FAQ de Cisco® Email Security Appliance : FAQ sur les filtres contre les attaques/filtres contre les attaques de virus (VOF)

Introduction

Ce document décrit et répond à certaines des questions les plus fréquemment posées concernant les filtres contre les attaques ou les filtres contre les attaques de virus (VOF) sur l'appliance de sécurité de la messagerie Cisco (ESA).

Que sont les filtres contre les attaques ?

Remarque : assurez-vous de consulter le Guide de l'utilisateur pour la version d'AsyncOS for Email Security que vous exécutez actuellement.  Exemple, Guide de l'utilisateur d'AsyncOS 13.0 pour les dispositifs de sécurité de la messagerie Cisco, Chapitre : Filtres contre les attaques

Les filtres contre les attaques protègent votre réseau contre les attaques virales à grande échelle et les attaques non virales plus petites, telles que les tentatives d'hameçonnage et la distribution de programmes malveillants, au fur et à mesure qu'elles se produisent. Contrairement à la plupart des logiciels de sécurité contre les programmes malveillants, qui ne peuvent pas détecter de nouvelles attaques tant que les données ne sont pas collectées et qu'une mise à jour logicielle n'est pas publiée, Cisco collecte des données sur les attaques à mesure qu'elles se propagent et envoie des informations mises à jour à votre ESA en temps réel pour empêcher ces messages d'atteindre vos utilisateurs.

Cisco utilise des modèles de trafic global pour développer des règles qui déterminent si un message entrant est sûr ou s'il fait partie d'une attaque. Les messages susceptibles de faire partie d'une attaque sont mis en quarantaine jusqu'à ce qu'ils soient considérés comme sûrs, sur la base d'informations mises à jour sur l'attaque par Cisco ou de nouvelles définitions antivirus publiées par Sophos et McAfee.

Les messages utilisés dans les attaques non virales à petite échelle utilisent une conception d'apparence légitime, les informations du destinataire et des URL personnalisées qui pointent vers des sites Web d'hameçonnage et de programmes malveillants qui sont en ligne depuis peu de temps et qui sont inconnus des services de sécurité Web. Les filtres contre les attaques analysent le contenu d'un message et recherchent des liens URL pour détecter ce type d'attaque non virale. Les filtres contre les attaques peuvent réécrire des URL pour rediriger le trafic vers des sites Web potentiellement dangereux via un proxy de sécurité Web, qui avertit les utilisateurs que le site Web auquel ils tentent d'accéder est malveillant ou bloque complètement le site Web.

Puis-je utiliser les filtres contre les attaques même si je n'exécute pas l'antivirus Sophos ou McAfee sur mon ESA ?

Cisco recommande d'activer Sophos ou McAfee Anti-Virus en plus des filtres contre les attaques pour renforcer votre défense contre les pièces jointes virales. Toutefois, les filtres contre les attaques peuvent fonctionner indépendamment sans nécessiter l'activation de l'antivirus Sophos ou McAfee.

Quand les filtres contre les attaques mettent-ils un message en quarantaine ?

Un message est mis en quarantaine s'il contient des pièces jointes qui respectent ou dépassent les règles d'attaque en vigueur et les seuils définis par les administrateurs de messagerie. Cisco publie les règles d'attaque actuelles pour chaque ESA disposant d'une clé de fonction valide. Les messages susceptibles de faire partie d'une attaque sont mis en quarantaine jusqu'à ce qu'ils soient considérés comme sûrs, sur la base des informations d'attaque mises à jour par Cisco ou de nouvelles définitions antivirus publiées par Sophos et McAfee. 

Comment les règles du filtre contre les attaques sont-elles écrites ?

Les règles d'attaque sont publiées par Cisco Security Intelligence Operations (SIO), un écosystème de sécurité qui relie les informations relatives aux menaces mondiales, les services basés sur la réputation et l'analyse sophistiquée des appliances de sécurité Cisco pour offrir une protection renforcée et des temps de réponse plus rapides.  Par défaut, votre appliance recherche et télécharge les nouvelles règles d'attaque toutes les 5 minutes dans le cadre des mises à jour de service.

SIO se compose de trois composants :

• SenderBase, le plus grand réseau de surveillance des menaces au monde, et base de données des vulnérabilités.
• Talos, l'équipe mondiale d'analystes de sécurité et de systèmes automatisés de Cisco.
• Mises à jour dynamiques, mises à jour en temps réel envoyées automatiquement aux appliances en cas d'attaque.

Existe-t-il des méthodes conseillées pour configurer les filtres contre les attaques ?

Oui.  La recommandation pour le niveau de service est la suivante :

• Activer les règles adaptatives
• Définir la taille maximale des messages à analyser sur 2 Mo
• Activé le suivi des interactions Web

La configuration au niveau de la stratégie de courrier entrant devra être déterminée par client et par stratégie.

Comment signaler une règle de filtre contre les attaques incorrecte ?

Vous pouvez déclarer un faux positif ou un faux négatif de deux façons :

1. Ouvrez un dossier d'assistance Cisco : https://mycase.cloudapps.cisco.com/case
2. Ouvrez un ticket de réputation avec Talos : https://talosintelligence.com/reputation_center/support

Vous trouverez ci-dessous les conditions dans lesquelles nous pouvons affiner les règles de filtrage des attaques :

• Extensions de fichiers
• Signature de fichier (magique) (signature binaire du fichier qui indique son type « true »)
• URL
• Nom du fichier
• Taille du fichier

Que se passe-t-il lorsque la quarantaine des attaques est pleine ?

Lorsqu'une quarantaine dépasse l'espace maximal qui lui est alloué, ou si un message dépasse le délai maximal, les messages sont automatiquement élagués de la quarantaine pour la maintenir dans les limites. Les messages sont supprimés selon le principe du premier entré, premier sorti (FIFO). En d'autres termes, les messages les plus anciens sont supprimés en premier. Vous pouvez configurer une quarantaine pour libérer (c'est-à-dire remettre) ou supprimer un message qui doit être élagué d'une quarantaine. Si vous choisissez de libérer des messages, vous pouvez choisir de baliser la ligne d'objet avec le texte que vous spécifiez, afin d'avertir le destinataire que le message a été mis hors quarantaine.

Une fois libérés de la quarantaine des attaques, les messages sont de nouveau analysés par le module antivirus et une action est entreprise conformément à la stratégie antivirus. Selon cette stratégie, un message peut être remis, supprimé ou remis avec des pièces jointes virales supprimées. On s'attend à ce que les virus soient souvent détectés lors d'une nouvelle analyse après la libération de la quarantaine des attaques. Les journaux de messagerie ESA ou le suivi des messages peuvent être consultés pour déterminer si un message individuel qui a été noté dans la quarantaine a été détecté comme viral, et si et comment il a été remis.

Avant qu'une quarantaine système ne soit terminée, une alerte est envoyée lorsque la quarantaine atteint 75 % de sa capacité et une autre lorsqu'elle atteint 95 % de sa capacité. La quarantaine des attaques dispose d'une fonctionnalité de gestion supplémentaire qui vous permet de supprimer ou de libérer tous les messages correspondant à un niveau de menace de virus (VTL) particulier. Cela facilite le nettoyage de la quarantaine après la réception d'une mise à jour antivirus destinée à contrer une menace virale particulière.

Quelle est la signification du niveau de menace pour une règle d'attaque ?

Les filtres contre les épidémies agissent sous des niveaux de menace compris entre 0 et 5. Le niveau de menace évalue la probabilité d'une épidémie virale. En fonction du risque d'épidémie virale, le niveau de menace influence la mise en quarantaine des fichiers suspects. Le niveau de menace repose sur un certain nombre de facteurs, notamment, mais sans s'y limiter, le trafic réseau, l'activité suspecte des fichiers, les données fournies par les fournisseurs d'antivirus et l'analyse effectuée par Cisco SIO. En outre, les filtres anti-épidémies permettent aux administrateurs de messagerie d'augmenter ou de réduire l'impact des niveaux de menace sur leurs réseaux.

Niveau	Risque	Signification
0	Aucune	Il n'y a aucun risque que le message soit un menace.
1	Faible	Le risque que le message soit un menace est faible.
2	Faible/Moyen	Le risque que le message soit un menace est faible à moyen. Il s'agit d'un « suspect » menace.
3	Moyen	Soit le message fait partie d'une épidémie confirmée, soit il existe un risque moyen à élevé que son contenu soit un menace.
4	Élevé	Soit le message est confirmé comme faisant partie d'une épidémie à grande échelle, soit son contenu est très dangereux.
5	Extrême	Le contenu du message est confirmé comme faisant partie d'une épidémie qui est soit à très grande échelle, soit à grande échelle et extrêmement dangereuse.

Comment puis-je être alerté en cas d'attaque ?

Lorsque les filtres contre les attaques reçoivent des règles nouvelles/mises à jour pour élever le niveau de menace de quarantaine pour un type de profil de message particulier, vous pouvez être alerté par un e-mail envoyé à votre adresse e-mail d'alerte configurée. Lorsqu'un niveau de menace tombe en dessous de votre seuil configuré, une autre alerte est envoyée. Vous pouvez ainsi suivre la progression de la ou des pièces jointes virales.  Ces e-mails sont envoyés sous forme d'e-mails « Info ».

Remarque : Pour vous assurer de recevoir ces notifications par e-mail, vérifiez l'adresse e-mail à laquelle les alertes sont envoyées dans l'interface de ligne de commande à l'aide de la commande alertconfig ou de l'interface graphique utilisateur : Administration système > Alertes.

Pour configurer ou revoir la configuration

• IUG: Security Services > Outbreak Filters et vérifiez la configuration sous Edit Global Settings...
• CLI :  outbreakconfig > setup

Exemple :

> outbreakconfig

NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).

What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>

Outbreak Filters: Enabled

Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup

Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>

Outbreak Filters enabled.

Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.


Would you like to receive Outbreak Filter alerts? [Y]> y

What is the largest size message Outbreak Filters should scan?
[2097152]>

Do you want to use adaptive rules to compute the threat level of messages? [Y]>

Logging of URLs is currently enabled.

Do you wish to disable logging of URL's? [N]>

Web Interaction Tracking is currently enabled.

Do you wish to disable Web Interaction Tracking? [N]>

The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

Informations connexes

• Appliance de sécurisation de la messagerie Cisco - Guides de l'utilisateur final
• Assistance et documentation techniques - Cisco Systems