ESA常见问题:爆发过滤器/病毒爆发过滤器(VOF)常见问题

下载选项

  • PDF     (396.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (81.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (69.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 3 月 31 日
文档 ID:118188

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍并回答了一些有关思科邮件安全设备(ESA)上的爆发过滤器或病毒爆发过滤器(VOF)的常见问题。

    什么是爆发过滤器?

    注意:请务必查看用户指南,了解当前运行的AsyncOS for Email Security版本。  示例,思科邮件安全设备AsyncOS 13.0用户指南,章节:爆发过滤器

    爆发过滤器可保护您的网络免受大规模病毒爆发和较小的非病毒攻击(如网络钓鱼诈骗和恶意软件分发)。大多数防恶意软件安全软件在收集数据并发布软件更新之前无法检测新的爆发,而思科则不同,它会在爆发时收集有关传播的数据,并将更新信息实时发送到ESA,以防止这些邮件到达您的用户。

    思科使用全球流量模式制定规则,以确定传入邮件是否安全或是否属于爆发的一部分。可能是病毒爆发一部分的邮件会被隔离,直到根据来自思科的更新病毒爆发信息或Sophos和McAfee发布的新防病毒定义确定它们是安全的。

    小规模非病毒攻击中使用的邮件使用看起来合法的邮件设计、收件人信息和自定义URL,这些URL指向仅在线很短时间且网络安全服务未知的网络钓鱼和恶意软件网站。爆发过滤器分析邮件内容并搜索URL链接以检测此类非病毒攻击。爆发过滤器可以重写URL以通过网络安全代理将流量重定向到可能有害的网站,这样会警告用户他们尝试访问的网站可能是恶意网站或完全阻止该网站。

    即使我未在ESA上运行Sophos或McAfee防病毒软件,是否仍可以使用爆发过滤器?

    Cisco建议您除了启用病毒爆发过滤器外,还启用Sophos或McAfee Anti-Virus,以增强对病毒附件的防御。但是,爆发过滤器可以独立运行,无需启用Sophos或McAfee Anti-Virus。

    爆发过滤器何时隔离邮件?

    如果邮件包含的文件附件符合或超过当前爆发规则和邮件管理员设置的阈值,则会隔离该邮件。思科向具有有效功能密钥的每个ESA发布当前爆发规则。 可能是病毒爆发一部分的邮件会被隔离,直到根据来自思科的更新病毒爆发信息或Sophos和McAfee发布的新防病毒定义确定它们是安全的。 

    爆发过滤器规则是如何编写的?

    爆发规则由思科智能运营中心(SIO)发布,这是一个安全生态系统,它将全球威胁信息、基于声誉的服务和对思科安全设备的复杂分析连接在一起,从而提供更强大的保护,并加快响应时间。  默认情况下,设备会在每5分钟检查并下载新的爆发规则,作为服务更新的一部分。

    SIO由三个组件组成:

    • SenderBase,全球最大的威胁监控网络和漏洞数据库。
    • Talos是思科的安全分析师和自动化系统全球团队。
    • 在爆发时,动态更新和实时更新会自动传送到设备。

    是否存在配置爆发过滤器的最佳实践?

    Yes.  对服务级别的建议如下:

    • 启用自适应规则
    • Maximum Message Size to Scan设置为2M
    • 已启用Web交互跟踪

    传入邮件策略级别的配置需要基于每个客户、每个策略来确定。

    如何报告不正确的爆发过滤器规则?

    您可以通过以下两种方式之一报告误报或漏报:

    1. 提交思科支持案例:https://mycase.cloudapps.cisco.com/case
    2. 通过Talos打开信誉通知单:https://talosintelligence.com/reputation_center/support

    以下是我们可以完善爆发过滤规则的条件:

    • 文件扩展名
    • 文件签名(Magic)(表示其“true”类型的文件的二进制签名)
    • URL
    • 文件名
    • 文件大小

    当爆发隔离区填满时,会发生什么情况?

    当隔离区超过分配给它的最大空间,或者邮件超过最大时间设置时,会自动从隔离区修剪邮件以将其保持在限制内。系统会按先进先出(FIFO)原则删除消息。换句话说,最旧的邮件将首先删除。可以将隔离区配置为放行(即,传送)或删除必须从隔离区修剪的邮件。如果选择放行邮件,可以选择使用您指定的文本标记主题行,该文本将提醒收件人邮件已被强制解除隔离。

    从爆发隔离区放行后,防病毒模块会重新扫描邮件,并根据防病毒策略执行操作。根据此策略,邮件可能会被传送、删除或病毒性附件被删除。从爆发隔离区放行后,预计在重新扫描期间经常会发现病毒。可以查阅ESA mail_logs或邮件跟踪,以确定隔离区中记录的邮件是否被发现具有病毒性,以及是否以何种方式传送。

    在系统隔离区填满之前,当隔离区已满75%时发送警报,当隔离区已满95%时发送另一个警报。Outbreak Quarantine具有额外的管理功能,允许您删除或释放所有符合特定病毒威胁级别(VTL)的邮件。这样,在收到针对特定病毒威胁的防病毒更新后,可以轻松清除隔离区。

    爆发规则的威胁级别的含义是什么?

    爆发过滤器在威胁级别为0到5之间工作。威胁级别评估病毒爆发的可能性。根据病毒爆发的风险,威胁级别会影响对可疑文件的隔离。威胁级别基于多种因素,包括但不限于网络流量、可疑文件活动、防病毒供应商输入以及Cisco SIO分析。此外,爆发过滤器允许邮件管理员增加或减少威胁级别对其网络的影响。

    级别 风险 含义

    0

    		 此消息没有风险, 威胁.
    1 该报文的风险是 威胁 低。
    2 低/中 该报文的风险是 威胁 为低到中。这是“怀疑” 威胁.
    3 邮件是已确认的病毒爆发的一部分,或者其内容存在中到大风险,即 威胁.
    4 邮件被确认为大规模爆发的一部分,或者其内容非常危险。
    5 极致 邮件内容被确认为是极其大规模或大规模且极其危险的病毒爆发的一部分。

    发生病毒爆发时如何发出警报?

    当爆发过滤器收到新/更新规则以提升特定类型邮件配置文件的隔离区威胁级别时,可以通过发送至已配置警报邮件地址的邮件提醒您。当威胁级别低于配置的阈值时,将发送另一个警报。因此,您可以监控病毒附件的进度。  这些电邮作为“信息”电邮发送。

    注意:为确保您能收到这些电邮通知,请使用alertconfig命令或GUI的System Administration > Alerts验证在CLI中将警报发送到的电邮地址。

    要配置或查看配置

    • GUI:安全服务(Security Services) >病毒爆发过滤器(Outbreak Filters)并查看编辑全局设置(Edit Global Settings)……
    • CLI:outbreakconfig > setup

    示例:

    > outbreakconfig

    NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).

    What would you like to do?
    1. Switch modes to edit at mode "Cluster Hosted_Cluster".
    2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
    3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
    [1]>

    Outbreak Filters: Enabled

    Choose the operation you want to perform:
    - SETUP - Change Outbreak Filters settings.
    - CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
    - CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
    []> setup

    Outbreak Filters: Enabled
    Would you like to use Outbreak Filters? [Y]>

    Outbreak Filters enabled.

    Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.


    Would you like to receive Outbreak Filter alerts? [Y]> y

    What is the largest size message Outbreak Filters should scan?
    [2097152]>

    Do you want to use adaptive rules to compute the threat level of messages? [Y]>

    Logging of URLs is currently enabled.

    Do you wish to disable logging of URL's? [N]>

    Web Interaction Tracking is currently enabled.

    Do you wish to disable Web Interaction Tracking? [N]>

    The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    07-Aug-2014
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗伯特·舍温
      思科电邮安全

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品