如何在 McAfee 產品中啟用 Global Threat Intelligence 技術
上次修改: 2023-02-17 15:49:33 Etc/GMT
環境
McAfee Global Threat Intelligence 郵件信用評價
McAfee Global Threat Intelligence 網路連線信用評價
McAfee Global Threat Intelligence Web 分類
McAfee Global Threat Intelligence Web 信用評價
多重 McAfee 產品
McAfee Labs
摘要
什麼是 McAfee Global Threat Intelligence?
Global Threat Intelligence (GTI) 是可搭配特定 McAfee 產品運作的雲端型安全威脅情報服務。在偵測潛在威脅時,啟用 McAfee GTI 的產品會查詢 GTI 雲端,雲端會以信用評價分數或分類資訊的形式呈現回應,方便產品在您的環境中根據原則採取行動。
網際網路連線
如果網際網路連線原則妨礙您啟用 GTI,您可以下載並安裝 GTI Proxy Server,該產品透過單一容易稽核的虛擬裝置來合併 McAfee 的用戶端到雲端通訊。GTI Proxy Server 在您購買 McAfee 產品時免費提供。{GENPA.ZH_TW}
我要如何為我的單點產品啟用 GTI?
按一下下列其中一個連結,以瞭解如何在您的產品中啟用 GTI 檔案信用評價:
- Email and Web Security Appliance
- Email Gateway
- Firewall Enterprise
- Host IPS
- Network Security Platform
- Network Threat Behavior Analysis
- Network Threat Response
- SaaS Email Protection
- SaaS Web Protection
- Security for Microsoft Exchange
- Security for Microsoft SharePoint Server
- SiteAdvisor Enterprise
- VirusScan Enterprise
- Web Gateway
Email and Web Security Appliance
Email and Web Security Appliance (EWS) 5.5 及 5.6 可以使用 GTI。本文說明如何為 Email and Web Security (EWS) Appliance Software 5.5 及 5.6 啟用並設定 GTI。
舊版的 EWS Appliance 不支援此技術。
若要透過 SMTP 安裝:
- 登入管理主控台。
- 選取 [電子郵件]、[電子郵件原則]、[掃描原則]。
- 選取通訊協定:[SMTP (或 POP3)]、[防毒]、[病毒]。
您會看見 [防毒設定] 視窗。 - 從 [基本選項] 標籤選取 [啟用 Global Threat Intelligence 檔案信用評價]。
- 選取 [敏感性層級] (預設:中)。
敏感性層級說明
已停用 GTI 已關閉。 非常低 相當於隔天的 DAT 檔案。今天就取得明天的防護。這是建議的初始組態。 低 DAT 檔案以外的防護。這是建議的初始組態。 中 經常暴露於惡意程式碼的風險高於誤判的風險時使用。 高 建議在部署至端點經常受感染的網路時使用。 非常高 建議在端點重複受感染或需要高度警戒防護的網路上使用。誤判風險較高。
- 按一下 [套用變更]。
若要透過 HTTP 安裝:
- 登入管理主控台。
- 選取 [Web]、[Web 原則]、[掃描原則]。
- 選取通訊協定:[HTTP (或 ICAP/FTP)]、[防毒]、[病毒]。
您會看見 [防毒設定] 視窗。 - 從 [基本選項] 標籤選取 [啟用 Global Threat Intelligence 檔案信用評價]。
- 選取 [敏感性層級] (預設:中)。
敏感性層級說明
已停用 GTI 已關閉。 非常低 相當於隔天的 DAT 檔案。今天就取得明天的防護。這是建議的初始組態。 低 DAT 檔案以外的防護。這是建議的初始組態。 中 經常暴露於惡意程式碼的風險高於誤判的風險時使用。 高 建議在部署至端點經常受感染的網路時使用。 非常高 建議在端點重複受感染或需要高度警戒防護的網路上使用。誤判風險較高。
- 按一下 [套用變更]。
Email Gateway (先前的 IronMail) (6.7.2 或更新版本)
Email Gateway 已整合 GTI 郵件信用評價。
若要啟用這項服務:
- 選取 [反垃圾郵件]、[TrustedSource]。
- 按一下 [啟用 TrustedSource],然後設定組態 (如有需要)。
若要在垃圾郵件分析工具中啟用 GTI 郵件信用評價:
- 選取 [反垃圾郵件]、[垃圾郵件分析工具]、[設定]。
- 在 [垃圾郵件功能/字典] 下,按一下 [啟用 TrustedSource]。
Firewall Enterprise (7.0 或更新版本)
Firewall Enterprise 已整合 GTI 網路連線信用評價。
若要啟用這項服務:
- 從 [管理主控台] (位在左側的資源樹狀目錄) 選取特定防火牆,接著選取 [原則],然後選取 [存取控制規則]。
- 按一下頂端的綠色加號以建立新規則,或從清單選取現有規則。
- 在 [規則屬性] 畫面中,選取 [啟用 TrustedSource]。
- 調整規則的網路連線信用評價層級。
Host Intrusion Prevention System (8.0 或更新版本)
Host IPS 已整合 GTI 檔案和網路連線信用評價。
若要啟用這項服務:
- 啟動 ePO,然後前往 [原則目錄]。
- 選取 Host Intrusion Prevention 8.0 或更新版本:[產品] 下的防火牆。
- 在 [類別] 下,選取 [防火牆選項]。
- 針對您要啟用 GTI 的原則,按一下對應的 [編輯]。
- 從 [傳入/傳出 TrustedSource 區塊閾值] 下拉清單選取值。
Network Security Platform (6.0 或更新版本提供檔案信用評價,6.0.7 提供網路連線信用評價)
Network Security Platform 已整合 GTI 檔案和網路連線信用評價。
若要啟用 GTI 檔案信用評價:
- 在 [Network Security Manager 資源樹狀目錄] 中選取 [IPS 設定],然後選取 [惡意程式碼偵測] 標籤。
- 設定感應器的 GTI 檔案信用評價的特定選項,包括 DNS 伺服器、敏感性層級和回應動作。在這裡,您還可以管理與使用自訂指紋相關的管理選項。
- 按一下 [儲存]。
- 選取啟用選項。
- 針對每一個感應器及連接埠或連接埠配對,設定啟用選項。
- 針對每一個連接埠或連接埠配對,選擇方向和偵測類型。
- 按一下 [儲存],然後選取 [組態更新],以讓變更生效。
若要啟用 GTI 網路連線信用評價:
- 在 [Network Security Manager 資源樹狀目錄] 中選取 [IPS 設定],然後選取 [惡意程式碼偵測] 標籤。
- 在 Network Security Manager 中,導覽至 [My Company/Integration],然後是 [Global Threat Intelligence]。然後選擇您的參與層級、警示詳細資料及技術資訊。
Network Threat Behavior Analysis (1.0 或更新版本)
Network Threat Behavior Analysis 已整合 GTI 網路連線信用評價。
若要啟用這項服務:
- 在 Network Security Manager 中,導覽至 [My Company/Integration],然後是 [Global Threat Intelligence]。
- 現在可以按需要選擇您的參與層級、警示詳細資料及技術資訊。
Network Threat Response (2.1.1 或更新版本)
Network Threat Response 已整合 GTI 檔案和網路連線信用評價。Network Threat Response 與 GTI 整合依預設開啟,因此您不必採取任何動作。如有需要,您可以停用它。若要啟動功能,管理員唯一要設定的是 Proxy。
GTI 會透過 Network Threat Response 的分析與發現進行更新,然後查詢 GTI 網路連線信用評價 (TrustedSource),以提供事件脈絡。例如,分析師可以在進行詳細分析之前,迅速判斷是否曾經從可疑 URL 下載惡意檔案
回到頁首
SaaS Web Protection
SaaS Web Protection 已整合 GTI Web 分類。
若要啟用這項服務:
- 在管理主控中,選取 [Web 保護] 標籤。
- 選取 [原則] 標籤。
- 選取 [內容] 標籤。
- 選取 [啟用內容篩選]。在 [安全搜尋選項] 下,您也可以選擇 [防止主要搜尋引擎傳回色情相關搜尋結果]。
- 您可以選取下列選項,以進一步選擇網站容許/拒絕選項:
- 按一下 [開始]、[程式集]、[McAfee]、[Security for Microsoft Exchange]、[產品組態]。
- 按一下 [設定和診斷]。
- 按一下 [反垃圾郵件]。
- 在 [McAfee Global Threat Intelligence 郵件信用評價] 下,選取 [啟用郵件信用評價]。
- 按一下 [套用]。
若要在本機上設定 GTI:
- 按一下 [開始]、[程式集]、[McAfee]、[Security for Microsoft Exchange]、[產品組態]。
- 按一下 [原則管理員],然後選取 [常駐] 或 [依需求]。
- 按一下 [主要原則]。
- 按一下 [防毒掃描程式]。
- 在 [啟用] 下,選取 [啟動]。
- 在 [選項] 下,選取要設定的防毒選項,然後按一下 [編輯]。
- 選取所需的 [掃描程式選項],然後選取 [啟用 Artemis 技術] 及所需的 [敏感性層級]:
已停用 GTI 已關閉。 非常低 相當於隔天的 DAT 檔案。建議的初始組態。 低 DAT 檔案以外的防護 中 經常暴露於惡意程式碼的風險高於誤判的風險時使用。 高 建議在經常受感染的 Exchange 環境中使用。 非常高 建議在 Exchange 資料庫的常駐掃描中使用。
- 按一下 [儲存]。
- 按一下 [套用]。
- 重新整理頁面以檢視原則設定變更。
若要透過 ePolicy Orchestrator 設定 GTI:
- 以管理員身份登入 ePolicy Orchestrator 伺服器。
- 按一下 [系統]、[系統樹狀目錄],選取適當群組,然後選取個別系統。
- 按一下 [指派的原則]。
- 選取適當的產品、類別和原則,然後按一下 [儲存]。
- 按一下 [原則管理員],然後選取 [常駐] 或 [依需求]。
- 按一下 [主要原則]。
- 按一下 [防毒掃描程式]。
- 在 [啟用] 下,選取 [啟動]。
- 在 [選項] 下,選取要設定的防毒選項,然後按一下 [編輯]。
- 選取所需的 [掃描程式選項],然後選取 [啟用 Artemis 技術] 及所需的 [敏感性層級]:
已停用 GTI 已關閉。 非常低 相當於隔天的 DAT 檔案。建議的初始組態。 低 DAT 檔案以外的防護 中 經常暴露於惡意程式碼的風險高於誤判的風險時使用。 高 建議在經常受感染的 Exchange 環境中使用。 非常高 建議在 Exchange 資料庫的依需求掃描中使用。
- 按一下 [儲存]。
- 選取用戶端電腦,然後傳送代理程式喚醒呼叫。
Security for Microsoft SharePoint Server
- Security for Microsoft SharePoint 從 2.5 版開始支援 GTI。
- GTI 不能取代簽章檔案。DAT 檔案仍需進一步動作,例如清理和修復。
- 唯有在電腦連線網際網路時,才能獲得 GTI 保護。如果沒有網際網路連線,電腦會受到本機 DAT 檔案的保護,但 GTI 不會作用。
- GTI 使用非常少量的頻寬,很適合使用低速連線。
若要在本機上設定 GTI:
- 使用管理員帳戶登入 Microsoft SharePoint 伺服器。
- 啟動 Security for Microsoft SharePoint Server。
- 按一下 [原則管理員],然後選取 [常駐] 或 [依需求]。
- 按一下 [主要原則]。
- 按一下 [防毒掃描程式]。
- 在 [啟用] 下,選取 [啟動]。
- 在 [選項] 下,選取要設定的防毒選項,然後按一下 [編輯]。
- 選取 [基本選項],然後選取 [啟用 Artemis 技術] 及所需的 [敏感性層級]:
敏感性層級說明
已停用 GTI 已關閉。 非常低 相當於隔天的 DAT 檔案。今天就取得明天的防護。這是建議的初始組態。 低 DAT 檔案以外的防護 中 經常暴露於惡意程式碼的風險高於誤判的風險時使用。 高 建議在經常受感染的 [SharePoint 存放庫] 中使用。 非常高 建議在 [SharePoint 存放庫] 的 [依需求掃描] 中使用。
- 按一下 [儲存]。
- 按一下 [套用]。
- 重新整理頁面以檢視原則設定變更。
若要透過 ePolicy Orchestrator 設定 GTI:
- 以管理員身份登入 ePolicy Orchestrator 伺服器。
- 按一下 [系統]、[系統樹狀目錄],選取適當群組,然後選取個別系統。
- 按一下 [指派的原則]。
- 選取適當的產品、類別和原則,然後按一下 [儲存]。
- 按一下 [原則管理員],然後選取 [常駐] 或 [依需求]。
- 按一下 [主要原則]。
- 按一下 [防毒掃描程式]。
- 在 [啟用] 下,選取 [啟動]。
- 在 [選項] 下,選取要設定的防毒選項,然後按一下 [編輯]。
- 選取 [基本選項],然後選取 [啟用 Artemis 技術] 及所需的 [敏感性層級]:
敏感性層級說明
已停用 GTI 已關閉。 非常低 相當於隔天的 DAT 檔案。今天就取得明天的防護。這是建議的初始組態。 低 DAT 檔案以外的防護 中 經常暴露於惡意程式碼的風險高於誤判的風險時使用。 高 建議在經常受感染的 [SharePoint 存放庫] 中使用。 非常高 建議在 [SharePoint 存放庫] 的 [依需求掃描] 中使用。
- 按一下 [儲存]。
- 選取用戶端電腦,然後傳送代理程式喚醒呼叫。
SiteAdvisor Enterprise (3.5 或更新版本)
SiteAdvisor Enterprise 是第一個使用 GTI URL 信用評價的版本。3.5 版 Patch 2 也將會使用 GTI 檔案信用評價。
若要啟用這項服務:
- 啟動 ePO,然後選取 [功能表]、[原則]、[原則目錄]。
- 選取產品 – SiteAdvisor Enterprise 3.5 或更新版本。
- 從原則功能表按一下 [啟用] 或 [停用]。
VirusScan Enterprise 8.7i
VirusScan Enterprise (VSE) 已整合 GTI 檔案信用評價。
- 對於 VSE 8.7i (未修補) 和 VSE 8.7i Patch 1,您可以為「電子郵件傳送時掃描」、「依需求掃描」及「常駐掃描」啟用 GTI。
- VSE 8.7i Patch 2 及更新版本依預設啟用 GTI,因此您不必採取任何動作。
- 您只能使用 ePO 4.0 或更新版本來部署 GTI 至 VSE 8.7i 或更新版本。
- 在簽入套件至 ePO 時有三個選項:[目前]、[前一個] 和 [評估]。所有用戶端預設使用 [目前]。
- 若要暫置部署,您可以指派要從 [評估] 分支更新的電腦群組。然後您即可以「評估」簽入 SuperDAT。
若要使用 ePO 4.5 在 VSE 8.7i 中啟用 GTI
- 啟動 ePO,然後按一下 [功能表]、[原則]、[原則目錄]。
- 選取 VirusScan Enterprise 8.7.0 (或更新版本)、[電子郵件傳送時掃描原則]。
- 選取 [伺服器] 或 [工作站] 以編輯其原則。
- 選取 [掃描項目] 標籤,在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下選取 [敏感性層級]。
- 在 [掃描項目] 標籤的 [啟發式] 下,啟用 [尋找未知的程式威脅和特洛伊木馬]。
- 儲存原則。
- 啟動 ePO,然後按一下 [功能表]、[系統]、[系統樹狀目錄]。
- 按一下 [用戶端工作] 標籤,然後按一下 [新增工作]。
- 輸入新名稱,然後選取工作類型 [依需求掃描] (VSE 8.7.0 或更新版本)。
- 按一下 [下一步],然後選取 [效能] 標籤。
- 在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下選取 [敏感性層級]。
- 在 [掃描項目] 標籤的 [啟發式] 下,啟用 [尋找未知的程式威脅]。
- 若要排定執行工作,請按一下 [下一步]。
- 若要檢閱並儲存工作,請按一下 [下一步]。
- 啟動 ePO,然後按一下 [功能表]、[原則]、[原則目錄]。
- 選取 VirusScan Enterprise 8.7.0 (或更新版本)、[常駐一般原則]。
- 選取 [伺服器] 或 [工作站] 以編輯其原則。
- 選取 [一般] 標籤,然後選取 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下的 [敏感性層級]。
- 儲存原則。
- 選取 VirusScan Enterprise 8.7.0 (或更新版本)、[常駐預設/高風險/低風險處理程序原則]。
- 選取 [伺服器] 或 [工作站] 以編輯其原則。
- 按一下 [掃描項目] 標籤,並啟用 [啟發式] 下的 [尋找未知的程式和特洛伊木馬]。
- 儲存原則。
若要使用 ePO 4.0 在 VSE 8.7i 中啟用 GTI
- 啟動 ePO,然後按一下 [系統] 標籤。
- 按一下 [原則目錄] 標籤,然後選取 VirusScan Enterprise 8.7.0 (或更新版本) [電子郵件傳送時掃描原則]。
- 選取 [伺服器] 或 [工作站] 以編輯其原則。
- 選取 [掃描項目] 標籤,在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下選取 [敏感性層級]。
- 在 [掃描項目] 標籤的 [啟發式] 下,啟用 [尋找未知的程式威脅和特洛伊木馬]。
- 儲存原則。
- 啟動 ePO,然後按一下 [系統] 標籤。
- 按一下 [系統樹狀目錄]、[用戶端工作]、[新增工作]。
- 輸入新名稱,然後選取工作類型 [依需求掃描] (VSE 8.7.0 或更新版本)。
- 按一下 [下一步],然後選取 [效能] 標籤。
- 在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下選取 [敏感性層級]。
- 在 [掃描項目] 標籤的 [啟發式] 下,啟用 [尋找未知的程式威脅]。
- 若要排定執行工作,請按一下 [下一步]。
- 若要檢閱並儲存工作,請按一下 [下一步]。
常駐掃描原則 (需要 VSE 8.7i Patch 1 或更新版本):
- 啟動 ePO,然後按一下 [系統] 標籤。
- 按一下 [原則目錄] 標籤,然後選取 VirusScan Enterprise 8.7.0 (或更新版本) [常駐一般原則]。
- 選取 [伺服器] 或 [工作站] 以編輯其原則。
- 選取 [一般] 標籤,然後選取 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下的 [敏感性層級]。
- 儲存原則。
- 選取 VirusScan Enterprise 8.7.0 (或更新版本) 和 [常駐預設/高風險/低風險處理程序原則]。
- 選取 [伺服器] 或 [工作站] 以編輯其原則。
- 按一下 [掃描項目] 標籤,並啟用 [啟發式] 下的 [尋找未知的程式和特洛伊木馬]。
- 儲存原則。
在本機配置 VSE 8.7i 的 GTI 設定
依需求掃描原則:
- 按一下 [開始]、[程式集]、[McAfee]、[VirusScan 主控台]。
- 按兩下 [依需求掃描]。如有必要,請選取 [效能] 標籤。
- 在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下設定適當的 敏感性層級],然後按一下 [確定]。
- 選取 [掃描項目] 標籤。
- 在 [啟發式] 下啟用 [尋找未知的程式威脅],然後按一下 [確定]。
[電子郵件傳送時掃描] 原則:
- 按一下 [開始]、[程式集]、[McAfee]、[VirusScan 主控台]。
- 按兩下 [電子郵件傳送時掃描]。如有必要,請選取 [掃描項目] 標籤。
- 在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下設定適當的 敏感性層級],然後按一下 [確定]。
- 選取 [掃描項目] 標籤。
- 在 [啟發式] 下啟用 [尋找未知的程式威脅和特洛伊木馬],然後按一下 [確定]。
- 按一下 [開始]、[程式集]、[McAfee]、[VirusScan 主控台]。
- 按兩下 [常駐掃描]。如有必要,請選取 [掃描項目] 標籤。
- 在 [適用於可疑檔案的啟發式網路檢查] (或 VSE 8.8 中的 [Artemis (適用於可疑檔案的啟發式網路檢查)]) 下設定適當的 敏感性層級],然後按一下 [確定]。
- 選取 [掃描項目] 標籤。
- 在 [啟發式] 下啟用 [尋找未知的程式和特洛伊木馬],然後按一下 [確定]。
Web Gateway 已整合 GTI 案信用評價、Web 分類及 Web 信用評價。
若要啟用 GTI 檔案信用評價:
- 在原則畫面左側的設定標籤中,向下切入引擎、防惡意程式碼及閘道防惡意程式碼。
- 在 [進階設定] 下,按一下 [啟用 Artemis 查詢]。
若要啟用 GTI Web 分類和信用評價:
- 停留在原則畫面和左側設定標籤中,向下切入 [TrustedSource]、[預設值]。
- 在右側為 Web 分類選取 [在雲端分級中執行 (若本機分級未產生結果)],為 Web 信用評價選取 [在雲端分級中使用預設 TrustedSource 伺服器]。
地理位置資訊只能透過查閱取得。若要啟用此功能,請選取 [僅在雲端分級服務中使用]。
相關資訊
如需 Global Threat Intelligence 檔案信用評價層級的相關詳細資料,請參閱 KB74983。
如需 Global Threat Intelligence 檔案信用評價層級的常見問題集 (FAQ),請參閱 KB53735。
如需 Global Threat Intelligence Proxy 的常見問題集 (FAQ),請參閱 KB71000。
本文取代 KB53732、KB72228 及 B68631。