Loading...
Come inviare campioni di virus e antimalware per l'analisi con Web Gateway (falsi positivi o falsi negativi)
Articoli tecnici ID:   KB62662
Ultima modifica:  27/10/2017
Con punteggio:

Ambiente

McAfee Web Gateway (MWG) 7.x

Riepilogo

Per fornire un maggior supporto ai clienti di Web Gateway, Intel Security ha migliorato l'elaborazione e l'escalation degli invii di virus e antimalware.

Soluzione

Ottenere un campione
Per diagnosticare con precisione un rilevamento di falso sospetto, è necessario recuperare campioni dall'ambiente. Utilizzare le istruzioni contenute nel file Virus To File.pdf allegato al presente articolo per ottenere, comprimere e crittografare il campione direttamente dall'appliance MWG.

Invio del campione
Utilizzare la pagina di blocco del rilevamento virus MWG per determinare la posizione in cui inviare il campione:
  • Nome virus: McAfeeGW: seguire la procedura di invio di McAfee Gateway Anti-Malware (GAM) descritta di seguito.
  • Nome virus: McAfee: seguire la procedura di invio di McAfee AV descritta di seguito.
  • Nome virus: Avira: seguire la procedura di invio di Avira descritta di seguito.
IMPORTANTE: per tutti i processi di invio, è necessario inviare il campione come file ZIP compresso e crittografato, utilizzando la parola infected (infetto) (lettere minuscole, senza virgolette) come password di crittografia.

McAfee Gateway Anti-Malware (GAM)
Inviare il campione in una Service Request (Richiesta di assistenza):

Una volta recuperato e crittografato il campione utilizzando il file Virus To File.pdf, aprire una Service Request (SR, Richiesta di assistenza) con l'assistenza tecnica per inviare il campione. È possibile aprire una Service Request (Richiesta di assistenza) nel ServicePortal all'indirizzo https://support.mcafee.com. Assicurarsi di aprire la SR con il team di supporto Web Gateway, anziché con il team Malware.

Oltre al campione, fornire:
  • Versione MWG
  • Versione motore GAM: è possibile visualizzarla nell'interfaccia utente di MWG in Dashboard, Gateway Engine (Motore Gateway).
  • Versione DAT Gateway: è possibile visualizzarla nell'interfaccia utente di MWG in Dashboard, Gateway DATs (DAT Gateway).
  • Found_viruses.log: è possibile visualizzare questo registro nell'interfaccia utente di MWG in Troubleshooting (Risoluzione dei problemi), Log Files (File di registro), User-defined-logs (Registri definiti dall'utente), Found_viruses.log. Assicurarsi che il "Body.FullFilename" sia registrato, quindi fornire il file found_viruses.log che comprende l'intervallo di tempo del problema.
  • URL del campione che ha consentito il rilevamento
  • Il nome rilevamento del potenziale falso positivo dalla pagina di blocco
McAfee AV
Eseguire la procedura di invio di GetSusp indicata nell'articolo KB68030 per inviare rilevamenti di falsi positivi sospetti per l'analisi.

Avira
Utilizzare il sito Web di invio Avira: http://analysis.avira.com/samples. Una volta inviato un campione ad Avira, si riceverà un messaggio e-mail di notifica automatica per confermare lo stato di invio e il numero di localizzazione Avira associato. Si riceverà una notifica finale con la risoluzione entro due giorni.

NOTE:
  • se la dimensione del campione Avira è superiore a 50 MB, aprire una Service Request (SR, Richiesta di assistenza) con l'assistenza tecnica di MWG per inviare il campione. È possibile inviare una Service Request (Richiesta di assistenza) dal ServicePortal all'indirizzo https://support.mcafee.com.
  • Se non si riceve una risposta tempestiva dopo l'invio dei campioni o se non si è d'accordo con l'analisi fornita da Avira, aprire una SR con l'assistenza tecnica di MWG per inoltrare la richiesta. È necessario fornire il numero di localizzazione Avira per inoltrare una richiesta.  

Informazioni correlate

Procedura alternativa di recupero campioni:
  1. Connettersi all'appliance MWG utilizzando SSH come root.
  2. Nella riga di comando, utilizzare il comando wget per scaricare il file o il campione URL. È possibile ottenere il file o l'indirizzo URL nella pagina di blocco del rilevamento virus MWG. Se non viene specificato un nome file nella pagina di blocco, scaricare un campione utilizzando l'URL rilevato.

    Esempio di comando wget:
    • File: wget www.domain.com/infected.aspx
    • URL: wget www.domain.com
  3. Utilizzare il comando zip per posizionare il campione in un file ZIP compresso e crittografato, utilizzando la parola infected (infetto) (lettere minuscole, senza virgolette) come password di crittografia.

    Esempio di comando zip:
    • File: zip -e sample.zip infected.aspx
    • URL: zip -e sample.zip index.html
       
  4. Trasferire il file fuori dall'appliance mediante SCP o FTP.
Se si desidera aprire una SR con l'assistenza tecnica per inviare il campione:

Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
  • Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
  • Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.

Allegato

Virus To File.pdf
754K • < 1 minute @ broadband


ID documento precedente

3049

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Beta Translate with

Select a desired language below to translate this page.