En este artículo, el flujo de trabajo de MOVE AV Multi-Platform funciona con la opción de empate activada en la Directiva MOVE.
Localice la opción
Activar empate se encuentra en la Move Directiva multiplataforma:
- Inicio de sesión en la consola de ePO
- Abra la Directiva de Move AntiVirus 4.9.2.
- Vaya a categoría de directivas, Shared Cloud Solutions, mi valor predeterminado.
Esta opción activa o desactiva la función de empate integrada en el MOVE cliente, y no en los servidores de MOVE SVM y OSS.
MOVE cliente envía un archivo para su análisis:
- MOVE comprueba si la opción de empate está activada.
- Si el enlace está activado, MOVE busca las reputaciones mediante el SVM y el servidor de TIE.
- Si el enlace no está activado, MOVE envía el archivo a SVM para su análisis.
Análisis del cliente de MOVE:
- Cuando el análisis de archivos se realiza en el MOVE cliente, primero se comprueba en la caché local. La caché local siempre se está ejecutando en la memoria, que se borra al reiniciar el sistema.
- Si la caché local no encuentra las reputaciones del archivo, envía la información a MOVE servidor de SVM/OSS.
- MOVE SVM comprueba la caché local y, a continuación, envía el archivo para VINCULAr la calificación de reputación.
- El cliente de MOVE se comunica con el SVM con la lógica TCPnormal. No utiliza la conexión de DXL del cliente de MOVE con el SVM. El cliente de MOVE utiliza el análisis normal de archivos y la solicitud de reputación de archivos, mientras que los MOVE SVM o OSS alcanzan la conexión de DXL.
Análisis de registros:
Ejemplos de registros que muestran este escenario:
Nota: el contenido que aparece a continuación solo es visible cuando el registro de depuración está activado tanto en el cliente como en el servidor de Move.
MVAgent .log del cliente de Move
INFO: scan_sign.c : 260: Signature status 0 for C:\test\EtwConsumer.exe: 0
DETAIL: scan.c : 5066: Untrusted for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3459: Value of tie_enabled: [1] with tie_action: [2], value of pe_file: [1] for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3526: Going for a tie reputation lookup for file \Device\HarddiskVolume4\test\EtwConsumer.exe with file cksum: c53fbe6e353abee45a43f86f4bbb822bd7c3c8af
DETAIL: scan.c : 3540: Size of cert metadata buffer: 0 for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3110: srv_conn FFFFC6077DA9B120: MD5 checksum: (37c03254296c127085341db8b18302d2) for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3115: srv_conn FFFFC6077DA9B120: SHA1 checksum: (c53fbe6e353abee45a43f86f4bbb822bd7c3c8af) for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3120: srv_conn FFFFC6077DA9B120: SHA256 checksum: (08ae9eba2dead85453d9a75d85169e59108c9540268b7387dbce7bf769e8a2b9) for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
MVSERVER .log desde Move SVM o OSS Server:
SVM realiza la solicitud al cliente de MOVE y comprueba la caché de SVM local. Si no encuentra una reputación, se pone en contacto con el componente de TIE a través del canal de DXL.
DETAIL: avs_tie.cpp : 3993: Request type: [FILE_REPUTATION] payload: {"hashes":[{"value":"xT++bjU6vuRaQ/hvS7uCK9fDyK8=","type":"sha1"},{"value":"N8AyVClsEnCFNB24sYMC0g==","type":"md5"},{"value":"CK6eui3q2FRT2addhRaeWRCMlUAmi3OH285792noork=","type":"sha256"}]} for cksum: [c53fbe6e353abee45a43f86f4bbb822bd7c3c8af].
DETAIL: svc_socket.c: 1684: [TIE FLOW] 10.x.x.x: Time taken for Tie response for file rep for cksum request : ( c53fbe6e353abee45a43f86f4bbb822bd7c3c8af ) is : 0.685304(s)
DETAIL: avs_tie.cpp : 1942: Received reputation response payload: {"props":{"submitMetaData":1,"serverTime":1635487650},"reputations":[{"providerId":3,"trustLevel":0,"createDate":1635487650,"attributes":{"2101652":"0","2123156":"0","2098277":"0","2102165":"1635487650","2114965":"0","2111893":"2","2139285":"216172786408751223"}},{"providerId":1,"trustLevel":0,"createDate":1635487650,"attributes":{"2120340":"0"}}]} for cksum: [c53fbe6e353abee45a43f86f4bbb822bd7c3c8af] lookup.
La información recibida en el servidor de Move se envía al cliente de Move:
INFO: svc_socket.c: 2575: Processed req: TIE REPUTATION LOOKUP ID, from 10.x.x.x, with cksum: c53fbe6e353abee45a43f86f4bbb822bd7c3c8af, tie reputation resp: [0] err code: 2. total req time: 0.702081 sec, thread wait time: 0.000005 (s).
DETAIL: svc_socket.c: 4171: 10.x.x.x: Received checksum request for c53fbe6e353abee45a43f86f4bbb822bd7c3c8af
DETAIL: svc_socket.c: 1159: 10.x.x.x: Sent response for cksum request ( c53fbe6e353abee45a43f86f4bbb822bd7c3c8af ) resp ( 2 )
INFO: svc_socket.c: 2592: Processed req: CKSUM, from 10.57.103.176 for cksum: c53fbe6e353abee45a43f86f4bbb822bd7c3c8af. cksum resp: NO_ENTRY, File scan resp: UNKNOWN, err code: 0. total req time: 0.002955 sec, thread wait time: 0.000005 (s).
El SVM se actualiza con la nueva información de archivo a su caché local. Esta acción ayuda a que el siguiente análisis responda a la misma suma de comprobación de la caché, en lugar de enviar una solicitud de TIE de SVM:
DETAIL: svc_socket.c: 802: [TIE FLOW] tie_avg_response_time isn’t above the threshold of 3(s)
DETAIL: svc_socket.c: 1285: [TIE FLOW] 10.x.x.x: [CERT CACHE HIT]Sent response for cert rep for cksum request ( 2673ea6cc23beffda49ac715b121544098a1284c ) rep_score ( 85 )
Verá lo siguiente en los registros cuando el MOVE cliente tenga activada la opción de empate y el archivo se analizará en el sistema cliente a través del proceso anterior. Ninguno de los componentes de TIE tiene las reputaciones de este archivo, por lo que el archivo se envía desde el cliente MOVE al SVM para su análisis:
DETAIL: scan.c : 4159: sent file: \Device\HarddiskVolume4\test\EtwConsumer.exe, total sent : 23552 bytes
INFO: scan_sign.c : 766: Verifying publisher trust for C:\test\EtwConsumer.exe