Questo articolo il flusso di lavoro per MOVE AV Multi-Platform funziona con l'opzione TIE attivata nella policy MOVE.
Individuare l'opzione
attiva Tie si trova sotto il Move Policy multi-piattaforma:
- Accedere alla console ePO
- Aprire la Policy Move AntiVirus 4.9.2.
- Accedere alla categoria Policy, soluzioni cloud condivise, impostazione predefinita.
Questa opzione consente di attivare o disattivare la funzionalità TIE incorporata nel client MOVE e non nei server di MOVE SVM e OSS.
MOVE client invia un file per la scansione:
- MOVE verifica se l'opzione TIE è attivata.
- Se TIE è attivato, MOVE Cerca le reputazioni utilizzando SVM e il server TIE.
- Se TIE non è attivato, MOVE invia il file a SVM per la scansione.
MOVE scansione client:
- Quando la scansione del file viene eseguita sul client MOVE, verifica innanzitutto con la cache locale. La cache locale è sempre in esecuzione in memoria, che viene cancellata quando il sistema viene riavviato.
- Se la cache locale non ha trovato le reputazioni del file, invia le informazioni a MOVE SVM/OSS server.
- MOVE SVM controlla la cache locale, quindi invia il file per legare il Punteggio di reputazione.
- Il client MOVE comunica con la logica TCPregolare a SVM. Non utilizza la connessione MOVE client DXL a SVM. Il client MOVE utilizza la scansione dei file e la richiesta di reputazione file regolari, mentre la MOVE SVM o OSS raggiunge il legame tramite una connessione DXL.
Analisi del registro:
Esempi dai registri che mostrano questo scenario:
Nota: il contenuto riportato di seguito è visibile solo quando la registrazione di debug è attivata sia nel client che nel server di Move.
MVAgent .log dal client Move
INFO: scan_sign.c : 260: Signature status 0 for C:\test\EtwConsumer.exe: 0
DETAIL: scan.c : 5066: Untrusted for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3459: Value of tie_enabled: [1] with tie_action: [2], value of pe_file: [1] for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3526: Going for a tie reputation lookup for file \Device\HarddiskVolume4\test\EtwConsumer.exe with file cksum: c53fbe6e353abee45a43f86f4bbb822bd7c3c8af
DETAIL: scan.c : 3540: Size of cert metadata buffer: 0 for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3110: srv_conn FFFFC6077DA9B120: MD5 checksum: (37c03254296c127085341db8b18302d2) for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3115: srv_conn FFFFC6077DA9B120: SHA1 checksum: (c53fbe6e353abee45a43f86f4bbb822bd7c3c8af) for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
DETAIL: scan.c : 3120: srv_conn FFFFC6077DA9B120: SHA256 checksum: (08ae9eba2dead85453d9a75d85169e59108c9540268b7387dbce7bf769e8a2b9) for file: \Device\HarddiskVolume4\test\EtwConsumer.exe
MVSERVER .log da Move SVM o dal server OSS:
SVM richiede il client MOVE e verifica con la cache locale di SVM. Se non trova una reputazione, contatta il componente TIE tramite il canale DXL.
DETAIL: avs_tie.cpp : 3993: Request type: [FILE_REPUTATION] payload: {"hashes":[{"value":"xT++bjU6vuRaQ/hvS7uCK9fDyK8=","type":"sha1"},{"value":"N8AyVClsEnCFNB24sYMC0g==","type":"md5"},{"value":"CK6eui3q2FRT2addhRaeWRCMlUAmi3OH285792noork=","type":"sha256"}]} for cksum: [c53fbe6e353abee45a43f86f4bbb822bd7c3c8af].
DETAIL: svc_socket.c: 1684: [TIE FLOW] 10.x.x.x: Time taken for Tie response for file rep for cksum request : ( c53fbe6e353abee45a43f86f4bbb822bd7c3c8af ) is : 0.685304(s)
DETAIL: avs_tie.cpp : 1942: Received reputation response payload: {"props":{"submitMetaData":1,"serverTime":1635487650},"reputations":[{"providerId":3,"trustLevel":0,"createDate":1635487650,"attributes":{"2101652":"0","2123156":"0","2098277":"0","2102165":"1635487650","2114965":"0","2111893":"2","2139285":"216172786408751223"}},{"providerId":1,"trustLevel":0,"createDate":1635487650,"attributes":{"2120340":"0"}}]} for cksum: [c53fbe6e353abee45a43f86f4bbb822bd7c3c8af] lookup.
Le informazioni ricevute sul server Move vengono inviate al client Move:
INFO: svc_socket.c: 2575: Processed req: TIE REPUTATION LOOKUP ID, from 10.x.x.x, with cksum: c53fbe6e353abee45a43f86f4bbb822bd7c3c8af, tie reputation resp: [0] err code: 2. total req time: 0.702081 sec, thread wait time: 0.000005 (s).
DETAIL: svc_socket.c: 4171: 10.x.x.x: Received checksum request for c53fbe6e353abee45a43f86f4bbb822bd7c3c8af
DETAIL: svc_socket.c: 1159: 10.x.x.x: Sent response for cksum request ( c53fbe6e353abee45a43f86f4bbb822bd7c3c8af ) resp ( 2 )
INFO: svc_socket.c: 2592: Processed req: CKSUM, from 10.57.103.176 for cksum: c53fbe6e353abee45a43f86f4bbb822bd7c3c8af. cksum resp: NO_ENTRY, File scan resp: UNKNOWN, err code: 0. total req time: 0.002955 sec, thread wait time: 0.000005 (s).
SVM viene aggiornato con le nuove informazioni sul file nel cache locale. Questa azione aiuta per la scansione successiva a rispondere allo stesso checksum dal cache, piuttosto che inviare una richiesta di TIE da SVM:
DETAIL: svc_socket.c: 802: [TIE FLOW] tie_avg_response_time isn’t above the threshold of 3(s)
DETAIL: svc_socket.c: 1285: [TIE FLOW] 10.x.x.x: [CERT CACHE HIT]Sent response for cert rep for cksum request ( 2673ea6cc23beffda49ac715b121544098a1284c ) rep_score ( 85 )
Nei registri viene visualizzato quanto segue quando il client MOVE ha l'opzione TIE attivata e il file viene sottoposto a scansione sul sistema client mediante il processo precedente. Nessuno dei componenti TIE ha la reputazione di questo file, pertanto il file viene inviato dal client MOVE a SVM per la scansione:
DETAIL: scan.c : 4159: sent file: \Device\HarddiskVolume4\test\EtwConsumer.exe, total sent : 23552 bytes
INFO: scan_sign.c : 766: Verifying publisher trust for C:\test\EtwConsumer.exe