アウトブレイクフィルタURL書き換えのテスト

ダウンロード オプション

  • PDF     (341.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (243.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (270.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 11 月 19 日
Document ID:213465

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、URL書き換えのアウトブレイクフィルタ(OF)メッセージ変更オプションをテストする方法について説明します。 

背景説明

メッセージの脅威レベルがメッセージの変更しきい値を超えると、アウトブレイクフィルタ機能によってメッセージ内のすべてのURLが書き換えられ、Cisco Webセキュリティプロキシスプラッシュページをクリックするとユーザがリダイレクトされます。  AsyncOSは、バイパスされたドメインを指しているURLを除き、メッセージ内のすべてのURLを書き換えます。

URLの書き換えには、次のオプションを使用できます。

  • 符号なしメッセージに対してのみ有効にします。このオプションを使用すると、AsyncOSは、メッセージ変更のしきい値を満たす、または超える符号なしメッセージ内のURLを書き換えることができますが、署名されたメッセージは書き換えられません。URLの書き換えには、この設定を使用することを推奨します。

    注:EメールセキュリティアプライアンスがDomainKeys/DKIM署名メッセージのURLを書き換え、Eメールセキュリティアプライアンス以外のネットワーク上のサーバまたはアプライアンスがDomainKeys/DKIM署名の確認を行っている場合、メッセージ署名を無効にできます。アプライアンスは、S/MIMEを使用して暗号化されている場合、またはS/MIMEシグニチャを含む場合、署名されたメッセージを考慮します。

     

  • EメールセキュリティアプライアンスがDomainKeys/DKIM署名メッセージのURLを書き換え、Eメールセキュリティアプライアンス以外のネットワーク上のサーバまたはアプライアンスがDomainKeys/DKIM署名の確認を行っている場合、メッセージ署名を無効にできます。

    アプライアンスは、S/MIMEを使用して暗号化されている場合、またはS/MIMEシグニチャを含む場合、署名されたメッセージを考慮します。

  • すべてのメッセージに対して有効にします。このオプションを使用すると、AsyncOSは、署名済みメッセージを含め、メッセージ変更のしきい値を満たす、または超えるすべてのメッセージのURLを書き換えることができます。AsyncOSが署名付きメッセージを変更すると、シグニチャは無効になります。
  • 無効化.このオプションは、アウトブレイクフィルタのURL書き換えを無効にします。

ポリシーを変更して、特定のドメインへのURLを変更から除外できます。ドメインをバイパスするには、[Bypass Domain Scanning]フィールドにIPv4アドレス、IPv6アドレス、CIDR範囲、ホスト名、ホスト名の一部、またはドメインを入力します。複数のエントリはカンマで区切ります。

Bypass Domain Scanning機能は、URLフィルタリングで使用されるグローバルAllowlistに似ていますが、これに依存しません。このAllowlistの詳細については、『ESA User Guide』の「Creating Whitellists for URL Filtering」を参照してください。

アウトブレイクフィルタURL書き換えのテスト

ESAでOFをテストするには、2つのオプションがあります。 

第1部のテスト

電子メール本文に悪意のあるURLを含めます。  使用できる安全なテストURL:

http://malware.testing.google.test/testing/malware/

メールログの例には、次のような内容が含まれます。

Tue Jul  3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul  3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul  3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul  3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul  3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul  3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul  3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul  3 09:31:38 2018 Info: MID 185845 queued for delivery

メールログには「書き換えられたURL」と表示されます。これは、OFがCisco Webセキュリティプロキシを介してこのURLを書き換えたことを示しています。  また、この例に示すように、メッセージがアウトブレイク隔離に含まれている可能性があることに注意してください。

最終的な結果として、次の内容を示す電子メール本文が配信されます。

これでエンドユーザが電子メールを受信し、書き換えられたURLをクリックすると、Cisco Webセキュリティプロキシにリダイレクトされ、次のように表示されます。

注:元のURLまたはWebサイトのHTML/エンコードに基づいて「サイトプレビューを生成できません」が表示されます。  CSS、HTMLペイン、または複雑なレンダリングを含むWebサイトでは、サイトプレビューを生成できません。

第2部のテスト

2つ目のオプションは、OFトリガーを使用するために、電子メールの本文または添付ファイルにデータを含めることです。 

成功するには、次の2つのオプションがあります。

  1. 25000バイトから30000バイトのサイズの間に「hello.voftest」という名前のファイル(単純なテキストファイルでできます)を作成し、そのファイルをテスト用の電子メールに添付します。これにより、ウイルス添付ルールがトリガーされます。
  2. 次のGTUBE(「Generic Test for Unsolicited Bulk Email」)を電子メールの本文に72バイトのテスト文字列を入力します。
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X

これにより、OFおよびフィッシング規則がトリガーされます。  メールログの例は、次のようになります。

Tue Jul  3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul  3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul  3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul  3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul  3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul  3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul  3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul  3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul  3 09:44:13 2018 Info: MID 185882 queued for delivery

メールログには「書き換えられたURL」と表示されます。これは、OFがCisco Webセキュリティプロキシを介してこのURLを書き換えたことを示しています。  また、この例に示すように、メッセージがアウトブレイク隔離に含まれている可能性があることに注意してください。

最終的な結果として、次の内容を示す電子メール本文が配信されます。

 これでエンドユーザが電子メールを受信し、書き換えられたURLをクリックすると、Cisco Webセキュリティプロキシにリダイレクトされ、次のように表示されます。

注:元のURLまたはWebサイトのHTML/エンコードに基づいて「サイトプレビューを生成できません」が表示されます。  CSS、HTMLペイン、または複雑なレンダリングを含むWebサイトでは、サイトプレビューを生成できません。

関連情報

利用:x-advertisement = outbreak
TAC Authored

シスコ エンジニア提供

  • Robert Sherwin
    Cisco Email Security TME

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています