Безопасность : устройства безопасности электронной почты Cisco ESA

Анализ файла ESA через процедуры проверки AMP

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как определить, посылают ли файлы, которые обработаны посредством Передовой вредоносной защиты (AMP) на Почтовом приборе безопасности (ESA) Cisco, для анализа файла, и также что обеспечивают связанные файлы системного журнала.

Внесенный Робертом Шервином, Cisco инженер TAC.

Определите, загружены ли файлы для анализа

Когда Анализ Файла позволен, файлам можно было бы автоматически послать throught AMP в Облако для дальнейшего анализа. Это обеспечивает высший уровень защиты от нулевого дня и предназначенных угроз. Когда Фильтрация Репутации Файла позволена, анализ файла только доступен.

Используйте варианты Типов файлов для ограничения типов файлов, которые можно было бы послать в Облако. Определенные файлы, которые посылают, всегда основаны на запросах от услуг по Анализу Файла Облако, которое предназначается для тех файлов, для которых необходим дополнительный анализ. Когда услуги по Анализу Файла Облако достигают способности, анализ файла для особых типов файлов мог бы быть отключен временно.

Примечание: Обратитесь к Критериям Файла Продвинутой Вредоносной Службы защиты для Cisco документ Cisco продуктов безопасности Содержания для получения дополнительной информации.

Эти типы файлов можно в настоящее время посылать для анализа:

  • Все выпуски, которые поддерживают Анализ Файла и Windows Executables, такой как: .exe, .dll, .sys, и .scr файлы.

  • Типы файлов, которые вы выбрали для закачки на странице настроек Антивируса и Репутации (для веб-безопасности) или странице настроек Репутации и Анализа Файла (для почтовой безопасности.) Начальная поддержка включает файлы Microsoft Office и PDF.

Примечание: Если груз на Аналитическом обслуживании Файла превышает способность, некоторые файлы не могли бы быть проанализированы, даже если тип файла отобран для анализа. Когда обслуживание временно неспособно обработать файлы особого типа, вы получаете тревогу.

Вот некоторые важные примечания:

  • Критерии размера файла установлены динамично Аналитическим обслуживанием Файла, основанным на текущих тенденциях угрозы, и оно может измениться в любое время. Изменения критериев вступают в силу автоматически; таким образом, вы не обязаны принимать любые меры.

  • Если файл был недавно загружен из какого-либо источника, файл не загружен снова. Для получения Аналитических результатов Файла для этого файла, поиск SHA-256 от Аналитической страницы сообщения Файла. 

  • Прибор пытается загрузить файл однажды; если закачка не успешна (например, из-за проблем возможности соединения), файл не мог бы быть загружен. Если неудача происходит из-за Аналитической перегрузки сервера Файла, закачка предпринята еще раз.

Формируйте AMP для анализа файла

Для формирования AMP для Анализа Файла через GUI проведите к Службам безопасности>, Репутация Файла и Анализ> Редактируют Глобальные Параметры настройки...:

Для формирования AMP для Анализа Файла через CLI войдите в ampconfig> команда установки и двиньтесь через волшебника ответа. Когда вам дарят этот вопрос, необходимо выбрать Yвы хотите изменить типы файлов для Анализа Файла?

myesa.local> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> setup

File Reputation: Enabled
Would you like to use File Reputation? [Y]>

Would you like to use File Analysis? [Y]>

File types supported for File Analysis:

1. Adobe Portable Document Format (PDF) [selected]
2. Microsoft Office 2007+ (Open XML) [selected]
3. Microsoft Office 97-2004 (OLE) [selected]
4. Microsoft Windows / DOS Executable [selected]

Do you want to modify the file types selected for File Analysis? [N]> y

Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select
all "currently" supported File Types.
[1,2,3,4]> ALL

Specify AMP processing timeout (in seconds)
[120]>

Advanced-Malware protection is now enabled on the system.
Please note: you must issue the 'policyconfig' command (CLI) or Mail
Policies (GUI) to configure advanced malware scanning behavior for
default and custom Incoming Mail Policies.
This is recommended for your DEFAULT policy.

Основанный на этой конфигурации, типы файлов, которые позволены, просматривают и посылают анализ, как применимые.  

Рассмотрите регистрации AMP для анализа файла

Когда применимые файлы просмотрены AMP, они зарегистрированы в регистрации AMP. Для рассмотрения этой регистрации для всех действий AMP войдите в команду усилителя хвоста в CLI или двиньтесь через волшебника ответа или для хвоста или для команды grep.  Команда grep полезна, если вы знаете определенный файл или другие детали, которые вы желаете искать в регистрации AMP.

Вот пример:

myesa.local> tail amp

Press Ctrl-C to stop.
Mon Feb 2 14:45:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 14:45:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1
Mon Feb 2 14:55:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 14:55:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1
Mon Feb 2 15:05:35 2015 Info: File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Feb 2 15:05:35 2015 Info: Response received for file reputation query from Cache.
File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None,
Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe2
7e95b245f82, upload_action = 1

amp_watchdog.txt файл показывается каждые десять минут в регистрациях. Этот файл является частью сторожевой башни - живой для AMP.

С файлом (ами), обработанным для репутации, у них есть upload_action, помеченный в конце вопроса репутации файла. Существует три ответа для действия закачки:

"upload_action = 0": The file is known to the reputation service; do not send
for analysis.
"upload_action = 1": Send
"upload_action = 2": The file is known to the reputation service; do not send
for analysis

Этот ответ диктует, посылают ли файл для анализа. Снова, это должно соответствовать критериям формируемых типов файлов, чтобы быть успешно представленным.

Сценарии в качестве примера

Эта секция описывает три возможных сценария, в которых файлы или загружены для анализа должным образом или не загружены из-за определенной причины.

Файл, загруженный для анализа

Этот пример показывает файл DOCX, который соответствует критериям и помечен с upload_action = 1. В следующей строке Файл, загруженный для аналитического Безопасного алгоритма хеширования (SHA), зарегистрирован к регистрации AMP также.

Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name =
'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type =
application/msword
Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud.
File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae9
6c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c7
01bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

Файл, не загруженный для анализа из-за типа файла

Этот пример показывает файл ZIP, который просмотрен AMP и помечен с upload_action = 1 приложенный к регистрации репутации файла, но анализ файла AMP не поддерживает файлы ZIP. Поэтому, нет SHA, зарегистрированного к регистрации AMP для этого файла.

Wed Jan 28 08:21:43 2015 Info: File reputation query initiating. File Name =
'Sample_Malware_Files.zip', MID = 852, File Size = 272703 bytes, File Type =
application/zip
Wed Jan 28 08:21:45 2015 Info: Response received for file reputation query from Cloud.
File Name = 'Sample_Malware_Files.zip', MID = 852, Disposition = unscannable, Malware
= None, Reputation Score = 0, sha256 = 0edf4cbf86a3345ca930f1bcc37344b1d95e9f4e9d9da7
53339cefeff03df810, upload_action = 1

Файл, не загруженный для анализа, поскольку уже известен файл

Этот пример показывает файл PDF, который просмотрен AMP с upload_action = 2 приложенных к регистрации репутации файла. Этот файл уже известен Облаку и не требуется, чтобы быть загруженным для анализа, таким образом, это не загружено снова.

Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name =
'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache.
File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.
NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd
3d2ffd0bf5f96989bb002, upload_action = 2

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118796