Introducción
Este documento describe la alerta "Límite de carga alcanzado" que lanza el dispositivo de seguridad de correo electrónico (ESA) cuando se configura para escanear correos electrónicos con la función de protección frente a malware avanzado (AMP).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Aplicación de seguridad de correo electrónico
- Protección frente a malware avanzado
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Dispositivo de seguridad de correo electrónico (ESA) que ejecuta el software 12.x
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
El dispositivo de seguridad Email Security Appliance (ESA) utiliza la función de protección frente a malware avanzado (AMP) que contiene dos funciones principales:
Análisis de archivos carga los archivos adjuntos de los mensajes para el análisis de sandbox en los servidores de ThreatGrid Cloud.
Comprenda la alerta de "Límite de carga alcanzado"
El rastreo de mensajes puede mostrar que la protección frente a malware avanzado (AMP) no analizó los correos electrónicos porque alcanzaron el límite de carga.
Ejemplo:
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
En el nuevo modelo de límites de muestra de ThreatGrid, estos límites son el número de muestras que los dispositivos pueden cargar para el análisis de archivos por organización. Todos los dispositivos integrados (WSA, ESA, CES, FMC, etc.), así como AMP para terminales, tienen derecho a 200 muestras al día, independientemente del número de dispositivos.
Se trata de un límite compartido (no un límite por dispositivo), y esto se aplica a las licencias adquiridas después del 12/1/2017.
Nota: Este contador no se reinicia todos los días, sino que funciona como un período de reversión de 24 horas.
Ejemplo:
En un grupo de 4 ESA con un límite de 200 muestras de carga, si el ESA1 carga 80 muestras a las 10:00 de hoy, solo se podrán cargar 120 muestras más entre los 4 ESA (límite compartido) desde hoy a las 10:01 hasta mañana a las 10:00, cuando se liberen las primeras 80 ranuras.
¿Cómo puede comprobar el número de muestras que sus ESA han cargado en las últimas 24 horas?
ESA: Navegue hasta Monitor > Informe de análisis de archivos de AMP y verifique la sección Archivos cargados para análisis.
SMA: Vaya a Correo electrónico > Informes > Informe de análisis de archivos de AMP y consulte la sección Archivos cargados para el análisis.
Nota: Si el informe de análisis de archivos de AMP no muestra datos precisos, revise la sección Detalles del análisis de archivos en la nube están incompletos de la guía del usuario.
Advertencia: Consulte el defecto CSCvm10813 para obtener información adicional.
Alternativamente, puede ejecutar un comando grep desde la CLI para contar el número de archivos cargados.
Esto debe hacerse en cada dispositivo.
Ejemplo:
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
Puede utilizar PCRE Regular Expressions para que coincida con la fecha y la hora.
¿Cómo puede ampliar el límite de carga?
Póngase en contacto con su comercial o ingeniero de ventas de Cisco.
Información Relacionada