Introduction
Este documento descreve como testar e verificar os recursos da Proteção avançada contra malware (AMP) do Cisco Email Security Appliance (ESA).
Testar AMP no ESA
Com o lançamento do AsyncOS 8.5 para o ESA, a AMP realiza verificações de reputação de arquivos e análises de arquivos para detectar malware em anexos.
Chaves de recurso
Para implementar o AMP, você deve ter uma chave de recurso válida e ativa para Reputação de arquivo e Análise de arquivo em seu ESA. Visite System Administration> Feature Keys na GUI ou use featurekeys na CLI para verificar as chaves de recurso.
Serviços de segurança
Para habilitar o serviço na GUI, navegue para Serviços de segurança > Reputação e análise de arquivos. Da CLI, você pode executar ampconfig. Envie e confirme suas alterações à configuração.
Políticas de e-mail de entrada
Depois de habilitar o serviço, você deverá ter esse serviço vinculado a uma política de e-mail de entrada.
- Navegue para Políticas de e-mail > Políticas de recebimento de e-mail.
- Selecione sua Política padrão ou política pré-configurada conforme necessário. A coluna Proteção avançada contra malware na página Políticas de recebimento de e-mail é exibida.
- Selecione o link Desabilitado para a coluna e Habilitar reputação de arquivo e Habilitar análise de arquivo na página de opções.
- Você pode fazer mais aprimoramentos na configuração da verificação de mensagens, ações para anexos não verificáveis e ações para mensagens identificadas positivamente, conforme necessário.
- Envie e confirme suas alterações à configuração.
Teste
No momento, sua política de recebimento de e-mails está habilitada para verificar e detectar malware. Você deve ter uma amostra real de malware para testar. Se precisar de exemplos válidos, visite a página de downloads do European Institute for Computer Antivirus Research (eicar).
Cuidado: a Cisco não pode ser responsabilizada quando esses arquivos ou o scanner AV em combinação com esses arquivos causarem qualquer dano ao seu computador ou ambiente de rede. FAÇA O DOWNLOAD DESSES ARQUIVOS SOB SEU PRÓPRIO RISCO. Baixe esses arquivos somente se você estiver suficientemente seguro no uso do scanner AV, das configurações do computador e do ambiente de rede. Estas informações são fornecidas por cortesia para fins de ensaio e reprodução.
Com o uso de uma conta de e-mail pré-configurada válida, envie o anexo através do ESA e do processamento normal. Você pode usar a CLI do ESA e tail mail_logs para monitorar o e-mail conforme ele é processado. Você verá a ID da mensagem (MID) listada nos logs de e-mail. Uma saída semelhante a esta é exibida:
Thu Sep 18 16:17:38 2014 Info: New SMTP ICID 16488 interface Management
(192.168.0.199) address 65.55.116.95 reverse dns host blu004-omc3s20.hotmail.com
verified yes
Thu Sep 18 16:17:38 2014 Info: ICID 16488 ACCEPT SG UNKNOWNLIST match sbrs
[-1.0:10.0] SBRS 5.5
Thu Sep 18 16:17:38 2014 Info: Start MID 1653 ICID 16488
Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 From: <joe_user@hotmail.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 RID 0 To:
<any.one@mylocal_domain.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 Message-ID '<BLU437-SMTP10E1315A60354F2
906677B9DB70@phx.gbl>'
Thu Sep 18 16:17:38 2014 Info: MID 1653 Subject 'Your Daily Update''
Thu Sep 18 16:17:38 2014 Info: MID 1653 ready 2313 bytes from
<joe_user@hotmail.com>
Thu Sep 18 16:17:38 2014 Info: MID 1653 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Thu Sep 18 16:17:38 2014 Info: ICID 16488 close
Thu Sep 18 16:17:39 2014 Info: MID 1653 interim verdict using engine:
CASE spam negative
Thu Sep 18 16:17:39 2014 Info: MID 1653 using engine: CASE spam negative
Thu Sep 18 16:17:39 2014 Info: MID 1653 AMP file reputation verdict : MALWARE
Thu Sep 18 16:17:39 2014 Info: Message aborted MID 1653 Dropped by amp
Thu Sep 18 16:17:39 2014 Info: Message finished MID 1653 done
O exemplo anterior mostra que a AMP detectou o anexo do malware e foi removida como a ação final de acordo com as configurações padrão.
Os mesmos detalhes também são vistos no Rastreamento de Mensagens da GUI:
Se você optar por fornecer malware identificado positivamente ou outras opções avançadas na configuração da AMP nas Políticas de recebimento de e-mail, poderá ver este resultado do processamento de e-mail:
Thu Sep 18 21:54:30 2014 Info: MID 1655 AMP file reputation verdict : MALWARE
Thu Sep 18 21:54:30 2014 Info: MID 1655 rewritten to MID 1656 by AMP
O veredito de reputação ainda é positivo para MALWARE, como mostrado. A ação regravada é conforme as ações de modificação de mensagem e a linha de assunto pendente de [AVISO: MALWARE DETECTADO].
Um arquivo limpo, ou um arquivo que não foi identificado no momento do processamento como malware, tem este veredito gravado nos registros de e-mail:
Thu Sep 18 21:58:33 2014 Info: MID 1657 AMP file reputation verdict : CLEAN
Rastreamento avançado de mensagens para AMP+
Também na GUI, quando você usa o Rastreamento de mensagens e o menu suspenso Avançado, você pode escolher pesquisar uma mensagem Advanced Malware Protection Positive diretamente:
Relatórios de proteção avançada contra malware
Na GUI do ESA, você também vê o rastreamento de relatórios para mensagens identificadas positivamente por meio do AMP. Navegue até Monitor > Advanced Malware Protection e modifique o intervalo de tempo conforme necessário. Agora você vê algo semelhante, com os exemplos anteriores de entrada:
Troubleshoot
Se você não vir um arquivo de malware verdadeiro conhecido e verificado positivamente pela AMP, reveja os logs de e-mail para garantir que outro serviço não agiu na mensagem e/ou no anexo antes da AMP verificar a mensagem.
No exemplo anterior usado, quando o antivírus Sophos está ativado, ele realmente captura e executa ações no anexo:
Thu Sep 18 22:15:34 2014 Info: New SMTP ICID 16493 interface Management
(192.168.0.199) address 65.55.116.95 reverse dns host blu004-omc3s20.hotmail.com
verified yes
Thu Sep 18 22:15:34 2014 Info: ICID 16493 ACCEPT SG UNKNOWNLIST match sbrs
[-1.0:10.0] SBRS 5.5
Thu Sep 18 22:15:34 2014 Info: Start MID 1659 ICID 16493
Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 From: <joe_user@hotmail.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 RID 0 To:
<any.one@mylocal_domain.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 Message-ID '<BLU437-SMTP2399199FA50FB
5E71863489DB40@phx.gbl>'
Thu Sep 18 22:15:34 2014 Info: MID 1659 Subject 'Daily Update Final'
Thu Sep 18 22:15:34 2014 Info: MID 1659 ready 2355 bytes from
<joe_user@hotmail.com>
Thu Sep 18 22:15:34 2014 Info: MID 1659 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Thu Sep 18 22:15:35 2014 Info: ICID 16493 close
Thu Sep 18 22:15:35 2014 Info: MID 1659 interim verdict using engine:
CASE spam negative
Thu Sep 18 22:15:35 2014 Info: MID 1659 using engine: CASE spam negative
Thu Sep 18 22:15:37 2014 Info: MID 1659 interim AV verdict using Sophos VIRAL
Thu Sep 18 22:15:37 2014 Info: MID 1659 antivirus positive 'EICAR-AV-Test'
Thu Sep 18 22:15:37 2014 Info: Message aborted MID 1659 Dropped by antivirus
Thu Sep 18 22:15:37 2014 Info: Message finished MID 1659 done
As configurações de antivírus Sophos na diretiva de e-mail de entrada estão definidas como descarte de mensagens infectadas por vírus. Nesse caso, a AMP nunca é acessada para verificar ou executar uma ação no anexo.
Entretanto, esse nem sempre é o caso. Uma revisão dos logs de e-mail e das IDs de Mensagem (MIDs) pode ser necessária para garantir que outro serviço OU um filtro de conteúdo/mensagem não tenha tomado medidas contra o MID antes do processamento do AMP e que uma ação tenha sido alcançada.
Informações Relacionadas