はじめに
このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)のアウトブレイクフィルタ(VOF)に関するよくある質問(FAQ)の一部について説明します。
アウトブレイクフィルタとは
注:現在実行中のAsyncOS for Email Securityバージョンの『ユーザガイド』を必ず参照してください。 例:AsyncOS 13.0ユーザガイドCisco Eメールセキュリティアプライアンス用、章:アウトブレイクフィルタ
アウトブレイク フィルタは大規模なウイルスの拡散や小規模な非ウイルス性の攻撃(フィッシング詐欺およびマルウェア配布など)が発生した際にネットワークを保護します。データが収集され、ソフトウェアの更新が公開されるまで新たなアウトブレイクを検知できない、ほとんどのアンチマルウェア セキュリティ ソフトウェアとは異なり、シスコは感染が拡散したときにデータを収集し、ユーザにこれらのメッセージが到達することを防ぐためにリアルタイムで ESA に更新情報を送信します。
シスコは着信メッセージは、着信メッセージが安全またはアウトブレイクの一部であることを判断するルールを開発するためにグローバル トラフィック パターンを使用します。アウトブレイクの一部である可能性があるメッセージは、シスコからアップデートされたアウトブレイクの情報または Sophos および McAfee によって発行される新しいアンチウイルス定義に基づいて安全と判断されるまで隔離されます。
小規模な非ウイルス性攻撃で使用されるメッセージでは、正当な外観のデザイン、受信者の情報、および短期間だけオンライン状態でWebセキュリティサービスに知られていないフィッシングおよびマルウェアWebサイトを指すカスタムURLが使用されます。アウトブレイクフィルタは、メッセージの内容を分析し、URLリンクを検索して、このタイプの非ウイルス攻撃を検出します。アウトブレイク フィルタは Web セキュリティ プロキシによって潜在的に危険な Web サイトへのトラフィックをリダイレクトするために URL を書き換え、ユーザがアクセスしようとしている Web サイトが悪意があるかもしれないことを警告するかまたは Web サイトを完全にブロックします。
ESA で Sophos または McAfee ウイルス対策ソフトウェアを実行していない場合でもアウトブレイク フィルタを使用できますか
ウイルス添付ファイルに対する防御を強化するために、アウトブレイクフィルタに加えてSophosまたはMcAfeeアンチウイルスを有効にすることを推奨します。ただし、アウトブレイクフィルタは、SophosまたはMcAfeeアンチウイルスを有効にしなくても独立して動作できます。
アウトブレイクフィルタがメッセージを隔離するのはいつですか。
メッセージが隔離されるのは、メッセージに含まれている添付ファイルが、現在のアウトブレイク ルールまたはメール管理者が設定したしきい値に一致するかまたはこれらの値を超える場合です。シスコは、有効な機能キーを持つ各ESAに対して最新のアウトブレイクルールを公開します。 アウトブレイクの一部である可能性があるメッセージは、シスコからアップデートされたアウトブレイクの情報または Sophos および McAfee によって発行される新しいアンチウイルス定義に基づいて安全と判断されるまで隔離されます。
アウトブレイクフィルタルールの作成方法
Outbreak Rulesは、Cisco Security Intelligence Operations(SIO)、つまりグローバルな脅威情報、レピュテーションベースのサービス、およびシスコのセキュリティアプライアンスの高度な分析を結び付け、応答時間が短く、強力な保護を提供するセキュリティエコシステムによって公開されます。 デフォルトでは、アプライアンスはサービスアップデートの一部として5分ごとに新しいアウトブレイクルールをチェックしてダウンロードします。
SIOは、次の3つのコンポーネントで構成されます。
- SenderBase(世界最大の脅威モニタリングネットワーク)と脆弱性データベースです。
- Talos(シスコのセキュリティアナリストと自動化システムのグローバルチーム)
- 動的な更新、リアルタイムの更新は、発生と同時にアプライアンスに自動的に配信されます。
アウトブレイクフィルタを設定するためのベストプラクティスはありますか。
はい。 サービスレベルに関する推奨事項は次のとおりです。
- アダプティブルールの有効化
- Maximum Message Size to Scanを2Mに設定
- Webインタラクショントラッキングの有効化
受信メールポリシーレベルの設定は、カスタマーごと、ポリシーごとに決定する必要があります。
不正なアウトブレイクフィルタルールをレポートするにはどうすればよいですか。
誤検出または誤検出は、次の2つの方法のいずれかで報告できます。
- シスコのサポートケースをオープン:https://mycase.cloudapps.cisco.com/case
- Talosでレピュテーションチケットを開きます:https://talosintelligence.com/reputation_center/support
次に、アウトブレイクフィルタリングルールを絞り込むことができる条件を示します。
- ファイル拡張子
- ファイル署名(Magic) ('true'型を示すファイルのバイナリ署名)
- URL
- filename
- ファイル サイズ
アウトブレイク隔離がいっぱいになるとどうなりますか
隔離が、割り当てられている最大スペース容量を超えるか、またはメッセージが最大時間設定を超えると、隔離を制限内に維持するため、メッセージが隔離から自動的にプルーニングされます。メッセージはファーストイン ファーストアウト(FIFO)ベースで削除されます。つまり、最も古いメッセージが最初に削除されます。隔離からプルーニングする必要があるメッセージを解放(つまり配信)するか、または削除するように隔離を設定できます。メッセージを解放する場合は、メッセージが強制的に検疫から外されたことを受信者に警告する、指定したテキストで件名をタグ付けできます。
アウトブレイク隔離から解放されたメッセージは、ウイルス対策モジュールにより再度スキャンされ、ウイルス対策ポリシーに基づいてアクションが実行されます。このポリシーに基づき、メッセージの配信、削除、またはウイルスに感染した添付ファイルを削除した状態での配信のいずれかの処理が行われます。アウトブレイク隔離からの解放後の再スキャン中に、ウイルスが検出されることがよくあります。ESA mail_log またはメッセージ トラッキングを参照して、隔離に示されていた個々のメッセージがウイルスに感染していることが検出されたかどうか、およびそのメッセージが配信されるかどうか、配信される場合はその配信方法を確認できます。
システム隔離がいっぱいになる前に、使用中の隔離が 75% に達した時点でアラートが送信され、さらに 95% に達した時点で別のアラートが送信されます。アウトブレイク隔離には、特定のウイルス脅威レベル(VTL)に一致するすべてのメッセージを削除または解放できる追加の管理機能があります。 これにより、特定のウイルスの脅威に対処するアンチウイルスアップデートを受信した後の隔離のクリーニングが容易になります。
アウトブレイク ルールの脅威レベルにはどのような意味がありますか
アウトブレイク フィルタは、0 ~ 5 の脅威レベルで動作します。脅威レベルは、ウイルス感染発生の可能性を評価します。ウイルス感染発生リスクに基づき、脅威レベルは疑わしいファイルの隔離に反映されます。脅威レベルはさまざまな要因に基づいています。たとえば、ネットワークトラフィック、疑わしいファイルアクティビティ、ウイルス対策ベンダーからの入力、Cisco SIOによる分析などです。また、アウトブレイクフィルタを使用すると、メール管理者はネットワークに対する脅威レベルの影響を増減できます。
| レベル |
リスク |
意味 |
| 0 |
なし |
メッセージが 脅威. |
| 1 |
低い |
メッセージが 脅威 が低い |
| 2 |
低または中 |
メッセージが 脅威 は低から中です。これは「疑わしい」 脅威. |
| 3 |
中 |
メッセージが確認されたアウトブレイクの一部であるか、メッセージの内容が 脅威. |
| 4 |
高 |
メッセージが大規模アウトブレイクの一部であることが確認されているか、メッセージの内容が非常に危険です。 |
| 5 |
Extreme |
メッセージの内容は、非常に大規模または大規模で非常に危険なアウトブレイクの一部であることが確認されています。 |
アウトブレイクが発生した場合、どのようにアラートを受け取りますか。
アウトブレイクフィルタが特定のタイプのメッセージプロファイルの隔離の脅威レベルを引き上げる新しい/更新ルールを受信すると、設定されたアラート電子メールアドレスに送信された電子メールメッセージでアラートを受け取ることができます。脅威レベルが設定したしきい値を下回ると、別のアラートが送信されます。これにより、ウイルスの付着の進行をモニタリングできます。 これらのメールは「情報」メールとして送信されます。
注:これらの電子メール通知を確実に受信するには、CLIでalertconfigコマンドまたはGUI(System Administration > Alerts)を使用し、アラートの送信先電子メールアドレスを確認します。
構成を構成または確認するには、次の手順に従います
- GUI:Security Services > Outbreak Filtersの順に選択して、Edit Global Settings...の下の設定を確認します。
- CLI:outbreakconfig > setup
例:
> outbreakconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).
What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [Y]> y
What is the largest size message Outbreak Filters should scan?
[2097152]>
Do you want to use adaptive rules to compute the threat level of messages? [Y]>
Logging of URLs is currently enabled.
Do you wish to disable logging of URL's? [N]>
Web Interaction Tracking is currently enabled.
Do you wish to disable Web Interaction Tracking? [N]>
The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
関連情報
フィードバック