什麼是 GTI 檔案信用評價？
GTI 檔案信用評價提供持續的即時保護，防範趁勢而起的新興威脅。

GTI 檔案信用評價能夠讓您運用 McAfee Labs 收集的威脅情報，在即使沒有特徵碼更新的情況下先行防範損害和資料竊取，使端點更靈活運作，保持安全無虞。 GTI 檔案信用評價技術將 McAfee 產品的保護功能延伸，使它們能提供內含檔案分類詳細資料的線上雲端資料庫存取權，來判斷是否為惡意檔案。

由於惡意檔案分類的資料庫相當全面，而且經常更新，因此 GTI 檔案信用評價會查詢線上 GTI 雲端伺服器尋找潛在可疑的檔案，達到並維持最高的安全性等級。


GTI 檔案信用評價如何運作？
GTI 檔案信用評價針對多項 Windows 型 McAfee 防毒產品提供最新的惡意軟體偵測。

GTI 檔案信用評價會尋找執行 McAfee 產品的端點上出現的可疑程式、可攜式文件格式 (PDF) 檔案和 Android 應用程式套件 (.APK) 檔案。 這些產品包括 Endpoint Security (ENS)、VirusScan Enterprise (VSE) 和 SaaS Endpoint Protection (前身為 Total Protection Service)。

如果 GTI 發現任何可疑檔案且未觸發現有的特徵碼 DAT 檔案，GTI 就會將 DNS 請求傳送到 McAfee Labs 代管的中央資料庫伺服器。 發現新的惡意軟體時，此伺服器會持續更新。 McAfee Labs 的 Global Threat Intelligence 雲端收到啟用 GTI 檔案信用評價的端點提出的請求時，會判斷此程式是否可疑並適度回應。


為什麼必須上線才能使用 GTI 檔案信用評價？
GTI 檔案信用評價會存取線上的主資料庫，以判斷檔案是否可疑。 由於 McAfee 的可疑檔案資料庫相當全面，而且經常更新，因此並未預先傳送給您。 GTI 檔案信用評價技術必須查詢線上的 GTI 雲端尋找可疑的檔案，才能達到並維持最高的安全性等級。


GTI 檔案信用評價是否佔用許多頻寬？
GTI 檔案信用評價佔用最小的頻寬，因為只有在現有的 DAT 檔案並未在受到掃描的程式、PDF 或 .APK 中偵測出存在的威脅時，它才會觸發。 判斷可疑檔案的程序經過審慎調整，因此只有真正可疑的檔案才會產生網路流量。 如果敏感度設定是設為 [非常低] 或 [低]，則每台電腦每天平均進行 10 至 15 次查詢。 如果敏感度設定是設為 [中]、[高] 或 [非常高]，則每台電腦每天平均進行 20 至 25 次查詢。 查詢次數取決於掃描類型 (常駐掃描或按指定掃描) 以及掃描的檔案數量。


如果無法使用 GTI 雲端，我是否仍然受到保護？
如果 McAfee 受管理產品無法聯繫 McAfee Labs GTI 雲端，防惡意軟體只會使用本機的 DAT 檔案進行偵測。 即使無法使用 GTI 雲端，您受到的保護也不會低於標準 DAT 檔案的保護程度。


回到頁首

McAfee 的可疑檔案定義是什麼？
可疑檔案是具有可疑檔案共通特徵的任何程式執行檔、可攜式文件格式 (PDF) 或 Android 應用程式套件 (.APK) 檔案。

對於執行檔，GTI 會尋找執行檔中的特定識別碼，判斷程式是否具有通常與惡意軟體相關聯的特徵。 例如，檔案是否已封裝。 一般而言，低於 1% 的無危險程式執行檔或 PDF 檔符合可疑準則，這表示大多數檔案不會造成啟用 GTI 的產品進行查詢。

Microsoft Word 文件之類的其他文件檔案不受此增強功能所影響，因為它只專門處理可能惡意的 PDF 文件。


會掃描哪些類型的檔案？
GTI 會掃描執行檔、PDF 文件和 .APK 檔。

GTI 檔案信用評價一般用於掃描惡意的程式執行檔。 不過，由於 PDF 和 APK 型惡意軟體持續增加，因此 McAfee 擴充雲端技術的能力，針對此威脅層面提供最大保護。 GTI 檔案信用評價必須至少設定為中度敏感度，才能進行 PDF 或 APK 檔案的信用評價搜尋。


資料檔是否會造成傳送 GTI 檔案信用評價查詢？
文件或其他資料檔 (例如，有使用者產生的資料包含在內的 Microsoft Word 文件) 不會造成傳送 GTI 檔案信用評價查詢，也不會自動將樣本傳送到 McAfee。 可查詢的檔案包括：

• 可能包含惡意程式碼的程式執行檔
• 包含惡意程式碼的可攜式文件格式 (.PDF) 檔案
• 可能包含惡意程式碼的 Android 應用程式套件檔案 (.APK)
• 可能遭受惡意修改的組態檔案，例如 Windows 主機檔案

GTI 發現可疑檔案時，會如何處理？
GTI 檔案信用評價不會傳送整個檔案，只會傳送指紋，指紋是一般小於 40 位元組的資訊。 這是判斷檔案性質所需最少程度的資訊。

依預設，若未特別選擇與 McAfee 共用威脅資訊，啟用 GTI 檔案信用評價的 McAfee 產品所傳送的查詢封包則包含下列項目：

版本與產品資訊	這些資料指出用以判斷檔案是否可疑的驅動程式內部版本編號、DAT 檔案版本、McAfee 產品與版本，以及執行掃描的產品元件。
檔案雜湊演算法	這包含檔案的雜湊演算法，可用來識別檔案是否存在於 McAfee 主要資料庫中。
指紋資訊	此項目指出惡意軟體共通檔案結構內部特徵的位元序列。 這些資料僅限於從檔案的結構衍生的資料。
環境資訊	此項目指出通常與惡意樣本相關聯的環境跡證的位元序列。 這些資料僅限於作業系統儲存的檔案相關資訊，不包括檔案名稱或檔案中儲存的其他個人識別資訊。

GTI 檔案信用評價只會防範惡意軟體？或同時也防範可能不需要的程式 (PUP) 和垃圾郵件？
目前可防範惡意軟體和可能不需要的程式。 若要防範垃圾郵件，請使用防垃圾郵件產品或外掛程式。


GTI 檔案信用評價對於惡意軟體偵測的改善程度為何？
McAfee Labs 發現的所有新威脅都會立即新增到 GTI 資料庫，並提供給啟用 GTI 的端點，藉以透過幾近即時的方式防範新威脅和新興威脅。 在新威脅的特徵碼加入定期發佈的 DAT 檔案之前，可使用此項保護。


我想要啟用 GTI 檔案信用評價向 McAfee 回報可疑檔案，我應該如何進行？
McAfee 建議您選取產品的中敏感度設定。 有關如何在 VSE 中啟用 GTI 檔案信用評價的資訊，請參閱文章 KB70130。


回到頁首

我目前都會先測試各個 DAT 檔案再部署到端點。 GTI 檔案信用評價對我現有的程序有何影響？
GTI 會在您現有的程序之外提供保護。 有關如何在 McAfee 產品中啟用 GTI 的詳細資訊，請參閱文章 KB70130。

我有隱私權方面的顧慮，哪些資訊會傳送到 McAfee？
傳送的資料絕不包含掃描的檔案之中的任何部分，因此不會有資料外洩的可能性。 任何搜尋都只會針對可疑檔案進行，在產生 32 位元指紋後傳送到 GTI 雲端， 並在指紋經判定屬於惡意檔案的一部分時提供回應。

附註：

• 無法從此指紋重建檔案或其中任何內容。
• 若要顯示目前的 Windows DNS 快取，請在命令列中鍵入 ipconfig /displayDNS 並且按 ENTER。 這將顯示在有疑問的電腦上所進行的所有最近 DNS 查詢，包括 GTI 檔案信用評價進行的查詢。
• GTI 檔案信用評價查詢很容易辨識，因為它們在 avqs.mcafee.com 或 avts.mcafee.com 的子網域。

McAfee 將哪些資訊保留在記錄檔中？
McAfee 僅保留用戶端的匿名查詢記錄。 McAfee 使用資料採擷技術來與全域趨勢產生關聯，例如查詢源自於世界上哪個地方，以及使用的散佈媒介 (例如，網路與電子郵件)。 McAfee 使用這些普遍性資料識別威脅態勢的新趨勢，並加強防範對於 McAfee 客戶構成的新興威脅。

附註：GTI 檔案信用評價記錄不包含個別電腦或使用者的任何資訊，且 McAfee 無法使用這些資訊來衍生此類資料。

在未來，GTI 檔案信用評價技術可能會定期傳送獨特的匿名資訊，通知我們個別使用者的軟體正常運作。 這有助於 McAfee 得知有多少人使用 GTI 檔案信用評價，以及使用者在哪些產品中啟用此功能。 這些資訊有助於 McAfee 規劃所需資源，以持續透過 GTI 檔案信用評價提供高品質的即時偵測功能。 這個方法類似於現今許多網站使用的 Cookie，並遵循 McAfee 隱私權政策。 如需詳細資訊，請參閱 http://www.mcafee.com/us/about/privacy.html。

GTI 檔案信用評價查詢是如何傳送的？
GTI 檔案信用評價查詢採用純文字格式傳送，並且適度加入其他驗證。

範例查詢：4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com 或 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com

GTI 檔案信用評價傳送到 McAfee 的所有資訊皆為匿名，不包含使用者或電腦的任何資訊。 此外，由於使用 DNS 基礎架構傳輸查詢，因此 McAfee 無法利用 GTI 檔案信用評價通訊辨識來源電腦的 IP 位址。

GTI 檔案信用評價似乎每天產生許多更新，我為什麼不改用 Beta DAT 檔案？Active Protection 又有什麼差別？
只要 McAfee Labs 將樣本判斷為可疑，GTI 檔案信用評價便能立即讓端點防範特定的惡意軟體。 GTI 檔案信用評價無法防範惡意軟體類別，只能防範觸發回應的特定樣本。


Active Protection 偵測到惡意軟體時，使用者或管理員會看見什麼？
McAfee 產品會以顯示一般偵測的方式顯示 GTI 檔案信用評價偵測。 偵測到的程式或二進位檔案將按照產品設定予以刪除或隔離。


使用 Active Protection 有什麼風險？ 它是否會產生誤判？
防惡意軟體保護產品極少產生誤判，而且 McAfee 測試顯示 GTI 檔案信用評價的誤判率低於現有的 McAfee DAT 檔案。 GTI 檔案信用評價會偵測惡意軟體的特定例項，而不會偵測惡意軟體類別，因此大幅減少產生誤判偵測的可能性。