Segurança : Cisco Email Security Appliance

Análise do arquivo ESA com os procedimentos de verificação ampère

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como determinar se os arquivos que são processados com a proteção avançada do malware (ampère) na ferramenta de segurança do email de Cisco (ESA) estão enviados para a análise do arquivo, e também o que os arquivos de registro associados fornecem.

Contribuído por Robert Sherwin, engenheiro de TAC da Cisco.

Determine se os arquivos são transferidos arquivos pela rede para a análise

Quando a análise do arquivo é permitida, os arquivos puderam automaticamente ser enviados durante todo o ampère à nuvem para a análise mais aprofundada. Isto fornece o mais de nível elevado da proteção contra o zero-dia e ameaças visadas. A análise do arquivo está somente disponível quando a filtração da reputação do arquivo é permitida.

Use as opções dos tipos de arquivo a fim limitar os tipos de arquivos que puderam ser enviados à nuvem. Os arquivos do específico que são enviados são baseados sempre em pedidos da nuvem dos serviços da análise do arquivo, que visa aqueles arquivos para que a análise adicional é precisada. A análise do arquivo para tipos de arquivo particulares pôde ser desabilitada temporariamente em que a análise do arquivo presta serviços de manutenção à capacidade dos alcances da nuvem.

Nota: Refira os critérios do arquivo para serviços de proteção avançados do malware para o documento Cisco dos produtos de segurança do índice de Cisco para a informação adicional.

Estes tipos de arquivo podem atualmente ser enviados para a análise:

  • Todas as liberações que apoiam a análise e o Windows do arquivo executáveis, como: arquivos do .exe, do .dll, .sys, e .scr.

  • Tipos de arquivo que você selecionou para a transferência de arquivo pela rede página nos ajustes do Anti-malware e da reputação (para a Segurança da Web) ou página dos ajustes da reputação e da análise do arquivo (para a Segurança do email.) O suporte inicial inclui o PDF e os arquivos do microsoft office.

Nota: Se a carga no serviço da análise do arquivo excede a capacidade, alguns arquivos não puderam ser analisados, mesmo se o tipo de arquivo é selecionado para a análise. Você recebe um alerta quando o serviço é temporariamente incapaz de processar arquivos de um tipo particular.

Estão aqui algumas observações importantes:

  • Os critérios do tamanho do arquivo são estabelecidos dinamicamente pelo serviço da análise do arquivo baseado em tendências atuais da ameaça, e pode mudar a qualquer hora. Os critérios das mudanças tomam o efeito automaticamente; você não é exigido assim tomar nenhuma ação.

  • Se um arquivo tem sido transferido arquivos pela rede recentemente de qualquer fonte, o arquivo não está transferido arquivos pela rede outra vez. A fim obter os resultados da análise do arquivo para este arquivo, busca para o SHA-256 da página do relatório da análise do arquivo. 

  • O dispositivo tenta transferir arquivos pela rede uma vez o arquivo; se a transferência de arquivo pela rede não é bem sucedida (por exemplo, devido aos problemas de conectividade), o arquivo não pôde ser transferido arquivos pela rede. Se a falha é devido a uma sobrecarga do server da análise do arquivo, a transferência de arquivo pela rede está tentada uma vez mais.

Configurar o ampère para a análise do arquivo

A fim configurar o ampère para a análise do arquivo através do GUI, navegue aos Serviços de segurança > à reputação do arquivo e a análise > edita configurações globais…:

A fim configurar o ampère para a análise do arquivo através do CLI, incorpore o ampconfig > o comando setup e o movimento através do assistente da resposta. Você deve selecionar Y quando você é presentado com esta pergunta: Você quer alterar os tipos de arquivo para a análise do arquivo?

myesa.local> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> setup

File Reputation: Enabled
Would you like to use File Reputation? [Y]>

Would you like to use File Analysis? [Y]>

File types supported for File Analysis:

1. Adobe Portable Document Format (PDF) [selected]
2. Microsoft Office 2007+ (Open XML) [selected]
3. Microsoft Office 97-2004 (OLE) [selected]
4. Microsoft Windows / DOS Executable [selected]

Do you want to modify the file types selected for File Analysis? [N]> y

Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select
all "currently" supported File Types.
[1,2,3,4]> ALL

Specify AMP processing timeout (in seconds)
[120]>

Advanced-Malware protection is now enabled on the system.
Please note: you must issue the 'policyconfig' command (CLI) or Mail
Policies (GUI) to configure advanced malware scanning behavior for
default and custom Incoming Mail Policies.
This is recommended for your DEFAULT policy.

Baseado nesta configuração, os tipos de arquivo que são permitidos são feitos a varredura e enviados para a análise, como aplicáveis.  

Logs ampère da revisão para a análise do arquivo

Quando os arquivos aplicáveis são feitos a varredura pelo ampère, estão gravados no log ampère. A fim rever este log para todas as ações ampère, incorpore o comando ampère da cauda no CLI, ou mova-se através do assistente da resposta para a cauda ou o comando grepO comando grep é útil se você conhece o arquivo específico ou outros detalhes por que você deseja procurar no log ampère.

Aqui está um exemplo:

myesa.local> tail amp

Press Ctrl-C to stop.
Mon Feb 2 14:45:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 14:45:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1
Mon Feb 2 14:55:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 14:55:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1
Mon Feb 2 15:05:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 15:05:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1

O arquivo de amp_watchdog.txt é indicado cada dez minutos nos logs. Este arquivo é parte da manutenção de atividade para o ampère.

Com os arquivos processados para a reputação, têm o upload_action etiquetados no fim da pergunta da reputação do arquivo. Há três respostas para a ação da transferência de arquivo pela rede:

"upload_action = 0": The file is known to the reputation service; do not send
for analysis.
"upload_action = 1": Send
"upload_action = 2": The file is known to the reputation service; do not send
for analysis

Esta resposta dita se um arquivo está enviado para a análise. Além disso, deve encontrar os critérios dos tipos de arquivo configurados a fim ser submetido com sucesso.

Cenários de exemplo

Esta seção descreve três cenários possíveis em que os arquivos são transferidos arquivos pela rede para a análise corretamente, ou não é transferido arquivos pela rede devido a uma razão específica.

Arquivo transferido arquivos pela rede para a análise

Este exemplo mostra um arquivo DOCX que encontre os critérios e seja etiquetado com o upload_action = 1. Na linha seguinte, o arquivo transferido arquivos pela rede para o Secure Hash Algorithm (SHA) da análise é gravado ao log ampère também.

Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name =
'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type =
application/msword
Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud.
File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae9
6c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c7
01bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

Arquivo não transferido arquivos pela rede para a análise devido ao tipo de arquivo

Este exemplo mostra um arquivo zip que seja feito a varredura pelo ampère e etiquetado com o upload_action = 1 adicionado ao log da reputação do arquivo, mas a análise do arquivo ampère não apoia arquivos zip. Consequentemente, não há um SHA gravado ao log ampère para este arquivo.

Wed Jan 28 08:21:43 2015 Info: File reputation query initiating. File Name =
'Sample_Malware_Files.zip', MID = 852, File Size = 272703 bytes, File Type =
application/zip
Wed Jan 28 08:21:45 2015 Info: Response received for file reputation query from Cloud.
File Name = 'Sample_Malware_Files.zip', MID = 852, Disposition = unscannable, Malware
= None, Reputation Score = 0, sha256 = 0edf4cbf86a3345ca930f1bcc37344b1d95e9f4e9d9da7
53339cefeff03df810, upload_action = 1

Arquivo não transferido arquivos pela rede para a análise porque o arquivo é sabido já

Este exemplo mostra um arquivo PDF que seja feito a varredura pelo ampère com o upload_action = 2 adicionado ao log da reputação do arquivo. Este arquivo já é sabido à nuvem e não exigido para ser transferido arquivos pela rede para a análise, assim que não é transferida arquivos pela rede outra vez.

Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name =
'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache.
File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.
NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd
3d2ffd0bf5f96989bb002, upload_action = 2

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118796