Product SiteDocumentation Site

5.4.5. Filter Policies: sensores Mail Gateway

Para acceder a la creación o edición de las Filter Policies el usuario tiene dos vías diferentes:
  1. Total de Filter Policies creadas para el sensor root: Sensors -> Options -> Filter Policies
  2. Filter Policies para un sensor concreto: Sensors -> icono "Editar" de cada uno de los sensores -> Filter Policies
Listado de Filter Policies para el sensor root
En ambos casos el usuario accede a una interfaz en la que visualiza un listado con todas las Filter Policies que han sido creadas para ese sensor. La política que se encuentra activa (asignada) aparecerá sombreada en color verde.
Para asignar una política a un sensor hacer clic en el botón Assign. Para aplicar la política asignada al sensor seleccionar la opción Apply.
Para desasignar una política seleccionar la opción Clear.
Listado de Filter Policies para un sensor Mail Gateway

5.4.5.1. Creación de una nueva Filter Policy

Una vez que se ha accedido a la interfaz de Filter Policies para crear una nueva política basta con seleccionar la opción +New Policy. El usuario deberá indicar al menos un nombre para la nueva política y de modo opcional, insertar una descripción.
A continuación deberá indicar las reglas que se incluyen en esta política. El procedimiento variará según se quiera aplicar la política a nivel de Hash, URL o IP.
Para definir las reglas de la política basta con hacer clic sobre la política que se desea modificar o bien mediante el icono "Editar".
Crear una nueva Filter Policy
La interfaz de edición de las Filter Policies consta de dos apartados: Edit Filter Policy y Threshold Configuration. En ambos apartados el usuario puede editar la siguiente información:
  • Name
  • Description
  • Caché query method: el usuario debe indicar el tipo de consultas que desea que se realicen a la caché.
  • Apply Filter Policy for: seleccionar el tipo de objeto a analizar.
  • Score to consider element as Malware: indicar el score a partir del cual un objeto es considerado Malware.
  • Drop files that exceed this size (MB) (este campo solo se encuentra habilitado en el caso de que se haya seleccionado aplicar la política para Hash): indicar el tamaño máximo de los ficheros a partir del cual serán bloqueados por el sistema.

Configuración recomendada

Caché query method: Local+API
Apply Filter Policy for: se recomienda seleccionar los tres tipos de objetos (Hash, URL e IP).
File Rules
En el caso de que se haya activado en el campo Apply Filter Policy for: la casilla correspondiente a Hash se desplegará un nuevo apartado en el margen inferior: File Rules.
Filter Policies: File Rules
En este apartado se muestra un listado del tipo de ficheros sobre los que se pueden realizar acciones. Las acciones disponibles son:
  • Filter
  • Drop (bloqueo)
  • Pass
Para aplicar la nueva configuración seleccionar la opción Save.