Tenez compte des consignes et limites suivantes lors de la configuration des règles de fichier :

• Une règle configurée pour bloquer des fichiers dans un déploiement passif ne bloque pas les fichiers correspondants. Puisque la connexion continue de transmettre le fichier, si vous configurez la règle pour consigner le début de la connexion, vous pouvez voir plusieurs événements journalisés pour cette connexion.

• Une politique peut inclure plusieurs règles. Lorsque vous créez les règles, vérifiez qu’aucune règle n’est « obscurcie » par une règle précédente.

• Les types de fichiers pris en charge pour l’analyse dynamique constituent un sous-ensemble des types de fichiers pris en charge pour d’autres types d’analyse. Pour afficher les types de fichiers pris en charge pour chaque type d’analyse, accédez à la page de configuration des règles de fichier, sélectionnez l’action Block Malware (Bloquer les programmes malveillants), puis cochez les cases qui vous intéressent.

  Pour vous assurer que le système examine tous les types de fichiers, créez des règles distinctes (dans la même politique) pour l’analyse dynamique et pour les autres types d’analyse.

• Si une règle de fichier est configurée avec une action Rechercher ou Bloquer les programmes malveillants dans le nuage et que centre de gestion ne peut pas établir la connectivité avec le nuage AMP, le système ne peut effectuer aucune option d’action basée sur une règle configurée tant que la connectivité n’est pas restaurée.

• Cisco vous recommande d’activer la réinitialisation de la connexion pour les actions Bloquer les fichiers et Bloquer les programmes malveillants afin d’éviter que les sessions d’application bloquées restent ouvertes jusqu’à ce que la connexion TCP soit réinitialisée. Si vous ne réinitialisez pas les connexions, la session client restera ouverte jusqu’à ce que la connexion TCP se réinitialise.

• Si vous surveillez des volumes élevés de trafic, ne stockez pas tous les fichiers capturés ou ne soumettez pas tous les fichiers capturés pour une analyse dynamique. Cela peut avoir un impact négatif sur les performances du système.

• Vous ne pouvez pas effectuer d’analyse des programmes malveillants sur tous les types de fichiers détectés par le système. Après avoir sélectionné des valeurs dans les listes déroulantes Application Protocol (Protocole applicatif), Direction of Transfer (Direction du transfert) et Action, le système restreint la liste des types de fichiers.

Tenez compte des remarques et limitations suivantes concernant la détection de fichier :

• Si le profilage adaptatif n’est pas activé, les règles de contrôle d’accès ne peuvent pas effectuer de contrôle de fichier, y compris AMP.

• Si une règle et une condition de protocole d’application correspondent à un fichier, la génération d’événements de fichier se produit une fois que le système a réussi à identifier le protocole d’application d’un fichier. Les fichiers non identifiés ne génèrent pas d’événements de fichier.

• FTP transfère les commandes et les données sur différents canaux. Dans un déploiement en mode TAP passif ou en ligne, le trafic d’une session de données FTP et de sa session de contrôle peut ne pas être équilibré vers la même ressource interne.

• Si le nombre total d'octets pour tous les noms de fichiers dans une session POP3, POP, SMTP ou IMAP dépasse 1024, les événements de fichiers de la session peuvent ne pas refléter les noms de fichiers exacts pour les fichiers qui ont été détectés après le remplissage de la mémoire tampon de noms de fichiers.

• Lors de la transmission de fichiers texte par SMTP, certains clients de messagerie convertissent les retours à la ligne au caractère standard de retour à la ligne CRLF. Étant donné que les hôtes basés sur Mac utilisent le caractère de retour à la ligne (CR) et que les hôtes basés sur Unix/Linux utilisent le caractère de saut de ligne (LF), la conversion de nouvelle ligne par le client de messagerie peut modifier la taille du fichier. Notez que certains clients de messagerie utilisent par défaut la conversion de retour à la ligne lorsqu'ils traitent un type de fichier non reconnaissable.

• Pour détecter les fichiers ISO, définissez l’option « Limit the number of bytes inspected when doing file type detection » (Limiter le nombre d'octets inspectés lors de la découverte du type de fichier) à une valeur supérieure à 36870, comme décrit dans Options de rendement et de stockage pour l'inspection des fichiers et des logiciels malveillants.

• Les fichiers .exe contenus dans certaines archives .rar ne peuvent pas être détectés, y compris peut-être rar5.

Tenez compte des remarques et limitations suivantes concernant le blocage de fichiers :

• Si un marqueur de fin de fichier n’est pas détecté pour un fichier, quel que soit le protocole de transfert, le fichier ne sera pas bloqué par une règle Block Malware (Bloquer les programmes malveillants) ou la liste de détection personnalisée. Le système attend pour bloquer le fichier jusqu’à ce que le fichier entier ait été reçu, comme indiqué par le marqueur de fin de fichier, et bloque le fichier après la détection du marqueur.

• Si le marqueur de fin de fichier pour un transfert de fichier FTP est transmis séparément du segment de données final, le marqueur sera bloqué et le client FTP indiquera que le transfert de fichier a échoué, mais le fichier sera en fait complètement transféré sur le disque.

• Les règles de fichiers avec les actions Bloquer les fichiers et Bloquer les programmes malveillants bloquent la reprise automatique du téléchargement de fichiers via HTTP en bloquant les nouvelles sessions avec le même fichier, l’URL, le serveur et l’application client détectés pendant 24 heures après la tentative initiale de transfert de fichiers.

• Dans de rares cas, si le trafic d’une session de téléchargement HTTP est en panne, le système ne peut pas rassembler le trafic correctement et, par conséquent, ne le bloquera pas ou ne générera pas d’événement de fichier.

• Si vous transférez un fichier sur NetBIOS-ssn (comme un transfert de fichier SMB) qui est bloqué par une règle de blocage de fichiers, vous pourriez voir un fichier sur l’hôte de destination. Cependant, le fichier est in utilisable, car il est bloqué après le début du téléchargement, ce qui entraîne un transfert de fichier incomplet.

• Si vous créez des règles de fichiers pour détecter ou bloquer les fichiers transférés sur NetBIOS-ssn (comme un transfert de fichier SMB), le système n’inspecte pas les transferts de fichiers en cours. Cependant, le système inspecte les nouveaux fichiers transférés après le déploiement d’une politique de contrôle d’accès en appelant la politique de fichiers.

• SMB possède une fonctionnalité appelée multicanal qui crée plusieurs sessions parallèles avec la même adresse IP et des ports différents. Pour une transaction donnée sur plusieurs canaux, le téléchargement de fichier est multiplexé sur ces sessions qui ne sont pas inspectés par le système en tant que fichier unique.

• Les fichiers transférés simultanément au cours d’une seule session TCP ou SMB ne sont pas inspectés.

• Dans un environnement de grappe, si une session SMB existante est déplacée vers un nouveau périphérique en raison d’un changement de rôle dans la grappe ou d’une défaillance d’appareil, les fichiers de tout transfert de fichiers en cours peuvent ne pas être inspectés.

• Certains transferts de fichiers SMB entre systèmes Microsoft Windows utilisent une fenêtre TCP très élevée pour les transferts de fichiers rapides. Pour détecter ou bloquer de tels transferts de fichiers, il est recommandé d’augmenter la valeur du nombre maximal d’octets en file d’attente et du nombre maximal de segments en file d’attente dans Options de dépannage > Politique d’analyse de réseau > TCP Stream.

• Si vous configurez la haute disponibilité de Firepower Threat Defense et que le basculement se produit pendant que le périphérique actif d’origine identifie le fichier, le type de fichier n’est pas synchronisé. Même si votre politique de fichiers bloque ce type de fichier, le nouveau périphérique actif télécharge le fichier.

Notez les consignes générales et restrictions suivantes lors de la configuration des politiques de fichiers.

• Vous pouvez associer une politique de fichier unique à une règle de contrôle d’accès dont l’action est Autoriser, Blocage interactif ou Blocage interactif avec réinitialisation.

• Vous ne pouvez pas utiliser une politique de fichier pour inspecter le trafic géré par l’action de contrôle d’accès par défaut.

• Dans le cas d'une nouvelle politique, l’interface Web indique que la politique n’est pas utilisée. Si vous modifiez une politique de fichier en cours d’utilisation, l’interface Web vous indique combien de politiques de contrôle d’accès utilisent la politique de fichiers. Dans les deux cas, vous pouvez cliquer sur le texte pour passer à la page Access Control Policies (politiques de contrôle d'accès).

• Pour que le blocage de fichiers fonctionne, la Politique d'analyse de réseau (NAP) que vous appliquez à la politique de contrôle d’accès doit fonctionner en mode de protection, également appelé mode en ligne.

• Selon votre configuration, vous pouvez inspecter un fichier la première fois que le système le détecte et attendre un résultat de recherche dans le nuage, ou transmettre le fichier lors de cette première détection sans attendre le résultat de la recherche dans le nuage.

• Par défaut, l’inspection des fichiers des charges utiles chiffrées est désactivée. Cela permet de réduire les faux positifs et d’améliorer les performances lorsqu’une connexion chiffrée correspond à une règle de contrôle d’accès pour laquelle l’inspection de fichiers est configurée.

  Attention

  Le préprocesseur d’inspection de fichiers avec les ID de générateur (GID) suivants est activé par défaut pour la politique sur les fichiers et les programmes malveillants : GID : 146 et GID : 147.