Guest

Vérifier des téléchargements d'analyse de fichier sur l'ESA

Options de téléchargement

  • PDF     (229.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (144.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (249.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:9 juillet 2017
ID du document:118796
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment déterminer si des fichiers qui sont traités par la protection avancée de malware (AMPÈRE) sur l'appliance de sécurité du courrier électronique de Cisco (ESA) sont envoyés pour l'analyse de fichier, et aussi ce que le fichier journal associé d'AMPÈRE fournit.

    Déterminez si des connexions sont téléchargées pour l'analyse de fichier

    Avec le fichier l'analyse est activée, les connexions qui sont balayées par réputation de fichier peuvent être envoyées pour classer l'analyse pour l'analyse approfondie. Ceci fournit le de plus haut niveau de la protection contre le zéro-jour et les menaces visées. L'analyse de fichier est seulement disponible quand le filtrage de réputation de fichier est activé.

    Employez les types de fichier options afin de limiter les types de fichiers qui pourraient être envoyés au nuage. Les fichiers spécifiques qui sont envoyés sont toujours basés sur des demandes du nuage de services d'analyse de fichier, qui vise ces fichiers pour lesquels l'analyse supplémentaire est nécessaire. L'analyse de fichier pour les types de fichier particuliers pourrait être désactivée temporairement où le nuage de services d'analyse de fichier atteint la capacité.

    Remarque: Référez-vous aux critères de fichier pour des services de protection avancés de malware pour le document Cisco de Produits de sécurité du contenu de Cisco pour le plus à jour et les informations complémentaires.

    Remarque:  Veuillez examiner les notes de mise à jour et le guide utilisateur pour la révision spécifique d'AsyncOS qui fonctionne sur votre appliance, car les types de fichier d'analyse de fichier peuvent varier basé sur la version d'AsyncOS.

    Types de fichier qui peuvent être envoyés pour l'analyse de fichier :

    • Les détails au sujet quels fichiers sont pris en charge par des services de la réputation et d'analyse sont disponibles seulement aux clients d'enregistré Cisco. Pour information au sujet duquel des fichiers sont évalués et analysés, voir les critères de fichier pour des services de protection avancés de malware pour des Produits de sécurité du contenu de Cisco, disponibles de
      http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-user-guide-list.html.  Les critères pour évaluer la réputation d'un fichier et pour envoyer des fichiers pour l'analyse peuvent changer à tout moment.
    • Les types de fichier suivants peuvent actuellement être envoyés pour l'analyse :
      • (Toutes les releases qui prennent en charge l'analyse de fichier) Windows Executables, des fichiers par exemple .exe, .dll, .sys, et .scr.
      • Format PDF d'Adobe (PDF), Microsoft Office 2007+ (XML ouvert), Microsoft Office 97-2004 (VIEILLE), Microsoft Windows/DOS exécutable, d'autres types de fichier potentiellement malveillants.
      • Types de fichier que vous avez sélectionnés pour le téléchargement page sur d'Anti-malware et de réputation configurations (pour la sécurité Web) ou page des configurations de réputation et d'analyse de fichier (pour la sécurité du courrier électronique.) Le support initial inclut le PDF et les fichiers de Microsoft Office.
      • (Début dans AsyncOS 9.7.1 pour la sécurité du courrier électronique) si vous avez sélectionné les autres types de fichier potentiellement malveillants option, la Microsoft Office classe avec les extensions suivantes enregistrées dans le format XML ou MHTML : ade, ADP, ADN, accdb, accdr, accdt, accda, mdb, BDC, mda, mdn, mdt, mdw, forces de défense principale, mde, accde, maman, maq, mars, tapis, maf, ldb, laccdb, documentation, point, docx, docm, dotx, dotm, docb, xls, xlt, xlm, xlsx, xlsm, xltx, xltm, xlsb, xla, xlam, xll, xlw, PPT, pot, PPS, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, mht, mhtm, mhtml, et xml.
    • Des critères de taille de fichier pour le téléchargement sont établis dynamiquement par le service en fonction d'analyse de fichier sur des tendances en cours de menace, et peuvent changer à tout moment. Les modifications de critères les prennent effet automatiquement ; vous n'avez besoin de faire rien.

    Remarque: Si le chargement au service d'analyse de fichier dépasse la capacité, quelques fichiers ne peuvent être analysés même si le type de fichier est sélectionné pour l'analyse et le fichier serait autrement habilité à l'analyse. Vous recevrez une alerte quand le service ne peut pas temporairement traiter des fichiers d'un type particulier.

    Mettre en valeur les informations importantes :

    • Si un fichier a été récemment téléchargé de n'importe quelle source, le fichier ne sera pas téléchargé de nouveau. Pour des résultats d'analyse de fichier pour ce fichier, recherchez le SHA-256 de la page d'enregistrement d'analyse de fichier.
    • L'appliance essayera une fois de télécharger le fichier ; si le téléchargement n'est pas réussi, par exemple en raison des problèmes de Connectivité, le fichier ne peut être téléchargé. Si la panne était parce que le serveur d'analyse de fichier a été surchargé, le téléchargement sera tenté une fois de plus.

    Configurez l'AMPÈRE pour l'analyse de fichier

    Par défaut, quand un ESA est d'abord activé et a établir encore une connexion à l'updater de Cisco, le SEUL type de fichier d'analyse de fichier répertorié sera les fichiers exécutables de « Microsoft Windows/DOS ».  Vous devrez permettre à une mise à jour de service pour se terminer avant d'être laissé pour configurer les types de fichier supplémentaires.  Ceci sera reflété dans le fichier journal d'updater_logs, vu en tant que « fireamp.json » :

    Sun Jul 9 13:52:28 2017 Info: amp beginning download of remote file "http://updates.ironport.com/amp/1.0.11/fireamp.json/default/100116"
    Sun Jul 9 13:52:28 2017 Info: amp successfully downloaded file "amp/1.0.11/fireamp.json/default/100116"
    Sun Jul 9 13:52:28 2017 Info: amp applying file "amp/1.0.11/fireamp.json/default/100116"

    Pour configurer l'analyse de fichier par l'intermédiaire du GUI, naviguez vers des Services de sécurité > la réputation de fichier et l'analyse > éditent des paramètres généraux…

    Afin de configurer l'AMPÈRE pour l'analyse de fichier par l'intermédiaire du CLI, écrivez l'ampconfig > la commande setup et le mouvement par l'assistant de réponse. Vous devez sélectionner Y quand vous êtes présenté avec cette question : Voulez-vous modifier les types de fichier pour l'analyse de fichier ?

    myesa.local> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    File types selected for File Analysis:
     Adobe Portable Document Format (PDF)
     Microsoft Office 2007+ (Open XML)
     Microsoft Office 97-2004 (OLE)
     Microsoft Windows / DOS Executable
     Other potentially malicious file types
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - CLEARCACHE - Clears the local File Reputation cache.
    []> setup

    File Reputation: Enabled
    Would you like to use File Reputation? [Y]> 

    Would you like to use File Analysis? [Y]> 

    File types supported for File Analysis:

    1. Adobe Portable Document Format (PDF) [selected]
    2. Microsoft Office 2007+ (Open XML) [selected]
    3. Microsoft Office 97-2004 (OLE) [selected]
    4. Microsoft Windows / DOS Executable [selected]
    5. Other potentially malicious file types [selected]

    Do you want to modify the file types selected for File Analysis? [N]> y

    Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select all "currently" supported File Types.
    [1,2,3,4,5]> ALL

    Specify AMP processing timeout (in seconds)
    [120]> 

    Advanced-Malware protection is now enabled on the system.
    Please note: you must issue the 'policyconfig' command (CLI) or Mail
    Policies (GUI) to configure advanced malware scanning behavior for
    default and custom Incoming Mail Policies.
    This is recommended for your DEFAULT policy.

    Basé sur cette configuration, les types de fichier qui sont activés sont sujets à l'analyse de fichier, comme applicable.  

    Logs d'AMPÈRE d'examen pour l'analyse de fichier

    Quand des connexions sont balayées par réputation de fichier ou classent l'analyse sur l'ESA, elles sont enregistrées dans le log d'AMPÈRE. Afin de passer en revue ce log pour toutes les actions d'AMPÈRE, exécutez l'Ampère de queue du CLI de l'ESA, ou déplacez-vous par l'assistant de réponse pour la queue ou la commande de grep. La commande de grep est utile si vous connaissez le fichier spécifique ou d'autres détails que vous désirez rechercher dans le log d'AMPÈRE.

    Voici un exemple :

    myesa.local> tail amp

    Press Ctrl-C to stop.
    Mon Feb 2 14:45:35 2015 Info: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Feb 2 14:45:35 2015 Info: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1
    Mon Feb 2 14:55:35 2015 Info: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Feb 2 14:55:35 2015 Info: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1
    Mon Feb 2 15:05:35 2015 Info: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Mon Feb 2 15:05:35 2015 Info: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

    Remarque: Des versions plus anciennes d'AsyncOS afficheraient « amp_watchdog.txt » dans les logs d'AMPÈRE.  C'est un fichier de SYSTÈME D'EXPLOITATION qui est affiché toutes les dix minutes dans les logs. Ce fichier fait partie de la keep-alive pour l'AMPÈRE et peut être sans risque ignoré.  Ce fichier est démarrer masqué dans AsyncOS 10.0.1 et plus nouveau.

    Les fichiers étant traité pour la réputation, ils ont l'upload_action étiquetés à la fin de la requête de réputation de fichier. Il y a trois réponses pour l'action de téléchargement :

    • « upload_action = 0" : Le fichier est connu au service de réputation ; n'envoyez pas pour l'analyse.
    • « upload_action = 1" : Envoyez
    • « upload_action = 2" : Le fichier est connu au service de réputation ; n'envoyez pas pour l'analyse

    Cette réponse dicte si un fichier est envoyé pour l'analyse. De nouveau, il doit répondre aux critères des types de fichier configurés afin de pour être avec succès soumis.

    Explication de l'action "0" de téléchargement contre l'action "2" de téléchargement

    "upload_action = 0": The file is known to the reputation service; do not send for analysis.

    Pour "0," ceci signifie que le fichier « n'est pas nécessaire pour être envoyé pour le téléchargement ». Ou, une meilleure manière de le regarder est, le fichier peut être envoyée pour que le téléchargement classe l'analyse s'il y a lieu.  Cependant, si le fichier n'est pas exigé alors le fichier n'est pas envoyé.

    "upload_action = 2": The file is known to the reputation service; do not send for analysis

    Pour "2," que c'est un strict « n'envoyez pas » le fichier pour le téléchargement.  Cette action est finale et décisive, et le traitement d'analyse de fichier est fait.

    Exemples de scénarios

    Cette section décrit les scénarios possibles dans lesquels des fichiers sont téléchargés pour l'analyse correctement ou ne sont pas dus téléchargé à une raison spécifique.

    Fichier téléchargé pour l'analyse

    Cet exemple affiche un fichier DOCX qui répond aux critères et est étiqueté avec l'upload_action = 1. Dans la prochaine ligne, le fichier téléchargé pour l'Algorithme de hachage sûr (SHA) d'analyse est aussi bien enregistré au log d'AMPÈRE.

    Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name = 'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type = application/msword
    Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud. File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
    Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

    Fichier non téléchargé pour l'analyse puisque le fichier est déjà connu

    Cet exemple affiche un fichier PDF qui est analysé par AMPÈRE avec l'upload_action = 2 ajoutés au log de réputation de fichier. Ce fichier est déjà connu au nuage et n'est pas exigé pour être téléchargé pour l'analyse, ainsi elle n'est pas téléchargée de nouveau.

    Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name = 'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
    Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache. File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd3d2ffd0bf5f96989bb002, upload_action = 2

    Téléchargement d'analyse de fichier journal par l'intermédiaire des en-têtes d'email

    Du CLI, avec l'option utilisant le logconfig de commande, la sous-option des logheaders peut être sélectionnée pour répertorier et se connecter les en-têtes des emails traités par l'ESA.  Utilisant « X-Ampère-FILE-a téléchargé » l'en-tête, n'importe quand un fichier est téléchargé ou non téléchargé pour l'analyse de fichier sera enregistré aux logs de messagerie de l'ESA.

    Regardant la messagerie se connecte, résulte pour des fichiers téléchargés pour l'analyse :

    Mon Sep 5 13:30:03 2016 Info: Message done DCID 0 MID 7659 to RID [0] [('X-Amp-File-Uploaded', 'True')]

    Regardant la messagerie se connecte, résulte pour des fichiers non téléchargés pour l'analyse :

    Mon Sep 5 13:31:13 2016 Info: Message done DCID 0 MID 7660 to RID [0] [('X-Amp-File-Uploaded', 'False')]

    Informations connexes

    TAC Authored

    Contribution d’experts de Cisco

    • Robert Sherwin
      Cisco TAC

    Ce document vous est-il utile?

    Commentaires

    Laissez-nous vous aider

    Ce document s’applique à ces produits