FAQ concernant la réputation des fichiers de Global Threat Intelligence
Articles techniques ID:
KB53735
Date de la dernière modification : 11/06/2021
Environnement
Réputation des fichiers de McAfee Global Threat Intelligence (GTI)
Synthèse
McAfee GTI, anciennement Artemis, est un service de réputation complet basé sur les clouds, en temps réel et en temps réel, introduit dans 2008. Il est entièrement intégré aux produits McAfee et leur permet de mieux bloquer les cybermenacess dans tous les vecteurs : file, Web, message et Network-promptement. Cet article répond à certaines questions fréquemment posées sur la réputation des fichiers GTI.
Table des matières
Cliquez pour développer la section que vous souhaitez afficher :
Qu’est-ce que la réputation des fichiers GTI ?
La réputation des fichiers GTI offre une protection en temps réel permanente qui protège et protège vos menaces contre les menaces émergentes.
La réputation des fichiers GTI vous permet d’utiliser le module décisionnel face aux menaces qui McAfee Labs les collectes afin d’éviter tout dommage et tout vol de données, même avant qu’une mise à jour signature ne soit disponible. Cette fonction rend les terminaux plus intelligents et plus sûrs. La technologie de réputation des fichiers GTI étend les capacités de protection des produits McAfee. Pour ce faire, il fournit l’accès à une base de données cloud en ligne. La base de données contient les détails de classification de fichier pour déterminer si un fichier est malveillant.
Etant donné que la base de données des classifications de fichiers malveillants est très longue et que les modifications sont fréquentes, la réputation des fichiers GTI interroge le GTI en ligne cloud serveurs sur les fichiers potentiellement suspects. Cela permet d’atteindre et de maintenir les niveaux de sécurité les plus élevés.
Comment la réputation des fichiers GTI fonctionne-t-elle ?
La réputation des fichiers GTI fournit la détection de logiciels malveillants la plus à jour pour plusieurs produits antivirus McAfee basés sur Windows.
La réputation des fichiers de GTI recherche les programmes suspects, les fichiers Portable Document Format (.PDF) et les packages d'applications Android (.APK) actifs sur les terminaux qui exécutent des produits McAfee. Ces produits incluent Endpoint Security (ENS), VirusScan Enterprise (VSE) et SaaS Endpoint Protection (anciennement Total Protection Service).
Pour tous les fichiers suspects détectés qui ne déclenchent pas de fichiers signature DAT existants, GTI envoie une demande DNS à un serveur de base de données central. McAfee Labs héberge le serveur. Ce serveur est actualisé en permanence lorsqu'un nouveau logiciel malveillant est détecté. Lorsque le GTI Cloud de McAfee Labs reçoit la demande du poste client de la réputation des fichiers GTI, il détermine si ce programme est suspect et répond de manière appropriée.
Pourquoi dois-je être en ligne pour utiliser la réputation des fichiers GTI ?
La réputation des fichiers GTI accède à une base de données principale en ligne pour déterminer si un fichier est suspect. Etant donné que la base de données de fichiers suspects McAfee est vaste et change fréquemment, elle ne vous est pas envoyée en avance. La technologie de réputation des fichiers GTI doit interroger le Cloud GTI en ligne à propos de ces fichiers suspects pour atteindre et maintenir les niveaux de sécurité les plus élevés.
La réputation des fichiers GTI occupe-t-elle une grande quantité de bande passante ?
La réputation des fichiers GTI prend moins de bande passante. Il se déclenche uniquement si les fichiers DAT existants ne détectent pas de menace dans le programme, le fichier PDF ou. FICHIER apk en cours d’analyse. La détermination de fichiers suspects est soigneusement configurée de manière à ce que seuls les fichiers véritablement suspects génèrent du trafic réseau. Si le paramètre de sensibilité est défini sur très faible ou faible, vous pouvez vous attendre en moyenne à générer 10 à 15 requêtes par jour et par ordinateur. Si le paramètre de sensibilité est défini sur moyen, élevé ou très élevé, vous pouvez vous attendre en moyenne à générer 20 à 25 requêtes par jour et par ordinateur. Le nombre de requêtes dépend du type d’analyse (analyse à l’accès ou analyse à la demande) et du nombre de fichiers analysés.
Si le Cloud GTI n’est pas disponible, suis-je toujours protégé ?
Si votre McAfee produit managé ne peut pas contacter le McAfee Labs GTI Cloud, vos produits Antimalware n’utilisent que la copie locale des fichiers DAT pour la détection. Lorsque le Cloud GTI n’est pas disponible, votre protection est existant réduit à des niveaux inférieurs au niveau de protection des fichiers DAT standard.
Quelle est la définition McAfee des fichiers suspects ?
Un fichier suspect peut être n’importe quel programme exécutable, portable document format (PDF) ou Android package d’application (. FICHIER apk) qui présente des caractéristiques communes à des fichiers malveillants.
Pour les fichiers exécutables, GTI recherche certains identificateurs à l'intérieur du fichier exécutable pour déterminer si le programme possède des caractéristiques normalement associées aux logiciels malveillants. Il vérifie, par exemple, si le fichier est compressé. En général, moins d’un% de fichiers exécutables de programmes nettoyés, ou les fichiers PDF sont conformes aux critères suspects. Ce qui signifie que la plupart des fichiers ne provoquent pas l’initialisation d’une requête par votre produit compatible avec GTI.
Les autres fichiers de documents, tels que les Microsoft Word documents, ne sont pas concernés, car GTI se concentre uniquement sur les documents PDF potentiellement malveillants.
Quels types de fichiers sont analysés ?
GTI analyse les fichiers exécutables, les documents PDF et. Fichiers fichier apk.
La réputation des fichiers GTI a longtemps été utilisée pour l'analyse des fichiers exécutables des programmes malveillants. Mais, avec l'augmentation continue du nombre de logiciels malveillants au format PDF et APK, McAfee a étendu les capacités de notre technologie de cloud pour apporter la meilleure protection possible à cet espace de menace. La réputation du fichier GTI doit être définie sur au moins sensibilité moyenne pour effectuer des recherches de réputation sur les fichiers PDF ou fichier apk.
Les fichiers de données peuvent-ils provoquer l’envoi d’une requête de réputation des fichiers GTI ?
Il n’est pas possible que des documents ou d’autres fichiers de données provoquent l’envoi d’une requête de réputation des fichiers GTI. Par exemple, Microsoft Word des documents contenant des données dérivées de l’utilisateur. Les exemples ne sont pas envoyés automatiquement à McAfee. Les fichiers qui peuvent faire l'objet d'une requête sont :
Fichiers exécutables de programmes pouvant contenir des logiciels malveillants
Format de document portable (. PDF) contenant des fichiers de logiciels malveillants (malwares)
Android fichier de package d’application (. Fichiers fichier apk) pouvant contenir des logiciels malveillants
Les fichiers de configuration qui peuvent être modifiés à des fins malveillantes, comme le fichier hôtes Windows
Que se passe-t-il lorsque GTI trouve un fichier suspect ?
Au lieu d'envoyer la totalité du fichier, le système de réputation des fichiers de GTI envoie uniquement une empreinte, qui représente généralement moins de 40 octets d'informations. Cette quantité d’informations est le minimum requis pour déterminer la nature du fichier.
Par défaut, si vous n’avez pas choisi de partager les informations sur les menaces avec McAfee, le paquet de requête de votre réputation de fichier GTI activé McAfee produits contient ce qui suit :
Version et
Informations sur le produit
Ces données indiquent :
Le numéro de version interne d’un ou de plusieurs pilotes qui déterminait un fichier était suspect.
Version du fichier DAT.
Version du produit McAfee.
Composant de produit qui a effectué l’analyse.
Hachage du fichier
Cet élément se compose d’un hachage du fichier qui identifie de manière unique le fichier s’il existe dans la base de données principale McAfee.
Informations sur les empreintes
Il s'agit d'une séquence de bits qui indique la présence de caractéristiques internes à la structure de fichiers, fréquentes dans les logiciels malveillants. Ces données concernent uniquement la structure d'un fichier.
Informations environnementales
Il s'agit d'une séquence de bits qui indique la présence de piles d'environnement couramment associées à des échantillons malveillants. Les données sont limitées aux informations que le système d’exploitation stocke au sujet d’un fichier. Elle n’inclut pas le nom de fichier ou toute autre information d’identification personnelle stockée dans le fichier.
La réputation des fichiers GTI est-elle protégée contre les logiciels malveillants uniquement ? Ou la réputation des fichiers GTI inclut-elle une protection contre les programmes potentiellement indésirables (PUP) et spam ?
Actuellement, les logiciels malveillants et les programmes potentiellement indésirables sont couverts. Pour vous protéger contre les spam, utilisez un produit antispam ou un plug-in.
Combien la détection de logiciels malveillants améliore-t-elle avec la réputation des fichiers GTI ?
Toutes les nouvelles menaces détectées par McAfee Labs sont immédiatement ajoutées à la base de données GTI. Elles sont mises à la disposition des terminaux GTI, afin de vous protéger contre les menaces nouvelles et émergentes. Cette protection est mise à disposition avant que les signature de la nouvelle menace soient incluses dans les fichiers DAT distribués régulièrement.
Comment puis-je activer la réputation des fichiers GTI pour signaler les fichiers suspects à McAfee ?
McAfee recommande de définir le paramètre de sensibilité sur moyen dans votre produit. Pour plus d’informations sur l’activation de la réputation des fichiers GTI, voir KB70130.
Je teste actuellement chaque fichier DAT avant de le déployer sur mes postes clients. Comment GTI la réputation des fichiers a-t-elle une incidence sur mes processus existants ?
GTI offre une protection en dehors de vos processus existants. Pour plus d’informations sur l’activation de GTI dans votre produit McAfee, consultez l’article KB70130.
J’ai des problèmes de confidentialité : quelles informations sont envoyées à McAfee ?
Les données envoyées n'incluent jamais les fichiers analysés, même en partie ; il n'existe donc aucun risque de fuite d'informations. Toute recherche est effectuée uniquement sur les fichiers suspects et se compose d'une empreinte de 32 octets générée et envoyée au serveur cloud de GTI. Une réponse est fournie si l’empreinte est déterminée comme étant un fichier malveillant.
REMARQUES :
Il est impossible de recréer le fichier ou ses contenus à partir de cette empreinte.
Pour afficher le cache Windows DNS, dans la ligne de commande, saisissez ipconfig /displayDNS et appuyez sur entrée. Cette commande affiche toutes les requêtes DNS récentes effectuées sur l'ordinateur en question, y compris les requêtes effectuées par le système de réputation des fichiers de GTI.
Les requêtes de réputation des fichiers de GTI peuvent être reconnues parce qu'elles sont sur des sous-domaines de avqs.mcafee.com ou avts.mcafee.com.
Quelles informations McAfee conserver dans les fichiers journaux ?
McAfee conserve uniquement des journaux anonymes des requêtes des clients. McAfee utilise des techniques d’exploration de données pour mettre en corrélation les tendances globales, telles que l’origine des requêtes dans le monde. Il s’agit également du vecteur de distribution utilisé (pour instance, Web ou e-mail). McAfee utilise ces données de prévalence pour identifier les nouvelles tendances dans le paysage des menaces et pour mieux fournir une protection contre les menaces émergentes pour les clients McAfee.
Veuillez Les journaux de réputation des fichiers GTI ne contiennent aucune information sur les ordinateurs individuels ou les utilisateurs, et il est impossible pour McAfee d’utiliser ces informations pour dériver ces données.
A l'avenir, la technologie de réputation des fichiers de GTI pourra envoyer régulièrement un numéro unique et anonyme pour nous informer que le logiciel fonctionne correctement pour les utilisateurs individuels. Ce numéro permettra à McAfee de connaître le nombre de personnes utilisant la réputation des fichiers de GTI et dans quels produits son utilisation a été activée. Ces informations sont destinées à aider McAfee à planifier les ressources nécessaires pour continuer à fournir une détection en temps réel de qualité grâce à la réputation des fichiers de GTI. Cette méthode est similaire aux cookies utilisés par de nombreux sites web aujourd'hui et est conforme à la politique de confidentialité de McAfee. Pour plus d’informations, voir http://www.mcafee.com/us/about/privacy.html.
Comment les requêtes de réputation des fichiers GTI sont-elles envoyées ?
Les requêtes de réputation des fichiers GTI sont envoyées en texte clair, avec une autre authentification ajoutée comme il convient.
Exemple de requête : 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com or 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com
Toutes les informations que GTI de réputation des fichiers envoie à McAfee sont anonymes, elles ne contiennent aucune information sur l’utilisateur ou sur l’ordinateur. De plus, dans la mesure où l’infrastructure DNS est utilisée pour transporter la requête, il est impossible pour McAfee d’identifier l’adresse IP de l’ordinateur d’origine à partir de la communication de réputation des fichiers GTI.
La réputation des fichiers GTI semble générer un grand nombre de mises à jour par jour. Pourquoi ne pas utiliser les fichiers DAT bêta à la place et comment la protection active diffère-t-elle ?
La réputation des fichiers de GTI permet aux terminaux d'être protégés contre des logiciels malveillants spécifiques lorsque McAfee Labs détermine qu'un échantillon est suspect. La réputation des fichiers GTI ne existant assure la protection des classes de logiciels malveillants (malwares), uniquement des échantillons spécifiques ayant déclenché une réponse.
Que voient les utilisateurs ou les administrateurs à quel moment active protection détecte-t-il les logiciels malveillants ?
Les détections de réputation des fichiers par GTI s'affichent dans votre produit McAfee de la même manière que lorsque des détections génériques sont affichées. Le programme ou le fichier binaire détecté est supprimé ou mis en quarantaine en fonction de vos paramètres de produit.
Quels sont les risques associés à l'utilisation d'Active Protection ? Est-il possible de générer des faux positifs ?
Les produits anti-malware génèrent rarement des faux positifs. McAfee tests ont démontré que la réputation des fichiers GTI a un taux de faux positifs inférieur à celui des fichiers DAT McAfee existants. La réputation des fichiers GTI détecte des instances spécifiques de logiciels malveillants, contrairement aux classes de logiciels malveillants (Malware), ce qui réduit considérablement les chances de générer des détections de faux positifs.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.