Soumettre des échantillons à des laboratoires pour détecter un échec de détection de logiciels malveillants

Environnement

Fichiers
dat Centre

Synthèse

Suivez les instructions présentées dans cet article si vous êtes confronté à l’un des problèmes ci-dessous :

Vous avez un fichier dont vous pensez qu’il est infecté, mais qui n’est pas détecté par votre logiciel antivirus.
Le fichier est détecté, mais n’est pas nettoyé.

Contenu
Cliquez pour développer la section que vous souhaitez afficher :

Choisir le type de demande de service adapté à vos besoins

Passez en revue les deux options ci-dessous et sélectionnez l’option adaptée à vos besoins :

Demande de service de logiciel malveillant :
Vous ouvrez la demande de service via le ServicePortal Support technique et un ingénieur Support technique (TSE) est affecté. Toutes les mises à jour et les communications circulent dans la TSE. Ce type de demande de service est adapté lorsque vous avez besoin de mises à jour en temps opportun et que vous préférez une interaction humaine.

Utilisez cette méthode pour effectuer les opérations suivantes :
- Infection de logiciels malveillants actifs dans l’environnement du client
- Des échecs de nettoyage, lorsque des logiciels malveillants sont détectés et supprimés, mais que certains indicateurs de compromission restent sur le système suite à un redémarrage
- Restes conservés (entrées de Registre, fichiers restants sur le disque)
- Demandes de la bibliothèque d’informations sur les virus (VIL) (avec un échantillon)
- Contre-mesures pour les produits
- Analyse comportementale
- Fausses détections
- Les échecs de détection que l’automatisation ne peut pas résoudre ou qui ont un impact sur l’activité
Demande de service de CWS ou de l’automatisation :
Pour ce type d’envoi de logiciels malveillants, vous pouvez soumettre l’exemple à l’aide de l’option soumettre un échantillon dans ServicePortal. Cette option permet d’envoyer l’échantillon et de créer une demande de service. Cette méthode est entièrement automatisée et aucune information supplémentaire n’est nécessaire. Cependant, l’automatisation ne gère pas les faux positifs. Si vous devez Rechercher l’échec de la détection et ne voulez pas d’intervention humaine, ou si le problème n’est pas urgent ou a des répercussions sur l’activité, vous pouvez opter pour cette méthode.

Utilisez cette méthode pour effectuer les opérations suivantes :
- Lots d’exemples de grande taille (10 échantillons ou plus qui doivent être analysés)
- Collections à partir d’équipements de périmètre automatisés
- Les échecs de détection sans impact commercial ou qui ne sont pas des attaques actives ou des problèmes urgents
- Fichiers inconnus (il s’agit-il d’un virus malveillant) sans impact sur l’activité ou qui ne sont pas des attaques actives ou des problèmes urgents

Types de problème et méthodes d’envoi

Choisissez le type de problème et suivez les instructions d’envoi :

Echec du nettoyage, échec de la détection ou VIL
Demande de couverture
Envoi d’échantillons via ServicePortal (service de support automatique, sans support), également appelé demande de service pour les laboratoires
Autres méthodes d’envoi d’échantillons (SFTP, email, Web Gateway , Advanced Threat Defense, GetSusp)

Pour connaître les exigences spécifiques en matière d’envoi, reportez -vous aux exigences de collecte des données KB91459-minimum pour les échecs de détection, les échecs de nettoyage et les faux positifs.

Echec du nettoyage, échec de la détection ou vil :
Ouvrez une demande de service malveillant comme suit.

Ouvrez une demande de service de logiciels malveillants via ServicePortal. Sélectionnez l’option créer une demande de service et sélectionnez logiciel malveillant comme produit.
Chargez l’échantillon sur cette demande de service. Utilisez l’option soumettre un échantillon.
Joignez les journaux ou les événements de menace ePO pertinents à la demande de service.
Fournissez les détails décrits dans KB91459-configuration minimale requise pour la collecte des données pour les échecs de détection, les échecs de nettoyage et les faux positifs.

Remarque : Pour les faux positifs, ouvrez une demande de service de logiciel malveillant au lieu d’envoyer une demande de service d’échantillon, car l’automatisation ne peut pas gérer les demandes de faux positifs.

Demande de couverture :
Une demande de couverture est lorsque l’environnement n’est pas infecté, mais que vous souhaitez une couverture pour la conformité ou la sauvegarde. Ces demandes sont considérées comme étant de gravité 3 ou 4. Les clients doivent partager la source des hachages par rapport auxquels ils recherchent la couverture. Pour ouvrir une demande de service spécifique pour chaque campagne, reportez-vous à la section KB91459-minimum Data collection Requirements for detecting Failures, Failure Clean et false positive.

Selon le nombre de hachages soumis, les travaux pratiques peuvent prendre du temps pour assurer la couverture. De plus, non Extra.DAT est partagé, mais la couverture est ajoutée en interne. Pour plus d’informations, reportez-vous à la section KB93747-information et FAQ sur les demandes de couverture et supplémentaires .DATs.

Remarque : AnyrunJosé sandbox et VirusTotal ne sont pas considérés comme des sources.

#1 de l’option :

Ouvrez une demande de service de logiciels malveillants via ServicePortal.
Fournissez la source des hachages qui nécessitent une couverture. La source peut être un avis de menace, un blog ou une recherche interne basée sur des artefacts dans la nature. Toutefois, la source doit porter les hachages. Pour plus d’informations, reportez-vous à la section KB91459-minimum Data collection Requirements pour les échecs de détection, les échecs de nettoyage et les faux positifs.

#2 de l' option :
Ouvrez une demande de service Labs directement via l’option soumettre un échantillon . Labs Automation gère cette demande de service et il n’y a aucune intervention humaine. Toutes les mises à jour sont envoyées à votre adresse e-mail par l’automatisation.

Instructions pour la soumission d’un échantillon :

Placez le fichier dans un dossier ZIP. Assurez-vous que le dossier ZIP comporte un .zip extension. Il est préférable d’utiliser WinRAR/avec 7z.
Veillez à ce que le .zip mot de passe soit protégé par le mot "" infectés sans guillemets.
Connectez-vous à ServicePortal.
Cliquez sur soumettre un échantillon.
Cliquez sur la demande de service.
Chargez le fichier.
Cliquez sur Envoyer.

Envoyez des échantillons par le biais de ServicePortal (service de support automatisé et non dynamique), également appelé demande de service pour les laboratoires :
ServicePortal est la méthode privilégiée pour la soumission. L’utilisation de cette méthode n’affecte pas une TSE à la demande de service. Le numéro de demande de service n’est fourni qu’à des fins de suivi et n’est pas surveillé.

Connectez-vous à ServicePortal.
Cliquez sur l’onglet demandes de service .
Cliquez sur l’onglet soumettre un échantillon .
Renseignez les détails de l’envoi. Assurez-vous de sélectionner le type de problème approprié pour votre envoi : Echec de la détection.
Chargez les exemples.
Cliquez sur Envoyer. Une demande de service de soumission d’échantillon est créée sur ServicePortal, que vous pouvez utiliser pour suivre la progression. Ce système est automatisé et aucune TSE n’est affectée aux soumissions. Le numéro de demande de service n’est fourni qu’à des fins de suivi et n’est pas surveillé. Si une assistance immédiate est nécessaire, vous devez ouvrir une demande de service avec Support technique.

Autres méthodes d’envoi d’échantillons (SFTP, email, Web Gateway , Advanced Threat Defense, GetSusp) :

Envoi sftp : voir KB87703-instructions relatives à l’envoi d’échantillons de logiciels malveillants à des laboratoires via les serveurs FTP disponibles.
Envoi d’e-mails (automatisation gérée) : Pour envoyer un échantillon par e-mail, envoyez-le à Labs virus Research à l’adresse virus_research@avertlabs.com. L’automatisation ne gère pas les détections de faux positifs. Informez le propriétaire de la demande de service de la soumission d’échantillon.
Web Gateway: Collectez et soumettez des échantillons en suivant les instructions spécifiques au produit fournies dans KB62662-Comment soumettre Web Gateway des échantillons de virus et Antimalware à des fins d’analyse.
Advanced Threat Defense : Collectez et soumettez des échantillons en suivant les instructions spécifiques au produit fournies dans KB83659-comment envoyer des échantillons de faux positifs ou faux négatifs virus et Antimalware pour Advanced Threat Defense.
GetSusp : GetSusp est un outil gratuit qui vous aide à trouver et à consigner les logiciels malveillants non détectés. GetSusp offre des fonctionnalités de soumission intégrées qui vous permettent d’envoyer automatiquement des échantillons à des laboratoires. Reportez -vous à article kb69385 connaissances-FAQ pour GetSusp. Pour télécharger GetSusp, accédez au site de téléchargements GetSusp.

Eléments à ne pas envoyer

N’envoyez pas de fichiers journaux, de captures d’écran, d’URL sources, de fichiers PDF (couverture de hachage) ou de rapports. Joignez ces éléments à la demande de service.

Informations connexes

Consultez également les Articles connexes ci-dessous :

Knowledge Center

Soumettre des échantillons à des laboratoires pour détecter un échec de détection de logiciels malveillants

Environnement

Synthèse

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Soumettre des échantillons à des laboratoires pour détecter un échec de détection de logiciels malveillants

Environnement

Synthèse

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title