2014/5/13 Webcast 「Cisco ESA スキャンエンジンの仕組みについて」 Q&A

CiscoJapanModerator · ‎2014-05-13

2014 年 5 月 13 日（火）開催 Live Expert Webcast で行われた Q&A 集です。

録画ビデオはこちらから、資料はこちらよりご覧いただけます。

---------------------------------------------------------------------

Q1. AMP のファイルアップロードは、アップロードするだけで、そのファイルに対しての判定は　Clean　となるのでしょうか？

A1. はい、そうです。未知のファイルは Clean 判定になります。

Q2. AsyncOS のアップデートは自動的に行われるのでしょうか？

A2. はい、アップデートは自動的に行われます。ただ、2 つの条件をクリエしている必要があります。1つ目は、有効なライセンスを持っていること、2 つ目は、アプライアンスの設定上、関連機能が有効になっていることです。

Q3. レピュテーション情報の元は "SensorBase" ですが、マニュアルのレピュテーションフィルタリングの説明では "SenderBase" とあります。どちらが正しいでしょうか?

A3. 名前は Senderbase と SensorBase の二通りがありますが、同じものを指しています。

このサービスは、当初メールトラフィックをモニタリングすることでレピュテーションを決めていて、クライアントは ESA のみでした。
そのうち、メールだけではなく、URL をチェックするためのウェブレピュテーション・サビースも提供することになり、クライアントに WSA を加わっております。
さらに、シスコが IronPort 社を買収後、シスコの既存セキュリティ・プロダクトの IPS のシグネチャー、および ASA の BotNet 対策機能などもこのサービスから情報を取得するようになりました。

提携する製品が増えて、Sender という範疇でカバーしきれなくなったので、名前が SensorBase に変わりました。

Q4. スパム誤検知はサブミットしてからどれぐらいで是正されますか？

A4. 誤検知されたメールのサンプルが、システムにサブミットされましたら、システムによる自動調整と、アナリストにより手動レビューが行われます。基本的に遅くても二、三日程度で反映されます。
なお、規模の小さいなスパム・アウトブレイクは、20分-30分程度で終わってしまうことがよくありますので、そのようなアウトブレイクに対応するルールはアウトブレイクの終了に合わせて、すぐにinactiveになりますので、そのようなルールにご検知されたメールは、サブミットされた時点で、既に誤検知されなくなっている場合もあります。

Q5. AMP の File Analsys でアップロードされるファイルサイズは変更可能ですか？

A5. いいえ、ファイルサイズの制限はハードコートされていて、変更できません。

Q6. File Analysis にアップロードできなかったファイルはどうなりますか？

A6. まず、アップロードすべきファイルは、フラグされてアップロード・キューに置かれます。この処理は mail_log で確認できます。キューはサイズがあって、いっぱいになったらキューに入れなくてアップロードを諦めます。キューに置かれたファイルに対しては、何回かアップロードをリトライしますが、リトライ回数を超えてもアップロードできないファイルはアップロードを諦めます。ただ、同じハッシュのファイルは一回だけアップロードすればいいので、もし一台の ESA が先にアップロードし始めたら、その他のESA からのアップロードはクラウドから中止するように指示されます。つまり、アップロード予定のファイルは必ずアップロードされるわけではないです。アップロードに成功したかどうかは、amp_log で確認できます。

Q7. アウトブレイク・フィルターで書換えられた URL はシスコのプロキシ経由でアクセスするが、このURLはずっと有効でしょうか、それとも一定期間たったら使えなくなるでしょうか？

A7. 書換えられた URL はずっと有効です。

Q8. Sophos/McAfee などアンチウィルスを使わずに、アウトブレイク・フィルターだけ使用することができますか？

A8. はい、技術的には可能です。ただ、アウトブレイク・フィルターで一旦隔離されたメールがリリースされる際に、アンチウィルスがなければ、ウィルス検知ができなくなります。もし ESA でアンチウィルスのスキャンを実施したくない場合は、ESA より内側の経路にアンチウィルス・スキャンを実施することをおすすめします。

Q9. 検知したスパムメールを ESA ローカルではなく、SMA に隔離している場合、もし SMA へのアクセスができなくなったら、隔離すべきスパムメールはどうなりますか？

A9. アンチスパムでメールを隔離する時は、ESA ローカルもしくはリモートの SMA に隔離できます。SMA に隔離する時は Centralized 隔離と言います。ESA ローカルであれば、ストレージ領域さえあれば保存する事自体何も問題無いですが、リモートに隔離する場合は、ネットワーク経由でメールを送信する必要があります。疎通がないまたは SMA の関連プロセスがダウンしていると、隔離できないことがあります。その際、隔離メールは ESA の配送キューに貯まってしまい、ESA が配送をリトライしていくことになります。注意すべき点は、隔離メールのリトライは、バウンス・プロファイルに影響されないので、成功するまでずっと続くことになります。

Q10. outbreak フィルターでは内蔵した Sophos エンジンなどが対象ファイルに関する情報が update したことはわかるのですか？

A10. はい、一回のアウトブレイクを通して、アウトブレイク・ルールがアップデートされ続けます。アンチウィルスのシグネチャーがリリースされれば、その情報がアウトブレイクルールに含まれます。それをもってそのアウトブレイクで隔離されたメールが解放されます。

Q11. マーケティングとスパム両方に判定された場合は、スパム判定が優先されますでしょうか？

A11. はい、スパム判定が優先されますので、スパムになります。

Q12. AMP の File Sandboxing でアップロードする際のプロトコルを教えてください。

A12.AsyncOS 8.5.5 のマニュアル P.1097 の "Firewall Information" をご参考いただければと思いますが、File Analysis サービスは HTTPS (TCP/443) を利用します。

Q13. pdf などが検知できるのは FireAMP や FirePower などからアップロードされているからという認識でしょうか？

A13. FireAMP は元々 Sourcefire 者のテクノロジーで、Sourcefire 製の IPS 製品も接続します。そこでアップロードされたファイルのレピュテーション情報が ESA にも共有されますので、上記の推測が正しいです。