소개
이 문서에서는 AMP(Advanced Malware Protection)를 사용할 때 ESA(Email Security Appliance)에서 Upload Limit Reached(업로드 제한 도달) 알림을 식별하고 해결하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco에서는 다음 항목에 대한 기본 지식을 갖춘 것을 권장합니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- AsyncOS 12.0 이상을 실행하는 ESA
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
AMP 기능이 ESA에서 활성화되면 다음 주요 기능 중 하나 또는 둘 다를 수행합니다.
파일 분석 중에 샌드박싱 및 분석을 위해 특정 첨부 파일이 ThreatGrid에 업로드됩니다.
"Upload Limit Reached" 경고 이해
메시지 추적은 업로드 제한에 도달했기 때문에 AMP에서 검사하지 않은 이메일을 표시할 수 있습니다.
예
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
새로운 ThreatGrid 샘플 제한 모델에서는 이러한 제한이 조직당 디바이스가 파일 분석을 위해 업로드할 수 있는 샘플 수입니다. 모든 통합 디바이스(WSA, ESA, CES, FMC 등) 및 AMP for Endpoints는 디바이스 수에 관계없이 매일 200개의 샘플을 받을 수 있습니다.
참고: 이 카운터는 매일 재설정되지 않고 24시간 롤오버 기간으로 작동합니다.
예
200개의 샘플 업로드 제한이 있는 4개의 ESA로 구성된 클러스터에서, ESA1이 오늘 10시에 80개의 샘플을 업로드할 경우, 오늘부터 10시 1분부터 첫 80개의 슬롯이 릴리스되는 내일 10시까지 4개의 ESA(공유 제한) 중 120개의 샘플만 더 업로드할 수 있습니다.
지난 24시간 동안 ESA에서 업로드한 샘플 수를 어떻게 확인할 수 있습니까?
ESA: Monitor(모니터링) >> AMP File Analysis(AMP 파일 분석) 보고서로 이동하여 Files Uploaded for Analysis(분석을 위해 업로드된 파일) 섹션을 확인합니다.
SMA: Email(이메일) >> Reporting(보고) >> AMP File Analysis(AMP 파일 분석) 보고서로 이동하여 Files Uploaded for Analysis(분석을 위해 업로드된 파일) 섹션을 확인합니다^.
참고: AMP File Analysis(AMP 파일 분석) 보고서에 정확한 데이터가 표시되지 않으면 사용 설명서의 File Analysis Details in the Cloud Is Incomplete(클라우드의 파일 분석 세부사항이 불완전함) 섹션을 검토하십시오.
경고: 자세한 내용은 Cisco 버그 ID CSCvm10813을 참조하십시오.
또는 CLI에서 grep 명령을 실행하여 업로드된 파일 수를 계산할 수 있습니다. 각 어플라이언스에서 이 작업을 수행해야 합니다.
예
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
PCRE 정규식을 사용하여 날짜 및 시간을 일치시킬 수 있습니다.
업로드 제한을 어떻게 연장할 수 있습니까?
Cisco의 어카운트 매니저 또는 세일즈 엔지니어에게 문의하십시오.
관련 정보
피드백