Perguntas frequentes do ESA: Perguntas frequentes sobre filtros de detecção/filtros de detecção de vírus (VOF)

Opções de download

  • PDF     (267.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (92.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (82.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de março de 2020
ID do documento:118188

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve e responde algumas das perguntas mais frequentes sobre filtros de detecção ou filtros de detecção de vírus (VOF) no Cisco Email Security Appliance (ESA).

    O que são filtros de detecção?

    Observação: certifique-se de revisar o Guia do usuário para a versão do AsyncOS para segurança de e-mail que você está executando atualmente.  Exemplo, Guia do usuário do AsyncOS 13.0 para dispositivos de segurança de e-mail da Cisco, Capítulo: Filtros de epidemia

    Os filtros de epidemia protegem sua rede contra epidemias de vírus em grande escala e ataques menores e não virais, como golpes de phishing e distribuição de malware, à medida que ocorrem. Ao contrário da maioria dos softwares de segurança antimalware, que não podem detectar novos ataques até que os dados sejam coletados e uma atualização de software seja publicada, a Cisco coleta dados sobre ataques à medida que eles se espalham e envia informações atualizadas para seu ESA em tempo real para evitar que essas mensagens cheguem aos seus usuários.

    A Cisco usa padrões de tráfego global para desenvolver regras que determinam se uma mensagem recebida é segura ou parte de um ataque. As mensagens que podem fazer parte de um ataque são colocadas em quarentena até que sejam consideradas seguras com base nas informações atualizadas da Cisco sobre ataques ou até que novas definições de antivírus sejam publicadas pela Sophos e pela McAfee.

    As mensagens usadas em ataques não virais de pequena escala usam um design com aparência legítima, as informações do destinatário e URLs personalizados que apontam para sites de phishing e malware que estão on-line apenas por um curto período e são desconhecidos dos serviços de segurança da Web. Os filtros de epidemia analisam o conteúdo de uma mensagem e procuram links de URL para detectar esse tipo de ataque não viral. Os filtros de epidemia podem reescrever URLs para redirecionar o tráfego para sites potencialmente prejudiciais através de um proxy de segurança da Web, que avisa aos usuários que o site que eles estão tentando acessar pode ser mal-intencionado ou bloqueia o site completamente.

    Posso usar filtros de detecção mesmo se não estiver executando o Sophos ou o McAfee Anti-Virus no meu ESA?

    A Cisco recomenda que você ative o antivírus Sophos ou McAfee, além dos filtros de detecção, para aumentar sua defesa contra anexos de vírus. No entanto, os filtros de detecção podem operar de forma independente, sem exigir que o Sophos ou o McAfee Anti-Virus estejam ativados.

    Quando os Filtros de Ataque colocam uma mensagem em quarentena?

    Uma mensagem é colocada em quarentena quando contém anexos de arquivo que atendem ou excedem as Regras de Epidemia atuais e os limites definidos pelos administradores de e-mail. A Cisco publica as regras de epidemia atuais para cada ESA que tenha uma chave de recurso válida. As mensagens que podem fazer parte de um ataque são colocadas em quarentena até que sejam consideradas seguras com base nas informações atualizadas da Cisco sobre ataques ou até que novas definições de antivírus sejam publicadas pela Sophos e pela McAfee. 

    Como são escritas as regras do filtro de epidemia?

    As regras de epidemia são publicadas pelo Cisco Security Intelligence Operations (SIO), um ecossistema de segurança que conecta informações de ameaças globais, serviços baseados em reputação e análise sofisticada de dispositivos de segurança da Cisco para fornecer proteção mais forte com tempos de resposta mais rápidos.  Por padrão, o seu equipamento verifica e baixa novas regras de epidemia a cada 5 minutos como parte das Atualizações de serviço.

    O SIO consiste em três componentes:

    • SenderBase, a maior rede de monitoramento de ameaças e o maior banco de dados de vulnerabilidades do mundo.
    • Talos, a equipe global de analistas de segurança e sistemas automatizados da Cisco.
    • Atualizações dinâmicas e em tempo real são fornecidas automaticamente aos dispositivos quando ocorrem epidemias.

    Há práticas recomendadas para configurar filtros de detecção?

    Yes.  A recomendação para o nível de serviço é a seguinte:

    • Ativar regras adaptativas
    • Defina o tamanho máximo da mensagem para digitalizar como 2M
    • Rastreamento de Interação da Web Habilitado

    A configuração no nível de política de e-mails recebidos precisará ser determinada por cliente, por política.

    Como relatar uma regra incorreta do Filtro de Epidemia?

    Você pode relatar falsos positivos ou falsos negativos de duas maneiras:

    1. Abra um caso de suporte da Cisco: https://mycase.cloudapps.cisco.com/case
    2. Abra um tíquete de reputação com o Talos: https://talosintelligence.com/reputation_center/support

    Abaixo estão as condições em que podemos refinar as regras de filtragem de epidemia:

    • Extensões de arquivo
    • Assinatura do arquivo (Magic) (Assinatura binária do arquivo que indica seu tipo 'true')
    • URLs
    • Nome de arquivo
    • Tamanho do arquivo

    O que acontece quando a quarentena de detecção é preenchida?

    Quando uma quarentena excede o espaço máximo alocado para ela ou se uma mensagem excede a configuração de tempo máximo, as mensagens são removidas automaticamente da quarentena para mantê-la dentro dos limites. As mensagens são removidas primeiro a entrar, primeiro a sair (FIFO). Em outras palavras, as mensagens mais antigas são excluídas primeiro. Você pode configurar uma quarentena para liberar (ou seja, entregar) ou excluir uma mensagem que deve ser removida de uma quarentena. Se você optar por liberar mensagens, poderá optar por marcar a linha de assunto com o texto especificado, o que alertará o destinatário de que a mensagem foi forçada a sair da quarentena.

    Após o lançamento da quarentena de detecção, as mensagens são verificadas novamente pelo módulo antivírus e uma ação é executada de acordo com a política antivírus. Dependendo dessa política, uma mensagem pode ser entregue, excluída ou entregue com anexos de vírus removidos. Espera-se que os vírus sejam frequentemente encontrados durante a re-varredura após a liberação da quarentena de detecção. Os mail_logs do ESA ou o controle de mensagens podem ser consultados para determinar se uma mensagem individual anotada na quarentena foi considerada viral e se e como foi entregue.

    Antes que uma quarentena do sistema seja preenchida, um alerta é enviado quando a quarentena atinge 75% da capacidade total e outro alerta é enviado quando ela atinge 95% da capacidade total. A Quarentena de detecção tem um recurso de gerenciamento adicional que permite excluir ou liberar todas as mensagens que correspondem a um determinado nível de ameaça de vírus (VTL). Isso permite uma limpeza fácil da quarentena após o recebimento de uma atualização de antivírus que aborda uma determinada ameaça de vírus.

    Qual é o significado do nível de ameaça para uma Regra de Epidemia?

    Os filtros de detecção agem sob níveis de ameaça entre 0 e 5. O nível de ameaça aumenta a probabilidade de um surto viral. Com base no risco de uma epidemia de vírus, o nível de ameaça influencia a quarentena de arquivos suspeitos. O nível de ameaça é baseado em vários fatores, incluindo, mas não limitado a, tráfego de rede, atividade de arquivos suspeitos, entrada de fornecedores de antivírus e análise pelo Cisco SIO. Além disso, os Filtros de Ataque permitem que os administradores de email aumentem ou diminuam o impacto dos níveis de ameaça em suas redes.

    Nível Risco Significado

    0

    		 Nenhum Não há risco de que a mensagem seja um ameaça.
    1 Baixa O risco de a mensagem ser um ameaça é baixo.
    2 Baixa/Média O risco de a mensagem ser um ameaça é baixa a média. É um "suspeito" ameaça.
    3 Médio A mensagem faz parte de um surto confirmado ou existe um risco médio a grande de o seu conteúdo ser um ameaça.
    4 Alto Ou a mensagem é confirmada como parte de um surto em grande escala ou o seu conteúdo é muito perigoso.
    5 Extremo O conteúdo da mensagem é confirmado em parte de um surto que é de grande escala ou de grande escala e extremamente perigoso.

    Como posso ser alertado quando ocorre um ataque?

    Quando os filtros de detecção recebem regras novas/atualizadas para elevar o nível de ameaça de quarentena para um tipo específico de perfil de mensagem, você pode ser alertado por meio de uma mensagem de e-mail enviada ao seu endereço de e-mail de alerta configurado. Quando um nível de ameaça cai abaixo do limite configurado, outro alerta é enviado. Assim, você pode monitorar o progresso do(s) anexo(s) viral(is).  Esses e-mails são enviados como e-mails de "informações".

    Observação: para garantir que você receberá essas notificações por e-mail, verifique o endereço de e-mail para o qual os alertas são enviados na CLI usando o comando alertconfig ou a GUI: Administração do sistema > Alertas.

    Para configurar ou revisar a configuração

    • GUI: Security Services > Outbreak Filters e revise a configuração em Edit Global Settings...
    • CLI: outbreakconfig > setup

    Exemplo:

    > outbreakconfig

    NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).

    What would you like to do?
    1. Switch modes to edit at mode "Cluster Hosted_Cluster".
    2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
    3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
    [1]>

    Outbreak Filters: Enabled

    Choose the operation you want to perform:
    - SETUP - Change Outbreak Filters settings.
    - CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
    - CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
    []> setup

    Outbreak Filters: Enabled
    Would you like to use Outbreak Filters? [Y]>

    Outbreak Filters enabled.

    Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.


    Would you like to receive Outbreak Filter alerts? [Y]> y

    What is the largest size message Outbreak Filters should scan?
    [2097152]>

    Do you want to use adaptive rules to compute the threat level of messages? [Y]>

    Logging of URLs is currently enabled.

    Do you wish to disable logging of URL's? [N]>

    Web Interaction Tracking is currently enabled.

    Do you wish to disable Web Interaction Tracking? [N]>

    The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    07-Aug-2014
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Robert Sherwin
      Cisco Email Security

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos