• 如果选中启用文件信誉过滤 (Enable File Reputation Filtering)，则必须配置文件信誉服务器 (File Reputation Server) 部分（在步骤 6 中），方法如下：选择外部公共信誉云服务器的 URL，或提供私有信誉云服务器连接信息。

• 同样，如果选中启用文件分析 (Enable File Analysis)，则必须配置文件分析服务器 URL (File Analysis Server URL) 部分（在步骤 7 中），方法如下：提供外部云服务器的 URL，或提供私有分析云连接信息。

  Note	升级后可能添加新的文件类型，并且默认情况下不启用。如果已启用文件分析，并且需要在分析中包含新的文件类型，则必须启用这些文件类型。

有关支持的文件类型的信息，请参阅所介绍的文档。 文件信誉和分析服务所支持的文件

• 使用来自云服务的值 (95)

• 输入自定义值 - 默认值为 95

激活“用户”账户的完整说明在 Cisco Secure Endpoint 恶意软件分析文档中提供。

点击“将设备注册到 Cisco Secure Endpoin”(Register Appliance with Secure Endpoint) 后，将出现 Cisco Secure Endpoint 控制台登录页面。

点击“允许”(Allow) (Allow) 后，注册既已完成，并将您重定向至设备的“文件信誉和分析”(File Reputation and Analysis) 页面。您的设备名称将显示在“Cisco Secure Endpoint 控制台集成 (Secure Endpoint Console Integration)” 字段中。可以使用设备名称自定义 Cisco Secure Endpoint 控制台页面的设备设置。

或

[如果在邮件网关上启用智能许可，则适用] 系统自动将智能账户 ID 注册为组 ID，并将其显示在 设备组 ID /名称 字段中。

说明：

• 一台设备只能属于一个组。
• 您可以随时将设备添加到组。
• 您可以在计算机和集群级别配置设备组。
• 如果这是要添加到组中的第一个设备，请为该组提供有用的标识符。此 ID 区分大小写并且不能包含空格。
• 提供的设备组 ID 在将要共享有关上传以供分析的文件的数据的所有设备上必须相同。但在后续组中设备上，不会验证该 ID。
• 如果更新设备组 ID，则更改会立即生效，并且不需要提交。
• 您必须为该组中的所有设备配置以在云中使用相同的文件分析服务器。
• 如果启用智能许可，则使用智能账户 ID 对设备进行分组。

• 如果没有本地思科 Cisco Secure Malware Analytics (Threat Grid) 设备，并且不希望将文件发送至云（例如出于机密性原因），请取消选中启用文件分析 (Enable File Analysis)。

• 如果附件被视为“不可扫描”，则选择设备必须执行的操作。当设备因以下原因不可扫描文件时，附件被视为“不可扫描”：

  • 邮件错误：

    • 受密码保护的存档或压缩文件

    • 存在 RFC 违规的邮件。

    • 包含 200 个以上子文件的邮件

    • 包含五个以上嵌套级别的子文件的邮件

    • 提取失败的邮件

  • 速率限制 - 文件分析服务器未扫描文件，因为设备已达到文件上传限制。

  • AMP 服务不可用：

    • 文件信誉服务不可用。

    • 文件分析服务不可用。

    • 文件信誉查询超时

    • 文件上传查询超时

• 您可以对 AMP 引擎未扫描的邮件配置下列任一邮件处理操作：

  • 删除邮件

  • 原样传送邮件

  • 将邮件发送到策略隔离区

• 如果选择传递邮件，请选择以下附加操作：

  • 是否将原始邮件存档。存档消息作为 mbox 格式日志文件存储在设备上的 amparchive 目录中。需要预配置的 AMP 存档 (amparchive) 日志订用。

  • 是否通过修改消息主题警告最终用户，例如 [WARNING: ATTACHMENT(S) MAY CONTAIN MALWARE]。

  • 是否添加自定义报头，以向管理员提供精细控制。

  • 是否修改邮件收件人，使邮件传送至其他地址。点击“是”，并输入新的收件人地址。

  • 是否将不可扫描的邮件发送到备用目标主机。点击“是”(Yes)，并输入备用 IP 地址或主机名。

• 如果选择将邮件发送到策略隔离区，请选择以下附加操作：

  • 是否从下拉列表中选择策略隔离区。当标记为隔离时，邮件到达邮件管道的末尾时，将放置在隔离区中，并由邮件管道中的所有其他引擎进行扫描。

  • 是否将原始邮件存档。存档消息作为 mbox 格式日志文件存储在设备上的 amparchive 目录中。需要预配置的 AMP 存档 (amparchive) 日志订用。

  • 是否通过修改消息主题警告最终用户，例如 [WARNING: ATTACHMENT(S) MAY CONTAIN MALWARE]。

  • 是否添加自定义报头，以向管理员提供精细控制。

• 如果附件被视为“恶意”(Malicious)，则选择 AsyncOS 必须执行的操作。以下选项

  • 是发送还是丢弃消息。

  • 是否将原始邮件存档。存档消息作为 mbox 格式日志文件存储在设备上的 amparchive 目录中。需要预配置的 AMP 存档 (amparchive) 日志订用。

  • 删除恶意软件附件后是否发送消息。

  • 是否通过修改邮件主题来警告最终用户，例如，[警告：在附件中检测到恶意软件]。

  • 是否添加自定义报头，以向管理员提供精细控制。

  • 是否修改邮件收件人，使邮件传送至其他地址。点击是 (Yes)，并输入新的收件人地址。

  • 是否将恶意邮件发送到备用目标主机。点击是 (Yes)，并输入备用 IP 地址或主机名。

• 选择附件被发送进行文件分析时 AsyncOS 必须执行的操作。以下选项

  • 传送还是隔离邮件。

  • 是否将原始邮件存档。存档消息作为 mbox 格式日志文件存储在设备上的 amparchive 目录中。需要预配置的 AMP 存档 (amparchive) 日志订用。

  • 是否通过修改邮件主题来警告最终用户，例如，“[警告：附件可能包含恶意软件]”。

  • 是否添加自定义报头，以向管理员提供精细控制。

  • 是否修改邮件收件人，使邮件传送至其他地址。点击是 (Yes)，并输入新的收件人地址。

  • 是否将发送进行文件分析的邮件发送到备用目标主机。点击是 (Yes)，并输入备用 IP 地址或主机名。

• （仅用于传入邮件策略）配置当威胁判决更改为恶意时，对发送给最终用户的邮件将执行的补救操作。选择“启用邮箱自动补救”(Enable Mailbox Auto Remediation)并选择下列操作之一：

  • 转发到某个邮件地址。选择此选项可将包含恶意附件的邮件转发给指定用户，例如邮件管理员。

  • 删除邮件。选择此选项可从最终用户的邮箱中永久删除包含恶意附件的邮件。

  • 转发到邮件地址并删除该邮件。选择此选项可将包含恶意附件的邮件转发给指定用户（例如邮件管理员），并从最终用户的邮箱中永久删除该邮件。

    Note	由于 Office 365 服务不支持删除这些文件夹中的邮件，因此无法删除来自某些文件夹（例如，已删除邮件）的邮件。

    Important

    在配置“邮箱自动补救”设置之前，请查看 补救邮箱中的邮件

隔离的邮件存储在文件分析隔离区中。请参阅使用文件分析隔离区。

• 是否将原始邮件存档。存档消息作为 mbox 格式日志文件存储在设备上的 amparchive 目录中。需要预配置的 AMP 存档 (amparchive) 日志订用。

• 是否通过修改邮件主题来警告最终用户，例如，“[警告：附件可能包含恶意软件]”。

• 在从设备传送最终邮件时，是否丢弃文件分析判定为待处理的附件。默认选项为“否”(No)

• 是否添加自定义报头，以向管理员提供精细控制。