発信トラフィックでの既存の感染のスキャン

この章で説明する内容は、次のとおりです。

Overview of Scanning Outbound Traffic

To prevent malicious data from leaving the network, the Secure Web Appliance provides the Outbound Malware Scanning feature. Using policy groups, you can define which uploads are scanned for malware, which anti-malware scanning engines to use for scanning, and which malware types to block.

The Cisco Dynamic Vectoring and Streaming (DVS) engine scans transaction requests as they leave the network. By working with the Cisco DVS engine, the Secure Web Appliance enables you to prevent users from unintentionally uploading malicious data.

You can perform the following tasks:

Task

Link to Task

Create policies to block malware

アウトバウンド マルウェア スキャン ポリシーの設定

Assign upload requests to outbound malware policy groups

Controlling Upload Requests

要求が DVS エンジンによってブロックされた場合のユーザー エクスペリエンス

Cisco DVS エンジンがアップロード要求をブロックすると、Web プロキシはエンド ユーザーにブロック ページを送信します。ただし、すべての Web サイトでエンド ユーザーにブロック ページが表示されるわけではありません。一部の Web 2.0 Web サイトでは、静的 Web ページの代わりに JavaScript を使用して動的コンテンツが表示され、ブロック ページが表示されることはありません。そのような場合でも、ユーザーは適切にブロックされているので悪意のあるデータをアップロードすることはありませんが、そのことが Web サイトから通知されない場合もあります。

アップロード要求について

発信マルウェア スキャン ポリシーは、サーバーにデータをアップロードするトランザクション(アップロード要求)に対して、Web プロキシが HTTP 要求と復号 HTTPS 接続をブロックするかどうかを定義します。アップロード要求は、要求本文にコンテンツが含まれている HTTP または復号 HTTPS 要求です。

アップロード要求を受信すると、Web プロキシは要求を発信マルウェア スキャン ポリシー グループと比較して、適用するポリシー グループを決定します。ポリシー グループに要求を割り当てた後、ポリシー グループの設定済み制御設定と要求を比較し、要求をモニターするかブロックするかを決定します。発信マルウェア スキャン ポリシーによる判定で要求をモニターすることが決定されると、要求はアクセス ポリシーに対して評価され、Web プロキシが実行する最終アクションが該当するアクセス ポリシーによって決定されます。


(注)  
サイズがゼロ(0)バイトのファイルのアップロードを試みているアップロード要求は、発信マルウェア スキャン ポリシーに対して評価されません。

グループ メンバーシップの基準

各クライアント要求に ID が割り当てられ、次に、それらの要求が他のポリシー タイプと照合して評価され、タイプごとに要求が属するポリシー グループが判定されます。Web プロキシは、要求のポリシー グループ メンバーシップに基づいて、設定されているポリシー制御設定をクライアント要求に適用します。

Web プロキシは、特定のプロセスを実行してグループ メンバーシップの基準と照合します。グループ メンバーシップの以下の要素が考慮されます。

基準

説明

識別プロファイル(Identification Profile)

各クライアント要求は、識別プロファイルに一致するか、認証に失敗するか、ゲスト アクセスが許可されるか、または認証に失敗して終了します。

権限を持つユーザー

割り当てられた識別プロファイルが認証を必要とする場合に、そのユーザーが発信マルウェア スキャン ポリシー グループの承認済みユーザーのリストに含まれており、ポリシー グループに一致している必要があります。承認済みユーザーのリストには、任意のグループまたはユーザーを指定でき、識別プロファイルがゲスト アクセスを許可している場合はゲスト ユーザーを指定できます。

詳細オプション(Advanced options)

発信マルウェア スキャン ポリシー グループ メンバーシップの複数の高度なオプションを設定できます。一部のオプション(プロキシ ポート、URL カテゴリなど)は、識別プロファイル内に定義することもできます。高度なオプションを識別プロファイル内で設定すると、発信マルウェア スキャン ポリシー グループ レベルでは設定できなくなります。

クライアント要求と発信マルウェア スキャン ポリシー グループの照合

Web プロキシは、アップロード要求のステータスを最初のポリシー グループのメンバーシップ基準と比較します。一致した場合、Web プロキシは、そのポリシー グループのポリシー設定を適用します。

一致しない場合は、その以下のポリシー グループとアップロード要求を比較します。アップロード要求をユーザー定義のポリシー グループと照合するまで、Web プロキシはこのプロセスを続行します。ユーザー定義のポリシー グループに一致しない場合は、グローバル ポリシー グループと照合します。Web プロキシは、アップロード要求をポリシー グループまたはグローバル ポリシー グループと照合するときに、そのポリシー グループのポリシー設定を適用します。

アウトバウンド マルウェア スキャン ポリシーの設定

宛先サイトの 1 つ以上のアイデンティティや URL カテゴリなど、複数の条件の組み合わせに基づいてアウトバウンド マルウェア スキャン ポリシー グループを作成できます。ポリシー グループのメンバーシップには、少なくとも 1 つの条件を定義する必要があります。複数の条件が定義されている場合、アップロード要求がポリシー グループと一致するには、すべての条件を満たしていなければなりません。ただし、アップロード要求は設定された ID の 1 つのみと一致する必要があります。

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [発信マルウェア スキャン(Outbound Malware Scanning)] を選択します。

ステップ 2

[ポリシーを追加(Add Policy)] をクリックします。

ステップ 3

ポリシー グループの名前と説明(任意)を入力します。

(注)  

 
各ポリシー グループ名は、英数字またはスペース文字のみを含む、一意の名前とする必要があります。

ステップ 4

[上記ポリシーを挿入(Insert Above Policy)] フィールドで、ポリシー テーブル内のポリシー グループを配置する場所を選択します。

複数のポリシー グループを設定する場合は、各グループに論理的な順序を指定します。

ステップ 5

[識別プロファイルおよびユーザー(Identification Profiles And Users)] セクションで、このポリシー グループに適用する 1 つまたは複数の ID グループを選択します。

ステップ 6

(任意)[詳細(Advanced)] セクションを拡張して、追加のメンバーシップ要件を定義します。

ステップ 7

いずれかの拡張オプションを使用してポリシー グループのメンバーシップを定義するには、拡張オプションのリンクをクリックし、表示されるページでオプションを設定します。

高度なオプション

説明

プロトコル

クライアント要求で使用されるプロトコルによってポリシー グループのメンバーシップを定義するかどうかを選択します。含めるプロトコルを選択します。

[その他のすべて(All others)] は、このオプションの上に一覧表示されていないプロトコルを意味します。

(注)  

 
HTTPS プロキシをイネーブルにすると、復号ポリシーのみが HTTPS トランザクションに適用されます。アクセス、ルーティング、アウトバウンド マルウェア スキャン、データ セキュリティ、外部 DLP のポリシーの場合は、HTTPS プロトコルによってポリシー メンバーシップを定義できません。

プロキシ ポート(Proxy Ports)

Web プロキシへのアクセスに使用するプロキシ ポートで、ポリシー グループ メンバーシップを定義するかどうかを選択します。[プロキシ ポート(Proxy Ports)] フィールドに、1 つ以上のポート番号を入力します。複数のポートを指定する場合は、カンマで区切ります。

明示的な転送接続のために、ブラウザに設定されたポートです。透過接続の場合は、宛先ポートと同じです。

クライアント要求がアプライアンスに透過的にリダイレクトされるときにプロキシ ポートでポリシー グループのメンバーシップを定義すると、一部の要求が拒否される場合があります。

(注)  

 
このポリシー グループに関連付けられている ID がこの詳細設定によって ID メンバーシップを定義している場合、非 ID ポリシー グループ レベルではこの設定項目を設定できません。

サブネット(Subnets)

サブネットまたは他のアドレスでポリシー グループのメンバーシップを定義するかどうかを選択します。

関連 ID で定義されている可能性のあるアドレスを使用するか、またはここで特定のアドレスを入力することができます。

(注)  

 
ポリシー グループに関連付けられている ID がアドレスによってメンバーシップを定義している場合は、ID で定義されているアドレスのサブセットであるアドレスを、このポリシー グループに入力する必要があります。ポリシー グループにアドレスを追加することにより、このグループ ポリシーに一致するトランザクションのリストを絞り込めます。

URL カテゴリ(URL Categories)

URL カテゴリでポリシー グループのメンバーシップを定義するかどうかを選択します。ユーザー定義または定義済みの URL カテゴリを選択します。

(注)  

 
このポリシー グループに関連付けられている ID がこの詳細設定によって ID メンバーシップを定義している場合、非 ID ポリシー グループ レベルではこの設定項目を設定できません。

ユーザー エージェント(User Agents)

クライアント要求で使用されるユーザー エージェント(アップデータや Web ブラウザなどのクライアント アプリケーション)ごとにポリシー グループ メンバーシップを定義するかどうかを選択します。一般的に定義されているユーザー エージェントを選択するか、正規表現を使用して独自に定義できます。メンバーシップの定義に選択したユーザー エージェントのみを含めるか、選択したユーザー エージェントを明確に除外するかどうかを指定します。

(注)  

 
このポリシー グループに関連付けられている識別プロファイルが、この詳細設定によって識別プロファイル メンバーシップを定義している場合、非識別プロファイル ポリシー グループ レベルではこの設定項目を設定できません。

ユーザーの場所(User Location)

ユーザーのリモートまたはローカルの場所でポリシー グループのメンバーシップを定義するかどうかを選択します。

ステップ 8

変更を送信します。

ステップ 9

アウトバウンド マルウェア スキャン ポリシー グループの管理を設定して、Web プロキシがトランザクションを処理する方法を定義します。

新しいアウトバウンド マルウェア スキャン ポリシー グループは、各制御設定のオプションが設定されるまで、グローバル ポリシー グループの設定を自動的に継承します。

ステップ 10

変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。

Controlling Upload Requests

Each upload request is assigned to an Outbound Malware Scanning Policy group and inherits the control settings of that policy group. After the Web Proxy receives the upload request headers, it has the information necessary to decide if it should scan the request body. The DVS engine scans the request and returns a verdict to the Web Proxy. The block page appears to the end user, if applicable.

Procedure

Step 1

Choose Web Security Manager > Outbound Malware Scanning.

Step 2

In the Destinations column, click the link for the policy group you want to configure.

Step 3

In the Edit Destination Settings section, select Define Destinations Scanning Custom Settings from the drop-down menu.

Step 4

In the Destinations to Scan section, select one of the following:

Option

Description

Do not scan any uploads

The DVS engine scans no upload requests. All upload requests are evaluated against the Access Policies

Scan all uploads

The DVS engine scans all upload requests. The upload request is blocked or evaluated against the Access Policies, depending on the DVS engine scanning verdict

Scan uploads to specified custom URL categories

The DVS engine scans upload requests that belong in specific custom URL categories. The upload request is blocked or evaluated against the Access Policies, depending on the DVS engine scanning verdict.

Click Edit custom categories list to select the URL categories to scan

Step 5

Submit your changes.

Step 6

In the Anti-Malware Filtering column, click the link for the policy group.

Step 7

In the Anti-Malware Settings section, select Define Anti-Malware Custom Settings.

Step 8

In the Cisco DVS Anti-Malware Settings section, select which anti-malware scanning engines to enable for this policy group.

Step 9

In the Malware Categories section, select whether to monitor or block the various malware categories.

The categories listed in this section depend on which scanning engines you enable.

Note

 
URL transactions are categorized as unscannable when the configured maximum time setting is reached or when the system experiences a transient error condition. For example, transactions might be categorized as unscannable during scanning engine updates or AsyncOS upgrades. The malware scanning verdicts SV_TIMEOUT and SV_ERROR are considered unscannable transactions.

Step 10

Submit and Commit Changes.

DVS スキャンのロギング

アクセス ログは、DVS エンジンがマルウェアについてアップロード要求をスキャンしたかどうかを示します。各アクセス ログ エントリのスキャン判定情報セクションには、スキャンされたアップロードに対する DVS エンジン アクティビティの値が含まれています。フィールドのいずれかを W3C またはアクセス ログに追加すると、この DVS エンジン アクティビティをより簡単に検索できます。

表 1. W3C ログのログ フィールドおよびアクセス ログのフォーマット指定子

W3C ログ フィールド

アクセス ログのフォーマット指定子

x-req-dvs-scanverdict

%X2

x-req-dvs-threat-name

%X4

x-req-dvs-verdictname

%X3

DVS エンジンによってアップロード要求がマルウェアと判定され、DVS エンジンがマルウェアのアップロードをブロックするように設定されている場合、アクセス ログの ACL デシジョン タグは BLOCK_AMW_REQ になります。

ただし、DVS エンジンによってアップロード要求がマルウェアと判定され、DVS エンジンがマルウェアをモニターするように設定されている場合、アクセス ログの ACL デシジョン タグは、実際にトランザクションに適用されるアクセス ポリシーによって決まります。

DVS エンジンがマルウェアについてアップロード要求をスキャンしたかどうかを判断するには、各アクセス ログ エントリのスキャン判定情報セクションで、DVS エンジン アクティビティの結果を確認します。