Cisco E メール セキュリティ用の URL フィルタリング な 設定および最良の方法
目次
概要
この資料に Cisco E メール セキュリティ アプライアンス(ESA)の URL フィルタリングおよび使用のための最良の方法を設定する方法を記述されています。
背景説明
悪意のあるか望ましくないリンクに対するコントロールおよび保護は作業待ち行列の反スパム、発生、コンテンツおよびメッセージ フィルター・プロセスに組み込まれます。 これらの制御:
- メッセージおよび添付ファイルの悪意のある URL から保護の効果を高めて下さい。
- URL フィルタリングは発生フィルタリングに組み込まれます。 これは増強された保護 エントリの時点で脅威をブロックするので組織に既に Webベース脅威からの Cisco Web セキュリティ アプライアンスか同じような保護があっていても役立ちます。
- またメッセージの URL の Webベース評判スコア(WBRS)に基づいて処置をとるのにコンテンツかメッセージ フィルターを使用できます。 たとえば、安全のクリック時間評価のための Cisco Web セキュリティ プロキシにそれらをリダイレクトするために中立か未知評判の URL を書き換えることができます。
- よりよくスパムを識別して下さい
- アプライアンスは、他のスパム識別 アルゴリズムと共に、メッセージでスパムの識別を助けるのにリンクの評判およびカテゴリを使用します。 たとえば、メッセージのリンクがマーケティング Webサイトに属すれば、メッセージはマーケティング メッセージである可能性が高いです。
- 団体受諾可能な使用ポリシーのサポート適用
- コンテンツおよびメッセージ フィルターと共に URL のカテゴリが(たとえば、大人コンテンツか非合法 活動)団体受諾可能な使用ポリシーを実施するのに使用することができます。
- ずっと最も頻繁にクリックされている最も頻繁に保護のために書き換えられた、またリンクがクリックしたメッセージの URL を組織のユーザを識別することを許可して下さい。
ESA の URL フィルタリングを設定するとき、また望ましい機能性に依存したその他の機能を設定して下さい。 URL フィルタリングの横で有効に なるいくつかの典型的な機能はここにあります:
- スパムに対する拡張保護に関しては、反スパム スキャン機能は適当なメール ポリシーに従ってグローバルに 有効に する必要があります。 これは Cisco IronPort 反スパム(IPAS)または Cisco インテリジェント な複数のスキャン(IMS)機能のどれである場合もあります。
- malware に対する拡張保護に関しては、発生フィルタまたはウイルス発生フィルタ(VOF)機能は適当なメール ポリシーに従ってグローバルに 有効に する必要があります。
- URL 評判に、メッセージおよびコンテンツ フィルターの使用の受諾可能な使用ポリシーを実施するために基づいて、操作に関しては VOF をグローバルに 有効に する。
URL フィルタリングの有効化
ESA の URL フィルタリングを実装するために、最初に機能を有効に して下さい。 URL フィルタリングは ESA 管理者によって GUI か CLI から有効に することができます。
GUI の使用の URL フィルタリングを、ナビゲート セキュリティ サービス > URL フィルタリング > イネーブルに有効に するため:
CLI から、コマンドを、websecurityconfig 実行して下さい:
myesa.local> websecurityconfig
Enable URL Filtering? [N]> y
myesa.local> outbreakconfig
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or
back down below), meaning that new messages of certain types could be quarantined
or will no longer be quarantined, respectively.
...
Logging of URLs is currently disabled.
Do you wish to enable logging of URL's? [N]> y
Logging of URLs has been enabled.
The Outbreak Filters feature is now globally enabled on the system. You must use the
'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable
Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
短くされた URL のための URL フィルタリング な サポートを有効に して下さい
短くされた URL のための URL フィルタリング サポートを有効に することは websecurityadvancedconfig を使用して CLI だけによって、されます:
myesa.local> websecurityadvancedconfig
...
Do you want to enable URL filtering for shortened URLs? [N]> Y
For shortened URL support to work, please ensure that ESA is able to connect to following domains:
bit.ly, tinyurl.com, ow.ly, tumblr.com, ff.im, youtu.be, tl.gd, plurk.com, url4.eu, j.mp, goo.gl, yfrog.com, fb.me, alturl.com, wp.me, chatter.com, tiny.cc, ur.ly
Cisco は URL フィルタリング 設定 最良の方法のために有効に なるこれがあることを推奨します。 有効に されて、メール ログは短くされた URL がメッセージの中で使用される反映します:
Mon Aug 27 14:56:49 2018 Info: MID 1810 having URL: http://bit.ly/2tztQUi has been expanded to https://www.wired.com/?p=2270330&drafts-for-friends=js-1036023628&post_type=non-editorial
URL フィルタリングがこの技術情報に記述されているように有効に なれば、メールから上述の例を、私達記録される bit.ly リンクをおよびまた記録されるに拡張するオリジナル リンクを参照する場合があります記録 します。
URL フィルタリング な操作を作成して下さい
単独で URL フィルタリングを有効に するとき、ライブおよび有効な URL が含まれているかもしれないメッセージに対して処置をとりません。
受信 および 送信 メッセージに含まれている URL は評価されます。 URL のためのどの有効なストリングでも、これらのコンポーネントが付いているストリングを含むために評価されます:
- HTTP、HTTPS、または WWW
- ドメインか IP アドレス
- コロンに先行されるポート番号(:)
- 大文字か小文字
メッセージはロード 管理のためのスパム、必要ならばであるかどうか判別するためにシステムが URL を評価するとき、送信メッセージ上の画面受信メッセージ優先順位をつけ。
メッセージ ボディおよびメッセージ添付ファイルで URL の評判かカテゴリに基づいてメッセージの操作を行うことができます。 URL か動作の修正以外操作を行いたいと思う場合 URL 評判または URL カテゴリ状態を追加し、操作を適用したいと思う URL カテゴリーか評判スコアを選択して下さい。
たとえば大人カテゴリに URL を含めるすべてのメッセージにドロップする(最終措置)操作を適用したいと思ったら、選択される大人カテゴリの型 URL カテゴリの状態を追加して下さい。
カテゴリを規定 しない場合、選択する操作はすべてのメッセージに適用されます。
URL 評判スコアはきれいのために、中立及び、悪意のある URL は編集可能あらかじめ定義され。 ただし、カスタム範囲を代りに規定できます。 規定 された エンドポイントは規定 する 範囲に含まれています。 たとえば -8 から -10 にカスタム範囲を作成すれば、そして -8 および -10 は範囲に含まれています。 評判スコアが判別することができない URL のために「スコア」を使用しないで下さい。
操作が適用すればメッセージに有効な URL がある場合すぐに URL をスキャンし、処置をとるために、ようにコンテンツ フィルタを作成できます。 GUI から、ポリシーを郵送するナビゲート > 着信 コンテンツ フィルタ > Add フィルタ。
悪意のある URL のためのコンテンツ フィルタ
この例はこの受信コンテンツ フィルタの実装を用いる悪意のある URL のためのスキャンを示したものです:
このフィルタによって、悪意のある評判(-10.00 に -6.00)によって URL のためのシステム スキャンはメール ログに、Log エントリを追加し、リンクを非クリック可能にするために牙を抜アクションを使用し URL フィルタリング な検疫にこれを置きます。 メール ログからの例はここにあります:
Wed Nov 5 21:27:18 2014 Info: Start MID 186 ICID 606
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 From: <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 ICID 606 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:27:18 2014 Info: MID 186 Message-ID '<COL128-W95DE5520A96FD9D69FAC2D9D840@phx.gbl>'
Wed Nov 5 21:27:18 2014 Info: MID 186 Subject 'URL Filter test malicious'
Wed Nov 5 21:27:18 2014 Info: MID 186 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:27:18 2014 Info: MID 186 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:27:18 2014 Info: ICID 606 close
Wed Nov 5 21:27:19 2014 Info: MID 186 interim verdict using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: MID 186 using engine: CASE spam positive
Wed Nov 5 21:27:19 2014 Info: ISQ: Tagging MID 186 for quarantine
Wed Nov 5 21:27:19 2014 Info: MID 186 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:27:19 2014 Info: MID 186 antivirus negative
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-rule
Wed Nov 5 21:27:19 2014 Info: MID 186 Custom Log Entry: <===> MALICIOUS URL! <===>
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 URL http:// peekquick .com /sdeu/cr.sedin/sdac/denc.php has reputation -6.77 matched url-reputation-defang-action
Wed Nov 5 21:27:19 2014 Info: MID 186 rewritten to MID 187 by url-reputation-defang-action filter '__MALICIOUS_URL__'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 186 done
Wed Nov 5 21:27:19 2014 Info: MID 187 Outbreak Filters: verdict positive
Wed Nov 5 21:27:19 2014 Info: MID 187 Threat Level=5 Category=Phish Type=Phish
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten URL u'http:// peekquick .com/sdeu/cr.sedin/sdac/denc.php-Robert'
Wed Nov 5 21:27:19 2014 Info: MID 187 rewritten to MID 188 by url-threat-protection filter 'Threat Protection'
Wed Nov 5 21:27:19 2014 Info: Message finished MID 187 done
Wed Nov 5 21:27:19 2014 Info: MID 188 Virus Threat Level=5
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "Outbreak" (Outbreak rule:Phish: Phish)
Wed Nov 5 21:27:19 2014 Info: MID 188 quarantined to "URL Filtering Quarantine" (content filter:__MALICIOUS_URL__)
Wed Nov 5 21:28:20 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: Generated URL scanner configuration
Wed Nov 5 21:28:21 2014 Info: SDS_CLIENT: URL scanner enabled=1
peekquick.com のためのこの URL は -6.77 で悪意のあり、記録されて。 エントリは操作のプロセスすべてを表示できるメール ログで作成されます。 URL フィルタは悪意のある URL を検出する、牙を抜き、検疫しました。 VOF はまたこれが関連 Phish だったことそれをルール セットに基づいて陽性詳細記録し。
VOF が有効に ならない場合、同じメッセージは処理されますが、スキャンおよび操作を駆動する URL スキャンは VOF の追加された機能なしでは機能されません。 ただし、この例でメッセージ ボディは Cisco 反スパム エンジン(ケース)によってスキャンされ、スパム肯定的として考えられます:
Wed Nov 5 21:40:49 2014 Info: Start MID 194 ICID 612
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 From: <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 ICID 612 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:40:49 2014 Info: MID 194 Message-ID '<COL128-W145FD8B772C824CEF33F859D840@phx.gbl>'
Wed Nov 5 21:40:49 2014 Info: MID 194 Subject 'URL Filter test malicious'
Wed Nov 5 21:40:49 2014 Info: MID 194 ready 2230 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:40:49 2014 Info: MID 194 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:40:50 2014 Info: ICID 612 close
Wed Nov 5 21:40:50 2014 Info: MID 194 interim verdict using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: MID 194 using engine: CASE spam positive
Wed Nov 5 21:40:50 2014 Info: ISQ: Tagging MID 194 for quarantine
Wed Nov 5 21:40:50 2014 Info: MID 194 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:40:50 2014 Info: MID 194 antivirus negative
Wed Nov 5 21:40:50 2014 Info: MID 194 queued for delivery
Wed Nov 5 21:40:52 2014 Info: RPC Delivery start RCID 20 MID 194 to local IronPort Spam Quarantine
Wed Nov 5 21:40:52 2014 Info: ISQ: Quarantined MID 194
Wed Nov 5 21:40:52 2014 Info: RPC Message done RCID 20 MID 194
Wed Nov 5 21:40:52 2014 Info: Message finished MID 194 done
単独でケースによるこの検出は常に発生しません。 単独でこの脅威を検出するためにケースおよび IPAS ルールは確かな送信側、ドメイン、またはメッセージの内容に対してその一致が含まれているかもしれた時があります。
中立 URL のためのコンテンツ フィルタ
中立 URL 評判は不正侵入に傾向があるので URL が現在きれいであるが意味しましたり、ことを悪意のある将来回るかもしれません。 そのような URL の場合、管理者はたとえばクリック時間評価のための Cisco Web セキュリティ プロキシにそれらをリダイレクトするノンブロッキング ポリシーを、作成できます。
この例はこの受信コンテンツ フィルタの実装を用いる中立 URL のためのスキャンを示したものです:
このフィルタによって、システムは中立評判(-5.90 に 5.90)によって URL を捜し、メール ログに Log エントリを追加します。 この例は「付加するために修正されたサブジェクトを[中立 URL!]」示したものです。 メール ログからの例はここにあります:
Wed Nov 5 21:22:23 2014 Info: Start MID 185 ICID 605
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 From: <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 ICID 605 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:22:23 2014 Info: MID 185 Message-ID '<D0804586.24BAE%bad_user@that.domain.net>'
Wed Nov 5 21:22:23 2014 Info: MID 185 Subject 'Middle of the road?'
Wed Nov 5 21:22:23 2014 Info: MID 185 ready 4598 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:22:23 2014 Info: MID 185 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:22:24 2014 Info: MID 185 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:22:24 2014 Info: MID 185 antivirus negative
Wed Nov 5 21:22:24 2014 Info: MID 185 URL https:// www. udemy.com/official-udemy-instructor-course/?refcode=slfgiacoitvbfgl7tawqoxwqrdqcerbhub1flhsmfilcfku1te5xofictyrmwfcfxcvfgdkobgbcjv4bxcqbfmzcrymamwauxcuydtksayhpovebpvmdllxgxsu5vx8wzkjhiwazhg5m&utm_campaign=email&utm_source=sendgrid.com&utm_medium=email has reputation -5.08 matched url-reputation-rule
Wed Nov 5 21:22:24 2014 Info: MID 185 Custom Log Entry: <===> NEUTRAL URL! <===>
Wed Nov 5 21:22:24 2014 Info: MID 185 Outbreak Filters: verdict negative
Wed Nov 5 21:22:24 2014 Info: MID 185 queued for delivery
Wed Nov 5 21:22:24 2014 Info: New SMTP DCID 26 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:22:24 2014 Info: Delivery start DCID 26 MID 185 to RID [0]
Wed Nov 5 21:22:24 2014 Info: Message done DCID 26 MID 185 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="185"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93843786"')]
Wed Nov 5 21:22:24 2014 Info: MID 185 RID [0] Response '2.0.0 Ok: queued as 0F8F9801C2'
Wed Nov 5 21:22:24 2014 Info: Message finished MID 185 done
前例の Udemy リンクはきれいではないようではなく、それは- 5.08 に記録された中立です。 メール航空日誌記入事項に示すように、このメッセージはエンドユーザに提供されることができます。
管理者はインジケータとして中立(-5.90 に 5.90)の広い範囲を奪取 したくない場合もあります。 中立範囲および可能性のある 偽陰性/false positive 操作を作成することの内で下るすべての URL に対してないトリガーに関して否定的な中立記録の方に、もっと傾くより小さい範囲のカスタム範囲を持っていることは適切かもしれません。
きれいな URL のためのコンテンツ フィルタ
この例はこの受信コンテンツ フィルタの実装を用いるきれいな URL のためのスキャンを示したものです:
このフィルタによって、システムはきれいな評判(6.00 に 10.00)によって URL を単に捜し、メールに Log エントリをログオンします Webベース評判スコア(WBRS)を引き起こし、記録するために順序を追加します。 引き起こされるこの Log エントリはまたプロセスの特定を助けます。 メール ログからの例はここにあります:
Wed Nov 5 21:11:10 2014 Info: Start MID 182 ICID 602
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 From: <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 ICID 602 RID 0 To: <joe.user@goodmailguys.com>
Wed Nov 5 21:11:10 2014 Info: MID 182 Message-ID '<D08042EA.24BA4%bad_user@that.domain.net>'
Wed Nov 5 21:11:10 2014 Info: MID 182 Subject 'Starting at the start!'
Wed Nov 5 21:11:10 2014 Info: MID 182 ready 2798 bytes from <bad_user@that.domain.net>
Wed Nov 5 21:11:10 2014 Info: MID 182 matched all recipients for per-recipient policy DEFAULT in the inbound table
Wed Nov 5 21:11:11 2014 Info: MID 182 interim AV verdict using Sophos CLEAN
Wed Nov 5 21:11:11 2014 Info: MID 182 antivirus negative
Wed Nov 5 21:11:11 2014 Info: MID 182 URL http:// www .yahoo.com has reputation 8.39 matched url-reputation-rule
Wed Nov 5 21:11:11 2014 Info: MID 182 Custom Log Entry: <===> CLEAN URL! <===>
Wed Nov 5 21:11:11 2014 Info: MID 182 Outbreak Filters: verdict negative
Wed Nov 5 21:11:11 2014 Info: MID 182 queued for delivery
Wed Nov 5 21:11:11 2014 Info: New SMTP DCID 23 interface 192.168.0.199 address 192.168.0.200 port 25
Wed Nov 5 21:11:11 2014 Info: Delivery start DCID 23 MID 182 to RID [0]
Wed Nov 5 21:11:11 2014 Info: Message done DCID 23 MID 182 to RID [0] [('X-IronPort-AV', 'E=Sophos;i="5.07,323,1413259200"; \r\n d="scan\'208,217";a="182"'), ('x-ironport-av', 'E=Sophos;i="5.07,323,1413244800"; \r\n d="scan\'208,217";a="93839309"')]
Wed Nov 5 21:11:11 2014 Info: MID 182 RID [0] Response '2.0.0 Ok: queued as 7BAF5801C2'
Wed Nov 5 21:11:11 2014 Info: Message finished MID 182 done
Wed Nov 5 21:11:16 2014 Info: ICID 602 close
Wed Nov 5 21:11:16 2014 Info: DCID 23 close
例に示すように、Yahoo.com はきれい考えられ、8.39 のスコアを、メール ログで注意されましたり、エンドユーザに渡されます与えられ。
「スコア無し」との URL のためのコンテンツ フィルタ
「評判スコアが判別することができないときスコア」は URL のために与えられません。 これらは新しいドメインが含まれている、または URL かもしれませんトラフィックに少し見ないし、現在のスコアを持てない URL である。
管理者は自身の思慮分別でスコア無しで URL を処理したい場合もあります。 Phish 関連のメールおよび添付ファイルに見られた増加がある場合、関連付けられる URL スコアを検討して下さい。 管理者はクリック時間評価のための Cisco クラウド Web セキュリティ プロキシサービスにリダイレクトされるスコア URL を持ちたい場合もあります。
未分類のおよび誤って分類された URL を報告して下さい
時々、URL はまだ分類されないかもしれませんかまたは miscategorized かもしれません。 miscategorized 分類されないが、あるはずである URL を、および URL を報告するために Cisco URL 分類要求 ページを参照して下さい。
また入れられた URL のステータスをチェックすることを望むかもしれません。 これをするため、このページの入れられた URL タブのステータスをクリックするため。
悪意のある URL およびマーケティング メッセージは反スパムまたは発生フィルタによってつかまえられません
これは Webサイト評判およびカテゴリが評決を判別するために反スパムおよび発生フィルターが使用する多数の中のたった 2 つの基準であるので発生する場合があります。 これらのフィルターの機密性を高めるために、テキストと書き換えまたは URL を取り替えるか、または検疫するか、または通信筒のような処置を、とるために必要となるしきい値を下げて下さい。
また、URL 評判スコアに基づいてコンテンツかメッセージ フィルターを作成できます。
フィードバック