ファイル レピュテーション フィルタリングとファイル分析の概要
高度なマルウェア防御は、次によりゼロデイや電子メールの添付ファイル内のファイルベースの標的型の脅威から保護します。
- 既知のファイルのレピュテーションを取得する。
- レピュテーション サービスでまだ認識されていない特定のファイルの動作を分析する。
- 新しい情報が利用可能になるのに伴い出現する脅威を常に評価し、脅威と判定されているファイルがネットワークに侵入するとユーザに通知する。
この機能は着信メッセージと発信メッセージに使用できます
ファイル レピュテーション サービスはクラウドに存在します。ファイル分析サービスには、パブリック クラウドまたはプライベート クラウド(オンプレミス)のオプションがあります。
-
プライベート クラウド ファイル レピュテーション サービスは Cisco AMP 仮想プライベート クラウド アプライアンスにより提供され、「プロキシ」モードまたは「エアギャップ」(オンプレミス)モードで動作します。オンプレミスのファイル レピュテーション サーバの設定を参照してください。
-
プライベート クラウドファイル分析サービスは、オンプレミス Cisco AMP Threat Grid アプライアンスから提供されます。オンプレミスのファイル分析サーバの設定を参照してください。
ファイル脅威判定のアップデート
脅威判定は、新たな情報に合わせて変更できます。最初にファイルが不明または正常として評価されると、ファイルは受信者に対して解放されます。新しい情報が利用可能になるのに伴い脅威判定が変更されると、アラートが送信され、ファイルとその新しい判定が [AMP 判定のアップデート(AMP Verdict Updates)] レポートに示されます。脅威の影響に対処する最初の作業として、侵入のきっかけとなったメッセージを調査できます。
判定を、「悪意がある」から「正常」に変更できます。
ファイル分析の後でファイルに動的なコンテンツが見つからない場合、判定は「低リスク」です。ファイル分析用にファイルは送信されず、メッセージは電子メール パイプラインを通過します。
アプライアンスが同じファイルの後続インスタンスを処理するときに、更新された結果がただちに適用されます。
判定アップデートのタイミングに関する情報は、ファイル基準のドキュメント(ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照)に記載されています。
ファイル処理の概要
メッセージに対して最終アクションが実行されていない場合は、以前のスキャン エンジンの判定に関係なく、アンチウィルス スキャンの完了直後に、ファイル レピュテーションが評価され、ファイルが分析目的で送信されます。
(注) |
メッセージの MIME ヘッダーの形式が正しくない場合、ファイル レピュテーション サービスはデフォルトで「スキャン不可」の判定を返します。アプライアンスは、このメッセージからも添付ファイルを抽出しようとします。アプライアンスが添付ファイルを抽出できない場合、判定は「スキャン不可」のままです。アプライアンスが添付ファイルを抽出できる場合は、添付ファイルのファイル レピュテーションが評価されます。添付ファイルが悪意のあるものである場合、判定は「スキャン不可」から「悪意のある」に変わります。 |
アプライアンスとファイル レピュテーション サービス間の通信は暗号化され、改ざんから保護されます。
ファイル レピュテーションの評価後:
- メッセージに添付ファイルが含まれていない場合、ファイル レピュテーション サービスは「スキップ」の判定を返します。
- ファイルがファイル レピュテーション サービスに対して既知であり、正常であると判断された場合、メッセージは引き続きワークキューに残ります。
- ファイル レピュテーション サービスからメッセージの添付ファイルについて悪意があるという判定が返されると、該当するメール ポリシーで指定したアクションが、アプライアンスにより適用されます。
- レピュテーション サービスがファイルを認識しているが、決定的な判定を下すための十分な情報がない場合、レピュテーション サービスはファイルの特性(脅威のフィンガープリントや動作分析など)に基づき、レピュテーション スコアを戻します。このスコアが設定されたレピュテーションしきい値を満たすか、または超過した場合、マルウェアが含まれるファイルに関するメール ポリシーで設定したアクションがアプライアンスによって適用されます。
- レピュテーション サービスにそのファイルに関する情報がなく、そのファイルが分析の基準を満たしていない場合(ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照)、そのファイルは正常と見なされ、メッセージはワークキューに残ります。
- ファイル分析サービスがイネーブルな状態で、レピュテーション サービスにはファイルに関する情報がなく、そのファイルが分析可能なファイルの条件を満たしている場合(ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照)、メッセージは隔離され(分析のために送信した添付ファイルがあるメッセージの隔離を参照)、ファイルは分析用に送信される可能性があります。添付ファイルが分析のために送信されるとき、またはファイルが分析のために送信されない場合にメッセージを隔離するようにアプライアンスを設定していない場合、そのメッセージはユーザに解放されます。
- オンプレミスのファイル分析での展開では、レピュテーション評価とファイル分析は同時に実行されます。レピュテーション サービスから判定が返された場合は、その判定が使用されます。これは、レピュテーション サービスにはさまざまなソースからの情報が含まれているためです。レピュテーション サービスがファイルを認識していない場合、ファイル分析の判定が使用されます。
- サーバとの接続がタイムアウトしたためにファイル レピュテーションの判定の情報が利用できない場合、そのファイルはスキャン不可と見なされ、設定されたアクションが適用されます。
ファイルが分析のために送信される場合:
- 分析用にクラウドに送信される場合、ファイルは HTTPS 経由で送信されます。
- 分析には通常、数分かかりますが、さらに時間がかかることもあります。
- ファイル分析で悪意があるとしてフラグ付けされたファイルが、レピュテーション サービスでは悪意があると識別されない場合があります。ファイル レピュテーションは、1 回のファイル分析結果でなく、さまざまな要因によって経時的に決定されます。
- オンプレミスの Cisco AMP Threat Grid アプライアンスを使用して分析されたファイルの結果は、ローカルにキャッシュされます。
判別のアップデートの詳細については、ファイル脅威判定のアップデートを参照してください。
ファイル レピュテーションおよび分析サービスでサポートされるファイル
レピュテーション サービスは大部分のファイル タイプを評価します。ファイル タイプの識別はファイル コンテンツによって行われ、ファイル拡張子には依存していません。
レピュテーションが「不明」となっているファイルは脅威の特徴と対比して分析できます。ファイル分析機能を設定すると、分析するファイル タイプを選択できます。新しいタイプを動的に追加できます。アップロード可能なファイル タイプのリストが変更された場合はアラートを受け取るので、追加されたファイル タイプを選択してアップロードできます。
ファイル レピュテーションおよび分析サービスでサポートされているファイルの詳細は、登録済みのお客様に限り提供しています。評価と分析の対象となるファイルについて詳しくは、『File Criteria for Advanced Malware Protection Services for Cisco Content Security Products』を参照してください。このドキュメントは、https://www.cisco.com/c/en/us/support/security/email-security-appliance/products-user-guide-list.html から入手できます。ファイルのレピュテーションの評価と分析のためにファイルを送信する基準は、随時変更される場合があります。
このドキュメントにアクセスするには、シスコの顧客アカウントとサポート契約が必要です。登録するには、https://tools.cisco.com/RPF/register/register.do にアクセスしてください。
高度なマルウェア防御が対応しないファイルの配信をブロックするには、ポリシーを設定する必要があります。
(注) |
どこかのソースからすでに分析用にアップロードしたことのある(着信メールまたは発信メールのいずれかの)ファイルは、再度アップロードされません。このようなファイルの分析結果を表示するには、[ファイル分析(File Analysis)] レポート ページから SHA-256 を検索します。 |
アーカイブまたは圧縮されたファイルの処理
ファイルが圧縮またはアーカイブされている場合:
- 圧縮またはアーカイブ ファイルのレピュテーションが評価されます。
ファイル形式を含めて調査するアーカイブ ファイルおよび圧縮ファイルの詳細については、ファイル レピュテーションおよび分析サービスでサポートされるファイル からリンクされている情報を参照してください。
このシナリオでは、次のようになります。
- 抽出されたファイルのいずれかが悪意のあるファイルである場合、ファイル レピュテーション サービスは、その圧縮/アーカイブ ファイルに対して「悪意がある(Malicious)」という判定を返します。
- 圧縮/アーカイブ ファイルが悪意のあるファイルであり、抽出されたすべてのファイルが正常である場合、ファイル レピュテーション サービスは、圧縮/アーカイブ ファイルに対して「悪意がある(Malicious)」という判定を返します。
- 抽出されたファイルのいくつかの判定が「不明(unknown)」である場合、それらの抽出ファイルは、状況に応じて、分析のために送信されます(そのように設定されており、ファイル タイプがファイル分析でサポートされている場合)。
- 抽出されたファイルまたは添付ファイルのいくつかの判定が「低リスク(low risk)」である場合、そのファイルはファイル分析に送信されません。
- 圧縮/アーカイブ ファイルの圧縮解除中にファイルの抽出に失敗した場合、ファイル レピュテーション サービスは、圧縮/アーカイブ ファイルに対して「スキャン不可(Unscannable)」という判定を返します。ただし、抽出されたファイルの 1 つが悪意のあるファイルである場合、ファイル レピュテーション サービスは、圧縮/アーカイブ ファイルに対して「悪意がある(Malicious)」という判定を返します(「悪意がある(Malicious)」という判定は「スキャン不可(Unscannable)」よりも順位が高くなります)。
(注) |
セキュア MIME タイプの抽出ファイル(テキストやプレーン テキストなど)のレピュテーションは、評価されません。 |
クラウドに送信される情報のプライバシー
- クラウド内のレピュテーション サービスには、ファイルを一意に識別する SHA のみが送信されます。ファイル自体は送信されません。
- クラウド内のファイル分析サービスを使用している場合、ファイルが分析の要件を満たしていれば、ファイル自体がクラウドに送信されます。
-
分析用にクラウドに送信されて「悪意がある」と判定されたすべてのファイルに関する情報は、レピュテーション データベースに追加されます。この情報は他のデータと共にレピュテーション スコアを決定するために使用されます。
オンプレミスの Cisco AMP Threat Grid アプライアンスで分析されたファイルの詳細は、レピュテーション サービスと共有されることはありません。
-
SenderBase レピュテーション サービスへのデータの送信を許可するようアプライアンスを設定している場合は、特定のファイルに関する情報が送信されます。詳細については、『Cisco Email Security Appliance Guide』の「SenderBase Network Participation」で AMP クラウドに関する情報を参照してください。