A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Endpoint Security (ENS) Prevenção contra ameaças 10.x
reputação Global Threat Intelligence de arquivos do (GTI)
VirusScan Enterprise (VSE) 8.x
Resumo
É importante garantir que seus produtos permaneçam atualizados com o conteúdo de vírus mais recente e que o GTI File Reputation Cloud Service está configurado corretamente. Além disso, certifique-se de que os pontos de extremidade possam se comunicar com o GTI Cloud Service.
Atualizações recentes deste artigo
Data
Atualização
29 de junho de 2022
O comando "Testar conectividade GTI-REST" seção com um exemplo de saída do Curl comando.
30 de março de 2022
Expandir tudo/Fechar todas as seções adicionadas.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Conteúdo
Clique para expandir as seção que deseja exibir:
A atualização de Windows 10.6.1/10.7.0 setembro de 2021 do ENS e posterior usa o GTI-REST por padrão. A Reputação de arquivos do GTI requer que o computador possa se comunicar com o GTI Cloud Service diretamente usando a internet ou indiretamente usando um servidor proxy. É essencial verificar se os pontos de extremidade podem se comunicar com o GTI Cloud Service para garantir que o ponto de extremidade possa usar os serviços de reputação do GTI. Os serviços do GTI são uma parte essencial das malware detecções.
Use Curl.exe ou PowerShell para verificar se o ponto de extremidade pode se conectar ao servidor GTI.
Para testar com o PowerShell se não houver um servidor proxy, use o seguinte comando:
tnc AMCore.rest.gti.mcafee.com -port 443
Você verá uma resposta semelhante à seguinte se houver conectividade com o servidor GTI:
A Reputação de arquivos do GTI requer que o computador possa se comunicar com o servidor GTI diretamente usando o domínio Nome sistema (DNS) ou indiretamente usando um DNS interno que encaminha a solicitação DNS para mcafee.com. É essencial verificar se os pontos de extremidade podem se comunicar com o servidor GTI para garantir que o ponto de extremidade permaneça atualizado. Para obter mais informações, consulte o KB53782 - Global Threat Intelligence domínio Nome sistema (DNS) dividido.
Use nslookupo para verificar se o ponto de extremidade pode se conectar ao servidor GTI.
Pressione Windows+R, digite cmde clique em OK.
Digite ou colar e nslookup sfqpit75pjh525siewar2dtgt5.avts.mcafee.com pressione Enter.
Você verá uma resposta semelhante à seguinte se houver conectividade com o servidor GTI:
Atualização do ENS 10.6.1/10.7.0 setembro de 2021 e posterior utiliza o GTI-REST por padrão. Para testar o GTI, use Rest-GTI-Artemis-test.zip o arquivo protegido por senha na guia "Anexo" seção deste artigo.
NOTAS:
A proteção por senha é aplicada ao .zip arquivo para garantir que ela não seja bloqueada quando enviada usando e-mail. As senhas normalmente atendem a padrões de segurança mais altos. A senha é test_detectione o MD5 é 5db32a316f079fe7947100f899d8db86.
O Rest-GTI-Artmeis-test.exe processo é um programa de teste e é inofensivo.
Depois de extrair Rest-GTI-Artemis-test.exe, você pode executar o arquivo para disparar uma varredura ao acessar (OAS) neste arquivo. A amostra contém uma detecção de teste que só dispara uma detecção se a Reputação de arquivos do GTI usando REST estiver ativada e funcionando. O nome da detecção Artemis!5DB32A316F07aparece na evento de ameaça.
Para testar o GTI, use o ArtemisTest.ziparquivo protegido por senha na guia "seção Anexo" deste artigo.
NOTAS:
A proteção por senha é aplicada ao .zip arquivo para garantir que ela não seja bloqueada quando enviada usando e-mail. As senhas normalmente atendem a padrões de segurança mais altos. A senha é password.
O ArtemisTest.exe processo é um programa de teste e é inofensivo.
Depois de extrair ArtemisTest.exeo, você pode executar um teste de OAS e um teste varredura por solicitação de varredura por solicitação (ODS) neste arquivo.
Teste do OAS
Verifique se produto de proteção de ponto de extremidade (ENS ou VSE) está em execução.
Abra Windows Explorer e navegue até a pasta que contém o utilitário de teste.
Para iniciar o programa, clique duas vezes ArtemisTest.exeem . Se a Reputação de arquivos do GTI estiver ativada, o ENS ou o VSE excluirá o arquivo ou negará acesso e impedirá que o arquivo seja executado. (A ação realizada depende da configuração.)
Verifique o conteúdo cliente DNS por meio da linha de comando e verifique se o arquivo de teste foi passado para o servidor GTI.
Para executar o teste do OAS novamente, clique duas vezes ArtemisTest.exeem .
No prompt de comando, digite ipconfig /displaydns e pressione Enter. Este comando mostra todas as consultas DNS recentes feitas no computador, incluindo as consultas feitas pela Reputação de arquivos do GTI. As consultas da Reputação de arquivos do GTI estão em sub-vírgulas ou avqs.mcafee.comavts.mcafee.com.
Teste do ODS
NOTA: Para evitar uma detecção de OAS, exclua o arquivo ou de ou desative temporariamente o OAS.
Verifique se produto de proteção de ponto de extremidade (ENS ou VSE) está em execução.
Abra Windows Explorer e navegue até a pasta que contém o utilitário de teste.
Clique com o botão direito do mouse na pasta ou iniciar uma ODS por meio do console do ENS ou VSE. Se o GTI estiver funcionando corretamente, a caixa On-Access Scan Messages de diálogo (semelhante à lista abaixo) será ArtemisTest.exe detectada. Dependendo das configurações, o arquivo de teste é excluído e colocado em quarentena como malware.
Mensagens OAS
Mensagem
Alerta do VirusScan!
Nome
x:\path\Artemistest.exe
Detectado como
Artemis5DB32A316F07
State (Estado)
Excluído
Para testar o GTI, use a senha ArtemisPDF_test.pdfarquivo protegida na guia "seção Anexo" deste artigo.
NOTAS:
A proteção por senha é aplicada ao .zip arquivo para garantir que ela não seja bloqueada quando enviada usando e-mail. As senhas normalmente atendem a padrões de segurança mais altos. A senha é password.
O ArtemisPDF_test processo é um programa de teste e é inofensivo.
Para que as buscas do GTI em arquivos PDF sejam necessárias, as seguintes condições devem ser atendidas:
As buscas são limitadas a arquivos PDF que são lidos ou gravados no disco usando o navegador da Web ou cliente de e-mail.
Informações relacionadas
Para ver uma lista de URLs do ENS usados para executar comunicação interna, incluindo o GTI, consulte kB93324 - Endpoint Security URLs de comunicação interna.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.