Inleiding
In dit document worden de stappen beschreven voor het overslaan van het uploaden van onbekende MIME-bestanden (Application/octet-stream) naar de bestandanalyseserver in Cisco ESA.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Hoe Advanced Malware Protection (AMP) in ESA werkt.
- Basiskennis van MIME-bestandstypen.
Cisco raadt u aan om:
- Fysieke of virtuele ESA geïnstalleerd.
- Licentie geactiveerd of geïnstalleerd.
- De installatiewizard is voltooid.
- Toegang tot de ESA Command Line Interface (CLI).
Gebruikte componenten
Dit document is van toepassing op AsyncOS 15.5.1, 15.0.2 en latere versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
MIME-typen
Een mediatype, ook wel Multipurpose Internet Mail Extensions (MIME)-type genoemd, dient om het karakter en de structuur van een document, bestand of verzameling bytes te identificeren. De specificaties voor MIME-typen zijn vastgesteld en uniform gemaakt in de Internet Engineering Task Force (IETF) RFC 6838.
Niet-herkende subtypen van "tekst" moeten worden behandeld als subtype "plain" zolang de MIME-implementatie weet hoe de tekenset moet worden behandeld. Niet-herkende subtypen die ook een niet-herkende tekenset opgeven, moeten worden behandeld als "application/octet-stream".
Voor meer informatie verwijzen wij u naar RFC 2046 - Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types
ESA-toestel overschrijdt uploadlimiet
Als u de service Bestandsanalyse hebt ingeschakeld en de reputatieservice geen informatie over het bestand heeft en het bestand voldoet aan de criteria voor bestanden die kunnen worden geanalyseerd, kan het bericht in quarantaine worden geplaatst en het bestand ter analyse worden verzonden. Als u het toestel niet hebt geconfigureerd om berichten in quarantaine te plaatsen wanneer bijlagen worden verzonden voor analyse, of als het bestand niet wordt verzonden voor analyse, wordt het bericht vrijgegeven aan de gebruiker.
Raadpleeg de gebruikershandleiding voor meer informatie. Gebruikershandleiding voor AsyncOS 15.0 voor Cisco Secure Email Gateway - GD (General Deployment) - Bestandsreputatiefiltering en bestandsanalyse [Cisco Secure Email Gateway] - Cisco
We hebben een nieuwe CLI-opdracht geïntroduceerd om het probleem aan te pakken van apparaten met beperkte bestandsindieningsquota die voortijdig de maximale uploadcapaciteit bereiken omdat de ESA buitensporige bestanden ter inspectie indient, . Deze verbetering is geïmplementeerd vanaf versie 15.5.1 en wordt ook opgenomen in de 15.0.2 Maintenance Release (MR) en daaropvolgende versies.
Let op: voor een betere beveiliging raden we ten zeerste aan om alle bestanden te uploaden zoals aanbevolen. Als u het echter essentieel vindt om deze stap voor specifieke bestandstypen te omzeilen, biedt de opgegeven opdracht de optie om dit naar eigen goeddunken te doen. Ga voorzichtig te werk en begrijp de mogelijke risico's.
MIME-typen voor toepassingen/octet-stream uitsluiten om naar bestandanalyse te uploaden
Ga als volgt te werk om de MIME-typen voor de toepassing/octet-stream uit te sluiten die u naar de bestandanalyseserver wilt uploaden om te scannen:
Stap 1. Log in bij CLI.
Stap 2. voer de opdracht ampconfig uit
Stap 3. Typ unknown mimeoverride en druk op enter
Opmerking: onbekende mimeoverride is een verborgen opdracht.
Stap 4. Typ N als antwoord op "Wilt u onbekende mime alleen voor analyse verzenden als hun extensies zijn geselecteerd? [N]> "
Stap 5. Druk op Enter om de wizard af te sluiten.
Stap 6. Wijzigingen vastleggen
ESA_CLI> ampconfig
File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting
details.
- CACHESETTINGS - Configure the cache settings for AMP.
[]> unknownmimeoverride
Do you want to send unknown mime for analysis only if their extensions are selected? [Y]> N
ESA_CLI> commit
Gekoppelde defecten en verbeteringen
Deze nieuwe functie is geïntroduceerd vanwege deze functieverzoeken en -defecten:
- Gedragsverandering in HTML- en Octet-stream-bestanden uploaden naar Bestandsanalyse verwart klanten. Cisco bug ID CSCwh61317
- p7s-bestanden worden geüpload naar Bestandsanalyse, zelfs als het bestandstype niet is geselecteerd. Cisco bug ID CSCwh70476
Referenties
Gebruikershandleiding voor AsyncOS 15.0 voor Cisco Secure Email Gateway - GD (General Deployment) - Bestandsreputatiefiltering en bestandsanalyse [Cisco Secure Email Gateway] - Cisco
RFC 2046 — Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types