IMPORTANTE: La procedura descritta in questo articolo deve essere seguita solo quando non è possibile inviare malware campioni tramite il processo di invio di ServicePortal malware. Per istruzioni su come inviare gli esempi tramite ServicePortal, consultare
l'articolo kb68030-inviare campioni a Trellix Labs per rilevare il sospetto malware errore di rilevamento.
In questo articolo vengono illustrati scenari di casi di utilizzo accettabili per quando è possibile inviare esempi utilizzando i seguenti server FTP:
Percorso del server FTP |
Commenti |
support-ftp.mcafee.com |
FTP standard |
support-sftp.mcafee.com |
Secure FTP |
Perché inviare con FTP?
Trellix Labs accetta malware invii tramite siti FTP per i seguenti due scenari di utilizzo:
- Gli esempi di clienti sono troppo grandi o troppi e non possono essere facilmente suddivisi per l'invio utilizzando i metodi di invio standard Web o email. I limiti per ServicePortal e email invii sono di 50 MB e non sono presenti più di 100 file per file di archivio.
- Si è verificato un problema tecnico con il sito ServicePortal e email invio e non è possibile inviare esempi utilizzando questi metodi.
Trellix Labs richiede l'utilizzo del metodo standard
di invio tramite ServicePortal come primo passo perché questo servizio offre un'esperienza migliore rispetto al sito FTP.
Metodi di invio standard rispetto a. FTP
Il seguente elenco descrive i vantaggi dei metodi di invio standard su FTP:
- Monitoraggio: I siti FTP non vengono monitorati. I file inviati non sono accessibili fino a quando non si Contatta Assistenza tecnica per l'analisi, anche se il campione è noto e un Extra.DAT è già disponibile. Non si riceve una risposta finché non si esegue una ricerca manuale del campione. Questo metodo FTP può aggiungere ritardi significativi al processo e aumentare il tempo di risposta.
- Riconoscimento dell'invio: Quando si inviano i metodi standard, si riceve una risposta email per confermare che l'invio è stato ricevuto. Il sistema informa l'utente della classificazione corrente dei campioni, ad esempio programmi puliti, dannosi, potenzialmente indesiderati, non conclusivi o rilevati con Extra.DAT . Quando si inviano esempi tramite FTP, non si riceve alcun email e tutte le risposte vengono inviate manualmente da Assistenza tecnica anziché da sistemi automatici.
- Policy di eliminazione: Il server FTP policy Elimina tutti gli esempi dopo due settimane. Se l'esempio non è memorizzato altrove, è possibile eliminarlo dal server prima che il caso venga chiuso.
- Ritardi: Sono presenti numerosi ritardi e un impegno manuale quando si inviano esempi tramite i siti FTP anziché tramite i metodi di invio standard, in cui viene utilizzata l'automazione. Utilizzare i siti FTP solo quando non è possibile inviare file tramite i metodi standard.
- Priorità: Le raccolte di malware e le richieste di invio bulk rappresentano centinaia di migliaia di campioni ricevuti in Trellix Labs ogni giorno. Vengono trattati con una priorità inferiore rispetto agli esempi di clienti elaborati tramite i sistemi automatizzati. Le raccolte di malware e gli esempi di invio bulk ricevono una priorità inferiore perché elaboriamo i campioni dei clienti, con la massima priorità, prima. Quando si invia un esempio utilizzando ServicePortal o email, l'esempio va prima dell'elaborazione della raccolta e ottiene un'analisi prioritaria. Se si invia un esempio utilizzando l'FTP ed è stato rilevato solo in invii di massa, l'elaborazione viene elaborata con una velocità più lenta rispetto a quella inviata tramite metodi standard.
- Creazione automatica driver: Se l'automazione può generare un driver per un campione, lo farà. Tuttavia, se un campione viene generato a causa di una raccolta di priorità inferiore, viene impostato su Unisci o rilascia con una priorità inferiore. Le osservazioni ricevute dai clienti ricevono sempre la priorità più elevata, che si riflette anche nell'Unione o nel rilascio. Tutti i driver scritti tramite automazione per i campioni dei clienti entrano nei file dat prima di quelli provenienti da raccolte bulk.
- Rilascio driver: I driver provenienti dall'automazione, in particolare quelli generati a causa di invii di clienti, vengono costruiti utilizzando modelli comprovati e testati. I driver di automazione possono essere effettivamente rilasciati nei file DAT più velocemente dei driver generati da un essere umano.
- Rielaborazione del campione: Trellix Labs cerca di mantenere il maggior numero possibile di dati correnti per i campioni, ma ci sono miliardi di file nelle nostre collezioni. Quindi, possiamo rielaborare così tanti campioni al giorno e assicurarci che i dati siano esatti. Tuttavia, tutti i campioni inviati dal cliente che non dispongono di un rilevamento corrente o non sono noti per essere puliti, vengono rielaborati ogni giorno per assicurarsi che i dati possano essere aggiornati nel database di esempio. In questo modo, se sono presenti nuovi dati per il campione, sono disponibili diverse opportunità per la creazione di un driver automatico.
- Aggiunta automatica alle attività operative: Trellix Labs dispone di sistemi che controllano automaticamente SampleDB o automazione per i campioni provenienti da clienti con caratteristiche specifiche. Questi esempi vengono evidenziati e generati al team di authoring delle firme generiche per lavorare sui nuovi rilevamenti generici e utilizzare tali esempi per il test di rilascio.
- Esempi per l'apprendimento automatico: I sistemi di apprendimento automatico elaborano tutti i campioni sottoposti al cliente per migliorare tali sistemi, nonché i tassi di classificazione o rilevamento di prodotti come Real Protect.
- Invii Advanced Threat Defense (ATD): Il sistema di automazione di back-end dispone di sistemi ATD che vengono utilizzati come parte dell'elaborazione degli esempi di clienti, che fornisce ai laboratori Trellix una maggiore intelligenza sul file. Fornisce inoltre i campioni del team di ricerca ATD per migliorare le capacità di ATD.
- Generic.tra: Il flusso di lavoro crea i file extra. dat, non i sistemi di automazione.
NOTE:
- Qualsiasi generic.tra creato è un extra firmato .DAT (SED), che consente di utilizzare più verbi nel driver.
- La procedura di riparazione o pulizia utilizzata per a generic.tra è la stessa routine di pulizia generica utilizzata nella maggior parte dei driver e SEDs nei dat. Hanno la stessa capacità di riparazione.
- Oltre a questa funzione, fornendo un generic.tra , i campioni spostati in una coda per gli esseri umani a guardare ricevono una generic.tra risposta.