Teste avançado da proteção do malware ESA (AMP)

Documentos relacionados
Índice. Introdução. Teste o ampère no ESA. Chaves de recurso. Serviços de segurança

Como obstruir o tipo de conteúdo baseou jogos de caracteres

Detecte mensagens de falsificado no ESA e crie exceções para os remetentes que são permitidos ao spoof

Melhores prática para a política centralizada, quarentena do vírus e da manifestação Setup e migração do ESA ao S A

Este documento descreve como controlar a falsificação do em Cisco ESA e como criar exceções para que os usuários enviem falsificado.

Corrija o serviço da reputação do arquivo na nuvem é erro inacessível recebido para o ampère

Índice. Introdução. Pré-requisitos. Rastreamento de mensagem. Comando de Findevent

Configurar o beta ESA para aceitar o tráfego da produção ESA

Solução para os recursos de segurança que indicam o " Não Available" quando as chaves de recurso estiverem disponíveis.

Reescrita de teste do filtro URL da manifestação

Configuração e melhores prática da Filtragem URL para a Segurança do de Cisco

Que faz de a fila trabalho alerta pausou, XX msgs, antispam ou de fila trabalho pausaram, XX os msgs, antivirus significam?

Execute a indicação do valor-limite de varreduras do acordo (IOC) com o ampère para valores-limite ou FireAMP

CRE: Abastecimento da conta para virtual, hospedado, e o exemplo de configuração do hardware ESA

Parâmetros das saúdes de sistema ESA e verificação de saúdes de sistema

Configurar o CUCM para a conexão IPSec entre Nós

Parâmetros das saúdes de sistema ESA e verificação de saúdes de sistema

Pesquise defeitos de partida indesejáveis no ESA das contas comprometidas

O domínio ESA debuga o exemplo de configuração dos logs

Uso do repairqueue do comando

Procedimentos da captura de pacote de informação ESA

Guia detalhado da instalação para o TLS no ESA

Melhores prática da configuração para CES ESA

Guia detalhado da instalação da quarentena do Spam na ferramenta de segurança do (ESA) e no dispositivo do Gerenciamento de segurança (S A)

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

Migração da licença da versão 10.x CUCM no exemplo de configuração PLM

Como configurar a rede da ferramenta de segurança da Web de Cisco e DLP RSA para

Assegure a funcionalidade virtual apropriada do grupo WSA HA em um ambiente de VMware

Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

Recolha o log de diagnóstico Expressway/VCS para Expressway MRA

Criação do certificado ESA para o uso com assinatura S/MIME

Configurar o grupo de empresa para CUCM & IM/P

A vista entra um Series Router rv

Cisco FirePOWER pesquisa defeitos procedimentos de geração do arquivo

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

Exemplo de configuração da característica de Wireshark dos Catalyst 4500 Series Switch

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

Criação do certificado ESA para o uso com assinatura S/MIME

Configurar IP SLA que segue para as rotas estáticas IPv4 em um interruptor SG550XG

Permita server UC para o conjunto da cruz da mobilidade de extensão (EMCC)

Configurar a detecção e a aplicação anômalas do valor-limite em ISE 2.2

Configurar servidores de raio externos no ISE

Configurar o Balanceamento de carga agressivo do cliente

Pesquise defeitos edição faltante dos seletores da velocidade no IPMA

Transferência de arquivo ASA com exemplo de configuração FXP

Verificando transferências de arquivo pela rede da análise do arquivo no ESA

Pesquise defeitos edições do Correio de voz visual

Recuperação de uma senha de conta SQLSvc

Pesquise defeitos edições laterais do cliente usando a ferramenta do perfilador da estação de trabalho no Gerenciador de vigilância por vídeo da Cisco

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

Trabalhos do alarme CIM para reprocess atividades da fila da exceção ao exemplo de configuração traçado das filas

Trabalhos do alarme CIM para reprocess atividades da fila da exceção ao exemplo de configuração traçado das filas

Exemplo de configuração do ponto quente da versão 1.3 ISE

Exemplo de configuração do gerenciamento de largura de banda do VPN 3000 concentrator

Dispositivo híbrido FAQ da Web de Cisco

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Este documento não se restringe a versões de software e hardware específicas.

Firmware/upgrade de idioma em RV130 e em RV130W usando a interface da WEB

Crie um coletor de dados definido pelo utilizador ajustado no monitoramento de desempenho para pesquisar defeitos processos UCCE

Gerenciador de domínio das comunicações unificadas de Cisco (CUCDM) Comunicações unificadas Managers(CUCM) de Cisco

Migração do conjunto usando o desenvolvimento da Colaboração da prima de Cisco

Orchestrator maré da empresa: Guia de Instalação do serviço adicional da cópia do sistema de SAP

Configurar disposições feitas sob encomenda do variável de chamada UCCX para o Desktop da fineza e o FIPPA

Forneça dados ao Smart Net Total Care por meio do coletor Netformx

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Configurando e pesquisando defeitos o S TP na série C UCS

Gerencia um relatório do apoio de um server da fiscalização da vídeo Cisco

CUCM 9.x+ e OLMO - Upgrade de licença e instalação

Configurar a detecção e a aplicação anômalas do valor-limite em ISE 2.2

Obtenha e execute o software da recuperação no CUCM VM

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Configurar a característica do Autoabastecimento

A política de centralização ESA, o vírus, e a quarentena da manifestação (PVO) não podem ser permitidos

Configurar a instalação wireless fácil ISE 2.2

Troubleshooting do erro da gravação do atendimento CUCM MediaSense

Pesquise defeitos o discador da Opção Cisco Outbound quando não disca

Pesquise defeitos o discador da Opção Cisco Outbound quando não disca

CS - Como instalar Certificados da terceira SSL para o acesso de GUI

O endereço IP de Um ou Mais Servidores Cisco ICM NT é obstruído ou põr pela inteligência de Segurança de um sistema de Cisco FireSIGHT

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

Este artigo explica como configurar LLDP MED para cada porta no interruptor. Configuração das configurações de porta LLDP MED

Erros de GUI 7.x expressos do gerente das comunicações unificadas

SpeechView para a conexão de unidade com exemplo de configuração do Microsoft Exchange

Captura de pacote de informação no servidor de mídia da fiscalização da vídeo Cisco

Upgrade de firmware no server UCS com a utilidade da elevação do host (HUU)

SpeechView para a conexão de unidade com exemplo de configuração do Microsoft Exchange

NAC 4.5: Exemplo de configuração da Importação-exportação da política

Desabilite e permita o serviço do conector de FireAMP

Como desabilitar a espera de chamada para permitir transferência da segunda chamada recebida com CallManager da Cisco 3.x

Como utilizar o BASTÃO para atualizar Cisco Jabber a lista de contato

Transferindo e instalando licenças UCS

Verifique a saúde de um conjunto da analítica do Tetration

Permita notificações do mensagem SMTP no Cisco Unity Connection 8.x

Transcrição:

Teste avançado da proteção do malware ESA (AMP) Índice Introdução Teste o AMP no ESA Chaves de recurso Serviços de segurança Políticas do correio recebido Teste Rastreamento de mensagem avançado para mensagens AMP+ Relatórios avançados da proteção do malware Troubleshooting Informações Relacionadas Introdução Este documento descreve como testar e para verificar as características avançadas da proteção do malware (AMP) de Cisco envie por correio eletrónico a ferramenta de segurança (ESA). Teste o AMP no ESA Com a liberação de AsyncOS 8.5 para o ESA, o AMP executa varreduras da reputação do arquivo e análise do arquivo a fim detectar o malware nos acessórios. Chaves de recurso A fim executar o AMP, você deve ter uma chave de recurso válida e ativa para a reputação do arquivo e arquivar a análise em seu ESA. Visite chaves de recurso do sistema Administration> no GUI, ou use featurekeys no CLI, a fim verificar as chaves de recurso. Serviços de segurança A fim permitir o serviço do GUI, navegue aos Serviços de segurança > à reputação e à análise do

arquivo. Do CLI, você pode executar o ampconfig. Submeta e comprometa suas mudanças à configuração. Políticas do correio recebido Uma vez que você permitiu o serviço, você deve ter este serviço amarrado a uma política do correio recebido. 1. Navegue para enviar políticas > políticas do correio recebido. 2. Selecione sua política padrão ou política preconfigured como necessária. A coluna de proteção avançada do malware no correio recebido policia indicadores da página. 3. Selecione o link dos enfermos para a coluna, e permita a reputação do arquivo e permita a análise do arquivo na página das opções. 4. Você pode fazer todos os realces mais adicionais da configuração à exploração da mensagem, às ações para acessórios un-scannable, e às ações para mensagens positivamente identificadas, como necessários. 5. Submeta e comprometa suas mudanças à configuração. Teste Neste tempo, sua política do correio recebido é permitida de fazer a varredura e detectar do malware. Você deve ter uma amostra verdadeira do malware com que para testar. Se você precisa exemplos válidos, visite o instituto europeu para a página (eicar) das transferências da pesquisa do Antivirus do computador. Caution: Cisco não pode ser guardado responsável quando estes arquivos ou seu varredor AV em combinação com estes arquivos causam todo o dano a seu computador ou ambiente de rede. VOCÊ TRANSFERE ESTES ARQUIVOS A SEU PRÓPRIO RISCO. Transfira estes arquivos somente se você é suficientemente seguro no uso de seus varredor AV, ajustes do computador, e ambiente de rede. Esta informação é fornecida como uma cortesia para finalidades do teste e da reprodução. Com o uso de um válido uma conta de email preconfigured, envia o acessório com de seus ESA e processamento normal. Você pode usar o CLI do ESA, e os mail_logs da cauda a fim monitorar o correio como ele processam. Você verá o ID de mensagem (MEADOS DE) alistado nos logs do correio. A saída similar a esta indica: Thu Sep 18 16:17:38 2014 Info: New SMTP ICID 16488 interface Management Thu Sep 18 16:17:38 2014 Info: ICID 16488 ACCEPT SG UNKNOWNLIST match sbrs

Thu Sep 18 16:17:38 2014 Info: Start MID 1653 ICID 16488 Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 From: Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 RID 0 To: Thu Sep 18 16:17:38 2014 Info: MID 1653 Message-ID '<BLU437-SMTP10E1315A60354F2 906677B9DB70@phx.gbl>' Thu Sep 18 16:17:38 2014 Info: MID 1653 Subject 'Your Daily Update'' Thu Sep 18 16:17:38 2014 Info: MID 1653 ready 2313 bytes from Thu Sep 18 16:17:38 2014 Info: MID 1653 matched all recipients for per-recipient Thu Sep 18 16:17:38 2014 Info: ICID 16488 close Thu Sep 18 16:17:39 2014 Info: MID 1653 interim verdict using engine: Thu Sep 18 16:17:39 2014 Info: MID 1653 using engine: Thu Sep 18 16:17:39 2014 Info: MID 1653 AMP file reputation verdict : MALWARE Thu Sep 18 16:17:39 2014 Info: Message aborted MID 1653 Dropped by amp Thu Sep 18 16:17:39 2014 Info: Message finished MID 1653 done O exemplo anterior mostra que o AMP detectou o acessório do malware e o deixou cair como a ação final pelas configurações padrão. Os mesmos detalhes são considerados igualmente no rastreamento de mensagem do GUI: Se você escolhe entregar o malware positivamente identificado, ou outras opções avançadas na configuração AMP das políticas do correio recebido, você pôde ver este correio processar o resultado: Thu Sep 18 16:17:38 2014 Info: New SMTP ICID 16488 interface Management Thu Sep 18 16:17:38 2014 Info: ICID 16488 ACCEPT SG UNKNOWNLIST match sbrs Thu Sep 18 16:17:38 2014 Info: Start MID 1653 ICID 16488 Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 From: Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 RID 0 To: Thu Sep 18 16:17:38 2014 Info: MID 1653 Message-ID '<BLU437-SMTP10E1315A60354F2 906677B9DB70@phx.gbl>' Thu Sep 18 16:17:38 2014 Info: MID 1653 Subject 'Your Daily Update'' Thu Sep 18 16:17:38 2014 Info: MID 1653 ready 2313 bytes from Thu Sep 18 16:17:38 2014 Info: MID 1653 matched all recipients for per-recipient Thu Sep 18 16:17:38 2014 Info: ICID 16488 close Thu Sep 18 16:17:39 2014 Info: MID 1653 interim verdict using engine: Thu Sep 18 16:17:39 2014 Info: MID 1653 using engine: Thu Sep 18 16:17:39 2014 Info: MID 1653 AMP file reputation verdict : MALWARE Thu Sep 18 16:17:39 2014 Info: Message aborted MID 1653 Dropped by amp Thu Sep 18 16:17:39 2014 Info: Message finished MID 1653 done A sentença da reputação é ainda positiva para o MALWARE como mostrado. A ação reescrita é pelas ações da alteração da mensagem e prepending da linha de assunto de [ADVERTINDO: MALWARE DETECTADO]. Um arquivo limpo, ou um arquivo que não seja identificado no tempo de processamento como o

malware, têm esta sentença escrita aos logs do correio: Thu Sep 18 16:17:38 2014 Info: New SMTP ICID 16488 interface Management Thu Sep 18 16:17:38 2014 Info: ICID 16488 ACCEPT SG UNKNOWNLIST match sbrs Thu Sep 18 16:17:38 2014 Info: Start MID 1653 ICID 16488 Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 From: Thu Sep 18 16:17:38 2014 Info: MID 1653 ICID 16488 RID 0 To: Thu Sep 18 16:17:38 2014 Info: MID 1653 Message-ID '<BLU437-SMTP10E1315A60354F2 906677B9DB70@phx.gbl>' Thu Sep 18 16:17:38 2014 Info: MID 1653 Subject 'Your Daily Update'' Thu Sep 18 16:17:38 2014 Info: MID 1653 ready 2313 bytes from Thu Sep 18 16:17:38 2014 Info: MID 1653 matched all recipients for per-recipient Thu Sep 18 16:17:38 2014 Info: ICID 16488 close Thu Sep 18 16:17:39 2014 Info: MID 1653 interim verdict using engine: Thu Sep 18 16:17:39 2014 Info: MID 1653 using engine: Thu Sep 18 16:17:39 2014 Info: MID 1653 AMP file reputation verdict : MALWARE Thu Sep 18 16:17:39 2014 Info: Message aborted MID 1653 Dropped by amp Thu Sep 18 16:17:39 2014 Info: Message finished MID 1653 done Rastreamento de mensagem avançado para mensagens AMP+ Igualmente do GUI, quando você usa o rastreamento de mensagem e o menu suspenso avançado, você pode escolher procurar diretamente por uma mensagem positiva da proteção avançada do malware: Relatórios avançados da proteção do malware Do ESA GUI, você igualmente vê o relatório seguir para mensagens positivamente identificadas com o AMP. Navegue para monitorar > avançou a proteção do malware e alteram o intervalo de

tempo como necessário. Você vê agora similar, com os exemplos anteriores para a entrada: Troubleshooting Se você não vê sabido, o arquivo verdadeiro do malware que é feito a varredura positivamente pelo AMP, reviu o correio entra a ordem para assegurar que um outro serviço não tomou a ação na mensagem e/ou no acessório antes que o AMP fez a varredura da mensagem. Do exemplo mais adiantado usado, quando Sophos anti-vírus é permitido, realmente trava e toma a ação no acessório: Thu Sep 18 22:15:34 2014 Info: New SMTP ICID 16493 interface Management Thu Sep 18 22:15:34 2014 Info: ICID 16493 ACCEPT SG UNKNOWNLIST match sbrs Thu Sep 18 22:15:34 2014 Info: Start MID 1659 ICID 16493 Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 From: Thu Sep 18 22:15:34 2014 Info: MID 1659 ICID 16493 RID 0 To: Thu Sep 18 22:15:34 2014 Info: MID 1659 Message-ID '<BLU437-SMTP2399199FA50FB 5E71863489DB40@phx.gbl>' Thu Sep 18 22:15:34 2014 Info: MID 1659 Subject 'Daily Update Final' Thu Sep 18 22:15:34 2014 Info: MID 1659 ready 2355 bytes from Thu Sep 18 22:15:34 2014 Info: MID 1659 matched all recipients for per-recipient Thu Sep 18 22:15:35 2014 Info: ICID 16493 close Thu Sep 18 22:15:35 2014 Info: MID 1659 interim verdict using engine:

Thu Sep 18 22:15:35 2014 Info: MID 1659 using engine: Thu Sep 18 22:15:37 2014 Info: MID 1659 interim AV verdict using Sophos VIRAL Thu Sep 18 22:15:37 2014 Info: MID 1659 antivirus positive 'EICAR-AV-Test' Thu Sep 18 22:15:37 2014 Info: Message aborted MID 1659 Dropped by antivirus Thu Sep 18 22:15:37 2014 Info: Message finished MID 1659 done Os ajustes de configuração anti-vírus de Sophos na política do correio recebido são ajustados para deixar cair para mensagens contaminadas vírus. Nesta instância, o AMP é alcançado nunca para fazer a varredura ou tomar da ação no acessório. Entretanto, esse nem sempre é o caso. Uma revisão dos logs do correio e dos ID de mensagem (MIDs) pôde ser precisada a fim assegurar que um outro serviço OU um filtro do índice/mensagem não tomou a ação contra o MEADOS DE antes do AMP que processa e uma ação foi alcançada. Informações Relacionadas Cisco envia por correio eletrónico a ferramenta de segurança - Guias do utilizador final Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback