Le serveur TIE fournit une commande à distance Set reputation avec l’API Web d’ePolicy Orchestrator (ePO). Elle est destinée à automatiser les remplacements de réputation pour un ensemble donné de fichiers et de hachages de certificats. L’exécution en mode bulk est prise en charge et peut être auditée à partir du journal d’audit ePO. Les remplacements ont toujours la priorité. Nous vous recommandons donc de réconcilier les remplacements périodiquement par rapport à d’autres réputations et de supprimer les réputations déjà couvertes pour maintenir les fonctionnalités adaptatives.
La syntaxe de la commande est
tie.setReputations [fileReps] [certReps] . Spécifiez au moins un
fileReps ou
certReps , vous pouvez spécifier les deux dans le même appel de charge utile. Utilisez
JSON des chaînes pour représenter les fichiers et les certificats. Assurez-vous que les hachages sont
Base64 codés et utilisez l’une des valeurs suivantes pour spécifier la réputation :
- 1 (malveillant connu)
- 15 (très probablement malveillant)
- 30 (peut-être malveillant)
- 50 (inconnu)
- 70 (peut-être approuvé)
- 86 (très probablement approuvé)
- 99 (approuvé connu)
Voici un exemple de charge active qui définit la réputation d’un fichier unique sur approuvé connu :
fileReps = [{"name":"test.exe",
"sha1":"udrarummyjtffybxaflkxzjhpao=",
"md5":"gixbyabniwsaanqznfufxe==",
"sha256":"icidutgqksorrzjvqsepfmkyiambtbufcckwarjmqth==",
"reputation":"99"}]
L’un des types de hachage suivants est obligatoire :
sha1 ,
md5, sha256 ou
reputation . Les attributs
name et les types
de hachage supplémentaires sont facultatifs. Il est recommandé d’indiquer autant de types de hachage que possible pour un fichier donné. Cela est dû au fait que les produits intégrés peuvent ne pas honorer certains hachages.
Voici un exemple de charge active qui définit la réputation d’un seul certificat sur approuvé connu :
certReps = [{"sha1":"frATnSF1c5s8yw0REAZ4IL5qvSk=", "publicKeySha1":"udrarummyjtffybxaflkxzjhpao=",
"reputation":"99"}]]
Les attributs
sha1 et
reputation sont obligatoires. L’attribut
publicKeySha1 est facultatif.