Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Configuration minimale requise pour la collecte des données pour les échecs de détection, les échecs de nettoyage et les faux positifs
Articles techniques ID:
KB91459
Date de la dernière modification : 2023-03-03 22:08:20 Etc/GMT
Environnement
Prévention contre les menaces Endpoint Security (ENS) 10.x
McAfee Management for Optimized Virtual Environments (MOVE) McAfee MOVE AntiVirus Agentless (MOVE AV Agentless)
McAfee MOVE AntiVirus Multi-Platform (MOVE AV Multi-Platform)
McAfee MVISION Endpoint
McAfee VirusScan Enterprise (VSE) 8.x
Synthèse
Cet article présente les exigences minimales de collecte des données pour l’engagement de Support technique ou de McAfee Labs pour les types de problèmes suivants.
Contenu
Cliquez pour développer la section que vous souhaitez afficher :
Description Il existe un infection actif dans l’environnement et McAfee ne détecte pas les échantillons de logiciels malveillants. Vous demandez une couverture pour cette menace.
Configuration requise Fournissez les informations suivantes :
Qu’est-ce que le point d’entrée initial (e-mail ou URL) ? Fournissez les détails, le cas échéant.
Où se trouve l’échantillon trouvé sur le système ? Indiquez le chemin d’accès au fichier, l’emplacement du Registre et toute autre information pertinente.
Pourquoi le fichier est-il suspect d’être un logiciel malveillant ? Quels comportements suspects s’affichent-ils ?
Description Vous demandez une couverture pour les hachages d’échantillon provenant d’une source interne ou externe. Les réaffectations de liste de hachage sont considérées comme des informations informatifs, car elles n’ont aucun impact sur le client.
Configuration requise Fournissez les informations suivantes :
Pourquoi les hachages sont-ils suspects d’être des logiciels malveillants ? Quels comportements suspects sont associés aux hachages ?
Indiquez la source des hachages. Le fichier était-il issu de la chasse aux menaces interne, du partage de renseignements tiers ou d’un blog ? Fournissez les informations appropriées, y compris un lien vers ou une copie du rapport, le cas échéant.
FAUT N’envoyez pas plusieurs familles de logiciels malveillants (malwares) sous la même demande. Chaque variante individuelle nécessite une demande de service distincte avec sa propre citation à une source pour les hachages indiqués. Les échantillons doivent être mis à la disposition de la source pour que McAfee les réviser et ajouter des couvertures. Si un échantillon ne peut pas être source, vous devez soumettre un échantillon. Suivez les instructions de la procédure décrite dans L’article KB68030 Si vous devez soumettre un échantillon.
Description Lorsque le produit déclenche une détection, mais ne supprime pas certains composants du logiciel malveillant (Malware).
Exemple 1 : ENS détecte et supprime le fichier malveillant, mais les entrées de Registre (telles que les entrées de service ou les clés d’exécution) sont laissées en arrière-plan.
Exemple 2 : ENS déclenche une !mempossibilité. Cette détection indique qu’une détection a été détectée dans un processus en mémoire. Toutefois, le processus infecté de génération de fichier n’est pas détecté.
Configuration requise Fournissez les informations suivantes :
Soumettez l’échantillon détecté à la quarantaine. L’emplacement de mise en quarantaine par défaut pour ENS et VSE est C:\Quarantine.
Envoyez les restes en tant qu’échantillon, comme décrit dans L’article KB68030.
Le fichier est-il inclus dans un infection actif dans l’environnement ?
Qu’est-ce que le point d’entrée initial (e-mail ou URL) ? Fournissez les détails, le cas échéant.
Où se trouve l’échantillon trouvé sur le système ? Indiquez le chemin d’accès au fichier, l’emplacement du Registre et toute autre information pertinente.
Pourquoi le fichier est-il suspect d’être un logiciel malveillant ? Quels comportements suspects s’affichent-ils ?
Soumettez les journaux d’analyse pertinents en indiquant l’échec du nettoyage.
MOVE AV Multi-Platform
OAS : C:\Program Files (x86) \McAfee\MOVE AV Server\mvserver.log
OAS : C:\Program Files (x86) \McAfee\MOVE AV Client\mvagent.log
ODS : mêmes journaux que OAS ci-dessus, mais commencez par activer la journalisation de débogage en fonction de KB87799
MOVE sans agent AV : /opt/McAfee/move/logs/mvsvc.log
Description Une application de production, ou des composants de ce application, sont détectés et suspectés d’être des détections incorrectes.
Configuration requise Pour McAfee Labs d’analyser correctement un fichier et déterminer s’il s’agit d’un faux positif, vous devez fournir les informations suivantes :
Soumettez un échantillon comme décrit dans KB85567.
Est-ce qu’il s’agissait d’un logiciel application ou tiers interne ? Si un logiciel tiers, qui est le fournisseur et quel est le nom et la version du application ?
Fournissez une description détaillée du fichier et de son utilisation.
Fournissez le programme d’installation, la source ou une URL de téléchargement, le cas échéant.
Où se trouve l’échantillon trouvé sur le système ? Indiquez le chemin d’accès au fichier, l’emplacement du Registre et toute autre information pertinente.
Soumettez les journaux d’analyse pertinents en indiquant les détections.
Description Un application ou des composants de ce application sont détectés comme des programmes potentiellement indésirables. Ou, elle n’est pas détectée et cette détection est suspecte d’être incorrecte.
Configuration requise Fournissez les informations suivantes :
Le fichier est-il inclus dans un infection actif dans l’environnement ?
Qu’est-ce que le point d’entrée initial (e-mail, URL ou programme d’installation) ? Fournissez les détails, le cas échéant.
Où se trouve l’échantillon trouvé sur le système ? Indiquez le chemin d’accès au fichier, l’emplacement du Registre et toute autre information pertinente.
Le fichier était-il suspect d’être un programme potentiellement indésirable ? Si l’échantillon est un programme potentiellement indésirable, fournissez l’installation complète package ou l’emplacement de téléchargement du programme.
Pourquoi le fichier est-il suspect d’être un programme potentiellement indésirable ? Quels sont les comportements observés ?
Faux positif :
Soumettez un échantillon comme décrit dans KB85567.
Est-ce qu’il s’agissait d’un logiciel application ou tiers interne ? Si un logiciel tiers, qui est le fournisseur et quel est le nom et la version du application ?
Fournissez une description détaillée du fichier et de son utilisation.
Fournissez le programme d’installation, la source ou une URL de téléchargement, le cas échéant. En règle générale, McAfee nécessite l’installation complète package de déterminer si un application viole la stratégie de programme McAfee potentiellement indésirable.
Où se trouve l’échantillon trouvé sur le système ? Indiquez le chemin d’accès au fichier, l’emplacement du Registre et toute autre information pertinente.
Soumettez les journaux d’analyse pertinents en indiquant les détections.
FAUT Si un application viole la stratégie de programme McAfee potentiellement indésirable, McAfee Labs ajoute une détection pour le application. Si une détection de programmes potentiellement indésirables est ajoutée et que vous utilisez la application, ajoutez un programme potentiellement indésirable exclusion pour empêcher la détection de la application. Pour obtenir des instructions relatives à l’activation de la détection de programmes potentiellement indésirables et à la définition d’une exclusion, reportez-vous au Guide produit. Une explication de la McAfee stratégie contre les programmes potentiellement indésirables est disponible à l’adresse suivante : https://www.mcafee.com/enterprise/en-us/assets/misc/ms-pup-policy.pdf.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.