Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.
Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:
Функционал | Применение | Для чего нужен доступ к облачным сервисам |
AMP for Networks | Management Center | Выполняет поиск диспозиции файла в облаке на основе хэш суммы. |
Динамический анализ: отправка | FMC и SFR модуль | Отправляет файлы в облако Threat Grid для динамического анализа. |
Динамический анализ: запрос | Management Center | Запрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid. |
Обновление IPS сигнатур, VDB и GeoDB | Management Center | Загружает IPS сигнатуры, GeoDB или VDB на устройство. |
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файлов | Management Center | Загружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации. |
Security Intelligence фильтрация | Management Center | Загружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco. |
Обновление системы | FMC и SFR модуль | Загрузка обновлений системы непосредственно на устройство. |
URL фильтрация | Management Center | Загружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса. |
Рассмотрим работу некоторых технологий Firepower подробнее:
- URL фильтрация
Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается. - Проверка AMP
Предположим на FMC настроена политика, которая производит динамический анализ файлов. - На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
- Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
- Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
- TG проверяет его на наличие вредоносного кода.
- После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
- FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.
Источник: http://www.cbs.ru/site/faq/?section=9474#10650