ファイル レピュテーション フィルタリングとファイル分析の概要
高度なマルウェア防御は、次によりゼロデイやファイルベースの標的型の脅威から保護します。
- 既知のファイルのレピュテーションを取得する。
- レピュテーション サービスでまだ認識されていない特定のファイルの動作を分析する。
- 新しい情報が利用可能になるのに伴い出現する脅威を常に評価し、脅威と判定されているファイルがネットワークに侵入するとユーザに通知する。
この機能はファイルのダウンロードに使用できます。アップロードされたファイル
ファイル レピュテーション サービスはクラウドに存在します。ファイル分析サービスには、パブリック クラウドまたはプライベート クラウド(オンプレミス)のオプションがあります。
-
プライベート クラウド ファイル レピュテーション サービスは Cisco AMP 仮想プライベート クラウド アプライアンスにより提供され、「プロキシ」モードまたは「エアギャップ」(オンプレミス)モードで動作します。オンプレミスのファイル レピュテーション サーバの設定を参照してください。
-
プライベート クラウドファイル分析サービスは、オンプレミス Cisco AMP Threat Grid アプライアンスから提供されます。オンプレミスのファイル分析サーバの設定を参照してください。
ファイル脅威判定のアップデート
脅威判定は、新たな情報に合わせて変更できます。最初にファイルが不明または正常として評価されると、ユーザがこのファイルにアクセスできます。新しい情報が利用可能になるのに伴い脅威判定が変更されると、アラートが送信され、ファイルとその新しい判定が [AMP 判定のアップデート(AMP Verdict Updates)] レポートに示されます。脅威の影響に対処する最初の作業として、侵入のきっかけとなったトランザクションを調査できます。
判定を、「悪意がある」から「正常」に変更できます。
アプライアンスが同じファイルの後続インスタンスを処理するときに、更新された結果がただちに適用されます。
判定アップデートのタイミングに関する情報は、ファイル基準のドキュメント(ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照)に記載されています。
関連項目
ファイル処理の概要
最初に、ファイルのダウンロード元の Web サイトが Web ベース レピュテーション サービス(WBRS)に対して評価されます。
サイトの Web レピュテーション スコアが「スキャン」に設定される範囲内である場合、アプライアンスはマルウェアについてトランザクションをスキャンすると同時に、ファイルのレピュテーションについてクラウド ベース サービスに問い合わせます。(サイトのレピュテーション スコアが「ブロック」の範囲内である場合、トランザクションは適宜に処理され、ファイルをさらに処理する必要はありません)。スキャン中にマルウェアが検出された場合は、ファイル レピュテーションに関係なく、トランザクションがブロックされます。
[適応型スキャン(Adaptive Scanning)] もイネーブルになっている場合は、ファイル レピュテーションの評価とファイル分析が適応型スキャンに含まれます。
アプライアンスとファイル レピュテーション サービス間の通信は暗号化され、改ざんから保護されます。
ファイル レピュテーションの評価後:
- ファイルがファイル レピュテーション サービスに対して既知であり、正常であると判断された場合、ファイルはエンドユーザに対して解放されます。
- ファイル レピュテーション サービスから悪意があるという判定が返されると、このようなファイルに対して指定したアクションが、アプライアンスにより適用されます。
- レピュテーション サービスがファイルを認識しているが、決定的な判定を下すための十分な情報がない場合、レピュテーション サービスはファイルの特性(脅威のフィンガープリントや動作分析など)に基づき、脅威スコアを戻します。このスコアが設定されたレピュテーションしきい値を満たすか、または超過した場合、悪意がある、またはリスクの高いファイルに関するアクセス ポリシーで設定したアクションがアプライアンスによって適用されます。
- レピュテーション サービスにそのファイルに関する情報がなく、そのファイルが分析の基準を満たしていない場合(ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照)、そのファイルは正常と見なされ、エンドユーザに解放されます。
-
クラウドベースのファイル分析サービスを有効にしており、レピュテーション サービスにそのファイルの情報がなく、そのファイルが分析できるファイルの基準を満たしている場合(ファイル レピュテーションおよび分析サービスでサポートされるファイルを参照)は、ファイルは正常と見なされ、任意で分析用に送信されます。
- オンプレミスのファイル分析での展開では、レピュテーション評価とファイル分析は同時に実行されます。レピュテーション サービスから判定が返された場合は、その判定が使用されます。これは、レピュテーション サービスにはさまざまなソースからの情報が含まれているためです。レピュテーション サービスがファイルを認識していない場合、そのファイルはユーザに解放されますが、ファイル分析の結果がローカル キャッシュで更新され、そのファイルのインスタンスの以降の評価に使用されます。
- サーバとの接続がタイムアウトしたためにファイル レピュテーションの判定の情報が利用できない場合、そのファイルはスキャン不可と見なされ、設定されたアクションが適用されます。
ファイルが分析のために送信される場合:
- 分析用にクラウドに送信される場合、ファイルは HTTPS 経由で送信されます。
- 分析には通常、数分かかりますが、さらに時間がかかることもあります。
- ファイル分析で悪意があるとしてフラグ付けされたファイルが、レピュテーション サービスでは悪意があると識別されない場合があります。ファイル レピュテーションは、1 回のファイル分析結果でなく、さまざまな要因によって経時的に決定されます。
- オンプレミスの Cisco AMP Threat Grid アプライアンスを使用して分析されたファイルの結果は、ローカルにキャッシュされます。
判別のアップデートの詳細については、ファイル脅威判定のアップデートを参照してください。
ファイル レピュテーションおよび分析サービスでサポートされるファイル
レピュテーション サービスは大部分のファイル タイプを評価します。ファイル タイプの識別はファイル コンテンツによって行われ、ファイル拡張子には依存していません。
レピュテーションが「不明」となっているファイルは脅威の特徴と対比して分析できます。ファイル分析機能を設定すると、分析するファイル タイプを選択できます。新しいタイプを動的に追加できます。アップロード可能なファイル タイプのリストが変更された場合はアラートを受け取るので、追加されたファイル タイプを選択してアップロードできます。
ファイル レピュテーションおよび分析サービスでサポートされているファイルの詳細は、登録済みのお客様に限り提供しています。評価と分析の対象となるファイルについて詳しくは、『File Criteria for Advanced Malware Protection Services for Cisco Content Security Products』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-user-guide-list.html から入手できます。ファイルのレピュテーションの評価と分析のためにファイルを送信する基準は、随時変更される場合があります。
このドキュメントにアクセスするには、シスコの顧客アカウントとサポート契約が必要です。登録するには、https://tools.cisco.com/RPF/register/register.do にアクセスしてください。
[セキュリティ サービス(Security Services)] > [マルウェア対策およびレピュテーション(Anti-Malware and Reputation)] ページの [DVS エンジン オブジェクト スキャンの制限(DVS Engine Object Scanning Limits)] の設定も、ファイル レピュテーションと分析の最大ファイル サイズを決定します。
高度なマルウェア防御が対応しないファイルのダウンロードをブロックするには、ポリシーを設定する必要があります。
(注) |
どこかのソースからすでに分析用にアップロードしたことのある(着信メールまたは発信メールのいずれかの)ファイルは、再度アップロードされません。このようなファイルの分析結果を表示するには、[ファイル分析(File Analysis)] レポート ページから SHA-256 を検索します。 |
関連項目
アーカイブまたは圧縮されたファイルの処理
ファイルが圧縮またはアーカイブされている場合:
- 圧縮またはアーカイブ ファイルのレピュテーションが評価されます。
ファイル形式を含めて調査するアーカイブ ファイルおよび圧縮ファイルの詳細については、ファイル レピュテーションおよび分析サービスでサポートされるファイル からリンクされている情報を参照してください。
このシナリオでは、次のようになります。
- 抽出されたファイルのいずれかが悪意のあるファイルである場合、ファイル レピュテーション サービスは、その圧縮/アーカイブ ファイルに対して「悪意がある(Malicious)」という判定を返します。
- 圧縮/アーカイブ ファイルが悪意のあるファイルであり、抽出されたすべてのファイルが正常である場合、ファイル レピュテーション サービスは、圧縮/アーカイブ ファイルに対して「悪意がある(Malicious)」という判定を返します。
- 抽出されたファイルのいくつかの判定が「不明(unknown)」である場合、それらの抽出ファイルは、状況に応じて、分析のために送信されます(そのように設定されており、ファイル タイプがファイル分析でサポートされている場合)。
- 圧縮/アーカイブ ファイルの圧縮解除中にファイルの抽出に失敗した場合、ファイル レピュテーション サービスは、圧縮/アーカイブ ファイルに対して「スキャン不可(Unscannable)」という判定を返します。ただし、抽出されたファイルの 1 つが悪意のあるファイルである場合、ファイル レピュテーション サービスは、圧縮/アーカイブ ファイルに対して「悪意がある(Malicious)」という判定を返します(「悪意がある(Malicious)」という判定は「スキャン不可(Unscannable)」よりも順位が高くなります)。
(注) |
セキュア MIME タイプの抽出ファイル(テキストやプレーン テキストなど)のレピュテーションは、評価されません。 |
クラウドに送信される情報のプライバシー
- クラウド内のレピュテーション サービスには、ファイルを一意に識別する SHA のみが送信されます。ファイル自体は送信されません。
- クラウド内のファイル分析サービスを使用している場合、ファイルが分析の要件を満たしていれば、ファイル自体がクラウドに送信されます。
-
分析用にクラウドに送信されて「悪意がある」と判定されたすべてのファイルに関する情報は、レピュテーション データベースに追加されます。この情報は他のデータと共にレピュテーション スコアを決定するために使用されます。
オンプレミスの Cisco AMP Threat Grid アプライアンスで分析されたファイルの詳細は、レピュテーション サービスと共有されることはありません。