Seguridad : Cisco Email Security Appliance

Análisis del archivo ESA con los procedimientos de verificación amperio

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo determinar si los archivos que se procesan con la protección avanzada de Malware (amperio) en el dispositivo de seguridad del email de Cisco (ESA) están enviados para el análisis del archivo, y también qué los archivos del registro asociados proporcionan.

Contribuido por Roberto Sherwin, ingeniero de Cisco TAC.

Determine si los archivos están cargados para el análisis

Cuando se habilita el análisis del archivo, los archivos se pudieron enviar automáticamente en el amperio a la nube para el análisis adicional. Esto proporciona el del más alto nivel de la protección contra el zero-day y las amenazas apuntadas. El análisis del archivo está solamente disponible cuando se habilita la filtración de la reputación del archivo.

Utilice las opciones de los tipos de archivo para limitar los tipos de archivos que se pudieron enviar a la nube. Los archivos específicos se envían que se basan siempre en las peticiones de la nube de los servicios del análisis del archivo, que apunta esos archivos para los cuales el análisis adicional sea necesario. El análisis del archivo para los tipos de archivo determinados pudo ser inhabilitado temporalmente en que el análisis del archivo mantiene la capacidad de los alcances de la nube.

Nota: Refiera a los criterios del archivo para los servicios de protección avanzados de Malware para el documento de Cisco de los productos de seguridad del contenido de Cisco para la información adicional.

Estos tipos de archivo pueden ser enviados actualmente para el análisis:

  • Todas las versiones que soportan el análisis del archivo y el executables de Windows, por ejemplo: archivos del .exe, del .dll, .sys, y .scr.

  • Las configuraciones de los tipos de archivo que usted ha seleccionado para la carga en el anti-Malware y de la reputación paginan (para la Seguridad de la red) o las configuraciones de la reputación y del análisis del archivo paginan (para la Seguridad del correo electrónico.) El soporte inicial incluye el PDF y Microsoft Office los archivos.

Nota: Si la carga en el servicio del análisis del archivo excede la capacidad, algunos archivos no pudieron ser analizados, incluso si seleccionan al tipo de archivo para el análisis. Usted recibe una alerta cuando el servicio no puede temporalmente procesar los archivos de un tipo determinado.

Aquí están algunas NOTAS IMPORTANTES:

  • Los criterios de los tamaños del archivo son establecidos dinámicamente por el servicio del análisis del archivo basado en las tendencias actuales de la amenaza, y puede cambiar en cualquier momento. Los cambios de los criterios toman el efecto automáticamente; le no requieren tan tomar ningunas medidas.

  • Si un archivo ha estado cargado recientemente de cualquier fuente, el archivo no está cargado otra vez. Para obtener los resultados del análisis del archivo para este archivo, búsqueda para el SHA-256 de la página de la información del análisis del archivo. 

  • El dispositivo intenta cargar el archivo una vez; si la carga no es acertada (por ejemplo, debido a los problemas de conectividad), el archivo no pudo ser cargado. Si el error es debido a una sobrecarga del servidor del análisis del archivo, la carga se intenta una vez más.

Configuración amperio para el análisis del archivo

Para configurar el amperio para el análisis del archivo vía el GUI, navegue a los Servicios de seguridad > a la reputación del archivo y el análisis > edita las configuraciones globales…:

Para configurar el amperio para el análisis del archivo vía el CLI, ingrese el ampconfig > el comando setup y el movimiento a través del Asisitente de la respuesta. Usted debe seleccionar Y cuando le presentan con esta pregunta: ¿Usted quiere modificar los tipos de archivo para el análisis del archivo?

myesa.local> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> setup

File Reputation: Enabled
Would you like to use File Reputation? [Y]>

Would you like to use File Analysis? [Y]>

File types supported for File Analysis:

1. Adobe Portable Document Format (PDF) [selected]
2. Microsoft Office 2007+ (Open XML) [selected]
3. Microsoft Office 97-2004 (OLE) [selected]
4. Microsoft Windows / DOS Executable [selected]

Do you want to modify the file types selected for File Analysis? [N]> y

Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select
all "currently" supported File Types.
[1,2,3,4]> ALL

Specify AMP processing timeout (in seconds)
[120]>

Advanced-Malware protection is now enabled on the system.
Please note: you must issue the 'policyconfig' command (CLI) or Mail
Policies (GUI) to configure advanced malware scanning behavior for
default and custom Incoming Mail Policies.
This is recommended for your DEFAULT policy.

De acuerdo con esta configuración, analizan y se envían a los tipos de archivo se habilitan que para el análisis, como aplicable.  

Registros amperio del estudio para el análisis del archivo

Cuando los archivos aplicables son analizados por el amperio, se registran en el registro amperio. Para revisar este registro para todas las acciones amperio, ingrese el comando amperio de la cola en el CLI, o muévase a través del Asisitente de la respuesta para la cola o el comando grepEl comando grep es útil si usted conoce el archivo específico u otros detalles para los cuales usted desea de buscar en el registro amperio.

Aquí tiene un ejemplo:

myesa.local> tail amp

Press Ctrl-C to stop.
Mon Feb 2 14:45:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 14:45:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1
Mon Feb 2 14:55:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 14:55:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1
Mon Feb 2 15:05:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 15:05:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1

El archivo de amp_watchdog.txt se visualiza cada diez minutos en los registros. Este archivo es parte del señal de mantenimiento para el amperio.

Con los archivos procesados para la reputación, tienen el upload_action marcados con etiqueta en el final de la interrogación de la reputación del archivo. Hay tres respuestas para la acción de la carga:

"upload_action = 0": The file is known to the reputation service; do not send
for analysis.
"upload_action = 1": Send
"upload_action = 2": The file is known to the reputation service; do not send
for analysis

Esta respuesta dicta si un archivo está enviado para el análisis. Una vez más debe cumplir los criterios de los tipos de archivo configurados para ser sometido con éxito.

“Situaciones de ejemplo”

Esta sección describe tres escenarios posibles en los cuales los archivos estén cargados para el análisis correctamente, o no es cargado debido a una razón específica.

Archivo cargado para el análisis

Este ejemplo muestra un archivo DOCX que cumpla los criterios y se marque con etiqueta con el upload_action = 1. En la línea siguiente, el archivo cargado para el Secure Hash Algorithm (SHA) del análisis se registra al registro amperio también.

Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name =
'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type =
application/msword
Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud.
File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae9
6c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c7
01bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

Archivo no cargado para el análisis debido al tipo de archivo

Este ejemplo muestra a archivo zip que es analizado por el amperio y marcado con etiqueta con el upload_action = 1 añadido al final del fichero al registro de la reputación del archivo, pero el análisis del archivo amperio no soporta los archivos ZIP. Por lo tanto, no hay un SHA registrado al registro amperio para este archivo.

Wed Jan 28 08:21:43 2015 Info: File reputation query initiating. File Name =
'Sample_Malware_Files.zip', MID = 852, File Size = 272703 bytes, File Type =
application/zip
Wed Jan 28 08:21:45 2015 Info: Response received for file reputation query from Cloud.
File Name = 'Sample_Malware_Files.zip', MID = 852, Disposition = unscannable, Malware
= None, Reputation Score = 0, sha256 = 0edf4cbf86a3345ca930f1bcc37344b1d95e9f4e9d9da7
53339cefeff03df810, upload_action = 1

Archivo no cargado para el análisis porque el archivo se sabe ya

Este ejemplo muestra un archivo PDF que es analizado por el amperio con el upload_action = 2 añadido al final del fichero al registro de la reputación del archivo. Este archivo se sabe a la nube y no se requiere ya para ser cargado para el análisis, así que no está cargado otra vez.

Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name =
'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache.
File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.
NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd
3d2ffd0bf5f96989bb002, upload_action = 2

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118796