简介
本文档介绍如何标识和解决使用高级恶意软件防护(AMP)时邮件安全设备(ESA)上的Upload Limit Reached警报。
先决条件
要求
Cisco 建议您具有以下主题的基础知识:
使用的组件
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
在ESA上启用AMP功能后,它将执行以下一项或两项主要功能:
在文件分析期间,特定附件将上传到ThreatGrid进行沙盒和分析。
了解“Upload Limit Reached”警报
邮件跟踪可以显示AMP未扫描的邮件,因为它们已达到上传限制。
示例
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
在新的ThreatGrid样本限制模型中,这些限制是每个组织可上传以进行文件分析的样本数。所有集成设备(WSA、ESA、CES、FMC等)和面向终端的AMP每天都能获得200个样本的授权,无论设备的数量如何。
注意:此计数器不会每天重置;相反,它作为24小时滚动周期工作。
示例
在具有200个样本上传限制的4个ESA集群中,如果ESA1今天10:00上传80个样本,则从今天10:01到明天10:00,前80个插槽发布时,4个ESA(共享限制)中只能上传120个样本。
如何检查过去24小时内您的ESA上传的样本数量?
ESA:导航到监控(Monitor)>> AMP文件分析(AMP File Analysis)报告,并检查上传用于分析的文件(Files Uploaded for Analysis)部分。
SMA:导航到邮件(Email)>>报告(Reporting)>> AMP文件分析(AMP File Analysis)报告,并检查上传的文件进行分析部分。
注意:如果AMP File Analysis报告未显示准确数据,请查看《用户指南》中的“云中的文件分析详细信息不完整”部分。
警告:有关详细信息,请参阅Cisco Bug ID CSCvm10813。
或者,您可以从CLI运行grep命令对上传的文件数进行计数。这必须在每台设备上完成。
示例
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
您可以使用PCRE正则表达式来匹配日期和时间。
如何扩展上传限制?
请与您的思科客户经理或销售工程师联系。
相关信息
反馈