In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Die Cisco Web- und E-Mail Content Security-Produkte können Cisco und Talos Telemetriedaten übermitteln, um die Effizienz der Webkategorisierung in der Web Security Appliance (WSA) zu erhöhen und die Verbindung der IP-Reputation der E-Mail Security Appliance (ESA) zu verbessern.
Die Telemetriedaten werden für die WSA und die ESA auf "Opt-in"-Basis bereitgestellt.
Die Daten werden mittels binär verschlüsselter SSL-verschlüsselter Pakete übertragen. Die unten angegebenen Anhänge bieten einen Einblick in die Daten, die spezifische Formatierung und Beschreibungen der übertragenen Daten. Die Daten für WebBase Network Participation (WBNP) und SenderBase Network Participation (SBNP) können nicht in einem direkten Protokoll- oder Dateiformat angezeigt werden. Diese Daten werden verschlüsselt übertragen. Diese Daten sind zu keinem Zeitpunkt "ruhend".
Cisco ist sich der Wichtigkeit der Wahrung Ihrer Privatsphäre bewusst und sammelt und verwendet keine persönlichen oder vertraulichen Informationen wie Benutzernamen und Passphrasen. Darüber hinaus werden die Dateinamen und URL-Attribute, die dem Hostnamen folgen, verschleiert, um Vertraulichkeit zu gewährleisten.
Bei entschlüsselten HTTPS-Transaktionen empfängt das SensorBase-Netzwerk nur die IP-Adresse, den Web-Reputationswert und die URL-Kategorie des Servernamens im Zertifikat.
Vollständige Informationen finden Sie im WSA-Benutzerhandbuch für die derzeit auf Ihrer Appliance ausgeführte Version von AsyncOS für Web Security. Weitere Informationen finden Sie im Benutzerhandbuch unter "Das Cisco SensorBase-Netzwerk".
Kunden, die am SenderBase-Netzwerk teilnehmen, ermöglichen es Cisco, aggregierte Statistiken zum E-Mail-Datenverkehr über ihre Organisation zu sammeln, wodurch der Nutzen des Services für alle Benutzer erhöht wird. Die Teilnahme ist freiwillig. Cisco sammelt nur zusammengefasste Daten zu Nachrichtenattributen und Informationen darüber, wie verschiedene Arten von Nachrichten von Cisco Appliances behandelt wurden. Beispielsweise erfasst Cisco nicht den Nachrichtentext oder den Betreff der Nachricht. Persönlich identifizierbare Informationen und Informationen zur Identifizierung Ihres Unternehmens werden vertraulich behandelt.
Vollständige Informationen finden Sie hier: pBitte überprüfen Sie die ESA-Benutzerhandbuch für die derzeit auf Ihrer Appliance ausgeführte Version von AsyncOS für ESA Security. Siehe "SenderBase-Netzwerkteilnahme" im Benutzerhandbuch.
Frage: | Wo werden die gesammelten Daten gespeichert? |
Antwort: | Die Appliance-Telemetrie wird in Cisco Rechenzentren in den USA gespeichert. |
Frage: | Wer hat Zugriff auf die gesammelten und gespeicherten Daten? |
Antwort: | Der Zugriff ist auf Mitarbeiter der Cisco SBG beschränkt, die die Daten analysieren/verwenden, um aussagekräftige Informationen zu erstellen. |
Frage: | Wie lange dauert die Aufbewahrung der erfassten Daten? |
Antwort: | Es gibt keine Richtlinien zur Datenspeicherung/zum Ablauf von Appliance-Telemetrie. Die Daten können unbegrenzt gespeichert oder aus verschiedenen Gründen gelöscht werden, u. a. aus den folgenden Gründen: Down-Sampling/Aggregation, Speichermanagement, Alter, Relevanz für aktuelle/zukünftige Bedrohungen usw. |
Frage: | Werden in der Kategorisierungsdatenbank von Talos Seriennummern oder öffentliche IP-Adressen gespeichert? |
Antwort: | Nein, nur URLs und Kategorien werden beibehalten. Das WBNP-Paket enthält keine Quell-IP-Informationen. |
Im Folgenden werden der Vorgang, der Datentyp (nach Beschreibung) und eine Beispieldaten zum Demonstrieren der zu übertragenden Informationen beschrieben:
Element | Beispieldaten |
MGA-Kennung | MGA 10012 |
Zeitstempel | Daten von 08:05 bis 08:05 Uhr am 1. Juli 2005 |
Software-Versionsnummern | MGA-Version 4.7.0 |
Regelsatz-Versionsnummern | Anti-Spam-Regelsatz 102 |
Anti-Virus-Aktualisierungsintervall | Aktualisierung alle 10 Minuten |
Quarantänegröße | 500 MB |
Anzahl der Quarantänemeldungen | Aktuell befinden sich 50 Nachrichten in Quarantäne |
Virus-Punktwert | Nachrichten bei Bedrohungsstufe 3 oder höher an Quarantäne senden |
Summe der Virusbewertungen für Nachrichten, die in den Quarantänebereich eingegeben werden | 120 |
Anzahl der Nachrichten, die in Quarantäne eingegeben werden | 30 (ergibt einen Durchschnittswert von 4) |
Maximale Quarantänezeit | 12 Stunden |
Anzahl der Outbreak-Quarantänenachrichten, aufgeschlüsselt nach dem Grund, warum sie in den Quarantänebereich eingedrungen und aus diesem entfernt wurden, korreliert mit dem Anti-Virus-Ergebnis | 50 wurden in Quarantäne gesetzt, weil die .exe-Regel 30 aufgrund einer manuellen Freigabe die Quarantäne verlässt, und alle 30 waren viruspositiv |
Anzahl der Outbreak-Quarantänenachrichten, aufgeschlüsselt nach den Maßnahmen, die beim Verlassen der Quarantäne ergriffen wurden | Bei 10 Nachrichten wurden Anhänge nach dem Verlassen des Quarantänebereichs entfernt. |
Anzahl der Nachrichten, die in Quarantäne gehalten wurden | 20 Stunden |
Element |
Beispieldaten |
Standardbeteiligung |
Eingeschränkte Beteiligung |
Nachrichtenanzahl in verschiedenen Phasen innerhalb der Appliance |
Gesichtet von der Anti-Virus-Engine: 100 |
||
Summe der Anti-Spam- und Anti-Virus-Bewertungen und Verdicts |
2.000 (Summe der Anti-Spam-Bewertungen für alle erkannten Nachrichten) |
||
Anzahl der Nachrichten, die von verschiedenen Anti-Spam- und Anti-Virus-Regelkombinationen empfangen werden |
100 Nachrichten werden von den Regeln A und B empfangen |
||
Anzahl der Verbindungen |
20 SMTP-Verbindungen |
||
Anzahl der Empfänger insgesamt und ungültig |
Insgesamt 50 Empfänger |
||
Dateinamen mit Hashfunktion: a) |
Eine Datei <unidirektionaler Hash>.pif wurde in einem Archivanhang mit der Bezeichnung <unidirektionaler Hash>.zip gefunden. |
Unbekannter Dateiname |
Hashed-Dateiname |
Verdeckte Dateinamen: b) |
Eine Datei aaaaaa0.aaa.pif wurde in einer Datei aaaaa.zip gefunden. |
Unbekannter Dateiname |
Verdeckter Dateiname |
URL-Hostname (c) |
Es wurde ein Link in einer Nachricht an www.domain.com gefunden. |
Unbekannter URL-Hostname |
Verdeckter URL-Hostname |
Verdeckter URL-Pfad (d) |
In einer Nachricht wurde ein Link zum Hostnamen www.domain.com gefunden, und der Pfad aaa000aa/aa00aaa. |
Nicht verwendeter URL-Pfad |
Verdeckter URL-Pfad |
Anzahl der Nachrichten nach Spam- und Virenscanning-Ergebnissen |
10 Spam-positiv |
Anzahl der Nachrichten nach verschiedenen Anti-Spam- und Anti-Virus-Verdicts |
500 Spam, 300 Schinken |
||
Anzahl der Nachrichten in Größenbereichen |
125 im Bereich 30.000-35.000 |
||
Anzahl verschiedener Erweiterungstypen |
300 ".exe"-Anhänge |
||
Korrelation von Anlagentypen, echtem Dateityp und Containertyp |
100 Anhänge mit der Erweiterung ".doc", die aber tatsächlich ".exe" sind |
||
Korrelation von Erweiterung und echtem Dateityp mit der Größe des Anhangs |
30 Anhänge waren ".exe" im Bereich von 50-55 K. |
||
Anzahl der Nachrichten nach Stochastic Sampling-Ergebnissen |
14 Nachrichten wurden per Sampling übersprungen |
||
Anzahl der Nachrichten, die die DMARC-Überprüfung nicht bestanden haben |
34 Nachrichten haben die DMARC-Überprüfung nicht bestanden. |
Hinweise:
(a) Dateinamen werden in einem einseitigen Hash (MD5) kodiert.
(b) Dateinamen werden verdeckt gesendet, wobei alle ASCII-Kleinbuchstaben ([a-z]) durch "a" ersetzt werden, alle ASCII-Großbuchstaben ([A-Z]) durch "A" ersetzt werden, alle UTF-8-Multi-Byte-Zeichen, die durch "x" ersetzt werden (um den Datenschutz für andere Zeichensätze zu gewährleisten), alle ASCII-Ziffern ([0-9]).
(c) URL-Hostnamen verweisen auf einen Webserver, der Inhalte bereitstellt, ähnlich wie eine IP-Adresse. Es werden keine vertraulichen Informationen wie Benutzernamen und Kennwörter eingegeben.
(d) URL-Informationen, die auf den Hostnamen folgen, werden verschleiert, um sicherzustellen, dass keine persönlichen Informationen des Benutzers weitergegeben werden.
Element |
Beispieldaten |
TimeStamp |
|
Client-Version |
|
Anzahl der an den Kunden gestellten Anfragen |
|
Anzahl der vom SDS-Client gestellten Anforderungen |
|
Zeitergebnisse für DNS-Suchvorgänge |
|
Server-Reaktionszeit-Ergebnisse |
|
Zeit zum Herstellen der Verbindung zum Server |
|
Anzahl der Verbindungen |
|
Anzahl gleichzeitiger offener Verbindungen zum Server |
|
Anzahl der Serviceanfragen an WBRS |
|
Anzahl der Anforderungen, die den lokalen WBRS-Cache treffen |
|
Größe des lokalen WBRS-Cache |
|
Reaktionszeit durch Remote-WBRS |
Format |
Beispieldaten |
AMP_VERdicts': { ("Verdict", "spyname", "score", "hochgeladen", "file_name"), |
|
("Verdict", "spyname", "score", "hochgeladen", "file_name"), |
|
("Verdict", "spyname", "score", "hochgeladen", "file_name"), |
|
............ |
|
("Verdict", "spyname", "score", "hochgeladen", "file_name"), |
|
} |
|
Beschreibung |
|
Verdict - der AMP-Reputationsabfrage |
schädlich/sauber/unbekannt |
Spyname - Name der erkannten Malware |
[Trojaner-Test] |
Bewertung - AMP zugewiesene Reputationsbewertung |
[1-100] |
Upload - Die AMP-Cloud hat angegeben, die Datei hochzuladen. |
1 |
Dateiname - Name der Dateianlage |
abcd.pdf |
Element |
Beispieldaten |
Standardbeteiligung |
Eingeschränkte Beteiligung |
Version |
coeus 7.7.0-608 |
||
Seriennummer |
|||
SBNP-Samplingfaktor (Volumen) |
|||
SBNP-Stichprobenfaktor (Rate) |
1 |
||
Ziel-IP und -Port |
unverschleierte URL-Pfadsegmente |
Hash-URL-Pfadsegmente |
|
Für Anti-Spyware ausgewählte Malware-Kategorie |
Übersprungen |
||
WBRS-Bewertung |
4,7 |
||
Kategorie-Verdict für McAfee-Malware |
|||
Referer-URL |
unverschleierte URL-Pfadsegmente |
Hash-URL-Pfadsegmente |
|
Inhaltstyp-ID |
|||
ACL-Entscheidungstag |
0 |
||
Ältere Web-Kategorisierung |
|||
CIWUC-Webkategorie und Entscheidungsquelle |
{'src': 'req', 'cat': '1026'} |
||
AVC-Anwendungsname |
Anzeigen und Nachverfolgen |
||
AVC-Anwendungstyp |
Ad-Netzwerke |
||
AVC-Anwendungsverhalten |
Unsicher |
||
Interne AVC-Ergebnisverfolgung |
[0,1,1,1] |
||
Nachverfolgung von Benutzeragenten über indizierte Datenstruktur |
1 |
AMP-Statistiken |
|
Verdict - der AMP-Reputationsabfrage |
schädlich/sauber/unbekannt |
Spyname - Name der erkannten Malware |
[Trojaner-Test] |
Bewertung - AMP zugewiesene Reputationsbewertung |
[1-100] |
Upload - Die AMP-Cloud hat angegeben, die Datei hochzuladen. |
1 |
Dateiname - Name der Dateianlage |
abcd.pdf |
Freigegebene Statistiken pro Endbenutzer Fehlkategorisierung Feedback |
|
Element |
Beispieldaten |
Engine-ID (numerisch) |
0 |
Legacy-Webkategorisierungscode |
|
CIWUC-Webkategorisierungsquelle |
"resp"/"req" |
CIWUC-Webkategorie |
1026 |
# categorized
"http://google.com/": { "wbrs": "5.8",
"fs": {
"src": "req",
"cat": "1020"
},
}
# uncategorized
"http://fake.example.com": { "fs": {
"cat": "-"
},
}
Auf Cisco Appliance freigegebene Statistiken
Element |
Beispieldaten |
Version |
coeus 7.7.0-608 |
Seriennummer |
0022190B6ED5-XYZ1YZ2 |
Modell |
S660 |
Webroot aktiviert |
1 |
AVC aktiviert |
1 |
Sophos aktiviert |
0 |
Kategorisierung auf der Antwortseite aktiviert |
1 |
Anti-Spyware-Engine aktiviert |
default-2001005008 |
Anti-Spyware SSE-Version |
default-2001005008 |
Anti-Spyware Spycat Definitions-Version |
default-8640 |
DAT-Version der Anti-Spyware-URL-Blocklist |
|
Anti-Spyware URL Phishing-DAT-Version |
|
DAT-Version für Anti-Spyware-Cookies |
|
Blockierung von Anti-Spyware-Domänen aktiviert |
0 |
Schwellenwert für Anti-Spyware-Bedrohungsrisiko |
90 |
McAfee aktiviert |
0 |
McAfee-Modulversion |
|
McAfee DAT-Version |
default-5688 |
WBNP-Detailstufe |
2 |
WBRS-Modulversion |
freebsd6-i386-300036 |
WBRS-Komponentenversionen |
categories=v2-1337979188,ip=default-1379460997,keyword=v2-1312487822,prefixcat=v2-137946067 0,Rule=default-1358979215 |
Schwellenwert der WBRS-Sperrliste |
6 |
Zulässiger WBRS-Grenzwert |
6 |
WBRS aktiviert |
1 |
Sichere Mobilität |
0 |
L4-Datenverkehrsüberwachung aktiviert |
0 |
Version der L4-Datenverkehrsüberwachungs-Sperrliste |
default-0 |
Administrator-Sperrliste der L4-Datenverkehrsüberwachung |
|
Admin-Sperrlisten-Ports der L4-Datenverkehrsüberwachung |
|
L4-Datenverkehrsüberwachung zulässig |
|
Zulässige Ports der L4-Datenverkehrsüberwachung |
|
SBNP-Stichprobenfaktor |
0,25 |
SBNP-Samplingfaktor (Volumen) |
0,1 |
SurfControl SDK-Version (Legacy) |
default-0 |
SurfControl Vollständige Datenbankversion (Legacy) |
default-0 |
SurfControl Local Incremental Accumulation file version (Legacy) |
default-0 |
Firestone-Engine-Version |
default-210016 |
Firestone DAT-Version |
V2-310003 |
AVC-Modul-Version |
default-110076 |
AVC-DAT-Version |
default-1377556980 |
Sophos-Modulversion |
default-1310963572 |
Sophos-DAT-Version |
default-0 |
Adaptives Scanning möglich |
0 |
Adaptive Scanning Risk Score-Grenzwert |
[10, 6, 3] |
Grenzwert für adaptiven Scanfaktor |
[5, 3, 2] |
SOCKS aktiviert |
0 |
Transaktionen gesamt |
Transaktionen gesamt |
|
Zulässige Transaktionen gesamt |
|
Gesamtzahl erkannter Malware-Transaktionen |
|
Gesamtzahl der durch die Admin-Richtlinie blockierten Transaktionen |
|
Gesamtzahl der durch WBRS-Bewertung blockierten Transaktionen |
|
Transaktionen mit hohem Risiko gesamt |
|
Von der Datenverkehrsüberwachung erkannte Transaktionen gesamt |
|
Gesamttransaktionen mit IPv6-Clients |
|
Gesamttransaktionen mit IPv6-Servern |
|
Gesamtanzahl an Transaktionen mit dem SOCKS-Proxy |
|
Gesamtanzahl an Transaktionen von Remote-Benutzern |
|
Gesamtanzahl an Transaktionen von lokalen Benutzern |
|
Gesamtzahl der zulässigen Transaktionen mit dem SOCKS-Proxy |
|
Gesamtanzahl an Transaktionen von lokalen Benutzern, die mit dem SOCKS-Proxy zulässig sind |
|
Gesamtzahl der Transaktionen von Remote-Benutzern, die mit dem SOCKS-Proxy zugelassen sind |
|
Gesamtzahl der blockierten Transaktionen über SOCKS-Proxy |
|
Gesamtzahl der Transaktionen lokaler Benutzer, die mit dem SOCKS-Proxy blockiert wurden |
|
Gesamtzahl der Transaktionen von Remote-Benutzern, die mit dem SOCKS-Proxy blockiert wurden |
Sekunden seit dem letzten Neustart |
2843349 |
CPU-Auslastung (%) |
9,9 |
RAM-Auslastung (%) |
55,6 |
Festplattenauslastung (%) |
57,5 |
Bandbreitennutzung (/Sek.) |
15307 |
TCP-Verbindungen öffnen |
2721 |
Transaktionen pro Sekunde |
264 |
Client-Latenz |
163 |
Cache-Trefferrate |
21 |
Proxy-CPU-Auslastung |
17 |
WBRS-WUC-CPU-Auslastung |
2,5 |
Protokollieren der CPU-Auslastung |
3,4 |
Reporting-CPU-Auslastung |
3,9 |
Webroot-CPU-Auslastung |
0 |
Sophos-CPU-Auslastung |
0 |
McAfee CPU-Auslastung |
0 |
Ausgabe des VMSTAT-Dienstprogramms (vmstat -z, vmstat -m) |
|
Anzahl der konfigurierten Zugriffsrichtlinien |
32 |
Anzahl der konfigurierten benutzerdefinierten Webkategorien |
32 |
Authentifizierungsanbieter |
Einfach, NTLMSSP |
Authentifizierungsbereiche |
Hostname des Authentifizierungsanbieters, Protokoll und andere Konfigurationselemente |
Element |
Beispieldaten |
Standardbeteiligung |
Eingeschränkte Beteiligung |
Version |
coeus 7.7.0-608 |
||
Seriennummer |
|||
SBNP-Samplingfaktor (Volumen) |
|||
SBNP-Stichprobenfaktor (Rate) |
1 |
||
Ziel-IP und -Port |
unverschleierte URL-Pfadsegmente |
Hash-URL-Pfadsegmente |
|
Für Anti-Spyware ausgewählte Malware-Kategorie |
Übersprungen |
||
WBRS-Bewertung |
4,7 |
||
Kategorie-Verdict für McAfee-Malware |
|||
Referer-URL |
unverschleierte URL-Pfadsegmente |
Hash-URL-Pfadsegmente |
|
Inhaltstyp-ID |
|||
ACL-Entscheidungstag |
0 |
||
Ältere Web-Kategorisierung |
|||
CIWUC-Webkategorie und Entscheidungsquelle |
{'src': 'req', 'cat': '1026'} |
||
AVC-Anwendungsname |
Anzeigen und Nachverfolgen |
||
AVC-Anwendungstyp |
Ad-Netzwerke |
||
AVC-Anwendungsverhalten |
Unsicher |
||
Interne AVC-Ergebnisverfolgung |
[0,1,1,1] |
||
Nachverfolgung von Benutzeragenten über indizierte Datenstruktur |
1 |
AMP-Statistiken |
|
Verdict - der AMP-Reputationsabfrage |
schädlich/sauber/unbekannt |
Spyname - Name der erkannten Malware |
[Trojaner-Test] |
Bewertung - AMP zugewiesene Reputationsbewertung |
[1-100] |
Upload - Die AMP-Cloud hat angegeben, die Datei hochzuladen. |
1 |
Dateiname - Name der Dateianlage |
abcd.pdf |
Freigegebene Statistiken pro Endbenutzer Fehlkategorisierung Feedback |
|
Element |
Beispieldaten |
Engine-ID (numerisch) |
0 |
Legacy-Webkategorisierungscode |
|
CIWUC-Webkategorisierungsquelle |
"resp"/"req" |
CIWUC-Webkategorie |
1026 |