この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco E メール セキュリティ アプライアンス(ESA)を静的ホストまたは代替レピュテーション クラウド サーバプールと通信し、高度なマルウェア防御(AMP)を利用してこれらをファイル レピュテーションに使用するように設定する方法を説明します。
ファイルレピュテーションクエリは、ESA上のAMPの2つのレイヤの最初のレイヤです。ファイルレピュテーションは、各ファイルがESAを通過する際にフィンガープリントを取得し、レピュテーション判定のためにAMPのクラウドベースのインテリジェンスネットワークに送信します。これらの結果から、ESA の管理者は悪意のあるファイルを自動的にブロックし、管理者が定義したポリシーを適用できます。 ファイル レピュテーション クラウド サービスは Amazon Web Services(AWS)でホストされます。このドキュメントに記載されているホスト名に対して DNS クエリを実行すると、「.amazonaws.com」が表示されています。
ESA 上の AMP の 2 番目のレイヤはファイル分析です。 これについての説明は、このドキュメントの対象外です。
ファイル レピュテーション トラフィックの SSL 通信では、デフォルトでポート 32137 を使用します。サービスの設定時には、ポート 443 を代わりに使用できます。詳細については、『ESA User Guide』の「File Reputation Filtering and File Analysis」の項を参照してください。ESA およびネットワークの管理者は、設定を開始する前に、IP アドレスのプールへの接続、IP ロケーション、およびポート通信(32137 と 443)を確認する必要がある場合があります。
ファイル レピュテーションのライセンスを取得し、有効にして ESA で設定すると、デフォルトで次のレピュテーション クラウド サーバプールに対して設定されます。
ホスト名「cloud-sa.amp.sourcefire.com」はDNS正規名レコード(CNAME)です。CNAMEは、ドメイン名が別のドメインのエイリアスであることを指定するために使用されるDNSのリソースレコードのタイプです。これは「正規」ドメインです。プール内のこの CNAME に関連付けられたホスト名は次のようになります。
ファイルレピュテーションサーバには、さらに次の2つの選択肢があります。
これらのサーバについては、このドキュメントの「静的ファイルレピュテーションサーバのホスト名(.cisco.com)」セクションで説明しています。
この dig または nslookup クエリを実行すると、南・北・中央アメリカの cloud-sa-amp.sourcefire.com CNAME に関連付けられたホストをネットワークからいつでも確認できます。
╰─$ dig cloud-sa.amp.sourcefire.com +short
cloud-sa-589592150.us-east-1.elb.amazonaws.com.
107.22.180.78
54.225.208.214
23.21.208.4
54.83.195.228
╰─$ nslookup cloud-sa.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
cloud-sa.amp.sourcefire.com canonical name = cloud-sa-589592150.us-east-1.elb.amazonaws.com.
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.225.208.214
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 54.83.195.228
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 107.22.180.78
Name: cloud-sa-589592150.us-east-1.elb.amazonaws.com
Address: 23.21.208.4
注:これらのホストは静的ではないため、これらのホストのみに基づいてESAファイルレピュテーショントラフィックを制限しないことをお勧めします。プール内のホストは予告なく変更されるため、クエリの結果は異なる場合があります。
次のサードパーティ ツールから IP 地理的位置を確認できます。
シスコは2016年にAMPのファイルレピュテーションサービスに「.cisco.com」ベースのホスト名を提供し始めました。次のホスト名からファイルレピュテーションに使用できる静的ホスト名とIPアドレスがあります。
ネットワークのホストおよび関連するIPアドレスを確認し、digまたはnslookupクエリを実行します。
北米(US):
╰─$ dig cloud-sa.amp.cisco.com +short
52.21.117.50
ヨーロッパ(アイルランド共和国):
╰─$ nslookup cloud-sa.eu.amp.cisco.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
Name: cloud-sa.eu.amp.cisco.com
Address: 52.30.124.82
アジア太平洋地域(日本):
╰─$ dig cloud-sa.apjc.amp.cisco.com +short
52.69.39.127
次のサードパーティ ツールから IP 地理的位置を確認できます。
現時点では、「.sourcefire.com」のホスト名を廃止する予定はありません。
EU ベースのサーバおよびデータセンターのみに固有のトラフィックを送信する必要がある欧州連合(EU)を拠点とする顧客の場合、管理者は ESA を次の EU の静的ホストまたは EU のレピュテーション クラウド サーバプールを指すように設定できます。
デフォルトのホスト名「cloud-sa.amp.sourcefire.com」と同様に、ホスト名「cloud-sa.eu.amp.sourcefire.com」も CNAME です。プール内のこの CNAME に関連付けられたホスト名は次のようになります。
ネットワークからEUROPEAN cloud-sa.eu.amp.sourcefire.com CNAMEに関連付けられているホストを確認し、digまたはnslookupクエリを実行します。:
╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.97
54.247.186.153
176.34.122.245
╰─$ nslookup cloud-sa.eu.amp.sourcefire.com
Server: 208.67.222.222
Address: 208.67.222.222#53
Non-authoritative answer:
cloud-sa.eu.amp.sourcefire.com canonical name = cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.182.97
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 176.34.122.245
Name: cloud-sa-162723281.eu-west-1.elb.amazonaws.com
Address: 54.247.186.153
注:これらのホストは静的ではないため、ESAファイルレピュテーショントラフィックをこれらのホストのみに制限しないことを推奨します。プール内のホストは予告なく変更されるため、クエリの結果は異なる場合があります。
次のサードパーティ ツールから IP 地理的位置を確認できます。
ファイル レピュテーションは、ESA の GUI または CLI から設定できます。このドキュメントに記載されている設定手順は、CLI 設定を示しています。ただし、同じ手順と情報をGUIから適用できます(セキュリティサービス>ファイルレピュテーションと分析>グローバル設定の編集… >ファイルレピュテーションの詳細設定)。
AsyncOS 10.x の新機能により、ESA をプライベート レピュテーション クラウド(オンプレミス ファイル レピュテーション サーバ)またはクラウドベースのファイル レピュテーション サーバを使用するように設定できます。この変更により、AMP の設定では「レピュテーション クラウド サーバプールの入力」の手順でホスト名を要求されなくなりました。追加のファイル レピュテーション サーバをプライベート レピュテーション クラウドとして設定することを選択し、そのホスト名に公開キーを提供する必要があります。
10.0.x 以降では、代替 AMP レピュテーション サーバを設定する際に、そのホスト名に関連付けられた公開キーを入力する必要がある場合があります。
すべての AMP レピュテーション サーバは同じ公開キーを使用します。
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
次の例は代替ファイル レピュテーション サーバを cloud-sa.eu.amp.sourcefirce.com に設定する場合に役立ちます。
my11esa.local > ampconfig
NOTICE: This configuration command has not yet been configured for the current cluster mode (Machine 122.local).
What would you like to do?
1. Switch modes to edit at mode "Cluster Test_cluster".
2. Start a new, empty configuration at the current mode (Machine 122.local).
3. Copy settings from another cluster mode to the current mode (Machine 122.local).
[1]>
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
- CLUSTERSET - Set how advanced malware protection is configured in a cluster.
- CLUSTERSHOW - Display how advanced malware protection is configured in a cluster.
[]> advanced
Enter cloud query timeout?
[15]>
Choose a file reputation server:
1. AMERICAS (cloud-sa.amp.sourcefire.com)
2. Private reputation cloud
[2]>
Enter AMP reputation server hostname or IP address?
[]> cloud-sa.eu.amp.sourcefire.com
Do you want to input new public key? [N]> y
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEchIap1VqPuGibM2n3wjfhqQZdzC9
WI1Z7QZ2Q7VesLe+A53TxYujeo7fCDKJEQKrPjU6kI36PSZusObr9Cur/g==
-----END PUBLIC KEY-----
.
Enter cloud domain?
[a.immunet.com]>
Do you want use the recommended reputation threshold from cloud service? [Y]>
Enter heartbeat interval?
[15]>
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
Please make sure you have added the Amp onprem reputation server CA certificate in certconfig->CERTAUTHOROTIES->CUSTOM
Proxy server detail:
Server :
Port :
User :
Do you want to change proxy detail [N]>
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private analysis cloud
[1]>
設定変更を確定します。
次の AsyncOS 9.7.2-065 for Email Security の例は、代替レピュテーション クラウド サーバプールを cloud-sa.eu.amp.sourcefirce.com に設定する場合に役立ちます。
my97esa.local> ampconfig
File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable
Other potentially malicious file types
Appliance Group ID/Name: Not part of any group yet
Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- SETGROUP - Add this appliance to the group of appliances that can share File Analysis reporting details.
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced
Enter cloud query timeout?
[15]>
Enter cloud domain?
[a.immunet.com]>
Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]> cloud-sa.eu.amp.sourcefire.com
Do you want use the recommended reputation threshold from cloud service? [Y]>
Choose a file analysis server:
1. AMERICAS (https://panacea.threatgrid.com)
2. Private Cloud
[1]>
Enter heartbeat interval?
[15]>
Do you want to enable SSL communication (port 443) for file reputation? [Y]>
Proxy server detail:
Server :
Port :
User :
Do you want to change proxy detail [N]>
設定変更を確定します。
オンプレミス ファイル レピュテーション サーバ(FireAMP プライベート クラウドとも呼ばれる)の使用は、AsyncOS 10.x for Email Security から導入されました。
ネットワークに Cisco AMP 仮想プライベート クラウド アプライアンスを導入すると、パブリック レピュテーション クラウドに送信せずに、メッセージ添付ファイルのファイル レピュテーションを問い合わせることができます。オンプレミス ファイル レピュテーション サーバを使用するようにアプライアンスを設定するには、『ESA User Guide』の「File Reputation Filtering and File Analysis」の章またはオンライン ヘルプを参照してください。
ここでは、設定が正常に機能しているかどうかを確認します。
ファイル レピュテーション トラフィックが設定されている静的ホストまたはレピュテーション クラウド サーバプールにつながっていることを確認するには、指定されたフィルタを使用して ESA からパケット キャプチャを実行し、ポート 32137 またはポート 443 のトラフィックを取得します。
この例では、ポート 443 を使用して cloud-sa.eu.amp.sourcefire.com クラウド サーバプールと SSL 通信を使用します。
これは AMP ログで ESA に記録されます。
Sun Mar 26 21:17:45 2017 Info: File reputation query initiating. File Name = 'contract_604418.doc', MID = 463, File Size = 139816 bytes, File Type = application/msword
Sun Mar 26 21:17:46 2017 Info: Response received for file reputation query from Cloud. File Name = 'contract_604418.doc', MID = 463, Disposition = MALICIOUS, Malware = W32.8A78D308C9-95.SBX.TG, Reputation Score = 99, sha256 = 8a78d308c96ff5c7158ea1d6ca25f3546fae8515d305cd699eab2d2ef3c08745, upload_action = 2
ESA パケット トレースの実行は次のメッセージ交換を取得しました。
1060 28.504624 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 74 51391 → 443 [SYN] Seq=0 Win=16384 Len=0 MSS=1460 WS=64 SACK_PERM=1 TSval=198653388 TSecr=0
1072 28.594265 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 74 443 → 51391 [SYN, ACK] Seq=0 Ack=1 Win=28960 Len=0 MSS=1380 SACK_PERM=1 TSval=142397924 TSecr=198653388 WS=256
1073 28.594289 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1 Ack=1 Win=16384 Len=0 TSval=198653478 TSecr=142397924
1074 28.595264 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com SSL 502 Client Hello
1085 28.685554 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=1 Ack=437 Win=30208 Len=0 TSval=142397947 TSecr=198653478
1086 28.687344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1434 Server Hello
1087 28.687378 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1369 Win=15040 Len=0 TSval=198653568 TSecr=142397947
1088 28.687381 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 146 [TCP segment of a reassembled PDU]
1089 28.687400 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=1449 Win=14912 Len=0 TSval=198653568 TSecr=142397947
1090 28.687461 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1434 [TCP segment of a reassembled PDU]
1091 28.687475 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=2817 Win=13568 Len=0 TSval=198653568 TSecr=142397947
1092 28.687479 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 1346 [TCP segment of a reassembled PDU]
1093 28.687491 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=4097 Win=12288 Len=0 TSval=198653568 TSecr=142397947
1094 28.687614 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 [TCP Window Update] 51391 → 443 [ACK] Seq=437 Ack=4097 Win=16384 Len=0 TSval=198653568 TSecr=142397947
1096 28.711945 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 1120 Certificate
1097 28.711973 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=437 Ack=5151 Win=15360 Len=0 TSval=198653594 TSecr=142397953
1098 28.753074 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 392 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
1099 28.855886 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 348 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message
1100 28.855934 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=763 Ack=5433 Win=16128 Len=0 TSval=198653740 TSecr=142397989
1101 28.856555 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 252 Application Data, Application Data
1104 28.952344 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 252 Application Data, Application Data
1105 28.952419 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=949 Ack=5619 Win=16192 Len=0 TSval=198653837 TSecr=142398013
1106 28.958953 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 300 Application Data, Application Data
1107 29.070057 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 268 Application Data, Application Data
1108 29.070117 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5821 Win=16192 Len=0 TSval=198653951 TSecr=142398043
1279 59.971986 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TLSv1 103 Encrypted Alert
1280 59.972030 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5858 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1281 59.972034 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [FIN, ACK] Seq=5858 Ack=1183 Win=33280 Len=0 TSval=142405768 TSecr=198653951
1282 59.972044 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [ACK] Seq=1183 Ack=5859 Win=16320 Len=0 TSval=198684848 TSecr=142405768
1283 59.972392 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TLSv1 103 Encrypted Alert
1284 59.972528 my11esa.local -> ec2-176-34-122-245.eu-west-1.compute.amazonaws.com TCP 66 51391 → 443 [FIN, ACK] Seq=1220 Ack=5859 Win=16384 Len=0 TSval=198684848 TSecr=142405768
1285 60.062083 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com -> my11esa.local TCP 66 443 → 51391 [ACK] Seq=5859 Ack=1221 Win=33280 Len=0 TSval=142405791 TSecr=198684848
トラフィックはポート443経由で通信していることがわかります。ESA(my11esa.local)から、トラフィックはホスト名 ec2-176-34-122-245.eu-west-1.compute.amazonaws.com と通信します。このホスト名は、IP アドレス 176.34.122.245 に関連付けられています。
╰─$ dig ec2-176-34-122-245.eu-west-1.compute.amazonaws.com +short
176.34.122.245
176.34.122.245 の IP アドレスは、cloud-sa.eu.amp.sourcefire.com の CNAME のプール メンバーです。
╰─$ dig cloud-sa.eu.amp.sourcefire.com +short
cloud-sa-162723281.eu-west-1.elb.amazonaws.com.
54.217.245.200
54.247.186.153
176.34.122.245
この例では、通信は設定されたレピュテーション クラウド サーバプール cloud-sa.eu.amp.sourcefire.com によって送られ、受け入れられました。
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ファイル レピュテーション クラウドへのポート レベルの接続を確認するには、設定されたレピュテーション クラウド サーバプールのホスト名を使用し、設定されたポート 32137 またはポート 443 への Telnet を使用してテストします。
my97esa.local> telnet cloud-sa.amp.sourcefire.com 443
Trying 23.21.208.4...
Connected to ec2-23-21-208-4.compute-1.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
EU への接続を検証し、ポート 443 で成功しました。
my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 443
Trying 176.34.113.72...
Connected to ec2-176-34-113-72.eu-west-1.compute.amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
EU への接続を検証し、ポート 32137 で接続できませんでした。
my97esa.local> telnet cloud-sa.eu.amp.sourcefire.com 32137
Trying 176.34.113.72...
telnet: connect to address 176.34.113.72: Operation timed out
telnet: Unable to connect to remote host
同じ Telnet のテスト方法で、ポート 32137 またはポート 443 を使用して、レピュテーション クラウド サーバプールの CNAME の背後の直接 IP またはホスト名への Telnet をテストできます。ホスト名およびポートへの Telnet を正常に実行できない場合は、ESA の外部のネットワーク接続とファイアウォール設定を確認する必要があります。
オンプレミス ファイル レピュテーション サーバへの Telnet の成功の検証は、示されているものと同じプロセスで行われます。
AsyncOS 10.x 以降を実行する ESA で公開キーを入力する場合は、公開キーが正常に貼り付けられていること、またはロードされていることを保証します。公開キーのエラーは設定出力に表示されます。
Do you want to input new public key? [N]> y
Paste the public key followed by a . on a new line
-----BEGIN PUBLIC KEY-----
MEAwEAYHKoZIzj0CAQYFK4EEAAEDLAAEAIHPMkqCH057gxeQK6aUKqmpqk+1AW0u
vxOkpuI+gtfLICRijTx3Vh45
-----END PUBLIC KEY-----
.
Failed to save public key
エラーが表示された場合は、設定をもう一度行ってください。永続的なエラーについては、シスコ サポートにお問い合わせください。
ESA で AMP のログを表示する場合は、ファイル レピュテーション クエリ時に指定した「クラウドからのファイル レピュテーション クエリ」が表示されることを確認します。
Sun Mar 26 11:28:13 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 458, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:28:14 2017 Info: Response received for file reputation query from Cloud. File Name = 'billing_fax_271934.doc', MID = 458, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2
これが表示される場合、クエリは設定されたレピュテーション クラウド サーバプールからではなく、ローカル ESA キャッシュから応答を取り込みました。
Sun Mar 26 11:30:18 2017 Info: File reputation query initiating. File Name = 'billing_fax_271934.doc', MID = 459, File Size = 143872 bytes, File Type = application/msword
Sun Mar 26 11:30:18 2017 Info: Response received for file reputation query from Cache. File Name = 'billing_fax_271934.doc', MID = 459, Disposition = MALICIOUS, Malware = W32.50944E2888-100.SBX.TG, Reputation Score = 0, sha256 = 50944e2888b551f41f3de2fc76b4b57cb3cd28e718c9265c43128568916fe70f, upload_action = 2
ESA の管理者は次の通知を受けることがあります。この通知を受け取った場合は、設定および検証プロセスを再度手順に従って行ってください。
The Warning message is:
amp The previously selected regional server cloud-sa.eu.amp.sourcefire.com is unavailable. Server cloud-sa.amp.sourcefire.com has been selected as default.
Version: 11.0.0-028
Serial Number: 1111CEE15FF3A9F9A1111-1AAA2CF4A1A1
Timestamp: 26 Mar 2017 11:09:29 -0400
改定 | 発行日 | コメント |
---|---|---|
1.0 |
07-Apr-2017 |
初版 |