簡介
本文檔介紹跳過將未知MIME型別檔案(應用程式/八位位元組流)上傳到Cisco ESA中的檔案分析伺服器的步驟。
必要條件
需求
思科建議您瞭解以下主題:
- ESA中的進階惡意軟體防護(AMP)的運作方式。
- 檔案MIME型別的基本知識。
思科建議您:
- 已安裝物理或虛擬ESA。
- 許可證已啟用或已安裝。
- 安裝嚮導已完成。
採用元件
本檔案適用於AsyncOS 15.5.1、15.0.2及更新版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
MIME型別
媒體型別(也稱為多用途Internet郵件擴展(MIME)型別)用於標識文檔、檔案或位元組集合的字元和結構。MIME型別的規範在Internet工程任務組(IETF)RFC 6838中建立並統一。
只要MIME實現知道如何處理字符集,無法識別的「text」子型別必須被視為子型別「plain」。無法識別的子型別(也指定了無法識別的字符集)必須被視為「application/octet-stream」。
如需詳細資訊,請參閱RFC 2046 - Multipurpose Internet Mail Extensions(MIME)第2部分:媒體型別
ESA裝置超出上傳限制
如果您已啟用檔案分析服務,而信譽服務沒有有關該檔案的資訊,並且該檔案滿足可分析檔案的條件,則可以隔離該郵件,並傳送該檔案進行分析。如果您尚未將裝置配置為在傳送附件以供分析時隔離郵件,或者未傳送檔案以供分析,則郵件將釋放給使用者。
有關詳細資訊,請參閱《使用手冊》。AsyncOS 15.0使用手冊,適用於Cisco安全電子郵件網關 — GD(常規部署) — 檔案信譽過濾和檔案分析[Cisco安全電子郵件網關] — 思科
我們引入了一個新的CLI命令,以解決由於ESA提交過多的檔案供檢查,檔案提交配額限制過早達到最大上傳容量的裝置的問題。此增強功能從版本15.5.1開始實施,並且正在整合到15.0.2維護版本(MR)及後續版本中。
注意:為了增強安全性,我們強烈建議按照建議上傳所有檔案。但是,如果您認為對於特定檔案型別繞過此步驟至關重要,則所提供的命令可讓您自行決定是否跳過此步驟。請謹慎行事,理解所涉及的潛在風險。
排除要上載到檔案分析的應用程式/八位位元組流MIME型別
要排除要上傳到檔案分析伺服器進行掃描的應用程式/八位位元組流MIME型別,請執行以下步驟:
步驟1.登入到CLI。
步驟2.執行ampconfig 命令
步驟3.鍵入unknownmimeoverride,然後按Enter
附註:unknownmimeoverride是一個隱藏命令。
步驟4.輸入N回覆「Do you want to send unknown mime for analysis only if their extensions are selected?[N]> "
步驟5.按Enter鍵退出嚮導。
步驟6.提交更改
ESA_CLI> ampconfig
File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting
details.
- CACHESETTINGS - Configure the cache settings for AMP.
[]> unknownmimeoverride
Do you want to send unknown mime for analysis only if their extensions are selected? [Y]> N
ESA_CLI> commit
連結的缺陷和增強功能
由於以下功能請求和缺陷,引入了此新功能:
- 上傳到File Analysis的HTML和八位位元組流檔案中的行為更改會令客戶感到困惑。 思科錯誤ID CSCwh61317
- 即使未選擇檔案型別,也會將p7s檔案上載到「檔案分析」。 思科錯誤ID CSCwh70476
參考資料
思科安全電子郵件網關AsyncOS 15.0使用手冊 — GD(常規部署) — 檔案信譽過濾和檔案分析[思科安全電子郵件網關] — 思科
RFC 2046 — 多用途Internet郵件擴展(MIME)第二部分:媒體型別