Ordem de quarentena do ESA/CES quando sinalizado por vários serviços

Opções de download

  • PDF     (428.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (256.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (196.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de junho de 2020
ID do documento:214588

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o comportamento dos dispositivos Cisco Email Security Appliance (ESA) e Cloud Email Security (CES) quando um e-mail é sinalizado por vários serviços para quarentena e o fluxo do e-mail pelo restante do pipeline de e-mail.

    Pré-requisitos

    Requisitos

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    As informações neste documento são baseadas no Cisco ESA com a versão 12.1.0 do AsyncOS.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Os e-mails que fluem pelos dispositivos Cisco ESA e CES para filtragem seguem o pipeline da fila de trabalho de e-mail. O pipeline é estático e se houver várias ações de vários serviços definidos para sinalizar um e-mail para as quarentenas, ele não seguirá a ordem de acordo com o pipeline; em vez disso, o ESA/CES o coloca em quarentena com sua própria ordem.

    Observação: os e-mails sinalizados com ações definidas como (ação final) terão precedência imediata e sairão do processamento da fila de trabalho.

    O que acontece com o e-mail quando sinalizado por vários serviços para quarentena?

    O e-mail é priorizado primeiro na quarentena do Policy Virus Outbreak (PVO). Não há uma ordem específica na qual a quarentena de política seja colocada, pois o PVO lista todas as outras quarentenas nas quais o e-mail também é mantido. Depois que o e-mail é liberado de uma das quarentenas do PVO, ele é mantido em qualquer quarentena respectiva para ser sinalizado.

    Depois que o e-mail foi liberado (manualmente ou por meio do temporizador em que a ação padrão está definida como liberar), os e-mails entram na quarentena de spam. Quando o e-mail é liberado da quarentena de spam, ele é transferido para a fila de entrega para entrega final.

    Observação: um e-mail que é excluído de uma quarentena PVO também removerá o e-mail de todas as quarentenas subsequentes em que ele está mantido.

    • As mensagens liberadas das quarentenas de política e vírus são examinadas novamente pelos mecanismos antivírus, de proteção avançada contra malware e de correio de cinza.
    • As mensagens liberadas da quarentena de detecção são examinadas novamente pelos mecanismos antisspam, antivírus e AMP.
    • As mensagens liberadas da quarentena de análise de arquivo são examinadas novamente em busca de ameaças.
    • As mensagens com anexos são examinadas novamente pelo serviço de reputação de arquivo após a liberação das quarentenas de política, vírus e epidemia.

    Injeção inicial de e-mail com filtragem feita pelo ESA. Nesta saída, você verá que ela é sinalizada pela quarentena de spam, quarentena de vírus e quarentena de política:

    Thu Jun 27 12:51:03 2019 Info: Start MID 378951 ICID 391696
    Thu Jun 27 12:51:03 2019 Info: MID 378951 ICID 391696 From: <matt@lee2.com>
    Thu Jun 27 12:51:10 2019 Info: MID 378951 ICID 391696 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:51:14 2019 Info: MID 378951 Subject 'Test email with AV EICAR and other triggers'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 ready 3292 bytes from <matt@lee2.com>
    Thu Jun 27 12:51:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim verdict using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: MID 378951 using engine: CASE spam positive
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine
    Thu Jun 27 12:51:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:51:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:51:15 2019 Info: MID 378951 attachment 'testAV.txt'
    Thu Jun 27 12:51:15 2019 Info: MID 378951 URL https://ihaveabadreputation.com has reputation -9.3 matched Condition: URL Reputation Rule
    Thu Jun 27 12:51:15 2019 Info: MID 378951 Custom Log Entry:  - Match whole word filter
    Thu Jun 27 12:51:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Policy" (content filter:contnet_quarantine)
    Thu Jun 27 12:51:15 2019 Info: MID 378951 quarantined to "Virus" (a/v verdict:VIRAL)
    Thu Jun 27 12:51:15 2019 Info: Message finished MID 378951 done
    Thu Jun 27 12:51:15 2019 Info: ICID 391696 close

    Uma vez investigado dentro da quarentena, os e-mails mantidos na quarentena PVO que você marcou são vistos, bem como qualquer outra quarentena que ele sinaliza estar.

    Depois de ser liberado dessa quarentena, ele registra esse evento em mail_logs e reflete sobre as outras quarentenas, bem como que não está mais disponível na outra quarentena.

    Thu Jun 27 12:52:59 2019 Info: MID 378951 released from quarantine "Virus" (manual) t=104

    Libere-o para fora da quarentena PVO que permanece e permita que os e-mails viajem para a quarentena de spam sinalizada posteriormente.

    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from quarantine "Policy" (manual) t=180
    Thu Jun 27 12:54:15 2019 Info: MID 378951 released from all quarantines
    Thu Jun 27 12:54:15 2019 Info: MID 378951 matched all recipients for per-recipient policy matt in the inbound table
    Thu Jun 27 12:54:15 2019 Info: MID 378951 interim AV verdict using Sophos VIRAL
    Thu Jun 27 12:54:15 2019 Info: MID 378951 antivirus positive 'EICAR-AV-Test'
    Thu Jun 27 12:54:15 2019 Info: MID 378951 AMP file reputation verdict : MALWARE
    Thu Jun 27 12:54:15 2019 Info: ISQ: Tagging MID 378951 for quarantine (X-Ironport-Quarantine)
    Thu Jun 27 12:54:15 2019 Info: MID 378951 queued for delivery
    Thu Jun 27 12:54:15 2019 Info: RPC Delivery start RCID 13914 MID 378951 to local IronPort Spam Quarantine
    Thu Jun 27 12:54:15 2019 Info: ISQ: Quarantined MID 378951
    Thu Jun 27 12:54:15 2019 Info: RPC Message done RCID 13914 MID 378951
    Thu Jun 27 12:54:15 2019 Info: Message finished MID 378951 done

    Na versão final da quarentena de spam, o e-mail é destinado à fila de entrega.

    Thu Jun 27 12:55:33 2019 Info: Start MID 378952 ICID 0 (ISQ Released Message)
    Thu Jun 27 12:55:33 2019 Info: ISQ: Reinjected MID 378951 as MID 378952
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 From: <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ICID 0 RID 0 To: <matthewtestdomain@cisco.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 Subject '[WARNING: MALWARE DETECTED][SPAM] Test email with AV EICAR'
    Thu Jun 27 12:55:33 2019 Info: MID 378952 ready 9661 bytes from <matt@lee2.com>
    Thu Jun 27 12:55:33 2019 Info: MID 378952 queued for delivery

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    01-Jul-2019
    Versão inicial

    Colaboração de

    • Mathew Huynh
      Serviços avançados da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos