Безопасность : устройства безопасности электронной почты Cisco ESA

Тест Усовершенствованной вредоносной защиты (AMP) ESA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как протестировать и проверить функции Усовершенствованной вредоносной защиты (AMP) Cisco Email Security Appliance (ESA).

Внесенный Робертом Шервином, специалистом службы технической поддержки Cisco.

Тестовый AMP на ESA

С выпуском AsyncOS 8.5 для ESA AMP выполняет просмотры репутации файла и анализ файла для обнаружения вредоносного ПО в присоединениях.  

Характерные черты

Для осуществления AMP у вас должна быть допустимая и активная характерная черта и для Анализа Репутации и для Файла Файла ESA. Администрирование системы посещения> Характерные черты на GUI или использование featurekeys на CLI, для подтверждения характерных черт.

Сервисы безопасности 

Для включения сервиса от GUI перейдите к Сервисам безопасности> Репутация Файла и Анализ. От CLI можно выполнить ampconfig. Отправьте и передайте изменения конфигурации.

Политика входящей почты

Как только вы включили сервис, необходимо было связать этот сервис с политикой входящей почты.

  1. Перейдите для Отправки по почте Политики> Политика Входящей почты.

  2. Выберите Политику по умолчанию или предварительно сконфигурированную политику, как необходимый.  Усовершенствованный Вредоносный Столбец Защита на отображениях страницы Полицейских Входящей почты.

  3. Выберите Отключенную ссылку для столбца, и Включите Репутацию Файла и Включите Анализ Файла страницы параметров.

  4. Можно сделать дальнейшие усовершенствования конфигурации для обмена сообщениями сканирования, действий для неподдающихся сканированию присоединений и действий для положительно определенных сообщений, как необходимый. 

  5. Отправьте и передайте изменения конфигурации.

Тест

В это время политике входящей почты позволяют просмотреть и обнаружить вредоносное ПО. У вас должна быть истинная вредоносная выборка, с которой можно протестировать. Если вы требуете достоверных примеров, посещаете европейский Институт Компьютерного Исследования Антивируса (eicar) страница загрузок.

Внимание.  : Когда эти файлы или сканер AV в сочетании с этими файлами наносят любой ущерб компьютеру или сетевой среде, Cisco не может считаться ответственным. ЗАГРУЗКИ YOU AT ФАЙЛОВ THESE РИСК OWN. Загрузите эти файлы, только если вы достаточно безопасны в использовании сканера AV, компьютерных параметрах настройки и сетевой среде. Эта информация предоставлена как любезность в целях воспроизведения и тесте.

С использованием допустимого предварительно сконфигурированный почтовый ящик передайте присоединение через ESA и обычную обработку. Можно использовать CLI ESA и хвост mail_logs для мониторинга почты, поскольку это обрабатывает. Вы будете видеть Идентификатор сообщения (MID), перечисленный в почтовых журналах. Выходные данные, подобные этому, отображаются:

Thu Sep 18 16:17:38 2014 Info: New SMTP ICID 16488 interface Management
(192.168.0.199) address 65.55.116.95 reverse dns host blu004-omc3s20.hotmail.com
verified yes
Thu Sep 18 16:17:38 2014 Info: ICID 16488 ACCEPT SG UNKNOWNLIST match sbrs
[-1.0:10.0] SBRS 5.5
Thu Sep 18 16:17:38 2014 Info: Start MID 1653 ICID 16488
Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 From: <joe_user@hotmail.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 RID 0 To:
<any.one@mylocal_domain.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 Message-ID '<BLU437-SMTP10E1315A60354F2
906677B9DB70@phx.gbl>'
Thu Sep 18 16:17:38 2014 Info: MID 1653 Subject 'Your Daily Update''
Thu Sep 18 16:17:38 2014 Info: MID 1653 ready 2313 bytes from
<joe_user@hotmail.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Thu Sep 18 16:17:38 2014 Info: ICID 16488 close
Thu Sep 18 16:17:39 2014 Info: MID 1653 interim verdict using engine:
CASE spam negative
Thu Sep 18 16:17:39 2014 Info: MID 1653 using engine: CASE spam negative
Thu Sep 18 16:17:39 2014 Info: MID 1653 AMP file reputation verdict : MALWARE
Thu Sep 18 16:17:39 2014 Info: Message aborted MID 1653 Dropped by amp

Thu Sep 18 16:17:39 2014 Info: Message finished MID 1653 done 

Предыдущий пример показывает, что AMP обнаружил вредоносное присоединение и понизился как заключительное действие на настройки по умолчанию.

Те же подробные данные также замечены в Отслеживании сообщений по GUI:

Если вы принимаете решение отправить положительно определенное вредоносное ПО или другие расширенные настройки в конфигурации AMP от Политики Входящей почты, вы могли бы видеть, что эта почта обработала результат:

Thu Sep 18 21:54:30 2014 Info: MID 1655 AMP file reputation verdict : MALWARE
Thu Sep 18 21:54:30 2014 Info: MID 1655 rewritten to MID 1656 by AMP

Вердикт репутации все еще положителен для ВРЕДОНОСНОГО ПО как показано. Переписанное действие на действия модификации сообщения и предварительное ожидание строки темы [ПРЕДУПРЕЖДЕНИЕ: ВРЕДОНОСНОЕ ПО, ОБНАРУЖЕННОЕ].  

Чистому файлу или файлу, который не был определен во время обработки как вредоносное ПО, записали этот вердикт в почтовые журналы:

Thu Sep 18 21:58:33 2014 Info: MID 1657 AMP file reputation verdict : CLEAN

Усовершенствованное отслеживание сообщений для AMP + сообщения

Также от GUI при использовании Отслеживания сообщений и Усовершенствованного раскрывающегося меню можно принять решение искать Усовершенствованный Вредоносный Позитивный сигнал Защиты непосредственно:

Усовершенствованные вредоносные отчёты о защите

От GUI ESA вы также видите отчёт отследить для положительно определенных сообщений через AMP. Перейдите, чтобы Контролировать> Усовершенствованная Вредоносная Защита и модифицировать временной диапазон, как необходимый. Вы теперь видите подобный с предыдущими примерами для ввода:

Устранение неполадок

Если вы не видите известный, истинный вредоносный файл, который положительно просмотрен AMP, рассмотрите почтовые журналы, чтобы гарантировать, что другой сервис не принимал меры на сообщении и/или присоединении, прежде чем AMP просмотрел сообщение.

От более раннего используемого примера, когда Sophos Антивирусный включен, это фактически ловит и принимает меры на присоединении:

Thu Sep 18 22:15:34 2014 Info: New SMTP ICID 16493 interface Management 
(192.168.0.199) address 65.55.116.95 reverse dns host blu004-omc3s20.hotmail.com
verified yes
Thu Sep 18 22:15:34 2014 Info: ICID 16493 ACCEPT SG UNKNOWNLIST match sbrs
[-1.0:10.0] SBRS 5.5
Thu Sep 18 22:15:34 2014 Info: Start MID 1659 ICID 16493
Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 From: <joe_user@hotmail.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 RID 0 To:
<any.one@mylocal_domain.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 Message-ID '<BLU437-SMTP2399199FA50FB
5E71863489DB40@phx.gbl>'
Thu Sep 18 22:15:34 2014 Info: MID 1659 Subject 'Daily Update Final'
Thu Sep 18 22:15:34 2014 Info: MID 1659 ready 2355 bytes from
<joe_user@hotmail.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Thu Sep 18 22:15:35 2014 Info: ICID 16493 close
Thu Sep 18 22:15:35 2014 Info: MID 1659 interim verdict using engine:
CASE spam negative
Thu Sep 18 22:15:35 2014 Info: MID 1659 using engine: CASE spam negative
Thu Sep 18 22:15:37 2014 Info: MID 1659 interim AV verdict using Sophos VIRAL
Thu Sep 18 22:15:37 2014 Info: MID 1659 antivirus positive 'EICAR-AV-Test'
Thu Sep 18 22:15:37 2014 Info: Message aborted MID 1659 Dropped by antivirus

Thu Sep 18 22:15:37 2014 Info: Message finished MID 1659 done

Антивирусные параметры конфигурации Sophos на политике входящей почты собираются понизиться для зараженных сообщений вируса. В этом случае AMP никогда не достигается, чтобы просмотреть или принять меры на присоединении.

Это не всегда имеет место. Анализ почтовых журналов и Идентификаторов сообщения (СЕРЕДИНЫ) мог бы быть необходим, чтобы гарантировать, что был достигнут другой сервисный OR, фильтр содержания/сообщения не принимал меры против MID перед обработкой AMP и действием.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.