IMPORTANTE: El procedimiento descrito en este artículo solo debe seguirse cuando no es posible enviar muestras de malware a través del proceso de envío de malware de ServicePortal. Para obtener instrucciones sobre cómo enviar muestras a través de ServicePortal, consulte
el KB68030-Submit samples to Trellix Labs en busca de un fallo de detección de malware sospechoso.
En este artículo se explican los casos de uso aceptables para cuando se pueden enviar muestras mediante los siguientes servidores FTP:
Ubicación del servidor FTP |
Comentarios |
support-ftp.mcafee.com |
FTP estándar |
support-sftp.mcafee.com |
FTP seguro |
¿Por qué enviar con FTP?
Trellix Labs acepta malware envíos a través de sitios FTP para los dos casos de uso siguientes:
- Las muestras de cliente son demasiado grandes o demasiado numerosas, y no se pueden dividir fácilmente para su envío mediante los métodos estándar web o de envío de correo electrónico. Los límites de los envíos de ServicePortal y de correo electrónico son de 50 MB de tamaño y no más de 100 archivos por archivo de almacenamiento.
- Existe un problema técnico con el sitio web de ServicePortal y el envío de correo electrónico, y no es posible enviar muestras mediante estos métodos.
Trellix Labs requiere que utilice el método estándar
de envío a través de ServicePortal como primer paso, ya que este servicio ofrece una mejor experiencia que el sitio FTP.
Métodos de envío estándar frente a FTP
La siguiente lista detalla las ventajas de los métodos de envío estándar a través de FTP:
- Supervisión: Los sitios FTP no están supervisados. No se accede a los archivos enviados hasta que se pone en contacto con Soporte técnico para su análisis, incluso si se conoce la muestra y ya hay una Extra.DAT disponible. No recibirá ninguna respuesta hasta que investiguemos manualmente la muestra. Este método FTP puede Agregar retrasos importantes al proceso y aumentar el tiempo de respuesta.
- Confirmación de envío: Cuando envíe los métodos estándar, recibirá una respuesta por correo electrónico para confirmar que se ha recibido su envío. El sistema le informa de la clasificación actual de las muestras, por ejemplo, limpio, malicioso, programa potencialmente no deseado, no concluyente o detectado con Extra.DAT . Cuando se envían muestras a través de FTP, no se recibe correo electrónico y todas las respuestas se suministran de forma manual desde Soporte técnico en lugar de mediante sistemas automatizados.
- Directiva de eliminación: La Directiva del servidor FTP elimina todas las muestras tras dos semanas. Si la muestra no está almacenada en otra parte, se puede purgar desde el servidor antes de que se cierre el caso.
- Retrasos: Existen numerosos retrasos y esfuerzo manual cuando se envían muestras a través de los sitios FTP en lugar de mediante los métodos de envío estándar, donde se utiliza la automatización. Utilice los sitios FTP solo cuando no sea posible enviar archivos a través de los métodos estándar.
- Prioridad: Las recopilaciones de malware y los envíos masivos tienen en cuenta cientos de miles de muestras recibidas en Trellix Labs cada día. Se trata con una prioridad inferior a la de las muestras de clientes que se procesan a través de nuestros sistemas automatizados. Las muestras de las recopilaciones de malware y de envío masivo tienen una prioridad inferior, ya que procesamos muestras de clientes, que tienen la prioridad más alta en primer lugar. Cuando envía una muestra mediante el ServicePortal o el correo electrónico, la muestra se envía antes del procesamiento de recopilación y obtiene un análisis prioritario. Si envía una muestra mediante FTP y solo se ha observado en envíos masivos, se procesa a menor velocidad que si se enviara mediante métodos estándar.
- Creación automatizada de controladores: Si la automatización puede generar un controlador para una muestra, sí lo hará. Sin embargo, si se genera una muestra debido a una recopilación con menor prioridad, se establece como fusionarse o liberarse con una prioridad inferior. Los envíos recibidos de los clientes siempre reciben la prioridad más alta, que también se refleja en la combinación o la versión. Los controladores que se escriban a través de automatización para las muestras de clientes entran en los archivos DAT antes que los de las recopilaciones masivas.
- Versión del controlador: Los controladores de la automatización, especialmente los que se generan a causa de los envíos de clientes, se generan mediante plantillas probadas y probadas. Los controladores de la automatización se pueden liberar en los archivos DAT más rápido que los generados por un usuario.
- Reprocesamiento de muestras: Trellix Labs intenta mantener la mayor cantidad de datos actuales posibles para las muestras, pero hay miles de millones de archivos en nuestras colecciones. Por lo tanto, solo se pueden reprocesar tantas muestras por día y asegurarse de que los datos sean precisos. Sin embargo, cualquier muestra enviada por el cliente que no tenga una detección actual, o no sabe que está limpia, se volverá a procesar diariamente para asegurarse de que los datos se puedan actualizar en la base de dato de muestra. De esta forma, si hay datos nuevos para la muestra, existen varias oportunidades para que se pueda crear un controlador automatizado.
- Adición automática a las tareas operativas: Trellix Labs cuenta con sistemas que monitorn automáticamente SampleDB o automatización para muestras de clientes con características específicas. Estas muestras se resaltan y se elevan a nuestro equipo de creación de firmas genérica para que trabajen en las nuevas detecciones genéricas y emplean esas muestras para las pruebas de liberación.
- Muestras para machine learning: Los sistemas de aprendizaje automático procesan todas las muestras enviadas por el cliente para mejorar estos sistemas, así como la clasificación o las tasas de detección de productos como Real Protect.
- Envíos de Advanced Threat Defense (ATD): El sistema de automatización back-end tiene sistemas ATD que se utilizan como parte del procesamiento de muestras de clientes, que proporciona a Trellix Labs más inteligencia sobre el archivo. También proporciona los ejemplos del equipo de investigación de ATD para mejorar las capacidades de ATD.
- Generic.tra: El flujo de trabajo crea los archivos extra. dat, no los sistemas de automatización.
NOTAS:
- generic.traLo que se crea es un extra firmado .DAT (SED), que permite que se utilicen más verbos en el controlador.
- La rutina de reparación o limpieza utilizada para a generic.tra es la misma que se utiliza en la mayoría de los controladores y SEDs en los archivos DAT. Tienen la misma capacidad de reparación.
- Además de esta función, al ofrecer una generic.tra , las muestras se trasladaban a una cola para que los seres humanos vieran recibir una generic.tra respuesta.