本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
思科Web和電子郵件內容安全產品可以向思科和Talos提供遙測資料,以提高網路安全裝置(WSA)中網路分類以及連線電子郵件安全裝置(ESA)的IP信譽的有效性。
為WSA和ESA提供的遙測資料是「選擇加入」的。
資料通過二進位制編碼SSL加密資料包傳輸。 以下附件將提供對傳輸的資料的資料、特定格式和說明的深入分析。 無法以直接日誌或檔案格式檢視WebBase網路參與(WBNP)和SenderBase網路參與(SBNP)資料。 該資料以加密形式傳輸。 這些資料在任何時候都不會「閒置」。
思科認識到維護隱私的重要性,不會收集或使用個人資訊或機密資訊,如使用者名稱和密碼。此外,主機名後面的檔名和URL屬性會被模糊處理,以確保機密性。
當涉及解密HTTPS事務時,SensorBase網路只接收證書中伺服器名稱的IP地址、Web信譽分數和URL類別。
有關完整資訊,請檢視WSA使用手冊,瞭解裝置上當前運行的AsyncOS for Web Security的版本。 請參閱《使用手冊》中的「Cisco SensorBase網路」。
參與SenderBase網路的客戶允許思科收集有關其組織的聚合電子郵件流量統計資訊,從而提高服務對所有使用者的效用。參與是自願的。思科僅收集有關郵件屬性的摘要資料,以及有關思科裝置如何處理不同型別郵件的資訊。例如,思科不會收集郵件正文或郵件主題。個人身份資訊和標識組織的資訊將保密。
有關完整資訊, p租賃稽核ESA使用手冊 適用於裝置上當前運行的AsyncOS for ESA安全版本。 請參閱《使用手冊》中的「SenderBase網路參與」一章。
問題: | 收集的資料儲存在哪裡? |
答案: | 裝置遙測儲存在思科美國資料中心。 |
問題: | 誰有權訪問收集和儲存的資料? |
答案: | 僅限分析/使用資料以建立可操作情報的Cisco SBG人員訪問。 |
問題: | 所收集資料的保留時間是多少? |
答案: | 沒有與裝置遙測相關的資料保留/過期策略。資料可能會無限期保留,也可能由於各種原因被刪除,包括但不限於縮減取樣/聚合、儲存管理、使用期限、與當前/未來威脅的相關性等。 |
問題: | 客戶序列號或公共IP地址是否儲存在Talos分類資料庫中? |
答案: | 否,僅保留URL和類別。WBNP資料包不包含源IP資訊。 |
下面詳細介紹操作、資料型別(按說明)以及演示將傳輸資訊的示例資料:
專案 | 示例資料 |
MGA識別符號 | MGA 10012 |
時間戳 | 資料從2005年7月1日上午8點至下午8點05分 |
軟體版本號碼 | MGA版本4.7.0 |
規則集版本號 | 反垃圾郵件規則集102 |
防病毒更新間隔 | 每10分鐘更新一次 |
隔離區大小 | 500 MB |
隔離郵件計數 | 目前隔離區中有50封郵件 |
病毒分數閾值 | 將郵件傳送到威脅級別3或更高的隔離區 |
進入隔離區的郵件的病毒分數總和 | 120 |
進入隔離區的郵件計數 | 30(平均得分為4) |
最長隔離時間 | 12小時 |
按進入和退出隔離區的原因劃分的爆發隔離區郵件計數,與防病毒結果相關 | 50個由於.exe規則進入隔離區30個由於手動釋放而離開隔離區,所有30個均為病毒陽性 |
按離開隔離區後執行的操作劃分的爆發隔離區郵件計數 | 10封郵件在離開隔離區後刪除了附件 |
郵件在隔離區中保留的時間總和 | 20小時 |
專案 |
示例資料 |
標準參與 |
有限參與 |
裝置內不同階段的郵件計數 |
防病毒引擎檢測到:100 |
||
反垃圾郵件和防病毒評分和裁決的總和 |
2,000(所有可見郵件的反垃圾郵件分數總和) |
||
遇到不同反垃圾郵件和防病毒規則組合的郵件數 |
100條報文命中規則A和B |
||
連線數 |
20個SMTP連線 |
||
收件人總數和無效收件人數 |
共50個收件人 |
||
雜湊檔名:(答 ) |
在名為<one-way-hash>.zip的存檔附件中發現檔案<one-way-hash>.pif。 |
未模糊的檔名 |
雜湊檔名 |
模糊檔名:(b) |
在檔案aaaaaa.zip中找到檔案aaaaa0.aaa.pif。 |
未模糊的檔名 |
模糊檔名 |
URL主機名(c) |
在www.domain.com的郵件中找到一個連結 |
未模糊的URL主機名 |
模糊的URL主機名 |
模糊的URL路徑(d) |
在發往主機名www.domain.com的消息中發現一個連結,該連結具有路徑aaa000aa/aa00aaa。 |
未模糊的URL路徑 |
模糊的URL路徑 |
按垃圾郵件和病毒掃描結果列出的郵件數 |
10個垃圾郵件 |
按不同的反垃圾郵件和防病毒判定結果顯示的郵件數 |
500個垃圾郵件、300個火腿 |
||
大小範圍內的消息計數 |
30K-35K範圍內的125個 |
||
不同擴展型別的計數 |
300個「.exe」附件 |
||
附件型別、實際檔案型別和容器型別的關聯 |
100個附件具有「.doc」副檔名但實際上是「.exe」 |
||
副檔名和實際檔案型別與附件大小的相關性 |
50-55K範圍內有30個附件為「.exe」 |
||
按隨機抽樣結果統計的消息數 |
14條消息跳過取樣 |
||
DMARC驗證失敗的郵件數 |
34條報文未能通過DMARC驗證 |
附註:
(a)檔名將以單向雜湊(MD5)編碼。
(b)檔名將以模糊形式傳送,所有小寫的ASCII字母([a-z])替換為"a",所有大寫的ASCII字母([A-Z])替換為"A",任何多位元組UTF-8字元替換為"x"(為其他字符集提供隱私),所有ASCII數字([0-9])替換為。
(c)與IP地址一樣,URL主機名指向提供內容的Web伺服器。不包括使用者名稱和密碼等機密資訊。
(d)對主機名後面的URL資訊進行模糊處理,以確保不洩露使用者的任何個人資訊。
專案 |
示例資料 |
時間戳 |
|
客戶端版本 |
|
向客戶端發出的請求數 |
|
從SDS客戶端發出的請求數 |
|
DNS查詢的時間結果 |
|
伺服器響應時間結果 |
|
建立與伺服器連線的時間 |
|
已建立的連線數 |
|
到伺服器的併發開啟連線數 |
|
對WBRS的服務請求數 |
|
命中本地WBRS快取的請求數 |
|
本地WBRS快取的大小 |
|
遠端WBRS的響應時間結果 |
格式 |
示例資料 |
amp_verdicts' :{("verdict"、"spyname"、"score"、"uploaded"、"file_name")、 |
|
("verdict"、"spyname"、"score"、"uploaded"、"file_name")、 |
|
("verdict"、"spyname"、"score"、"uploaded"、"file_name")、 |
|
........ |
|
("verdict"、"spyname"、"score"、"uploaded"、"file_name")、 |
|
} |
|
說明 |
|
裁決 — AMP信譽查詢 |
惡意/乾淨/未知 |
Spyname — 檢測到的惡意軟體的名稱 |
[特洛伊木馬測試] |
分數 — AMP分配的信譽分數 |
[1-100 ] |
上傳 — 已指示上傳檔案的AMP雲 |
1 |
File Name — 檔案附件的名稱 |
abcd.pdf |
專案 |
示例資料 |
標準參與 |
有限參與 |
版本 |
coeus 7.7.0-608 |
||
序列號 |
|||
SBNP取樣係數(體積) |
|||
SBNP取樣係數(速率) |
1 |
||
目標IP和埠 |
未模糊的URL路徑段 |
雜湊URL路徑段 |
|
反間諜軟體選擇的惡意軟體類別 |
已跳過 |
||
WBRS得分 |
4.7 |
||
McAfee惡意軟體類別判定 |
|||
引用URL |
未模糊的URL路徑段 |
雜湊URL路徑段 |
|
內容型別ID |
|||
ACL決策標籤 |
0 |
||
舊版Web分類 |
|||
CIWUC網路類別和決策來源 |
{'src':'req', 'cat':'1026'} |
||
AVC應用名稱 |
廣告和跟蹤 |
||
AVC應用型別 |
廣告網路 |
||
AVC應用行為 |
不安全 |
||
內部AVC結果跟蹤 |
[0,1,1,1 ] |
||
通過索引資料結構的使用者代理跟蹤 |
3 |
AMP統計資訊 |
|
裁決 — AMP信譽查詢 |
惡意/乾淨/未知 |
Spyname — 檢測到的惡意軟體的名稱 |
[特洛伊木馬測試] |
分數 — AMP分配的信譽分數 |
[1-100 ] |
上傳 — 已指示上傳檔案的AMP雲 |
1 |
File Name — 檔案附件的名稱 |
abcd.pdf |
每個終端使用者共用的統計資訊 分類錯誤 意見回饋 |
|
專案 |
示例資料 |
引擎ID(數字) |
0 |
舊版Web分類代碼 |
|
CIWUC Web分類源 |
'resp' / 'req' |
CIWUC Web類別 |
1026 |
# categorized
"http://google.com/": { "wbrs": "5.8",
"fs": {
"src": "req",
"cat": "1020"
},
}
# uncategorized
"http://fake.example.com": { "fs": {
"cat": "-"
},
}
每個Cisco裝置共用的統計資訊
專案 |
示例資料 |
版本 |
coeus 7.7.0-608 |
序列號 |
0022190B6ED5-XYZ1YZ2 |
型號 |
S660 |
已啟用Webroot |
1 |
已啟用AVC |
1 |
已啟用Sophos |
0 |
已啟用響應端分類 |
1 |
已啟用反間諜軟體引擎 |
default-2001005008 |
反間諜軟體SSE版本 |
default-2001005008 |
反間諜軟體Spycat定義版本 |
default-8640 |
反間諜軟體URL阻止清單DAT版本 |
|
反間諜軟體URL網路釣魚DAT版本 |
|
反間諜軟體Cookie DAT版本 |
|
已啟用反間諜軟體域阻止 |
0 |
反間諜軟體威脅風險閾值 |
90 |
已啟用McAfee |
0 |
McAfee Engine版本 |
|
McAfee DAT版本 |
default-5688 |
WBNP詳細級別 |
2 |
WBRS引擎版本 |
freebsd6-i386-300036 |
WBRS元件版本 |
categories=v2-1337979188,ip=default-1379460997,keyword=v2-1312487822,prefixcat=v2-1379460670,rule=default-1358979215 |
WBRS阻止清單閾值 |
-6 |
WBRS允許清單閾值 |
6 |
已啟用WBRS |
1 |
已啟用安全行動化 |
0 |
已啟用L4流量監控器 |
0 |
L4流量監控器阻止清單版本 |
default-0 |
L4流量監控器管理阻止清單 |
|
L4流量監控管理阻止清單埠 |
|
L4流量監控允許清單 |
|
L4流量監控允許清單埠 |
|
SBNP抽樣因子 |
0.25 |
SBNP取樣係數(體積) |
0.1 |
SurfControl SDK版本(舊版) |
default-0 |
SurfControl完整資料庫版本(舊版) |
default-0 |
SurfControl本地增量累積檔案版本(舊版) |
default-0 |
Firestone引擎版本 |
default-210016 |
Firestone DAT版本 |
v2-310003 |
AVC引擎版本 |
default-110076 |
AVC DAT版本 |
default-1377556980 |
Sophos引擎版本 |
default-1310963572 |
Sophos DAT版本 |
default-0 |
已啟用自適應掃描 |
0 |
自適應掃描風險評分閾值 |
[10, 6, 3] |
自適應掃描負載因子閾值 |
[5, 3, 2] |
已啟用SOCKS |
0 |
交易總數 |
交易總數 |
|
允許的事務總數 |
|
檢測到的惡意軟體事務總數 |
|
管理策略阻止的事務總數 |
|
按WBRS得分阻止的事務總數 |
|
高風險交易總計 |
|
流量監控器檢測到的事務總數 |
|
與IPv6客戶端的交易總數 |
|
與IPv6伺服器的事務總數 |
|
使用SOCKS代理的交易總數 |
|
來自遠端使用者的事務總數 |
|
來自本地使用者的事務總數 |
|
使用SOCKS代理所允許的交易總數 |
|
允許使用SOCKS代理的本地使用者的事務總數 |
|
允許使用SOCKS代理的遠端使用者事務總數 |
|
使用SOCKS代理阻止的交易總數 |
|
使用SOCKS代理阻止的本地使用者的事務總數 |
|
使用SOCKS代理阻止的遠端使用者的事務總數 |
自上次重新啟動以來的秒數 |
2843349 |
CPU利用率(%) |
9.9 |
RAM利用率(%) |
55.6 |
硬碟利用率(%) |
57.5 |
頻寬利用率(/秒) |
15307 |
開放式TCP連線 |
2721 |
每秒交易數 |
264 |
客戶端延遲 |
163 |
快取命中率 |
21 |
代理CPU利用率 |
17 |
WBRS WUC CPU利用率 |
2.5 |
記錄CPU利用率 |
3.4 |
報告CPU利用率 |
3.9 |
Webroot CPU利用率 |
0 |
Sophos CPU利用率 |
0 |
McAfee CPU利用率 |
0 |
vmstat實用程式輸出(vmstat -z, vmstat -m) |
|
配置的訪問策略數 |
32 |
已配置的自定義Web類別數 |
32 |
身份驗證提供程式 |
基本,NTLMSSP |
驗證領域 |
身份驗證提供程式主機名、協定和其他配置元素 |
專案 |
示例資料 |
標準參與 |
有限參與 |
版本 |
coeus 7.7.0-608 |
||
序列號 |
|||
SBNP取樣係數(體積) |
|||
SBNP取樣係數(速率) |
1 |
||
目標IP和埠 |
未模糊的URL路徑段 |
雜湊URL路徑段 |
|
反間諜軟體選擇的惡意軟體類別 |
已跳過 |
||
WBRS得分 |
4.7 |
||
McAfee惡意軟體類別判定 |
|||
引用URL |
未模糊的URL路徑段 |
雜湊URL路徑段 |
|
內容型別ID |
|||
ACL決策標籤 |
0 |
||
舊版Web分類 |
|||
CIWUC網路類別和決策來源 |
{'src':'req', 'cat':'1026'} |
||
AVC應用名稱 |
廣告和跟蹤 |
||
AVC應用型別 |
廣告網路 |
||
AVC應用行為 |
不安全 |
||
內部AVC結果跟蹤 |
[0,1,1,1 ] |
||
通過索引資料結構的使用者代理跟蹤 |
3 |
AMP統計資訊 |
|
裁決 — AMP信譽查詢 |
惡意/乾淨/未知 |
Spyname — 檢測到的惡意軟體的名稱 |
[特洛伊木馬測試] |
分數 — AMP分配的信譽分數 |
[1-100 ] |
上傳 — 已指示上傳檔案的AMP雲 |
1 |
File Name — 檔案附件的名稱 |
abcd.pdf |
每個終端使用者共用的統計資訊 分類錯誤 意見回饋 |
|
專案 |
示例資料 |
引擎ID(數字) |
0 |
舊版Web分類代碼 |
|
CIWUC Web分類源 |
'resp' / 'req' |
CIWUC Web類別 |
1026 |