소개
이 문서에서는 URL 재작성을 위해 OF(Outbreak Filter) 메시지 수정 옵션을 테스트하는 방법에 대해 설명합니다.
배경 정보
메시지 위협 수준이 메시지 수정 임계값을 초과하면 Outbreak Filter 기능은 메시지의 모든 URL을 다시 작성하여 사용자가 Cisco 웹 보안 프록시 스플래시 페이지를 클릭할 경우 사용자를 Cisco Web Security 프록시 스플래시 페이지로 리디렉션합니다. AsyncOS는 우회된 도메인을 가리키는 URL을 제외한 메시지 내부의 모든 URL을 재작성합니다.
URL 재작성에 사용할 수 있는 옵션은 다음과 같습니다.
- 서명되지 않은 메시지에 대해서만 활성화합니다.이 옵션을 사용하면 AsyncOS가 메시지 수정 임계값을 충족하거나 초과하는 서명되지 않은 메시지의 URL을 재작성할 수 있지만 서명된 메시지는 재작성할 수 없습니다.URL 재작성을 위해 이 설정을 사용하는 것이 좋습니다.
참고:Email Security Appliance는 DomainKeys/DKIM 서명 메시지의 URL을 재작성하고, Email Security Appliance가 아닌 네트워크의 서버 또는 어플라이언스가 DomainKeys/DKIM 서명 확인을 담당하는 경우 메시지 서명을 무효화할 수 있습니다.어플라이언스는 S/MIME을 사용하여 암호화되었거나 S/MIME 시그니처를 포함하는 경우 서명된 메시지를 고려합니다.
-
Email Security Appliance는 DomainKeys/DKIM 서명 메시지의 URL을 재작성하고, Email Security Appliance가 아닌 네트워크의 서버 또는 어플라이언스가 DomainKeys/DKIM 서명 확인을 담당하는 경우 메시지 서명을 무효화할 수 있습니다.
어플라이언스는 S/MIME을 사용하여 암호화되었거나 S/MIME 시그니처를 포함하는 경우 서명된 메시지를 고려합니다.
- 모든 메시지에 대해 활성화합니다.이 옵션을 사용하면 AsyncOS는 서명된 URL을 포함하여 메시지 수정 임계값을 충족하거나 초과하는 모든 메시지에서 URL을 재작성할 수 있습니다.AsyncOS에서 서명된 메시지를 수정하면 서명이 무효화됩니다.
- 사용 안 함이 옵션은 Outbreak Filter에 대한 URL 재작성을 비활성화합니다.
특정 도메인에 대한 URL을 수정에서 제외하도록 정책을 수정할 수 있습니다.도메인을 우회하려면 Bypass Domain Scanning 필드에 IPv4 주소, IPv6 주소, CIDR 범위, 호스트 이름, 부분 호스트 이름 또는 도메인을 입력합니다.항목이 여러 개인 경우 쉼표로 구분하십시오.
Bypass Domain Scanning 기능은 URL 필터링에 사용되는 전역 Allowlist와 유사하지만 독립적입니다.해당 Allowlist에 대한 자세한 내용은 ESA 사용 설명서의 "URL 필터링용 화이트리스트 생성"을 참조하십시오.
신종 바이러스 필터 URL 재작성 테스트
ESA에서 OF를 테스트하는 두 가지 옵션이 있습니다.
1부 테스트
이메일 본문에 악성 URL을 포함합니다. 사용할 수 있는 안전 테스트 URL:
http://malware.testing.google.test/testing/malware/
메일을 보낼 때 메일 로그 예에는 다음과 유사한 내용이 포함되어야 합니다.
Tue Jul 3 09:31:38 2018 Info: MID 185843 Outbreak Filters: verdict positive
Tue Jul 3 09:31:38 2018 Info: MID 185843 Threat Level=5 Category=Malware Type=Malware
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Tue Jul 3 09:31:38 2018 Info: MID 185843 rewritten to MID 185844 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185843 done
Tue Jul 3 09:31:38 2018 Info: MID 185844 Virus Threat Level=5
Tue Jul 3 09:31:38 2018 Warning: MID 185844 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:31:38 2018 Info: MID 185844 rewritten to MID 185845 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185844 done
Tue Jul 3 09:31:38 2018 Info: Message finished MID 185846 done
Tue Jul 3 09:31:38 2018 Info: MID 185845 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Malware: Malware)
Tue Jul 3 09:31:38 2018 Info: MID 185845 queued for delivery
메일 로그에 "재작성된 URL"이 표시되는데, 이는 OF가 Cisco 웹 보안 프록시를 통해 이 URL을 재작성했음을 나타냅니다. 또한 이 예시에 나와 있는 것처럼 메시지가 Outbreak Quarantine에 있을 수 있습니다.
최종 결과에는 다음을 표시하는 전달된 이메일 본문이 표시됩니다.
최종 사용자가 이메일을 수신하고 재작성된 URL을 클릭하면 Cisco 웹 보안 프록시로 리디렉션되고 다음을 참조하십시오.
참고:원래 URL 또는 웹 사이트의 HTML/인코딩을 기반으로 "사이트 미리 보기를 생성할 수 없음"이 표시됩니다. CSS, HTML 창 또는 복잡한 렌더링이 있는 웹 사이트는 사이트 미리 보기를 생성할 수 없습니다.
2부 테스트
두 번째 옵션은 OF 트리거를 위해 이메일 본문 또는 첨부 파일에 포함된 데이터를 포함하는 것입니다.
성공하려면 두 가지 옵션이 있습니다.
- 크기가 25000~30000바이트 사이인 "hello.voftest"라는 이름으로 파일(단순 텍스트 파일이 작동합니다)을 만들고 해당 파일을 테스트 전자 메일에 첨부합니다.그러면 바이러스 첨부 규칙이 트리거됩니다.
- 다음 GTUBE("Generic Test for Unsolicited Bulk Email") 72바이트 테스트 문자열을 전자 메일 본문에 배치합니다.
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTPHISH-STANDARD-ANTI-PHISH-TEST-EMAIL*C.34X
그러면 OF 및 피싱 규칙이 트리거됩니다. 메일 로그 예는 다음과 유사해야 합니다.
Tue Jul 3 09:44:12 2018 Info: MID 185880 Outbreak Filters: verdict positive
Tue Jul 3 09:44:12 2018 Info: MID 185880 Threat Level=5 Category=Phish Type=Phish
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten URL u'https://www.simplesite.com/'
Tue Jul 3 09:44:12 2018 Info: MID 185880 rewritten to MID 185881 by url-threat-protection filter 'Threat Protection'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185880 done
Tue Jul 3 09:44:12 2018 Info: MID 185881 Virus Threat Level=5
Tue Jul 3 09:44:12 2018 Warning: MID 185881 Failed to add disclaimer as header. Disclaimer has been added as attachment.
Tue Jul 3 09:44:12 2018 Info: MID 185881 rewritten to MID 185882 by add-heading filter 'Heading Stamping'
Tue Jul 3 09:44:12 2018 Info: Message finished MID 185881 done
Tue Jul 3 09:44:13 2018 Info: MID 185882 enqueued for transfer to centralized quarantine "Outbreak" (Outbreak rule Phish: Phish)
Tue Jul 3 09:44:13 2018 Info: MID 185882 queued for delivery
메일 로그에 "재작성된 URL"이 표시되는데, 이는 OF가 Cisco 웹 보안 프록시를 통해 이 URL을 재작성했음을 나타냅니다. 또한 이 예시에 나와 있는 것처럼 메시지가 Outbreak Quarantine에 있을 수 있습니다.
최종 결과에는 다음을 표시하는 전달된 이메일 본문이 표시됩니다.
최종 사용자가 이메일을 수신하고 재작성된 URL을 클릭하면 Cisco 웹 보안 프록시로 리디렉션되고 다음을 참조하십시오.
참고:원래 URL 또는 웹 사이트의 HTML/인코딩을 기반으로 "사이트 미리 보기를 생성할 수 없음"이 표시됩니다. CSS, HTML 창 또는 복잡한 렌더링이 있는 웹 사이트는 사이트 미리 보기를 생성할 수 없습니다.
관련 정보