Cisco Secure Email Threat Defense リリースノート
Table of Contents
Cisco Secure Email Threat Defense リリースノート
Cisco Secure Email Threat Defense リリースノート
はじめに
このドキュメントには、Cisco Secure Email Threat Defense の製品の更新、使用上の警告、および既知の問題に関する情報が含まれています。
2021 年 7 月 12 日から 2022 年 9 月 29 日までの Cisco Secure Email Cloud Mailbox のアーカイブリリースノートは、 https://www.cisco.com/c/en/us/td/docs/security/cloud-mailbox/release-notes/cloud-mailbox-release-notes-archive.html [英語] から検索できます。
製品アップデート
拡張機能
■
メッセージ検索 API の最近の更新により、判定インジケータ、アクションインジケータ、添付ファイルとリンク、および最後のアクションに基づいてメッセージをフィルタ処理できます。
■パブリック API のレート制限が、インドとオーストラリアのリージョンの企業に適用されるようになりました。
–API キーは、 [管理(Administration)] > [API クライアント(API Clients)] から生成できます。
–ヘッダー x-api-key の要求に API キーを含める必要があります。これを行わない場合、要求は失敗します。
–テナントあたりの現在のレート制限は 5 リクエスト/秒、バースト制限は 10 リクエスト/秒、1 日のクォータは 5000 リクエストです。制限数に達した場合は、サポートに連絡して上限の引き上げを要求してください。
拡張機能
■このリリースでは、新しい [メッセージレポート(Message Report)] ページが導入されています。このページでは、拡張メッセージビューとタイムラインビューを組み合わせ、追加機能を導入します。新機能は次のとおりです。
–ネットワーク管理者および管理者ユーザーがエンドユーザーに表示されるメッセージを確認できる電子メールプレビュー。
注 :ユーザーが電子メールをプレビューすると、監査ログレコードが作成されます。監査ログは、 [管理(Administration )] > [ビジネス (Business)] > [初期設定(Preferences)] からダウンロードできます。
–過去 30 日間にメッセージの送信者が送信したメッセージの合計数と脅威メッセージの合計数が表示される、[送信者メッセージ(Sender Messages)] グラフ。
–メッセージを受信したエンドユーザーのメールボックスのリストを示すメールボックスリスト。このリストには、メッセージが最後の修復アクションの前に開封されたかどうかと、メッセージの修復エラーが表示されます。
詳細については、『Cisco Secure Email Threat Defense User Guide』を参照してください。
■フィッシングテストのバイパスメッセージルールは、エンベロープ送信者の電子メールアドレスに対して、送信者の電子メールアドレスまたはドメインの基準のみと一致するようになりました。
■パブリックレポート API の最近の更新には、次のものが含まれます。
–上位 10 の脅威送信者レポートとレトロスペクティブ判定カウントレポート。
■大きなファイルで断続的にクラッシュを引き起こす問題があるため、.doc ファイルの QR コード検出を削除しました。この機能はできるだけ早く元に戻す予定です。
拡張機能
■修復の改善:発信メッセージと内部メッセージの場合、[受信トレイに移動(Move to Inbox)] アクションは、メッセージを受信トレイではなく、メッセージの最初の送信者の [送信済み(Sent)] フォルダに移動します。
拡張機能
■QR コード検出が、より多くのファイルタイプで使用できるようになりました。以前に発表されたグラフィックファイルに加えて、pdf、word、xls、および ppt ファイルに存在する QR コードから URL が抽出され、分析のためにエンジンに送信されます。
拡張機能
■混合方向は、UI と API から削除されました。この値は、Microsoft によって入力されなくなりました。
■パブリック API の最近の更新には、次のものが含まれます。
–新しいレポート API:方向ごとにスキャンされたメッセージの合計、判定ごとのトラフィックの合計、および脅威メッセージを受信した上位 10 のターゲット。
拡張機能
–URL は、メッセージ本文と.jpg、.jpeg、および.png 添付ファイルにある QR コードから抽出されます。これらの URL は、メッセージに含まれる他の URL とともに分析されます。
–QR コードの URL は、[リンク(Links)] セクションの展開されたメッセージビューに表示されます。
–URL に悪意があると見なされると、悪意のある URL テクニックが表示されます。
–QR コードのあるメッセージについては、QR コード検出テクニックが表示されます。このテクニックは、今後のリリースですべての QR コードに対して使用できるようになります。
拡張機能
■Cisco Security 製品全体の一貫性を高めるために、Cisco Secure Email Threat Defense UI 全体でスタイルを変更します。変更点には次の項目が含まれます。
拡張機能
■メッセージルールを削除できるようになりました。以前は、ルールを無効にすることしかできませんでした。
■影響力の高い人員リストが一般に使用可能になりました。このリストを使用して、ユーザー偽装攻撃から組織を保護します。
–組織内の最大 100 人の重要人物のリストを作成できます。リストはエンジンに送信され、表示名と送信者の電子メールアドレスをより詳細に調査します。
–構成された情報からの逸脱は、有害と判定されたメッセージの [判定の詳細(Verdict Details)] パネルで [ユーザー偽装(User Impersonation)] として識別されます。
■パブリック API の最近の更新には、次のものが含まれます。
–メッセージ検索 API のリクエスト本文に “isRetroVerdict”: true を追加することで、レトロ判定に基づいてメッセージをフィルタ処理する機能。
–パブリック API にレート制限が実装されました。API キーは、 [設定(Settings)] > [管理(Administration)] > [API クライアント(API Clients)] から生成できます。
注: レート制限は 2024 年 2 月から適用されます。ヘッダー x-api-key の要求に API キーを含める必要があります。これを行わない場合、要求は失敗します。
■メッセージ ダウンロード レポートでは、[自動修復(Auto Remediation)] 列の名前が [修復方法(Remediation Method)] に変更され、メッセージが自動、手動、または API によって修復されたかどうかが示されます。
拡張機能
■パブリック API への追加により、プログラムでメッセージを修復および再分類できます。詳細については、API ガイドを参照してください。このガイドには、Cisco Secure Email Threat Defense の [ヘルプ(Help)] メニューまたは https://developer.cisco.com/docs/message-search-api からアクセスできます。
拡張機能
■Email Threat Defense は、エンジン分析のために添付ファイルをスキャンし、URL を抽出するようになりました。
–250 を超えるファイルタイプがサポートされ、エンジンに送信されます。
拡張機能
■タイムラインビューには次の情報が表示されるようになりました。
–メッセージの修復エラーと、エラーが発生したメールボックスに関する情報。タイムラインからエラーログをダウンロードすることもできます。
拡張機能
■小さな EML ファイルがすぐにダウンロードされるようになりました。より大きなファイルには、引き続き [ダウンロード(Downloads)] ページからアクセスできます。
■[受信者検索(Recipient Search)] フィールドに [エンベロープ受信者(Envelope To)] フィールドと [配信先(Delivered To)] フィールドが含まれるようになりました。
廃止通知
■ユーザーインターフェイスの Organizational-Bcc、およびパブリックメッセージ検索 API 応答の bccAddresses は廃止され、今後のリリースで削除される予定です。BCC アドレスが [To/Cc] フィールドでキャプチャされるようになりました。
拡張機能
■管理者は、 [設定(Settings)] > [管理(Administration)] > [ユーザー(Users)] ページでユーザーのロールを変更できるようになりました。
■展開されたメッセージビューには、ジャーナルヘッダーから抽出された追加の受信者データが表示されます。[To/Cc]、[エンベロープ受信者(Envelope To)]、および [配信先(Delivered To)] の最大 3 つの個別のスクロール可能なセクションがあります。
■[メッセージルールのステータス(Message Rules Status)] 列のフィルタは、最後に選択した設定がデフォルトでブラウザに保存されます。
拡張機能
■[影響力の高い人員(High Impact Personnel)] ページには、ユーザーが過去 30 日間に偽装された回数が表示されます。
■パブリックメッセージ検索 API の最近の更新には、次のものが含まれます。
–拡張された検索機能:受信者の電子メールアドレス、送信者の電子メールアドレス、およびインターネットメッセージ ID。
–API 応答で、メッセージが手動で再分類されたかどうかを示すことができるようになりました。
–パブリック API ガイドへのリンクは、Cisco Secure Email Threat Defense の [ヘルプ(Help)] メニューからアクセスできます。このガイドは、 https://developer.cisco.com/docs/message-search-api/ にあります。
拡張機能
■このリリースで Cisco Secure Email Threat Defense パブリック API が導入されました。API を使用すると、安全でスケーラブルな方法でプログラムからデータにアクセスして使用することができます。API ドキュメントについては、 https://doc.api.etd.cisco.com/ を参照してください。
拡張機能
■2023 年 5 月 11 日以降に作成されたビジネスについては、スパムとグレイメールの分析がデフォルトでオフになります。この設定は、[ポリシー(Policy)] ページで調整できます。
–[メッセージ(Messages)] ページの上部に、脅威とメッセージのグラフィカル表示が表示されます。
–脅威とカテゴリのブレークアウトにより、合計を表示し、脅威を簡単にフィルタ処理できます。
■ホームページの [スキャンされたメッセージ(Messages Scanned )] グラフが、1 時間(日次表示)、3 時間(週次グラフポイント)、および 1 日(週次 X 軸ラベル)のカスタム期間を持つ [メッセージ(Messages)] ページにピボットするようになりました。
拡張機能
■Secure Malware Analytics の検出が [判定の詳細(Verdict Details)] パネルに [悪意のある侵入兆候(Malicious Behavioral Indicators)] のテクニックとして表示されます。
■Secure Endpoint の検出が [判定の詳細(Verdict Details)] パネルに [低スコアのファイルレピュテーション(Low File Reputation)] のテクニックとして表示されます。
拡張機能
■Secure Email Threat Defense はさらに SecureX と統合されています。特定の監視可能なメッセージを統合型製品の SecureX ピボットメニューから直接隔離できるようになりました。さらに、ピボットを使用して、Secure Email Threat Defense で検索を開始できます。ピボットできる観測対象は次のとおりです。
拡張機能
■メッセージソースとして Cisco Secure Email Cloud Gateway を使用するビジネス向けの新しい認証なしモードが導入されました。この可視性のみのモードを使用すると、Microsoft への認証を行わずに、トラフィックを Secure Email Threat Defense に送信できます。このモードでメッセージを修復することはできません。この構成をサポートするように、新しいビジネスの初期設定フローと [ポリシー(Policy)] ページの設定が更新されています。
拡張機能
■[ポリシー(Policy)] ページに、スパムとグレイメールの分析と修復をオンまたはオフにする新しいオプションがあります。オフにすると、スパムとグレイメールおよび無用なメールのパネルとオプションが削除されます。
–既存のアカウントについては、スパムとグレイメールの分析がデフォルトでオンになります。
–Cisco SEG 構成の今後のアカウントについては、スパムとグレイメールの分析がデフォルトでオフになります。スパムとグレイメールの分析は、SEG によってすでに実行されています。
■影響力の高い人員リストの個人用に構成された情報からの逸脱は、有害と判定されたメッセージの [判定の詳細(Verdict Details)] パネルで [テクニック(Technique)] として識別されます。
修正済みの問題
■一部のお客様の環境で、Secure Email Threat Defense に到達する前に HTTP ヘッダーが削除されるというログインの問題が発生していました。この問題は解決されました。
拡張機能
■ホームページに、日次と週次のデータの表示を切り替えるオプションがあります。
■[ポリシー(Policy)] ページの [インポートされたドメイン(Imported Domains)] セクションに、インポートされたドメインの総数と自動修復用にマークされたドメインの数が表示されます。リストには、部分一致検索でリストをフィルタ処理できる検索機能があります。
■影響レポートの開始日が編集可能になりました。これにより、30 日の範囲、またはカレンダーの月ビューの月の最初の日付を選択できます。
■[メッセージ(Messages)] ページのフィルタで、フィルタがいつ適用されたかが示されます。フィルタの設定をデフォルトに簡単に戻せるように、ページの上部に新しい [すべてリセット(Reset All)] リンクが追加されています。[フィルタのリセット(Reset Filters)] ボタンは、使いやすいようにフィルタパネルの下部にあります。
■タイムラインビューに、受信、修復、再分類などのイベントの秒数が表示されるようになりました。
■再分類のホバーテキストに日付と時刻が表示されるようになりました。
–管理者は、最大 100 人のリストを作成して Talos に送信し、表示名と送信者の電子メールアドレスをさらに精査することができます。
– 注 :今すぐリストを構築すると、今後のリリースで [判定の詳細(Verdict Details)] に [ユーザのなりすまし(User Impersonation)] のテクニックが表示されるようになります。
拡張機能
■[メッセージ(Messages)] ページのフィルタを使用して、送信者の IP アドレスで検索できるようになりました。
■通知に [すべて消去(Clear All)] ボタンが追加されました。
■[設定(Settings)] > [ダウンロード(Downloads)] > [EML ダウンロード(Download EML)] ページで、メッセージの件名をクリックしてメッセージに簡単に戻ることができます。
拡張機能
■[メッセージ(Messages)] ページの [送信者(Sender)] 列の名前が [送信者(表示名/フレンドリ名)(Sender (Display Name/Friendly From))] に変更されました。
拡張機能
■メッセージソースとして Cisco Secure Email Cloud Gateway を使用できるようになりました。この初期リリースでは、サポートは Microsoft O365 メールボックスに限定されています。この構成をサポートするように、新しいビジネスの初期設定フローと [ポリシー(Policy)] ページの設定が更新されています。
■ブランドのなりすましの検出がサポートされるようになりました。構成の変更は必要ありません。現在 1500 のブランドがインデックスに登録されており、今後さらに追加される予定です。
■ホームページのダッシュボードに、過去 24 時間のビジネスの状態をすばやく表示する新しいウィジェットとグラフがあり、フィルタ処理されたメッセージのリストにすばやくピボットできます。内容は次のとおりです。
–脅威:BEC、詐欺、フィッシング、悪意のある検出の数が表示されます。
–無用なメール:スパムとグレイメールの検出のスパークライングラフが表示されます。
–スキャンされたメッセージ:メッセージトラフィックのグラフが表示されます。
–侵害された可能性のあるアカウント:組織内から脅威メッセージを送信していることが確認された内部アドレスがリストされます。
–クイックメッセージフィルタ:レトロスペクティブ判定、隔離状態のメッセージ、およびメッセージルールが適用されたメッセージへのクイックリンクが表示されます。
■Secure Email Threat Defense の新しいステータスページは https://ciscosecureemailthreatdefense.statuspage.io で利用できます。登録すると、ステータスに変化があったときに更新情報を受け取ることができます。
使用上の注意
Microsoft Excel のセルサイズの制限
Microsoft Excel では、セルあたり 32,767 文字の制限があります。データを CSV にエクスポートしてから Excel で開くと、文字数制限を超えるデータは次の行に移動されます。
既知の問題
Microsoft 許可リストと安全な送信者
Microsoft の MSAllowList フラグにおける最近の変更により、個々のユーザがメールボックス内の許可リストを設定することを組織が許可しており、メッセージがユーザの許可リストに含まれる場合、Microsoft 許可リストが Cisco Secure Email Threat Defense で常に適用されることはありません。
Cisco Secure Email Threat Defense でこれらの設定を適用する場合は、[ポリシー(Policy)] ページの [スパムまたはグレイメールと判定された Microsoft Safe Sender メッセージを修復しない(Do not remediate Microsoft Safe Sender messages with Spam or Graymail verdicts)] チェックボックスをオンにします。Safe Sender フラグは、スパムとグレイメールの判定では適用されますが、悪意とフィッシングの判定では適用されません。つまり、スパムまたはグレイメールと判定された Safe Sender メッセージは修正されません。
カンバセーションビュー
カンバセーションビューを使用すると、次の問題が発生する場合があります。
■追加のメッセージがない場合でも、[+] 記号はクリックするまで表示されたままです。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1721R)
フィードバック