In che modo il MAR arriva alle sue definizioni comportamentali?
I comportamenti sono associati alle regole di traccia. Quando una regola corrisponde, il comportamento associato viene visualizzato come parte dell'attività e potenziale minaccia nell'area di lavoro.
Ad esempio, se un processo tenta di scrivere un valore nella chiave HKLM\...\Run che corrisponde a una regola di traccia associata al comportamento di persistenza, questa definizione verrà applicata.
Le query MAR sono passate da ePolicy Orchestrator (ePO) al server MAR utilizzando HTTPS (API) o DXL?
Le query passate da ePO al server MAR utilizzano HTTPS e l'API REST.
Il server MAR deve contattare direttamente Internet?
Il server MAR non ha bisogno di una connessione Internet diretta. Se il broker DXL è installato sullo stesso appliance e configurato in modalità Bridge, MAR ha bisogno di una connessione a Internet per inviare tracce al cloud.
Qual è la governance consigliata intorno all'account ePO cloud? Cosa accade ai dati se l'account scade o l'amministratore di ePO cloud lascia l'azienda?
Gli account cloud non scadono. McAfee Enterprise non eliminerà l'account, in modo che sia possibile continuare a utilizzare MAR senza problemi. Per proteggersi dal turnover dei dipendenti, assicurarsi che l'amministratore crei ulteriori accessi tramite Business Platform Services (BPS) in modo che l'account possa essere rilevato.
MAR è installato correttamente, ma l'area di lavoro Active Response non riesce a visualizzare i dati di traccia nonostante le minacce note ad alto rischio/sospette/monitorate siano monitorate sui sistemi endpoint. Perché si verifica questo problema?
È necessario attivare l'estensione del broker DXL per fornire i dati di traccia a MAR Workspace. Questa impostazione deve essere attivata come parte del processo di installazione di MAR 2.x. Tuttavia, è possibile attivarlo in qualsiasi momento.
- Aprire la console ePO e passare a Impostazioni del server.
- Selezionare Topologia DXL, Modifica.
- Selezionare il Broker DXL.
- Accanto Estensione del broker, selezionare il Fornisce i dati di traccia alla cloud per lo spazio di lavoro MAR opzione.
- Fare clic su Salva.