FAQ pour les Global Threat Intelligence de pare-feu ENS
Date de la dernière modification : 2021-06-03 07:17:21 Etc/GMT
Clause d'exclusion de responsabilité
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, PDG de Trellix, explique qu'une sécurité qui apprend et évolue en permanence est aujourd'hui indispensable.
Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Quelles sont les cybermenaces dont les entreprises doivent se méfier en 2022?
Le secteur de la cybersécurité est en constante effervescence. N'attendez plus pour en tirer parti et dynamiser votre entreprise.
Deux leaders du marché de la cybersécurité unissent leurs forces pour créer un monde numérique résilient.
Bryan Palma, PDG de Trellix, explique qu'une sécurité qui apprend et évolue en permanence est aujourd'hui indispensable.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
FAQ pour les Global Threat Intelligence de pare-feu ENS
Articles techniques ID:
KB90837
Date de la dernière modification : 2021-06-03 07:17:21 Etc/GMT Environnement
Pare-feu McAfee Endpoint Security (ENS) 10.x
Synthèse
Mises à jour récentes de cet article
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Cet article fournit des informations détaillées sur la fonctionnalité ENS Firewall Global Threat Intelligence (GTI). Quel nom d’hôte et quel numéro de port doivent être ouverts pour que la fonctionnalité GTI fonctionne ? Pour fonctionner correctement, le nom d’hôte et le numéro de port suivants doivent être ouverts. Assurez-vous qu’ils sont ouverts sur tous les pare-feu de passerelle, et le cas échéant, à partir du serveur proxy. Hote
port 443 Puis-je modifier le nom d’hôte et les informations de port pour les recherches de réputation GTI ? Non.Le nom d’hôte et les informations de port utilisées pour les recherches de réputation GTI sont codés en dur dans le produit. Ces informations ne peuvent pas être modifiées dans la configuration locale ou dans les stratégies ePolicy Orchestrator (ePO). La fonctionnalité GTI fonctionne-t-elle avec ou sans serveur proxy ?
Oui. Le pare-feu ENS GTI fonctionne correctement avec ou sans serveur proxy. Lorsqu’un serveur proxy est configuré, le navigateur Internet est configuré pour se connecter directement à un serveur proxy pour l’accès à Internet.
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyServerAddress] with its value [10.10.10.1] 08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyServerPort] with its value [8080] 08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyType] with its value [2],/div> En cas d’échec, passez en revue les 08/31/2018 12:38:36.921 PM mfeesp(3052.4660) GTIBL.GTI.Debug: could not setup proxy (proxy host: Proxy.customer.com host: tunnel.web.trustedsource.org.) Comment tester la connectivité GTI à l’aide de Vérifiez si la connectivité GTI est réussie.
Quelles règles GTI déclenche-t-il si le trafic est bloqué ? Le pare-feu ENS GTI déclenche les règles de pare-feu suivantes si le trafic réseau est bloqué en raison de la concordance des évaluations de seuils de réputation ou d’GTI des réseaux configurés.
Quelles adresses IP puis-je utiliser pour tester la fonctionnalité GTI ? Utilisez les adresses IP suivantes pour tester la fonctionnalité de GTI du pare-feu ENS. Lorsque vous accédez à ces adresses IP, les événements bloqués doivent s’afficher dans le ENS 207.67.117.52 MEDIUM RISK 207.67.117.53 UNVERIFIED RISK Exemple d’événement de blocage : Event: Traffic IP Address: 207.67.117.51 Description: MICROSOFT TELNET CLIENT Path: C:\Windows\System32\telnet.exe Message: Blocked Outgoing TCP - Source 10.0.0.1 : (57640) Destination 207.67.117.51 : http (80) Matched Rule: GTI Rule - TCP - Out Qu’arrive-t-il au trafic si le pare-feu ENS ne peut pas atteindre le serveur GTI ? Vous pouvez configurer le pare-feu ENS pour bloquer ou autoriser le trafic par défaut si le serveur d’évaluation GTI n’est pas accessible. Configurer le paramètre Si McAfee GTI serveur d’évaluation n’est pas accessible dans le pare-feu ENS Options stratégie sous la section nommée Réputation du réseau McAfee GTI. Quel type de hachage est utilisé pour les requêtes de fichier ? ENS utilise l’algorithme SHA-256 pour les requêtes de fichier à GTI. ENS continue de prendre en charge MD5 pour la configuration et la génération de rapports de stratégie. Les évaluations de nom de domaine sont-elles utilisées ? Non.L’adresse IP et le numéro de port de la demande de connexion sont classés par rapport à la base de données GTI. Les évaluations de nom de domaine ne sont pas utilisées. Les évaluations GTI peuvent-elles différer selon la manière dont une connexion est établie ? Oui. Les évaluations GTI diffèrent selon la manière dont une connexion est établie. Par exemple, le trafic de port 25 vers une adresse IP peut avoir une évaluation GTI différente de celle du port 80. Comment configurer des exclusions pour la fonctionnalité ENS Firewall GTI ? Vous pouvez ajouter les adresses IP concernées dans la Options de pare-feu stratégie sous l' Réseaux définis section.
ENS pare-feu GTI-t-il automatiquement les adresses IP ? ENS Firewall GTI exclut automatiquement les adresses IP suivantes d’une vérification des évaluations :
Un événement est-il envoyé à ePO si le trafic est bloqué ? Si le paramètre Consigner le trafic de correspondance est activé dans le pare-feu ENS Options stratégie sous la section Réputation du réseau McAfee GTI, Les événements ID d’événement 35002 sont générés et signalés au serveur ePO. Puis-je utiliser des requêtes ePO pour générer des rapports sur les événements GTI ? Oui. Une requête par défaut nommée Pare-feu Endpoint Security : Evénements de McAfee GTI au cours des 6 derniers mois est fourni. Vous pouvez également créer vos propres requêtes ePO pour générer des rapports sur les événements GTI. Comment puis-je contester les évaluations GTI ou en savoir plus sur les évaluations GTI ? Pour contester ou demander des informations complémentaires sur les évaluations GTI, vous avez deux options :
Veuillez Les évaluations de domaine et d’URL peuvent différer de l’adresse IP : les évaluations de numéro de port. Lors de l’utilisation de Vérifier l’URL action sur le site Web TrustedSource, l’évaluation du port 80 (http://207.67.117.51) ou le port 443 (https://207.67.117.51) est renvoyée. Les évaluations GTI peuvent différer si le numéro de port signalé dans les journaux de pare-feu n’est pas 80 ou 443.
Informations connexes
Pour plus d’informations sur la configuration des fonctionnalités GTI, reportez-vous à la section Guide produit de Endpoint Security. Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Clause d'exclusion de responsabilitéLe contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectésLangues :Cet article est disponible dans les langues suivantes : |
|