Introduction
Ce document décrit comment identifier et résoudre l'alerte Upload Limit Reached sur l'appliance de sécurité de la messagerie (ESA) lors de l'utilisation d'Advanced Malware Protection (AMP).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- ESA exécutant AsyncOS 12.0 ou version ultérieure
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Lorsque la fonction AMP est activée sur le ESA, elle remplit l'une des fonctions principales suivantes ou les deux :
Pendant l'analyse des fichiers, des pièces jointes spécifiques seront téléchargées dans ThreatGrid pour être analysées et mises en sandboxing.
Comprendre l'alerte « Limite de chargement atteinte »
Le suivi des messages peut afficher les e-mails non analysés par AMP car ils ont atteint la limite de téléchargement.
Exemple
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
Dans le nouveau modèle de limites d'exemples ThreatGrid, ces limites correspondent au nombre d'exemples que les périphériques peuvent télécharger pour l'analyse de fichiers par organisation. Tous les périphériques intégrés (WSA, ESA, CES, FMC, etc.) et AMP for Endpoints ont collectivement droit à 200 échantillons par jour, quel que soit le nombre de périphériques.
Remarque : ce compteur n'est pas réinitialisé tous les jours ; il fonctionne plutôt comme une période de substitution de 24 heures.
Exemple
Dans un cluster de 4 ESA avec une limite de chargement de 200 échantillons, si ESA1 télécharge 80 échantillons à 10:00 aujourd'hui, seuls 120 échantillons supplémentaires peuvent être téléchargés parmi les 4 ESA (limite partagée) à partir d'aujourd'hui à 10:01 jusqu'à demain à 10:00 lorsque les 80 premiers emplacements seront libérés.
Comment pouvez-vous vérifier le nombre d'échantillons que vos ESA ont téléchargés au cours des dernières 24 heures ?
ESA : accédez au rapport Monitor >> AMP File Analysis et consultez la section Files Uploaded for Analysis.
SMA : accédez au rapport E-mail >> Reporting >> AMP File Analysis et consultez la section Files Uploaded for Analysis.
Remarque : si le rapport d'analyse de fichier AMP ne contient pas de données précises, consultez la section Détails de l'analyse de fichier dans le Guide de l'utilisateur Cloud Are Incomplete.
Avertissement : référez-vous à l'ID de bogue Cisco CSCvm10813 pour plus d'informations.
Vous pouvez également exécuter une commande grep à partir de la CLI pour compter le nombre de fichiers téléchargés. Cette opération doit être effectuée sur chaque appliance.
Exemple
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
Vous pouvez utiliser des expressions régulières PCRE pour faire correspondre la date et l'heure.
Comment pouvez-vous étendre la limite de téléchargement ?
Contactez votre responsable de compte ou votre ingénieur commercial Cisco.
Informations connexes