Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer le filtrage d’URL sur l’appareil Cisco Email Security Appliance (ESA) et les pratiques exemplaires pour son utilisation.
Le contrôle et la protection contre les liens malveillants ou indésirables sont intégrés aux processus de filtrage des messages, du contenu et du courrier indésirable, des attaques et des courriers indésirables dans la file d'attente de travail. Ces contrôles :
Lorsque vous configurez le filtrage d'URL sur l'ESA, vous devez également configurer d'autres fonctionnalités dépendantes de la fonctionnalité souhaitée. Voici quelques fonctionnalités typiques qui sont activées parallèlement au filtrage des URL :
Note: Depuis AsyncOS 11.1 pour la sécurité des e-mails, la prise en charge de l'analyse des URL dans les pièces jointes est désormais disponible. Vous pouvez maintenant configurer votre appliance pour rechercher des URL dans les pièces jointes des messages et effectuer des actions configurées sur ces messages. Vous pouvez utiliser les filtres de contenu et de catégorie d'URL pour rechercher des URL dans les pièces jointes des messages. Pour plus d'informations, consultez les chapitres “ Utilisation des filtres de messages pour appliquer les stratégies de messagerie ”, “ Filtres de contenu ” et “ Protection contre les URL malveillantes ou indésirables ” dans le guide de l'utilisateur ou dans l'aide en ligne.
Note: En outre, depuis AsyncOS 11.1 pour la sécurité de la messagerie, la prise en charge du filtrage des URL pour les URL raccourcies est désormais disponible. Vous pouvez maintenant configurer votre appliance pour effectuer le filtrage des URL sur les URI raccourcis et récupérer l'URL réelle à partir de l'URL raccourcie. En fonction du score de réputation de l'URL d'origine, une action configurée est effectuée sur l'URL raccourcie. Pour activer le filtrage d'URL pour les URL abrégées de votre appareil, reportez-vous au chapitre “ Protecting Against Malicious ou Undesirable URLs ” du guide de l'utilisateur ou de l'aide en ligne, ainsi qu'au guide de référence CLI pour AsyncOS for Cisco Email Security Appliance.
Pour mettre en oeuvre le filtrage des URL sur l'ESA, vous devez d'abord activer la fonctionnalité. Le filtrage des URL peut être activé à partir de l'interface utilisateur graphique ou de l'interface de ligne de commande par l'administrateur ESA.
Pour activer le filtrage des URL à l'aide de l'interface utilisateur graphique, accédez à Services de sécurité > Filtrage des URL > Activer :
À partir de l'interface de ligne de commande, exécutez la commande websecurityconfig :
myesa.local> websecurityconfig
Enable URL Filtering? [N]> y
Note: La journalisation des URL est une sous-fonctionnalité du VOF avec-in. Il s'agit d'une fonctionnalité CLI uniquement qui doit être activée comme indiqué ici, à l'aide de outbreakconfig :
myesa.local> outbreakconfig
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or
back down below), meaning that new messages of certain types could be quarantined
or will no longer be quarantined, respectively.
...
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
The Outbreak Filters feature is now globally enabled on the system. You must use the
'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable
Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
Note: Assurez-vous de valider toutes les modifications et toutes de votre configuration avant de continuer à partir de l'interface utilisateur graphique ou de l'interface de ligne de commande de votre ESA.
L'activation de la prise en charge du filtrage des URL pour les URL abrégées peut être effectuée uniquement par l'interface de ligne de commande, à l'aide de websecurityadvancedconfig :
myesa.local> websecurityadvancedconfig
...
Do you want to enable URL filtering for shortened URLs? [N]> Y
For shortened URL support to work, please ensure that ESA is able to connect to following domains:
bit.ly, tinyurl.com, ow.ly, tumblr.com, ff.im, youtu.be, tl.gd, plurk.com, url4.eu, j.mp, goo.gl, yfrog.com, fb.me, alturl.com, wp.me, chatter.com, tiny.cc, ur.ly
Cisco recommande d'activer cette option pour les meilleures pratiques de configuration du filtrage des URL. Une fois activés, les journaux de messagerie reflètent chaque fois qu'une URL raccourcie est utilisée avec le message :
Mon Aug 27 14:56:49 2018 Info: MID 1810 having URL: http://bit.ly/2tztQUi has been expanded to https://www.wired.com/?p=2270330&drafts-for-friends=js-1036023628&post_type=non-editorial
Une fois que le filtrage d'URL est activé comme décrit dans cet article, dans l'exemple des journaux de messagerie ci-dessus, nous pouvons voir le lien bit.ly enregistré ET le lien d'origine qu'il étend à également enregistré.
Lorsque vous activez uniquement le filtrage des URL, il ne prend aucune mesure contre les messages qui peuvent contenir des URL valides et en direct.
Les URL incluses dans les messages entrants et sortants sont évaluées. Toute chaîne valide pour une URL est évaluée, pour inclure des chaînes avec ces composants :
Lorsque le système évalue les URL afin de déterminer si un message est du spam, si nécessaire pour la gestion de la charge, il hiérarchise et filtre les messages entrants par rapport aux messages sortants.
Vous pouvez effectuer des actions sur les messages en fonction de la réputation ou de la catégorie d'URL dans le corps du message et les pièces jointes du message. Si vous souhaitez effectuer une action autre que la modification des URL ou de leur comportement, ajoutez une condition de réputation d'URL ou de catégorie d'URL et sélectionnez les scores de réputation ou les catégories d'URL pour lesquelles vous voulez appliquer l'action.
Par exemple, si vous voulez appliquer l'action Supprimer (Action finale) à tous les messages qui incluent des URL dans la catégorie Adulte, ajoutez une condition de type Catégorie d'URL avec la catégorie Adulte sélectionnée.
Si vous ne spécifiez pas de catégorie, l'action que vous choisissez est appliquée à tous les messages.
Les plages de scores de réputation des URL propres, neutres et malveillantes sont prédéfinies et ne peuvent pas être modifiées. Cependant, vous pouvez spécifier une plage personnalisée à la place. Les points de terminaison spécifiés sont inclus dans la plage spécifiée. Par exemple, si vous créez une plage personnalisée de -8 à -10, alors -8 et -10 sont inclus dans la plage. Utilisez “ Aucune ” de score pour les URL pour lesquelles un score de réputation ne peut pas être déterminé.
Afin d'analyser rapidement les URL et d'agir, vous pouvez créer un filtre de contenu de sorte que si le message a une URL valide, alors l'action est appliquée. À partir de l'interface utilisateur graphique, accédez à Politiques de messagerie > Filtres de contenu entrant > Ajouter un filtre.
Cet exemple montre comment rechercher des URL malveillantes avec l'implémentation de ce filtre de contenu entrant :
Avec ce filtre en place, le système recherche une URL avec une réputation malveillante (-10.00 à -6.00), ajoute une entrée de journal aux journaux de messagerie, utilise l'action defang afin de rendre le lien non cliquable, et place ceci dans une quarantaine de filtrage d'URL. Voici un exemple tiré des journaux de messagerie :
Wed Nov 5 21:27:18 2014 Info: Start MID 186 ICID 606
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 From: <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:27:18 2014 Info: MID 186 Message-ID '<COL128-W95DE5520A96FD9D69FAC2D9D840@phx.gbl>'
Wed Nov 5 21:27:18 2014 Info: MID 186 Subject 'URL Filter test malicious'
Wed Nov 5 21:27:18 2014 Info: MID 186 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:27:18 2014 Info: ICID 606 close
Wed Nov 5 21:27:19 2014 Info: MID 186 interim verdict using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: MID 186 using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: ISQ: Tagging MID 186 for quarantine
Wed Nov 5 21:27:19 2014 Info: MID 186 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:27:19 2014 Info: MID 186 antivirus negative
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-rule
Wed Nov 5 21:27:19 2014 Info: MID 186 Custom Log Entry: <===> MALICIOUS URL! <===>
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 rewritten to MID 187 by url-reputation-defang-action filter '__MALICIOUS_URL__'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 186 done
Wed Nov 5 21:27:19 2014 Info: MID 187 Outbreak Filters: verdict positive
Wed Nov 5 21:27:19 2014 Info: MID 187 Threat Level=5 Category=Phish Type=Phish
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten URL u'http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php-Robert'
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten to MID 188 by url-threat-protection filter 'Threat Protection'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 187 done
Wed Nov 5 21:27:19 2014 Info: MID 188 Virus Threat Level=5
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "Outbreak" (Outbreak rule:Phish: Phish)
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "URL Filtering Quarantine" (content filter:__MALICIOUS_URL__)
Wed Nov 5 21:28:20 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
Note: L'URL incorporée dans l'exemple précédent comporte des espaces supplémentaires dans le corps de l'URL, de sorte qu'elle ne renvoie aucune analyse Web ou détection de proxy.
Cette URL pour peekquick.com est MALICIEUSE et notée à un -6.77. Une entrée est effectuée dans les journaux de messagerie, où vous pouvez voir tous les processus en action. Le filtre d'URL a détecté l'URL malveillante, l'a désactivée et mise en quarantaine. Le VOF a également obtenu une note positive en fonction de son ensemble de règles et a fourni des détails indiquant qu'il s'agissait d'un phish lié.
Si VOF n'est pas activé, le même message est traité par , mais les analyses d'URL ne sont pas appliquées sans la capacité supplémentaire de VOF à effectuer des analyses et des actions. Cependant, dans cet exemple, le corps du message est analysé par le moteur antispam Cisco (CASE) et considéré comme spam positif :
Wed Nov 5 21:40:49 2014 Info: Start MID 194 ICID 612
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 From: <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:40:49 2014 Info: MID 194 Message-ID '<COL128-W145FD8B772C824CEF33F859D840@phx.gbl>'
Wed Nov 5 21:40:49 2014 Info: MID 194 Subject 'URL Filter test malicious'
Wed Nov 5 21:40:49 2014 Info: MID 194 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:40:50 2014 Info: ICID 612 close
Wed Nov 5 21:40:50 2014 Info: MID 194 interim verdict using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: MID 194 using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: ISQ: Tagging MID 194 for quarantine
Wed Nov 5 21:40:50 2014 Info: MID 194 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:40:50 2014 Info: MID 194 antivirus negative
Wed Nov 5 21:40:50 2014 Info: MID 194 queued for delivery
Wed Nov 5 21:40:52 2014 Info: RPC Delivery start RCID 20 MID 194 to local IronPort Spam Quarantine
Wed Nov 5 21:40:52 2014 Info: ISQ: Quarantined MID 194
Wed Nov 5 21:40:52 2014 Info: RPC Message done RCID 20 MID 194
Wed Nov 5 21:40:52 2014 Info: Message finished MID 194 done
Cette détection par CASE seule ne se produit pas toujours. Il peut arriver que les règles CASE et IPAS contiennent une correspondance avec un certain contenu d'expéditeur, de domaine ou de message afin de détecter cette menace seule.
La réputation d'URL neutre signifie que les URL sont actuellement propres, mais qu'elles risquent de devenir malveillantes à l'avenir, car elles sont sujettes à des attaques. Pour de telles URL, les administrateurs peuvent créer des stratégies non bloquantes, par exemple en les redirigeant vers le proxy de sécurité Web Cisco pour une évaluation en un clic.
Note: Dans AsyncOS 9.7 pour la sécurité de la messagerie et les versions ultérieures, les URL qui étaient auparavant étiquetées “ ” suspectes sont maintenant étiquetées “ Neutres. ” Seul l'étiquetage a changé ; la logique et le traitement sous-jacents n'ont pas changé.
Cet exemple montre comment rechercher des URL neutres avec l'implémentation de ce filtre de contenu entrant :
Avec ce filtre en place, le système recherche une URL avec une réputation neutre (-5.90 à 5.90) et ajoute une entrée de journal aux journaux de messagerie. Cet exemple montre un sujet modifié afin de préfixer "[URL NEUTRE !]". Voici un exemple tiré des journaux de messagerie :
Wed Nov 5 21:22:23 2014 Info: Start MID 185 ICID 605
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 From: <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:22:23 2014 Info: MID 185 Message-ID '<D0804586.24BAE%bad_user@that.domain.net>'
Wed Nov 5 21:22:23 2014 Info: MID 185 Subject 'Middle of the road?'
Wed Nov 5 21:22:23 2014 Info: MID 185 ready 4598 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:22:24 2014 Info: MID 185 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:22:24 2014 Info: MID 185 antivirus negative
Wed Nov 5 21:22:24 2014 Info: MID 185 URL https:// www. udemy.com/official-udemy-instructor-course/?refcode=slfgiacoitvbfgl7tawqoxwqrdqcerbhub1flhsmfilcfku1te5xofictyrmwfcfxcvfgdkobgbcjv4bxcqbfmzcrymamwauxcuydtksayhpovebpvmdllxgxsu5vx8wzkjhiwazhg5m&utm_campaign=email&utm_source=sendgrid.com&utm_medium=email has reputation -5.08 matched url-reputation-rule
Wed Nov 5 21:22:24 2014 Info: MID 185 Custom Log Entry: <===> NEUTRAL URL! <===>
Wed Nov 5 21:22:24 2014 Info: MID 185 Outbreak Filters: verdict negative
Wed Nov 5 21:22:24 2014 Info: MID 185 queued for delivery
Wed Nov 5 21:22:24 2014 Info: New SMTP DCID 26 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:22:24 2014 Info: Delivery start DCID 26 MID 185 to RID [0]
Wed Nov 5 21:22:24 2014 Info: Message done DCID 26 MID 185 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="185"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93843786"')]
Wed Nov 5 21:22:24 2014 Info: MID 185 RID [0] Response '2.0.0 Ok: queued as 0F8F9801C2'
Wed Nov 5 21:22:24 2014 Info: Message finished MID 185 done
Note: L'URL incorporée dans l'exemple précédent comporte des espaces supplémentaires dans le corps de l'URL, de sorte qu'elle ne renvoie aucune analyse Web ou détection de proxy.
Le lien Udemy dans l'exemple précédent n'apparaît pas propre et il est noté NEUTRAL à -5.08. Comme l'indique l'entrée des journaux de messagerie, ce message est autorisé à être remis à l'utilisateur final.
L'administrateur ne souhaite peut-être pas prendre comme indicateur la large gamme de valeurs neutres (-5,90 à 5,90). Il peut être plus approprié d'avoir une plage personnalisée avec une plage plus petite pour pencher plus vers une notation neutre négative, comme de ne pas se déclencher contre toutes les URL qui tombent dans la plage neutre et éventuellement créer une action fausse négative/fausse positive.
Cet exemple montre comment rechercher des URL propres avec l'implémentation de ce filtre de contenu entrant :
Avec ce filtre en place, le système recherche une URL avec une réputation propre (6.00 à 10.00) et ajoute simplement une entrée de journal aux journaux de messagerie afin de déclencher et d'enregistrer le score de réputation Web (WBRS). Cette entrée de journal permet également d'identifier le processus déclenché. Voici un exemple tiré des journaux de messagerie :
Wed Nov 5 21:11:10 2014 Info: Start MID 182 ICID 602
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 From: <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:11:10 2014 Info: MID 182 Message-ID '<D08042EA.24BA4%bad_user@that.domain.net>'
Wed Nov 5 21:11:10 2014 Info: MID 182 Subject 'Starting at the start!'
Wed Nov 5 21:11:10 2014 Info: MID 182 ready 2798 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:11:11 2014 Info: MID 182 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:11:11 2014 Info: MID 182 antivirus negative
Wed Nov 5 21:11:11 2014 Info: MID 182 URL http:// www .yahoo.com has reputation 8.39 matched url-reputation-rule
Wed Nov 5 21:11:11 2014 Info: MID 182 Custom Log Entry: <===> CLEAN URL! <===>
Wed Nov 5 21:11:11 2014 Info: MID 182 Outbreak Filters: verdict negative
Wed Nov 5 21:11:11 2014 Info: MID 182 queued for delivery
Wed Nov 5 21:11:11 2014 Info: New SMTP DCID 23 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:11:11 2014 Info: Delivery start DCID 23 MID 182 to RID [0]
Wed Nov 5 21:11:11 2014 Info: Message done DCID 23 MID 182 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="182"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93839309"')]
Wed Nov 5 21:11:11 2014 Info: MID 182 RID [0] Response '2.0.0 Ok: queued as 7BAF5801C2'
Wed Nov 5 21:11:11 2014 Info: Message finished MID 182 done
Wed Nov 5 21:11:16 2014 Info: ICID 602 close
Wed Nov 5 21:11:16 2014 Info: DCID 23 close
Note: L'URL incorporée dans l'exemple précédent comporte des espaces supplémentaires dans le corps de l'URL, de sorte qu'elle ne renvoie aucune analyse Web ou détection de proxy.
Comme le montre l'exemple, Yahoo.com est considéré PROPRE et donne un score de 8,39, est noté dans les journaux de messagerie et est livré à l'utilisateur final.
“ Aucune ” de score n'est donnée pour les URL lorsqu'un score de réputation ne peut pas être déterminé. Il peut s'agir d'URL qui contiennent de nouveaux domaines ou d'URL qui n'ont vu que peu ou pas de trafic et ne peuvent pas avoir de score actuel.
Les administrateurs peuvent vouloir gérer les URL sans score à leur propre discrétion. Si le nombre d'e-mails et de pièces jointes liés à Phish augmente, veuillez consulter le score d'URL associé. Les administrateurs peuvent souhaiter qu'aucune URL de score ne soit redirigée vers le service proxy Cisco Cloud Web Security pour l'évaluation en un clic.
Parfois, une URL n'est pas encore classée, ou elle peut être mal classée. Afin de signaler les URL qui ont été mal classées et les URL qui ne sont pas classées mais devraient l'être, visitez la page Demandes de catégorisation d'URL Cisco.
Vous pouvez également vérifier l'état des URL envoyées. Pour ce faire, cliquez sur l'onglet État de cette page dans l'onglet URL envoyées.
Cela peut se produire parce que la réputation et la catégorie du site Web ne sont que deux critères parmi beaucoup d'autres que les filtres anti-spam et anti-attaques utilisent afin de déterminer leurs verdicts. Afin d'augmenter la sensibilité de ces filtres, diminuez les seuils requis pour agir, comme la réécriture ou le remplacement d'URL par du texte, ou la mise en quarantaine ou la suppression de messages.
Vous pouvez également créer des filtres de contenu ou de message en fonction du score de réputation de l'URL.