はじめに
本ドキュメントでは、CES14.2/SEG15.0より実装されたURL レトロスペクティブ機能について紹介します。
URLレトロスペクティブは、メッセージがユーザーのメールボックスに到達した後であっても、Talos インテリジェンスサービスのサンドボックスサーバーで一定期間において URL判定(レピュテーション)を監視する機能です。URL判定が[悪意あり(Malicious)] に変更された場合、必要なアクションを実行できるように、URL判定の更新に関するアラート通知を設定できます。さらに、メールボックス自動修復サービスを設定して、受信者のメールボックスからメッセージを削除するといった修復を行うことも可能です。
本ドキュメントは、AsyncOS 15.0.0-104の動作を基に作成しています。AsyncOSのバージョンによって動作が異なる場合があります。
設定方法
URLレトロスペクティブ機能を利用するには、URLフィルタリングを有効にする必要があります。URLフィルタリングを有効にすると、URLレトロスペクティブ機能が自動的に有効になります。なお、URL フィルタリングを有効にする他に、URLに対する保護が組み込まれているアンチスパムやアウトブレイクといった機能も有効にする必要があります。
URLレトロスペクティブサービスのステータスは、GUI > セキュリティサービス > URLフィルタリングから確認できます。
![URL1.png URL1.png](/t5/image/serverpage/image-id/214577iE50D45894D5FA060/image-size/large?v=v2&px=999)
URLレトロスペクティブ機能のみを無効にするには、CLI画面でコマンド“urlretroservice disable”を入力します。
Lab> urlretroservice disable
URL Retro Service is disabled.
Lab> commit
無効化したURLレトロスペクティブ機能を再度有効化するには、CLI画面でコマンド “urlretroservice enable”を入力します。
Lab> urlretroservice enable
URL Retro Service is enabled.
Lab> commit
ログの出力例
mail_logs:
Fri Jan 5 11:03:56 2024 Info: MID 73 matched all recipients for per-recipient policy xxx in the inbound table
Fri Jan 5 11:03:57 2024 Info: MID 73 interim verdict using engine: CASE spam negative
Fri Jan 5 11:03:57 2024 Info: MID 73 using engine: CASE spam negative
Fri Jan 5 11:03:57 2024 Info: MID 73 URL https://xxxxxxxx has reputation -1.5 matched Condition: URL Reputation Rule
Fri Jan 5 11:03:57 2024 Info: MID 73 Custom Log Entry: ====URL Retrospective====
Fri Jan 5 11:03:57 2024 Info: MID 73 queued for delivery
Fri Jan 5 11:03:57 2024 Info: Delivery start DCID 0 MID 73 to RID [0]
Fri Jan 5 11:03:57 2024 Info: Message done DCID 0 MID 73 to RID [0]
Fri Jan 5 11:03:57 2024 Info: MID 73 RID [0] Response '/dev/null'
Fri Jan 5 11:03:57 2024 Info: Message finished MID 73 done
Fri Jan 5 11:05:17 2024 Info: URL retrospective response was received for the message 73 having URLs 'https://xxxxxxxx' with verdict as MALICIOUS.
ecs_logs:
Fri Jan 5 11:03:56 2024 Info: ECS: Received message GUID xxx (or xxx in base64 format) having URLs.
Fri Jan 5 11:05:17 2024 Info: ECS: Received the following response (Message GUID, URL, Timestamp) from URL retrospective service: [('xxx', 'https:// xxxxxxxx ', '2024-01-05T03:04:57Z')]
Fri Jan 5 11:05:17 2024 Info: Verdict update received from URL retrospective service. The message IDs, MIDs and URLs are as below in the format <message ID> : MID(s) : URL.<xxx>:73: BLOCKEDxxx[.]xxx[.]xxx[.]xxx[.]xxx/xxx/xxxxxBLOCKED
通知設定
GUI > システム管理 > アラートにて、スパム対策の情報(info)レベルにチェックを入れます。
<通知メールのテンプレート>
件名:
Info <Anti-Spam> host name: Verdict update received from URL retrospective service.
本文:
The Info message is: Verdict update received from URL retrospective service.
The message IDs, MIDs and URLs are as below in the format <message ID> : MID(s) :
URL. xxx : 73 : BLOCKEDxxx[.]xxx[.]xxx[.]xxx[.]xxxxxBLOCKED
Version: 15.0.0-104
Serial Number:
Timestamp: 05 Jan 2024 11:12:17 +0900
メールボックスの自動修復
Microsoft 365を使用したメールボックス自動修復の設定方法については、以下のURLを参考にしてください。
How-to configure Cisco Secure Email Account Settings for Microsoft Azure (Microsoft 365) API
https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/211404-How-to-configure-Azure-AD-and-Office-365.html
レポート
新しい Web インターフェイスからURLレトロスペクティブ検知に関するレポートが確認できます。
![URL2.png URL2.png](/t5/image/serverpage/image-id/214578iABCDB3BE245E0C44/image-size/large?v=v2&px=999)
参考ドキュメント
User Guide for AsyncOS 15.0 for Cisco Secure Email Gateway - GD (General Deployment)
https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-0/user_guide/b_ESA_Admin_Guide_15-0/b_ESA_Admin_Guide_12_1_chapter_010000.html#con_1168125