As atualizações do antivírus Sophos no Cisco Security Appliance são diferentes das disponíveis no site do Sophos

Introdução

Este documento descreve por que as atualizações do Sophos Anti-Virus no dispositivo de segurança da Cisco são diferentes das disponíveis no site do Sophos.

Pré-requisito

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Dispositivo de segurança de e-mail (ESA) da Cisco
• Todas as versões do AsyncOS

Background

Existem dois tipos de atualizações: atualizações para o mecanismo antivírus Sophos e atualizações para os arquivos de identidade de vírus Sophos (IDE).

O mecanismo antivírus Sophos está totalmente integrado ao sistema operacional AsyncOS. O Sophos gera uma nova versão do mecanismo de varredura antivírus aproximadamente todo mês. A nova versão contém as definições de vírus atuais e quaisquer alterações de código necessárias para reconhecer novos tipos de vírus e corrigir problemas conhecidos. À medida que vírus adicionais são descobertos, o Sophos libera arquivos de identidade de vírus, chamados de arquivos IDE. Eles funcionarão com motores que tenham menos de 90 dias.

As atualizações do Sophos são gerenciadas automaticamente pelo Cisco AsyncOS no dispositivo C-Series. À medida que o Sophos lança novas versões de seus mecanismos, a Cisco as qualifica através de um processo de garantia de qualidade (QA) e as coloca nos servidores de atualização da Cisco para que seu dispositivo C-Series faça o download e a atualização automaticamente. À medida que os arquivos de definição de vírus do IDE são lançados, eles se movem automaticamente pelo serviço e são colocados nos servidores de atualização da Cisco dentro de alguns minutos de seu lançamento pela Sophos.

As assinaturas de vírus do Sophos IDE são válidas e funcionam com as versões anteriores do mecanismo. Todos os IDEs atuais serão carregados e funcionarão com a versão do mecanismo em execução no dispositivo Cisco C-Series.

Configurar

Às vezes, os arquivos no Cisco ESA podem parecer estar fora de sincronização com os disponíveis diretamente no Sophos. Isso pode ser ainda mais complicado pela diferença de fuso horário entre a Sophos e a maioria dos clientes norte-americanos. O site do Sophos é gerenciado pela sede da Sophos perto de Oxford, no Reino Unido. As postagens no site são datadas com o fuso horário local, GMT. É um pouco confuso correlacionar arquivos IDE do Sophos. A grande diferença de horário não só faz com que as datas pareçam um dia de diferença, mas a Cisco usa um esquema de numeração diferente para os arquivos do IDE. Você pode tentar fazer a correspondência desses arquivos verificando o site do Sophos IDE para ver quando um IDE foi lançado, bem como quantos outros foram liberados naquele dia e no dia anterior a ele, mas como a Cisco frequentemente escolherá alterações incrementais não publicadas neste site, este não é o método mais eficiente. A Cisco consulta o site do Sophos a cada 10 minutos. A configuração padrão para um dispositivo é consultar o site de download da Cisco a cada cinco minutos. Na pior das hipóteses, haverá um atraso de 15 minutos.

O esquema de numeração para os arquivos do IDE é a data. Por exemplo, "Sophos IDE Rules 2004121402 Tue Dec 14 06:27:14 2004" correlaciona-se com a terceira atualização (comece a contar a partir de zero) em 14 de dezembro, publicada aqui.

A Cisco recomenda que você defina o Sophos Automatic Update Interval para a configuração padrão de 15 minutos. Verifique se você está recebendo atualizações contínuas da Cisco usando a GUI baseada na Web, na página Security Services->Anti-Virus. Essas informações também estão disponíveis usando o comando CLI antivirusstatus, por exemplo:

mail3.example.com> antivirusstatus
    SAV Engine Version        4.03
    IDE Serial                2006031503
    Last Engine Update        Tue Mar 14 01:01:49 2006
    Last IDE Update           Thu Mar 16 06:33:50 2006
    Last Update Attempt       Thu Mar 16 09:18:51 2006
    Last Update Success       Thu Mar 16 06:33:50 2006

Se as atualizações não forem bem-sucedidas (você receberá uma mensagem de alerta se isso ocorrer), tente fazer uma atualização manual usando o botão Atualizar agora na GUI ou o comando da CLI antivirusupdate. O status da atualização é mostrado no arquivo de log do antivírus. Por exemplo:

smtp.example.com> tailCurrently configured logs:
1. "antivirus" Module: thirdparty Format: Anti-Virus
2. "avarchive" Module: mail Format: Anti-Virus Archive
3. "bounces" Module: bounces Format: Bounces
4. "brightmail" Module: thirdparty Format: Symantec Brightmail Anti-Spam
5. "cli_logs" Module: system Format: CLI Audit Logs
6. "error_logs" Module: mail Format: IronPort Text
7. "ftpd_logs" Module: ftpd Format: IronPort Text
8. "gui_logs" Module: gui Format: IronPort Text
9. "mail_logs" Module: mail Format: IronPort Text
10. "rptd_logs" Module: rptd Format: IronPort Text
11. "sntpd_logs" Module: sntpd Format: IronPort Text
12. "status" Module: mail Format: Status Logs
13. "system_logs" Module: system Format: IronPort Text
Enter the number of the log you wish to tail.
[]> 1Press Ctrl-C to stop.
Thu Mar 16 09:08:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:13:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:13:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:13:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:18:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:18:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:18:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:23:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:23:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:23:50 2006 Info: Current IDE serial=2006031503. No update needed.
 ^C
smtp.example.com>