En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Prevención de amenazas 10.x Endpoint Security (ENS)
Reputación de archivos de Global Threat Intelligence (GTI)
VirusScan Enterprise (VSE) 8.x
Resumen
Es importante asegurarse de que sus productos sigan estando actualizados con el contenido de virus más reciente y de que el servicio en la nube de reputación de archivos de GTI esté configurado correctamente. Además, asegúrese de que los endpoints se puedan comunicar con el servicio en la nube de GTI.
Actualizaciones recientes de este artículo
Fecha
Actualización
29 de junio de 2022
Se ha actualizado la sección "prueba GTI-Rest Connectivity" con un ejemplo de salida del Curl comando.
30 de marzo de 2022
Se han agregado todas las secciones expandir todo/contraer.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Contenido
Haga clic para expandir la sección que desee ver:
ENS para Windows 10.6.1 / 10.7.0 actualización 2021 de septiembre y posterior utilice GTI-REST de forma predeterminada. La reputación de archivos de GTI requiere que el equipo se pueda comunicar con el servicio en la nube de GTI directamente mediante Internet o indirectamente mediante un servidor de proxy. Es fundamental comprobar que los endpoints se puedan comunicar con el servicio de nube de GTI para asegurarse de que el Endpoint pueda usar los servicios de reputación de GTI. Los servicios de GTI son una parte fundamental de las detecciones de malware.
Use Curl.exe o PowerShell para verificar si el Endpoint puede conectarse al servidor de GTI .
Para probar con PowerShell si no hay un servidor de proxy, utilice el siguiente comando:
tnc amcore.rest.gti.mcafee.com -port 443
Verá una respuesta similar a la siguiente si hay conectividad con el servidor de GTI:
La reputación de archivos de GTI requiere que el equipo se pueda comunicar con el servidor de GTI directamente mediante el sistema de nombres de dominio (DNS) o de forma indirecta mediante un DNS interno que reenvía la solicitud mcafee.com DNS. Es vital comprobar que los endpoints se puedan comunicar con el servidor de GTI para asegurarse de que el Endpoint permanece actualizado. Para obtener más información, consulte KB53782-Global Threat Intelligence y Split Domain Name System (DNS).
Utilice nslookup esta para comprobar si el Endpoint puede conectarse al servidor de GTI .
Pulse Windows + R, escriba cmd y haga clic en Aceptar.
Escriba o pegue nslookup sfqpit75pjh525siewar2dtgt5.avts.mcafee.com y pulse Intro.
Verá una respuesta similar a la siguiente si hay conectividad con el servidor de GTI:
ENS 10.6.1 / 10.7.0 actualización 2021 de septiembre y, a continuación, utilice GTI-REST de forma predeterminada. Para probar GTI, utilice el archivo protegido Rest-GTI-Artemis-test.zip con contraseña en la sección "Attachment" de este artículo.
NOTAS:
La .zip protección con contraseña se aplica al archivo para asegurarse de que no se bloquea cuando se envía por correo electrónico. Las contraseñas suelen cumplir los estándares de seguridad más altos. La contraseña es test_detection y el MD5 es 5db32a316f079fe7947100f899d8db86 .
El Rest-GTI-Artmeis-test.exe proceso es un programa de prueba y es inofensivo.
Después de extraer Rest-GTI-Artemis-test.exe , puede ejecutar el archivo para activar un análisis en tiempo real (OAS) en este archivo. El ejemplo contiene una detección de prueba que solo activa una detección si la reputación de archivos de GTI con REST está activada y en funcionamiento. El nombre de detección Artemis!5DB32A316F07aparece en el evento de amenaza.
Para probar GTI, utilice el archivo protegido ArtemisTest.zip con contraseña en la sección "Attachment" de este artículo.
NOTAS:
La .zip protección con contraseña se aplica al archivo para asegurarse de que no se bloquea cuando se envía por correo electrónico. Las contraseñas suelen cumplir los estándares de seguridad más altos. La contraseña es password .
El ArtemisTest.exe proceso es un programa de prueba y es inofensivo.
Después de extraer ArtemisTest.exe , puede ejecutar una prueba de analizador de análisis bajo demanda (ODS, on-demand scan) en este archivo.
Prueba de OAS
Asegúrese de que el producto de Endpoint Protection (ENS o VSE) se esté ejecutando.
Abra Windows Explorer y vaya a la carpeta que contiene la utilidad de prueba.
Para iniciar el programa, haga doble clic en ArtemisTest.exe . Si la reputación de archivos de GTI está activada, ENS o VSE elimina el archivo o deniega el acceso e impide que se ejecute el archivo. (La acción realizada depende de la configuración.)
Verifique el contenido del cliente DNS a través de la línea de comandos y compruebe si el archivo de prueba se ha transmitido al servidor de GTI.
Para llevar a cabo la prueba del analizador de rendimiento de nuevo, haga doble clic ArtemisTest.exe .
En la línea de comandos, escriba ipconfig /displaydns y pulse Intro. Este comando muestra todas las consultas de DNS recientes realizadas en el equipo, incluidas las consultas que realiza la reputación de archivos de GTI. Las consultas de reputación de archivos de GTI se encuentran en subdominios de avqs.mcafee.com o avts.mcafee.com .
Prueba de bajo demanda
NOTA: Para evitar la detección de OAS, excluya el archivo o el directorio, o bien desactive temporalmente el OAS.
Asegúrese de que el producto de Endpoint Protection (ENS o VSE) se esté ejecutando.
Abra Windows Explorer y vaya a la carpeta que contiene la utilidad de prueba.
Haga clic con el botón derecho del ratón en la carpeta o inicie un ODS a través de la consola de ENS o VSE. Si GTI funciona correctamente, el cuadro de diálogo (similar al siguiente) informa de los On-Access Scan Messages informes que ArtemisTest.exe se detectan. En función de la configuración, el archivo de prueba se elimina y se pone en cuarentena como malware.
Mensajes de OAS
Mensaje
Alerta de VirusScan.
Nombre
x:\path\Artemistest.exe
Detectado como
Artemis5DB32A316F07
Estado
Eliminado
Para probar GTI, utilice el archivo protegido ArtemisPDF_test.pdf con contraseña en la sección "datos adjuntos" de este artículo.
NOTAS:
La .zip protección con contraseña se aplica al archivo para asegurarse de que no se bloquea cuando se envía por correo electrónico. Las contraseñas suelen cumplir los estándares de seguridad más altos. La contraseña es password .
El ArtemisPDF_test proceso es un programa de prueba y es inofensivo.
Para que se produzcan las búsquedas de GTI en archivos PDF, deben cumplirse las siguientes condiciones:
Las búsquedas se limitan a los archivos PDF que se leen o se escriben en el disco mediante el navegador web o el cliente de correo electrónico.
Información relacionada
Para obtener una lista de las URL de ENS empleadas para realizar comunicación remota, incluido GTI, consulte KB93324-URL de comunicaciónremota de Endpoint Security.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.