Cisco Cisco Email Security Appliance C190 User Guide

Page of 1196
 
14-7
Cisco AsyncOS 9.1 for Email 사용 설명서
 
14      신종 바이러스 필터(Outbreak Filter)
  신종 바이러스 필터(Outbreak Filter) 작동 원리
메시지 URL
파일 이름 및 Sophos IDE
적응 규칙
적응 규칙은 메시지 특성과 알려진 신종 바이러스 메시지의 특성을 정확하게 비교하는 CASE 내의 
규칙 집합입니다. 이러한 규칙은 광범위한 바이러스 데이터 내에서 알려진 위협 메시지와 알려진 
양호한 메시지를 연구한 후에 생성되었습니다. 적응 규칙은 데이터 평가 시에 종종 업데이트됩니
다. 적응 규칙은 기존 신종 바이러스 규칙을 보완하여 항상 신종 바이러스 메시지를 탐지하도록 도
와줍니다. 신종 바이러스 규칙은 가능한 신종 바이러스가 발생할 경우에 적용되는 반면, 적응 규칙
은 일단 활성화되면 항상 "활성화된 상태"로 유지되어 전역적으로 완전한 이상 현상이 발생하기 
전에 로컬에서 신종 바이러스 메시지를 포착합니다. 또한 적응 규칙은 이메일 트래픽 및 구조의 사
소하고 미묘한 변화에 지속적으로 대응하여 고객에게 업데이트된 보호를 제공합니다.
신종 바이러스
신종 바이러스 필터(Outbreak Filter) 규칙은 기본적으로 이메일 메시지 및 첨부 파일의 특성 집합(파
일 크기, 파일 유형, 파일 이름, 메시지 내용 등)과 관련된 위협 수준(예: 4)입니다. 예를 들어, Cisco 
SIO에서 크기가 143킬로바이트인 .exe 첨부 파일을 포함한 의심스러운 이메일 메시지의 발생이 증
가하고 있으며 그러한 파일 이름에 특정한 키워드(예: "hello")가 포함되어 있다는 알림을 보낸다고 
가정해 보겠습니다. 이 기준에 맞춰 메시지의 위협 수준을 높이는 신종 바이러스 규칙이 게시됩니
다. 어플라이언스에서 기본적으로 5분마다 새로 게시된 신종 바이러스 및 적응 규칙을 확인하고 다
운로드합니다(
 참조). 적응 규칙은 
신종 바이러스 규칙보다 더 낮은 빈도로 업데이트됩니다. 사용자가 어플라이언스에서 의심스러운 
메시지 격리에 대한 임계값을 설정합니다. 메시지의 위협 수준이 격리 임계값과 같거나 그보다 높
을 경우 메시지가 신종 바이러스 격리 영역으로 전송됩니다. 사용자는 또한 비 바이러스 위협 메시
지 수정에 대한 임계값을 설정하여 의심스러운 메시지에서 발견된 모든 URL을 재작성하거나 메시
지 본문 위에 알림을 추가할 수 있습니다.
위협 수준
에는 다양한 각 수준에 대한 기본적인 지침 또는 정의 집합이 나와 있습니다.
14-1
위협
 
수준
 
정의
 
수준
최소화
의미
0
없음
메시지가 위협일 위험이 없습니다.
1
적음
메시지가 위협일 위험이 낮습니다.
2
낮음/중간
메시지가 위협일 위험이 낮거나 중간입니다. "의심스러운" 위협입
니다.
3
중간
메시지가 확인된 신종 바이러스의 일부이거나 메시지 내용이 위협
일 위험이 중간에서 높음입니다.
4
높음
메시지가 대규모 신종 바이러스의 일부임이 확인되었거나 메시지 
내용이 매우 위험합니다.
5
극히 높음
메시지의 내용이 거대 규모 또는 대규모 신종 바이러스의 일부임이 
확인되었으며 극히 위험합니다.