配置ESA以跳過將未知MIME型別檔案上載到檔案分析伺服器

下載選項

  • PDF     (376.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (78.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (65.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 4 月 23 日
文件 ID:221924

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹跳過將未知MIME型別檔案(應用程式/八位位元組流)上傳到Cisco ESA中的檔案分析伺服器的步驟。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • ESA中的進階惡意軟體防護(AMP)的運作方式。
    • 檔案MIME型別的基本知識。

    思科建議您:

    • 已安裝物理或虛擬ESA。
    • 許可證已啟用或已安裝。
    • 安裝嚮導已完成。
    • 對ESA命令列介面(CLI)的管理訪問。

    採用元件

    本檔案適用於AsyncOS 15.5.1、15.0.2及更新版本。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    MIME型別 

    媒體型別(也稱為多用途Internet郵件擴展(MIME)型別)用於標識文檔、檔案或位元組集合的字元和結構。MIME型別的規範在Internet工程任務組(IETF)RFC 6838中建立並統一。

    只要MIME實現知道如何處理字符集,無法識別的「text」子型別必須被視為子型別「plain」。無法識別的子型別(也指定了無法識別的字符集)必須被視為「application/octet-stream」。

    如需詳細資訊,請參閱RFC 2046 - Multipurpose Internet Mail Extensions(MIME)第2部分:媒體型別

    ESA裝置超出上傳限制

    如果您已啟用檔案分析服務,而信譽服務沒有有關該檔案的資訊,並且該檔案滿足可分析檔案的條件,則可以隔離該郵件,並傳送該檔案進行分析。如果您尚未將裝置配置為在傳送附件以供分析時隔離郵件,或者未傳送檔案以供分析,則郵件將釋放給使用者。

    有關詳細資訊,請參閱《使用手冊》。AsyncOS 15.0使用手冊,適用於Cisco安全電子郵件網關 — GD(常規部署) — 檔案信譽過濾和檔案分析[Cisco安全電子郵件網關] — 思科

    我們引入了一個新的CLI命令,以解決由於ESA提交過多的檔案供檢查,檔案提交配額限制過早達到最大上傳容量的裝置的問題。此增強功能從版本15.5.1開始實施,並且正在整合到15.0.2維護版本(MR)及後續版本中。

    caution-icon

    注意:為了增強安全性,我們強烈建議按照建議上傳所有檔案。但是,如果您認為對於特定檔案型別繞過此步驟至關重要,則所提供的命令可讓您自行決定是否跳過此步驟。請謹慎行事,理解所涉及的潛在風險。

    排除要上載到檔案分析的應用程式/八位位元組流MIME型別

    要排除要上傳到檔案分析伺服器進行掃描的應用程式/八位位元組流MIME型別,請執行以下步驟:

    步驟1.登入到CLI。

    步驟2.執行ampconfig 命令

    步驟3.鍵入unknownmimeoverride,然後按Enter 

    note-icon

    附註:unknownmimeoverride是一個隱藏命令。

    步驟4.輸入N回覆「Do you want to send unknown mime for analysis only if their extensions are selected?[N]> "

    步驟5.按Enter鍵退出嚮導。

    步驟6.提交更改 

    ESA_CLI> ampconfig
 
File Reputation: Enabled
File Analysis: Enabled
Appliance Group ID/Name: Not part of any group yet
 
 
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting
details.
- CACHESETTINGS - Configure the cache settings for AMP.
[]> unknownmimeoverride
 
Do you want to send unknown mime for analysis only if their extensions are selected? [Y]> N

ESA_CLI>  commit

    連結的缺陷和增強功能 

    由於以下功能請求和缺陷,引入了此新功能:

    • 上傳到File Analysis的HTML和八位位元組流檔案中的行為更改會令客戶感到困惑。 思科錯誤ID CSCwh61317
    • 即使未選擇檔案型別,也會將p7s檔案上載到「檔案分析」。 思科錯誤ID CSCwh70476

    參考資料

    思科安全電子郵件網關AsyncOS 15.0使用手冊 — GD(常規部署) — 檔案信譽過濾和檔案分析[思科安全電子郵件網關] — 思科

    RFC 2046 — 多用途Internet郵件擴展(MIME)第二部分:媒體型別

    修訂記錄

    修訂 發佈日期 意見
    1.0
    23-Apr-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Amirhossein Mojarrad
      Technical Consulting Engineer
    • Libin Varghese
      Software Engineering Technical Leader

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品