はじめに
このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)で高度なマルウェア防御(AMP)を通じて処理されるファイルがファイル分析のために送信されるかどうかを判断する方法と、関連するAMPログファイルの内容について説明します。
ファイル分析用に添付ファイルがアップロードされているかどうかを確認する
ファイル分析を有効にすると、ファイルレピュテーションでスキャンされた添付ファイルをファイル分析に送信して、さらに詳しく分析できます。これにより、ゼロデイ脅威やターゲットを絞った脅威に対する最高レベルの保護が実現します。ファイル分析は、ファイルレピュテーションフィルタリングが有効な場合にのみ使用できます。
クラウドに送信されるファイルのタイプを制限するには、File Typesオプションを使用します。送信される特定のファイルは、常にFile Analysis Services Cloudからの要求に基づいています。この要求は、追加の分析が必要なファイルを対象としています。File Analysis Services Cloudが容量に達すると、特定のファイルタイプのファイル分析が一時的に無効になる場合があります。
注:最新の詳細情報については、シスコのドキュメント『Ciscoコンテンツセキュリティ製品の高度なマルウェア防御サービスに関するファイル基準』を参照してください。
注:ファイル分析のファイルタイプはAsyncOSのバージョンによって異なる場合があるため、ご使用のアプライアンスで実行されている特定リビジョンのAsyncOSのリリースノートと『ユーザガイド』を参照してください。
ファイル分析に送信できるファイルの種類:
-
レピュテーションおよび分析サービスでサポートされるファイルの詳細は、登録されたシスコのお客様だけが入手できます。評価および分析するファイルについては、『File Criteria for Advanced Malware Protection Services for Cisco Content Security Products』を参照してください。このサービスは、次のURLから入手できます。
- 現在、次のファイルタイプを分析のために送信できます。
- (ファイル分析をサポートするすべてのリリース)Windows実行可能プログラム(.exe、.dll、.sys、.scrファイルなど)。
- Adobe Portable Document Format(PDF)、Microsoft Office 2007+(Open XML)、Microsoft Office 97-2004(OLE)、Microsoft Windows/DOS実行可能ファイル、その他の悪意のあるファイルタイプ。
- [マルウェア対策とレピュテーションの設定]ページ(Webセキュリティの場合)または[ファイルレピュテーションと分析の設定]ページ(Eメールセキュリティの場合)でアップロード用に選択したファイルタイプ。 初期サポートには、PDFファイルとMicrosoft Officeファイルが含まれます。
- (AsyncOS 9.7.1以降でEメールセキュリティをサポート)その他の悪意のあるファイルの種類オプションを選択した場合は、次の拡張子を持つMicrosoft OfficeファイルがXMLまたはMHTML形式で保存されます: ade、adp、adn、accdb、accdr、accda、mdb、cdb、mda、mdn、mdt、mdw、mdf、mde、accde、mam、maq、mar、mat、maf、laccdb、doc、dot、docx、docx、docdocm、docm、docm、docm、docm、docb、docb、docb、xls、xlt、xlt、xlt、xlt、xlxllm、xllm、xlsm、xlsm、xlsm xltx、xltm、xlsb、xla、xlam、xll、xlw、ppt、pot、pps、pptx、pptm、potx、potm、ppam、ppsx、ppsm、sldx、sldm、mht、mhtm、mhtml、およびxml。
-
アップロードのファイルサイズ基準は、現在の脅威の傾向に基づいてファイル分析サービスによって動的に設定され、いつでも変更できます。基準の変更は自動的に有効になります。何もする必要はありません。
注: File Analysisサービスの負荷が容量を超えると、ファイルの種類が分析対象として選択されていても一部のファイルが分析されない場合があります。それ以外の場合は、ファイルが分析対象として適格です。サービスが一時的に特定のタイプのファイルを処理できない場合は、アラートを受け取ります。
重要事項のハイライト:
- ファイルが最近どのソースからアップロードされた場合でも、そのファイルは再びアップロードされません。このファイルのファイル分析結果については、[ファイル分析]レポートページでSHA-256を検索してください。
- アプライアンスはファイルのアップロードを1回試行します。接続の問題などが原因でアップロードに失敗した場合は、ファイルがアップロードされない可能性があります。ファイル分析サーバが過負荷であることが原因で障害が発生した場合は、アップロードがもう一度試行されます。
ファイル分析用のAMPの設定
デフォルトでは、ESAが最初にオンになり、まだCisco Updaterへの接続を確立していない場合、リストされているファイル分析ファイルタイプは「Microsoft Windows / DOS実行可能」ファイルのみです。 追加のファイルタイプを設定する前に、サービスの更新を完了できるようにする必要があります。 これは、「fireamp.json」として表示されるupdater_logsログファイルに反映されます。
Sun Jul 9 13:52:28 2017 Info: amp beginning download of remote file "http://updates.ironport.com/amp/1.0.11/fireamp.json/default/100116"
Sun Jul 9 13:52:28 2017 Info: amp successfully downloaded file "amp/1.0.11/fireamp.json/default/100116"
Sun Jul 9 13:52:28 2017 Info: amp applying file "amp/1.0.11/fireamp.json/default/100116"
GUIを使用してファイル分析を設定するには、Security Services > File Reputation and Analysis > Edit Global Settings...の順に移動します。
CLIを使用したファイル分析用にAMPを設定するには、ampconfig > setupコマンドを入力し、応答ウィザードを移動します。「Do you want to modify the file types for File Analysis?」という質問が表示されたら、Yを選択します。
myesa.local> ampconfig
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> setup
File Reputation: Enabled
Would you like to use File Reputation? [Y]>
Would you like to use File Analysis? [Y]>
File types supported for File Analysis:
1. Archived and compressed [selected]
2. Configuration [selected]
3. Database [selected]
4. Document [selected]
5. Email [selected]
6. Encoded and Encrypted [selected]
7. Executables [partly selected]
8. Microsoft Documents [selected]
9. Miscellaneous [selected]
Do you want to modify the file types selected for File Analysis? [N]> y
Enter comma separated serial numbers from the "Supported" list. Enter "ALL" to select all "currently" supported File Types.
[1,2,3,4,5]> ALL
Specify AMP processing timeout (in seconds)
[120]>
Advanced-Malware protection is now enabled on the system.
Please note: you must issue the 'policyconfig' command (CLI) or Mail
Policies (GUI) to configure advanced malware scanning behavior for
default and custom Incoming Mail Policies.
This is recommended for your DEFAULT policy.
この設定に基づいて、使用可能なファイルタイプは、必要に応じてファイル分析の対象になります。
ファイル分析のためのAMPログの確認
添付ファイルがESAのファイルレピュテーションまたはファイル分析でスキャンされると、AMPログに記録されます。すべてのAMPアクションについてこのログを確認するには、ESAのCLIからtail ampを実行するか、応答ウィザードを移動してtailまたはgrepコマンドを実行します。 grepコマンドは、AMPログで検索する特定のファイルやその他の詳細がわかっている場合に便利です。
ランダム データの例は次のとおりです。
mylocal.esa > tail amp
Press Ctrl-C to stop.
Tue Aug 13 17:28:47 2019 Info: Compressed/Archive File: sha256 = deace8ba729ad32313131321311232av2316623cfe9ac MID = 1683600, Extracted File: File Name = '[redacted].pdf', File Type = 'application/pdf', sha256 = deace8ba729ad32313131321311232av2316623cfe9ac, Disposition = LOWRISK, Response received from = Cloud, Malware = None, Analysis Score = 0, upload_action = Recommended to send the file for analysis
Thu Aug 15 13:49:14 2019 Debug: File reputation query initiating. File Name = 'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Thu Aug 15 13:49:14 2019 Debug: Response received for file reputation query from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis
注:旧バージョンのAsyncOSでは、AMPログに「amp_watchdog.txt」と表示されていました。 これは、ログに10分ごとに表示されるOSファイルです。このファイルはAMPのキープアライブの一部であり、無視しても問題ありません。 このファイルは、AsyncOS 10.0.1以降では非表示になっています。
注:古いバージョンのAsyncOSではupload_actionタグが記録されますが、このタグには、ファイルへのアップロード分析動作に対して定義される3つの値があります。
古いAsyncOSでのアップロードアクションに対する3つの応答:
- 「upload_action = 0」:ファイルはレピュテーションサービスに認識されています。分析のために送信しないでください。
- 「upload_action = 1」:送信
- 「upload_action = 2」:ファイルはレピュテーションサービスに認識されています。分析のために送信しないでください
AsyncOSバージョン12.x以降でのアップロードアクションに対する2つの応答:
- 「upload_action =分析のためにファイルを送信することを推奨」
- デバッグログのみ:「upload_action =分析のためにファイルを送信しないことをお勧めします」
この応答により、ファイルが分析のために送信されるかどうかが決まります。送信を正常に行うためには、設定されているファイルタイプの基準を満たしている必要があります。
アップロードアクションタグの説明
"upload_action = 0": The file is known to the reputation service; do not send for analysis.
「0」は、ファイルが「アップロードのために送信する必要がない」ことを意味します。または、より適切に調べる方法として、必要に応じてファイルを送信し、ファイル分析(PAM)にアップロードする方法があります。 ただし、ファイルが不要な場合、ファイルは送信されません。
"upload_action = 2": The file is known to the reputation service; do not send for analysis
「2」の場合、これはアップロード用のファイルを厳密に「送信しない」ことです。 このアクションは最終的かつ決定的であり、ファイル分析処理が実行されます。
シナリオ例
このセクションでは、分析のためにファイルが正しくアップロードされる、または特定の理由でアップロードされない、考えられるシナリオについて説明します。
分析用にアップロードされたファイル
古いAsyncOS:
この例では、基準を満たし、upload_action = 1のタグが付けられたDOCXファイルを示します。次の行では、File uploaded for analysis Secure Hash Algorithm(SHA)がAMPログにも記録されます。
Thu Jan 29 08:32:18 2015 Info: File reputation query initiating. File Name = 'Lab_Guide.docx', MID = 860, File Size = 39136 bytes, File Type = application/msword
Thu Jan 29 08:32:19 2015 Info: Response received for file reputation query from Cloud. File Name = 'Royale_Raman_Lab_Setup_Guide_Beta.docx', MID = 860, Disposition = file unknown, Malware = None, Reputation Score = 0, sha256 = 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce, upload_action = 1
Thu Jan 29 08:32:21 2015 Info: File uploaded for analysis. SHA256: 754e3e13b2348ffd9c701bd3d8ae96c5174bb8ebb76d8fb51c7f3d9567ff18ce
AsyncOS 12.x以降:
この例では、基準を満たし、分析用にファイルを送信するためにupload_action = Recommendedというタグが付けられたPPTXファイルを示します。次の行では、File uploaded for analysis Secure Hash Algorithm(SHA)がAMPログにも記録されます。
Thu Aug 15 09:42:19 2019 Info: Response received for file reputation query from Cloud. File Name = 'ESA_AMP.pptx', MID = 1763042, Disposition = UNSCANNABLE, Malware = None, Analysis Score = 0, sha256 = 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, upload_action = Recommended to send the file for analysis
Thu Aug 15 10:05:35 2019 Info: File uploaded for analysis. SHA256: 0caade49103146813abaasd52edb63cf1c285b6a4bb6a2987c4e32, file name: ESA_AMP.pptx
ファイルが既知のため、分析のためにアップロードされませんでした
古いAsyncOS:
この例では、ファイルレピュテーションログにupload_action = 2を追加してAMPがスキャンしたPDFファイルを示します。このファイルはすでにクラウドに認識されているため、分析のためにアップロードする必要はありません。したがって、再びアップロードされることはありません。
Wed Jan 28 09:09:51 2015 Info: File reputation query initiating. File Name = 'Zombies.pdf', MID = 856, File Size = 309500 bytes, File Type = application/pdf
Wed Jan 28 09:09:51 2015 Info: Response received for file reputation query from Cache. File Name = 'Zombies.pdf', MID = 856, Disposition = malicious, Malware = W32.Zombies.NotAVirus, Reputation Score = 7, sha256 = 00b32c3428362e39e4df2a0c3e0950947c147781fdd3d2ffd0bf5f96989bb002, upload_action = 2
AsyncOS 12.x以降:
この例では、デバッグレベルがupload_action =分析用ファイルを送信しないことを推奨に一致するampログがファイルレピュテーションログに追加されたamp_watchdog.txtファイルを示します。このファイルはすでにクラウドに認識されているため、分析のためにアップロードする必要はありません。したがって、再びアップロードされることはありません。
Mon Jul 15 17:41:53 2019 Debug: Response received for file reputation query from Cache. File Name = 'amp_watchdog.txt', MID = 0, Disposition = FILE UNKNOWN, Malware = None, Analysis Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82, upload_action = Recommended not to send the file for analysis
電子メールヘッダーを介したファイル分析アップロードのロギング
CLIから、コマンドlogconfigを使用するオプションで、logheadersのサブオプションを選択して、ESAで処理される電子メールのヘッダーを一覧表示し、ログに記録できます。「X-Amp-File-Uploaded」ヘッダーを使用すると、ファイルがアップロードされるか、ファイル分析用にアップロードされないたびに、ESAのメールログに記録されます。
分析のためにアップロードされたファイルのメールログと結果を確認します。
Mon Sep 5 13:30:03 2016 Info: Message done DCID 0 MID 7659 to RID [0] [('X-Amp-File-Uploaded', 'True')]
メールログを見ると、分析用にアップロードされていないファイルの結果が次のようになります。
Mon Sep 5 13:31:13 2016 Info: Message done DCID 0 MID 7660 to RID [0] [('X-Amp-File-Uploaded', 'False')]
関連情報