はじめに
このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)のアウトブレイクフィルタ(VOF)に関するよくある質問(FAQ)の一部について説明します。
アウトブレイクフィルタとは
注:現在実行中のAsyncOS for Email Securityバージョンの『ユーザガイド』を必ず参照してください。 例:AsyncOS 13.0 for Cisco Eメールセキュリティアプライアンスのユーザガイド、章:アウトブレイクフィルタ
アウトブレイク フィルタは大規模なウイルスの拡散や小規模な非ウイルス性の攻撃(フィッシング詐欺およびマルウェア配布など)が発生した際にネットワークを保護します。データが収集され、ソフトウェアの更新が公開されるまで新たなアウトブレイクを検知できない、ほとんどのアンチマルウェア セキュリティ ソフトウェアとは異なり、シスコは感染が拡散したときにデータを収集し、ユーザにこれらのメッセージが到達することを防ぐためにリアルタイムで ESA に更新情報を送信します。
シスコは着信メッセージは、着信メッセージが安全またはアウトブレイクの一部であることを判断するルールを開発するためにグローバル トラフィック パターンを使用します。アウトブレイクの一部である可能性があるメッセージは、シスコからアップデートされたアウトブレイクの情報または Sophos および McAfee によって発行される新しいアンチウイルス定義に基づいて安全と判断されるまで隔離されます。
小規模な非ウイルス性攻撃で使用されるメッセージは、正当な外観、受信者の情報、およびカスタムURLを使用します。カスタムURLは、短期間だけオンラインになっていて、Webセキュリティサービスには知られていないフィッシングおよびマルウェアWebサイトを指します。アウトブレイクフィルタは、メッセージの内容を分析し、URLリンクを検索して、このタイプの非ウイルス攻撃を検出します。アウトブレイク フィルタは Web セキュリティ プロキシによって潜在的に危険な Web サイトへのトラフィックをリダイレクトするために URL を書き換え、ユーザがアクセスしようとしている Web サイトが悪意があるかもしれないことを警告するかまたは Web サイトを完全にブロックします。
ESA で Sophos または McAfee ウイルス対策ソフトウェアを実行していない場合でもアウトブレイク フィルタを使用できますか
ウイルス添付に対する防御を強化するために、アウトブレイクフィルタに加えてSophosまたはMcAfeeアンチウイルスを有効にすることを推奨します。ただし、アウトブレイクフィルタは、SophosまたはMcAfeeアンチウイルスを有効にしなくても、独立して動作できます。
アウトブレイクフィルタがメッセージを隔離するのはいつですか。
メッセージが隔離されるのは、メッセージに含まれている添付ファイルが、現在のアウトブレイク ルールまたはメール管理者が設定したしきい値に一致するかまたはこれらの値を超える場合です。シスコは、有効な機能キーを持つ各ESAに現在のアウトブレイクルールを公開します。 アウトブレイクの一部である可能性があるメッセージは、シスコからアップデートされたアウトブレイクの情報または Sophos および McAfee によって発行される新しいアンチウイルス定義に基づいて安全と判断されるまで隔離されます。
アウトブレイクフィルタルールはどのように作成されますか。
Outbreak Rulesは、Cisco Security Intelligence Operations(SIO)、つまり、グローバルな脅威情報、レピュテーションベースのサービス、およびシスコセキュリティアプライアンスの高度な分析を結び付けて応答時間を短縮し、強力な保護を提供するセキュリティエコシステムによって公開されています。 デフォルトでは、アプライアンスはサービスアップデートの一環として5分ごとに新しいアウトブレイクルールをチェックしてダウンロードします。
SIOは、次の3つのコンポーネントで構成されます。
- SenderBaseは世界最大の脅威モニタリングネットワークであり、脆弱性データベースでもあります。
- Talos(シスコのセキュリティアナリストと自動システムのグローバルチーム)
- 動的な更新、リアルタイムの更新は、発生に応じてアプライアンスに自動的に配信されます。
アウトブレイクフィルタを設定するためのベストプラクティスはありますか。
はい。 サービスレベルに関する推奨事項は次のとおりです。
- アダプティブルールの有効化
- Maximum Message Size to Scanを2Mに設定します
- Webインタラクショントラッキングの有効化
受信メールポリシーレベルの設定は、カスタマーごと、ポリシーごとに決定する必要があります。
不正なアウトブレイクフィルタルールをレポートするにはどうすればよいですか。
誤検出または誤検出は、次の2つの方法のいずれかで報告できます。
- シスコのサポートケースをオープンします:https://mycase.cloudapps.cisco.com/case
- Talosでレピュテーションチケットを開きます:https://talosintelligence.com/reputation_center/support
アウトブレイクフィルタリングルールを調整できる条件を次に示します。
- ファイル拡張子
- ファイル署名(マジック) (ファイルの'true'型を示すバイナリ署名)
- URL
- filename
- ファイル サイズ
アウトブレイク隔離がいっぱいになるとどうなりますか
隔離が、割り当てられている最大スペース容量を超えるか、またはメッセージが最大時間設定を超えると、隔離を制限内に維持するため、メッセージが隔離から自動的にプルーニングされます。メッセージはファーストイン ファーストアウト(FIFO)ベースで削除されます。つまり、最も古いメッセージが最初に削除されます。隔離からプルーニングする必要があるメッセージを解放(つまり配信)するか、または削除するように隔離を設定できます。メッセージを解放する場合は、件名に指定したテキストをタグ付けして、メッセージが強制的に検疫から外されたことを受信者に警告することもできます。
アウトブレイク隔離から解放されたメッセージは、ウイルス対策モジュールにより再度スキャンされ、ウイルス対策ポリシーに基づいてアクションが実行されます。このポリシーに基づき、メッセージの配信、削除、またはウイルスに感染した添付ファイルを削除した状態での配信のいずれかの処理が行われます。アウトブレイク隔離からの解放後の再スキャン中に、ウイルスが検出されることがよくあります。ESA mail_log またはメッセージ トラッキングを参照して、隔離に示されていた個々のメッセージがウイルスに感染していることが検出されたかどうか、およびそのメッセージが配信されるかどうか、配信される場合はその配信方法を確認できます。
システム隔離がいっぱいになる前に、使用中の隔離が 75% に達した時点でアラートが送信され、さらに 95% に達した時点で別のアラートが送信されます。アウトブレイク隔離には、特定のウイルス脅威レベル(VTL)に一致するすべてのメッセージを削除または解放できる追加の管理機能があります。これにより、特定のウイルスの脅威に対処するウイルス対策アップデートを受信した後の隔離を簡単にクリーニングできます。
アウトブレイク ルールの脅威レベルにはどのような意味がありますか
アウトブレイク フィルタは、0 ~ 5 の脅威レベルで動作します。脅威レベルは、ウイルス感染発生の可能性を評価します。ウイルス感染発生リスクに基づき、脅威レベルは疑わしいファイルの隔離に反映されます。脅威レベルはさまざまな要因に基づいています。たとえば、ネットワークトラフィック、疑わしいファイルのアクティビティ、ウイルス対策ベンダーからの入力、Cisco SIOによる分析などです。また、アウトブレイクフィルタを使用すると、メール管理者はネットワークに対する脅威レベルの影響を増減できます。
| レベル |
リスク |
意味 |
| 0 |
なし |
このメッセージが 脅威. |
| 1 |
低い |
メッセージが 脅威 が低い。 |
| 2 |
低または中 |
メッセージが 脅威 は低から中です。これは「疑わしい」ものだ 脅威. |
| 3 |
中 |
メッセージが確認されたアウトブレイクの一部であるか、メッセージの内容がセキュリティ侵害である中から大のリスクがあります。 脅威. |
| 4 |
高 |
メッセージが大規模アウトブレイクの一部であることが確認されているか、メッセージの内容が非常に危険です。 |
| 5 |
Extreme |
メッセージの内容は、非常に大規模または大規模で非常に危険なアウトブレイクの一部であることが確認されています。 |
アウトブレイクが発生した場合、どのようにアラートを受け取ることができますか。
アウトブレイクフィルタが新しいルールまたは更新ルールを受信して特定のタイプのメッセージプロファイルの隔離脅威レベルを引き上げると、設定済みのアラート電子メールアドレスに送信された電子メールメッセージでアラートを受信できます。脅威レベルが設定されたしきい値を下回ると、別のアラートが送信されます。これにより、ウイルス感染の進行状況を監視できます。 これらの電子メールは「情報」電子メールとして送信されます。
注:これらの電子メール通知を確実に受信するには、CLIでalertconfigコマンドまたはGUIのSystem Administration > Alertsを使用して、アラートの送信先電子メールアドレスを確認します。
構成を構成または確認する手順は、次のとおりです。
- GUI:Security Services > Outbreak Filtersの順に選択し、Edit Global Settings...の下の設定を確認します。
- CLI:outbreakconfig > setup
以下に例を挙げます。
> outbreakconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).
What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [Y]> y
What is the largest size message Outbreak Filters should scan?
[2097152]>
Do you want to use adaptive rules to compute the threat level of messages? [Y]>
Logging of URLs is currently enabled.
Do you wish to disable logging of URL's? [N]>
Web Interaction Tracking is currently enabled.
Do you wish to disable Web Interaction Tracking? [N]>
The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
関連情報
フィードバック