シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
この資料に Cisco E メール セキュリティ アプライアンス(ESA)の URL フィルタリングおよび使用のための最良の方法を設定する方法を記述されています。
悪意のあるか望ましくないリンクに対するコントロールおよび保護は作業待ち行列の反スパム、発生、コンテンツおよびメッセージ フィルター・プロセスに組み込まれます。 これらの制御:
ESA の URL フィルタリングを設定するとき、また望ましい機能性に依存したその他の機能を設定して下さい。 URL フィルタリングの横で有効に なるいくつかの典型的な機能はここにあります:
注: E メール セキュリティ用の AsyncOS 11.1 現在で、添付ファイルの URL スキャンのためのサポートは現在利用できます。 メッセージ添付ファイルの URL のためにスキャンし、そのようなメッセージの設定された アクションを行うために今アプライアンスを設定できます。 コンテンツおよびメッセージ フィルター URL 評判およびメッセージ添付ファイルの URL のためにスキャンするのに URL カテゴリ使用できます。 詳細については、メール ポリシー」、「コンテンツ フィルタ」および「悪意のあるか望ましくない URL」章からの保護を実施するためにユーザガイドまたはオンライン ヘルプのメッセージ フィルターを使用して「参照して下さい。
注: 今さらに E メール セキュリティ用の AsyncOS 11.1 現在で、利用可能 な短くされた URL のための URL フィルタリング サポートのためのサポート。 今短くされた URI の URL フィルタリングを行うためにアプライアンスを設定でき短くされた URL から実際の URL を取得します。 オリジナル URL の URL 評判スコアに基づいて、設定された アクションは短くされた URL で奪取 されます。 アプライアンスの短くされた URL のための URL フィルタリングを有効に するために、Cisco E メール セキュリティ アプライアンスの AsyncOS についてはユーザガイドまたはオンライン ヘルプの「参照しま悪意のあるか望ましくない URL」章および CLI レファレンスガイドから保護します。
ESA の URL フィルタリングを実装するために、最初に機能を有効に して下さい。 URL フィルタリングは ESA 管理者によって GUI か CLI から有効に することができます。
GUI の使用の URL フィルタリングを、ナビゲート セキュリティ サービス > URL フィルタリング > イネーブルに有効に するため:
CLI から、コマンドを、websecurityconfig 実行して下さい:
myesa.local> websecurityconfig
Enable URL Filtering? [N]> y
注: URL ロギングは VOF 内からのサブ・フィーチャです。 これは outbreakconfig を使用してここに示されているように有効に する必要がある CLI だけ機能です:
myesa.local> outbreakconfig
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or
back down below), meaning that new messages of certain types could be quarantined
or will no longer be quarantined, respectively.
...
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
The Outbreak Filters feature is now globally enabled on the system. You must use the
'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable
Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
注: ESA の GUI か CLI から続行する前に設定へのありとあらゆる変更を保存するようにして下さい。
短くされた URL のための URL フィルタリング サポートを有効に することは websecurityadvancedconfig を使用して CLI だけによって、されます:
myesa.local> websecurityadvancedconfig
...
Do you want to enable URL filtering for shortened URLs? [N]> Y
For shortened URL support to work, please ensure that ESA is able to connect to following domains:
bit.ly, tinyurl.com, ow.ly, tumblr.com, ff.im, youtu.be, tl.gd, plurk.com, url4.eu, j.mp, goo.gl, yfrog.com, fb.me, alturl.com, wp.me, chatter.com, tiny.cc, ur.ly
Cisco は URL フィルタリング 設定 最良の方法のために有効に なるこれがあることを推奨します。 有効に されて、メール ログは短くされた URL がメッセージの中で使用される反映します:
Mon Aug 27 14:56:49 2018 Info: MID 1810 having URL: http://bit.ly/2tztQUi has been expanded to https://www.wired.com/?p=2270330&drafts-for-friends=js-1036023628&post_type=non-editorial
URL フィルタリングがこの技術情報に記述されているように有効に なれば、メールから上述の例を、私達記録される bit.ly リンクをおよびまた記録されるに拡張するオリジナル リンクを参照する場合があります記録 します。
単独で URL フィルタリングを有効に するとき、ライブおよび有効な URL が含まれているかもしれないメッセージに対して処置をとりません。
受信 および 送信 メッセージに含まれている URL は評価されます。 URL のためのどの有効なストリングでも、これらのコンポーネントが付いているストリングを含むために評価されます:
メッセージはロード 管理のためのスパム、必要ならばであるかどうか判別するためにシステムが URL を評価するとき、送信メッセージ上の画面受信メッセージ優先順位をつけ。
メッセージ ボディおよびメッセージ添付ファイルで URL の評判かカテゴリに基づいてメッセージの操作を行うことができます。 URL か動作の修正以外操作を行いたいと思う場合 URL 評判または URL カテゴリ状態を追加し、操作を適用したいと思う URL カテゴリーか評判スコアを選択して下さい。
たとえば大人カテゴリに URL を含めるすべてのメッセージにドロップする(最終措置)操作を適用したいと思ったら、選択される大人カテゴリの型 URL カテゴリの状態を追加して下さい。
カテゴリを規定 しない場合、選択する操作はすべてのメッセージに適用されます。
URL 評判スコアはきれいのために、中立及び、悪意のある URL は編集可能あらかじめ定義され。 ただし、カスタム範囲を代りに規定できます。 規定 された エンドポイントは規定 する 範囲に含まれています。 たとえば -8 から -10 にカスタム範囲を作成すれば、そして -8 および -10 は範囲に含まれています。 評判スコアが判別することができない URL のために「スコア」を使用しないで下さい。
操作が適用すればメッセージに有効な URL がある場合すぐに URL をスキャンし、処置をとるために、ようにコンテンツ フィルタを作成できます。 GUI から、ポリシーを郵送するナビゲート > 着信 コンテンツ フィルタ > Add フィルタ。
この例はこの受信コンテンツ フィルタの実装を用いる悪意のある URL のためのスキャンを示したものです:
このフィルタによって、悪意のある評判(-10.00 に -6.00)によって URL のためのシステム スキャンはメール ログに、Log エントリを追加し、リンクを非クリック可能にするために牙を抜アクションを使用し URL フィルタリング な検疫にこれを置きます。 メール ログからの例はここにあります:
Wed Nov 5 21:27:18 2014 Info: Start MID 186 ICID 606
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 From: <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:27:18 2014 Info: MID 186 Message-ID '<COL128-W95DE5520A96FD9D69FAC2D9D840@phx.gbl>'
Wed Nov 5 21:27:18 2014 Info: MID 186 Subject 'URL Filter test malicious'
Wed Nov 5 21:27:18 2014 Info: MID 186 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:27:18 2014 Info: ICID 606 close
Wed Nov 5 21:27:19 2014 Info: MID 186 interim verdict using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: MID 186 using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: ISQ: Tagging MID 186 for quarantine
Wed Nov 5 21:27:19 2014 Info: MID 186 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:27:19 2014 Info: MID 186 antivirus negative
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-rule
Wed Nov 5 21:27:19 2014 Info: MID 186 Custom Log Entry: <===> MALICIOUS URL! <===>
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 rewritten to MID 187 by url-reputation-defang-action filter '__MALICIOUS_URL__'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 186 done
Wed Nov 5 21:27:19 2014 Info: MID 187 Outbreak Filters: verdict positive
Wed Nov 5 21:27:19 2014 Info: MID 187 Threat Level=5 Category=Phish Type=Phish
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten URL u'http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php-Robert'
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten to MID 188 by url-threat-protection filter 'Threat Protection'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 187 done
Wed Nov 5 21:27:19 2014 Info: MID 188 Virus Threat Level=5
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "Outbreak" (Outbreak rule:Phish: Phish)
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "URL Filtering Quarantine" (content filter:__MALICIOUS_URL__)
Wed Nov 5 21:28:20 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
注: 前例で組み込まれる URL に URL 本文に含まれている余分なスペース従ってそれがつまずかせません Web スキャンかプロキシ 検出をあります。
peekquick.com のためのこの URL は -6.77 で悪意のあり、記録されて。 エントリは操作のプロセスすべてを表示できるメール ログで作成されます。 URL フィルタは悪意のある URL を検出する、牙を抜き、検疫しました。 VOF はまたこれが関連 Phish だったことそれをルール セットに基づいて陽性詳細記録し。
VOF が有効に ならない場合、同じメッセージは処理されますが、スキャンおよび操作を駆動する URL スキャンは VOF の追加された機能なしでは機能されません。 ただし、この例でメッセージ ボディは Cisco 反スパム エンジン(ケース)によってスキャンされ、スパム肯定的として考えられます:
Wed Nov 5 21:40:49 2014 Info: Start MID 194 ICID 612
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 From: <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:40:49 2014 Info: MID 194 Message-ID '<COL128-W145FD8B772C824CEF33F859D840@phx.gbl>'
Wed Nov 5 21:40:49 2014 Info: MID 194 Subject 'URL Filter test malicious'
Wed Nov 5 21:40:49 2014 Info: MID 194 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:40:50 2014 Info: ICID 612 close
Wed Nov 5 21:40:50 2014 Info: MID 194 interim verdict using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: MID 194 using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: ISQ: Tagging MID 194 for quarantine
Wed Nov 5 21:40:50 2014 Info: MID 194 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:40:50 2014 Info: MID 194 antivirus negative
Wed Nov 5 21:40:50 2014 Info: MID 194 queued for delivery
Wed Nov 5 21:40:52 2014 Info: RPC Delivery start RCID 20 MID 194 to local IronPort Spam Quarantine
Wed Nov 5 21:40:52 2014 Info: ISQ: Quarantined MID 194
Wed Nov 5 21:40:52 2014 Info: RPC Message done RCID 20 MID 194
Wed Nov 5 21:40:52 2014 Info: Message finished MID 194 done
単独でケースによるこの検出は常に発生しません。 単独でこの脅威を検出するためにケースおよび IPAS ルールは確かな送信側、ドメイン、またはメッセージの内容に対してその一致が含まれているかもしれた時があります。
中立 URL 評判は不正侵入に傾向があるので URL が現在きれいであるが意味しましたり、ことを悪意のある将来回るかもしれません。 そのような URL の場合、管理者はたとえばクリック時間評価のための Cisco Web セキュリティ プロキシにそれらをリダイレクトするノンブロッキング ポリシーを、作成できます。
注: E メール セキュリティ およびそれ以降のための AsyncOS 9.7 では、「分類された」疑わしい 旧だった URL は今分類されます「中立」。と 分類だけ変化しました; 根本的なロジックおよび処理は変更しませんでした。
この例はこの受信コンテンツ フィルタの実装を用いる中立 URL のためのスキャンを示したものです:
このフィルタによって、システムは中立評判(-5.90 に 5.90)によって URL を捜し、メール ログに Log エントリを追加します。 この例は「付加するために修正されたサブジェクトを[中立 URL!]」示したものです。 メール ログからの例はここにあります:
Wed Nov 5 21:22:23 2014 Info: Start MID 185 ICID 605
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 From: <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:22:23 2014 Info: MID 185 Message-ID '<D0804586.24BAE%bad_user@that.domain.net>'
Wed Nov 5 21:22:23 2014 Info: MID 185 Subject 'Middle of the road?'
Wed Nov 5 21:22:23 2014 Info: MID 185 ready 4598 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:22:24 2014 Info: MID 185 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:22:24 2014 Info: MID 185 antivirus negative
Wed Nov 5 21:22:24 2014 Info: MID 185 URL https:// www. udemy.com/official-udemy-instructor-course/?refcode=slfgiacoitvbfgl7tawqoxwqrdqcerbhub1flhsmfilcfku1te5xofictyrmwfcfxcvfgdkobgbcjv4bxcqbfmzcrymamwauxcuydtksayhpovebpvmdllxgxsu5vx8wzkjhiwazhg5m&utm_campaign=email&utm_source=sendgrid.com&utm_medium=email has reputation -5.08 matched url-reputation-rule
Wed Nov 5 21:22:24 2014 Info: MID 185 Custom Log Entry: <===> NEUTRAL URL! <===>
Wed Nov 5 21:22:24 2014 Info: MID 185 Outbreak Filters: verdict negative
Wed Nov 5 21:22:24 2014 Info: MID 185 queued for delivery
Wed Nov 5 21:22:24 2014 Info: New SMTP DCID 26 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:22:24 2014 Info: Delivery start DCID 26 MID 185 to RID [0]
Wed Nov 5 21:22:24 2014 Info: Message done DCID 26 MID 185 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="185"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93843786"')]
Wed Nov 5 21:22:24 2014 Info: MID 185 RID [0] Response '2.0.0 Ok: queued as 0F8F9801C2'
Wed Nov 5 21:22:24 2014 Info: Message finished MID 185 done
注: 前例で組み込まれる URL に URL 本文に含まれている余分なスペース従ってそれがつまずかせません Web スキャンかプロキシ 検出をあります。
前例の Udemy リンクはきれいではないようではなく、それは- 5.08 に記録された中立です。 メール航空日誌記入事項に示すように、このメッセージはエンドユーザに提供されることができます。
管理者はインジケータとして中立(-5.90 に 5.90)の広い範囲を奪取 したくない場合もあります。 中立範囲および可能性のある 偽陰性/false positive 操作を作成することの内で下るすべての URL に対してないトリガーに関して否定的な中立記録の方に、もっと傾くより小さい範囲のカスタム範囲を持っていることは適切かもしれません。
この例はこの受信コンテンツ フィルタの実装を用いるきれいな URL のためのスキャンを示したものです:
このフィルタによって、システムはきれいな評判(6.00 に 10.00)によって URL を単に捜し、メールに Log エントリをログオンします Webベース評判スコア(WBRS)を引き起こし、記録するために順序を追加します。 引き起こされるこの Log エントリはまたプロセスの特定を助けます。 メール ログからの例はここにあります:
Wed Nov 5 21:11:10 2014 Info: Start MID 182 ICID 602
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 From: <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:11:10 2014 Info: MID 182 Message-ID '<D08042EA.24BA4%bad_user@that.domain.net>'
Wed Nov 5 21:11:10 2014 Info: MID 182 Subject 'Starting at the start!'
Wed Nov 5 21:11:10 2014 Info: MID 182 ready 2798 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:11:11 2014 Info: MID 182 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:11:11 2014 Info: MID 182 antivirus negative
Wed Nov 5 21:11:11 2014 Info: MID 182 URL http:// www .yahoo.com has reputation 8.39 matched url-reputation-rule
Wed Nov 5 21:11:11 2014 Info: MID 182 Custom Log Entry: <===> CLEAN URL! <===>
Wed Nov 5 21:11:11 2014 Info: MID 182 Outbreak Filters: verdict negative
Wed Nov 5 21:11:11 2014 Info: MID 182 queued for delivery
Wed Nov 5 21:11:11 2014 Info: New SMTP DCID 23 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:11:11 2014 Info: Delivery start DCID 23 MID 182 to RID [0]
Wed Nov 5 21:11:11 2014 Info: Message done DCID 23 MID 182 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="182"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93839309"')]
Wed Nov 5 21:11:11 2014 Info: MID 182 RID [0] Response '2.0.0 Ok: queued as 7BAF5801C2'
Wed Nov 5 21:11:11 2014 Info: Message finished MID 182 done
Wed Nov 5 21:11:16 2014 Info: ICID 602 close
Wed Nov 5 21:11:16 2014 Info: DCID 23 close
注: 前例で組み込まれる URL に URL 本文に含まれている余分なスペース従ってそれがつまずかせません Web スキャンかプロキシ 検出をあります。
例に示すように、Yahoo.com はきれい考えられ、8.39 のスコアを、メール ログで注意されましたり、エンドユーザに渡されます与えられ。
「評判スコアが判別することができないときスコア」は URL のために与えられません。 これらは新しいドメインが含まれている、または URL かもしれませんトラフィックに少し見ないし、現在のスコアを持てない URL である。
管理者は自身の思慮分別でスコア無しで URL を処理したい場合もあります。 Phish 関連のメールおよび添付ファイルに見られた増加がある場合、関連付けられる URL スコアを検討して下さい。 管理者はクリック時間評価のための Cisco クラウド Web セキュリティ プロキシサービスにリダイレクトされるスコア URL を持ちたい場合もあります。
時々、URL はまだ分類されないかもしれませんかまたは miscategorized かもしれません。 miscategorized 分類されないが、あるはずである URL を、および URL を報告するために Cisco URL 分類要求 ページを参照して下さい。
また入れられた URL のステータスをチェックすることを望むかもしれません。 これをするため、このページの入れられた URL タブのステータスをクリックするため。
これは Webサイト評判およびカテゴリが評決を判別するために反スパムおよび発生フィルターが使用する多数の中のたった 2 つの基準であるので発生する場合があります。 これらのフィルターの機密性を高めるために、テキストと書き換えまたは URL を取り替えるか、または検疫するか、または通信筒のような処置を、とるために必要となるしきい値を下げて下さい。
また、URL 評判スコアに基づいてコンテンツかメッセージ フィルターを作成できます。