Cisco® Email Security Appliance − FAQ: Häufig gestellte Fragen zu Outbreak-Filtern/Virus-Outbreak-Filtern (VOF)

Einleitung

In diesem Dokument werden einige der am häufigsten gestellten Fragen zu Outbreak-Filtern (VOF) auf der Cisco E-Mail Security Appliance (ESA) beschrieben und beantwortet.

Was sind Outbreak-Filter?

Hinweis: Lesen Sie das Benutzerhandbuch für die aktuelle Version von AsyncOS für Email Security durch.  Beispiel, Benutzerhandbuch für AsyncOS 13.0 für Cisco Email Security Appliances, Kapitel: Outbreak-Filter

Outbreak-Filter schützen Ihr Netzwerk vor umfangreichen Virenangriffen und kleineren, nicht viralen Angriffen wie Phishing-Betrug und Malware-Verbreitung, sobald diese auftreten. Im Gegensatz zu den meisten Anti-Malware-Sicherheitssoftware, die neue Outbreaks erst erkennt, wenn Daten gesammelt und ein Software-Update veröffentlicht wurden, sammelt Cisco Daten zu Outbreaks, wenn sie sich verbreiten, und sendet aktualisierte Informationen in Echtzeit an Ihre ESA, um zu verhindern, dass diese Nachrichten Ihre Benutzer erreichen.

Cisco verwendet globale Datenverkehrsmuster, um Regeln zu entwickeln, die bestimmen, ob eine eingehende Nachricht sicher ist oder Teil eines Outbreaks ist. Nachrichten, die Teil eines Outbreaks sein können, werden unter Quarantäne gestellt, bis sie auf der Grundlage aktualisierter Outbreak-Informationen von Cisco oder neuer Virenschutzdefinitionen von Sophos und McAfee als sicher eingestuft werden.

Bei kleineren, nicht-viralen Angriffen verwendete Nachrichten sehen legitim aus, enthalten Informationen des Empfängers und benutzerdefinierte URLs, die auf Phishing- und Malware-Websites verweisen, die nur für kurze Zeit online waren und den Web-Sicherheitsdiensten nicht bekannt sind. Outbreak-Filter analysieren den Inhalt einer Nachricht und suchen nach URL-Links, um diese Art von nicht-viralen Angriffen zu erkennen. Outbreak-Filter können URLs umschreiben, um den Datenverkehr über einen Websicherheits-Proxy an potenziell schädliche Websites umzuleiten, der Benutzer entweder warnt, dass die Website, auf die sie zugreifen möchten, schädlich sein kann, oder die Website vollständig blockiert.

Kann ich Outbreak-Filter verwenden, auch wenn ich Sophos oder McAfee Anti-Virus nicht auf meiner ESA verwende?

Cisco empfiehlt, zusätzlich zu den Outbreak-Filtern Sophos oder McAfee Anti-Virus zu aktivieren, um den Schutz vor viralen Anhängen zu verbessern. Outbreak-Filter können jedoch unabhängig arbeiten, ohne dass Sophos oder McAfee Anti-Virus aktiviert sein muss.

Wann wird eine Nachricht von den Outbreak-Filtern in Quarantäne gestellt?

Eine Nachricht wird in die Quarantäne verschoben, wenn sie Dateianlagen enthält, die die aktuellen Outbreak-Regeln und die von den Mail-Administratoren festgelegten Schwellenwerte erfüllen oder überschreiten. Cisco veröffentlicht aktuelle Outbreak-Regeln für jede ESA, die über einen gültigen Feature-Schlüssel verfügt. Nachrichten, die Teil eines Outbreaks sein können, werden unter Quarantäne gestellt, bis sie basierend auf aktualisierten Outbreak-Informationen von Cisco als sicher eingestuft werden oder neue Antivirus-Definitionen von Sophos und McAfee veröffentlicht werden. 

Wie werden die Outbreak-Filterregeln geschrieben?

Outbreak-Regeln werden von Cisco Security Intelligence Operations (SIO) veröffentlicht, einem Sicherheitssystem, das globale Bedrohungsinformationen, reputationsbasierte Services und komplexe Analysen von Cisco Security Appliances miteinander verbindet, um einen besseren Schutz mit schnelleren Reaktionszeiten zu bieten.  Standardmäßig sucht Ihre Appliance im Rahmen der Service-Updates alle 5 Minuten nach neuen Outbreak-Regeln und lädt diese herunter.

SIO besteht aus drei Komponenten:

• SenderBase, dem weltweit größten Netzwerk zur Überwachung von Bedrohungen und Schwachstellen-Datenbank.
• Talos, das globale Team von Sicherheitsanalysten und automatisierten Systemen von Cisco.
• Dynamische Updates, Echtzeit-Updates, die bei einem Virenausbruch automatisch an die Appliances übermittelt werden.

Gibt es Best Practices für die Konfiguration von Outbreak-Filtern?

Ja.  Die Empfehlung für die Servicestufe lautet wie folgt:

• Adaptive Regeln aktivieren
• Die maximale Nachrichtengröße für das Scannen auf 2M festlegen
• Aktivierte Web-Interaktionsüberwachung

Die Konfiguration auf der Ebene der Richtlinien für eingehende E-Mails muss auf der Basis einzelner Kunden und Richtlinien festgelegt werden.

Wie melde ich eine falsche Outbreak-Filterregel?

Sie können falsch positive oder falsch negative Meldungen auf eine von zwei Arten machen:

1. Öffnen Sie ein Cisco Support-Ticket: https://mycase.cloudapps.cisco.com/case
2. Ein Reputations-Ticket bei Talos eröffnen: https://talosintelligence.com/reputation_center/support

Im Folgenden finden Sie die Bedingungen, unter denen wir die Regeln für die Outbreak-Filterung verfeinern können:

• Dateierweiterungen
• Dateisignatur (Magic) (Binärsignatur der Datei, die den Typ 'wahr' angibt)
• URL
• Dateiname
• Dateigröße

Was passiert, wenn sich die Outbreak-Quarantäne füllt?

Wenn eine Quarantäne den ihr zugewiesenen maximalen Speicherplatz überschreitet oder wenn eine Nachricht die Einstellung für die maximale Zeit überschreitet, werden Nachrichten automatisch aus der Quarantäne entfernt, um sie innerhalb der Beschränkungen zu halten. Nachrichten werden auf FIFO-Basis (First-In, First-Out) entfernt. Mit anderen Worten, die ältesten Nachrichten werden zuerst gelöscht. Sie können eine Quarantäne so konfigurieren, dass eine Nachricht freigegeben (d. h. zugestellt) oder gelöscht wird, die aus einer Quarantäne entfernt werden muss. Wenn Sie Nachrichten freigeben möchten, können Sie festlegen, dass die Betreffzeile mit dem von Ihnen angegebenen Text versehen wird, der den Empfänger darüber informiert, dass die Nachricht aus der Quarantäne entfernt wurde.

Nach der Freigabe aus der Outbreak-Quarantäne werden Nachrichten vom Anti-Virus-Modul erneut gescannt, und die entsprechenden Maßnahmen werden gemäß der Anti-Virus-Richtlinie ergriffen. Abhängig von dieser Richtlinie kann eine Nachricht zugestellt, gelöscht oder mit entfernten viralen Anhängen zugestellt werden. Es wird davon ausgegangen, dass Viren nach der Freigabe aus der Outbreak-Quarantäne häufig während der erneuten Suche gefunden werden. Anhand der ESA-E-Mail-Protokolle oder der Nachrichtenverfolgung kann ermittelt werden, ob eine einzelne Nachricht, die in der Quarantäne vermerkt wurde, als virenverseucht eingestuft wurde und ob und wie sie zugestellt wurde.

Bevor eine Systemquarantäne voll ist, wird eine Warnung gesendet, wenn die Quarantäne zu 75 % voll ist, und eine weitere Warnung wird gesendet, wenn die Quarantäne zu 95 % voll ist. Die Outbreak-Quarantäne verfügt über eine zusätzliche Verwaltungsfunktion, mit der Sie alle Nachrichten löschen oder freigeben können, die einer bestimmten Virusbedrohungsstufe (VTL) entsprechen. Dies ermöglicht eine einfache Säuberung der Quarantäne, nachdem ein Anti-Virus-Update empfangen wurde, das auf eine bestimmte Virusbedrohung eingeht.

Welche Bedeutung hat die Bedrohungsstufe für eine Outbreak-Regel?

Outbreak-Filter agieren bei Bedrohungsstufen zwischen 0 und 5. Die Bedrohungsstufe bestimmt die Wahrscheinlichkeit eines Virenausbruchs. Je nach Risiko eines Virenausbruchs beeinflusst das Bedrohungsniveau die Quarantäne verdächtiger Dateien. Die Bedrohungsstufe basiert auf einer Reihe von Faktoren, darunter Netzwerkverkehr, verdächtige Dateiaktivitäten, Eingaben von Antivirus-Anbietern und Analysen durch Cisco SIO. Darüber hinaus können E-Mail-Administratoren mithilfe von Outbreak-Filtern die Auswirkungen von Bedrohungsstufen auf ihre Netzwerke erhöhen oder verringern.

Stufe	Risiko	Bedeutung
0	None	Es besteht kein Risiko, dass es sich bei der Nachricht um eine Bedrohung.
1	Niedrig	Das Risiko, dass es sich bei der Nachricht um eine Bedrohung ist niedrig.
2	Niedrig/Mittel	Das Risiko, dass es sich bei der Nachricht um eine Bedrohung ist niedrig bis mittel. Es handelt sich um einen "vermuteten" Bedrohung.
3	Mittel	Entweder ist die Nachricht Teil eines bestätigten Outbreaks, oder es besteht ein mittleres bis großes Risiko, dass ihr Inhalt Bedrohung.
4	Hoch	Entweder wird die Nachricht bestätigt, dass sie Teil eines groß angelegten Ausbruchs ist, oder ihr Inhalt ist sehr gefährlich.
5	Extrem	Der Inhalt der Nachricht wird als Teil eines Outbreaks bestätigt, der entweder extrem groß oder groß und extrem gefährlich ist.

Wie kann ich bei einem Virenausbruch gewarnt werden?

Wenn die Outbreak-Filter neue Regeln erhalten bzw. Regeln aktualisieren, um die Quarantäne-Bedrohungsstufe für einen bestimmten Meldungsprofiltyp zu erhöhen, können Sie per E-Mail-Nachricht an die konfigurierte Benachrichtigungs-E-Mail-Adresse benachrichtigt werden. Wenn ein Bedrohungspotenzial unter den konfigurierten Schwellenwert absinkt, wird eine weitere Warnmeldung gesendet. Sie können so den Fortschritt der viralen Attachments überwachen.  Diese E-Mails werden als "Info"-E-Mails versendet.

Anmerkung: Um sicherzustellen, dass Sie diese E-Mail-Benachrichtigungen erhalten, überprüfen Sie die E-Mail-Adresse, an die Warnungen in der CLI gesendet werden, mithilfe des Befehls alertconfig oder der GUI: Systemverwaltung > Warnungen.

Konfiguration konfigurieren oder überprüfen

• GUI: Sicherheitsdienste > Outbreak-Filter und überprüfen Sie die Konfiguration unter Globale Einstellungen bearbeiten...
• CLI:  Outbreakconfig > Setup

Beispiel:

> outbreakconfig

NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).

What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>

Outbreak Filters: Enabled

Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup

Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>

Outbreak Filters enabled.

Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.


Would you like to receive Outbreak Filter alerts? [Y]> y

What is the largest size message Outbreak Filters should scan?
[2097152]>

Do you want to use adaptive rules to compute the threat level of messages? [Y]>

Logging of URLs is currently enabled.

Do you wish to disable logging of URL's? [N]>

Web Interaction Tracking is currently enabled.

Do you wish to disable Web Interaction Tracking? [N]>

The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

Zugehörige Informationen

• Cisco Email Security Appliance – Endbenutzerhandbücher
• Technischer Support und Dokumentation für Cisco Systeme