Aggiornamenti recenti a questo articolo
Data |
Aggiornamento |
14 aprile 2021 |
Aggiunta delle FAQ Come si verifica la connettività GTI utilizzando curl per Windows? |
14 luglio 2020 |
Sono state aggiornate le seguenti domande frequenti:
- Quali regole vengono attivate da GTI se il traffico è bloccato?
- Vengono utilizzate le classificazioni dei nomi di dominio?
- Come si configurano le esclusioni per la funzionalità ENS firewall GTI?
- Come posso contestare le classificazioni GTI o saperne di più sulle classificazioni GTI?
|
20 dicembre 2019 |
Articolo con tag con Firewall Endpoint Security 10.7.x. |
12 settembre 2019 |
Aggiornato Come si configurano le esclusioni di ENS firewall GTI per la rete interna? |
12 agosto 2019 |
Aggiunto: Che cosa sono i nomi delle regole GTI firewall ENS? e aggiornato l'esempio del registro GTI. |
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Questo articolo fornisce informazioni dettagliate sulla funzionalità ENS firewall Global Threat Intelligence (GTI).
Quali host nome e numero di porta devono essere aperti per il funzionamento di GTI?
Per funzionare correttamente, è necessario aprire il nome host e il numero di porta seguenti. Assicurarsi che siano aperti su qualsiasi firewall gateway e, se applicabile, dal server proxy.
Host tunnel.web.trustedsource.org (L'indirizzo IP può variare)
Porta 443
È possibile modificare il nome host e le informazioni sulla porta per le ricerche di reputazione GTI?
No. Il nome host e le informazioni sulle porte utilizzate per le ricerche di reputazione GTI sono hardcoded nel prodotto. Queste informazioni non possono essere modificate nella configurazione locale o nelle policy di ePolicy Orchestrator (ePO).
La funzionalità GTI funziona con o senza un server di proxy?
Sì. L'ENS firewall GTI funziona correttamente con o senza un server di proxy. Quando si configura un server di proxy, il browser Internet è configurato per connettersi direttamente a un server di proxy per l'accesso a Internet.
- Se non si utilizza un server di proxy, il client ENS richiede la connettività diretta al nome e alla porta GTI host.
- Se si utilizza un server di proxy, il server di proxy richiede la connettività al nome e alla porta host GTI. Configurare le opzioni del server di proxy nel ENS In comune policy nella sezione denominata Servizio proxyr. Sono disponibili due opzioni per la configurazione di un server di proxy:
- Utilizzare le impostazioni di proxy di sistema – ENS firewall GTI utilizza un server di proxy solo se nel sistema è configurato un server di proxy.
- Configurazione di proxy server – ENS firewall GTI utilizza sempre il server proxy specificato.
Suggerimento Escludere gli indirizzi GTI dal server proxy. Per ulteriori informazioni, consultare la sezione: KB79640-connessione a Global Threat Intelligence.
Per verificare le impostazioni del server In comune ENS proxy, esaminare il
\ProgramData\McAfee\Endpoint Security\Logs\EndpointSecurityPlatform_Debug.log file.
08/31/2018 09:27:48.465 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [enableHTTPAuth] with its value [false]
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyServerAddress] with its value [10.10.10.1]
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyServerPort] with its value [8080]
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyType] with its value [2],/div>
Se si verifica un errore, esaminare il
EndpointSecurityPlatform_Debug.log per proxy errori di autenticazione. Per ulteriori informazioni, consultare la sezione:
KB88190-l'accesso al server proxy non riesce quando si specifica dominio\nomeutente
08/31/2018 12:38:36.920 PM mfeesp(3052.4660) GTIBL.GTI.Debug: Could not connect to host tunnel.web.trustedsource.org.:443 via HTTP proxy Proxy.customer.com:80; HTTP status code = 407
08/31/2018 12:38:36.921 PM mfeesp(3052.4660) GTIBL.GTI.Debug: could not setup proxy (proxy host: Proxy.customer.com host: tunnel.web.trustedsource.org.)
Come si verifica la connettività GTI utilizzando curl per Windows?
Verificare se la connettività GTI ha esito positivo.
- Se si utilizza l'autenticazione di base proxy server, verificare la connessione a GTI con il seguente comando:
curl -kvU user -x proxyaddress:port https://tunnel.web.trustedsource.org:443
- Se non si utilizza l'autenticazione proxy server, omettere il nome utente e verificare la connessione a GTI con il seguente comando:
curl -kvx proxyaddress:port https://tunnel.web.trustedsource.org:443
- Se non si utilizza un server di proxy, verificare la connessione a GTI con il seguente comando:
curl -kv https://tunnel.web.trustedsource.org:443
Quali regole vengono attivate da GTI se il traffico è bloccato?
ENS firewall GTI attiva le seguenti regole di firewall se il traffico di rete è bloccato a causa della corrispondenza tra le classificazioni della soglia di reputazione di rete GTI in entrata o in uscita.
- Regola GTI-TCP-in
- Regola GTI-UDP-in
- Regola GTI-TCP-out
- Regola GTI-UDP-out
Quali indirizzi IP è possibile utilizzare per verificare la funzionalità GTI?
Utilizzare i seguenti indirizzi IP per verificare la funzionalità di ENS firewall GTI. Quando si accede a questi indirizzi IP, gli eventi bloccati devono essere visualizzati nel ENS
FirewallEventMonitor.log file con il nome della regola
Regola GTI-TCP-out.
207.67.117.51 HIGH RISK
207.67.117.52 MEDIUM RISK
207.67.117.53 UNVERIFIED RISK
Esempio di evento di blocco:
Time: 07/08/2020 03:33:57 PM
Event: Traffic
IP Address: 207.67.117.51
Description: MICROSOFT TELNET CLIENT
Path: C:\Windows\System32\telnet.exe
Message: Blocked Outgoing TCP - Source 10.0.0.1 : (57640) Destination 207.67.117.51 : http (80)
Matched Rule: GTI Rule - TCP - Out
Cosa accade al traffico se il firewall ENS non è in grado di raggiungere il server GTI?
È possibile configurare il firewall ENS per bloccare o consentire il traffico per impostazione predefinita se il server di classificazione GTI non è raggiungibile. Configurazione dell'impostazione
Se il server delle classificazioni McAfee GTI non è raggiungibile nel firewall ENS
Opzioni policy nella sezione denominata
Reputazione di rete McAfee GTI.
Che tipo di hash viene utilizzato per le query di file?
L'ENS utilizza SHA-256 per le query di file per GTI. L'ENS continua a supportare MD5 per policy la configurazione e la reportistica.
Vengono utilizzate le classificazioni dei nomi di dominio?
No. L'indirizzo IP e il numero di porta della richiesta di connessione vengono classificati in base al database GTI. Le classificazioni dei nomi di dominio non vengono utilizzate.
Le classificazioni GTI possono variare in base al modo in cui viene eseguita una connessione?
Sì. Le classificazioni GTI variano in base alla modalità di connessione. Ad esempio, il traffico della porta 25 a un indirizzo IP può avere una classificazione GTI diversa da quella della porta 80.
Come si configurano le esclusioni per la funzionalità ENS firewall GTI?
È possibile aggiungere gli indirizzi IP interessati nella
Opzioni firewall policy sotto il
Reti definite sezione.
- Valori elencati come Affidabili configurare il firewall in modo da ignorare la voce della funzionalità GTI, ma anche consentire tutto il traffico di rete da e verso il valore definito.
- Valori elencati come Non affidabile configurare il firewall in modo da ignorare la voce della funzionalità GTI. Tuttavia, questi valori vengono applicati anche per consentire/bloccare firewall regole in cui il Rete locale o Rete remota è definito come Reti definite (non affidabili).
ENS firewall GTI esclude automaticamente tutti gli indirizzi IP?
ENS firewall GTI esclude automaticamente i seguenti indirizzi IP da un controllo delle classificazioni:
- 10.0.0.0 - 10.255.255.255
- 169.254.0.0 - 169.254.255.255
- 172.16.0.0 - 172.31.255.255
- 192.168.0.0 - 192.168.255.255
- 127.0.0.1 - 127.255.255.255
- 0000:0000:0000:0000:0000:0000:0000:0001
- 0000:0000:0000:0000:0000:FFFF:0A00:0000 - 0000:0000:0000:0000:0000:FFFF:0AFF:FFFF
- 0000:0000:0000:0000:0000:FFFF:AC10:0000 - 0000:0000:0000:0000:0000:FFFF:AC1F:FFFF
- 0000:0000:0000:0000:0000:FFFF:C0A8:0000 - 0000:0000:0000:0000:0000:FFFF:C0A8:FFFF
- 0000:0000:0000:0000:0000:FFFF:A9FE:0000 - 0000:0000:0000:0000:0000:FFFF:A9FE:FFFF
- FE80:0000:0000:0000:0000:0000:0000:0000 - FE80:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
Un evento viene inviato a ePO se il traffico è bloccato?
Se l'impostazione
Traffico di corrispondenza del registro è attivato nel firewall ENS
Opzioni policy nella sezione
Reputazione di rete McAfee GTI, Gli eventi ID evento 35002 vengono generati e segnalati al server ePO.
È possibile utilizzare le query ePO per segnalare gli eventi GTI?
Sì. Un query predefinito denominato
Firewall Endpoint Security: eventi di McAfee GTI negli ultimi 6 mesi viene fornito. È inoltre possibile creare query ePO per segnalare gli eventi GTI.
Come posso contestare le classificazioni GTI o saperne di più sulle classificazioni GTI?
Per contestare o richiedere ulteriori informazioni sulle classificazioni GTI, sono disponibili due opzioni:
Nota Le classificazioni dei domini e degli URL possono essere diverse dall'indirizzo IP: numero di porta. Quando si utilizza il Controlla URL azione sul sito Web TrustedSource, la classificazione della porta 80 (http://207.67.117.51) o la porta 443 (https://207.67.117.51) viene restituito. Le classificazioni GTI potrebbero essere diverse se il numero di porta riportato nei registri del firewall non è 80 o 443.