ESA FAQ: Uitbraakfilters / Virus Uitbraakfilters (VOF) FAQ
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document beschrijft en beantwoordt een aantal van de vaker gestelde vragen betreffende Uitbraakfilters, of Virus Outbreak Filters (VOF), op de Cisco Email Security Applicatie (ESA).
Wat zijn uitbraakfilters?
Opmerking: controleer de gebruikershandleiding voor de versie van AsyncOS voor e-mailbeveiliging die u momenteel gebruikt. Bijvoorbeeld, Gebruikershandleiding voor AsyncOS 13.0 voor Cisco e-mail security applicaties, hoofdstuk: Uitbraakfilters
Uitbraakfilters beschermen uw netwerk tegen grootschalige virusuitbraken en kleinere, niet-virale aanvallen, zoals phishing-scams en malware-distributie, wanneer ze zich voordoen. In tegenstelling tot de meeste anti-malware beveiligingssoftware, die geen nieuwe uitbraken kan detecteren tot gegevens zijn verzameld en een software-update is gepubliceerd, verzamelt Cisco gegevens over uitbraken als ze worden verspreid en stuurt bijgewerkte informatie naar uw ESA in real-time om te voorkomen dat deze berichten uw gebruikers bereiken.
Cisco gebruikt wereldwijde verkeerspatronen om regels te ontwikkelen die bepalen of een inkomend bericht veilig is of deel uitmaakt van een uitbraak. Berichten die deel kunnen uitmaken van een uitbraak worden in quarantaine geplaatst totdat is vastgesteld dat ze veilig zijn op basis van bijgewerkte uitbraakinformatie van Cisco of nieuwe antivirusdefinities worden gepubliceerd door Sophos en McAfee.
Berichten die in kleinschalige, niet-virale aanvallen worden gebruikt, gebruiken een legitiem uitziend ontwerp, de informatie van de ontvanger, en aangepaste URL’s die wijzen op phishing en malware-websites die slechts voor een korte periode online zijn geweest en onbekend zijn bij webbeveiligingsdiensten. Uitbraakfilters analyseren de inhoud van een bericht en zoeken naar URL-links om dit type niet-virale aanval te detecteren. Uitbraakfilters kunnen URL's herschrijven om verkeer te leiden naar potentieel schadelijke websites via een web security proxy, die ofwel waarschuwt gebruikers dat de website die ze proberen te bereiken kwaadaardig kan zijn of de website volledig blokkeert.
Kan ik Outbreak Filters ook gebruiken als ik geen Sophos of McAfee Anti-Virus op mijn ESA?
Cisco raadt u aan om Sophos of McAfee Anti-Virus naast Outbreak Filters in te schakelen om uw verdediging tegen virale bijlagen te verbeteren. Uitbraakfilters kunnen echter onafhankelijk van elkaar werken zonder dat Sophos of McAfee Anti-Virus ingeschakeld moeten worden.
Wanneer wordt een bericht in quarantaine geplaatst door Outbreak Filters?
Een bericht wordt in quarantaine geplaatst wanneer het een of meer bestandsbijlagen bevat die voldoen aan de huidige Uitbraakregels en de drempels die door e-mailbeheerders zijn ingesteld of deze overschrijden. Cisco publiceert de huidige uitbraakregels voor elk ESA dat over een geldige functiesleutel beschikt. Berichten die deel kunnen uitmaken van een uitbraak worden in quarantaine geplaatst totdat is vastgesteld dat ze veilig zijn op basis van bijgewerkte uitbraakinformatie van Cisco of nieuwe antivirusdefinities worden gepubliceerd door Sophos en McAfee.
Hoe worden de regels voor het filter tegen uitbraken geschreven?
De regels van de uitbraak worden gepubliceerd door Cisco Security Intelligence Operations (SIO), een security ecosysteem dat wereldwijde bedreigingsinformatie, op reputatie gebaseerde services en een geavanceerde analyse van Cisco-beveiligingsapparaten verbindt om sterkere bescherming met snellere responsietijden te bieden. Standaard controleert uw apparaat elke 5 minuten op nieuwe uitbraakregels en downloadt het deze als onderdeel van de Service-updates.
SIO bestaat uit drie componenten:
- SenderBase, 's werelds grootste netwerk voor bedreigingsbewaking en kwetsbaarheidsdatabase.
- Talos, het wereldwijde team van beveiligingsanalisten en geautomatiseerde systemen van Cisco.
- Dynamische updates, real-time updates automatisch geleverd aan toestellen als uitbraken optreden.
Zijn er best practices voor het configureren van uitbraakfilters?
Ja. De aanbeveling voor het serviceniveau is als volgt:
- Adaptieve regels inschakelen
- Maximale berichtgrootte instellen op Scannen naar 2M
- Ingeschakeld web interactietracken
De configuratie op het niveau van het inkomende mailbeleid zal per klant, per beleid, moeten worden bepaald.
Hoe kan ik een onjuiste uitbraakfilterregel melden?
U kunt op twee manieren fout-positieve of fout-negatieve resultaten melden:
- Open een Cisco-ondersteuningscase: https://mycase.cloudapps.cisco.com/case
- Open een reputatiebewijs met Talos: https://talosintelligence.com/reputation_center/support
Hieronder staan de condities die we kunnen verfijnen Uitbraak Filtering regels:
- Bestandsuitbreidingen
- File Signature (Magic) (Binaire handtekening van het bestand die het 'ware' type aangeeft)
- URL’s
- Bestandsnaam
- Bestandsgrootte
Wat gebeurt er als de quarantaine bij uitbraken is opgevuld?
Wanneer een quarantaine meer ruimte in beslag neemt dan is toegestaan, of wanneer een bericht meer tijd in beslag neemt dan is toegestaan, worden berichten automatisch uit de quarantaine gesnoeid om de quarantaine binnen bepaalde grenzen te houden. Berichten worden verwijderd op een first-in, first-out (FIFO) basis. Met andere woorden, de oudste berichten worden eerst verwijderd. U kunt een quarantaine configureren om een bericht vrij te geven (dat wil zeggen te leveren) of te verwijderen dat uit een quarantaine moet worden gesnoeid. Als u ervoor kiest om berichten vrij te geven, kunt u ervoor kiezen om de onderwerpregel te laten labelen met de tekst die u opgeeft. Hierdoor wordt de ontvanger gewaarschuwd dat het bericht uit de quarantaine is gedrukt.
Na vrijlating uit de quarantaine bij uitbraken worden berichten opnieuw gescand door de antivirusmodule en wordt er actie ondernomen volgens het antivirusbeleid. Afhankelijk van dit beleid kan een bericht worden afgeleverd, verwijderd of afgeleverd met virale bijlagen gestript. Het is te verwachten dat virussen vaak worden aangetroffen tijdens een nieuwe scan na vrijlating uit de quarantaine bij uitbraken. De ESA mail_logs of bericht tracking kunnen worden geraadpleegd om te bepalen of een individueel bericht dat in de quarantaine werd opgemerkt viral bleek te zijn, en of en hoe het werd geleverd.
Voordat een systeem quarantaine vult, wordt een waarschuwing verzonden wanneer de quarantaine 75% vol bereikt, en een andere waarschuwing wordt verzonden wanneer het 95% vol bereikt. De Outbreak Quarantine heeft een extra beheersfunctie waarmee u alle berichten kunt verwijderen of vrijgeven die overeenkomen met een bepaald virusbedreigingsniveau (VTL). Dit maakt het mogelijk om de quarantaine eenvoudig te reinigen nadat een antivirusupdate is ontvangen die een bepaalde virusdreiging aanpakt.
Wat is de betekenis van het bedreigingsniveau voor een Uitbraakregel?
Uitbraakfilters werken onder bedreigingsniveaus tussen 0 en 5. Het bedreigingsniveau schat de kans op een virusuitbraak in. Gebaseerd op het risico van een virale uitbraak, beïnvloedt het bedreigingsniveau het in quarantaine plaatsen van verdachte dossiers. Het bedreigingsniveau is gebaseerd op een aantal factoren, waaronder maar niet beperkt tot netwerkverkeer, verdachte bestandsactiviteit, invoer van viruswerende leveranciers en analyse door Cisco SIO. Bovendien kunnen mailbeheerders met uitbraakfilters de gevolgen van bedreigingsniveaus voor hun netwerken vergroten of verkleinen.
| Waterpas | Risico | Betekenis |
| 0 |
None | Er is geen risico dat de boodschap een dreigement. |
| 1 | Laag | Het risico dat de boodschap een dreigement laag is. |
| 2 | Laag/Gemiddeld | Het risico dat de boodschap een dreigement is laag tot gemiddeld. Het is een "verdachte" dreigement. |
| 3 | Gemiddeld | Ofwel maakt de boodschap deel uit van een bevestigde uitbraak, ofwel bestaat er een middelgroot tot groot risico dat de inhoud ervan dreigement. |
| 4 | Hoog | Ofwel wordt bevestigd dat de boodschap deel uitmaakt van een grootschalige uitbraak, ofwel is de inhoud ervan zeer gevaarlijk. |
| 5 | Extreem | De inhoud van de boodschap wordt bevestigd als onderdeel van een uitbraak die ofwel zeer grootschalig of grootschalig en uiterst gevaarlijk is. |
Hoe kan ik gewaarschuwd worden als er een uitbraak optreedt?
Wanneer Uitbraakfilters nieuwe/updates regels ontvangt om het Quarantaine Threat Level te verhogen voor een bepaald type berichtprofiel, kunt u worden gewaarschuwd via een e-mailbericht dat naar uw geconfigureerd alarme-mailadres wordt verzonden. Wanneer een bedreigingsniveau onder de ingestelde drempelwaarde daalt, wordt er een andere waarschuwing verzonden. U kunt dus de voortgang van de virale bijlage(n) controleren. Deze e-mails worden verzonden als "Info" e-mails.
Opmerking: om er zeker van te zijn dat u deze e-mailmeldingen ontvangt, moet u het e-mailadres controleren waarop meldingen in de CLI worden verzonden met behulp van de opdracht alertconfig of de GUI: System Administration > Alerts.
Configuratie configureren of bekijken
- GUI: Security Services > Outbreak Filters en bekijk de configuratie onder de Algemene instellingen bewerken...
- CLI: uitbraakconfiguratie > installatie
Voorbeeld:
> outbreakconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).
What would you like to do?
1. Switch modes to edit at mode "Cluster Hosted_Cluster".
2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
[1]>
Outbreak Filters: Enabled
Choose the operation you want to perform:
- SETUP - Change Outbreak Filters settings.
- CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
- CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
[]> setup
Outbreak Filters: Enabled
Would you like to use Outbreak Filters? [Y]>
Outbreak Filters enabled.
Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.
Would you like to receive Outbreak Filter alerts? [Y]> y
What is the largest size message Outbreak Filters should scan?
[2097152]>
Do you want to use adaptive rules to compute the threat level of messages? [Y]>
Logging of URLs is currently enabled.
Do you wish to disable logging of URL's? [N]>
Web Interaction Tracking is currently enabled.
Do you wish to disable Web Interaction Tracking? [N]>
The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
07-Aug-2014 |
Eerste vrijgave |
Bijgedragen door Cisco-engineers
- Robert SherwinCisco e-mail security
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)