キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

2014/5/13 Webcast 「Cisco ESA スキャン エンジンの仕組みについて」 Q&A

2014 年 5 月 13 日(火)開催 Live Expert Webcast で行われた Q&A 集です。

録画ビデオはこちらから、資料はこちらよりご覧いただけます。

---------------------------------------------------------------------
Q1.  AMP のファイルアップロードは、アップロードするだけで、そのファイルに対しての判定は Clean となるのでしょうか?

A1. はい、そうです。未知のファイルは Clean 判定になります。
 

Q2. AsyncOS のアップデートは自動的に行われるのでしょうか?

A2. はい、アップデートは自動的に行われます。 ただ、2 つの条件をクリエしている必要があります。1つ目は、有効なライセンスを持っていること、2 つ目は、アプライアンスの設定上、関連機能が有効になっていることです。
 

Q3.  レピュテーション情報の元は "SensorBase" ですが、マニュアルのレピュテーションフィルタリングの説明では "SenderBase" とあります。どちらが正しいでしょうか?

A3. 名前は Senderbase と SensorBase の二通りがありますが、同じものを指しています。

このサービスは、当初メールトラフィックをモニタリングすることでレピュテーションを決めていて、クライアントは ESA のみでした。
そのうち、メールだけではなく、URL をチェックするためのウェブレピュテーション・サビースも提供することになり、クライアントに WSA を加わっております。
さらに、シスコが IronPort 社を買収後、シスコの既存セキュリティ・プロダクトの IPS のシグネチャー、および ASA の BotNet 対策機能などもこのサービスから情報を取得するようになりました。

提携する製品が増えて、Sender という範疇でカバーしきれなくなったので、名前が SensorBase に変わりました。
 

Q4. スパム誤検知はサブミットしてからどれぐらいで是正されますか?

A4. 誤検知されたメールのサンプルが、システムにサブミットされましたら、システムによる自動調整と、アナリストにより手動レビューが行われます。基本的に遅くても二、三日程度で反映されます。
なお、規模の小さいなスパム・アウトブレイクは、20分-30分程度で終わってしまうことがよくありますので、そのようなアウトブレイクに対応するルールはアウトブレイクの終了に合わせて、すぐにinactiveになりますので、そのようなルールにご検知されたメールは、サブミットされた時点で、既に誤検知されなくなっている場合もあります。

 

Q5. AMP の File Analsys でアップロードされるファイルサイズは変更可能ですか?

A5. いいえ、ファイルサイズの制限はハードコートされていて、変更できません。
 

Q6. File Analysis にアップロードできなかったファイルはどうなりますか?

A6. まず、アップロードすべきファイルは、フラグされてアップロード・キューに置かれます。この処理は mail_log で確認できます。 キューはサイズがあって、いっぱいになったらキューに入れなくてアップロードを諦めます。キューに置かれたファイルに対しては、何回かアップロードをリトライしますが、リトライ回数を超えてもアップロードできないファイルはアップロードを諦めます。 ただ、同じハッシュのファイルは一回だけアップロードすればいいので、もし一台の ESA が先にアップロードし始めたら、その他のESA からのアップロードはクラウドから中止するように指示されます。つまり、アップロード予定のファイルは必ずアップロードされるわけではないです。 アップロードに成功したかどうかは、amp_log で確認できます。
 

Q7. アウトブレイク・フィルターで書換えられた URL はシスコのプロキシ経由でアクセスするが、このURLはずっと有効でしょうか、それとも一定期間たったら使えなくなるでしょうか?

A7. 書換えられた URL はずっと有効です。
 

Q8. Sophos/McAfee などアンチウィルスを使わずに、アウトブレイク・フィルターだけ使用することができますか?

A8. はい、技術的には可能です。ただ、アウトブレイク・フィルターで一旦隔離されたメールがリリースされる際に、アンチウィルスがなければ、ウィルス検知ができなくなります。もし ESA でアンチウィルスのスキャンを実施したくない場合は、ESA より内側の経路にアンチウィルス・スキャンを実施することをおすすめします。
 

Q9. 検知したスパムメールを ESA ローカルではなく、SMA に隔離している場合、もし SMA へのアクセスができなくなったら、隔離すべきスパムメールはどうなりますか?

A9. アンチスパムでメールを隔離する時は、ESA ローカルもしくはリモートの SMA に隔離できます。SMA に隔離する時は Centralized 隔離と言います。ESA ローカルであれば、ストレージ領域さえあれば保存する事自体何も問題無いですが、リモートに隔離する場合は、ネットワーク経由でメールを送信する必要があります。 疎通がないまたは SMA の関連プロセスがダウンしていると、隔離できないことがあります。その際、隔離メールは ESA の配送キューに貯まってしまい、ESA が配送をリトライしていくことになります。注意すべき点は、隔離メールのリトライは、バウンス・プロファイルに影響されないので、成功するまでずっと続くことになります。

 

Q10. outbreak フィルターでは内蔵した Sophos エンジンなどが対象ファイルに関する情報が update したことはわかるのですか?

A10. はい、一回のアウトブレイクを通して、アウトブレイク・ルールがアップデートされ続けます。アンチウィルスのシグネチャーがリリースされれば、その情報がアウトブレイクルールに含まれます。それをもってそのアウトブレイクで隔離されたメールが解放されます。

 

Q11. マーケティングとスパム 両方に判定された場合は、スパム判定が優先されますでしょうか?

A11. はい、スパム判定が優先されますので、スパムになります。

 

Q12. AMP の File Sandboxing でアップロードする際のプロトコルを教えてください。

A12.AsyncOS 8.5.5 のマニュアル P.1097 の "Firewall Information" をご参考いただければと思いますが、File Analysis サービスは HTTPS (TCP/443) を利用します。

 

Q13. pdf などが検知できるのは FireAMP や FirePower などからアップロードされてい るからという認識でしょうか?

A13. FireAMP は元々 Sourcefire 者のテクノロジーで、Sourcefire 製の IPS 製品も接続します。そこでアップロードされたファイルのレピュテーション情報が ESA にも共有されますので、上記の推測が正しいです。

バージョン履歴
改訂番号
1/1
最終更新:
‎05-13-2014 12:05 AM
更新者:
 
ラベル(1)