脅威分析のために事前にロードされた動作指標に基づいてファイルの静的および動的分析を自動化するプロセスを、高度なサンドボックスと呼びます。高度なサンドボックスは、疑わしいファイルやURLの動作を分析するクラウドベースまたはオンプレミスソリューションであるCisco Secure Malware Analytics（Threat Grid）の機能です。高度なサンドボックスは、静的分析と動的分析の手法を組み合わせて、レジストリの変更、ネットワーク接続、ファイルの変更、プロセスインジェクションなど、700を超える動作指標に基づいてファイルを検査します。これらの指標は、ステルス性の高い高度な脅威を発見し、セキュリティチームに詳細なレポートと実用的なインテリジェンスを提供します。
高度なサンドボックスは、AMP、Firepower、E メール セキュリティなどの他のシスコ セキュリティ製品とも統合され、ネットワーク全体で包括的なマルウェア防御を提供します。高度なサンドボックスは、ディープ ビジビリティ スキャン、ポイントインタイム チェック、高度なスキャンなど、Cisco Secure Malware Analytics の特定のプロセスや機能ではない他のオプションとは異なります。ディープ ビジビリティ スキャンは、ネットワーク トラフィックとファイルを検査して悪意のあるアクティビティを検出する機能を指す総称です。ポイントインタイム チェックは、特定の瞬間にマルウェアを検出する定期的なスキャンですが、継続的な分析や遡及的なセキュリティは提供しません。高度なスキャンもまた、ヒューリスティック分析、機械学習、動作分析など、基本的なシグネチャベースの検出を超えるスキャン手法を指す総称です。参考資料:= 考えられる参考資料には、次のようなものがあります。
* シスコ セキュア マルウェア分析 (Threat Grid)
* マルウェア防御 - Cisco AMP 高度なマルウェア防御
* Cisco セキュア マルウェア分析データシート

Cisco Umbrella ルートCAをユーザーのデバイスにインストールすることで、エンドユーザーに警告することなくトラフィックを検査するという目標を達成できます。これは、ルートCAによって、ユーザーのデバイスがCisco Umbrellaインテリジェントプロキシ（UmbrellaのグレーリストにあるSSLサイトに対して中間者攻撃として機能する）によって発行された証明書を信頼できるようになるためです。ルートCAがない場合、ユーザーのブラウザは信頼できない証明書を検出し、これらのサイトにアクセスする際にエラーを表示します。ルートCAをインストールすることで、ユーザーのブラウザは証明書を受け入れ、トラフィックをインテリジェントプロキシによってプロキシおよび検査できるようになります。参考資料：
* SSL復号化を有効にする - Umbrellaユーザーガイド
* インテリジェントプロキシにおける SSL 復号化 - Cisco Umbrella
* Cisco Umbrella インテリジェント プロキシと SSL 復号化
* Cisco Umbrella によるインテリジェント プロキシと SSL 復号化

説明

Cisco Advanced Phishing Protection は、送信者認証と BEC 検出機能を提供します。高度な機械学習技術、リアルタイムの行動分析、関係モデリング、テレメトリを活用し、ID 偽装を狙った脅威から保護します。

説明 説明 送信メッセージで DLP 違反の可能性があることがアプライアンスによって検出された場合に実行されるプライマリ アクションとセカンダリ アクションを指定します。 違反の種類と重大度に応じて異なるアクションを割り当てることができます。 プライマリ アクションには次のものが含まれます。 - 配信 - ドロップ - 隔離 セカンダリ アクションには次のものが含まれます。 - メッセージを配信することを選択した場合は、コピーをポリシー隔離エリアに送信します。コピーは、メッセージ ID を含め、元のメッセージの完全な複製です。コピーを隔離すると、DLP 違反を監視する別の方法を提供できるほか、導入前に DLP システムをテストできます。コピーを隔離エリアから解放すると、アプライアンスは、元のメッセージをすでに受信している受信者にコピーを配信します。 - メッセージの暗号化。アプライアンスは、メッセージ本文のみを暗号化します。メッセージ ヘッダーは暗号化しません。 - DLP 違反を含むメッセージの件名ヘッダーを変更します。 - メッセージに免責事項テキストを追加します。 - メッセージを代替の送信先メールホストに送信します（例えば、重大なDLP違反を含むメッセージをコンプライアンス担当者のメールボックスにコピーして調査することができます。） - 送信者、またはマネージャやDLPコンプライアンス担当者などの連絡先にDLP違反通知メッセージを送信します。参考：https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/ b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_010001.html 説明 アプライアンスが送信メッセージでDLP違反の可能性を検出した場合に実行するプライマリアクションとセカンダリアクションを指定します。違反の種類と重大度に応じて異なるアクションを割り当てることができます。
主なアクションは次のとおりです。
- 届ける
- 落とす
- 検疫
二次アクションには次のものが含まれます。
- メッセージを配信することを選択した場合、コピーをポリシー隔離エリアに送信します。コピーは、メッセージIDを含め、元のメッセージの完全な複製です。コピーを隔離することで、導入前にDLPシステムをテストできるだけでなく、DLP違反を監視する別の方法も得られます。隔離エリアからコピーを解放すると、アプライアンスはコピーを受信者に配信します。受信者は既に元のメッセージを受信して​​います。
- メッセージの暗号化。アプライアンスはメッセージ本文のみを暗号化します。メッセージヘッダーは暗号化しません。
- DLP 違反を含むメッセージの件名ヘッダーを変更する。
- メッセージに免責事項のテキストを追加します。
- 代替の宛先メールホストにメッセージを送信します。
- メッセージのコピー（BCC）を他の受信者に送信する。（たとえば、重大な DLP 違反を含むメッセージをコンプライアンス担当者のメールボックスにコピーして調査することができます。）
- DLP 違反通知メッセージを送信者または他の連絡先 (マネージャーや DLP コンプライアンス担当者など) に送信します。
参照：
説明 説明 送信メッセージで DLP 違反の可能性があることがアプライアンスによって検出された場合に実行されるプライマリ アクションとセカンダリ アクションを指定します。 違反の種類と重大度に応じて異なるアクションを割り当てることができます。 プライマリ アクションには次のものが含まれます。 - 配信 - ドロップ - 隔離 セカンダリ アクションには次のものが含まれます。 - メッセージを配信することを選択した場合は、コピーをポリシー隔離エリアに送信します。コピーは、メッセージ ID を含め、元のメッセージの完全な複製です。コピーを隔離すると、DLP 違反を監視する別の方法を提供できるほか、導入前に DLP システムをテストできます。コピーを隔離エリアから解放すると、アプライアンスは、元のメッセージをすでに受信している受信者にコピーを配信します。 - メッセージの暗号化。アプライアンスは、メッセージ本文のみを暗号化します。メッセージ ヘッダーは暗号化しません。 - DLP 違反を含むメッセージの件名ヘッダーを変更します。 - メッセージに免責事項テキストを追加します。 - メッセージを代替の送信先メールホストに送信します（例えば、重大なDLP違反を含むメッセージをコンプライアンス担当者のメールボックスにコピーして調査してもらうことができます。） - 送信者、またはマネージャーやDLPコンプライアンス担当者などの連絡先にDLP違反通知メッセージを送信します。参考：https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/ b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_010001.html