O servidor TIE fornece um comando de reputação remota definido com a API da Web do ePolicy Orchestrator (ePO). Ele se destina a automatizar substituições de reputação de um determinado conjunto de arquivos e hashes de certificado. A execução em massa é suportada e pode ser auditada a partir do log de auditoria do ePO. As substituições sempre têm precedência. Portanto, recomendamos que você reconcilie as substituições periodicamente em relação a outras reputações e remova as reputações já abordadas para manter os recursos adaptáveis.
A sintaxe do comando é
tie.setReputations [fileReps] [certReps] . Especifique pelo menos um
fileReps ou
certReps ; você pode especificar ambos na mesma chamada de carga. Use
JSON cadeias de caracteres para representar arquivos e certificados. Verifique se os hashes são
Base64 codificados e use um dos seguintes valores para especificar a reputação:
- 1 (conhecido como malicioso)
- 15 (provavelmente malicioso)
- 30 (pode ser malicioso)
- 50 (desconhecido)
- 70 (pode ser confiável)
- 86 (provavelmente confiável)
- 99 (confiável conhecido)
A seguir está um exemplo de uma carga que define a reputação de um único arquivo como confiável conhecido:
fileReps = [{"name":"test.exe",
"sha1":"udrarummyjtffybxaflkxzjhpao=",
"md5":"gixbyabniwsaanqznfufxe==",
"sha256":"icidutgqksorrzjvqsepfmkyiambtbufcckwarjmqth==",
"reputation":"99"}]
Um dos seguintes tipos de hash é obrigatório:
sha1 ,
md5, sha256 ou
reputation . Os atributos
name e os tipos
de hash adicionais são opcionais. É recomendável que você forneça o máximo de tipos de hash possíveis para um determinado arquivo. O motivo é que os produtos integrados podem não honrar alguns hashes.
A seguir está um exemplo de uma carga que define a reputação de um único certificado para confiável conhecido:
certReps = [{"sha1":"frATnSF1c5s8yw0REAZ4IL5qvSk=", "publicKeySha1":"udrarummyjtffybxaflkxzjhpao=",
"reputation":"99"}]]
Os atributos
sha1 e
reputation são obrigatórios. O atributo
publicKeySha1 é opcional.