Web Base Network Participation(WBNP)およびSender Base Network Participation(SBNP)
内容
はじめに
Cisco WebおよびEメールコンテンツセキュリティ製品は、シスコとTalosにテレメトリデータを提供し、Webセキュリティアプライアンス(WSA)でのWebカテゴリ化の有効性を高め、Eメールセキュリティアプライアンス(ESA)のIPレピュテーションを接続します。
テレメトリデータは、「オプトイン」ベースでWSAとESAに提供されます。
データは、バイナリエンコードされたSSL暗号化パケットを介して送信されます。添付ファイルには、送信されるデータのデータ、特定のフォーマット、および説明に関する情報が含まれています。 WebBase Network Participation(WBNP)およびSenderBase Network Participation(SBNP)データは、直接ログまたはファイル形式では表示できません。 このデータは暗号化された形式で送信されます。 このデータは常に「保存されている」状態です。
WSA:WebBase Network Participation(Webベースネットワークへの参加)
シスコは、プライバシーを維持することの重要性を認識しており、ユーザ名やパスフレーズなどの個人情報や機密情報を収集または使用しません。また、ホスト名に含まれるファイル名とURL属性は、機密性を確保するために難読化されています。
復号化されたHTTPSトランザクションに関しては、SensorBase Networkは証明書内のサーバ名のIPアドレス、Webレピュテーションスコア、およびURLカテゴリのみを受信します。
詳細については、アプライアンスで現在実行されているAsyncOS for Web Securityのバージョンの『WSA User Guide』を参照してください。 ユーザガイドの「Cisco SensorBaseネットワーク」を参照してください。
ESA:SenderBaseネットワークへの参加
SenderBaseネットワークに参加しているお客様は、シスコが組織に関する集約された電子メールトラフィック統計情報を収集し、それを使用するすべてのユーザに対してサービスの有用性を高めることができます。参加は任意です。シスコが収集するのは、メッセージ属性の要約データと、シスコアプライアンスが各種のメッセージを処理した方法に関する情報だけです。たとえば、シスコはメッセージ本文やメッセージの件名を収集しません。個人を特定できる情報と組織を特定できる情報は、機密として扱われます。
詳細については、 pリースレビュー ESAユーザガイド アプライアンスで現在実行されているAsyncOS for ESA Securityのバージョンの場合。 『ユーザガイド』の「SenderBase Network Participation」の章を参照してください。
セキュリティに関する一般的な問題に関するFAQ
| 質問: | 収集したデータはどこに保存されますか。 |
| 回答: | アプライアンステレメトリは、シスコの米国ベースのデータセンターに保存されます。 |
| 質問: | 収集および保存されたデータに誰がアクセスできるか? |
| 回答: | アクセスは、データを分析/使用して実用的な情報を作成するシスコSBG担当者に制限されます。 |
| 質問: | 収集したデータの保存期間はどのくらいですか。 |
| 回答: | アプライアンステレメトリに関するデータ保持/有効期限ポリシーはありません。データは無制限に保持することも、さまざまな理由で削除することもできます。たとえば、ダウンサンプリング/集約、ストレージ管理、古さ、現在または将来の脅威との関連性などです。 |
| 質問: | お客様のシリアル番号またはパブリックIPアドレスはTalos分類データベースに保存されていますか。 |
| 回答: | いいえ。URLとカテゴリのみが保持されます。WBNPパケットには送信元IP情報は含まれません。 |
稼動
このセクションでは、動作、データのタイプ(説明別)、および送信される情報を示すサンプルデータについて詳しく説明します。
- SBNP:Email Securityに関連する特定のデータタイプ(フィールド)とサンプルデータ
- WBNP:Webセキュリティに関連する特定のデータタイプ(フィールド)とサンプルデータ
- 脅威の検出の動作:運用の観点から見た脅威の検出の概要
SenderBase(電子メール)ネットワークへの参加
Emailapplianceごとに共有される統計情報
| 項目 | サンプルデータ |
| MGA識別子 | MGA10012 |
| タイムスタンプ | 2005年7月1日午前8時~午前8時5分 |
| ソフトウェアバージョン番号 | MGAバージョン4.7.0 |
| ルールセットのバージョン番号 | スパム対策ルールセット102 |
| ウイルス対策更新間隔 | 10分ごとに更新 |
| 検疫サイズ | 500 MB |
| 検疫メッセージ数 | 50件のメッセージが現在検疫中 |
| ウイルススコアのしきい値 | 脅威レベル3以上の検疫にメッセージを送信 |
| 検疫に入るメッセージのウイルススコアの合計 | 120 |
| 検疫中のメッセージの数 | 30(平均スコア4を算出) |
| 最大検疫時間 | 12 時間 |
| ウイルス対策結果に関連付けられた、検疫に入った理由および検疫を終了した理由によるアウトブレイク検疫メッセージの数 | 50 .exeルール30による検疫の開始手動リリースによる検疫の終了30の全てがウイルス陽性でした |
| 検疫終了時に実行されたアクションによって分類されたアウトブレイク検疫メッセージの数 | 隔離を終了した後、10個のメッセージの添付ファイルが削除されました |
| 検疫でメッセージが保持された時間の合計 | 20 時間 |
IPアドレスごとに共有される統計情報
| 項目 |
サンプルデータ |
標準参加 |
限定的な参加 |
| アプライアンス内のさまざまな段階でのメッセージ数 |
ウイルス対策エンジンで検出:100 |
||
| スパム対策とウイルス対策のスコアと判定の合計 |
2,000(表示されたすべてのメッセージのアンチスパムスコアの合計) |
||
| スパム対策ルールとウイルス対策ルールの異なる組み合わせにヒットしたメッセージ数 |
100個のメッセージがルールAおよびBにヒット |
||
| 接続数 |
20のSMTP接続 |
||
| 受信者の総数と無効な受信者の数 |
合計50名の受信者 |
||
| ハッシュされたファイル名: (a) |
<one-way-hash>.zipという名前のアーカイブ添付ファイル内に<one-way-hash>.pifファイルが見つかりました。 |
圧縮されていないファイル名 |
ハッシュファイル名 |
| 難読化されたファイル名: (b) |
ファイルaaaaaaa0.aaa.zip内にファイルaaaaaaa0.aaa.pifが見つかりました。 |
圧縮されていないファイル名 |
難読化されたファイル名 |
| URLホスト名(c) |
www.domain.comへのリンクがメッセージ内に見つかりました |
圧縮されていないURLホスト名 |
難読化されたURLホスト名 |
| 難読化されたURLパス(d) |
メッセージ内にホスト名www.domain.comへのリンクが見つかり、そのパスはaaa000aa/aa00aaaでした。 |
難読化されていないURLパス |
難読化されたURLパス |
| スパムおよびウイルススキャンの結果別のメッセージ数 |
10スパム陽性 |
| 異なるスパム対策とウイルス対策の判定によるメッセージ数 |
スパム500、ハム300 |
||
| サイズ範囲内のメッセージ数 |
30K ~ 35Kの範囲で125 |
||
| 異なる拡張子タイプの数 |
300個の「.exe」添付ファイル |
||
| 添付ファイルの種類、実際のファイルの種類、およびコンテナーの種類の相関関係 |
拡張子「.doc」が付いた100個の添付ファイル。実際には「.exe」です。 |
||
| 拡張子と実際のファイルタイプと添付ファイルサイズの相関関係 |
30個の添付ファイルが50 ~ 55 Kの範囲内の「.exe」でした。 |
||
| 確率的サンプリング結果別メッセージ数 |
14メッセージがサンプリングをスキップしました |
||
| DMARCの検証に失敗したメッセージの数 |
34個のメッセージがDMARC検証に失敗しました |
注:
(a)ファイル名は1-wayハッシュ(MD5)でエンコードされます。
(b)ファイル名はすべて小文字のASCII文字([a-z])を「a」に置き換え、すべての大文字のASCII文字([A-Z])を「A」に置き換え、マルチバイトのUTF-8文字を(他の文字セットのプライバシーを確保するために)「x」に置き換え、すべてのASCII数字([0-9])を置き換えて、難読化されたされた形式でで送信されます。
(c) URLホスト名は、IPアドレスと同様に、コンテンツを提供するWebサーバを指します。ユーザ名やパスワードなどの機密情報は含まれません。
(d)ホスト名に含まれるURL情報を難読化し、利用者の個人情報が漏れないようにする。
SDSクライアントごとに共有される統計情報
| 項目 |
サンプルデータ |
| Timestamp |
|
| クライアントバージョン |
|
| クライアントに対して行われた要求の数 |
|
| SDSクライアントから行われた要求数 |
|
| DNSルックアップの時間結果 |
|
| サーバ応答時間の結果 |
|
| サーバへの接続の確立時間 |
|
| 確立された接続数 |
|
| サーバーへの同時オープン接続数 |
|
| WBRSへのサービスリクエスト数 |
|
| ローカルWBRSキャッシュにヒットした要求数 |
|
| ローカルWBRSキャッシュサイズ |
|
| リモートWBRSからの応答時間の結果 |
AMP SBNPテレメトリデータ
| 書式 |
サンプルデータ |
| amp_verdict' : {(「判定」、「spyname」、「score」、「uploaded」、「file_name」), |
|
| ("判定", "spyname", "score", "uploaded", "file_name"), |
|
| ("判定", "spyname", "score", "uploaded", "file_name"), |
|
| ........... |
|
| ("判定", "spyname", "score", "uploaded", "file_name"), |
|
| } |
|
| 説明 |
|
| 判定 – AMPレピュテーションクエリーの |
malicious/clean/unknown(悪意あり/クリーン/不明) |
| Spyname – 検出されたマルウェアの名前 |
[トロイの木馬テスト] |
| スコア – AMPが割り当てたレピュテーションスコア |
[1-100] |
| アップロード:ファイルのアップロードが指定されたAMPクラウド |
1 |
| ファイル名 – 添付ファイルの名前 |
abcd.pdf |
WebBase(Web)ネットワークへの参加
Web要求ごとに共有される統計情報
| 項目 |
サンプルデータ |
標準参加 |
限定的な参加 |
| バージョン |
coeus 7.7.0-608 |
||
| シリアル番号 |
|||
| SBNPサンプリング係数(ボリューム) |
|||
| SBNPサンプリング係数(レート) |
1 |
||
| 宛先IPおよびポート |
難読化されていないURLパスセグメント |
ハッシュされたURLパスセグメント |
|
| スパイウェア対策で選択されたマルウェアカテゴリ |
スキップ |
||
| WBRSスコア |
4.7 |
||
| McAfeeマルウェアカテゴリ判定 |
|||
| 参照元URL |
難読化されていないURLパスセグメント |
ハッシュされたURLパスセグメント |
|
| コンテンツタイプID |
|||
| ACLデシジョンタグ |
0 |
||
| レガシーWebの分類 |
|||
| CIWUC Webカテゴリと意思決定元 |
{'src': 'req', 'cat': '1026'} |
||
| AVCアプリケーション名 |
広告とトラッキング |
||
| AVCアプリケーションタイプ |
広告ネットワーク |
||
| AVCアプリケーションの動作 |
安全ではない |
||
| 内部AVC結果トラッキング |
[0,1,1,1] |
||
| インデックス付きデータ構造によるユーザエージェントの追跡 |
3 |
Web要求ごとの高度なマルウェア統計
| AMP統計情報 |
|
| 判定 – AMPレピュテーションクエリーの |
malicious/clean/unknown(悪意あり/クリーン/不明) |
| Spyname – 検出されたマルウェアの名前 |
[トロイの木馬テスト] |
| スコア – AMPが割り当てたレピュテーションスコア |
[1-100] |
| アップロード:ファイルのアップロードが指定されたAMPクラウド |
1 |
| ファイル名 – 添付ファイルの名前 |
abcd.pdf |
エンドユーザフィードバック統計情報フィード
| エンドユーザごとに共有される統計情報 誤った分類 フィードバック |
|
| 項目 |
サンプルデータ |
| エンジンID(数値) |
0 |
| 従来のWeb分類コード |
|
| CIWUC Web分類ソース |
'resp' / 'req' |
| CIWUC Webカテゴリ |
1026 |
提供データの例 – 標準の参加
# categorized
"http://google.com/": { "wbrs": "5.8",
"fs": {
"src": "req",
"cat": "1020"
},
}
# uncategorized
"http://fake.example.com": { "fs": {
"cat": "-"
},
}
データの例 – 参加者に制限あり
- クライアントからの元の要求:www.gunexams.com/Non-Restricted-FREE-Practice-Exams
- ログに記録されたメッセージ(テレメトリサーバー):http://www.gunexams.com/76bd845388e0
完全なWBNPデコード
Ciscoアプライアンスごとに共有される統計情報
| 項目 |
サンプルデータ |
| バージョン |
coeus 7.7.0-608 |
| シリアル番号 |
0022190B6ED5-XYZ1YZ2 |
| モデル |
S660 |
| Webrootが有効 |
1 |
| AVCが有効 |
1 |
| Sophos対応 |
0 |
| 応答側の分類が有効 |
1 |
| スパイウェア対策エンジンが有効 |
デフォルト2001005008 |
| アンチスパイウェアSSEバージョン |
デフォルト2001005008 |
| スパイウェア対策Spycat定義のバージョン |
デフォルト:8640 |
| アンチスパイウェアURLブロックリストDATバージョン |
|
| アンチスパイウェアURLフィッシングDATバージョン |
|
| アンチスパイウェアCookie DATバージョン |
|
| スパイウェア対策ドメインのブロックが有効 |
0 |
| スパイウェア対策の脅威のリスクのしきい値 |
90 |
| McAfee対応 |
0 |
| McAfee Engineバージョン |
|
| McAfee DATバージョン |
デフォルト:5688 |
| WBNP詳細レベル |
2 |
| WBRSエンジンバージョン |
freebsd6-i386-300036 |
| WBRSコンポーネントバージョン |
categories=v2-1337979188,ip=default-1379460997,keyword=v2-1312487822,prefixcat=v2-1379460670,rule=default-1358979215 |
| WBRSブロックリストのしきい値 |
-6 |
| WBRS許可リストのしきい値 |
6 |
| WBRS有効 |
1 |
| セキュアモビリティ対応 |
0 |
| L4トラフィックモニタが有効 |
0 |
| L4トラフィックモニタブロックリストバージョン |
デフォルト:0 |
| L4トラフィックモニタ管理ブロックリスト |
|
| L4トラフィックモニタ管理ブロックリストポート |
|
| L4トラフィックモニタ許可リスト |
|
| L4トラフィックモニタの許可リストポート |
|
| SBNPサンプリング係数 |
0.25 |
| SBNPサンプリング係数(ボリューム) |
0.1 |
| SurfControl SDKバージョン(レガシー) |
デフォルト:0 |
| SurfControlフルデータベースバージョン(レガシー) |
デフォルト:0 |
| SurfControlローカル増分累積ファイルのバージョン(レガシー) |
デフォルト:0 |
| Firestone Engineバージョン |
デフォルト210016 |
| Firestone DATバージョン |
v2-310003 |
| AVCエンジンのバージョン |
デフォルト110076 |
| AVC DATバージョン |
デフォルト1377556980 |
| Sophosエンジンバージョン |
デフォルト1310963572 |
| Sophos DATバージョン |
デフォルト:0 |
| 適応型スキャンが有効 |
0 |
| 適応型スキャンリスクスコアのしきい値 |
[10 6 3] |
| 適応型スキャン負荷率しきい値 |
[5 3 2] |
| SOCKS有効 |
0 |
| 合計トランザクション |
| 合計トランザクション |
|
| 許可されたトランザクションの合計 |
|
| マルウェアが検出されたトランザクションの合計 |
|
| 管理ポリシーによってブロックされたトランザクションの合計数 |
|
| WBRSスコアでブロックされたトランザクションの合計 |
|
| リスクの高いトランザクションの合計 |
|
| Traffic Monitorによって検出されたトランザクションの総数 |
|
| IPv6クライアントとの合計トランザクション数 |
|
| IPv6サーバとの合計トランザクション数 |
|
| SOCKSプロキシを使用した合計トランザクション |
|
| リモートユーザからの合計トランザクション |
|
| ローカルユーザからの合計トランザクション |
|
| SOCKSプロキシを使用して許可された合計トランザクション数 |
|
| SOCKSプロキシを使用して許可されたローカルユーザからの合計トランザクション |
|
| SOCKSプロキシを使用して許可されたリモートユーザからの合計トランザクション |
|
| SOCKSプロキシを使用してブロックされたトランザクションの総数 |
|
| SOCKSプロキシを使用してブロックされたローカルユーザからの合計トランザクション |
|
| SOCKSプロキシを使用してブロックされたリモートユーザからの合計トランザクション |
| 最後の再起動以降の秒数 |
2843349 |
| CPU使用率(%) |
9.9 |
| RAM使用率(%) |
55.6 |
| ハードディスク使用率(%) |
57.5 |
| 帯域幅使用率(/秒) |
15307 |
| オープンTCP接続 |
2721 |
| 1秒あたりのトランザクション |
264 |
| クライアント遅延 |
163 |
| キャッシュヒット率 |
21 |
| プロキシCPU使用率 |
17 |
| WBRS WUC CPU使用率 |
2.5 |
| CPU使用率のロギング |
3.4 |
| CPU使用率のレポート |
3.9 |
| WebrootのCPU使用率 |
0 |
| SophosのCPU使用率 |
0 |
| McAfeeのCPU使用率 |
0 |
| vmstatユーティリティの出力(vmstat -z、vmstat -m) |
|
| 設定されたアクセスポリシーの数 |
32 |
| 設定されたカスタムWebカテゴリの数 |
32 |
| 認証プロバイダー |
基本、NTLMSSP |
| 認証レルム |
認証プロバイダーのホスト名、プロトコル、およびその他の構成要素 |
Web要求ごとに共有される統計情報
| 項目 |
サンプルデータ |
標準参加 |
限定的な参加 |
| バージョン |
coeus 7.7.0-608 |
||
| シリアル番号 |
|||
| SBNPサンプリング係数(ボリューム) |
|||
| SBNPサンプリング係数(レート) |
1 |
||
| 宛先IPおよびポート |
難読化されていないURLパスセグメント |
ハッシュされたURLパスセグメント |
|
| スパイウェア対策で選択されたマルウェアカテゴリ |
スキップ |
||
| WBRSスコア |
4.7 |
||
| McAfeeマルウェアカテゴリ判定 |
|||
| 参照元URL |
難読化されていないURLパスセグメント |
ハッシュされたURLパスセグメント |
|
| コンテンツタイプID |
|||
| ACLデシジョンタグ |
0 |
||
| レガシーWebの分類 |
|||
| CIWUC Webカテゴリと意思決定元 |
{'src': 'req', 'cat': '1026'} |
||
| AVCアプリケーション名 |
広告とトラッキング |
||
| AVCアプリケーションタイプ |
広告ネットワーク |
||
| AVCアプリケーションの動作 |
安全ではない |
||
| 内部AVC結果トラッキング |
[0,1,1,1] |
||
| インデックス付きデータ構造によるユーザエージェントの追跡 |
3 |
Web要求ごとの高度なマルウェア統計
| AMP統計情報 |
|
| 判定 – AMPレピュテーションクエリーの |
malicious/clean/unknown(悪意あり/クリーン/不明) |
| Spyname – 検出されたマルウェアの名前 |
[トロイの木馬テスト] |
| スコア – AMPが割り当てたレピュテーションスコア |
[1-100] |
| アップロード:ファイルのアップロードが指定されたAMPクラウド |
1 |
| ファイル名 – 添付ファイルの名前 |
abcd.pdf |
エンドユーザフィードバック統計情報フィード
| エンドユーザごとに共有される統計情報 誤った分類 フィードバック |
|
| 項目 |
サンプルデータ |
| エンジンID(数値) |
0 |
| 従来のWeb分類コード |
|
| CIWUC Web分類ソース |
'resp' / 'req' |
| CIWUC Webカテゴリ |
1026 |
Talos検出コンテンツ
脅威に重点を置く
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
21-Aug-2024
|
シスコの出版基準に合わせてリンクとテキストを更新。 |
1.0 |
22-Apr-2016
|
初版 |
フィードバック