[メール(Email)] > [レポート(Reporting)] > [アウトブレイクフィルタ(Outbreak Filters)] ページには、最近の発生状況やウイルス感染フィルタによって隔離されたメッセージに関する情報が表示されます。このページを使用して、対象を絞ったウイルス、詐欺、およびフィッシング攻撃に対する防御をモニタできます。
[アウトブレイクフィルタ(Outbreak Filters)] ページを使用して、次の情報を入手できます。
- ウイルス感染フィルタ ルールによって隔離されたメッセージの数と使用されたルール。
- ウイルスの発生に対する、ウイルス感染機能のリード タイム。
- グローバル ウイルス感染発生と比較したローカル ウイルスの発生状況。
- メッセージがアウトブレイク隔離にとどまる期間
- 最も頻繁に表示される悪意のある可能性がある URL
[タイプ別脅威(Threats By Type)] セクションには、アプライアンスによって受信された脅威メッセージのさまざまなタイプが示されます。[脅威サマリー(Threat Summary)] セクションには、[ウイルス(Virus)]、[フィッシュ(Phish)]、および
[詐欺(Scam)] によるメッセージの内訳が示されます。
[過去1年間のアウトブレイクサマリー(Past Year Outbreak Summary)] には、この 1 年間にわたるグローバル発生およびローカル発生が表示されるので、ローカル ネットワークのトレンドとグローバルなトレンドを比較できます。グローバル発生リストは、すべての発生(ウイルスとウイルス以外の両方)の上位集合です。これに対して、ローカル発生は、お使いのアプライアンスに影響を与えたウイルス発生に限定されています。ローカル感染発生データには、ウイルス以外の脅威は含まれません。グローバル感染発生データは、アウトブレイク隔離で現在設定されているしきい値を超えた、Threat
Operations Center によって検出されたすべての発生を表します。ローカル感染発生データは、アウトブレイク隔離で現在設定されているしきい値を超えた、このアプライアンスで検出されたすべてのウイルス感染を表します。[ローカル保護の合計時間(Total
Local Protection Time)] は、Threat Operations Center による各ウイルス発生の検出と、主要ベンダーによるアンチウイルス シグニチャの公開との時間差に常に基づいています。必ずしもすべてのグローバル発生が、お使いのアプライアンスに影響を与えるわけではありません。「--」値は、保護時間が存在しないか、アンチウイルス
ベンダーからシグニチャ時間を入手できないことを示します(一部のベンダーは、シグニチャ時間を報告しません)。これは、保護時間がゼロであることを示すのではなく、保護時間の算出に必要な情報を入手できないことを示します。
[隔離されたメッセージ(Quarantined Messages)] セクションでは、感染フィルタの隔離状況の概要が示されます。これは、感染フィルタが捕捉した潜在的な脅威メッセージの数を把握するのに役立つ尺度です。隔離されたメッセージは、解放時に集計されます。通常、メッセージはアンチウイルスおよびアンチスパム
ルールが使用可能になる前に隔離されます。メッセージが解放されると、アンチウイルスおよびアンチスパム ソフトウェアによってスキャンされ、陽性か、クリーンかを判定されます。感染トラッキングの動的性質により、メッセージが隔離領域内にあるときでも、メッセージの隔離ルール(および関連付けられる発生)が変更される場合があります。(隔離領域に入った時点ではなく)解放時にメッセージを集計することにより、件数の変動による混乱を防ぎます。
[脅威の詳細(Threat Details)] リストには、脅威のカテゴリ(ウイルス、詐欺、またはフィッシング)、脅威の名前、脅威の説明、識別されたメッセージの数などの、特定の発生に関する情報が表示されます。ウイルス発生の場合は [過去 1 年間のウイルス
アウトブレイク(Past Year Virus Outbreaks)] に、発生の名前と ID、ウイルス発生が初めてグローバルに検出された日時、アウトブレイク フィルタによって提供される保護時間、および隔離されたメッセージの数が含まれます。グローバル発生またはローカル発生のどちらを表示するかを選択できます。
[最初にグローバルで確認した日時(First Seen Globally)] の時間は、世界最大の電子メールおよび Web トラフィック モニタリング ネットワークである SenderBase のデータに基づいて、Threat Operations
Center によって決定されます。[保護時間(Protection Time)] は、Threat Operations Center による各脅威の検出と、主要ベンダーによるアンチウイルス シグニチャの解放との時間差に基づいています。
「--」値は、保護時間が存在しないか、アンチウイルス ベンダーからシグニチャ時間を入手できないことを示します(一部のベンダーは、シグニチャ時間を報告しません)。保護時間がゼロであることを示しているわけではありません。むしろ、保護時間の算出に必要な情報を入手できないことを意味します。
このページの他のモジュールには次の情報が表示されます。
- 選択した期間にアウトブレイク フィルタによって処理された受信メッセージの数。
ウイルス以外の脅威には、外部 Web サイトへのリンクを使用したフィッシング電子メール、詐欺、およびマルウェア配布が含まれます。
- アウトブレイク フィルタで検出された脅威の重大度。
レベル 5 の脅威が範囲または影響において重大であるのに対し、レベル 1 は脅威のリスクが低いことを示します。脅威レベルの説明については、お使いの E メール セキュリティ アプライアンスのオンライン ヘルプまたはユーザ ガイドを参照してください。
- メッセージがアウトブレイク隔離にとどまっていた時間。
この期間は、潜在的な脅威の安全性の判定に必要なデータを収集するためにかかる時間によって決まります。通常、ウイルス脅威を含むメッセージはアンチウイルス プログラムの更新を待機する必要があるため、ウイルス以外の脅威を含む場合よりも隔離に長くとどまります。各メール
ポリシーで指定した最大保持期間も反映されます。
- サイトのクリック時評価(受信者がメッセージ内の悪意のある可能性があるリンクをクリックした場合)用に、メッセージ受信者を Cisco Web セキュリティ プロキシにリダイレクトするために最も頻繁に書き換えられた URL。
いずれかの URL が悪意のある URL と見なされると、そのメッセージ内のすべての URL が書き換えられるため、このリストには悪質でない URL が含まれる場合があります。
(注) |
[アウトブレイクフィルタ(Outbreak Filters)] レポート ページにテーブルが正しく表示されるためには、アプライアンスが、[セキュリティサービス(Security Services)] > [サービスのアップデート(Service
Updates)]で指定した Cisco アップデート サーバと通信できる必要があります。[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定(Update Settings)]
|
詳細については、「Outbreak Filters」の章を参照してください。