na quarentena

Ponto inicial da contagem do vírus Envie mensagens para quarantine a nível 3 daameaça ou mais alto

A soma do vírus marca para as mensagens queincorporam a quarentena 120

Contagem das mensagens que incorporam aquarentena 30 (contagem da média dos rendimentos de 4)

Tempo máximo da quarentena 12 horasContagem das mensagens da quarentena damanifestação divididas por porque incorporaram eretiraram a quarentena, correlacionado com o resultadoanti-vírus

os 50 pés que incorporam a quarentena devido àquarentena saindo do 30 da regra do .exe devido àliberação manual, e todo o 30 eram positivo do vírus

Contagem das mensagens da quarentena damanifestação divididas por que ação foi tomada emcima de deixar a quarentena

as mensagens 10 tiveram os acessóriosdescascados após ter deixado a quarentena

A soma de mensagens do tempo foi realizada naquarentena 20 horas

Estatísticas compartilhadas pelo endereço IP de Um ou Mais Servidores Cisco ICMNT

Item Dados da amostra Participaçãopadrão

Participaçãolimitada

Contagem de mensagens emvárias fases dentro dodispositivo

Visto pelo motor anti-vírus: 100Visto pelo motor do Anti-Spam: 80

Soma do Anti-Spam econtagens anti-vírus esentenças

2,000 (soma de contagens do anti-Spampara todas as mensagens vistas)

Número de mensagens quebatem o Anti-Spam diferente ecombinações anti-vírus daregra

uma batida de 100 mensagens ordena A e Bregra A da batida das mensagens dos 50pés somente

Número de conexões 20 conexões SMTPNúmero de receptores totais einválidos

receptores totais dos 50 pésreceptores 10 inválidos

Nomes de arquivo picados: (a)Um arquivo <one-way-hash>.pif foiencontrado dentro de um acessório doarquivo chamado <one-way-hash>.zip.

Nome dearquivo deUnobfuscated

Nome de arquivopicado

Nomes de arquivoconfundidos: (b)

Um arquivo aaaaaaa0.aaa.pif foi encontradodentro de um arquivo aaaaaaa.zip.

Nome dearquivo deUnobfuscated

Nome de arquivoconfundido

Hostname URL (c) Havia um link encontrado dentro de umamensagem a www.domain.com

Hostname deUnobfuscatedURL

Hostnameconfundido URL

Trajeto confundido URL (d)Havia um link encontrado dentro de umamensagem ao hostname www.domain.com,e tinha o trajeto aaa000aa/aa00aaa.

Trajeto deUnobfuscatedURL

Trajetoconfundido URL

Número de mensagens porresultados de exploração doSpam e do vírus

Positivo do Spam 10Negativo do Spam 10Suspeito do Spam 5Positivo de 4 vírusNegativo de 16 vírus5 vírus Unscannable

Item Dados da amostra Participaçãopadrão

Participaçãolimitada

Número de mensagens peloAnti-Spam diferente e porsentenças anti-vírus

Spam 500, presunto 300

Contagem de escalas dasmensagens em tamanho 125 na escala do 30K-35K

Contagem de tipos diferentesda extensão 300" acessórios do .exe”

Correlação de tipos doacessório, do tipo de arquivoverdadeiro, e do tipo dorecipiente

100 acessórios que têm uma extensão“.doc” mas são realmente “.exe”os acessórios dos 50 pés são Ramais do“.exe” dentro de um fecho de correr

Correlação da extensão e dotipo de arquivo verdadeiro comtamanho do acessório

30 acessórios eram “.exe” dentro da escala50-55K

Número de mensagens porresultados estocásticos daamostra

14 mensagens saltaram a amostra25 mensagens enfileiradas provandomensagens dos 50 pés feitas a varredurada amostra

Número de mensagens quefalharam a verificação DMARC

34 mensagens falharam a verificaçãoDMARC

Notas:

(a) Os nomes de arquivo serão codificados em uma mistura 1-way (MD5).

(b) Os nomes de arquivo serão enviados em um formulário confundido, com todas as letraslowercase ASCII ([a-z]) substituídas com o “a,” todas as letras caixas ASCII ([A-Z])substituídas com o “A,” todos os caráteres de UTF-8 de multi-byte substituídos com o “x”(para fornecer a privacidade para outros jogos de caracteres), todos os dígitos ASCII ([0-9])substituídos

(c) Os nomes de host URL apontam a um servidor de Web que fornece o índice, muito comoum endereço IP de Um ou Mais Servidores Cisco ICM NT faz. Nenhuma informaçãoconfidencial, tal como nomes de usuário e senha, é incluída.

(d) A informação de URL que segue o hostname é confundida para assegurar-se de quenenhuma informação pessoal do usuário não esteja revelada.

Estatísticas compartilhadas pelo cliente SD (adicionado na versão 8.5 de AsyncOS)

Item Dados da amostraTimeStampVersão de clienteNúmero de pedidos feitos ao clienteNúmero de pedidos feitos do cliente SDResultados do tempo para pesquisas deDNSResultados do tempo de resposta deservidorHora de estabelecer a conexão aoserverNúmero de conexões estabelecidasNúmero de conexões abertasimultâneas ao serverNúmero de pedidos do serviço a WBRSNúmero de pedidos que bateram oesconderijo local WBRSTamanho do esconderijo local WBRSResultados do tempo de resposta deWBRS remoto

Dados da telemetria AMP SBNP (adicionados na versão 8.5.6 de AsyncOS)

Formato Dados da amostraamp_verdicts: {(“sentença”, “spyname”, “contagem”, “transferido arquivos pela rede”,“file_name”),        (“sentença”, “spyname”, “contagem”, “transferido arquivos pela rede”, “file_name”),        (“sentença”, “spyname”, “contagem”, “transferido arquivos pela rede”, “file_name”),                                ..........      (“sentença”, “spyname”, “contagem”, “transferido arquivos pela rede”, “file_name”),

    }DescriçãoSentença - da pergunta da reputação AMP malicioso/limpe/desconhecidoNome de Spyname- do malware detectado [Trojan-Test]Contagem - Contagem atribuída AMP da reputação [1-100]Transferência de arquivo pela rede - Nuvem AMPindicada para transferir arquivos pela rede o arquivo 1

Nome de arquivo - Nome do anexo de arquivos abcd.pdf

Participação da rede de WebBase (Web)

Estatísticas compartilhadas pelo pedido da Web

Item Dados da amostra Participação padrão Participação limitadaVersão coeus 7.7.0-608Serial NumberFator da amostra SBNP (volume)Fator da amostra SBNP (taxa) 1

IP de destino & portasegmentosunobfuscated dotrajeto URL

segmentos picados dotrajeto URL

Categoria escolhida Anti-spyware domalware Saltado

Contagem WBRS 4.7Sentença da categoria do malware daMcAfee

Referer URLsegmentosunobfuscated dotrajeto URL

segmentos picados dotrajeto URL

Tipo de conteúdo IDEtiqueta da decisão ACL 0Categorização da Web do legadoCategoria da Web CIWUC e fonte dadecisão

{“src”: “req”, “gato”:'1026'}

Nome do App AVC Anúncios eseguimento

Tipo do App AVC Redes do anúncioComportamento do App AVC InseguroSeguimento interno do resultado AVC [0,1,1,1]Agente de usuário que segue atravésda estrutura de dados posicionada 3

Estatísticas avançadas do malware pelo pedido da Web

Estatísticas AMPSentença - da pergunta da reputação AMP malicioso/limpe/desconhecidoNome de Spyname- do malware detectado [Trojan-Test]Contagem - Contagem atribuída AMP da reputação [1-100]Transferência de arquivo pela rede - Nuvem AMP indicadapara transferir arquivos pela rede o arquivo 1

Nome de arquivo - Nome do anexo de arquivos abcd.pdf

Alimentação das estatísticas do feedback do utilizador final

Estatísticas compartilhadas pelo feedback deMiscategorization do utilizador finalItem Dados da amostraEngine ID (numérico) 0Código de categorização da Web do legadoFonte da categorização da Web CIWUC ” do “resp/“req”Categoria da Web CIWUC 1026

Dados do exemplo fornecidos – Participação padrão

# categorizado

“http://google.com/”: {

   “wbrs”: "5.8",

   “fs”: {

         “src”: “req”,

         “gato”: "1020"

   },

}

# uncategorized

“http://fake.example.com”: {

   “fs”: {

     “gato”: “-”

   },

}

Dados do exemplo fornecidos – Participação limitada

A solicitação original do cliente era: ●

www.gunexams.com/Non-Restricted-FREE-Practice-Exams

Mensagem registrada (no server da telemetria: http://www.gunexams.com/76bd845388e0●

WBNP completos descodificam

Estatísticas compartilhadas pelo dispositivo de CiscoItem Dados da amostra

Versão coeus 7.7.0-608Número de série 0022190B6ED5-XYZ1YZ2Modelo            S660Webroot permitiu 1AVC permitido 1Sophos permitiu 0Categorização lateral da resposta permitida 1Motor do Anti-spyware permitido default-2001005008Versão do Anti-spyware SSE default-2001005008Versão das definições de Spycat do Anti-spyware default-8640Versão da lista negra DAT do Anti-spyware URLVersão do phishing DAT do Anti-spyware URLVersão dos Cookie DAT do Anti-spywareObstrução do domínio do Anti-spyware permitida 0Ponto inicial do risco da ameaça do Anti-spyware 90McAfee permitida 0Versão do motor da McAfeeVersão da McAfee DAT default-5688Nível do detalhe WBNP 2Versão do motor WBRS freebsd6-i386-300036

Versões de componente WBRScategories=v2-1337979188,ip=default-1379460997,keyword=v2-1312487822,prefixcat=v2-1379460670,rule=default-1358979215

Ponto inicial da lista negra WBRS -6Ponto inicial WBRS Whitelist 6WBRS permitido 1Fixe a mobilidade permitida 0Monitor de tráfego L4 permitido 0Versão da lista negra do monitor de tráfegoL4 default-0

Lista negra Admin do monitor de tráfego L4Portas da lista negra Admin do monitor detráfego L4L4 monitor de tráfego WhitelistPortas de Whitelist do monitor de tráfego L4Fator da amostra SBNP 0.25Fator da amostra SBNP (volume) 0.1Versão de SurfControl SDK (legado) default-0Versão de base de dados completa deSurfControl (legado) default-0

Versão de arquivo incremental local daacumulação de SurfControl (legado) default-0

Versão do motor do Firestone default-210016Versão do Firestone DAT v2-310003Versão do motor AVC default-110076Versão AVC DAT default-1377556980Versão do motor de Sophos default-1310963572Versão de Sophos DAT default-0Exploração adaptável permitida 0Ponto inicial adaptável da contagem do riscoda exploração [10, 6, 3]

Ponto inicial adaptável do fator de carga daexploração [5, 3, 2]

PEÚGAS permitidas 0

Transações totaisTransações totaisTransações permitidas totalMalware total transações detectadasTransações totais obstruídas pela política AdminTransações totais obstruídas pela contagem WBRSTransações totais do alto riscoTransações totais detectadas pelo monitor de tráfegoTransações totais com clientes do IPv6Transações totais com server do IPv6Transações totais usando o proxy das PEÚGASTransações totais dos usuários remotosTransações totais dos usuários locaisTransações totais permitidas usando o proxy dasPEÚGASAs transações totais dos usuários locais reservaram usaro proxy das PEÚGASAs transações totais dos usuários remotos reservaramusar o proxy das PEÚGASTransações totais obstruídas usando o proxy dasPEÚGASAs transações totais dos usuários locais obstruíramusando o proxy das PEÚGASAs transações totais dos usuários remotos obstruíramusando o proxy das PEÚGASSegundos desde que último reinicie 2843349Utilização CPU (%) 9.9Utilização de RAM (%) 55.6Utilização do disco rígido (%) 57.5Utilização da largura de banda (/sec) 15307Abra conexões de TCP 2721Transactions Per Second 264Latência do cliente 163Taxa do hit de cache 21Utilização CPU do proxy 17Utilização CPU WBRS WUC 2.5Utilização CPU de registro 3.4Relatando a utilização CPU 3.9Utilização CPU de Webroot 0Utilização CPU de Sophos 0Utilização CPU da McAfee 0saída de serviço público do vmstat (vmstat –z, vmstat – m)Número de políticas de acesso configuradas 32Número de categorias feitas sob encomendaconfiguradas da Web 32

Fornecedor da autenticação Básico, NTLMSSP

Reinos da autenticaçãoHostname do fornecedor da autenticação,protocolo & outros elementos deconfiguração

Estatísticas compartilhadas pelo pedido da Web

Item Dados da amostra Participação padrão Participação limitadaVersão coeus 7.7.0-608Serial NumberFator da amostra SBNP (volume)Fator da amostra SBNP (taxa) 1

IP de destino & portasegmentosunobfuscated dotrajeto URL

segmentos picados dotrajeto URL

Categoria escolhida Anti-spyware domalware Saltado

Contagem WBRS 4.7Sentença da categoria do malware daMcAfee

Referer URLsegmentosunobfuscated dotrajeto URL

segmentos picados dotrajeto URL

Tipo de conteúdo IDEtiqueta da decisão ACL 0Categorização da Web do legadoCategoria da Web CIWUC e fonte dadecisão

{“src”: “req”, “gato”:'1026'}

Nome do App AVC Anúncios eseguimento

Tipo do App AVC Redes do anúncioComportamento do App AVC InseguroSeguimento interno do resultado AVC [0,1,1,1]Agente de usuário que segue atravésda estrutura de dados posicionada 3

Estatísticas avançadas do malware pelo pedido da Web

Estatísticas AMPSentença - da pergunta da reputação AMP malicioso/limpe/desconhecidoNome de Spyname- do malware detectado [Trojan-Test]Contagem - Contagem atribuída AMP da reputação [1-100]Transferência de arquivo pela rede - Nuvem AMP indicadapara transferir arquivos pela rede o arquivo 1

Nome de arquivo - Nome do anexo de arquivos abcd.pdf

Alimentação das estatísticas do feedback do utilizador final

Estatísticas compartilhadas pelo feedback deMiscategorization do utilizador finalItem Dados da amostraEngine ID (numérico) 0Código de categorização da Web do legadoFonte da categorização da Web CIWUC ” do “resp/“req”Categoria da Web CIWUC 1026

Índice da detecção de Talos

Ameaça focalizada

Informações Relacionadas

Ferramenta de segurança da Web de Cisco - Página de produto●

Cisco envia por correio eletrónico a ferramenta de segurança - Página de produto●

Suporte Técnico e Documentação - Cisco Systems●