Domande frequenti sulla reputazione file McAfee Global Threat Intelligence
Articoli tecnici ID:
KB53735
Ultima modifica: 11/06/2021
Ambiente
Reputazione file McAfee Global Threat Intelligence (GTI)
Riepilogo
McAfee GTI, in precedenza Artemis, è un servizio di reputazione basato su cloud, completo e in tempo reale, introdotto nel 2008. È completamente integrato nei prodotti McAfee e consente loro di bloccare meglio Cyberthreats in tutti i vettori – file, Web, messaggi e rete – rapidamente. Questo articolo risponde ad alcune domande frequenti sulla reputazione dei file GTI.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
Che cos'è la reputazione file GTI?
La reputazione dei file GTI offre una protezione sempre attiva e in tempo reale che protegge e protegge dalle minacce emergenti.
La reputazione dei file GTI consente di utilizzare l'intelligence sulle minacce che McAfee Labs raccoglie per evitare danni e furti di dati anche prima che sia disponibile un aggiornamento delle firme. Questa funzione rende i terminali più intelligenti e più sicuri. La tecnologia di reputazione file GTI estende le funzionalità di protezione dei prodotti McAfee. In tal modo fornisce l'accesso a un database di cloud on-line. Il database contiene i dettagli della classificazione dei file per determinare se un file è dannoso.
Poiché il database di classificazioni di file dannosi è esteso e cambia frequentemente, la reputazione dei file GTI interroga i server GTI cloud in linea sui file potenzialmente sospetti. Lo fa per raggiungere e mantenere i massimi livelli di sicurezza.
Come funziona la reputazione file GTI?
La reputazione dei file GTI offre il rilevamento più aggiornato malware per diversi prodotti antivirus basati su Windows McAfee.
La reputazione file GTI cerca programmi, file PDF (Portable Document) e .APK (Android Application Package) sospetti che sono attivi sugli endpoint che eseguono i prodotti McAfee. Questi prodotti includono Endpoint Security (ENS), VirusScan Enterprise (VSE) e SaaS Endpoint Protection (noto in precedenza come Total Protection Service).
Per i file sospetti rilevati che non attivano i file DAT delle firme esistenti, GTI invia una richiesta DNS a un server di database centrale. McAfee Labs ospita il server. Questo server viene costantemente aggiornato quando vengono rilevati nuovi malware. Quando GTI cloud in McAfee Labs riceve la richiesta dall'endpoint abilitato per la reputazione dei file GTI, determina se il programma è sospetto e risponde in modo appropriato.
Perché è necessario essere in linea per utilizzare la reputazione di file GTI?
La reputazione file GTI accede a un database primario online per determinare se un file è sospetto. Poiché il database di McAfee di file sospetti è esteso e viene modificato frequentemente, non viene inviato in anticipo. La tecnologia di reputazione dei file GTI deve query il cloud online GTI su questi file sospetti per raggiungere e mantenere i massimi livelli di sicurezza.
La reputazione dei file GTI occupa molta larghezza di banda?
La reputazione dei file GTI occupa una larghezza di banda minima. Si attiva, solo se i file DAT esistenti non rilevano una minaccia nel programma, PDF o. APK sottoposta a scansione. Il rilevamento dei file sospetti è configurato attentamente in modo che solo i file realmente sospetti generino traffico di rete. Se l'impostazione di sensibilità è impostata su Molto bassa o Bassa, è possibile prevedere una media di 10-15 query al giorno per computer. Se l'impostazione è impostata su Media, Alta o Molto alta, è possibile prevedere una media di 20-25 query al giorno per computer. Il numero di query dipende dal tipo di scansione (scansione all'accesso o scansione su richiesta) e da quanti file vengono sottoposti a scansione.
Se il cloud GTI non è disponibile, sono ancora protetto?
Se il McAfee prodotto gestito non è in grado di contattare il McAfee Labs GTI cloud, i prodotti antimalware utilizzano solo la copia locale dei file DAT per il rilevamento. Quando il cloud GTI non è disponibile, la protezione è non ridotto a livelli inferiori al livello di protezione dei file DAT standard.
Qual è la definizione McAfee di file sospetti?
Un file sospetto è qualsiasi programma eseguibile, formato documento portatile (PDF) o pacchetto applicazione Android (. APK), che presenta caratteristiche comuni ai file dannosi.
Per i file eseguibili, GTI cerca determinati identificatori all'interno del file eseguibile per determinare se il programma presenta particolari caratteristiche normalmente associate a malware. Ad esempio, se il file è compresso. In genere, meno dell'uno% dei file eseguibili del programma pulito o i file PDF rispondono ai criteri sospetti. Il che significa che la maggior parte dei file non fa sì che il prodotto abilitato per GTI avvii un query.
Altri file di documento, ad esempio Microsoft Word documenti, non sono interessati dal fatto che GTI si concentra solo sui documenti PDF potenzialmente dannosi.
Quali tipi di file vengono sottoposti a scansione?
GTI esegue la scansione di eseguibili, documenti PDF e. File APK.
La reputazione file GTI è stata utilizzata tradizionalmente per la scansione degli eseguibili di programmi dannosi. Tuttavia, con la costante crescita di malware PDF e APK, McAfee ha esteso le funzionalità della tecnologia cloud per proteggere al meglio da tali minacce. La reputazione dei file GTI deve essere impostata su una sensibilità almeno media per eseguire ricerche di reputazione nei file PDF o APK.
I file di dati possono causare la reputazione di un file GTI query essere inviati?
Non è possibile che documenti o altri file di dati causino l'invio di una reputazione di file GTI query. Ad esempio, Microsoft Word documenti contenenti dati derivanti dall'utente. I campioni non vengono inviati automaticamente a McAfee. I file che possono causare l'invio di query sono:
Eseguibili del programma che possono contenere malware
Formato documento portatile (. File PDF) che possono contenere malware
Android file del pacchetto dell'applicazione (. APK) file che possono contenere malware
File di configurazione che possono essere modificati da utenti malintenzionati, ad esempio il file degli host di Windows
Cosa accade quando GTI trova un file sospetto?
Anziché inviare l'intero file, la reputazione file GTI invia solo un'impronta, che in genere è inferiore a 40 byte di informazioni. Questa quantità di informazioni è il minimo necessario per determinare la natura del file.
Per impostazione predefinita, senza scegliere di condividere le informazioni sulle minacce con McAfee, il pacchetto query dalla reputazione del file GTI attivata McAfee prodotti contiene quanto segue:
Versione e
Informazioni sul prodotto
Questi dati indicano:
Il numero di versione interna di uno o più driver che hanno determinato un file era sospetto.
La versione del file DAT.
La versione del prodotto McAfee.
Componente del prodotto che ha eseguito la scansione.
Hash del file
Questo elemento è costituito da un hash del file che identifica in modo univoco il file se esiste nel database McAfee primario.
Impronta
È una sequenza di bit che indica la presenza di caratteristiche interne alla struttura del file che sono comuni dei malware. Questi dati provengono esclusivamente dalla struttura dei file.
Ambiente
È una sequenza di bit che indica la presenza di caratteristiche dell'ambiente comunemente associate a campioni dannosi. I dati sono limitati alle informazioni memorizzate dal sistema operativo su un file. Non include il nome file o altre informazioni personali memorizzate nel file.
La reputazione dei file GTI mi protegge solo da malware? Oppure la reputazione del file GTI include la protezione contro i programmi potenzialmente indesiderati (PUP) e spam?
Attualmente è inclusa la protezione da malware e PUP. Per proteggersi contro spam, utilizzare un prodotto antispam o un plug-in.
Quanto è migliorato il rilevamento dei malware con la reputazione dei file GTI?
Tutte le nuove minacce che McAfee Labs reperti vengono immediatamente aggiunte al database GTI. Sono rese disponibili per gli endpoint abilitati per GTI per fornire una capacità quasi immediata di proteggersi dalle minacce nuove ed emergenti. Questa protezione viene resa disponibile prima che la firma per la nuova minaccia sia inclusa nei file DAT rilasciati regolarmente.
Come si attiva la reputazione dei file GTI per segnalare i file sospetti a McAfee?
McAfee consiglia di impostare l'impostazione di sensibilità su media nel prodotto. Per informazioni su come attivare la reputazione dei file GTI, consultare L'articolo KB70130.
Al momento, è possibile eseguire il test di ogni file DAT prima della distribuzione negli endpoint. In che modo la reputazione dei file GTI influisce sui processi esistenti?
GTI fornisce protezione al di fuori dei processi esistenti. Per ulteriori informazioni su come attivare GTI nel prodotto di McAfee, consultare L'articolo KB70130.
Ho privacy preoccupazioni: quali informazioni vengono inviate a McAfee?
I dati inviati non includono mai parti del file sottoposto a scansione, pertanto la trasmissione di informazioni non può mai verificarsi. Tutte le ricerche vengono eseguite solo sui file sospetti: viene generata un'impronta da 32 byte che viene quindi inviata a GTI Cloud. Viene fornita una risposta se l'impronta digitale viene determinata come file dannoso.
NOTE:
È Impossibile ricreare il file o il suo contenuto partendo da questa impronta.
Per visualizzare la cache Windows DNS, dalla riga di comando digitare ipconfig /displayDNS e premere INVIO. Con questo comando è possibile visualizzare tutte le query DNS recenti eseguite sul computer in questione, tra cui le query effettuate dalla reputazione file GTI.
Le query di reputazione file GTI sono riconoscibili, perché si trovano in sottodomini di avqs.mcafee.com o avts.mcafee.com.
Quali informazioni McAfee conservare nei file di registro?
McAfee conserva solo i registri anonimi delle query inviate dai client. McAfee utilizza tecniche di data mining per correlare le tendenze globali, ad esempio laddove nel mondo le query sono state originate. Inoltre, quale vettore di distribuzione è stato utilizzato (ad esempio, Web versus email). McAfee utilizza i dati di prevalenza per identificare le nuove tendenze nel panorama delle minacce e per fornire una protezione migliore contro le minacce emergenti per McAfee clienti.
Nota I registri di reputazione dei file GTI non contengono informazioni su singoli computer o utenti ed è impossibile per McAfee utilizzare tali informazioni per derivare tali dati.
In futuro, la tecnologia di reputazione file GTI potrebbe inviare periodicamente un numero univoco e anonimo per indicare che il software funziona correttamente per i singoli utenti. Questo numero aiuterà McAfee a capire quante persone usano la reputazione file GTI e in quali prodotti è stata attivata. Queste informazioni verranno utilizzate per aiutare McAfee a pianificare le risorse necessarie per continuare a fornire un rilevamento in tempo reale di qualità con la reputazione file GTI. Questo metodo è simile ai cookie utilizzati oggi da molti siti Web ed è conforme con l'informativa sulla privacy di McAfee. Per ulteriori informazioni, consultare http://www.mcafee.com/us/about/privacy.html.
Come vengono inviate le query di reputazione file GTI?
Le query di reputazione dei file GTI vengono inviate in testo non crittografato, con l'aggiunta di altra autenticazione appropriata.
Esempio query: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com or 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com
Tutte le informazioni inviate dalla reputazione file GTI a McAfee sono anonime, non contengono informazioni sull'utente o sul computer. Inoltre, poiché l'infrastruttura DNS viene utilizzata per trasportare il query, è impossibile per McAfee identificare l'indirizzo IP del computer di origine dalla comunicazione di reputazione dei file GTI.
La reputazione dei file GTI sembra generare molti aggiornamenti al giorno. Perché non utilizzare invece i file DAT beta e in che modo la protezione attiva è diversa?
La reputazione file GTI consente agli endpoint di proteggere da malware specifici quando McAfee Labs determina che un campione è sospetto. Reputazione file GTI non fornire protezione per le classi di malware, solo esempi specifici che hanno attivato una risposta.
Cosa vedono gli utenti o gli amministratori quando la protezione attiva rileva malware?
I rilevamenti di reputazione file GTI vengono visualizzati sul prodotto McAfee nello stesso modo in cui vengono visualizzati i rilevamenti generici. Il programma o il binario rilevato viene eliminato o messo in quarantena in base alle impostazioni del prodotto.
Quali sono i rischi dell'uso di Active Protection? Può generare falsi positivi?
I prodotti antimalware raramente generano falsi positivi. McAfee test ha dimostrato che la reputazione dei file GTI presenta una percentuale di falsi positivi inferiore rispetto a quelli esistenti McAfee file DAT. La reputazione dei file GTI rileva istanze specifiche di malware, rispetto alle classi di malware, che riduce significativamente le possibilità di generare rilevamenti falsi positivi.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.