Uploads van bestandsanalyse op ESA verifiëren

Downloadopties

  • PDF     (343.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (157.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (133.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 augustus 2019
Document-id:118796

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u kunt bepalen of bestanden die worden verwerkt via Advanced Malware Protection (AMP) op de Cisco Email Security Applicatie (ESA) worden verzonden voor bestandsanalyse, en wat het gekoppelde AMP-logbestand biedt.

    Bepalen of bijlagen zijn geüpload voor bestandsanalyse

    Als Bestandsanalyse is ingeschakeld, kunnen bijlagen die worden gescand met bestandsnaam naar Bestandsanalyse worden gestuurd voor verdere analyse. Dit biedt het hoogste niveau van bescherming tegen nuldag- en gerichte bedreigingen. Bestandsanalyse is alleen beschikbaar als filtering van bestandsreputatie is ingeschakeld.

    Gebruik de opties Bestandstypen om de soorten bestanden te beperken die naar de Cloud kunnen worden verzonden. De specifieke bestanden die worden verzonden zijn altijd gebaseerd op verzoeken van de File Analysis services Cloud, die zich richt op die bestanden waarvoor extra analyse nodig is. Bestandsanalyse voor bepaalde bestandstypen kan tijdelijk worden uitgeschakeld wanneer de File Analysis Services Cloud capaciteit bereikt.

    Opmerking: Raadpleeg het Cisco-document File Criteria for Advanced Malware Protection Services voor Cisco Content Security Producten voor de meest recente en aanvullende informatie.

    Opmerking: raadpleeg de Releaseopmerkingen en Gebruikershandleiding voor de specifieke revisie van AsyncOS die op uw apparaat wordt uitgevoerd, aangezien de bestandstypen voor bestandanalyse kunnen variëren op basis van de versie van AsyncOS.

    Bestandstypen die voor bestandsanalyse kunnen worden verzonden:

    • De details over welke bestanden door de reputatie- en analyseservices worden ondersteund, zijn alleen beschikbaar voor geregistreerde Cisco-klanten. Zie File Criteria voor Advanced Malware Protection Services voor Cisco Content Security Producten, beschikbaar bij
      http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-user-guide-list.html.  De criteria voor de beoordeling van de reputatie van een dossier en voor het ter analyse verzenden van dossiers kunnen te allen tijde veranderen.
    • De volgende bestandstypen kunnen momenteel voor analyse worden verzonden:
      • (Alle releases die File Analysis ondersteunen) Windows Executables, bijvoorbeeld .exe, .dll, .sys en .scr bestanden.
      • Adobe Portable Document Format (PDF), Microsoft Office 2007+ (Open XML), Microsoft Office 97-2004 (OLE), Microsoft Windows / DOS uitvoerbaar, andere mogelijk schadelijke bestandstypen.
      • Bestandstypen die u hebt geselecteerd voor uploaden op de pagina met instellingen voor Anti-Malware en Reputatie (voor webbeveiliging) of op de pagina met instellingen voor bestandreputatie en analyse (voor e-mailbeveiliging) De eerste ondersteuning omvat PDF- en Microsoft Office-bestanden.
      • (Beginnen in AsyncOS 9.7.1 voor Email Security) Als u de optie Andere mogelijk schadelijke bestandstypen hebt geselecteerd, Microsoft Office-bestanden met de volgende extensies opgeslagen in XML- of MHTML-indeling: ade, adp, en, accdb, accdr, accdt, accda, mdb, mda, mdn, mdt, mdf, mde, accde, mam, maq, mar, maf, maf, ldb, laccdb, doc, dot, docx, dotx, dotm, docb, xlt, xlm, sx, xlsm, xltx, xltm, xlsb, xla, xlam, xlw, ppt, pot, pps, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, mht, mhtm, mhtml en xml.
    • Criteria voor de bestandsgrootte om te uploaden worden dynamisch ingesteld door de service voor bestandsanalyse op basis van de huidige bedreigingstrends, en kunnen op elk moment worden gewijzigd. Criteria wijzigingen worden automatisch van kracht; u hoeft niets te doen.

    Opmerking: als de lading op de File Analysis Service de capaciteit overtreft, worden sommige bestanden mogelijk niet geanalyseerd, zelfs als het bestandstype voor analyse is geselecteerd en het bestand anders in aanmerking zou komen voor analyse. U ontvangt een waarschuwing wanneer de service tijdelijk geen bestanden van een bepaald type kan verwerken.

    Belangrijke opmerkingen markeren:

    • Als een bestand onlangs vanuit een bron is geüpload, wordt het niet opnieuw geüpload. Voor de resultaten van de bestandsanalyse voor dit bestand zoekt u naar de SHA-256 op de rapportagepagina voor bestandanalyse.
    • Het apparaat probeert het bestand eenmaal te uploaden. Als het uploaden niet succesvol is, bijvoorbeeld vanwege connectiviteitsproblemen, wordt het bestand mogelijk niet geüpload. Als de fout is opgetreden doordat de server voor bestandanalyse is overbelast, wordt opnieuw geprobeerd om het bestand te uploaden.

    Advanced Malware Protection voor bestandsanalyse configureren

    Standaard wordt, wanneer een ESA voor het eerst wordt ingeschakeld en nog geen verbinding met de Cisco-updater moet maken, het ENIGE bestandstype voor bestandanalyse dat wordt vermeld, "Microsoft Windows / DOS Executable"-bestanden.  U moet toestemming geven om een service update te voltooien voordat u extra bestandstypen kunt configureren.  Dit wordt weergegeven in het updater_logs logbestand, gezien als "fireamp.json":

    Sun Jul 9 13:52:28 2017 Info: amp beginning download of remote file "http://updates.ironport.com/amp/1.0.11/fireamp.json/default/100116"
    Sun Jul 9 13:52:28 2017 Info: amp successfully downloaded file "amp/1.0.11/fireamp.json/default/100116"
    Sun Jul 9 13:52:28 2017 Info: amp applying file "amp/1.0.11/fireamp.json/default/100116"

    Om de Analyse van het Bestand via de GUI te configureren, navigeer je naar Security Services > File Reputation and Analysis > Global Settings...

    Om AMP voor bestandsanalyse via de CLI te configureren, voert u de opdracht ampconfig > Setup in en beweegt u zich door de reactiewizard. U moet Y selecteren wanneer u deze vraag krijgt: Wilt u de bestandstypen voor Bestandsanalyse wijzigen?

    myesa.local> ampconfig

    File Reputation: Enabled
    File Analysis: Enabled
    File types selected for File Analysis:
     Adobe Portable Document Format (PDF)
     Microsoft Office 2007+ (Open XML)
     Microsoft Office 97-2004 (OLE)
     Microsoft Windows / DOS Executable
     Other potentially malicious file types
    Appliance Group ID/Name: Not part of any group yet


    Choose the operation you want to perform:
    - SETUP - Configure Advanced-Malware protection service.
    - ADVANCED - Set values for AMP parameters (Advanced configuration).
    - CLEARCACHE - Clears the local File Reputation cache.
    []> setup

    File Reputation: Enabled
    Would you like to use File Reputation? [Y]> 

    Would you like to use File Analysis? [Y]> 

    File types supported for File Analysis:

    1. Archived and compressed [selected]
    2. Configuration [selected]
    3. Database [selected]
    4. Document [selected]
    5. Email [selected]
    6. Encoded and Encrypted [selected]
    7. Executables [partly selected]
    8. Microsoft Documents [selected]
    9. Miscellaneous [selected]

    Do you want to modify the file types selected for File Analysis? [N]> y

    Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select all "currently" supported File Types.
    [1,2,3,4,5]> ALL

    Specify AMP processing timeout (in seconds)
    [120]> 

    Advanced-Malware protection is now enabled on the system.
    Please note: you must issue the 'policyconfig' command (CLI) or Mail
    Policies (GUI) to configure advanced malware scanning behavior for
    default and custom Incoming Mail Policies.
    This is recommended for your DEFAULT policy.

    Gebaseerd op deze configuratie, zijn de bestandstypen die zijn ingeschakeld onderhevig aan File Analysis, zoals van toepassing.  

    AMP-logbestanden bekijken voor bestandsanalyse

    Wanneer bijlagen worden gescand met behulp van File Reputation of File Analysis op de ESA, worden ze in het AMP-logboek geregistreerd. Om dit logboek voor alle AMP acties te bekijken, voert u staartversterker uit van de CLI van de ESA of beweegt u door de reactiewizard voor de staart of grep commando. De opdracht grep is handig als u het specifieke bestand of andere gegevens kent waarnaar u wilt zoeken in het AMP-logbestand.

    Hierna volgt een voorbeeld:

    mylocal.esa >  tail amp

    Press Ctrl-C to stop.
    Tue Aug 13 17:28:47 2019 Info: Compressed/Archive File: sha256 = deace8ba729ad32313131321311232av2316623cfe9ac MID = 1683600, Extracted File: File Name = '[redacted].pdf', File Type = 'application/pdf', sha256 = deace8ba729ad32313131321311232av2316623cfe9ac, Disposition = LOWRISK, Response received from = Cloud, Malware = None, Analysis Score = 0, upload_action = Recommended to send the file for analysis
    Thu Aug 15 13:49:14 2019 Debug: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
    Thu Aug 15 13:49:14 2019 Debug: Response received for file reputation query from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis

    Opmerking: oudere versies van AsyncOS tonen "amp_watchdog.txt" in de AMP-logs.  Dit is een OS-bestand dat elke tien minuten in de logbestanden wordt weergegeven. Dit bestand maakt deel uit van de keep-living voor AMP en kan zonder problemen worden genegeerd.  Dit bestand is verborgen beginnend in AsyncOS 10.0.1 en nieuwer.

    Opmerking: oudere versies van AsyncOS loggen de upload_action tag heeft drie waarden die zijn gedefinieerd voor het gedrag van het uploaden naar de bestandsanalyse.

    De drie reacties voor uploadactie op oudere AsyncOS:

    • "upload_action = 0": Het bestand is bekend bij de reputatieservice; verstuur niet voor analyse.
    • "upload_action = 1": Verzend
    • "upload_action = 2": Het bestand is bekend bij de reputatieservice; stuur niet voor analyse

    De twee reacties voor uploadactie op AsyncOS versie 12.x en verder:

    • "upload_action = Aanbevolen om het bestand ter analyse te verzenden"
    • Debug logbestanden alleen: "upload_action = Aanbevolen om het bestand niet voor analyse te verzenden"

    Deze reactie dicteert of een bestand voor analyse wordt verzonden. Opnieuw moet het voldoen aan de criteria van de geconfigureerde bestandstypen om succesvol te kunnen worden ingediend.

    Uitleg van Upload Action-tags

    "upload_action = 0": The file is known to the reputation service; do not send for analysis.

    Bij "0" betekent dit dat het bestand "niet hoeft te worden geüpload". Een betere manier om ernaar te kijken is dat het bestand indien nodig kan worden verzonden voor het uploaden naar File Analysis.  Als het bestand echter niet nodig is, wordt het niet verzonden.

    "upload_action = 2": The file is known to the reputation service; do not send for analysis

    Bij "2" is dit een strikte "do not send" het bestand voor het uploaden.  Deze actie is definitief en doorslaggevend, en de verwerking van de Bestandsanalyse wordt gedaan.

    Voorbeeldscenario’s

    In dit gedeelte worden mogelijke scenario's beschreven waarin bestanden ofwel naar behoren worden geüpload voor analyse of niet worden geüpload vanwege een specifieke reden.

    Bestand geüpload voor analyse

    Oudere AsyncOS:

    Dit voorbeeld laat een DOCX-bestand zien dat aan de criteria voldoet en is gelabeld met het uploadtoken = 1. In de volgende regel wordt het bestand dat is geüpload voor analyse Secure Hash Algorithm (SHA) ook in het AMP-logboek opgenomen.

    Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name = 'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type = application/msword
    Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud. File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
    Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce

    AsyncOS 12.x en verder:

    Dit voorbeeld laat een PPTX-bestand zien dat aan de criteria voldoet en is gelabeld met de upload_action = Aanbevolen om het bestand ter analyse te verzenden. In de volgende regel wordt het bestand dat is geüpload voor analyse Secure Hash Algorithm (SHA) ook in het AMP-logboek opgenomen.

    Thu Aug 15 09:42:19 2019 Info: Response received for file reputation query from Cloud. File Name = 'ESA_AMP.pptx', MID = 1763042, Disposition = UNSCANNABLE, Malware = None, Analysis Score = 0, sha256 = 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, upload_action = Recommended to send the file for analysis
    Thu Aug 15 10:05:35 2019 Info: File uploaded for analysis. SHA256: 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, file name: ESA_AMP.pptx

    Bestand niet geüpload voor analyse omdat bestand al bekend is

    Oudere AsyncOS:

    Dit voorbeeld laat een PDF-bestand zien dat door AMP is gescand terwijl upload_action = 2 is toegevoegd aan het reputatielogboek. Dit bestand is al bekend bij de Cloud en hoeft niet geüpload te worden voor analyse, dus het wordt niet opnieuw geüpload.

    Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name = 'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
    Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache. File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd3d2ffd0bf5f96989bb002, upload_action = 2

    AsyncOS 12.x en verder:

    Dit voorbeeld toont het amp_watchdog.txt bestand met amp logs op debug niveau dat overeenkomt met upload_action = Aanbevolen om het bestand niet voor analyse te verzenden, toegevoegd aan het bestand reputatielogboek. Dit bestand is al bekend bij de Cloud en hoeft niet geüpload te worden voor analyse, dus het wordt niet opnieuw geüpload.

    Mon Jul 15 17:41:53 2019 Debug: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis

    Uploaden van logbestanden via e-mailheaders

    Vanuit de CLI, met de optie met behulp van de opdracht logconfig, de suboptie van logheaders kan worden geselecteerd om de kopregels van e-mails die via de ESA worden verwerkt, te registreren en te registreren. Met behulp van de "X-Amp-File-Uploaded" header wordt een bestand geüpload of niet geüpload voor bestandsanalyse opgenomen in de e-maillogs van de ESA.

    Bekijk de maillogbestanden, resultaten voor bestanden geüpload voor analyse:

    Mon Sep 5 13:30:03 2016 Info: Message done DCID 0 MID 7659 to RID [0] [('X-Amp-File-Uploaded', 'True')]

    Wanneer u de e-maillogbestanden bekijkt, ziet u de resultaten voor bestanden die niet zijn geüpload voor analyse:

    Mon Sep 5 13:31:13 2016 Info: Message done DCID 0 MID 7660 to RID [0] [('X-Amp-File-Uploaded', 'False')]

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    26-Feb-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Robert Sherwin
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten