はじめに
このドキュメントでは、高度なマルウェア防御(AMP)を使用する際に、Eメールセキュリティアプライアンス(ESA)でUpload Limit Reachedアラートを識別して解決する方法について説明します。
前提条件
要件
次の項目に関する基本的な知識が推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ESAでAMP機能を有効にすると、次の主な機能のいずれかまたは両方が実行されます。
ファイル分析中に、サンドボックスと分析のために特定の添付ファイルがThreatGridにアップロードされます。
「Upload Limit Reached」アラートについて
メッセージトラッキングでは、アップロード制限に達したためにAMPがスキャンしていない電子メールを表示できます。
例
02 Dec 2019 14:11:36 (GMT +01:00) Message 12345 is unscannable by Advanced Malware Protection engine. Reason: Upload Limit Reached
新しいThreatGridサンプル制限モデルでは、これらの制限は、デバイスがファイル分析用に組織ごとにアップロードできるサンプル数です。すべての統合デバイス(WSA、ESA、CES、FMCなど)とエンドポイント向けAMPには、デバイスの数に関係なく、1日あたり200件のサンプルを扱う権利があります。
注:このカウンタは毎日リセットされるのではなく、24時間ロールオーバー期間として機能します。
例
4つのESAで構成され、サンプルのアップロード制限が200に設定されているクラスタでは、ESA1が現在10:00に80サンプルをアップロードした場合、4つのESA(共有制限)の間では、今日の10:01から明日の10:00まで、最初の80スロットが解放される時点で120サンプルしかアップロードできません。
過去24時間にESAがアップロードしたサンプル数を確認する方法
ESA: Monitor >> AMP File Analysisレポートに移動し、Files Uploaded for Analysisセクションを確認します。
SMA:Email >> Reporting >> AMP File Analysisレポートに移動し、Files Uploaded for Analysisセクションを確認します。
注:AMPファイル分析レポートに正確なデータが表示されない場合は、『ユーザガイド』の「クラウドのファイル分析の詳細が不完全である」を参照してください。
警告:詳細については、Cisco Bug ID CSCvm10813を参照してください。
あるいは、CLIからgrepコマンドを実行して、アップロードされたファイルの数をカウントすることもできます。これは、各アプライアンスで実行する必要があります。
例
grep "Dec 20.*File uploaded for analysis" amp -c
grep "Dec 21.*File uploaded for analysis" amp -c
PCREの正規表現を使用して日付と時刻を照合できます。
アップロードの制限を延長する方法
シスコ内のアカウントマネージャまたはセールスエンジニアに連絡します。
関連情報
フィードバック