ESA常見問題:爆發過濾器/病毒爆發過濾器(VOF)常見問題

下載選項

  • PDF     (420.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (81.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (69.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2020 年 3 月 31 日
文件 ID:118188

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹並回答了一些有關思科郵件安全裝置(ESA)上的爆發過濾器或病毒爆發過濾器(VOF)的常見問題。

    什麼是爆發過濾器?

    注意:請確保檢視使用手冊,瞭解當前運行的AsyncOS for Email Security版本。  示例,Cisco郵件安全裝置的AsyncOS 13.0使用手冊,章節:爆發過濾器

    爆發過濾器可保護您的網路免受大規模病毒爆發和較小的非病毒攻擊(如網路釣魚詐騙和惡意軟體分發)的侵害。與大多數防惡意軟體保安軟體不同,思科在收集資料並發佈軟體更新之前無法檢測新爆發,而是在疫情傳播時收集資料並即時將更新資訊傳送到您的ESA,以防止這些消息到達您的使用者。

    思科使用全球流量模式制定規則,以確定傳入消息是安全還是爆發的一部分。屬於病毒發作一部分的郵件將被隔離,直到根據Cisco的更新病毒發作資訊或Sophos和McAfee發佈的新防病毒定義確定郵件安全為止。

    在小規模的非病毒攻擊中使用的郵件使用看起來合法的設計、收件人資訊和自定義URL,這些URL指向僅在短時間內線上且網路安全服務未知的網路釣魚和惡意軟體網站。爆發過濾器分析消息的內容並搜尋URL連結以檢測此類非病毒攻擊。爆發過濾器可以重寫URL以透過網路安全代理將流量重定向到可能有害的網站,該代理會警告使用者他們嘗試訪問的網站可能是惡意網站或完全阻止該網站。

    即使我未在ESA上運行Sophos或McAfee Anti-Virus,是否仍可以使用爆發過濾器?

    思科建議您啟用除爆發過濾器之外的Sophos或McAfee Anti-Virus,以增強對病毒附件的防禦。但是,無需啟用Sophos或McAfee Anti-Virus,爆發過濾器即可獨立運行。

    爆發過濾器何時隔離郵件?

    如果郵件包含符合或超過當前爆發規則和郵件管理員設定的閾值的檔案附件,則會隔離該郵件。思科向具有有效功能金鑰的每個ESA發佈當前爆發規則。 屬於病毒發作一部分的郵件將被隔離,直到根據Cisco的更新病毒發作資訊或Sophos和McAfee發佈的新防病毒定義確定郵件安全為止。 

    如何編寫爆發過濾器規則?

    爆發規則由思科智慧運營中心(SIO)發佈,這是一個安全生態系統,連線全球威脅資訊、基於聲譽的服務和對思科安全裝置的複雜分析,以提供更強大的保護,並縮短響應時間。  預設情況下,裝置會每5分鐘檢查並下載新的爆發規則,作為服務更新的一部分。

    SIO由三個元件組成:

    • SenderBase,全球最大的威脅監控網路和漏洞資料庫。
    • Talos,思科全球安全分析師和自動化系統團隊。
    • 動態更新、即時更新在爆發時自動傳送到裝置。

    是否存在配置爆發過濾器的最佳實踐?

    會。  對服務水準的建議如下:

    • 啟用自適應規則
    • Maximum Message Size to Scan設定為2M
    • 已啟用Web互動跟蹤

    傳入郵件策略級別的配置需要基於每個客戶、每個策略來確定。

    如何報告不正確的爆發過濾器規則?

    您可以使用以下兩種方法之一報告誤報或誤報:

    1. 提交思科支援請求:https://mycase.cloudapps.cisco.com/case
    2. 使用Talos打開信譽票證:https://talosintelligence.com/reputation_center/support

    以下是我們可以完善爆發過濾規則的條件:

    • 副檔名
    • 檔案簽名(魔術)(表示其「true」型別的檔案的二進位制簽名)
    • URL
    • 檔案名稱
    • 檔案大小

    當爆發隔離區填滿時,會發生什麼情況?

    當隔離區超過為其分配的最大空間,或者郵件超過最大時間設定時,會自動從隔離區修剪郵件以將其保持在限制範圍內。報文按先進先出(FIFO)方式刪除。換句話說,最舊的訊息會先被刪除。您可以將隔離區配置為釋放(即傳送)或刪除必須從隔離區修剪的郵件。如果您選擇釋放郵件,可以選擇使用您指定的文本標籤主題行,以提醒收件人郵件已被強制離開隔離區。

    從爆發隔離區釋放後,防病毒模組將重新掃描郵件,並根據防病毒策略執行操作。根據此策略,郵件可能已被傳送、刪除或病毒附件被刪除。從病毒爆發隔離區放行後,預計在重新掃描期間經常會發現病毒。可諮詢ESA mail_logs或郵件跟蹤以確定隔離區中記錄的郵件是否被發現具有病毒性,以及郵件是否以及如何傳送。

    在系統隔離區填滿之前,當隔離區已滿75%時傳送警報,當隔離區已滿95%時傳送另一個警報。Outbreak Quarantine(爆發隔離區)具有額外的管理功能,允許您刪除或釋放所有符合特定病毒威脅級別(VTL)的郵件。這樣,在收到針對特定病毒威脅的防病毒更新後,即可輕鬆清除隔離區。

    爆發規則的威脅級別的含義是什麼?

    爆發過濾器在威脅級別0到5之間起作用。威脅級別評估病毒爆發的可能性。根據病毒爆發的風險,威脅級別會影響對可疑檔案的隔離。威脅級別基於許多因素,包括但不限於網路流量、可疑檔案活動、防病毒供應商輸入以及Cisco SIO分析。此外,爆發過濾器允許郵件管理員增加或減少威脅級別對其網路的影響。

    層級 風險 意義

    0

    		 此消息並不存在以下風險: 威脅.
    1 該報文的風險是 威脅 低。
    2 低/中 該報文的風險是 威脅 為低至中。這是「懷疑」 威脅.
    3 該消息可能是已確認的病毒爆發的一部分,或者其內容存在中到大風險,即 威脅.
    4 該消息可能已被確認是大規模爆發的一部分,或者其內容非常危險。
    5 極致 該消息的內容被確認為是極其大規模或大規模且極其危險的爆發的一部分。

    發生病毒爆發時,如何發出警報?

    當爆發過濾器收到新/更新規則以提升特定型別郵件配置檔案的隔離區威脅級別時,可以透過傳送到已配置警報電子郵件地址的電子郵件提醒您。當威脅級別低於配置的閾值時,將傳送另一個警報。因此,您可以監控病毒附著的進度。  這些電郵以「資訊」電郵的形式傳送。

    注意:為確保您能收到這些電子郵件通知,請使用alertconfig命令或GUI:System Administration > Alerts驗證在CLI中傳送警報的電子郵件地址。

    若要設定或檢視組態

    • GUI:安全服務(Security Services) >爆發過濾器(Outbreak Filters),並檢視編輯全局設定……(Edit Global Settings...)下的配置。
    • CLI: outbreakconfig > setup

    範例:

    > outbreakconfig

    NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine esa2.hc3033-47.iphmx.com).

    What would you like to do?
    1. Switch modes to edit at mode "Cluster Hosted_Cluster".
    2. Start a new, empty configuration at the current mode (Machine esa2.hc3033-47.iphmx.com).
    3. Copy settings from another cluster mode to the current mode (Machine esa2.hc3033-47.iphmx.com).
    [1]>

    Outbreak Filters: Enabled

    Choose the operation you want to perform:
    - SETUP - Change Outbreak Filters settings.
    - CLUSTERSET - Set how the Outbreak Filters are configured in a cluster.
    - CLUSTERSHOW - Display how the Outbreak Filters are configured in a cluster.
    []> setup

    Outbreak Filters: Enabled
    Would you like to use Outbreak Filters? [Y]>

    Outbreak Filters enabled.

    Outbreak Filter alerts are sent when outbreak rules cross the threshold (go above or back down below), meaning that new messages of certain types could be quarantined or will no longer be quarantined, respectively.


    Would you like to receive Outbreak Filter alerts? [Y]> y

    What is the largest size message Outbreak Filters should scan?
    [2097152]>

    Do you want to use adaptive rules to compute the threat level of messages? [Y]>

    Logging of URLs is currently enabled.

    Do you wish to disable logging of URL's? [N]>

    Web Interaction Tracking is currently enabled.

    Do you wish to disable Web Interaction Tracking? [N]>

    The Outbreak Filters feature is now globally enabled on the system. You must use the 'policyconfig' command in the CLI or the Email Security Manager in the GUI to enable Outbreak Filters for the desired Incoming and Outgoing Mail Policies.

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    07-Aug-2014
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Robert Sherwin
      Cisco Email Security

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品