Preguntas frecuentes sobre ESA: Preguntas frecuentes sobre Outbreak Filters/Virus Outbreak Filters (VOF)
Opciones de descarga
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Contenido
Introducción
En este documento se describen y responden algunas de las preguntas más frecuentes relacionadas con los filtros de brote de virus (VOF) en el dispositivo de seguridad Cisco Email Security Appliance (ESA).
¿Qué son los filtros de brote?
Nota: asegúrese de revisar la guía del usuario de la versión de AsyncOS para Email Security que está ejecutando actualmente. Ejemplo, Guía del usuario de AsyncOS 13.0 para los dispositivos Cisco Email Security, Capítulo: Filtros de brote
Los filtros de brotes de virus protegen su red de brotes de virus a gran escala y de ataques no virales más pequeños, como estafas de suplantación de identidad y distribución de malware, a medida que se producen. A diferencia de la mayoría del software de seguridad antimalware, que no puede detectar nuevos brotes hasta que se recopilan los datos y se publica una actualización de software, Cisco recopila los datos de los brotes a medida que se propagan y envía información actualizada a su ESA en tiempo real para evitar que estos mensajes lleguen a sus usuarios.
Cisco utiliza patrones de tráfico globales para desarrollar reglas que determinan si un mensaje entrante es seguro o forma parte de un brote. Los mensajes que pueden formar parte de un brote se ponen en cuarentena hasta que se determina que son seguros en función de la información actualizada de brotes de Cisco o hasta que Sophos y McAfee publican nuevas definiciones de antivirus.
Los mensajes utilizados en ataques no virales a pequeña escala utilizan un diseño de apariencia legítima, la información del destinatario y las URL personalizadas que señalan a sitios web de malware y suplantación de identidad que han estado online solo durante un breve período de tiempo y que los servicios de seguridad web desconocen. Los filtros de brote de virus analizan el contenido de un mensaje y buscan enlaces URL para detectar este tipo de ataque no viral. Los filtros de brotes de virus pueden reescribir las URL para redirigir el tráfico a sitios web potencialmente peligrosos a través de un proxy de seguridad web, que advierte a los usuarios de que el sitio web al que están intentando acceder puede ser malicioso o bloquea el sitio web completamente.
¿Puedo utilizar filtros de brote de virus aunque no esté ejecutando Sophos o McAfee Anti-Virus en mi ESA?
Cisco recomienda que active Sophos o McAfee Anti-Virus además de Outbreak Filters para aumentar su defensa contra los archivos adjuntos virales. Sin embargo, los filtros de brote de virus pueden funcionar de forma independiente sin que sea necesario activar Sophos o McAfee Anti-Virus.
¿Cuándo pone los filtros de brote en cuarentena un mensaje?
Un mensaje se pone en cuarentena cuando contiene archivos adjuntos que cumplen o superan las reglas de brote de virus actuales y los umbrales establecidos por los administradores de correo. Cisco publica las reglas de brote de virus actuales en cada ESA que tenga una clave de característica válida. Los mensajes que pueden ser parte de un brote se ponen en cuarentena hasta que se determina que son seguros en función de la información de brote de virus actualizada de Cisco o hasta que Sophos y McAfee publiquen nuevas definiciones de antivirus.
¿Cómo se escriben las reglas de Outbreak Filter?
Las reglas de brotes de virus las publica Cisco Security Intelligence Operations (SIO), un ecosistema de seguridad que conecta la información sobre amenazas globales, servicios basados en la reputación y análisis sofisticados de los dispositivos de seguridad de Cisco para proporcionar una protección más sólida con tiempos de respuesta más rápidos. De forma predeterminada, su dispositivo comprueba y descarga las nuevas reglas de brote de virus cada 5 minutos como parte de las actualizaciones de servicio.
SIO consta de tres componentes:
- SenderBase, la red de supervisión de amenazas más grande del mundo, y la base de datos de vulnerabilidades.
- Talos, el equipo global de analistas de seguridad y sistemas automatizados de Cisco.
- Actualizaciones dinámicas, actualizaciones en tiempo real que se envían automáticamente a los dispositivos a medida que se producen brotes.
¿Existen prácticas recomendadas para configurar los filtros de brote de virus?
Yes. La recomendación para el nivel de servicio es la siguiente:
- Habilitar reglas adaptables
- Establecer tamaño máximo de mensaje para escanear en 2M
- Seguimiento de interacción web habilitado
La configuración en el nivel de política de correo entrante deberá determinarse por cliente y por política.
¿Cómo informo de una regla de Outbreak Filter incorrecta?
Puede informar sobre falsos positivos o falsos negativos de una de estas dos maneras:
- Abra un caso de soporte de Cisco: https://mycase.cloudapps.cisco.com/case
- Abra un ticket de reputación con Talos: https://talosintelligence.com/reputation_center/support
A continuación se muestran las condiciones en las que podemos refinar las reglas de Outbreak Filtering:
- Extensiones de archivo
- Firma de archivo (Magic) (firma binaria del archivo que indica su tipo "verdadero")
- URL
- Nombre de Archivo
- Tamaño del archivo
¿Qué sucede cuando se llena la cuarentena de Outbreak?
Cuando una cuarentena excede el espacio máximo asignado, o si un mensaje excede el valor de tiempo máximo, los mensajes se eliminan automáticamente de la cuarentena para mantenerla dentro de los límites. Los mensajes se eliminan según el orden FIFO (First-In, First-Out). En otras palabras, los mensajes más antiguos se eliminan primero. Puede configurar una cuarentena para liberar (es decir, entregar) o eliminar un mensaje que debe eliminarse de una cuarentena. Si decide liberar mensajes, puede elegir que la línea de asunto esté etiquetada con el texto que especifique, lo que alertará al destinatario de que el mensaje se ha forzado a salir de cuarentena.
Tras la liberación de la cuarentena de Outbreak, el módulo antivirus vuelve a analizar los mensajes y se lleva a cabo la acción según la política antivirus. Dependiendo de esta política, un mensaje puede ser entregado, borrado o entregado con archivos adjuntos virales eliminados. Se espera que los virus se encuentren a menudo durante el reescaneo después de la liberación de la cuarentena de Outbreak. Los mail_logs o el rastreo de mensajes de ESA pueden ser consultados para determinar si un mensaje individual que fue anotado en la cuarentena fue encontrado viral, y si y como fue entregado.
Antes de que se llene una cuarentena del sistema, se envía una alerta cuando la cuarentena alcanza el 75% de su capacidad máxima y otra alerta cuando alcanza el 95% de su capacidad máxima. La cuarentena de Outbreak cuenta con una función de administración adicional que permite eliminar o liberar todos los mensajes que coincidan con un nivel de amenaza de virus (VTL) determinado. Esto permite una limpieza sencilla de la cuarentena después de recibir una actualización antivirus que se ocupe de una amenaza de virus concreta.
¿Cuál es el significado del nivel de amenaza de una regla de brote de virus?
Los filtros de brote actúan bajo niveles de amenaza entre 0 y 5. El nivel de amenaza determina la probabilidad de que se produzca un brote viral. Basado en el riesgo de un brote viral, el nivel de amenaza influye en la cuarentena de archivos sospechosos. El nivel de amenaza se basa en una serie de factores, entre los que se incluyen el tráfico de red, la actividad de archivos sospechosos, la entrada de proveedores de antivirus y el análisis de Cisco SIO. Además, los filtros de brote de virus permiten a los administradores de correo aumentar o disminuir el impacto de los niveles de amenaza en sus redes.
| ‘Nivel’ | Riesgo | Significado |
| 0 |
Ninguno | No hay riesgo de que el mensaje sea un amenaza. |
| 1 | Bajo | El riesgo de que el mensaje sea amenaza es baja. |
| 2 | Bajo/Medio | El riesgo de que el mensaje sea amenaza es bajo a medio. Es un "sospechoso" amenaza. |
| 3 | Medio | El mensaje forma parte de un brote confirmado o existe un riesgo medio a alto de que su contenido sea un amenaza. |
| 4 | Alto | Se confirma que el mensaje forma parte de un brote a gran escala o su contenido es muy peligroso. |
| 5 | Extremo | Se confirma que el contenido del mensaje forma parte de un brote que puede ser extremadamente grande o a gran escala y extremadamente peligroso. |
¿Cómo puedo recibir una alerta cuando se produce un brote?
Cuando Outbreak Filters recibe reglas nuevas o actualizadas para elevar el nivel de amenaza de cuarentena para un tipo concreto de perfil de mensaje, se le puede alertar mediante un mensaje de correo electrónico enviado a la dirección de correo electrónico de alerta configurada. Cuando un nivel de amenaza cae por debajo del umbral configurado, se envía otra alerta. De este modo, puede supervisar el progreso de las conexiones víricas. Estos correos electrónicos se envían como correos electrónicos "Info".
Nota: Para asegurarse de que recibirá estas notificaciones por correo electrónico, verifique la dirección de correo electrónico a la que se envían las alertas en la CLI mediante el comando alertconfig o la GUI: Administración del sistema > Alertas.
Para configurar o revisar la configuración
- GUI: Servicios de seguridad > Filtros de brotes y revise la configuración en Editar configuración global...
- CLI: outbreakconfig > setup
Ejemplo:
> outbreakconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).
What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [Y]> y
What is the largest size message Outbreak Filters should scan?
[2097152]>
Do you want to use adaptive rules to compute the threat level of messages? [Y]>
Logging of URLs is currently enabled.
Do you wish to disable logging of URL's? [N]>
Web Interaction Tracking is currently enabled.
Do you wish to disable Web Interaction Tracking? [N]>
The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
07-Aug-2014 |
Versión inicial |
Con la colaboración de ingenieros de Cisco
- Robert SherwinCisco Email Security
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)