Cisco Secure Email Gateway と脅威防御の統合

この章は、次の項で構成されています。

Threat Defense Connector の概要

Threat Defense Connector クライアントは、Cisco Secure Email Gateway を Cisco Secure Email Threat Defense に接続して、高度なフィッシングとスプーフィングのメッセージをスキャンします。クラウドベースの高度な脅威スキャンを実行する機能は、組織が次のことを実行するために役立ちます。

  • 高度なフィッシングおよびスプーフィング ソリューションを入手する

  • 常に変化するフィッシングの問題に対して、これまでよりはるかに迅速にセキュリティソリューションを利用する

Threat Defense Connector を設定すると、Cisco Secure Email Gateway は実際のメッセージのコピーを添付ファイルとして Threat Defense ポータルのメッセージ受信アドレスにジャーナル形式で送信します。

メッセージが Cisco Secure Email Gateway のすべてのスキャンエンジンによってスキャンされ、メッセージが安全に配信されると、メッセージは複製されます。メッセージのコピーはキューに入れられ、RFC 822 形式の添付ファイルとして Cisco Secure Email Threat Defense に送信され、高度なスキャンが実行されます。元のメッセージは元の受信者に配信されます。

Email Gateway は、SMTP カンバセーションの Cisco Secure Email Threat Defense で必要とされる最小の TLS 1.2 を使用して、標準の SMTP インターフェイスを介して高度な脅威スキャンを目的とした電子メールを送信します。Threat Defense はメッセージをスキャンし、ユーザーのメールボックスに最初に配信されたメッセージに対して適切な修復アクションが実行されます。


(注)  

Threat Defense Connector を使用した高度な脅威スキャンは、受信メッセージにのみ適用されます。
図 1. Threat Defense Connector の概要


関連項目

Threat Defense Conncetor を使用するように電子メールゲートウェイを設定する方法

次の手順を順番に実行します。

手順

操作内容

詳細情報

ステップ 1

(Cisco Secure Email Threat Defense で)Cisco Secure Email Gateway からの電子メールを受信するように Cisco Secure Email Threat Defense ポータルを設定します。

『Cisco Secure Email Threat Defense User Guide』の「Set up Secure Email Threat Defense

ステップ 2

Cisco Secure Email Threat Defense ポータルからメッセージ受信アドレスを取得します。

Cisco Secure Email Threat Defense User Guide』。

ステップ 3

Cisco Secure Email Gateway で Threat Defense Connector を有効にして設定します。

Email Gateway での Threat Defense Connector の有効化

(オプション)ステップ 4

個々のメールポリシーに対して Threat Defense Connector を有効または無効にします。

Threat Defense Connector の受信メールポリシーの設定

Cisco Secure Email Gateway からメッセージを受信するための Threat Defense ポータルの設定

電子メール管理者は、Cisco Secure Email Gateway からメッセージを受信するように Cisco Secure Email Threat Defense を設定する必要があります。詳細については、『Secure Email Threat Defense User Guide』の「Set up Secure Email Threat Defense」の章を参照してください。

メッセージ受信アドレスの取得

メッセージ受信アドレスは、Cisco Secure Email Threat Defense セットアップページに表示されます。初期設定後にジャーナルアドレスを見つける必要がある場合は、[アカウントの詳細(Account Details)] セクションの [設定(Settings)](歯車アイコン)> [管理(Administration)] > [ビジネス(Business)] ページで見つけることができます。詳細については、「Cisco Secure Email Threat Defense FAQ」を参照してください。

Email Gateway での Threat Defense Connector の有効化

この機能は次のようにして有効にできます。

  • Threat Defense Connector のみを有効にします。

  • Threat Defense Connector と Email Threat Defense API を有効にします。

  • Threat Defense Connector、Email Threat Defense API、および Email Threat Defense の API ポーリングを有効にします。


(注)  

Email Threat Defense API および Email Threat Defense の API ポーリングは、 Microsoft Exchange Server(オンプレミス)を利用する場合に使用されます。Email Threat Defense の API ポーリングが無効になっている場合、Email Threat Defense API のみを有効にしても役に立ちません。Email Threat Defense API と Email Threat Defense の API ポーリングの両方を有効にする必要があります。

クラスタモードでは、クラスタ内の 1 つの電子メールゲートウェイでのみ、Threat Defense Connector、Email Threat Defense API、および Email Threat Defense の API ポーリングを有効にする必要があります。これらの変更は、クラスタ内のすべての電子メールゲートウェイに適用されます。ただし、Email Threat Defense の API ポーリングの場合、この機能を有効にした Cisco Secure Email Gateway は、ポーリングが有効になっているプライマリホストと見なされます。

始める前に

  • Cisco Secure Email Threat Defense からメッセージ受信アドレスを受信していることを確認します。また、このドメインと受信者アドレスへのメール配信が許可されていることを確認します。

  • Cisco Secure Email Gateway と Cisco Secure Email Threat Defense のタイムスタンプが同期されていることを確認します。

  • Microsoft Exchange Server(オンプレミス)を使用している場合は、Cisco Secure Email Threat Defense が脅威として識別した電子メールに対してメールボックスの自動修復を実行できるように、Threat Defense Connector で Email Threat Defense API および Email Threat Defense の API ポーリングを有効化および設定する必要があります。

  • この Email Threat Defense API を機能させるには、クラスタ内のすべての電子メールゲートウェイで API_HTTPD および API_HTTPSD ポートを有効にする必要があります。


(注)  

メール配信にカスタム SMTP ルートを使用する場合は、メッセージ受信アドレスドメインへの配信に DNS を使用していることを確認します。たとえば、SMTP ルートのドメインに「USEDNS」を使用します。

手順

ステップ 1

[セキュリティサービス(Security Services)] > [Threat Defense Connector] をクリックします。

ステップ 2

[有効(Enable)] をクリックします。

ステップ 3

[Threat Defense Connector の有効化(Enable Threat Defense Connector)] チェックボックスをオンにします。

ステップ 4

Email Threat Defense ポータルから取得したメッセージ受信アドレスを入力します。

(注)  

 

また、個々の受信メールポリシーに Threat Defense Connector を設定し、受信メールポリシーごとに個別のメッセージ受信アドレスを使用することもできます。ここで使用しているグローバルメッセージ受信アドレスと同じドメインが使用されていることを確認してください。詳細については、Threat Defense Connector の受信メールポリシーの設定を参照してください。

ステップ 5

Microsoft Exchange Server(オンプレミス)を使用している場合は、[Email Threat DefenseのAPIの有効化(Enable Email Threat Defense API)] チェックボックスをオンにします。

ステップ 6

Email Threat Defense ポータルから取得したクライアント ID、パスワード、および API キーを入力します。

ステップ 7

悪意のある電子メールに対してアクションを実行するには、[ユーザーのメールボックス内のメッセージに対して実行するアクション:(Action to be taken on message(s) in user's mailbox:)] チェックボックスをオンにします。次のアクションのうちの 1 つを選択できます。

  1. [次に転送(Forward to)]:指定した電子メールアドレスにメッセージを送信します。メッセージの転送先となる電子メールアドレスを入力します。

  2. [削除(Delete)]:ユーザーのメールボックスからメッセージを削除します。

  3. [次に転送して削除(Forward to and Delete)]:指定した電子メールアドレスにメッセージを送信してから、メッセージを削除します。メッセージの転送先となる電子メールアドレスを入力します。

ステップ 8

クラスタモードでこの電子メールゲートウェイからの API ポーリングを有効にするには、[Email Threat DefenseのAPIポーリングの有効化(Enable Email Threat Defense API Polling)] を選択します。この電子メールゲートウェイは、クラスタモードでプライマリ(ホスト)として機能します。

(注)  

 

API ポーリングは、グローバルレベルまたはデフォルトポリシーレベルでのみ有効になり、個々のポリシーレベルでは有効になりません。

ステップ 9

[送信(Submit)] をクリックし、変更をコミットします。

Email Gateway での Threat Defense Connector の無効化

この機能は次のようにして無効にできます。

  • Email Threat Defense の API ポーリングのみを無効にします。

  • Email Threat Defense API を無効にします。これにより、Email Threat Defense の API ポーリングも無効になります。

  • Threat Defense Connector を無効にします。これにより、Email Threat Defense API および Email Threat Defense の API ポーリングも無効になります。


(注)  

Email Threat Defense API および Email Threat Defense の API ポーリングは、 Microsoft Exchange Server(オンプレミス)を利用する場合に使用されます。

手順

ステップ 1

[セキュリティサービス(Security Services)] > [Threat Defense Connector] をクリックします。

ステップ 2

[グローバル設定を編集(Edit Global Settings)] をクリックします。

ステップ 3

Threat Defense の API ポーリングを無効にするには、[Email Threat DefenseのAPIポーリングの有効化(Enable Email Threat Defense API Polling)] チェックボックスをオフにします。

Email Threat Defense の API ポーリングのみを無効にした場合、このレベルでは Cisco Secure Email Gateway は引き続き API を使用して Email Threat Defense に接続されます。この Email Gateway をクラスタモードから削除する場合にポーリングを無効にします。

ステップ 4

Threat Defense の API 接続を無効にするには、[Email Threat Defense APIの有効化(Enable Email Threat Defense API)] チェックボックスをオフにします。

Email Threat Defense API を無効にした場合、このレベルでは Cisco Secure Email Gateway は引き続き Email Threat Defense に接続されます。Email Threat Defense API を無効にすると、Microsoft Exchange Server(オンプレミス)サービスが切断されます。

ステップ 5

[Threat Defense Connector の有効化(Enable Threat Defense Connector)] チェックボックスをオフにします。このアクションにより、Cisco Secure Email Gateway の Threat Defense Connector がグローバルに無効になります。

ステップ 6

[送信(Submit)] をクリックし、変更をコミットします。

Threat Defense Connector およびクラスタ

中央管理を使用する場合、クラスタ、グループ、およびマシンの各レベルで Threat Defense Connector を有効にできます。

Microsoft Exchange Server(オンプレミス)を使用する場合、この機能をクラスタモードでのみ使用する必要があります。グループまたはマシンレベルで Threat Defense Connector API を有効にしないでください。

Threat Defense Connector の API ポーリングが有効になっている Email Gateway を、マスターの Email Gateway がすでに存在するクラスタに追加すると(Threat Defense Connector の API ポーリングがクラスタレベルで有効になっている場合)、新しく追加されたデバイスの API ポーリングは無効になります。これは、マスターの Email Gateway がクラスタ全体のポーリングを処理するためです。


(注)  

現在のクラスタとリモートクラスタのプライマリリーダーマシンを接続する前に、API ポーリングを無効にします。クラスタ間設定が完了した場合にのみ API ポーリングを有効にし、両方のクラスタで API ポーリングが有効になっていることを確認します。

(注)  

Threat Defense Connector と API ポーリングを使用して、クラスタ内のマスターのセキュア電子メールゲートウェイで障害が発生した場合、管理者はそのクラスタで別のマスターゲートウェイを設定する必要があります。

Microsoft Exchange Server(オンプレミス)展開の場合、マスターの Email Gateway から Threat Defense Connector API を無効にすると、クラスタのすべてのゲートウェイでも無効になります。同様に、クラスタ内のいずれかの Email Gateway で Threat Defense Connector API を無効にすると、クラスタ内の他のすべてのゲートウェイでも無効になります。

Threat Defense Connector の受信メールポリシーの設定

はじめる前に

Email Gateway での Threat Defense Connector の有効化

手順

ステップ 1

[メール ポリシー(Mail Policies)] > [受信メール ポリシー(Incoming Mail Policies)] をクリックします。

ステップ 2

変更するメールポリシーの [Threat Defense Connector] 列のリンクをクリックします。

ステップ 3

要件に応じて、次のオプションを選択します。

  • (デフォルトポリシーの場合)グローバル設定を使用[セキュリティサービス(Security Services)] > [Threat Defense Connector] ページで設定したメッセージ受信アドレスを使用します。

  • (その他のカスタムメールポリシーの場合)デフォルトポリシーを使用:デフォルトポリシーの Threat Defense Connector 設定を継承します。

    (注)  

     

    デフォルトでは、Threat Defense Connector はデフォルトポリシーに対して無効になっています。以前のリリースで有効にした場合は、新しいリリースにアップグレードするときに設定が引き継がれます。

  • カスタムメッセージ受信アドレスを使用:選択した受信メールポリシーに、[セキュリティサービス(Security Services)] > [Threat Defense Connector] ページで設定したものとは異なるメッセージ受信アドレスを使用することもできます。カスタムメッセージ受信アドレスには、[セキュリティサービス(Security Services)] > [Threat Defense Connector] ページで設定したグローバルメッセージ受信アドレスと同じドメインを使用してください。

    テキストボックスにメッセージ受信アドレスを入力します。

  • [いいえ(No)]:選択した受信メールポリシーの Threat Defense Connector を無効にします。

ステップ 4

変更を送信し、保存します。

次のタスク

CLI で Threat Defense Connector のポリシー設定を構成するには、policyconfig コマンドを使用します。詳細については、『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください。

Threat Defense Connector レポートのモニタリング

Threat Defense Connector の高度なスキャンレポートを表示するには、Cisco Secure Threat Defense ポータルにログインする必要があります。詳細については、『Cisco Secure Email Threat Defense User Guide』を参照してください。

[モニタ(Monitor)] > [配信ステータス(Delivery Status)] で、送信メールの配信ステータスを表示できます。[配信ステータス(Delivery Status)] ページは、特定の受信者ドメインに関する電子メール動作のモニタリング情報を提供します。Threat Defense Connector が有効になっている場合、.tdc.queue 宛先ドメインの下のメッセージ受信アドレスへのメールの配信ステータスを表示できます。

Email Threat Defense による修復レポートは、新しい Web インターフェイスの [修復レポート(Remediation Report)] ページで確認できます。詳細については、[修復レポート(Remediation Report)] ページを参照してください。

関連項目

ログの表示

Threat Defense Connector の情報は、プレフィックス「TDC」を付けてメールログに投稿されます。

Threat Defense Connector ログエントリの例

メッセージの配信失敗 - TLS エラー

この例のログは、Threat Defense と通信する際の TLS エラーのために配信されなかったメッセージを示しています。

17 Aug 2022 05:52:04 (GMT +00:00) Message 3 queued for delivery.
17 Aug 2022 05:52:04 (GMT +00:00) (DCID O) Delivery started for message 3 to astra_victim@astra-cs.com.
17 Aug 2022 05:52:04 (GMT +00:00) (CID O) Delivery details: Message 3 sent to astra victim@astra-cs.com
17 Aug 2022 05:52:04 (GMT +00:00) Incoming connection (ICID 3) lost.
17 Aug 2022 05:52:04 (GMT +00:00) Message 3 to astra_victim@astra-cs.com received remote SMTP response "/dev/null'
17 Aug 2022 05:52:04 (GMT +00:00) TDC: Message 4 delivery failed to Cisco Secure Email Threat Defense: TLS Error.
ソリューション

このエラーをさらに調査して修正するには、Cisco Technical Assistance Center(TAC)に連絡してください。