Domande frequenti relative Global Threat Intelligence reputazione file
Articoli tecnici ID:
KB53735
Ultima modifica: 03/02/2023
Ambiente
reputazione Global Threat Intelligence file (GTI)
Riepilogo
GTI, noto in precedenza come Artemis, è una soluzione completa, basata cloud tempo servizio di reputazione introdotta nel 2008. E' completamente integrato nei nostri prodotti e permette loro di bloccare al meglio le minacce informatiche su tutti i vettori - file, web, messaggio e rete - rapidamente. Questo articolo risponde ad alcune domande comuni sulla reputazione file GTI.
Contenuti Fare clic per espandere la sezione che si desidera visualizzare:
Cos'è la reputazione file GTI?
La reputazione file GTI offre una protezione sempre disponibile in tempo reale che protegge dalle minacce emergenti.
La reputazione file GTI consente di utilizzare l'intelligence sulle minacce raccolta da Advanced Research Center per prevenire danni e furti di dati anche prima che sia disponibile un aggiornamento delle firme. Questa funzione rende gli endpoint più intelligenti e sicuri. La tecnologia di reputazione file GTI amplia le funzionalità di protezione dei nostri prodotti. A tale scopo, fornisce l'accesso a un database cloud online. Il database contiene dettagli di classificazione dei file per stabilire se un file è dannoso.
Poiché il database delle classificazioni dei file dannosi è esteso e viene modificato frequentemente, la reputazione file GTI interroga i server GTI cloud online sui file potenzialmente sospetti. Lo fa per ottenere e mantenere i massimi livelli di sicurezza.
Come funziona la reputazione file GTI?
La reputazione file GTI offre il rilevamento dei virus più malware aggiornato per diversi Windows antivirus basati su server.
La reputazione file GTI cerca programmi sospetti, file PDF (Portable Document Format) e Android dell'applicazione (. APK) attivi sugli endpoint che eseguono i prodotti. Questi prodotti includono Endpoint Security (ENS), VirusScan Enterprise (VSE) e SaaS Endpoint Protection (noto in precedenza come Total Protection Service).
Per tutti i file sospetti rilevati che non attivano file DAT con firme esistenti, GTI invia una richiesta DNS a un server di database centrale. L'Advanced Research Center ospita il server. Questo server viene costantemente aggiornato quando vengono rilevati nuovi malware. Quando GTI Cloud nel centro di ricerca avanzato riceve la richiesta dall'endpoint attivato per la reputazione file GTI, determina se il programma è sospetto e risponde in modo appropriato.
Perché è necessario essere online per utilizzare la reputazione file GTI?
La reputazione file GTI accede a un database principale online per stabilire se un file è sospetto. Poiché il database dei file sospetti è esteso e viene modificato frequentemente, non viene inviato in anticipo. La tecnologia di reputazione file GTI query su GTI Cloud online informazioni su questi file sospetti per ottenere e mantenere i massimi livelli di sicurezza.
La reputazione file GTI richiede molta larghezza di banda?
La reputazione file GTI occupa una quantità minima di larghezza di banda. Si attiva solo se i file DAT esistenti non rilevano una minaccia nel programma, nel PDF o in fase .APK di scansione. Il rilevamento dei file sospetti è configurato attentamente in modo che solo i file realmente sospetti generino traffico di rete. Se l'impostazione di sensibilità è impostata su Molto bassa o Bassa, è possibile prevedere una media di 10-15 query al giorno per computer. Se l'impostazione è impostata su Media, Alta o Molto alta, è possibile prevedere una media di 20-25 query al giorno per computer. Il numero di query dipende dal tipo di scansione (scansione all'accesso o scansione su richiesta) e dal numero di file sottoposti a scansione.
Se GTI Cloud non è disponibile, sono ancora protetto?
Se il prodotto gestito dall'azienda non è in grado di contattare Advanced Research Center GTI Cloud, i prodotti antimalware utilizzano solo la copia locale dei file DAT per il rilevamento. Quando GTI Cloud non è disponibile, la protezione non viene ridotta a livelli inferiori al livello di protezione dei file DAT standard. Torna all'inizio
Qual è la vostra definizione di file sospetti? Un file sospetto è qualsiasi eseguibile di programma, PDF o .APK file con caratteristiche comuni ai file dannosi.
Per i file eseguibili, GTI cerca determinati identificatori all'interno dell'eseguibile per stabilire se il programma presenta caratteristiche particolari normalmente associate a malware; ad esempio se il file è di tipo pack. In genere, meno dell'1% dei file eseguibili del programma o dei file PDF puliti soddisfa i criteri sospetti. Ciò implica che la maggior parte dei file non determina l'avvio di un'attività del prodotto con GTI query.
Altri file di documento, ad esempio Microsoft Word, non sono interessati dal fatto che GTI si concentra solo su documenti PDF potenzialmente dannosi.
Quali tipi di file vengono sottoposti a scansione? GTI esegue la scansione di eseguibili, documenti PDF e .APK file.
La reputazione file GTI è stata utilizzata tradizionalmente per eseguire la scansione di eseguibili di programmi dannosi. Ma, con la continua crescita di malware basati su PDF e APK, abbiamo ampliato le funzionalità della nostra tecnologia cloud per proteggere al meglio questo spazio di minacce. La reputazione file GTI deve essere impostata su un livello di sensibilità almeno medio per eseguire ricerche di reputazioni su file PDF o APK.
I file di dati possono causare l'invio query reputazione file GTI?
Non è possibile che documenti o altri file di dati causano l'invio di un query reputazione file GTI; ad esempio documenti Microsoft Word contenenti dati derivanti dall'utente. Nessuno dei due campioni viene inviato automaticamente. I file su cui è possibile eseguire query sono i seguenti:
Eseguibili di programmi che possono contenere malware
.PDF che possono contenere malware
.APK che possono contenere malware
File di configurazione, ad esempio Windows hosts, che possono essere modificati in modo dannoso
Cosa accade quando GTI individua un file sospetto?
Invece di inviare l'intero file, la reputazione file GTI invia solo un'impronta digitale, che generalmente è inferiore a 40 byte di informazioni. Questa quantità di informazioni è il minimo necessario per determinare la natura del file.
Per impostazione predefinita, se non si sceglie di condividere le informazioni sulle minacce, il pacchetto query dei prodotti attivati per la reputazione file GTI contiene quanto segue:
Versione e
Informazioni sul prodotto
Questi dati indicano quanto segue:
Numero di versione interno di uno o più driver che determinano che un file è sospetto.
file DAT precedente.
Versione del prodotto.
Componente del prodotto che esegue la scansione.
Hash del file
Questo elemento è costituito da hash del file che identifica in modo univoco il file se è presente nel database principale.
Impronta
È una sequenza di bit che indica la presenza di caratteristiche interne alla struttura del file che sono comuni dei malware. Questi dati provengono esclusivamente dalla struttura dei file.
Ambiente
È una sequenza di bit che indica la presenza di caratteristiche dell'ambiente comunemente associate a campioni dannosi. I dati sono limitati alle informazioni memorizzate dal sistema operativo su un file. Non include il nome del file o altre informazioni personali memorizzate nel file.
La reputazione file GTI protegge solo dagli malware GTI? Oppure la reputazione file GTI include la protezione da programmi potenzialmente indesiderati (programmi potenzialmente indesiderati) e spam? Attualmente è inclusa la protezione da malware e PUP. Per proteggersi spam, utilizzare un prodotto antispam o un plug-in.
Quanto migliora il rilevamento malware con la reputazione file GTI?
Tutte le nuove minacce rilevate dal nostro Advanced Research Center vengono immediatamente aggiunte al database GTI. Sono disponibili per gli endpoint con GTI per fornire una capacità quasi immediata di proteggerti da minacce nuove ed emergenti. Questa protezione viene resa disponibile prima che la firma per la nuova minaccia venga inclusa nei normali file DAT rilasciati.
Prima della distribuzione agli endpoint, al momento si verificano tutti i file DAT. In che modo la reputazione file GTI influisce sui processi esistenti? GTI fornisce protezione al di fuori dei processi esistenti. Per ulteriori informazioni sull'attivazione di GTI nel prodotto, consultare l'articolo KB70130 - Come attivare Global Threat Intelligence nei nostri prodotti.
Ho dei privacy; quali informazioni ti vengono inviate?
I dati inviati non includono mai alcuna parte dei file sottoposti a scansione, quindi non ci sono possibilità di fuoriuscita di informazioni. Tutte le ricerche vengono eseguite solo sui file sospetti: viene generata un'impronta da 32 byte che viene quindi inviata a GTI Cloud. Se si stabilisce che l'impronta è di un file dannoso, viene fornita una risposta.
NOTE:
Non è possibile creare di nuovo il file o il suo contenuto dall'impronta digitale.
Per visualizzare il Windows DNS cache dalla riga di comando, digitare e ipconfig /displayDNS premere Invio. Questo comando mostra tutte le query DNS recenti eseguite sul computer in questione, incluse quelle eseguite dalla reputazione file GTI.
Le query di reputazione file GTI possono essere riconosciute perché si tratta di sottodomini di avqs.mcafee.com o avts.mcafee.com.
Quali informazioni vengono conservate nei file di registro?
Vengono conservate solo le registri anonimi delle query dei client. Per correlare i trend globali, come la posizione nel mondo da cui hanno origine le query, vengono utilizzate tecniche di data-mining. Inoltre, il vettore di distribuzione utilizzato (ad esempio, confronto tra web e email). Questi dati di prevalenza vengono utilizzati per identificare le nuove tendenze nel panorama delle minacce e fornire una protezione migliore contro le minacce emergenti per i nostri clienti.
NOTA: I registri di reputazione file GTI non contengono informazioni su singoli computer o utenti e non è possibile per noi utilizzare tali informazioni per ricavare tali dati.
In futuro, la tecnologia di reputazione file GTI potrebbe inviare periodicamente un numero univoco anonimo per informarci che il software funziona correttamente per i singoli utenti. Questo numero ci aiuta a conoscere il numero di persone che utilizzano la reputazione file GTI e in quali prodotti è stato attivato. Le informazioni hanno lo scopo di aiutarci a pianificare le risorse necessarie per continuare a fornire un rilevamento in tempo reale di qualità con la reputazione file GTI. Questo metodo è simile ai cookie utilizzati oggi da molti siti web ed è conforme all'Informativa sulla privacy di. Per ulteriori informazioni, consultare l'Informativa sulla privacy.
In che modo vengono inviate le query di reputazione file GTI?
Le query di reputazione file GTI vengono inviate in formato non crittografato, con l'aggiunta di altre autenticazioni in base alle esigenze.
Esempio query: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com or 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com
Tutte le informazioni che la reputazione file GTI invia a Noi sono anonime; non contiene informazioni sull'utente o sul computer. Inoltre, poiché l'infrastruttura DNS viene utilizzata per trasportare il query, non è possibile identificare l'indirizzo IP del computer di origine dalla comunicazione di reputazione file GTI.
La reputazione file GTI sembra generare molti aggiornamenti al giorno. Perché non utilizzare i file DAT della versione beta e in che modo differisce Active Protection?
La reputazione file GTI consente agli endpoint di proteggersi da eventi specifici malware il centro di ricerca avanzato determina che un campione è sospetto. La reputazione file GTI non fornisce protezione per classi di malware, ma solo per esempi specifici che hanno attivato una risposta.
Cosa vedono gli utenti o gli amministratori quando Active Protection rileva malware?
I rilevamenti di reputazione file GTI vengono visualizzati nel prodotto nello stesso modo in cui vengono visualizzati i rilevamenti generici. Il programma o il binario rilevato viene eliminato o messo in quarantena in base alle impostazioni del prodotto.
Quali sono i rischi dell'uso di Active Protection? Può possibile generare falsi positivi?
I prodotti antimalware raramente generano falsi positivi. I nostri test hanno dimostrato che la reputazione file GTI ha una frequenza di falso positivo inferiore rispetto ai file DAT esistenti. La reputazione file GTI rileva istanze specifiche di malware rispetto alle classi di malware, riducendo significativamente le possibilità di generare rilevamenti di falsi positivi.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.