Hoe u gesimuleerde phishing-perscampagnes via de Cisco e-mail security applicatie toestaat

Downloadopties

  • PDF     (92.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (96.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (138.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 december 2021
Document-id:215453

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de configuratiestappen in de Cisco Email Security Appliance (ESA) beschreven om gesimuleerde phishing-platforms met succes toe te staan.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Berichtings- en contentfilters maken op de ESA.
    • Configuratie van de Host Access Tabel (HAT).
    • Begrijpen met de inkomende e-mailleiding van Cisco ESA.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Achtergrondinformatie

    Simulatie van phishing-platforms stelt beheerders in staat om phishing-campagnes te voeren als onderdeel van een cyclus om één van de grootste bedreigingen te beheersen die de e-mailsystemen gebruikt als een vector van sociale technische aanvallen. 

    Probleem

    Wanneer de ESA niet voor dergelijke simulaties is voorbereid, is het niet ongebruikelijk dat zijn scanmotoren de phishing campagne-berichten stopzetten, wat resulteert in een storing of afname van de effectiviteit van de simulaties.

    Oplossing

    Voorzichtig: In dit configuratievoorbeeld wordt TRUSTED mail flow-beleid geselecteerd om de ESA in staat te stellen door grotere gesimuleerde phishing campagnes zonder trotling. Doorlopende phishing-campagnes van grote omvang kunnen invloed hebben op de e-mailverwerkingsprestaties.

    Om ervoor te zorgen dat de phishing campagne-boodschappen niet worden tegengehouden door een veiligheidscomponent van de ESR-configuratie, dient te worden geïnstalleerd.

    1. Een nieuwe gebruikersgroep maken GUI > Mail Policies > HAT Overzicht en verbind het met TRUSTED mail flow beleid (anders kan een nieuw beleid met soortgelijke opties worden gecreëerd onder GUI > Mail Policy > Mail Flow Policy).
    2. Voeg de verzendende host(s) of IP(s) van het gesimuleerde phishing platform toe aan deze Sender Group. Als het gesimuleerde phishing platform een groot bereik van IPs heeft, kunt u gedeeltelijke hostnamen in plaats daarvan of IP bereiken indien van toepassing toevoegen.
    3. Beveel de Sender Group boven je BLOCKLIST Sender Group om er zeker van te zijn dat er eerder statistisch dan SBRS op wordt afgestemd.
    4. Schakel alle beveiligingsfuncties voor het TRUSTED mail flow-beleid uit onder GUI > Mail-beleid > Mail Flow-beleid > TRUSTED (of uw nieuw gemaakte mail flow-beleid):

    Mail Flow Policies Features

    5. Breng deze wijzigingen aan en geef jezelf aan.

    Voorafgaande AsyncOS v.14

    Voorzichtig: In dit configuratievoorbeeld wordt TRUSTED mail flow-beleid geselecteerd om de ESA in staat te stellen door grotere gesimuleerde phishing campagnes zonder trotling. Doorlopende phishing-campagnes van grote omvang kunnen invloed hebben op de e-mailverwerkingsprestaties.

    Om ervoor te zorgen dat de phishing campagne-boodschappen niet worden tegengehouden door een veiligheidscomponent van de ESR-configuratie, dient te worden geïnstalleerd.

    1. Een nieuwe gebruikersgroep maken GUI > Mail Policies > HAT Overzicht en binden het aan TRUSTED mail flow beleid.
    2. Voeg de verzendende host(s) of IP(s) van het gesimuleerde phishing platform toe aan deze Sender Group. Als het gesimuleerde phishing platform een groot bereik van IPs heeft, kunt u gedeeltelijke hostnamen in plaats daarvan of IP bereiken indien van toepassing toevoegen.
    3. Beveel de Sender Group boven je BLOCKLIST Sender Group om er zeker van te zijn dat er eerder statistisch dan SBRS op wordt afgestemd.
    4. Breng deze veranderingen in en begaan.
    5. Navigeer naar de CLI en voeg het nieuwe berichtfilter, CLI > filters toe, kopieer en wijzig de syntaxis en voegt het filter toe.
    6. skip_engines_for_simulated_phishing:
      if (sendergroup == "name_of_the_newly_created_sender_group") 
      {
      insert-header("x-sp", "uniquevalue");
      log-entry("Skipped scanning engines for simulated phishing");
      skip-spamcheck();
      skip-viruscheck();
      skip-ampcheck();
      skip-marketingcheck();
      skip-socialcheck();
      skip-bulkcheck();
      skip-vofcheck();
      skip-filters();
      }
      .
    7. Beveel het berichtfilter in de lijst om er zeker van te zijn dat het niet wordt overgeslagen door een ander berichtfilter erboven, dat ook de skip-filters actie omvat.
    8. Druk op ENTER-toets om terug te navigeren naar de hoofdcommandoprompt van AsyncOS en geef de opdracht "toegewijd" uit om de wijzigingen vast te leggen. (klik niet op CTRL+C - alle wijzigingen worden gewist).
    9. Navigeren in naar het beleid GUI> Mail > Inkomend contentfilters
    10. Maak een nieuw Inkomend contentfilter met toestand "Overige header" ingesteld om naar de aangepaste kop "x-sp" te zoeken en naar de unieke waarde die is ingesteld in het berichtenfilter en stel de actie Niet resterende contentfilters in (Eindactie).
    11. Bestellen het filter van de inhoud aan "1" om ervoor te zorgen dat andere filters geen actie tegen het gesimuleerde phishing bericht zullen ondernemen.
    12. Navigeren in op GUI > Mail-beleid > inkomend postbeleid en het contentfilter toewijzen aan het gewenste beleid.
    13. Breng veranderingen in en begaan.
    14. Start de gesimuleerde phishing platform campagne en controleer de mail_logs/Message Tracking om stroom en beleidsregels bij elkaar te brengen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    22-Dec-2021
    Bijgewerkt het berichtfilter om een inclusieve regel te bevatten. Omvat een actualisering van versie 14 om overslaan via het poststroombeleid mogelijk te maken.
    1.0
    29-Apr-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Svetoslav Georgiev
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten