ESA FAQ: A manifestação dos filtros/vírus da manifestação filtra (VOF) o FAQ
Opções de download
Linguagem imparcial
O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
Sobre esta tradução
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Índice
Introdução
Este original descreve e responde a algumas das perguntas mais frequentemente feitas em relação aos filtros da manifestação, ou aos filtros da manifestação do vírus (VOF), na ferramenta de segurança do email de Cisco (ESA).
Que são filtros da manifestação?
Nota: Seja por favor certo que você revê o Guia do Usuário para a versão de AsyncOS para a Segurança do email que você está executando atualmente. Exemplo, Guia do Usuário para AsyncOS 13.0 para ferramentas de segurança do email de Cisco, capítulo: Filtros da manifestação
Os filtros da manifestação protegem sua rede das manifestações em grande escala do vírus e dos ataques menores, NON-virais, tais como embustes do phishing e distribuição do malware, porque ocorrem. Ao contrário da maioria de software de segurança do anti-malware, que não pode detectar manifestações novas até que os dados estiverem recolhidos e uma atualização de software estiver publicada, dados dos recolhimentos de Cisco em manifestações como espalham e enviam a informação atualizadas a seu ESA no tempo real impedir que estas mensagens alcancem seus usuários.
Cisco usa testes padrões de tráfego global para desenvolver as regras que determinam se um mensagem recebida é seguro ou parte de uma manifestação. As mensagens que podem ser parte de uma manifestação quarantined até que estejam determinadas ser cofre forte baseado na informação actualizado da manifestação de Cisco ou definições anti-vírus novas são publicadas por Sophos e pela McAfee.
As mensagens usadas nos ataques em escala reduzida, NON-virais usam um projeto devista, a informação do receptor, e o costume URL que apontam aos Web site do phishing e do malware que foram em linha somente por um curto período de tempo e são desconhecidos aos Serviços de segurança da Web. Os filtros da manifestação analisam um índice de mensagem e procuram-no pelas relações URL para detectar este tipo de ataque NON-viral. Os filtros da manifestação podem reescrever URL para reorientar o tráfego aos Web site potencialmente nocivos com um proxy da Segurança da Web, que um ou outro advirta os usuários que o Web site que estão tentando alcançar pode ser malicioso ou obstrua o Web site completamente.
Posso eu usar filtros da manifestação mesmo se eu não estou executando Sophos ou a McAfee anti-vírus em meu ESA?
Cisco recomenda que você permite Sophos ou a McAfee anti-vírus além do que filtros da manifestação de aumentar sua defesa contra acessórios virais. Contudo, os filtros da manifestação podem operar-se independentemente sem exigir Sophos ou a McAfee anti-vírus ser permitido.
Quando os filtros da manifestação quarantine uma mensagem?
Uma mensagem quarantined quando contém o anexo de arquivos que encontra ou excede as regras atuais da manifestação e pelo correio os administradores ajustados pontos iniciais. Cisco publica regras atuais da manifestação a cada ESA que tem uma chave de recurso válida. As mensagens que podem ser parte de uma manifestação quarantined até que estejam determinadas ser cofre forte baseado na informação actualizado da manifestação de Cisco ou definições anti-vírus novas são publicadas por Sophos e pela McAfee.
Como as regras de filtro da manifestação são redigidas?
As regras da manifestação são publicadas pelas operações secretas do Cisco Security (SIO), um ecossistema da Segurança que conecte a informação global da ameaça, serviços reputação-baseados, e a análise sofisticada de ferramentas de segurança de Cisco para fornecer uma proteção mais forte o tempo de resposta mais rápido. À revelia, seu dispositivo verifica e transfere a manifestação nova ordena os minutos cada 5 como parte das atualizações do serviço.
O SIO consiste em três componentes:
- SenderBase, a rede a maior da monitoração da ameaça do mundo, e base de dados da vulnerabilidade.
- Talos, a equipe global de Cisco dos espertos em segurança e dos sistemas automatizados.
- As atualizações dinâmica, as atualizações do tempo real entregadas automaticamente aos dispositivos como manifestações ocorrem.
Há uns melhores prática para configurar filtros da manifestação?
Sim. A recomendação para o nível de serviço é como segue:
- Permita regras adaptáveis
- Ajuste o tamanho máximo de mensagem para fazer a varredura para 2M
- Seguimento permitido da interação da Web
A configuração a nível da política do correio recebido deverá ser determinada em um por-cliente, base da por-política.
Como eu relato uma regra de filtro incorreta da manifestação?
Você pode relatar o falso positivo ou os falsos negativos em uma de duas maneiras:
- Abra um caso de suporte de Cisco: https://mycase.cloudapps.cisco.com/case
- Abra um bilhete da reputação com Talos: https://talosintelligence.com/reputation_center/support
Estão abaixo as circunstâncias que nós podemos refinar regras de filtragem da manifestação:
- Extensões de arquivo
- Assinatura de arquivo (mágica) (assinatura binária do arquivo que indica seu tipo “verdadeiro”)
- URL
- Nome de arquivo
- Tamanho do arquivo
Que acontece quando a quarentena da manifestação se enche acima?
Quando uma quarentena excede o espaço máximo atribuído a ela, ou se uma mensagem excede o ajuste do tempo máximo, as mensagens estão podadas automaticamente da quarentena para mantê-la dentro dos limites. As mensagens são removidas em um first in, base do first-out (FIFO, primeiro a entrar, primeiro a sair) (FIFO). Ou seja as mensagens as mais velhas são suprimidas primeiramente. Você pode configurar uma quarentena à liberação (isto é, entregue) ou suprimir de uma mensagem que deva ser podada de uma quarentena. Se você escolhe aos mensagens release, você pode eleger para ter a linha de assunto etiquetada com o texto que você especifica qual alertará o receptor que a mensagem era forçada fora da quarentena.
A liberação de seguimento da quarentena da manifestação, mensagens é tornada a varrer pelo módulo anti-vírus, e a ação é tomada de acordo com a política anti-vírus. Segundo esta política, uma mensagem pode ser entregada, suprimido, ou entregado com os acessórios virais descascados. Espera-se que os vírus estarão encontrados frequentemente durante a nova varredura após a liberação da quarentena da manifestação. Os mail_logs ou o rastreamento de mensagem ESA podem ser consultados para determinar se uma mensagem individual que seja notada na quarentena foram encontrados para ser viral, e se e como ele foi entregado.
Antes que uma quarentena do sistema se encha acima, um alerta está enviado quando a quarentena alcança 75% completo, e um outro alerta está enviado quando alcança 95% completo. A quarentena da manifestação tem uns recursos de gerenciamento adicionais que permitam que você suprima ou libere de todas as mensagens que combinam um nível particular da ameaça do vírus (VTL). Isto permite a limpeza fácil da quarentena depois que uma atualização anti-vírus é recebida que enderece uma ameaça particular do vírus.
Que é o significado da ameaça em nível para uma regra da manifestação?
Os filtros da manifestação atuam sob níveis da ameaça entre 0 e 5. O nível da ameaça avalia a probabilidade de uma manifestação viral. Baseado no risco de uma manifestação viral, o nível da ameaça influencia quarantining de arquivos suspeitos. O nível da ameaça é baseado em um número de fatores, incluindo mas não limitado ao tráfego de rede, à atividade de arquivo suspeito, à entrada dos vendedores anti-vírus, e à análise por Cisco SIO. Além, os filtros da manifestação permitem que os administradores do correio aumentem ou diminuam o impacto de níveis da ameaça para suas redes.
| Nível | Risco | Significado |
| 0 |
Nenhum | Não há nenhum risco que a mensagem é uma ameaça. |
| 1 | Baixo | O risco que a mensagem é uma ameaça é baixo. |
| 2 | Baixo/media | O risco que a mensagem é uma ameaça é baixo ao media. É uma ameaça “suspeitada”. |
| 3 | Médio | Ou a mensagem é parte de uma manifestação confirmada ou há um media ao grande risco de seu índice que está uma ameaça. |
| 4 | Alto | Ou a mensagem é confirmada para ser parte de uma manifestação da larga escala ou seu índice é muito perigoso. |
| 5 | Extremo | O índice de mensagem é confirmado parte da uma manifestação que seja extremamente larga escala ou larga escala e extremamente perigosa. |
Como posso eu ser alertado quando uma manifestação ocorre?
Quando os filtros da manifestação recebem novo/atualiza regras para elevar a ameaça da quarentena em nível para um tipo particular de perfil da mensagem, você pode ser alertado através de um mensagem de Email enviado a seu endereço email alerta configurado. Quando um nível da ameaça cai abaixo de seu limiar configurado, um outro alerta está enviado. Você pode assim monitorar o progresso dos acessórios virais. Estes email são enviados como email da “informação”.
Nota: Para assegurá-lo receberá estas notificações de Email, verifica o endereço email que os alertas estão enviados no CLI usando o comando do alertconfig, ou o GUI: A administração do sistema > alertas.
Para configurar, ou configuração da revisão
- GUI: Os Serviços de segurança > os filtros da manifestação e reveem a configuração sob as configurações globais da edição…
- CLI: outbreakconfig > setup
Exemplo:
> outbreakconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).
What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [Y]> y
What is the largest size message Outbreak Filters should scan?
[2097152]>
Do you want to use adaptive rules to compute the threat level of messages? [Y]>
Logging of URLs is currently enabled.
Do you wish to disable logging of URL's? [N]>
Web Interaction Tracking is currently enabled.
Do you wish to disable Web Interaction Tracking? [N]>
The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
Informações Relacionadas
Colaborado por engenheiros da Cisco
- Robert SherwinCisco envia por correio eletrónico a Segurança
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)