Verificare che la reputazione file GTI sia installata e che gli endpoint possano comunicare con il server GTI
Articoli tecnici ID:
KB53733
Ultima modifica: 2023-02-03 08:36:21 Etc/GMT
Ambiente
Endpoint Security (ENS) Prevenzione delle minacce 10.x
reputazione Global Threat Intelligence file (GTI)
VirusScan Enterprise (VSE) 8.x
Riepilogo
È importante assicurarsi che i prodotti siano sempre aggiornati con i contenuti virus più recenti e che gti File Reputation Cloud Service sia configurato correttamente. Inoltre, assicurati che gli endpoint possano comunicare con GTI Cloud Service.
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
29 giugno 2022
La sezione "Verifica connettività GTI-REST" è stata aggiornata con un output di esempio del Curl comando.
30 marzo 2022
Aggiunte le sezioni Espandi tutto/Comprimi tutto.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
ENS for Windows 10.6.1/10.7.0 September 2021 Update e versioni successive utilizzano GTI-REST per impostazione predefinita. La reputazione file GTI richiede che il computer possa comunicare con GTI Cloud Service direttamente tramite Internet o indirettamente utilizzando un server proxy. È fondamentale verificare che gli endpoint possano comunicare con GTI Cloud Service per assicurarsi che questi possano utilizzare i servizi di reputazione GTI. I servizi GTI sono una parte critica dei rilevamenti malware sicurezza.
Utilizzare Curl.exe o PowerShell per verificare se l'endpoint può connettersi al server GTI.
Per verificare con PowerShell se non è disponibile una server proxy, utilizzare il comando seguente:
tnc amcore.rest.gti.mcafee.com -port 443
Se è presente una connessione al server GTI, viene visualizzata una risposta simile alla seguente:
La reputazione file GTI richiede che il computer possa comunicare con il server GTI direttamente utilizzando domain name system (DNS) o indirettamente utilizzando un DNS interno che inoltra la richiesta DNS a mcafee.com. È fondamentale verificare che gli endpoint siano in grado di comunicare con il server GTI per assicurarsi che siano sempre aggiornati. Per ulteriori informazioni, consultare l'articolo KB53782 - Global Threat Intelligence e split Domain Name System (DNS).
Utilizzare nslookupper verificare se l'endpoint può connettersi al server GTI.
Premere Windows+R, digitare cmde fare clic su OK.
Digitare o incollare nslookup sfqpit75pjh525siewar2dtgt5.avts.mcafee.com e premere Invio.
Se è presente una connessione al server GTI, viene visualizzata una risposta simile alla seguente:
ENS 10.6.1/10.7.0 Settembre 2021 Update e versioni successive utilizzano GTI-REST per impostazione predefinita. Per verificare GTI, utilizzare password file Rest-GTI-Artemis-test.zip protetto nella sezione "Allegato" di questo articolo.
NOTE:
Al file viene applicata una .zip password di protezione per assicurarsi che non sia bloccato quando viene inviato utilizzando email. Le password solitamente soddisfano standard di sicurezza più elevati. La password è test_detectione MD5 è 5db32a316f079fe7947100f899d8db86.
Il Rest-GTI-Artmeis-test.exe processo è un programma di test ed è innocuo.
Dopo l'estrazione Rest-GTI-Artemis-test.exe, è possibile eseguire il file per attivare una scansione all'accesso (OAS) su questo file. L'esempio contiene un rilevamento di test che attiva un rilevamento solo se la reputazione file GTI che utilizza REST è attiva e funzionante. Il nome rilevamento Artemis!5DB32A316F07viene visualizzato nella evento di minaccia.
Per verificare GTI, utilizzare password file ArtemisTest.zipprotetto nella sezione "Allegato" di questo articolo.
NOTE:
Al file viene applicata una .zip password di protezione per assicurarsi che non sia bloccato quando viene inviato utilizzando email. Le password solitamente soddisfano standard di sicurezza più elevati. La password è password.
Il ArtemisTest.exe processo è un programma di test ed è innocuo.
Dopo l'estrazione ArtemisTest.exe, è possibile eseguire un test di OAS e un test di scansione su richiesta (ODS) su questo file.
Test OAS
Assicurarsi che il prodotto di protezione endpoint (ENS o VSE) sia in esecuzione.
Aprire Esplora risorse e passare alla cartella contenente l'utilità di test.
Per avviare il programma, fare doppio clic su ArtemisTest.exe. Se la reputazione file GTI è attivata, ENS o VSE elimina il file o nega l'accesso e ne impedisce l'esecuzione. L'azione intrapresa dipende dalla configurazione.
Verificare il contenuto del client DNS tramite la riga di comando e verificare se il file di test viene passato al server GTI.
Per eseguire nuovamente il test OAS, fare doppio clic su ArtemisTest.exe.
Al prompt dei comandi, digitare ipconfig /displaydnse premere Invio. Questo comando mostra tutte le query DNS recenti eseguite sul computer, incluse quelle effettuate dalla reputazione file GTI. Le query di reputazione file GTI si eserdono su sottodomini di avqs.mcafee.com o avts.mcafee.com.
Test ODS
NOTA: Per evitare un rilevamento OAS, escludere il file o la directory o disattivare temporaneamente la funzionalità OAS.
Assicurarsi che il prodotto di protezione endpoint (ENS o VSE) sia in esecuzione.
Aprire Esplora risorse e passare alla cartella contenente l'utilità di test.
Fare clic con il pulsante destro del mouse sulla cartella o avviare un ODS tramite la console per ENS o VSE. Se GTI funziona correttamente, la finestra On-Access Scan Messages di dialogo (simile a quella riportata di seguito) segnala che è ArtemisTest.exe stata rilevata. A seconda delle impostazioni, il file di prova viene eliminato e messo in quarantena come malware.
Messaggi OAS
Messaggio
Avviso di VirusScan!
Nome
x:\path\Artemistest.exe
Rilevato come
Artemis5DB32A316F07
Stato
Eliminato
Per verificare GTI, utilizzare password ArtemisPDF_test.pdffile protetto nella sezione "Allegato" di questo articolo.
NOTE:
Al file viene applicata una .zip password di protezione per assicurarsi che non sia bloccato quando viene inviato utilizzando email. Le password solitamente soddisfano standard di sicurezza più elevati. La password è password.
Il ArtemisPDF_test processo è un programma di test ed è innocuo.
Per fare in modo che le ricerche GTI sui file PDF avvengano, è necessario che siano soddisfatte le seguenti condizioni:
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.