Server TIE fornisce un comando remoto di reputazione impostato con l'API Web di ePolicy Orchestrator (ePO). Ha lo scopo di automatizzare gli override della reputazione per un determinato set di file e hash di certificati. L'esecuzione bulk è supportata e può essere verificata dal registro di verifica di ePO. Gli override hanno sempre la precedenza. Si consiglia pertanto di riconciliare periodicamente le sostituzioni rispetto ad altre reputazioni e di rispostare le reputazioni già coperte per mantenere le funzionalità adattive.
La sintassi del comando è
tie.setReputations [fileReps] [certReps] . Specificare almeno uno
fileReps o
certReps ; è possibile specificare entrambi nella stessa chiamata payload. Utilizzare
JSON le stringhe per rappresentare file e certificati. Assicurarsi che gli hash siano
Base64 codificati e utilizzare uno dei seguenti valori per specificare la reputazione:
- 1 (dannoso noto)
- 15 (probabilmente dannoso)
- 30 (potrebbe essere dannoso)
- 50 (sconosciuto)
- 70 (potrebbe essere affidabile)
- 86 (probabilmente affidabile)
- 99 (affidabile noto)
Di seguito è riportato un esempio di payload che imposta la reputazione di un singolo file su affidabile noto:
fileReps = [{"name":"test.exe",
"sha1":"udrarummyjtffybxaflkxzjhpao=",
"md5":"gixbyabniwsaanqznfufxe==",
"sha256":"icidutgqksorrzjvqsepfmkyiambtbufcckwarjmqth==",
"reputation":"99"}]
Uno dei seguenti tipi di hash è obbligatorio:
sha1 ,
md5, sha256 o
reputation . Gli attributi
name e i tipi
di hash aggiuntivi sono facoltativi. Si consiglia di specificare il maggior numero di hash possibile per un determinato file. Il motivo è che i prodotti integrati potrebbero non onorare alcuni hash.
Di seguito è riportato un esempio di payload che imposta la reputazione di un singolo certificato su affidabile noto:
certReps = [{"sha1":"frATnSF1c5s8yw0REAZ4IL5qvSk=", "publicKeySha1":"udrarummyjtffybxaflkxzjhpao=",
"reputation":"99"}]]
Gli attributi
sha1 e
reputation sono obbligatori. L'attributo
publicKeySha1 è facoltativo.