配置ESA跳过将未知MIME类型文件上传到文件分析服务器

下载选项

  • PDF     (363.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (65.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 4 月 23 日
文档 ID:221924

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍跳过将未知MIME类型文件(应用程序/八位字节流)上传到Cisco ESA中的文件分析服务器的步骤。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • ESA中的高级恶意软件防护(AMP)的工作原理。
    • 文件MIME类型的基本知识。

    Cisco 建议您:

    • 已安装物理或虚拟ESA。
    • 许可证已激活或已安装。
    • 安装向导已完成。
    • 对ESA命令行界面(CLI)的管理访问。

    使用的组件

    本文档适用于AsyncOS 15.5.1、15.0.2及更高版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    MIME类型 

    介质类型,也称为多用途Internet邮件扩展(MIME)类型,用于标识文档、文件或字节集合的字符和结构。MIME类型的规范在Internet工程任务组(IETF)RFC 6838中建立并统一。

    只要MIME实现知道如何处理字符集,“text”的未识别子类型必须被视为子类型“plain”。无法识别的子类型(这些子类型还指定了无法识别的字符集)必须被视为“application/octet-stream”。

    有关详细信息,请参阅RFC 2046 — 多用途Internet邮件扩展(MIME)第二部分:介质类型

    ESA设备超出上传限制

    如果已启用文件分析服务,并且信誉服务没有关于文件的信息,并且文件符合可分析文件的标准,则可以隔离邮件,并发送文件进行分析。如果尚未将设备配置为在发送附件以供分析时隔离邮件,或者未发送文件以供分析,则会将邮件释放给用户。

    有关详细信息,请参阅《用户指南》。 AsyncOS 15.0用户指南,适用于Cisco安全邮件网关 — GD(通用部署) — 文件信誉过滤和文件分析[Cisco安全邮件网关] — 思科

    我们引入了一个新的CLI命令,来解决由于ESA提交过多的文件以供检查,文件提交配额有限的设备过早达到最大上传容量的问题。此增强功能从15.5.1版开始实施,并正在整合到15.0.2维护版本(MR)及后续版本中。

    caution-icon

    警告:为了提高安全性,我们强烈建议按照建议上传所有文件。但是,如果您认为对于特定文件类型必须绕过此步骤,则提供的命令将允许您自行决定是否启用此选项。请谨慎行动,了解其中的潜在风险。

    排除要上传到文件分析的应用程序/八位组流MIME类型

    要排除要上传到文件分析服务器进行扫描的应用/八位组流MIME类型,请执行以下步骤:

    步骤1.登录到CLI。

    步骤2.运行ampconfig命

    步骤3.键入unknownmimeoverride并按Enter 

    note-icon

    注意:unknownmimeoverride是一个隐藏命令。

    步骤4.键入N以回答“Do you want to send unknown mime for analysis only if their extensions are selected?[N]> "

    步骤5.按Enter键退出向导。

    步骤6.提交更改 

    ESA_CLI> ampconfig
 
File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting
details.
- CACHESETTINGS - Configure the cache settings for AMP.
[]> unknownmimeoverride
 
Do you want to send unknown mime for analysis only if their extensions are selected? [Y]> N

ESA_CLI>  commit

    关联缺陷和增强功能 

    由于以下功能请求和缺陷,引入了这一新功能:

    • 上传到File Analysis的HTML和二进制八位数流文件的行为更改会令客户感到困惑。 Cisco Bug ID CSCwh61317
    • 即使未选择文件类型,也会将p7s文件上传到文件分析。 Cisco Bug ID CSCwh70476

    参考

    思科安全邮件网关AsyncOS 15.0用户指南 — GD(通用部署) — 文件信誉过滤和文件分析[思科安全邮件网关] — 思科

    RFC 2046 — 多用途Internet邮件扩展(MIME)第二部分:介质类型

    修订历史记录

    版本 发布日期 备注
    1.0
    23-Apr-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 阿米尔侯赛因·莫哈拉德
      技术咨询工程师
    • 利宾·瓦尔盖塞
      软件工程技术主管

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品