データは、メッセージ属性の要約情報および Cisco アプライアンスがどのように各種メッセージを処理したかに関する情報です。メッセージの本文すべてを収集するわけではありません。繰り返しになりますが、シスコに提供された、ユーザまたは組織を特定できる可能性のある情報は、すべて極秘として扱われます(後述のシスコは、共有されたデータがセキュアであることをどのように確認していますか。を参照してください)。
次の表では、「人間にわかりやすい」形式でサンプルのログ エントリを説明しています。
表 1. Cisco アプライアンスごとに共有される統計情報
項目
|
サンプルデータ
|
MGA ID
|
MGA 10012
|
タイムスタンプ
|
2005 年 7 月 1 日午前 8 時~午前 8:05 のデータ
|
ソフトウェア バージョン番号
|
MGA バージョン 4.7.0
|
ルール セットのバージョン番号
|
アンチスパム ルール セット 102
|
アンチウイルス アップデート間隔
|
10 分ごとにアップデート
|
隔離サイズ(Quarantine Size)
|
500 MB
|
隔離可能メッセージ数
|
現在 50 件のメッセージを隔離可能
|
ウイルス スコアしきい値
|
脅威レベル 3 以上のメッセージを隔離
|
隔離されたメッセージのウイルス スコアの合計
|
120
|
隔離されたメッセージ数
|
30(平均スコア 4)
|
最大隔離時間
|
12 時間
|
アンチウイルス結果との相関による隔離理由および隔離解除理由で分類した、アウトブレイク隔離メッセージ数の内訳
|
.exe ルールにより 50 件を隔離
手動で 30 件を隔離解除。このうち 30 件すべてがウイルス陽性
|
隔離解除の際に実行されたアクションで分類した、アウトブレイク隔離メッセージ数の内訳
|
10 件のメッセージは隔離解除後に添付ファイルを削除
|
メッセージ隔離時間の合計
|
20 時間
|
表 2. 送信者 IP アドレスごとに共有される統計情報
項目
|
サンプルデータ
|
アプライアンスのさまざまな段階におけるメッセージ数
|
アンチウイルス エンジンにより発見:100
アンチスパム エンジンにより発見:80
|
アンチスパムとアンチウイルスのスコア合計および判断
|
2,000(発見されたすべてのメッセージに対するアンチスパム スコアの合計)
|
さまざまなアンチスパム ルールおよびアンチウイルス ルールの組み合わせにヒットしたメッセージ数
|
100 件のメッセージがルール A および B にヒット
50 件のメッセージがルール A のみにヒット
|
接続数
|
20 SMTP 接続
|
受信者の総数および無効数
|
総受信者数 50
無効な受信者数 10
|
ハッシュされたファイル名:(a)
|
<one-way-hash>.zip という名前のアーカイブされた添付ファイル内で、ファイル <one-way-hash>.pif が検出
★セグメント分割★
★セグメント分割★
|
難読化されたファイル名:(b)
|
ファイル aaaaaaa.zip 内で、ファイル aaaaaaa0.aaa.pif が検出
|
URL ホスト名(c)
|
メッセージ内で www.domain.com へのリンクが検出
|
難読化された URL パス(d)
|
メッセージ内で aaa000aa/aa00aaa というパスを持つホスト名 www.domain.com へのリンクが検出
|
スパムおよびウイルス スキャン結果ごとのメッセージ数
|
スパム陽性 10 件
スパム陰性 10 件
スパムの疑い 5 件
ウイルス陽性 4 件
ウイルス陰性 16 件
ウイルス スキャン不可 5 件
|
さまざまなアンチスパムおよびアンチウイルス判定によるメッセージ数
|
スパム 500 件、スパムなし 300 件
|
サイズ レンジ内のメッセージ数
|
30 ~ 35 K の範囲に 125 件
|
さまざまな拡張子タイプごとの数
|
「.exe」添付ファイル 300 件
|
添付ファイル タイプ、本当のファイル タイプ、およびコンテナ タイプの相関関係
|
100 個の添付ファイルの拡張子が「.doc」ですが、実際には「.exe」
50 個の添付ファイルが zip 内に含まれた「.exe」拡張子
|
拡張子および本当のファイル タイプと添付ファイル サイズの相関関係
|
50 ~ 55 K の範囲に「.exe」添付ファイルが 30 件
|
ファイル レピュテーション サービス(AMP クラウド)にアップロードされた添付ファイルの数
|
1110 個のファイルをファイル レピュテーション サービスにアップロード
|
ファイル レピュテーション サービス(AMP クラウド)にアップロードされたファイルの判定
|
10 個の悪意のあるファイルが検出
100 個のファイルが正常と判断
1000 個のファイルはレピュテーション サービスでは不明
|
ファイル レピュテーション サービス(AMP クラウド)にアップロードされたファイルのレピュテーション スコア
|
50 個のファイルのレピュテーション スコアは 37
50 個のファイルのレピュテーション スコアは 57
1 個のファイルのレピュテーション スコアは 61
9 個のファイルのレピュテーション スコアは 99
|
ファイル レピュテーション サービス(AMP クラウド)にアップロードされたファイルの名前
|
example.pdf
testfile.doc
|
ファイル レピュテーション サービス(AMP クラウド)で検出されたマルウェア脅威の名前
|
トロイの木馬 - テスト
|
表 3. メッセージごとに共有される統計情報
|
|
メッセージ ID
|
内部メッセージ識別子 - 10010
|
受信者数
|
メッセージの受信者数 - 15
|
拒否された受信者数
|
無効であることが判明し、拒否された受信者数 - 5
|
ウイルス対策の判定
|
ウイルス対策エンジンから受信した判定。
|
AMP 判定
|
Advanced Malware Protection エンジンからの判定でマルウェア陽性の場合。
|
大容量メール
|
メッセージが「ヘッダー繰り返し回数」のメッセージ フィルタ ルールに一致した場合。
|
内部 Ironport スパム対策データ
|
メッセージが Ironport スパム対策エンジンにスキャンされた場合の、Ironport スパム対策スコアとメッセージ識別子。
|
(a)ファイル名は一方向ハッシュ(MD5)でエンコードされます。
(b)ファイル名は難読化された形式で送信されます。この形式では、すべての小文字の ASCII 文字([a ~ z])は「a」、すべての大文字の ASCII 文字([A ~ Z])は「A」、すべてのマルチバイト UTF-8 文字は(その他の文字セットにプライバシーを提供するため)「x」に、すべての
ASCII 数字([0 ~ -9])は「0」に置換され、その他すべてのシングル バイト文字(空白文字、句読点など)はそのまま保持されます。たとえば、ファイル Britney1.txt.pif は Aaaaaaa0.aaa.pif と表示されます。
(c)IP アドレスと同様に、URL ホスト名はコンテンツを提供する Web サーバを指定します。ユーザ名およびパスワードのような、秘密情報は含まれません、
(d)ホスト名に続く URL 情報は、ユーザの個人情報が漏えいしないように難読化されています。
AsyncOS 8.5 for Email 以降、IronPort Anti-Spam 機能または Intelligent Multi-Scan 機能がアクティブで、SenderBase Network Participation がイネーブルの場合、AsyncOS
は製品の有効性を向上させるために次の手順を実行します。
-
メッセージの特定のヘッダーの繰り返しに関する情報を収集して、収集した情報を暗号化し、暗号化した情報をヘッダーとして個々のメッセージに追加します。
お客様はこのように処理されたメッセージを、分析のためにシスコに送信できます。各メッセージは、専門家チームによってレビューされ、製品の有効性を向上させるために使用されます。分析のためにシスコにメッセージを送信する手順については、誤って分類されたメッセージのシスコへの報告を参照してください。
- 送信者の SBRSに関係なく、スパム対策スキャンのために CASE にメッセージのランダムサンプルを送信します。CASE は、これらのメッセージをスキャンして、その結果を製品の有効性の向上に利用します。AsyncOS は、アイドル状態の場合のみにこのアクションを実行します。その結果、このフィードバック
メカニズムによるメッセージ処理への大きな影響はありません。