Reputación de archivos de McAfee Global Threat Intelligence (GTI)
Resumen
McAfee GTI, anteriormente Artemis, es un servicio de reputación completo, en tiempo real y basado en la nube introducido en 2008. Está completamente integrado en los productos de McAfee y les permite bloquear de forma óptima cyberthreats en todos los vectores: archivos, Web, mensajes y redes. Este artículo responde a algunas preguntas habituales sobre la reputación de archivos de GTI.
Contenido
Haga clic para expandir la sección que desee ver:
¿Qué es la reputación de archivos de GTI?
La reputación de archivos de GTI le proporciona protección en tiempo real y siempre activa que protege y protege frente a las amenazas emergentes.
La reputación de archivos de GTI le permite utilizar la inteligencia de amenazas que McAfee Labs recopila para evitar daños y robos de datos incluso antes de que haya disponible una actualización de firma. Esta función hace que los endpoints sean más inteligentes y más seguros. La tecnología de reputación de archivos de GTI amplía las capacidades de protección de los productos McAfee. Lo hace proporcionando acceso a una base de datos en la nube online. La base de datos contiene detalles de clasificación de archivos para determinar si un archivo es malicioso.
Dado que la base de datos de clasificaciones de archivos maliciosos es amplia y cambia con frecuencia, la reputación de archivos de GTI consulta los servidores online GTI Cloud sobre los archivos potencialmente sospechosos. Lo hace para lograr y mantener los niveles de seguridad más altos.
¿Cómo funciona la reputación de archivos de GTI?
La reputación de archivos de GTI proporciona la detección de malware más actualizada para varios productos antivirus basados en Windows McAfee.
Reputación de archivos de GTI busca programas sospechosos, archivos PDF (Portable Document Format) y paquetes APK (Android Application Package) que estén activos en endpoints que ejecutan productos de McAfee. Entre estos productos se incluyen Endpoint Security (ENS), VirusScan Enterprise (VSE) y SaaS Endpoint Protection (anteriormente conocido como Total Protection Service).
Para cualquier archivo sospechoso encontrado que no active archivos DAT de firma existentes, GTI envía una solicitud DNS a un servidor de base de datos central. McAfee Labs aloja el servidor. Este servidor se actualiza continuamente cuando se encuentra nuevo malware. Cuando GTI Cloud en la McAfee Labs recibe la solicitud del Endpoint reputación de archivos de GTI activado, determina si este programa es sospechoso y responde adecuadamente.
¿Por qué debo estar online para utilizar la reputación de archivos de GTI?
La reputación de archivos de GTI accede a una base de datos principal online para determinar si un archivo es sospechoso o no. Dado que la base de datos de McAfee de archivos sospechosos es extensa y cambia con frecuencia, no se le envía con anterioridad. La tecnología de reputación de archivos de GTI debe consultar la nube online GTI sobre estos archivos sospechosos para conseguir y mantener los niveles de seguridad más altos.
¿La reputación de archivos de GTI ocupa mucho ancho de banda?
La reputación de archivos de GTI ocupa un mínimo de ancho de banda. Se activa, solo si los archivos DAT existentes no detectan ninguna amenaza en el programa, en PDF o. ARCHIVO APK que se está analizando. La determinación de cuáles son los archivos sospechosos está optimizada con esmero para que solo los archivos verdaderamente sospechosos generen tráfico de red. Si la configuración de sensibilidad se establece en Muy baja o Baja, suele darse un promedio de entre 10 y 15 consultas por día y equipo. Si la configuración de sensibilidad se establece en Media, Alta o Muy alta, suele darse un promedio de entre 20 y 25 consultas por día y equipo. El número de consultas depende del tipo de análisis (análisis en tiempo real o análisis bajo demanda) y de cuántos archivos se están analizando.
Si la nube de GTI no está disponible, ¿sigo estando protegido?
Si su McAfee producto gestionado no puede contactar con el McAfee Labs GTI Cloud, los productos antimalware solo utilizan la copia local de los archivos DAT para la detección. Si la nube de GTI no está disponible, su protección se no reducido a niveles por debajo del nivel de protección de los archivos DAT estándar.
¿Cuál es la definición de McAfee de archivos sospechosos?
Un archivo sospechoso es cualquier ejecutable de programa, formato de documento portátil (PDF) o Android paquete de aplicación (. ARCHIVO apk) que tiene características comunes a los archivos maliciosos.
En el caso de archivos ejecutables, GTI busca ciertos identificadores dentro del archivo ejecutable para determinar si el programa tiene características particulares que normalmente están asociadas con malware. Por ejemplo, si el archivo está empaquetado. Por lo general, menos de un% de archivos ejecutables de programas limpios o archivos PDF cumplen los criterios sospechosos. Esto significa que la mayoría de los archivos no hacen que su producto con GTI activado inicie una consulta.
Otros archivos de documentos, como los documentos de Microsoft Word, no se ven afectados debido a que GTI solo se centra en documentos PDF potencialmente maliciosos.
¿Qué tipos de archivos se analizan?
GTI analiza los ejecutables, los documentos PDF y. Archivos de archivo APK.
Reputación de archivos de GTI se solía utilizar para analizar archivos ejecutables maliciosos. No obstante, debido a que cada vez existen más archivos de malware en formato PDF y APK, McAfee ha ampliado las capacidades de su tecnología en la nube para ofrecer una mayor protección contra este tipo de amenazas. La reputación de archivos de GTI debe estar configurada como mínimo de sensibilidad media para realizar búsquedas de reputación en archivos PDF o archivo APK.
¿Pueden los archivos de datos hacer que se envíe una consulta de reputación de archivos GTI?
No es posible que los documentos ni otros archivos de datos hagan que se envíe una consulta de reputación de archivos de GTI. Por ejemplo, Microsoft Word documentos que contienen datos derivados del usuario. Ninguna de las muestras se envían automáticamente a McAfee. Los archivos que se pueden consultar son:
Programas ejecutables que pueden contener malware
Formato de documento portátil (. PDF) que pueden contener malware
Android archivo de paquete de aplicación (. ARCHIVO apk) archivos que pueden contener malware
Archivos de configuración que se pueden modificar con fines malintencionados, como el archivo de hosts de Windows
¿Qué ocurre cuando GTI encuentra un archivo sospechoso?
En lugar de enviar el archivo completo, la reputación de archivos GTI envía solo una huella digital, que normalmente es inferior a 40 bytes de información. Esta cantidad de información es lo mínimo necesario para determinar la naturaleza del archivo.
De forma predeterminada, sin optar por compartir información de amenazas con McAfee, el paquete de consulta de la reputación de archivos de GTI activado Productos de McAfee contiene lo siguiente:
Versión y
Información del producto
Estos datos indican lo siguiente:
El número de versión interno de uno o varios controladores que determinaba un archivo era sospechoso.
La versión del archivo DAT.
La versión del producto McAfee.
El componente del producto que realizó el análisis.
Hash del archivo
Este elemento consta de una hash del archivo que identifica de forma exclusiva el archivo si existe en la base de datos principal de McAfee.
Información de huella digital
Este elemento es una secuencia de bits que indica la presencia de características internas en la estructura del archivo que son comunes en el malware. Estos datos están restringidos a datos derivados de la estructura de un archivo.
Información del entorno
Este elemento es una secuencia de bits que indica la presencia de señales de entorno habitualmente asociadas con muestras maliciosas. Los datos están restringidos a la información que el sistema operativo almacena sobre un archivo. No incluye el nombre de archivo ni otra información de identificación personal almacenada en el archivo.
¿Me protege la reputación de archivos de GTI solo de malware? ¿O la reputación de archivos de GTI incluye protección contra programas potencialmente no deseados (PUP) y spam?
Actualmente se ofrece protección contra malware y PUP. Para protegerse contra spam, utilice un producto antispam o un complemento.
¿Cuánto mejora mi malware detección con la reputación de archivos de GTI?
Todas las nuevas amenazas que encuentra McAfee Labs se agregan inmediatamente a la base de datos de GTI. Están disponibles para que los endpoints con GTI-Enabled ofrezcan una capacidad casi inmediata a fin de protegerle de amenazas nuevas y emergentes. Esta protección se pone a su disposición antes de que la firma de la nueva amenaza se incluya en los archivos DAT de liberación regular.
¿Cómo activar la reputación de archivos de GTI para informar de los archivos sospechosos a McAfee?
McAfee recomienda establecer la configuración de sensibilidad como media en el producto. Para obtener información sobre cómo activar la reputación de archivos de GTI, consulte KB70130.
Actualmente, prueba cada archivo DAT antes de desplegarlo en mis endpoints. ¿Cómo afectaría la reputación de archivos de GTI a mis procesos existentes?
GTI ofrece protección fuera de los procesos existentes. Para obtener más información sobre cómo activar GTI en el producto McAfee, consulte KB70130.
Tengo dudas sobre privacidad: ¿Qué información se envía a McAfee?
Los datos enviados nunca incluyen partes de los archivos analizados, por lo que no hay posibilidad de que se produzca una fuga información. Las búsquedas solo se realizan en archivos sospechosos y consisten en una huella digital de 32 bytes que se genera y envía a GTI Cloud. Se proporciona una respuesta si la huella digital se determina como un archivo malicioso.
NOTAS:
No es posible volver a crear el archivo ni parte de su contenido a partir esta huella digital.
Para mostrar la Windows caché de DNS, en la línea de comandos, escriba ipconfig /displayDNS y pulse Intro. Este comando muestra todas las consultas de DNS recientes que se han realizado en el equipo en cuestión, incluidas las consultas realizadas por Reputación de archivos de GTI.
Las consultas de Reputación de archivos de GTI pueden reconocerse porque se encuentran en subdominios avqs.mcafee.com o avts.mcafee.com.
¿Qué información McAfee guardar en los archivos de registro?
McAfee solo mantiene registros anónimos de las consultas de clientes. McAfee utiliza técnicas de minería de datos para correlacionar las tendencias globales, como el origen de las consultas de todo el mundo. También se ha utilizado el vector de distribución (por ejemplo, web o correo electrónico). McAfee utiliza estos datos de prevalencia para identificar nuevas tendencias en el panorama de amenazas y proporcionar una mejor protección frente a las amenazas emergentes a los clientes de McAfee.
NOTA: Los registros de reputación de archivos de GTI no contienen información sobre equipos o usuarios individuales, por lo que no es posible McAfee utilizar esa información para derivar dichos datos.
En un futuro, la tecnología de Reputación de archivos de GTI podría enviar periódicamente un número único y anónimo para informarnos de que el software funciona correctamente en usuarios individuales. Este número ayuda a McAfee a conocer la cantidad de personas que utilizan Reputación de archivos de GTI y en qué productos está activada esta característica. La información está diseñada para ayudar a McAfee a planificar los recursos necesarios para continuar proporcionando una detección de calidad en tiempo real con Reputación de archivos de GTI. Este método es similar a las cookies que se utilizan hoy en día en muchos sitios web y cumple con la política de privacidad de McAfee. Para obtener más información, consulte http://www.mcafee.com/us/about/privacy.html.
¿Cómo se envían las consultas de reputación de archivos de GTI?
Las consultas de reputación de archivos de GTI se envían en texto no cifrado, con la autenticación que se agrega según corresponda.
Consulta de ejemplo: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com or 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com
Toda la información que envía la reputación de archivos de GTI a McAfee es anónima, no contiene información sobre el usuario o el equipo. Además, dado que la infraestructura de DNS se utiliza para transportar la consulta, es imposible McAfee identificar la dirección IP del equipo de origen desde la comunicación de reputación de archivos de GTI.
La reputación de archivos de GTI suena como genera muchas actualizaciones diarias. ¿Por qué no Utilizaré los archivos DAT beta en su lugar y cómo difiere Active Protection?
Reputación de archivos de GTI permite que los endpoints se protejan contra malware específico cuando McAfee Labs determina que una muestra es sospechosa. Reputación de archivos de GTI no Proporcione protección para clases de malware, solo muestras específicas que hayan activado una respuesta.
¿Qué ven los usuarios o los administradores cuando Active Protection detecta malware?
Las detecciones de Reputación de archivos de GTI se muestran en el producto de McAfee de la misma forma que las detecciones genéricas. El programa o el archivo binario detectados se eliminarán o pondrán en cuarentena en función de la configuración del producto.
¿Cuáles son los riesgos de usar Active Protection? ¿Puede generar falsos positivos?
Los productos antimalware suelen generar falsos positivos. Las pruebas McAfee han demostrado que la reputación de archivos de GTI tiene una tasa de falsos positivos más baja que los archivos DAT existentes de McAfee. La reputación de archivos de GTI detecta instancias específicas de malware, en oposición a las clases de malware, lo que reduce significativamente las posibilidades de generar detecciones de falsos positivos.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
