購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
989
閲覧回数
3
いいね!
0
コメント

ESA: パスワードで保護されたアーカイブファイルがファイル分析に送信される事象について

junakaga
Cisco Employee
Cisco Employee

‎2023-09-20 03:21 PM - 最終編集日: ‎2023-09-29 10:08 AM 、編集者: Level 7

     

    はじめに

    本ドキュメントでは、ZIPなどのパスワードで保護されたアーカイブファイルがファイル分析に送信される事象に関して、よくある質問をまとめています。本記事執筆時点では、ESA 14.2.2-14.2.3 および ESA 15.0.0 で本事象が発生することを確認しています。

     

    事象の概要

    ESA 14.2.2-14.2.3 および ESA 15.0.0 から、ファイル分析を有効化している場合、パスワードで保護されたアーカイブファイルがファイル分析に送信されるようになりました。ESA 14.2.2 よりも前のバージョンおよび ESA 14.3.0 では、パスワードで保護されたアーカイブファイルはファイル分析に送信されず、高度なマルウェア保護の「メッセージエラーによるスキャン不可アクション」で設定されたアクションに基づいて処理されていました。

     

    よくある質問

    1. パスワードで保護されたアーカイブファイルはファイル分析サーバで分析できるのでしょうか。

    2. 分析することはできません。

    1. 分析できないのに、なぜファイル分析サーバに送信するようになったのでしょうか。

    2. パスワードで保護されたアーカイブファイルだけではなく、ESAでファイルの抽出ができなかったアーカイブファイルをファイル分析に送信するように動作変更が行われています。ESAでファイルの抽出ができない場合でも、ファイル分析サーバで分析が可能な場合があるため、このような動作変更が行われたものと思われます。

    1. パスワードで保護されたアーカイブファイルは、ファイル分析で分析できませんがライセンスは消費するのでしょうか。

    2. はい、ファイル分析できない場合でも、アップロードされるとライセンスにより定められている1日に分析可能なファイル数を消費します。

    3. パスワードで保護されたアーカイブファイルを、ファイル分析に送信しないようにする方法はありますか。

    4. パスワードで保護されたアーカイブファイルのみを完全にファイル分析に送信しないようにする方法はありません。ただ、メッセージフィルタを使うことにより、近い動作をさせることは可能です。具体的には、以下のようなメッセージフィルタを適用します。

      not_unprotected_skip_amp:
if NOT (attachment-unprotected) {
    skip-ampcheck();
}​

      これにより、添付ファイルがパスワードで保護されたファイルのみの場合、ファイルレピュテーションの評価およびファイル分析サーバへの送信は行われなくなります。ただし、この設定では、パスワードで保護されたファイルと保護されていないファイルが混在している場合は、ファイル分析サーバへ送信されるという点にご留意ください。また、具体的なメッセージフィルタの設定方法は以下のドキュメントをご参照ください。

      メッセージフィルターの設定方法

      https://community.cisco.com/t5/-/-/ta-p/3161687



     

    Getting Started

    検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

    シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

    Customers Also Viewed These Support Documents