ESA 常见问题解答:爆发过滤器/病毒爆发过滤器(VOF)常见问题

下载选项

  • PDF     (398.3 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2020 年 3 月 31 日
文档 ID:118188

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍并回答有关思科邮件安全设备(ESA)上的爆发过滤器或病毒爆发过滤器(VOF)的一些常见问题。

    什么是爆发过滤器?

    :请务必查看《User Guide》,了解当前运行的AsyncOS for Email Security版本。  例如,Cisco邮件安全设备AsyncOS 13.0用户指南,章节:爆发过滤器

    爆发过滤器可保护您的网络免受大规模病毒爆发和较小的非病毒攻击(如网络钓鱼诈骗和恶意软件分发)的侵害。与大多数防恶意软件安全软件不同,思科在收集数据并发布软件更新之前无法检测新的病毒爆发,而是在病毒爆发时收集数据并实时将更新信息发送到ESA,以防止这些邮件到达您的用户。

    思科使用全局流量模式制定规则,以确定传入邮件是否安全或是否属于病毒爆发。属于病毒爆发一部分的邮件将被隔离,直到根据思科更新的病毒爆发信息确定它们是安全的,或者由Sophos和McAfee发布新的防病毒定义。

    用于小规模非病毒攻击的邮件使用看似合法的设计、收件人信息和自定义URL,这些URL指向仅在短时间内在线且网络安全服务未知的网络钓鱼和恶意软件网站。爆发过滤器会分析邮件的内容并搜索URL链接以检测此类非病毒攻击。爆发过滤器可以重写URL,通过网络安全代理将流量重定向到可能有害的网站,这样会警告用户他们尝试访问的网站可能是恶意网站,或者完全阻止该网站。

    即使我未在ESA上运行Sophos或McAfee防病毒,能否使用爆发过滤器?

    Cisco建议您除启用病毒爆发过滤器外,还启用Sophos或McAfee防病毒功能,以增强对病毒附件的防御。但是,爆发过滤器可以独立运行,无需启用Sophos或McAfee防病毒。

    爆发过滤器何时隔离邮件?

    当邮件包含的文件附件达到或超过当前爆发规则和邮件管理员设置的阈值时,邮件将被隔离。思科将当前爆发规则发布到具有有效功能密钥的每个ESA。系统会隔离可能属于爆发一部分的邮件,直到根据思科更新的爆发信息确定这些邮件是安全的,或者由Sophos和McAfee发布新的防病毒定义。 

    如何编写爆发过滤器规则?

    爆发规则由Cisco Security Intelligence Operations(SIO)发布,SIO是一个安全生态系统,将全球威胁信息、基于信誉的服务和思科安全设备的复杂分析连接起来,以提供更强大的保护,并加快响应速度。  默认情况下,设备会每5分钟检查并下载一次新的爆发规则,作为服务更新的一部分。

    SIO包括三个组件:

    • SenderBase,世界上最大的威胁监控网络和漏洞数据库。
    • Talos是思科的安全分析师和自动化系统全球团队。
    • 动态更新、实时更新会在爆发时自动传送到设备。

    是否存在配置爆发过滤器的最佳实践?

    Yes.  对服务级别的推荐如下:

    • 启用自适应规则
    • Maximum Message Size to Scan设置为2M
    • 启用Web交互跟踪

    传入邮件策略级别的配置需要逐个客户、逐个策略确定。

    如何报告不正确的爆发过滤器规则?

    您可以通过以下两种方式之一报告误报或漏报:

    1. 打开思科支持案例:https://mycase.cloudapps.cisco.com/case
    2. 使用Talos打开信誉票证:https://talosintelligence.com/reputation_center/support

    以下是我们可以完善爆发过滤规则的条件:

    • 文件扩展名
    • 文件签名(魔法)(表示其“true”类型的文件的二进制签名)
    • URL
    • 文件名
    • 文件大小

    当爆发隔离区填满时,会发生什么情况?

    当隔离区超过为其分配的最大空间,或邮件超过最大时间设置时,会自动从隔离区删除邮件,以将其保持在限制范围内。报文以先进先出(FIFO)的方式删除。换句话说,最旧的邮件首先被删除。可以将隔离区配置为放行(即,传送)或删除必须从隔离区修剪的邮件。如果选择放行邮件,可以选择使用您指定的文本标记主题行,该文本将提醒收件人邮件已被强制离开隔离区。

    从爆发隔离区放行后,防病毒模块会重新扫描邮件,并根据防病毒策略执行操作。根据此策略,邮件可能会被传送、删除或病毒附件被剥离。预计从爆发隔离区放行后重新扫描时,经常会发现病毒。可以咨询ESA mail_logs或邮件跟踪,以确定隔离区中记录的邮件是否被发现具有病毒性,以及是否以及如何传送。

    在系统隔离区填满之前,当隔离区已满75%时发送警报,当隔离区已满95%时发送另一个警报。Outbreak Quarantine具有额外的管理功能,允许您删除或释放所有符合特定病毒威胁级别(VTL)的邮件。 这样可以在收到针对特定病毒威胁的防病毒更新后轻松清除隔离区。

    爆发规则的威胁级别的含义是什么?

    爆发过滤器在威胁级别介于0和5之间运行。威胁级别评估病毒爆发的可能性。根据病毒爆发风险,威胁级别会影响可疑文件的隔离。威胁级别基于多种因素,包括但不限于网络流量、可疑文件活动、防病毒供应商输入以及Cisco SIO的分析。此外,爆发过滤器允许邮件管理员增加或减少威胁级别对其网络的影响。

    级别 风险 含义

    0

    		 此消息没有风险是 威胁.
    1 该报文的风险是 威胁 低。
    2 低/中 该报文的风险是 威胁 低到中。这是一个“可疑” 威胁.
    3 该邮件是已确认的病毒爆发的一部分,或者其内容存在中到大风险,即 威胁.
    4 该邮件被确认是大规模爆发的一部分,或者其内容非常危险。
    5 极端 邮件内容被确证为病毒爆发的一部分,该病毒爆发可能是极其大规模的,也可能是大规模的,也可能是极其危险的。

    发生病毒爆发时如何发出警报?

    当爆发过滤器收到用于提升特定类型邮件配置文件的隔离区威胁级别的新/更新规则时,可以通过发送到已配置的警报电子邮件地址的电子邮件提醒您。当威胁级别低于您配置的阈值时,将发送另一个警报。因此,您可以监控病毒连接的进度。  这些电子邮件作为“信息”电子邮件发送。

    注意:要确保收到这些邮件通知,请使用alertconfig命令或GUI在CLI中验证将警报发送到的电邮地址:System Administration > Alerts

    要配置或查看配置,请执行以下操作

    • GUI:安全服务(Security Services)>病毒爆发过滤器(Outbreak Filters),并查看编辑全局设置(Edit Global Settings)。..(Edit Global Settings...)
    • CLI: outbreakconfig > setup

    示例:

    > outbreakconfig

    NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).

    What would you like to do?
    1. Switch modes to edit at mode "Cluster Hosted_Cluster".
    2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
    3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
    [1]>

    Outbreak Filters: Enabled

    Choose the operation you want to perform:
    - SETUP - Change Outbreak Filters settings.
    - CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
    - CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
    []> setup

    Outbreak Filters: Enabled
    Would you like to use Outbreak Filters? [Y]>

    Outbreak Filters enabled.

    Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.


    Would you like to receive Outbreak Filter alerts? [Y]> y

    What is the largest size message Outbreak Filters should scan?
    [2097152]>

    Do you want to use adaptive rules to compute the threat level of messages? [Y]>

    Logging of URLs is currently enabled.

    Do you wish to disable logging of URL's? [N]>

    Web Interaction Tracking is currently enabled.

    Do you wish to disable Web Interaction Tracking? [N]>

    The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    07-Aug-2014
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗伯特·舍温
      思科电邮安全

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品