Безопасность : устройства безопасности электронной почты Cisco ESA

Sophos Антивирусные Обновления на Cisco Security Appliance являются Другими от Доступных на Вебе - узлы/URL Sophos

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, почему Антивирусные обновления Sophos на устройстве Безопасности Cisco являются другими, чем доступные на вебе - узлы/URL Sophos.

Внесенный Джеки Флеминг, специалистом службы технической поддержки Cisco.

Prerequiste

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Cisco Email Security Appliance (ESA)
  • Все версии AsyncOS

Общие сведения

Существует два типа обновлений: обновляет к Антивирусному механизму Sophos и обновлениям к идентификационным файлам вируса Sophos (файлы Интегрированной среды разработки (IDE)).

Антивирусный механизм Sophos полностью интегрирован в операционную систему AsyncOS. Sophos генерирует новую версию их антивирусного механизма сканирования приблизительно каждый месяц. Новая версия содержит и текущие определения вируса и любые изменения кода, которые требуются, чтобы распознавать новые типы вирусов и исправлять известные неполадки. Поскольку дополнительные вирусы обнаружены, Sophos освобождает идентификационные файлы вируса, названные файлами IDE. Они будут работать с механизмами, которые меньше чем 90 дней.

Обновлениями Sophos управляет автоматически Cisco AsyncOS в устройстве Cерии C. Поскольку Sophos освобождает новые версии их механизма, Cisco квалифицирует их посредством процесса обеспечения качества (QA), и затем размещает их в серверы обновления Cisco так, чтобы устройство Cерии C автоматически загрузило и обновило их. Поскольку файлы определения вируса IDE освобождены, они перемещаются автоматически через сервис и размещены в серверы обновления Cisco в течение нескольких минут после их выпуска Sophos.

Сигнатуры вируса IDE Sophos допустимы и работают с предыдущими версиями механизма. Весь текущий IDEs будет загружен и будет работать с версией механизма, работающей в Cisco устройство Cерии C.

Настройка

Иногда файлы на ESA Cisco, может казаться, испытывают недостаток синхронизации с доступными непосредственно от Sophos. Это может быть далее осложнено различием в часовом поясе между Sophos и большинством североамериканских клиентов. Вебом - узлы/URL Sophos управляет главный офис Sophos под Оксфордом в UK. Регистрации на сайте датированы с локальным часовым поясом, GMT. Немного сбивает с толку коррелировать файлы IDE Sophos. Мало того, что большая разница во времени часто заставляет даты казаться на расстоянии в один день, но Cisco, использует другую схему нумерации для файлов IDE. Можно попытаться совпасть с этими файлами путем проверки сайта IDE Sophos для наблюдения, когда IDE был освобожден, а также сколько других было освобождено в тот день и день перед ним, но поскольку Cisco будет часто брать инкрементные изменения, не зарегистрированные на этом сайте, это не большая часть эффективного метода. Каждые 10 минут Cisco делает запрос веб-сайта Sophos. Каждые пять минут настройка по умолчанию для устройства должна сделать запрос сайта для скачивания Cisco. В наихудшем случае будет 15-минутная задержка.

Схема нумерации для файлов IDE является датой. Например, "Правила IDE Sophos 2004121402 вторник 14 декабря 6:27:14 2004" коррелята к обновлению thrid (начинают рассчитывать от ноля) на Decemeber, 14-м, публикованном здесь.

Cisco рекомендует установить Интервал Автоматического обновления Sophos в настройку по умолчанию 15 минут. Проверьте, что вы получаете непрерывные обновления от Cisco при помощи находящегося на web GUI на странице Security Services-> Anti-Virus. Этой информацией является также доступное использование antivirusstatus команды CLI, например:

mail3.example.com> antivirusstatus
    SAV Engine Version       4.03
   IDE Serial               2006031503
   Last Engine Update       Tue Mar 14 01:01:49 2006
   Last IDE Update          Thu Mar 16 06:33:50 2006
   Last Update Attempt      Thu Mar 16 09:18:51 2006
   Last Update Success      Thu Mar 16 06:33:50 2006

Если обновления не будут успешны (то вы получите сигнальное сообщение, если это произойдет), можно попробовать ручное обновление с помощью кнопки Update Now в GUI или antivirusupdate команды CLI. Статус обновления показывают в антивирусном файле журнала. Например: :

smtp.example.com> tailCurrently configured logs:
1. "antivirus" Module: thirdparty Format: Anti-Virus
2. "avarchive" Module: mail Format: Anti-Virus Archive
3. "bounces" Module: bounces Format: Bounces
4. "brightmail" Module: thirdparty Format: Symantec Brightmail Anti-Spam
5. "cli_logs" Module: system Format: CLI Audit Logs
6. "error_logs" Module: mail Format: IronPort Text
7. "ftpd_logs" Module: ftpd Format: IronPort Text
8. "gui_logs" Module: gui Format: IronPort Text
9. "mail_logs" Module: mail Format: IronPort Text
10. "rptd_logs" Module: rptd Format: IronPort Text
11. "sntpd_logs" Module: sntpd Format: IronPort Text
12. "status" Module: mail Format: Status Logs
13. "system_logs" Module: system Format: IronPort Text
Enter the number of the log you wish to tail.
[]> 1Press Ctrl-C to stop.
Thu Mar 16 09:08:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:13:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:13:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:13:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:18:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:18:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:18:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:23:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:23:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:23:50 2006 Info: Current IDE serial=2006031503. No update needed.
^C
smtp.example.com>

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.