检验ESA上的文件分析上传

简介

本文档介绍如何确定是否在思科邮件安全设备(ESA)上通过高级恶意软件防护(AMP)处理的文件会被发送以进行文件分析，以及相关联的AMP日志文件提供哪些内容。

确定是否上传附件以进行文件分析

启用File Analysis后，由File Reputation扫描的附件可能会发送到File Analysis进行进一步分析。这提供了针对零日和有针对性的威胁的最高级别的保护。仅当启用文件信誉过滤时，文件分析才可用。

使用File Types选项以限制可能发送到云的文件类型。发送的特定文件始终基于文件分析服务云的请求，该请求针对那些需要进行额外分析的文件。当文件分析服务云达到容量时，可能会暂时禁用特定文件类型的文件分析。

注意：请参阅思科内容安全产品高级恶意软件防护服务的文件条件思科文档，以获取最新及其他信息。

注意：请参阅发行版本注释和用户指南，了解设备上运行的AsyncOS的特定版本，因为文件分析文件类型可能根据AsyncOS的版本而有所不同。

可发送用于文件分析的文件类型：

• 有关信誉和分析服务支持的文件的详细信息仅向注册的思科客户提供。有关评估和分析哪些文件的信息，请参阅适用于思科内容安全产品的高级恶意软件防护服务的文件条件，网址为：
  http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-user-guide-list.html。 评估文件信誉和发送文件以供分析的标准可能随时更改。
• 当前可发送以下文件类型进行分析：
  • （支持文件分析的所有版本） Windows可执行文件，例如.exe、.dll、.sys和.scr文件。
  • Adobe可移植文档格式(PDF)、Microsoft Office 2007+ (Open XML)、Microsoft Office 97-2004 (OLE)、Microsoft Windows / DOS可执行文件、其他潜在恶意文件类型。
  • 您已选择在“防恶意软件和信誉”(Anti-Malware and Reputation)设置页面（用于网络安全）或“文件信誉和分析”(File Reputation and Analysis)设置页面（用于邮件安全）上传的文件类型。 初始支持包括PDF和Microsoft Office文件。
  • （从AsyncOS 9.7.1开始，用于邮件安全）如果选择了其他潜在恶意文件类型选项，则以XML或MHTML格式保存具有以下扩展名的Microsoft Office文件：ade、adp、adn、accdb、accdr、accdt、accda、mdb、mda、mdn、mdt、mdw、mdf、mde、accde、mam、maq、mar、mat、maf、ldb、laccdb、doc、dot、docx、docm、dotx、dotm、docb、xls、xls、xlt、xlm、xlsx、lssm 、xltx、xltm、xlsb、xla、xlam、xll、xlw、ppt、pot、pps、pptx、pptm、potx、potm、ppam、ppsx、ppsm、sldx、sldm、mht、mhtm、mhtml和xml。
• 用于上传的文件大小标准由文件分析服务根据当前威胁趋势动态建立，并可随时更改。条件更改自动生效；您无需执行任何操作。

注意：如果文件分析服务上的负载超出容量，则即使选择文件类型进行分析，并且文件符合分析条件，某些文件仍可能不会进行分析。当服务暂时无法处理特定类型的文件时，您将收到警报。

突出显示重要说明：

• 如果最近从任何源上传了文件，则不会再次上传该文件。有关此文件的文件分析结果，请从File Analysis Reporting页面搜索SHA-256。
• 设备将尝试上传文件一次；如果上传失败（例如由于连接问题），则可能无法上传文件。如果由于文件分析服务器过载而失败，则将再次尝试上传。

配置用于文件分析的AMP

默认情况下，当ESA首次打开且尚未与Cisco更新程序建立连接时，列出的唯一文件分析文件类型将是“Microsoft Windows / DOS可执行文件”。 在允许配置其他文件类型之前，您需要允许完成服务更新。 这将反映在updater_logs日志文件中，显示为“fireamp.json”：

Sun Jul 9 13:52:28 2017 Info: amp beginning download of remote file "http://updates.ironport.com/amp/1.0.11/fireamp.json/default/100116"
Sun Jul 9 13:52:28 2017 Info: amp successfully downloaded file "amp/1.0.11/fireamp.json/default/100116"
Sun Jul 9 13:52:28 2017 Info: amp applying file "amp/1.0.11/fireamp.json/default/100116"

要通过GUI配置文件分析，请导航到安全服务>文件信誉和分析>编辑全局设置……

要通过CLI配置用于文件分析的AMP，请输入ampconfig > setup命令并完成响应向导。当遇到以下问题时，必须选择Y：是否要修改文件分析的文件类型？

myesa.local> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
 Adobe Portable Document Format (PDF)
 Microsoft Office 2007+ (Open XML)
 Microsoft Office 97-2004 (OLE)
 Microsoft Windows / DOS Executable
 Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> setup

File Reputation: Enabled
Would you like to use File Reputation? [Y]> 

Would you like to use File Analysis? [Y]> 

File types supported for File Analysis:

1. Archived and compressed [selected]
2. Configuration [selected]
3. Database [selected]
4. Document [selected]
5. Email [selected]
6. Encoded and Encrypted [selected]
7. Executables [partly selected]
8. Microsoft Documents [selected]
9. Miscellaneous [selected]

Do you want to modify the file types selected for File Analysis? [N]> y

Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select all "currently" supported File Types.
[1,2,3,4,5]> ALL

Specify AMP processing timeout (in seconds)
[120]> 

Advanced-Malware protection is now enabled on the system.
Please note: you must issue the 'policyconfig' command (CLI) or Mail
Policies (GUI) to configure advanced malware scanning behavior for
default and custom Incoming Mail Policies.
This is recommended for your DEFAULT policy.

根据此配置，启用的文件类型受文件分析（如果适用）的制约。  

查看用于文件分析的AMP日志

当ESA上的文件信誉或文件分析扫描附件时，它们会记录在AMP日志中。要查看所有AMP操作的此日志，请从ESA的CLI运行tail amp，或浏览tail或grep命令的响应向导。 如果您知道要在AMP日志中搜索的特定文件或其他详细信息，grep命令将非常有用。

例如：

mylocal.esa >  tail amp

Press Ctrl-C to stop.
Tue Aug 13 17:28:47 2019 Info: Compressed/Archive File: sha256 = deace8ba729ad32313131321311232av2316623cfe9ac MID = 1683600, Extracted File: File Name = '[redacted].pdf', File Type = 'application/pdf', sha256 = deace8ba729ad32313131321311232av2316623cfe9ac, Disposition = LOWRISK, Response received from = Cloud, Malware = None, Analysis Score = 0, upload_action = Recommended to send the file for analysis
Thu Aug 15 13:49:14 2019 Debug: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Thu Aug 15 13:49:14 2019 Debug: Response received for file reputation query from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis

注意：旧版本的AsyncOS会在AMP日志中显示“amp_watchdog.txt”。 这是一个OS文件，在日志中每十分钟显示一次。此文件是AMP的keep-alive的一部分，可以安全忽略。 此文件从AsyncOS 10.0.1和更新版本开始隐藏。

注意：旧版AsyncOS将记录upload_action标记具有三个为上载到文件分析行为定义的值。

在旧版AsyncOS上执行上传操作的三个响应：

• "upload_action = 0"：文件为信誉服务所知；不发送进行分析。
• "upload_action = 1"：发送
• "upload_action = 2"：文件为信誉服务所知；不发送进行分析

在AsyncOS版本12.x及后续版本上执行上传操作的两个响应：

• "upload_action =建议发送文件进行分析"
• 仅调试日志：“upload_action = Recommended to not send the file for analysis”

此响应指示是否发送文件进行分析。同样，它必须符合配置文件类型的条件才能成功提交。

“上传操作”标签的说明

"upload_action = 0": The file is known to the reputation service; do not send for analysis. 

对于“0”，这意味着文件“不需要发送进行上传”。或者，更好的查看方式是，如需要，可将文件发送至File Analysis进行上传。 但是，如果不需要该文件，则不会发送该文件。

"upload_action = 2": The file is known to the reputation service; do not send for analysis 

对于“2”，这是严格的“不发送”上传文件。 此操作是最终且决定性的，并且文件分析处理已完成。

示例情景

本节介绍一些可能的情况，在这些情况下，文件已正确上传以供分析或者由于特定原因未上传。

已上传文件以供分析

旧版AsyncOS：

本示例显示满足条件并使用upload_action = 1标记的DOCX文件。在下一行，上传的安全散列算法(SHA)文件也记录到AMP日志中。

Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name = 'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type = application/msword
Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud. File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

AsyncOS 12.x及后续版本：

此示例显示满足条件并标记为upload_action = Recommended的PPTX文件，以发送该文件进行分析。在下一行，上传的安全散列算法(SHA)文件也记录到AMP日志中。

Thu Aug 15 09:42:19 2019 Info: Response received for file reputation query from Cloud. File Name = 'ESA_AMP.pptx', MID = 1763042, Disposition = UNSCANNABLE, Malware = None, Analysis Score = 0, sha256 = 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, upload_action = Recommended to send the file for analysis
Thu Aug 15 10:05:35 2019 Info: File uploaded for analysis. SHA256: 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, file name: ESA_AMP.pptx

未上传文件进行分析，因为文件已知

旧版AsyncOS：

本示例显示由AMP扫描的PDF文件，并将upload_action = 2附加到文件信誉日志中。此文件已为云所知，不需要上传进行分析，因此不会再次上传。

Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name = 'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache. File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd3d2ffd0bf5f96989bb002, upload_action = 2

AsyncOS 12.x及后续版本：

此示例显示amp_watchdog.txt文件，其中调试级别的amp日志与upload_action = Recommended to not send the file reputation log附加到的文件信誉日志进行分析。此文件已为云所知，不需要上传进行分析，因此不会再次上传。

Mon Jul 15 17:41:53 2019 Debug: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis

通过邮件报头上传日志文件分析

在CLI中，使用命令logconfig这一选项，可以选择logheaders子选项以列出和记录通过ESA处理的电子邮件的标头。使用“X-Amp-File-Uploaded”标头，每当上传或未上传文件进行文件分析时，都将记录到ESA的邮件日志中。

查看邮件日志，查看上传的文件进行分析的结果：

Mon Sep 5 13:30:03 2016 Info: Message done DCID 0 MID 7659 to RID [0] [('X-Amp-File-Uploaded', 'True')]

查看邮件日志，查看未上传文件以供分析的结果：

Mon Sep 5 13:31:13 2016 Info: Message done DCID 0 MID 7660 to RID [0] [('X-Amp-File-Uploaded', 'False')]

相关信息

• AsyncOS用户指南
• 适用于思科内容安全产品的高级恶意软件防护服务的文件条件
• ESA高级恶意软件防护(AMP)测试
• 技术支持和文档 - Cisco Systems