セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA 高度 Malware 保護(AMP)テスト

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco E メール セキュリティ アプライアンス(ESA)の高度 Malware 保護(AMP)機能をテストし確認する方法を記述されています。

ロバート Sherwin によって貢献される、Cisco TAC エンジニア。

ESA の AMP をテストして下さい

ESA のための AsyncOS 8.5 のリリースによって、AMP はファイル評判スキャンおよび添付ファイルの malware を検出するためにファイル 分析を行います。  

フィーチャーキー

AMP を設定するために、ESA のファイル両方評判およびファイル 分析のための有効で、アクティブなフィーチャーキーを持たなければなりません。 GUI のシステム Administration> フィーチャーキーを参照するか、またはフィーチャーキーを確認するために CLI の featurekeys を、使用して下さい。

セキュリティ サービス 

GUI からサービス、ナビゲートおよび分析をセキュリティ サービス > ファイル評判に有効に するため。 CLI から、ampconfig を実行できます。 設定への変更を入れ、保存して下さい。

着信メール ポリシー

サービスを有効に したら、着信メール ポリシーに結ばれるこのサービスを持たなければなりません。

  1. ポリシー > 着信メール ポリシーを郵送するナビゲート。

  2. 必要に応じてデフォルトポリシーか前もって構成されたポリシーを選択して下さい。 着信メールの高度 Malware 保護 カラムはページ表示のポリシングを行ないます。

  3. 無効リンクをカラムに選択し、ファイル評判を有効に し、Options ページのファイル 分析を有効に して下さい

  4. 非スキャン可能添付ファイルのためのメッセージ スキャン、操作、および必要に応じて肯定的に識別されたメッセージのための操作にそれ以上の設定機能拡張を、行うことができます。 

  5. 設定への変更を入れ、保存して下さい。

テスト

現時点で malware をスキャンし、検出するために、着信メール ポリシーは有効に なります。 テストするため本当 malware サンプルがなければなりません。 有効な例を必要とする場合、コンピュータ ウイルス対策リサーチ(eicar)ダウンロード ページのためのヨーロッパ協会を参照して下さい。

注意: Cisco はこれらのファイルと組み合わせたこれらのファイルか AV スキャナーがコンピュータまたはネットワーク環境への損害を与えるとき責任がる場合がありません。 これらの FILE を自己の責任においてダウンロードします。 AV スキャナー、コンピュータ設定およびネットワーク環境の使用方法で十分にセキュアであるときだけこれらのファイルをダウンロードして下さい。 この情報はテストおよび再生目的で礼儀として提供されます。

有効なの使用によって前もって構成された電子メール アカウントは ESA および正常な処理によって、添付ファイルを送信 します。 ESA の CLI を使用できそれとしてメールを監視するために mail_logs を処理します後につきます。 メール ログにリストされているメッセージID (MID)が表示されます。  このと同じような出力は下記のものを表示します:

Thu Sep 18 16:17:38 2014 Info: New SMTP ICID 16488 interface Management
(192.168.0.199) address 65.55.116.95 reverse dns host blu004-omc3s20.hotmail.com
verified yes
Thu Sep 18 16:17:38 2014 Info: ICID 16488 ACCEPT SG UNKNOWNLIST match sbrs
[-1.0:10.0] SBRS 5.5
Thu Sep 18 16:17:38 2014 Info: Start MID 1653 ICID 16488
Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 From: <joe_user@hotmail.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 RID 0 To:
<any.one@mylocal_domain.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 Message-ID '<BLU437-SMTP10E1315A60354F2
906677B9DB70@phx.gbl>'
Thu Sep 18 16:17:38 2014 Info: MID 1653 Subject 'Your Daily Update''
Thu Sep 18 16:17:38 2014 Info: MID 1653 ready 2313 bytes from
<joe_user@hotmail.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Thu Sep 18 16:17:38 2014 Info: ICID 16488 close
Thu Sep 18 16:17:39 2014 Info: MID 1653 interim verdict using engine:
CASE spam negative
Thu Sep 18 16:17:39 2014 Info: MID 1653 using engine: CASE spam negative
Thu Sep 18 16:17:39 2014 Info: MID 1653 AMP file reputation verdict : MALWARE
Thu Sep 18 16:17:39 2014 Info: Message aborted MID 1653 Dropped by amp

Thu Sep 18 16:17:39 2014 Info: Message finished MID 1653 done 

前例は AMP が malware 添付ファイルを検出する、デフォルト設定ごとの最終措置として廃棄したことを示します。

同じ詳細はまた GUI からのメッセージ トラッキングで参照されます:

着信メール ポリシーからの AMP 設定の肯定的に識別された malware、か他の詳細オプションを提供することを選択すればこのメールが結果を処理することを見るかもしれません:

Thu Sep 18 21:54:30 2014 Info: MID 1655 AMP file reputation verdict : MALWARE
Thu Sep 18 21:54:30 2014 Info: MID 1655 rewritten to MID 1656 by AMP

評判評決は示されているように MALWARE のためにまだ肯定的です。 書き換えられた操作はメッセージ修正操作および件名付加 1 基あたりにのありま[警告します: 検出する MALWARE]。  

きれいなファイルに、かファイルは malware として処理時間に識別されなかった、メール ログに書かれているこの評決があります:

Thu Sep 18 21:58:33 2014 Info: MID 1657 AMP file reputation verdict : CLEAN

AMP+ メッセージのための高度メッセージ トラッキング

またメッセージ トラッキングおよび高度ドロップダウン メニューを使用するとき GUI から、Malware 高度保護肯定的なメッセージを直接捜すことを選択できます:

高度 Malware 保護レポート

ESA GUI から、監視するべき AMP. Navigate を通した肯定的に識別されたメッセージのためのレポートがトラッキング > Malware 保護を進めた見、必要に応じて時間 範囲を修正することをまた。 入力については今前例との類似したを、見ます:

トラブルシューティング

AMP によって肯定的にスキャンされる既知の、本当 malware ファイルを見なかったら、メールを AMP がメッセージをスキャンした前に別のサービスがメッセージや添付ファイルの処置をとらなかったこと保証するためにログオンします順序を検討して下さい。

使用される前の例からアンチウィルス Sophos は有効に なるとき、実際に添付ファイルの処置をつかまえ、とります:

Thu Sep 18 22:15:34 2014 Info: New SMTP ICID 16493 interface Management 
(192.168.0.199) address 65.55.116.95 reverse dns host blu004-omc3s20.hotmail.com
verified yes
Thu Sep 18 22:15:34 2014 Info: ICID 16493 ACCEPT SG UNKNOWNLIST match sbrs
[-1.0:10.0] SBRS 5.5
Thu Sep 18 22:15:34 2014 Info: Start MID 1659 ICID 16493
Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 From: <joe_user@hotmail.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 RID 0 To:
<any.one@mylocal_domain.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 Message-ID '<BLU437-SMTP2399199FA50FB
5E71863489DB40@phx.gbl>'
Thu Sep 18 22:15:34 2014 Info: MID 1659 Subject 'Daily Update Final'
Thu Sep 18 22:15:34 2014 Info: MID 1659 ready 2355 bytes from
<joe_user@hotmail.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Thu Sep 18 22:15:35 2014 Info: ICID 16493 close
Thu Sep 18 22:15:35 2014 Info: MID 1659 interim verdict using engine:
CASE spam negative
Thu Sep 18 22:15:35 2014 Info: MID 1659 using engine: CASE spam negative
Thu Sep 18 22:15:37 2014 Info: MID 1659 interim AV verdict using Sophos VIRAL
Thu Sep 18 22:15:37 2014 Info: MID 1659 antivirus positive 'EICAR-AV-Test'
Thu Sep 18 22:15:37 2014 Info: Message aborted MID 1659 Dropped by antivirus

Thu Sep 18 22:15:37 2014 Info: Message finished MID 1659 done

着信メール ポリシーの Sophos アンチウィルス コンフィギュレーションの設定はウイルスによって感染させるメッセージのために廃棄するために行われます。 この場合、AMP は決して添付ファイルの処置をスキャンするか、またはとるために達しません。

ただし、いつもそうであるとは限りません。 メールの確認は記録 し、メッセージID (MID)は別のサービスか満足の/メッセージ フィルターが処理する AMP の前に MID に対して処置をとらなかったおよび操作達しましたかもしれませんこと保証するため必要である。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118511