ESA のファイル 分析アップロードの検証

ダウンロード オプション

  • PDF     (281.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (146.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (134.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2019 年 8 月 14 日
Document ID:118796

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    この資料に AMP 関連するログファイルが提供する何を Cisco E メール セキュリティ アプライアンス(ESA)の Advanced Malware Protection (AMP)によって処理されるファイルがファイル 分析のために送信 される、およびまたかどうか判別する方法を記述されています。

    添付ファイルがファイル 分析のためにアップロードされたかどうか確認して下さい

    ファイルによって分析は、更なる分析のためのファイル 分析にファイル評判によって送信 されるかもしれないスキャンされる添付ファイル有効に なります。 これはゼロ日のおよび目標とされた脅威に対して保護の最高レベルを提供します。 ファイル 分析はファイル評判フィルタリングが有効に なるときだけ利用できます。

    Cloud に送信 されるかもしれないファイルの種類を制限するためにファイルタイプ オプションを使用して下さい。 送信 される特定のファイルはファイル 分析 サービス Cloud からの要求に常に基づいています、追加分析が必要であるそれらのファイルを目標とする。 特定のファイル型のためのファイル 分析はファイル 分析 サービス Cloud がキャパシティに達する一時的に無効に なるかもしれません。

    : 最新およびその他の情報に関しては Cisco コンテンツ セキュリティ製品 Ciscoドキュメントの Advanced Malware Protection サービスのためのファイル 基準を参照して下さい。

    :  ファイル 分析 ファイルタイプが AsyncOS のバージョンに基づいて変わるかもしれないので、アプライアンスで動作する AsyncOS の特定の修正のためのリリース ノートおよびユーザガイドを検討して下さい。

    ファイル 分析のために送信 することができるファイルタイプ:

    • どんなについてのファイルが評判および分析 サービスによってサポートされるか詳細は登録済みの Cisco カスタマにだけ利用できます。 ファイルが評価され、分析される情報に関しては、から利用可能 な Cisco コンテンツ セキュリティ製品の Advanced Malware Protection サービスについてはファイル 基準を参照して下さい
      http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-user-guide-list.html。  ファイルの評判を評価すると分析のためのファイルを送信 するための基準はいつでも変更するかもしれません。
    • 次のファイルタイプは分析のために現在 送信 することができます:
      • (すべてのリリース ファイル 分析をサポートする) Windows 実行、たとえば .exe、.dll、.sys および .scr ファイル。
      • Adobe Portable document format (PDF)、Microsoft Office 2007+ (開いた XML)、Microsoft Office 97-2004 (OLE)、Microsoft Windows/DOS 実行可能モジュール、他の可能性としては悪意のあるファイルタイプ。
      • Settings ページ反Malware のアップ ロードにおよび評判(Web セキュリティのために)または Settings ページ ファイル評判および分析選択したファイルタイプ(E メール セキュリティのために。) 最初のサポートは PDF および Microsoft Office ファイルが含まれています。
      • 他の可能性としては悪意のあるファイルタイプ オプションを選択する場合(E メール セキュリティ用の AsyncOS 9.7.1 の始まり)、次の拡張機能が付いている Microsoft Office ファイルは XML または MHTML 形式で保存しました: ade、adp、adn、accdb、accdr、accdt、accda、mdb、cdb、mda、MDN、mdt、mdw、mdf、mde、accde、mam、maq、3 月、マット、maf、ldb、laccdb、ドキュメント、ドット、docx、docm、dotx、dotm、docb、xls、xlt、xlm、xlsx、xlsm、xltx、xltm、xlsb、xla、xlam、xll、xlw、ppt、pot、pps、pptx、pptm、potx、potm、ppam、ppsx、ppsm、sldx、sldm、mht、mhtm、mhtml および XML。
    • アップロードのためのファイルサイズ 基準は現在の脅威傾向に基づいてファイル 分析サービスによって動的に確立されいつでも変更できます。 変更基準は自動的に実施されます; 何でもする必要はありません。

    : ファイル 分析サービスのロードがキャパシティを超過する場合、いくつかのファイルはファイルタイプが分析に選択され、もファイルが他では分析のために適格である分析されないかもしれません。 サービスが一時的に特定の種類のファイルを処理することができないときアラートを受け取ります。

    注記の強調表示:

    • ファイルがあらゆる出典から最近アップロードされる場合、ファイルは再度アップロードされません。 このファイルのファイル 分析結果に関しては、ページを報告するファイル 分析からの SHA-256 のための検索。
    • アプライアンスはファイルをアップロードすることを一度試みます; アップロードが正常ではない場合、たとえば接続に関する問題が理由で、ファイルはアップロードされないかもしれません。 ファイル 分析 サーバが過剰になったので失敗があったら、アップロードはもう一度試みられます。

    ファイル 分析のための設定 AMP

    デフォルトで ESA が最初に起動され、まだ Cisco アップデータへの接続を確立するために持っている場合、リストされている唯一のファイル 分析 ファイルタイプは「Microsoft Windows/DOS 実行可能モジュール」ファイルです。  サービス アップデートが追加ファイルタイプを設定することができる前に完了するように必要があります。  これは「fireamp.json として」見られた updater_logs ログファイルに反映されます:

    Sun Jul 9 13:52:28 2017 Info: amp beginning download of remote file "http://updates.ironport.com/amp/1.0.11/fireamp.json/default/100116"
    Sun Jul 9 13:52:28 2017 Info: amp successfully downloaded file "amp/1.0.11/fireamp.json/default/100116"
    Sun Jul 9 13:52:28 2017 Info: amp applying file "amp/1.0.11/fireamp.json/default/100116"

    ファイル 分析をセキュリティ サービス > ファイル評判および分析 > Edit グローバルな設定に GUI、ナビゲートによって設定するため

    ファイル 分析のための AMP を CLI によって設定するために、応答ウィザードを通して ampconfig > setup コマンドおよび移動を入力して下さい。 この質問が表示されるとき『Y』 を選択 して下さい: ファイル 分析に対するファイルタイプを修正したいと思いますか。

    myesa.local> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    File types selected for File Analysis:
     Adobe Portable Document Format (PDF)
     Microsoft Office 2007+ (Open XML)
     Microsoft Office 97-2004 (OLE)
     Microsoft Windows / DOS Executable
     Other potentially malicious file types
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - CLEARCACHE - Clears the local File Reputation cache.
    []> setup

    File Reputation: Enabled
    Would you like to use File Reputation? [Y]> 

    Would you like to use File Analysis? [Y]> 

    File types supported for File Analysis:

    1. Archived and compressed [selected]
    2. Configuration [selected]
    3. Database [selected]
    4. Document [selected]
    5. Email [selected]
    6. Encoded and Encrypted [selected]
    7. Executables [partly selected]
    8. Microsoft Documents [selected]
    9. Miscellaneous [selected]

    Do you want to modify the file types selected for File Analysis? [N]> y

    Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select all "currently" supported File Types.
    [1,2,3,4,5]> ALL

    Specify AMP processing timeout (in seconds)
    [120]> 

    Advanced-Malware protection is now enabled on the system.
    Please note: you must issue the 'policyconfig' command (CLI) or Mail
    Policies (GUI) to configure advanced malware scanning behavior for
    default and custom Incoming Mail Policies.
    This is recommended for your DEFAULT policy.

    この設定に基づいて、有効に なる ファイルタイプは適当ようにファイル 分析に応じて、あります。  

    ファイル 分析のための確認 AMP ログ

    添付ファイルが ESA のファイル評判かファイル 分析によってスキャンされるとき、AMP ログに記録されます。 AMP すべてのアクションのためのこのログを見るために、tail amp を ESA の CLI から実行するか、またはどちらかのための応答ウィザードを通して tail または grep コマンドを移動して下さい。 grep コマンドは AMP ログで捜すことを望む他の詳細か特定のファイルを知っている場合役立ちます。

    次に例を示します。

    mylocal.esa >  tail amp

    Press Ctrl-C to stop.
    Tue Aug 13 17:28:47 2019 Info: Compressed/Archive File: sha256 = deace8ba729ad32313131321311232av2316623cfe9ac MID = 1683600, Extracted File: File Name = '[redacted].pdf', File Type = 'application/pdf', sha256 = deace8ba729ad32313131321311232av2316623cfe9ac, Disposition = LOWRISK, Response received from = Cloud, Malware = None, Analysis Score = 0, upload_action = Recommended to send the file for analysis
    Thu Aug 15 13:49:14 2019 Debug: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Thu Aug 15 13:49:14 2019 Debug: Response received for file reputation query from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis

    : AsyncOS のより古いバージョンは AMP ログの「amp_watchdog.txt」を表示する。  10 分毎にログの表示するこれは OS ファイルです。 このファイルは AMP のためのキープアライブの一部で、安全に無視されるかもしれません。  このファイルは AsyncOS 10.0.1 の隠された開始およびより新しいです。

    : ファイル 分析 動作へのアップロードのために定義される AsyncOS のより古いバージョンは upload_action タグを持っています 3 つの値を記録 します。

    より古い AsyncOS のアップロード操作のための 3 つの応答:

    • 「upload_action = 0": ファイルは評判サービスに知られています; 分析のために送信 しない で下さい。
    • 「upload_action = 1": 送信
    • 「upload_action = 2": ファイルは評判サービスに知られています; 分析のために送信 しない で下さい

    のおよび前のアップ ロード アクション AsyncOS バージョン 12.x のための 2 つの応答:

    • 「upload_action = 分析のためのファイルを」送信 することを推奨される
    • デバッグはただ記録 します: 「upload_action = 分析のためのファイルを」は送信 しないことを推奨しました

    この応答はファイルが分析のために送信 されるかどうか定めます。 再度、それは設定されたファイルタイプの条件を正常に入るために満たす必要があります。

    アップロード処理タグの説明

    "upload_action = 0": The file is known to the reputation service; do not send for analysis.

    "0," のためにこれはファイルが「アップロードのために」送信 されるために必要とされないことを意味します。 または、それを検知 するよりよい方法はファイル 分析にアップロードのために、ファイル必要であれば送信 することができますあります。  ただし、ファイルがそれから必要とならなければファイルは送信 されません。

    "upload_action = 2": The file is known to the reputation service; do not send for analysis

    これによってが厳密「である "2," のために」アップロードのためのファイルを送信 しない で下さい。  この操作は最終的、決定的であり、ファイル 分析処理は実行されます。

    シナリオ例

    このセクションはファイルが分析のためにきちんとアップロードされるか、または特定の原因がアップロードされなかった原因ではない可能なシナリオを解説しています。

    分析のためにアップロードされるファイル

    より古い AsyncOS:

    条件を満たし、upload_action= 1.タグ付けされるこの例は DOCX ファイルを表示したものです 次の行では、分析 Secure Hash Algorithm(SHA)のためにアップロードされるファイルは AMP ログに同様に記録されます。

    Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name = 'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type = application/msword
    Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud. File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
    Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

    AsyncOS 12.x および前に:

    条件を満たし、upload_action= 分析のためのファイルを送信 することを推奨されてタグ付けされるこの例は PPTX ファイルを表示したものです。 次の行では、分析 Secure Hash Algorithm(SHA)のためにアップロードされるファイルは AMP ログに同様に記録されます。

    Thu Aug 15 09:42:19 2019 Info: Response received for file reputation query from Cloud. File Name = 'ESA_AMP.pptx', MID = 1763042, Disposition = UNSCANNABLE, Malware = None, Analysis Score = 0, sha256 = 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, upload_action = Recommended to send the file for analysis
    Thu Aug 15 10:05:35 2019 Info: File uploaded for analysis. SHA256: 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, file name: ESA_AMP.pptx

    ファイルが既に知られているので分析のためにアップロードされないファイル

    より古い AsyncOS:

    upload_action の AMP によって = ファイル評判ログに追加 される 2 スキャンされるこの例は PDFファイルを示したものです。 Cloud にこのファイルがまだ知られ、分析のためにアップロードされるために必要となっていません従って再度アップロードされません。

    Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name = 'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
    Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache. File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd3d2ffd0bf5f96989bb002, upload_action = 2

    AsyncOS 12.x および前に:

    この例はアンペアの amp_watchdog.txt ファイルが upload_action と一致するデバッグ レベルを = ファイル評判ログに追加 される 分析のためのファイルを送信 しないことを推奨されてログオンすることを示します。 Cloud にこのファイルがまだ知られ、分析のためにアップロードされるために必要となっていません従って再度アップロードされません。

    Mon Jul 15 17:41:53 2019 Debug: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis

    メール ヘッダによるロギング ファイル 分析アップロード

    コマンド logconfig を使用してオプションの CLI から、ESA によって処理されるメールのヘッダをリストし、記録 するために、logheaders のサブ オプションは選択することができます。  を使用するファイルがアップロードされるか、またはファイル 分析のためにアップロードされなくて ESA のメール ログに記録される、ヘッダを「X AMP ファイル アップロードしました」。

    メールを検知 して 分析のためにアップロードされるファイルのために記録 しましたり、起因します:

    Mon Sep 5 13:30:03 2016 Info: Message done DCID 0 MID 7659 to RID [0] [('X-Amp-File-Uploaded', 'True')]

    メールを検知 して 分析のためにアップロードされないファイルのために記録 しましたり、起因します:

    Mon Sep 5 13:31:13 2016 Info: Message done DCID 0 MID 7660 to RID [0] [('X-Amp-File-Uploaded', 'False')]

    関連情報

    TAC Authored

    シスコ エンジニア提供

    • Robert Sherwin
      Cisco TAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています