邮件 > 报告 > 病毒爆发过滤器页显示有关最近的爆发的信息,并显示由于“病毒爆发过滤器”而隔离的邮件的相关信息。您可以使用此页面可以监控对针对性的病毒、诈骗和网络钓鱼攻击的防御。
使用“病毒爆发过滤器”(Outbreak Filters) 页面可回答以下类型的问题:
- 多少封邮件被隔离?依据的是哪项“病毒爆发过滤器”(Outbreak Filters) 规则?
- “病毒爆发过滤器”(Outbreak Filters) 功能一直针对病毒爆发提供多久的提前时间?
- 本地病毒爆发与全球病毒爆发相比如何?
- 邮件在病毒爆发隔离区中停留多长时间?
- 哪些可能是恶意的 URL 是最常见的?
“按类型划分的威胁”(Threats By Type) 部分显示设备接收的不同类型的威胁邮件。“威胁摘要”(Threat Summary) 部分按“病毒”(Virus)、“网络钓鱼”(Phish) 和“诈骗”(Scam) 细分邮件。
“过去一年爆发摘要 (Past Year Outbreak Summary)”会列出过去一年的全局及局部爆发,以便将局部网络趋势与全局趋势进行比较。全局爆发列表是所有爆发情况(包括病毒和非病毒)的超集,而局部爆发仅限于影响设备的病毒爆发。局部爆发数据不包括非病毒威胁。全局病毒爆发数据表示威胁操作中心检测到的所有病毒爆发,该数据超过病毒爆发隔离区的当前配置的阈值。本地病毒爆发数据表示在此设备上检测到的所有病毒爆发,该数据超过病毒爆发隔离区的当前配置的阈值。“本地防护总时间”(Total
Local Protection Time) 始终基于威胁操作中心检测到各病毒爆发的时间与主要供应商发布防病毒签名的时间之间的时间差。请注意,并非每个全局爆发都会影响设备。值“--”表示保护时间不存在,或防病毒供应商未提供特征码时间(某些供应商可能不报告特征码时间)。这并不表示保护时间为零,而是表示计算保护时间所需的信息不可用。
“隔离的邮件”(Quarantined Messages) 部分汇总病毒爆发过滤器隔离情况,是测量病毒爆发过滤器捕获的潜在威胁邮件数的有用计量器。隔离的邮件在放行时计数。通常,邮件在防病毒和反垃圾邮件规则可用之前会被隔离。放行时,它们会被防病毒和反垃圾邮件软件进行扫描并确定是阳性还是正常邮件。由于爆发跟踪的动态性质,当邮件处于隔离区中时,用于隔离邮件的规则(甚至关联的爆发)可能会更改。在放行时(而不是在进入隔离区中时)对邮件进行计数可避免混淆计数增加和减少的情况。
“威胁详细信息”(Threat Details) 列表显示有关特定病毒爆发的信息,包括威胁类别(病毒、诈骗或网络钓鱼)、威胁名称、该威胁的说明和识别的邮件数。对于病毒爆发,“过去一年病毒爆发 (Past Year Virus Outbreaks)”包括爆发名称和
ID、首次全局出现病毒爆发的时间和日期、病毒爆发过滤器提供的保护时间以及隔离的邮件数。您可以选择是要查看全球还是本地爆发。
“在全球首次发现”(First Seen Globally) 时间由威胁行动中心根据来自 SenderBase 的数据确定,SenderBase 是全球最大的邮件和网络流量监控网络。保护时间始终基于威胁操作中心检测到各个威胁的时间与主要供应商发布防病毒特征码的时间之间的差异。
值为“--”表示防护时间不存在,或者防病毒供应商未提供签名时间(某些供应商可能不会报告签名时间)。这并不表示防护时间为零。相反,这表示计算保护时间所需的信息不可用。
此页面上的其他模块提供:
非病毒性威胁包括网络钓鱼邮件、诈骗和使用指向外部网站的链接进行的恶意软件分发。
级别 5 威胁表示在范围或影响方面非常严重,而级别 1 威胁表示威胁风险较低。有关威胁级别的说明,请参阅邮件安全设备的在线帮助或用户指南。
此持续时间取决于系统需要多长时间收集关于潜在威胁的足够数据以对其安全性做出判定。带有病毒性威胁的邮件通常比带有非病毒性威胁的邮件在隔离区中花费更多时间,因为它们必须等待防病毒程序更新。还会反映您为每个邮件策略指定的最大保留时间。
- 最频繁重写的 URL,重写的目的是将邮件收件人重定向到思科网络安全代理,以便在收件人单击邮件中可能是恶意的链接时对网站进行单击时间评估。
此列表可能包括非恶意的 URL,因为如果邮件中的任何 URL 被视为恶意,则邮件的所有 URL 均会被重写。
Note |
为了正确填充“病毒爆发过滤器”报告页上的各个表,设备必须能够与中指定的思科更新服务器进行通信。管理设备 (Management Appliance) > 系统管理 (System Administration) > 更新设置 (Update Settings)。
|
有关详细信息,请参阅的病毒爆发过滤器章节。