Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Vérifier que la réputation des fichiers GTI est installée et que les terminaux peuvent communiquer avec le serveur GTI
Articles techniques ID:
KB53733
Date de la dernière modification : 2023-02-03 08:36:19 Etc/GMT
Environnement
Prévention contre les menaces Endpoint Security 10.x (ENS)
Réputation des fichiers Global Threat Intelligence (GTI)
VirusScan Enterprise (VSE) 8.x
Synthèse
Il est important de s’assurer que vos produits restent à jour avec le contenu de virus le plus récent et que le service de cloud de réputation des fichiers de GTI est correctement configuré. De plus, assurez-vous que les postes clients peuvent communiquer avec le service de cloud GTI.
Mises à jour récentes de cet article
Date
Mise à jour
lundi 29 juin 2022
Mise à jour de la section « Tester la connectivité GTI-REST » avec un exemple de sortie de la Curl commande.
30 mars 2022
Ajout des sections Tout développer/Réduire toutes.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Contenu
Cliquez pour développer la section à afficher:
ENS pour Windows 10.6.1/10.7.0 Septembre 2021 Mise à jour et versions ultérieures utilisent GTI-REST par défaut. La réputation des fichiers de GTI exige que l’ordinateur puisse communiquer avec le service de cloud GTI, soit directement via Internet, soit indirectement à l’aide d’une serveur proxy. Il est essentiel de vérifier que les terminaux peuvent communiquer avec le service de cloud GTI pour s’assurer qu’ils peuvent utiliser les services de réputation GTI. Les services GTI constituent un élément essentiel des détections de logiciel malveillant.
Utilisez Curl.exeou PowerShell pour vérifier si le terminal peut se connecter au serveur GTI.
Pour effectuer un test avec PowerShell en l’absence de serveur proxy, utilisez la commande suivante:
tnc amcore.rest.gti.mcafee.com -port 443
Une réponse du type suivant s’affiche en cas de connectivité au serveur GTI:
La réputation des fichiers de GTI exige que l’ordinateur puisse communiquer avec le serveur GTI directement à l’aide du système de noms de domaine (DNS) ou indirectement à l’aide d’un DNS interne qui transfère la demande DNS à mcafee.com. Il est essentiel de vérifier que les terminaux peuvent communiquer avec le serveur GTI pour s’assurer que ce dernier reste à jour. Pour plus d’informations, voir l’article KB53782 - Global Threat Intelligence et split Domain Name System (DNS).
Permet nslookupde vérifier si le poste client peut se connecter au serveur GTI.
Appuyez sur Windows+R, saisissez cmd, puis cliquez sur OK.
Saisissez ou collez nslookup sfqpit75pjh525siewar2dtgt5.avts.mcafee.com et appuyez sur Entrée.
Une réponse du type suivant s’affiche en cas de connectivité au serveur GTI:
ENS 10.6.1/10.7.0 Mise à jour de septembre 2021 et versions ultérieures utilisent GTI-REST par défaut. Pour tester GTI, utilisez le fichier protégé par Rest-GTI-Artemis-test.zip mot de passe dans la section « Pièce jointe » de cet article.
REMARQUES :
Une protection par mot de passe est appliquée au .zip fichier pour vous assurer qu’il n’est pas bloqué lors de son envoi par e-mail. Les mots de passe respectent normalement des normes de sécurité plus élevées. Le mot de passe est test_detectionet le MD5 est 5db32a316f079fe7947100f899d8db86.
Il s’agit Rest-GTI-Artmeis-test.exe d’un programme de test ne contenant aucun risque.
Une fois extrait Rest-GTI-Artemis-test.exe, vous pouvez exécuter le fichier pour déclencher une analyse à l'accès (OAS) sur ce fichier. L’échantillon contient un test de détection qui déclenche une détection uniquement si la réputation des fichiers du système GTI utilisant REST est activée et fonctionne. Nom de détection Artemis!5DB32A316F07s’affiche dans l’événement de menace.
Pour tester GTI, utilisez le fichier protégé par ArtemisTest.zipmot de passe dans la section « Pièce jointe » de cet article.
REMARQUES :
Une protection par mot de passe est appliquée au .zip fichier pour vous assurer qu’il n’est pas bloqué lors de son envoi par e-mail. Les mots de passe respectent normalement des normes de sécurité plus élevées. Le mot de passe est password.
Il s’agit ArtemisTest.exe d’un programme de test ne contenant aucun risque.
Après l’extraction ArtemisTest.exe, vous pouvez exécuter un test OAS et un test de analyse à la demande (ODS) sur ce fichier.
Test de l’analyse à l'
Vérifiez que votre produit de protection des postes clients (ENS ou VSE) est en cours d’exécution.
Ouvrez l'Explorateur Windows et accédez au dossier contenant l’utilitaire de test.
Pour démarrer le programme, double-cliquez sur ArtemisTest.exe. Si la réputation des fichiers GTI est activée, ENS ou VSE supprime le fichier ou refuse l’accès et empêche l’exécution du fichier. (L’action entreprise dépend de la configuration.)
Vérifiez le contenu du client DNS via la ligne de commande et vérifiez si le fichier de test est transmis au serveur GTI.
Pour effectuer à nouveau le test d’analyse à l’accès, double-cliquez sur ArtemisTest.exe.
A l’invite de commande, saisissez ipconfig /displaydnset appuyez sur Entrée. Cette commande affiche toutes les requêtes DNS récentes effectuées sur l’ordinateur, y compris les requêtes effectuées par la réputation des fichiers GTI. Les requêtes de réputation des fichiers du système GTI se trouvent sur les sous-domaines d’ou avqs.mcafee.comavts.mcafee.com.
Test de l’analyse à la demande
REMARQUE : Pour éviter toute détection de l’analyse à l’accès, excluez le fichier ou le répertoire ou désactivez temporairement l’analyse à l’accès.
Vérifiez que votre produit de protection des postes clients (ENS ou VSE) est en cours d’exécution.
Ouvrez l'Explorateur Windows et accédez au dossier contenant l’utilitaire de test.
Cliquez avec le bouton droit de la souris sur le dossier ou démarrez une analyse à la demande via la console pour ENS ou VSE. Si GTI fonctionne correctement, la On-Access Scan Messages boîte de dialogue (similaire à ci-dessous) signale la ArtemisTest.exe détection. Selon vos paramètres, le fichier test est supprimé et mis en quarantaine en tant que logiciel malveillant.
OAS Messages
Message
Alerte VirusScan !
Nom
x:\path\Artemistest.exe
Détecté en tant que
Artemis5DB32A316F07
Etat
Supprimé
Pour tester GTI, utilisez le fichier protégé par ArtemisPDF_test.pdfmot de passe dans la section « Pièce jointe » de cet article.
REMARQUES :
Une protection par mot de passe est appliquée au .zip fichier pour vous assurer qu’il n’est pas bloqué lors de son envoi par e-mail. Les mots de passe respectent normalement des normes de sécurité plus élevées. Le mot de passe est password.
Il s’agit ArtemisPDF_test d’un programme de test ne contenant aucun risque.
Pour que des recherches GTI sur des fichiers PDF se produisent, les conditions suivantes doivent être remplies:
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.