IMPORTANT : La procédure décrite dans cet article doit être suivie uniquement lorsqu’il est impossible de soumettre des échantillons de logiciels malveillants par le biais du processus de soumission de logiciels malveillants ServicePortal. Pour obtenir des instructions sur la procédure d’envoi des échantillons via ServicePortal, voir
l’article kb68030-Submit Samples to Trellix Labs pour détecter toute défaillance de détection de logiciels malveillants.
Cet article décrit les scénarios d’utilisation acceptables pour les cas où vous pouvez soumettre des échantillons à l’aide des serveurs FTP suivants :
Emplacement du serveur FTP |
Commentaires |
support-ftp.mcafee.com |
FTP standard |
support-sftp.mcafee.com |
FTP sécurisé |
Pourquoi soumettre avec FTP ?
Trellix Labs accepte les soumissions de logiciels malveillants via des sites FTP pour les deux scénarios d’utilisation-cas suivants :
- Les exemples de clients sont trop volumineux ou trop nombreux et ne peuvent pas être facilement fractionnés pour être soumis à l’aide des méthodes de soumission de sites Web standard ou d’envoi par e-mail. Les limites pour ServicePortal et les soumissions d’e-mails sont de 50 Mo, et pas plus de 100 fichiers par fichier d’archive.
- Il existe un problème technique avec le site ServicePortal et l’envoi par e-mail, et vous ne pouvez pas soumettre des exemples à l’aide de ces méthodes.
Trellix Labs exige que vous utilisiez la méthode standard
d’envoi via ServicePortal dans le cadre d’une première étape, car ce service offre une meilleure expérience que le site FTP.
Méthodes d’envoi standard et FTP
La liste suivante présente les avantages des méthodes d’envoi standard sur FTP :
- Surveillance : Les sites FTP ne sont pas surveillés. Les fichiers soumis ne sont pas accessibles tant que vous n’avez pas contacté Support technique pour analyse, même si l’échantillon est connu et si une Extra.DAT est déjà disponible. Vous ne recevez pas de réponse tant que nous n’avons pas pu Rechercher l’échantillon manuellement. Cette méthode FTP peut ajouter des retards significatifs au processus et augmenter le temps de réponse.
- Accusé de réception de l' envoi : Lorsque vous envoyez par l’intermédiaire de méthodes standard, vous recevez une réponse par e-mail pour confirmer que votre demande a été reçue. Le système vous informe de la classification actuelle des exemples, par exemple, nettoyer, malveillant, programme potentiellement indésirable, non concluant ou détecté avec Extra.DAT . Lorsque vous soumettez des exemples via FTP, vous ne recevez aucun e-mail et toutes les réponses proviennent manuellement de Support technique et non de systèmes automatisés.
- Stratégie de suppression : La stratégie du serveur FTP supprime tous les échantillons au bout de deux semaines. Si l’échantillon n’est pas stocké ailleurs, il est possible de le purger du serveur avant la fermeture de l’incident.
- Retards : Il y a de nombreux retards et tâches manuelles lorsque vous soumettez des échantillons via les sites FTP au lieu des méthodes d’envoi standard, où l’automatisation est utilisée. Utilisez les sites FTP uniquement lorsqu’il est impossible d’envoyer des fichiers à l’aide des méthodes standard.
- Priorité : Les regroupements de logiciels malveillants et les envois en masse comptent des centaines de milliers d’échantillons reçus dans Trellix Labs chaque jour. Ils sont traités avec une priorité moins élevée que les exemples de client traités via nos systèmes automatisés. Les collections de logiciels malveillants et les échantillons d’envoi en masse ont une priorité moins élevée, car nous traiterons les exemples de clients, qui reçoivent la priorité la plus élevée en premier. Lorsque vous soumettez un échantillon à l’aide de ServicePortal ou de l’e-mail, l’échantillon est soumis avant le traitement de la collecte et obtient une analyse de priorité. Si vous soumettez un échantillon à l’aide de FTP et qu’il n’a été vu que dans les envois en masse, il est traité à un débit plus lent que s’il était envoyé par le biais de méthodes standard.
- Création automatisée de pilotes : Si l’automatisation peut générer un pilote pour un échantillon, elle le sera. Toutefois, si un échantillon est généré en raison d’une collection de priorité inférieure, il est défini pour fusionner ou libérer à une priorité plus faible. Les soumissions envoyées par les clients reçoivent toujours la priorité la plus élevée, qui est également reflétée dans la fusion ou la libération. Tous les pilotes écrits via l’automatisation des exemples de client entrent dans les fichiers DAT avant ceux issus des collectes en masse.
- Version du pilote : Les pilotes d’automatisation, en particulier les pilotes générés en raison des soumissions des clients, sont construits à l’aide de modèles éprouvés et testés. Les pilotes de l’automatisation peuvent être distribués dans les fichiers DAT plus rapidement que les pilotes générés par un humain.
- Exemple de retraitement : Trellix Labs tente de conserver autant de données actuelles que possible pour les échantillons, mais il existe des milliards de fichiers dans nos collections. Nous ne pouvons donc retraiter qu’un grand nombre d’échantillons par jour et vous assurer que les données sont exactes. Toutefois, tout échantillon soumis par un client qui ne dispose pas d’une détection actuelle ou qui n’est pas connu comme non infecté, est retraité quotidiennement pour s’assurer que les données peuvent être mises à jour dans la base de données exemple. De cette manière, s’il existe de nouvelles données pour l’exemple, il existe plusieurs opportunités pour créer un pilote automatisé.
- Ajout automatique aux tâches opérationnelles : Trellix Labs dispose de systèmes qui surveillent automatiquement les SampleDB ou l’automatisation des exemples de clients ayant des caractéristiques spécifiques. Ces exemples sont mis en surbrillance et élevés à notre équipe de création de signature générique pour fonctionner sur de nouvelles détections génériques et utiliser ces exemples pour les tests de version.
- Exemples d’apprentissage automatique : Les systèmes de formation automatique traitent tous les échantillons soumis par le client pour améliorer ces systèmes, ainsi que les taux classification ou de détection de produits tels que Real Protect.
- Envois de Advanced Threat Defense (ATD) : Le système d’automatisation back-end comporte des systèmes ATD qui sont utilisés dans le cadre du traitement des exemples de client, ce qui fournit aux laboratoires Trellix des informations plus détaillées sur le fichier. Il fournit également aux exemples d’équipes de recherche ATD pour améliorer les fonctionnalités de ATD.
- Generic.tra: Le workflow crée les fichiers extra. dat, et non les systèmes d’automatisation.
REMARQUES :
- Tout generic.tra ce qui est créé est un fichier extra signé .DAT (SED), qui permet d’utiliser un plus grand nombre de verbes dans le pilote.
- La routine de réparation ou de nettoyage utilisée pour a generic.tra est la même routine de nettoyage générique que celle utilisée dans la plupart des pilotes et SEDS dans les fichiers DAT. Ils ont la même fonctionnalité de réparation.
- En plus de cette fonction, en fournissant un generic.tra , les échantillons sont déplacés vers une file d’attente pour que l’homme puisse consulter une generic.tra réponse.