Guía de la mejor práctica para la protección

avanzada de Malware (AMP) en la Seguridad del

correo electrónico de Cisco
Contenido
Introducción
Verifique las teclas de función
Habilite la protección avanzada de Malware (el AMP)
Personalice las configuraciones globales avanzadas de la protección de Malware (AMP)
Clasifíe el establecimiento del umbral del análisis
Integre el ESA con el AMP para la consola de los puntos finales
Habilite la corrección auto del buzón (MARCHA)
Configure la protección avanzada de Malware (AMP) en la directiva del correo
Integre el S A con la Respuesta de Cisco ante amenazas (CTR)
Conclusión

Introducción
La protección avanzada del phishing (AMP) es una solución completa que habilita la detección del
malware y el bloqueo, análisis continuo y el alertar retrospectivo. El aprovechamiento del AMP
con la Seguridad del correo electrónico de Cisco permite la protección superior a través de la
serie continua del ataque – antes, durante y después de un ataque con el acercamiento más
rentable, fácilmente desplegado a la defensa avanzada del malware.

Este documento de la mejor práctica cubrirá las características fundamentales del AMP en el
dispositivo de seguridad del correo electrónico de Cisco (ESA) según lo enumerado abajo:

● Reputación del archivo - captura una huella dactilar de cada archivo mientras que atraviesa el
ESA y lo envía a la red nube-basada de la inteligencia AMP para un veredicto de la
reputación. Dado estos resultados, usted puede bloquear automáticamente los archivos
malévolos y aplicar la directiva administrador-definida.
● Análisis del archivo - proporciona la capacidad de analizar los archivos desconocidos que
están atravesando el ESA. Un entorno altamente seguro de la salvadera permite al AMP para
espigar los detalles exactos sobre el comportamiento del archivo y para combinar que los
datos con el análisis el hombre y de la máquina detallado para determinar el nivel de la
amenaza del archivo. Esta disposición después se alimenta en la red nube-basada AMP de la
inteligencia y se utiliza para poner al día y para ampliar dinámicamente al conjunto de datos
de la nube AMP para la protección mejorada.
● La corrección auto del buzón (MARCHA) – para Microsoft Office 365 y el intercambio
2013/2016 automatiza el retiro de los correos electrónicos con los archivos que llegan a ser
malévolos después de la punta inicial del examen. Esto guarda a administradores las horas
de trabajo y las ayudas contienen el impacto de una amenaza.
● Unity de Cisco AMP – es la capacidad que permite que una organización registre su
dispositivo AMP-habilitado incluyendo el ESA con la suscripción AMP en el AMP para la
 consola de los puntos finales. Con tal integración, la Seguridad del correo electrónico de
Cisco puede ser considerada y preguntado para las observaciones de la muestra la misma
manera que el AMP para la consola de los puntos finales ofrece para los puntos finales y que
permite ya el correlacionar de los datos de la propagación del archivo a través de todos los
vectores de la amenaza en una interfaz del único usuario.
● Respuesta de Cisco ante amenazas – es una plataforma de la orquestación que reúne la
información relacionada con la seguridad de Cisco y las fuentes de tercera persona en una
investigación y una consola solas, intuitivas de la respuesta. Hace tan con un diseño modular
que sirva como marco de la integración para los registros de acontecimientos y la inteligencia
de amenaza. Los módulos permiten la correlación rápida de los datos construyendo los
gráficos de la relación que a su vez, los equipos de seguridad del permiso para obtener una
vista clara del ataque, así como para hacer rápidamente las acciones eficaces de la
respuesta.

Verifique las teclas de función

● En el ESA, navegue a las teclas de función del sistema Administration>
● Busque la reputación del archivo y clasifíe las teclas de función del análisis y aseegurese los
estatuses son activo

Habilite la protección avanzada de Malware (el AMP)

● En el ESA, navegue a la protección >Advanced los Servicios de seguridad de Malware –
clasifíe la reputación y el análisis
● Haga clic el botón Enable Button en las configuraciones globales avanzadas de la protección
de Malware:

● Confíe sus cambios.

Personalice las configuraciones globales avanzadas de la protección de Malware

(AMP)

● El AMP ahora se habilita, tecleo edita las configuraciones globales para personalizar las
configuraciones globales.
● La lista de extensiones de archivo será puesta al día automáticamente de vez en cuando,
satisface tan siempre la visita esta configuración y se asegura que todas las extensiones de
archivo están seleccionadas:
 ● Amplíe las configuraciones avanzadas para la reputación del archivo
● La selección predeterminada para el servidor de la reputación del archivo es AMÉRICA
(cloud-sa.amp.cisco.com)
● Haga clic el menú desplegable y elija los servidores más cercanos de la reputación del
archivo (especialmente para los clientes APJC y de EUROPA):

● Amplíe las configuraciones avanzadas para el análisis del archivo

● La selección predeterminada para el servidor URL del análisis del archivo es AMÉRICAS
(https://panacea.threatgrid.com)
● Haga clic el menú desplegable y elija los servidores más cercanos de la reputación del
archivo (especialmente para los clientes de EUROPA):

Clasifíe el establecimiento del umbral del análisis

A le (opcional) se permite establecer el límite de umbral superior para la calificación aceptable del
análisis del archivo. Se visualizan los archivos que se bloquean sobre la base de los
establecimientos del umbral mientras que umbral de encargo en la sección de archivos entrante
de la amenaza de Malware del informe avanzado de la protección de Malware.

● En la página de la configuración global AMP, amplíe los establecimientos del umbral.

● El valor predeterminado del servicio de la nube es 95.
● Elija el botón de radio del valor en aduana Enter y cambie el valor (por ejemplo 70):
 ● El tecleo somete el andCommit sus cambios

Integre el ESA con el AMP para la consola de los puntos finales

(Solamente para el AMP para el cliente de los puntos finales) A unificó la lista negra de encargo
del archivo (o una lista blanca del archivo) se puede crear con el AMP para la consola de los
puntos finales y puede seamlessly distribuir la estrategia de la contención a través de la
arquitectura de seguridad incluyendo el ESA.

● En la página de la configuración global AMP, amplíe las configuraciones avanzadas para la

reputación del archivo
● Haciendo clic el botón – Dispositivo del registro con el AMP para los puntos finales:

● El Haga Click en OK a reorientar al AMP para los puntos finales consuela el sitio para
completar el registro.
● Inicie sesión al AMP para la consola de los puntos finales con su credencial de usuario
● Haga clic Allow que autoriza el registro ESA:

● El AMP para los puntos finales consuela gira automáticamente la página de nuevo al ESA.
● Aseegurese la visualización de estado de registro como ÉXITO:

● El tecleo somete y confía sus cambios

Corrección auto del buzón del permiso (MARCHA)

Si usted tiene los buzones O365 o Microsoft Exchange 2013/2016, la característica auto de la
corrección del buzón (MARCHA) permitirá Paso a seguir cuando el cambio del veredicto de la
reputación del archivo de limpio/del desconocido a malévolo.

● Navegue a las configuraciones de la administración del sistema > de la cuenta

● Bajo perfil de cuenta, el tecleo crea el perfil de cuenta para crear un perfil de la conexión API
con su oficina 365 y/o los buzones del intercambio de Microsoft:
 ● Haga clic someten y confían sus cambios

● El perfil encadenado (opcional) es una colección de perfiles, usted configura solamente el

perfil encadenado cuando las cuentas que se accederán residen a través de diversos
arrendatarios de los diferentes tipos de implementaciones.
● El tecleo crea el botón de la asignación del dominio para asociar su perfil de cuenta con el
dominio receptor. Las configuraciones recomendadas se muestran abajo:

● Haga clic someten y confían sus cambios

Configure la protección avanzada de Malware (AMP) en la

directiva del correo
Una vez que el AMP y MARCHA se han configurado global, usted puede ahora permitir a los
servicios para enviar las directivas. 

● Navegue para enviar las directivas > las directivas del correo entrante

● Personalice las configuraciones avanzadas de la protección de Malware para una directiva
del correo entrante haciendo clic el link azul bajo protección avanzada de Malware para la
directiva que usted desea personalizar.
● Con el propósito de este documento de la mejor práctica, haga clic el botón de radio al
lado de la reputación del archivo del permiso y seleccione el análisis del archivo del permiso:

● Se recomienda para incluir una X-encabezado con el resultado AMP en un mensaje.

● Las tres secciones siguientes permiten que usted seleccione la acción que el ESA debe
realizar si una conexión se considera como Unscannable debido a los mensajes de error,
límite de velocidad o si el servicio AMP no está disponible. La acción recomendada es
entregar como está con el texto amonestador prepended en el tema del mensaje:
● La siguiente sección configurará el ESA para caer el mensaje si una conexión se considera
malévola:

● La acción recomendada es quarantine el mensaje si la conexión se envía para el análisis del

archivo:
 ● (Para la directiva del correo entrante solamente) configure las acciones reparadoras para ser
realizado en el mensaje entregado a los usuarios finales cuando el veredicto de la amenaza
cambia a malévolo. Las configuraciones recomendadas se muestran abajo:

● Haga clic someten y confían sus cambios

Integre el S A con la Respuesta de Cisco ante amenazas (CTR)

La integración de un módulo del correo electrónico S A requiere el uso del intercambio de los
Servicios de seguridad (SSE) vía CTR. SSE permite que un S A se registre con el intercambio y
usted proporciona el permiso explícito para que la Respuesta de Cisco ante amenazas acceda los
dispositivos registrados. El proceso implica el conectar de su S A a SSE vía un token se genere
que cuando usted está listo para conectarlo.

● En CTR el portal (https://visibility.amp.cisco.com), login con sus credenciales de usuario.

● CTR utiliza un módulo para integrar con otros productos de seguridad de Cisco incluyendo el
ESA. Haga clic la lengueta de los módulos.
● Elija los dispositivos y el tecleo maneja los dispositivos:

● CTR girará la página a SSE.

● Haga clic + icono para generar un nuevo token y el tecleo continúa.
● Copie el nuevo token antes de cerrar el cuadro:
 ● En su S A, navegue a las configuraciones del servicio de la lengueta > de la red > de la nube
de los dispositivos de la Administración
● El tecleo edita la configuración y se aseegura la opción de respuesta de la amenaza es
permiso.
● La selección predeterminada para el Servidor de respuesta URL de la amenaza es
AMÉRICAS (api-sse.cisco.com). Para los clientes de EUROPA, haga clic el menú
desplegable y elija EUROPA (api.eu.sse.itd.cisco.com):

● El tecleo somete y confía sus cambios
● Pegue la clave simbólica (que usted ha generado CTR del portal) en los servicios de la nube
que fijan y haga clic el registro:

● Tardará un rato para completar el proceso de inscripción, navega por favor de nuevo a esta
página después de algunos minutos para marcar el estatus otra vez.
● Vuelva a CTR > los módulos > dispositivo y haga clic el botón del dispositivo de la recarga
para aseegurarse el S A es aparecen en la lista:

Conclusión
Este documento apuntó describir el valor por defecto o las configuraciones de la mejor práctica
para Cisco avanzaron la protección de Malware (AMP) en el dispositivo de seguridad del correo
electrónico. La mayor parte de estas configuraciones están disponibles en las directivas entrantes
y salientes del correo electrónico, y la configuración y la filtración se recomiendan en las ambas
direcciones.