ESA URL フィルタリング有効化とベスト プラクティス
目次
概要
この資料に Cisco E メール セキュリティ アプライアンス(ESA)の URLフィルタリングおよび使用における最良 の 方法を有効に する方法を記述されています。
背景説明
ESA の URLフィルタリングを有効に するとき、また望ましい機能性にその他の機能を、依存有効に して下さい。 URLフィルタリングの横で有効に なるいくつかの典型的な機能はここにあります:
- スパムに対する拡張保護に関しては、反スパム スキャン機能は適当なメール ポリシーに従ってグローバルに 有効に する必要があります。 これは Cisco IronPort 反スパム(IPAS)または Cisco インテリジェント な複数のスキャン(IMS)機能のどれである場合もあります。
- malware に対する拡張保護に関しては、発生フィルタまたはウイルス発生フィルタ(VOF)機能は適当なメール ポリシーに従ってグローバルに 有効に する必要があります。
- URL 評判に、メッセージおよびコンテンツ フィルターの使用の受諾可能な使用ポリシーを実施するために基づいて、操作に関しては VOF をグローバルに 有効に する。
URL フィルタリングの有効化
ESA の URLフィルタリングを実装するために、最初に機能を有効に して下さい。 この機能を有効に するために使用できる 2 つの異った方法があります: GUI または CLI の使用を使って。
GUI の使用の URLフィルタリングを、ナビゲート セキュリティ サービス > URLフィルタリング > イネーブルに有効に するため:
CLI の使用の URLフィルタリングを有効に するために、websecurityconfig コマンドを入力して下さい:
myesa.local> websecurityconfig
Enable URL Filtering? [N]> y
また VOF 内からの URL ロギングを有効に する必要があることに注意することは重要です。 これはここに示されているように有効に する必要がある CLI だけ機能です:
myesa.local> outbreakconfig
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or
back down below), meaning that new messages of certain types could be quarantined
or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [N]>
What is the largest size message Outbreak Filters should scan?
[2097152]>
Do you want to use adaptive rules to compute the threat level of messages? [Y]>
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
The Outbreak Filters feature is now globally enabled on the system. You must use the
'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable
Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
URL フィルタリング な操作を作成して下さい
単独で URLフィルタリングを有効に するとき、ライブおよび有効な URL が含まれているかもしれないメッセージに対して処置をとりません。
受信 および 送信 メッセージに含まれている URL は(添付ファイルの除外と)評価されます。 URL のためのどの有効 な ストリングでも、これらのコンポーネントが付いているストリングを含むために評価されます:
- HTTP、HTTPS、または WWW
- ドメインか IP アドレス
- コロンに先行されるポート番号(:)
- 大文字か小文字
メッセージはロード 管理のためのスパム、必要ならばであるかどうか判別するためにシステムが URL を評価するとき、送信メッセージ上の画面受信メッセージ優先順位をつけ。
操作が適用すればメッセージに有効な URL がある場合すぐに URL をスキャンし、処置をとるために、ようにコンテンツ フィルタを作成できます。 GUI から、ポリシーを郵送するナビゲート > 着信 コンテンツ フィルタ > Add フィルタ。
きれいな URL のためのコンテンツ フィルタ
この例はこの受信コンテンツ フィルタの実装を用いるきれいな URL のためのスキャンを示したものです:
このフィルタによって、システムはきれいな評判によって URL を捜します(WEB ベース評判スコア(WBRS を引き起こし、記録するために 10.00)への 6.00 はおよびメールに Log エントリをログオンします順序を単に追加します)。 引き起こされるこの Log エントリはまたプロセスの特定を助けます。 メール ログからの例はここにあります:
Wed Nov 5 21:11:10 2014 Info: Start MID 182 ICID 602
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 From: <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:11:10 2014 Info: MID 182 Message-ID
'<D08042EA.24BA4%bad_user@that.domain.net>'
Wed Nov 5 21:11:10 2014 Info: MID 182 Subject 'Starting at the start!'
Wed Nov 5 21:11:10 2014 Info: MID 182 ready 2798 bytes from
<bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 matched all recipients for per-recipient policy
DEFAULT in the inbound table
Wed Nov 5 21:11:11 2014 Info: MID 182 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:11:11 2014 Info: MID 182 antivirus negative
Wed Nov 5 21:11:11 2014 Info: MID 182 URL http:// www .yahoo.com has reputation 8.39
matched url-reputation-rule
Wed Nov 5 21:11:11 2014 Info: MID 182 Custom Log Entry: <===> CLEAN URL! <===>
Wed Nov 5 21:11:11 2014 Info: MID 182 Outbreak Filters: verdict negative
Wed Nov 5 21:11:11 2014 Info: MID 182 queued for delivery
Wed Nov 5 21:11:11 2014 Info: New SMTP DCID 23 interface 192.168.0.199 address
192.168.0.200 port 25
Wed Nov 5 21:11:11 2014 Info: Delivery start DCID 23 MID 182 to RID [0]
Wed Nov 5 21:11:11 2014 Info: Message done DCID 23 MID 182 to RID [0] [('X-IronPort-AV',
'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="182"'), ('x-ironport-av',
'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93839309"')]
Wed Nov 5 21:11:11 2014 Info: MID 182 RID [0] Response '2.0.0 Ok: queued as 7BAF5801C2'
Wed Nov 5 21:11:11 2014 Info: Message finished MID 182 done
Wed Nov 5 21:11:16 2014 Info: ICID 602 close
Wed Nov 5 21:11:16 2014 Info: DCID 23 close
例に示すように、Yahoo.com はきれい考えられ、8.39 のスコアを、メール ログで注意されましたり、エンドユーザに渡されます与えられ。
中立か疑わしい URL のためのコンテンツ フィルタ
この例はこの受信コンテンツ フィルタの実装を用いる中立/容疑者 URL のためのスキャンを示したものです:
このフィルタによって、システムはニュートラル、または容疑者で URL を、評判捜します(-3.1)への -5.90 はメール ログにおよび Log エントリを追加します。 この例は「付加するために修正されたサブジェクトを[疑わしい URL!]」示したものです。 メール ログからの例はここにあります:
Wed Nov 5 21:22:23 2014 Info: Start MID 185 ICID 605
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 From: <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:22:23 2014 Info: MID 185 Message-ID
'<D0804586.24BAE%bad_user@that.domain.net>'
Wed Nov 5 21:22:23 2014 Info: MID 185 Subject 'Middle of the road?'
Wed Nov 5 21:22:23 2014 Info: MID 185 ready 4598 bytes from
<bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Nov 5 21:22:24 2014 Info: MID 185 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:22:24 2014 Info: MID 185 antivirus negative
Wed Nov 5 21:22:24 2014 Info: MID 185 URL https:// www.udemy.com/official-udemy-
instructor-course/?refcode=slfgiacoitvbfgl7tawqoxwqrdqcerbhub1flhsmfilcfku1te5x
ofictyrmwfcfxcvfgdkobgbcjv4bxcqbfmzcrymamwauxcuydtksayhpovebpvmdllxgxsu5vx8wzkj
hiwazhg5m&utm_campaign=email&utm_source=sendgrid.com&utm_medium=email has
reputation -5.08 matched url-reputation-rule
Wed Nov 5 21:22:24 2014 Info: MID 185 Custom Log Entry: <===> SUSPECT URL! <===>
Wed Nov 5 21:22:24 2014 Info: MID 185 Outbreak Filters: verdict negative
Wed Nov 5 21:22:24 2014 Info: MID 185 queued for delivery
Wed Nov 5 21:22:24 2014 Info: New SMTP DCID 26 interface 192.168.0.199 address
192.168.0.200 port 25
Wed Nov 5 21:22:24 2014 Info: Delivery start DCID 26 MID 185 to RID [0]
Wed Nov 5 21:22:24 2014 Info: Message done DCID 26 MID 185 to RID [0]
[('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="185"'),
('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\
'208,217";a="93843786"')]
Wed Nov 5 21:22:24 2014 Info: MID 185 RID [0] Response '2.0.0 Ok: queued as 0F8F9801C2'
Wed Nov 5 21:22:24 2014 Info: Message finished MID 185 done
前例の Udemy リンクはきれいではないようではなく、それは- 5.08 に記録された容疑者です。 メール航空日誌記入事項に示すように、このメッセージはエンドユーザに提供されることができます。
悪意のある URL のためのコンテンツ フィルタ
この例はこの受信コンテンツ フィルタの実装を用いる悪意のある URL のためのスキャンを示したものです:
このフィルタによって、システムは悪意のある評判によって URL のためにスキャンします(-6.00)への -10.00 はメール ログに、Log エントリを追加し、リンクを unclickable 作るために牙を抜アクションを使用し URL フィルタリング な検疫にこれを置きます。 メール ログからの例はここにあります:
Wed Nov 5 21:27:18 2014 Info: Start MID 186 ICID 606
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 From: <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:27:18 2014 Info: MID 186 Message-ID
'<COL128-W95DE5520A96FD9D69FAC2D9D840@phx.gbl>'
Wed Nov 5 21:27:18 2014 Info: MID 186 Subject 'URL Filter test malicious'
Wed Nov 5 21:27:18 2014 Info: MID 186 ready 2230 bytes from
<bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Nov 5 21:27:18 2014 Info: ICID 606 close
Wed Nov 5 21:27:19 2014 Info: MID 186 interim verdict using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: MID 186 using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: ISQ: Tagging MID 186 for quarantine
Wed Nov 5 21:27:19 2014 Info: MID 186 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:27:19 2014 Info: MID 186 antivirus negative
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/
denc.php has reputation -6.77 matched url-reputation-rule
Wed Nov 5 21:27:19 2014 Info: MID 186 Custom Log Entry: <===> MALICIOUS URL! <===>
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com/sdeu/cr.sedin/sdac/
denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/
denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 rewritten to MID 187 by
url-reputation-defang-action filter '__MALICIOUS_URL__'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 186 done
Wed Nov 5 21:27:19 2014 Info: MID 187 Outbreak Filters: verdict positive
Wed Nov 5 21:27:19 2014 Info: MID 187 Threat Level=5 Category=Phish Type=Phish
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten URL u'http:// peekquick .com
/sdeu/cr.sedin/sdac/denc.php-Robert'
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten to MID 188 by url-threat-protection
filter 'Threat Protection'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 187 done
Wed Nov 5 21:27:19 2014 Info: MID 188 Virus Threat Level=5
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "Outbreak"
(Outbreak rule:Phish: Phish)
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "URL Filtering Quarantine"
(content filter:__MALICIOUS_URL__)
Wed Nov 5 21:28:20 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
peekquick.com のためのこの URL は -6.77 で悪意のあり、記録されて。 エントリは操作のプロセスすべてを表示できるメール ログで作成されます。 URL フィルタは悪意のある URL を検出する、牙を抜き、検疫しました。 VOF はまたこれが関連 Phish だったことそれをルール セットに基づいて陽性詳細記録し。
VOF が有効に ならない場合、同じメッセージは処理されますが、スキャンおよび操作を駆動する URL スキャンは VOF の追加された機能なしでは機能されません。 ただし、この例でメッセージ ボディは Cisco 反スパム エンジン(ケース)によってスキャンされ、スパム肯定的として考えられます:
Wed Nov 5 21:40:49 2014 Info: Start MID 194 ICID 612
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 From: <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:40:49 2014 Info: MID 194 Message-ID
'<COL128-W145FD8B772C824CEF33F859D840@phx.gbl>'
Wed Nov 5 21:40:49 2014 Info: MID 194 Subject 'URL Filter test malicious'
Wed Nov 5 21:40:49 2014 Info: MID 194 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 matched all recipients for per-recipient policy
DEFAULT in the inbound table
Wed Nov 5 21:40:50 2014 Info: ICID 612 close
Wed Nov 5 21:40:50 2014 Info: MID 194 interim verdict using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: MID 194 using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: ISQ: Tagging MID 194 for quarantine
Wed Nov 5 21:40:50 2014 Info: MID 194 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:40:50 2014 Info: MID 194 antivirus negative
Wed Nov 5 21:40:50 2014 Info: MID 194 queued for delivery
Wed Nov 5 21:40:52 2014 Info: RPC Delivery start RCID 20 MID 194 to local IronPort
Spam Quarantine
Wed Nov 5 21:40:52 2014 Info: ISQ: Quarantined MID 194
Wed Nov 5 21:40:52 2014 Info: RPC Message done RCID 20 MID 194
Wed Nov 5 21:40:52 2014 Info: Message finished MID 194 done
単独でケースによるこの検出は常に発生しません。 単独でこの脅威を検出するためにケースおよび IPAS ルールは確かな送信側、ドメイン、またはメッセージ の 内容に対してその一致が含まれているかもしれた時があります。
未分類のおよび誤って分類された URL を報告して下さい
時々、URL はまだ分類されないかもしれませんかまたは miscategorized かもしれません。 miscategorized 分類されないが、あるはずである URL を、および URL を報告するために Cisco URL 分類要求 ページを参照して下さい。
また入れられた URL のステータスをチェックすることを望むかもしれません。 これをするため、このページの入れられた URL タブのステータスをクリックするため。
悪意のある URL およびマーケティング メッセージは反スパムまたは発生フィルタによってつかまえられません
これは Webサイト評判およびカテゴリが評決を判別するために反スパムおよび発生フィルターが使用する多数の中のたった 2 つの基準であるので発生する場合があります。 これらのフィルターの機密性を高めるために、テキストと書き換えまたは URL を取り替えるか、または検疫するか、または通信筒のような処置を、とるために必要となるしきい値を下げて下さい。
また、URL 評判スコアに基づいてコンテンツかメッセージ フィルターを作成できます。
フィードバック