Häufig gestellte Fragen zu Advanced Threat Defense
Technische Artikel ID:
KB79333
Zuletzt geändert am: 26.01.2021
Zuletzt geändert am: 26.01.2021
Umgebung
McAfee Advanced Threat Defense (ATD) 3.x
Zusammenfassung
Dieser Artikel enthält eine zusammengefasste Liste der Antworten auf häufig gestellte Fragen. Er richtet sich hauptsächlich an Benutzer, die mit dem Produkt nicht vertraut sind, kann jedoch auch für alle anderen Benutzer hilfreich sein.
ATD ist eine dedizierte Appliance zur Identifizierung komplexer und schwer erkennbarer Bedrohungen. Hierfür wird potenzielle Malware in einer sogenannten "Sandbox", d. h. einem vom Betriebssystem isolierten Bereich ausgeführt, ihr Verhalten wird analysiert, und anschließend wird bewertet, inwiefern sie Endgeräte oder ein Netzwerk schädigen kann.
ATD ist eine dedizierte Appliance zur Identifizierung komplexer und schwer erkennbarer Bedrohungen. Hierfür wird potenzielle Malware in einer sogenannten "Sandbox", d. h. einem vom Betriebssystem isolierten Bereich ausgeführt, ihr Verhalten wird analysiert, und anschließend wird bewertet, inwiefern sie Endgeräte oder ein Netzwerk schädigen kann.
Allgemeines Allgemeine Fragen zu ATD. Kompatibilität Fragen bezüglich der Kompatibilität von ATD mit Betriebssystemen, Browsern und McAfee-Software. ATD und Network Security Platform Informationen zur Funktionsweise und Interaktion von ATD mit Network Security Platform (NSP). ATD und Email Gateway (MEG) Informationen zu Integration und Betrieb von ATD und MEG. Abläufe Zusammenarbeit von ATD mit anderen Produkten und Ausführung der Tasks. Automatische Datenträgerbereinigung
Funktionsweise der automatischen Datenträgerbereinigung von ATD.
Wie lauten der standardmäßige Benutzername und das zugehörige Kennwort für die ATD-Appliance?
Wie ermittle ich die Versionen der installierten ATD-, DAT- und Scan-Module?
- Die Anmeldeinformationen für die grafische Verwaltungskonsole lauten:
Benutzername: admin
Kennwort: admin
- Die Anmeldeinformationen für die Befehlszeilenkonsole lauten:
Benutzername: cliadmin
Kennwort: atdadmin
Melden Sie sich bei der ATD-Verwaltungskonsole an. Die ATD-Version wird unter System Information (Systeminformationen) angezeigt. Beispiel:
Version: 3.4.x.xDie DAT- und Scan-Modul-Versionen werden ebenfalls unter System Information (Systeminformationen) angezeigt. Beispiel:McAfee AV-DAT-Version: 7419Warum kann ich mich nicht bei der ATD-Appliance authentifizieren?
McAfee AV-Scan-Modul-Version: 5600
McAfee GAM-DAT-Version: 2951
McAfee GAM-Scan-Modul-Version: 7001.1302.1842
Möglicherweise verwenden Sie den falschen Benutzernamen. Es gibt zwei standardmäßige Benutzernamen. Überprüfen Sie, ob Sie tatsächlich den richtigen Benutzernamen angegeben haben:
- Der Benutzername für die grafische Verwaltungskonsole lautet admin.
- Der Benutzername für die Befehlszeilenkonsole lautet cliadmin.
Welches Benutzerkonto sollte ich für das Hochladen einer VMDK-Datei auf die ATD-Appliance verwenden?
Sie müssen hierfür das Benutzerkonto atdadmin verwenden.
WICHTIG: Sie dürfen kein anderes Konto verwenden, selbst wenn für dieses Konto die FTP-Zugriffsberechtigung aktiviert ist.
Wie berechne ich, wie viele virtuelle Maschinen ich auf einer ATD-Appliance erstellen kann?
Für ATD-3000:
Die Höchstanzahl an virtuellen Maschinen beträgt 30. Sie können höchstens 30 virtuelle Maschinen erstellen. Außerdem muss die Gesamtgröße aller auf der Appliance vorhandenen virtuellen Maschinen unter 600 GB liegen. Wenn auf der ATD-Appliance zwei Betriebssysteme vorhanden sind, werden die entsprechenden Daten folgendermaßen berechnet:
{(Größe des 1. Betriebssystems) x Anzahl virtueller Maschinen + (Größe des 2. Betriebssystems) x Anzahl virtueller Maschinen} < 600
Für ATD-6000:
Die Höchstanzahl an virtuellen Maschinen beträgt 60. Mehr als 60 virtuelle Maschinen können nicht erstellt werden. Außerdem muss die Gesamtgröße aller auf der Appliance vorhandenen virtuellen Maschinen unter 1200 GB liegen. Wenn auf der ATD-Appliance zwei Betriebssysteme vorhanden sind, werden die entsprechenden Daten folgendermaßen berechnet:
{(Größe des 1. Betriebssystems) x Anzahl virtueller Maschinen + (Größe des 2. Betriebssystems) x Anzahl virtueller Maschinen} < 1200
Wie viele Kerne weist ATD einem VM-System zu? Kann diese Einstellung angepasst werden?
ATD weist einen (1) Prozessor und einen (1) Kern zu. Diese Einstellung kann nicht angepasst werden.
Welche Art von Kabel benötige ich für die Appliance zur Durchführung einer HyperTerminal-Sitzung?
Schließen Sie ein Konsolenkabel (RJ-45 auf DB-9, seriell) an den Konsolenanschluss auf der Rückseite der ATD-Appliance an. Verbinden Sie das andere Kabelende mit dem COM-Anschluss des Computers, den Sie zum Konfigurieren der Appliance benutzen.
Welche Einstellungen soll ich für HyperTerminal konfigurieren?
- Baud-Rate: 115200
- Bit-Anzahl: 8
- Parität: keine
- Stopp-Bits: 1
- Flusssteuerung: keine
- SSH-Port: 2222
Welche Anmeldedaten muss ich beim Ausführen einer HyperTerminal-Sitzung verwenden?
Benutzername: cliadmin
Kennwort: atdadmin
Wie kann ich die auf einer ATD-Testeinheit bzw. meiner ATD-Appliance vorhanden Daten löschen, bevor ich das Gerät an Intel Security zurückgebe?
Geben Sie an der Befehlszeile factorydefaults ein, und drücken Sie die EINGABETASTE. Mit diesem Befehl werden alle Proben, Ergebnisse, Protokolle und die Images virtueller Maschinen gelöscht, die IP-Adressen werden zurückgesetzt, und die Appliance wird anschließend neu gestartet.
Über wie viele NICs (Network Interface Cards, Netzwerkkarten) verfügt die ATD-Appliance?
Derzeit sind auf der ATD-Appliance vier NICs vorhanden, wobei lediglich NIC 1 für die Kommunikation mit Network Security Manager (NSM) bzw. dem ePolicy Orchestrator (ePO)-Server genutzt wird.
Wenn ich unter "Analyzer Profile" (Analyseprofil) die Option "Automatically select OS" (Betriebssystem automatisch auswählen) aktiviere, auf welche Weise wählt ATD dann das VM-Profil aus?
Beispiel: Sie konfigurieren das folgende Analyseprofil:
VM profile (VM-Profil) : Android Automatically Select OS (Betriebssystem automatisch auswählen) : Enable (Aktivieren) Windows 32-bit VM Profile (VM-Profil bei Windows 32 Bit) : WinXPsp3 Windows 64-bit VM Profile (VM-Profil bei Windows 64 Bit) : Win7sp1x64
Nach dem Empfang einer zu analysierenden APK-Datei wird diese mit dem Profil "Android" analysiert. 32-Bit-PE-Dateien werden an die virtuelle Maschine für Windows 32 Bit gesendet (WinXPsp3), 64-Bit-PE-Dateien an die virtuelle Maschine für Windows 64 Bit (Win7sp1x64).
Wenn ATD nicht bestimmen kann, an welches Betriebssystem eine Datei gesendet werden soll, wird sie an das im VM-Profil aufgeführte Betriebssystem gesendet, da dieses als die standardmäßige virtuelle Maschine für diesen Zweck gilt.
Warum wird die Fehlermeldung "Application Blocked by Security Settings" (Anwendung von Sicherheitseinstellungen blockiert) angezeigt, wenn ich versuche, mit einer virtuellen Maschine zu interagieren?
Die Ursache hierfür liegt in den Sicherheitseinstellungen für Java. Öffnen Sie zum Ändern dieser Einstellungen das Java Control Panel, und wählen Sie die Registerkarte Sicherheit aus. Ändern Sie die Sicherheitsebene auf Mittel, und übernehmen Sie die Änderungen.
Was passiert, wenn Sie die VM-Erstellung auf der ATD-Appliance starten?
Wenn Sie zum ersten Mal ein neues VM-Profil (Neues Betriebssystem) erstellen, wird der Dienst amas von ATD beendet, die VM-Erstellung wird gestartet, und nach Beendigung der VM-Erstellung wird der Dienst "amas" erneut gestartet. Wenn Sie lediglich die maximale Lizenzanzahl (Maximum License) unter dem bestehenden VM-Profil ändern, wird der Dienst amas nicht neu gestartet.
HINWEIS: Nachdem der Dienst "amas" beendet und bevor er wieder gestartet wurde, verarbeiten die bestehenden virtuellen Maschinen keinen Datenverkehr. Wartende Proben verbleiben in der Warteschlange, und neue Proben von Network Security Platform (NSP) oder Next Generation Firewall (NGFW) werden verworfen. Proben, die über Email Gateway, Web Gateway oder RestAPI eingesendet wurden, werden hingegen in die Warteschlange aufgenommen.
WICHTIG: Beenden Sie das Senden von Datenverkehr an ATD, bevor Sie mit der Erstellung eines neuen VM-Profils (Neues Betriebssystem) beginnen.
Wie kann ich überprüfen, ob NSM tatsächlich Dateien an ATD senden kann?
Nach Anwendung des Befehls status auf dem NSP-Sensor wird angezeigt, ob die Kommunikation funktioniert:
[McAfee MATD Communication]
Status : up
IP : 172.18.18.218
Port : 8505
Laden Sie über den NSP-Sensor eine PE- oder Office-Datei herunter, und vergewissern Sie sich, dass die Datei in ATD analysiert wird. Die Probe hat auf ATD einen numerischen Dateinamen. Diese Einschränkung wurde in der Version NSM 8.1 behoben.
Wofür steht im ATD Manager der Zähler "Waiting" (Wartend) unter "Dashboard | File Counters | Waiting" (Dashboard | Dateizähler | Wartend)?
Der Zähler Waiting (Wartend) gibt an, wie viele Dateien auf die Verarbeitung durch die Sandbox bzw. andere Analyseverfahren warten (z. B. GTI, GAM, Blacklist usw.).
Über welche Speichergrößen verfügen die Speichergeräte in ATD-Appliances?
ATD-3000:
- 2 x 4 TB HDDs, RAID 1
- 2 x 400 GB SSD, RAID 0
ATD-6000:
- 4 x 4 TB HDDs, RAID 1
- 2 x 800 GB SSD, RAID 0
Kann ich ATD-Appliances unterschiedlicher Modelle in einem ATD-Cluster miteinander kombinieren? Kann ich beispielsweise zwei ATD-3000 und eine ATD-6000 zu einem Cluster kombinieren?
Ja. Sie können ATD-Appliances unterschiedlicher Modelle zu einem Cluster kombinieren.
Wie werden die Laufwerke auf den ATD-Servern genutzt?
VM-Images und Snapshots werden auf den SSD-Laufwerken gespeichert, während sich die Systemlaufwerkpartition und die Datenlaufwerkpartition auf den Festplattenlaufwerken befinden.
Auf der jeweiligen Partition gespeicherte Dateien:
- Datenlaufwerk: vmdk, Probendateien, Berichte zu Proben und Protokolldateien.
- Systemlaufwerk: ATD-System-Software, Systemprotokolle.
Welche CPUs werden von ATD-Appliances verwendet?
- ATD 3000: 2 Xeon CPUs: E5-2658, 2,10 GHz, 20 M Cache
- ATD 6000: 4 Xeon CPUs: E5-4640, 2,40 GHz, 20 M Cache
Worin besteht bei der Angabe des Schweregrads in Übersichtsberichten der Unterschied zwischen "N/A" (Nicht zutreffend) und "None" (Keiner)?
- N/A (Nicht zutreffend) gibt an, dass das Scan-Modul keine Malware erkannt hat.
- None (Keiner) gibt an, dass das Scanner-Modul abgeschaltet war bzw. nicht aktiviert wurde.
Ich habe "Troubleshooting" (Fehlerbehebung) und dann "Diagnostic File" (Diagnosedatei) ausgewählt, aber es ist nichts passiert, und es wurde auch keine Datei erstellt. Ist dies ein Problem oder eine Fehlfunktion von ATD?
Nein. Eine Diagnosedatei wird nur erstellt, wenn auf der ATD-Appliance ein Fehler aufgetreten ist. Wenn es nicht zu einem Fehler kommt, wird auch keine Diagnosedatei erstellt.
Warum schlägt nach dem Konfigurieren der IP-Adresse von ATD das Erstellen von virtuellen Maschinen fehl?Nach dem erstmaligen Festlegen oder dem Ändern der IP-Adresse muss die ATD-Appliance erst neu gestartet werden, andernfalls funktioniert ATD nicht ordnungsgemäß.Warum kommt es zu einer ca. zehnsekündigen Verzögerung, bis ATD die Eingabeaufforderung für das Kennwort anzeigt, nachdem ich per SSH eine Verbindung mit der Appliance hergestellt habe?Sie haben der ATD-Appliance keine gültige DNS-Server-IP-Adresse zugewiesen. Wenn Sie einen gültigen DNS-Server festgelegt haben, zeigt ATD die Eingabeaufforderung sofort an.
Warum ist die Verbindungsgeschwindigkeit meiner ATD-Appliance so gering?
Die Netzwerkkarte ist falsch konfiguriert, daher kann die automatische Aushandlung nicht richtig erfolgen.
- In der ATD-CLI können Sie mithilfe des Befehls show die Schnittstelleneinstellungen für die Verwaltungs-NIC anzeigen.
- Die Netzwerkkonfiguration können Sie mithilfe des Befehls set mgmtport speed [10/100/1000] duplex full manuell konfigurieren.
Alternativ können Sie die automatische Aushandlung erneut über den Befehl set mgmtport auto ausführen.
Welche Informationen werden gelöscht, wenn ich bei einem Upgrade von ATD die Option "Reset Database" (Datenbank zurücksetzen) auswähle?Folgende Informationen werden gelöscht:
- Analyzer Profile (Analyseprofil)
- Analysis Status (Analysestatus)
- Analysis Results (Analyseergebnisse)
- User Management (Benutzerverwaltung)
- ePO Login/DXL Setting (ePO-Anmeldung/DXL-Einstellung)
- Date and Time Settings (Datums- und Uhrzeiteinstellungen)
Folgende Einträge werden nicht gelöscht:
- VM-Profileinträge unter "Policy | VM Profile" (Richtlinie | VM-Profil)
- Manage | Proxy Settings (Verwalten | Proxy-Einstellungen)
- Manage | DNS Settings (Verwalten | DNS-Einstellungen)
Warum werden keine ICMP-Pakete außerhalb von ATD versendet, obwohl der Malware-Internet-Zugriff aktiviert ist und ICMP-Antwortmeldungen an die Appliance zurückgesendet werden?Dieses Verhalten ist vorgesehen. Das Verhalten bezüglich ICMP entspricht immer dem Simulator-Modus, sodass ICMP (Ping)-Pakete nicht außerhalb von der ATD-Appliance versendet und ICMP-Antwortmeldungen an die Appliance zurückgesendet werden.
Warum erhalte ich die Fehlermeldung "Certificate is invalid" (Zertifikat ist ungültig), wenn ich versuche, ein Web-Zertifikat in ATD zu importieren? Wie kann ich ein signiertes Zertifikat in die ATD-Appliance importieren?
Im ATD-Produkthandbuch ist das Hochladen eines Web-Server-Zertifikats dokumentiert. Dort ist auch beschrieben, dass Sie das Zertifikat zusammen mit dem Schlüssel im PEM-Format hochladen müssen. Sie müssen das öffentliche Zertifikat mit dem privaten Schlüssel in einer Datei im PEM-Format kombinieren, die Sie dann in die ATD-Appliance importieren.
Welche Gültigkeitsprüfungen führt ATD durch, bevor das Web-Zertifikat akzeptiert wird?
- Die Appliance überprüft sowohl das Zertifikat als auch den Schlüssel in der hochgeladenen PEM-Datei.
- ATD überprüft, ob der Schlüssel die richtige Länge aufweist und akzeptiert ihn nur, wenn er mindestens 2048 Bit enthält.
- ATD überprüft den Hash-/Signaturalgorithmus und akzeptiert nur SHA256 und besser.
- ATD überprüft anhand des Ablaufdatums die Gültigkeit des Zertifikats.
In welchem Format muss die Web-Zertifikatsdatei vorliegen, um von ATD akzeptiert zu werden?ATD akzeptiert ein gültiges Zertifikat zusammen mit einem unverschlüsseltem privaten Schlüssel im PEM-Format. Die Web-Zertifikatsdatei muss im folgenden Format angeordnet sein:-----BEGIN RSA PRIVATE KEY-----(Ihre Daten zum privaten Schlüssel)-----END RSA PRIVATE KEY----------BEGIN CERTIFICATE-----(Ihre Zertifikatsdaten)-----END CERTIFICATE-----HINWEIS: Zwischen den Zeilen END RSA PRIVATE KEY und BEGIN CERTIFICATE dürfen sich keine leeren Zeilen befinden. Diese beiden Zeilen sollten hintereinander angezeigt werden.Wenn Sie über separate Dateien verfügen (eine Zertifikatsdatei und eine Datei eines privaten Schlüssels), können Sie diese über einen Text-Editor kombinieren und die Datei zu ATD hochladen.
Wie kombiniere ich die Zertifikatsdateien und die Dateien eines privaten Schlüssels?
- Öffnen Sie die Zertifikatsdatei und die Datei des privaten Schlüssels in einem Text-Editor.
- Kopieren Sie den gesamten Inhalt der Datei des privaten Schlüssels, und fügen Sie diesen am Beginn der Zertifikatsdatei ein.
- Speichern Sie die Web-Zertifikatsdatei.
- Laden Sie die kombinierte Zertifikatsdatei zu ATD hoch.
Akzeptiert ATD einen verschlüsselten privaten Schlüssel in der Web-Zertifikatsdatei?Nein. Sie müssen in der Web-Zertifikatsdatei einen unverschlüsselten privaten Schlüssel verwenden.Der ATD-Manager akzeptiert nur eine Datei für das CA-Zertifikatsfeld, das eigene Web-Zertifikat ist jedoch von einer zwischengeschaltete Zertifikatstelle und nicht von einer Root-Zertifikatstelle signiert. Wie gebe ich eine zwischengeschaltete Zertifikatstelle und eine Root-Zertifikatstelle für mein Web-Zertifikat für ATD an?Die CA-Datei kann mehrere CA-Zertifikate enthalten. Daher können Sie Ihr Root-CA-Zertifikat und beliebig viele zwischengeschaltete CA-Zertifikate nach Bedarf in einer Datei kombinieren und diese Datei dann zum ATD-Manager hochladen.
Die kombinierte PEM-Datei muss mit zwei Zertifikaten beginnen und das folgende Format verwenden:-----BEGIN CERTIFICATE-----(Ihre Zertifikatsdaten)-----END CERTIFICATE----------BEGIN CERTIFICATE-----(weitere Zertifikatsdaten)-----END CERTIFICATE-----
Wie kombiniere ich die CA-Zertifikatsdateien?
- Öffnen Sie die Zertifikatsdateien in einem Text-Editor.
- Kopieren Sie den gesamten Inhalt eines Zertifikats, und fügen Sie diesen in einer anderen Zertifikatsdatei am Anfang oder am Ende der Datei ein.
- Speichern Sie die kombinierte CA-Zertifikatsdatei.
- Laden Sie die kombinierte CA-Zertifikatsdatei zu ATD hoch.
Kann ich auch nur ein CA-Zertifikat hochladen?Nein. Sie müssen eine CA-Zertifikatsdatei zusammen mit dem Web-Zertifikat hochladen.
Kann ich die LAN2-Schnittstelle als Kommunikations-Port des ATD-Servers verwenden? Ja. LAN1 oder LAN2 kann als Kommunikations-Port des ATD-Servers verwendet werden, wenn der ATD-Server über eine IP-Adresse verwaltet wird.
HINWEIS: Möglicherweise müssen Sie bei Verwendung der LAN2-Schnittstelle statische Routen für den Datenverkehr zwischen Email Gateway und der ATD-Appliance einrichten.
Wie kann ich ATD konfigurieren, dass Dateien nicht nur anhand des Datei-Headers, sondern auch anhand der Dateierweiterung überprüft werden, bevor sie zur dynamischen Analyse gesendet werden?
Geben Sie an der ATD-Befehlszeile filetypefilter enable ein, und drücken Sie die EINGABETASTE.
HINWEIS: Weitere Informationen hierzu finden Sie im Produkthandbuch für Ihre Version.
Unterstützt die ATD-Appliance die Schnittstellenbündelung (z. B. die Bündelung von eth0 und eth1)?
Nein. Bündelung oder Link-Aggregation wird derzeit nicht unterstützt.
Welchen Zeitstempel verwendet ATD?
ATD verwendet seit Version 3.4.6.63 den Zeitstempel RFC 3339. In früheren Versionen wird RFC 3164 verwendet.
Kann ich die Einstellungen in einer virtuellen Maschine ändern, die bereits in ATD hochgeladen wurde, z. B. die IP-Adresse des DNS-Servers von A.B.C.D in W.X.Y.Z ändern?
Ja. Sie können die Einstellungen über die VNC-Verbindung unter GUI | Policy | VM Profile (GUI | Richtlinien | VM-Profil) ändern. Wählen Sie die virtuelle Maschine aus, und klicken Sie auf Edit (Bearbeiten) und dann auf Activate (Aktivieren). Nachdem Sie die erforderlichen Änderungen vorgenommen haben, fahren Sie die virtuelle Maschine herunter, und aktivieren Sie Validation (Überprüfung) und Create license (Lizenz erstellen). Dadurch wird eine neue virtuelle Maschine mit den geänderten Einstellungen erstellt.
Muss ich etwas beachten oder durchführen, bevor ich VM-Profile und VM-Analyseprofile hinzufüge oder die einem VM-Profil zugewiesenen Lizenzen ergänze bzw. vermindere?
Ja, Sie sollten den Dienst AMAS anhalten, bevor Sie die Datei vmcreator ausführen, selbst wenn Sie die Lizenzen modifizieren.
Wie halte ich den Dienst AMAS an?
Zum Anhalten des Diensts AMAS geben Sie an der Befehlszeile den Befehl amas stop ein und drücken dann die EINGABETASTE.
Was bedeutet die Ausgabe des Befehls "show filequeue"?
- Processing Time (Verarbeitungsdauer): Die Zeit, die vom Erhalt der Probe durch ATD bis zur Fertigstellung von Analyse und Berichten benötigt wird (Gesamte Verarbeitungszeit der Probe in ATD).
- Analyzing Time (Analysedauer): Die Zeit, die vom Start bis zur Fertigstellung des Sandboxing einer Probe benötigt wird (Gesamte Analysezeit).
- Files in SandBox (Dateien in Sandbox): Die Anzahl der Proben, die derzeit für die Sandbox-Analyse vorbereitet werden. Vor der Sandbox-Analyse werden die Proben an heuristische Analyseprogramme gesendet. Durch die heuristische Analyse kann festgestellt werden, ob eine Probe sauber und daher keine Sandbox-Analyse erforderlich ist. Aus diesem Grund werden mehr Proben mit dem Status "In analysis" (Analyse läuft) als die tatsächliche Anzahl der Sandbox-VMs angezeigt.
- Files in Queue (Dateien in Warteschlange): Die Anzahl der zu diesem Zeitpunkt im Scan-Verzeichnis befindlichen Dateien.
- Estimated average processing time for all samples (Voraussichtliche durchschnittliche Verarbeitungsdauer für alle Proben): Aktuelle Wartezeit (waitTime) des Systems oder die Zeit bis zur Analyse der nächsten eingesendeten Probe durch ATD.
Welche Microsoft Office-Versionen können mit einer virtuellen Maschine mit Microsoft Windows XP Service Pack 3 (SP3) oder XP Service Pack 2 (SP2) verwendet werden?
Wenn Sie eine virtuelle Maschine mit Microsoft Windows XP SP3 oder XP SP2 zur Ausführung von Microsoft Office in ATD erstellen, müssen Sie Microsoft Office 2007 oder eine frühere Version mit einem Kompatibilitätspaket installieren. Microsoft Office 2010 oder höher wird in virtuellen Maschinen mit Windows XP SP3 und Windows XP SP2 in ATD nicht unterstützt.
Welche Versionen von Web Gateway werden von ATD unterstützt?
ATD unterstützt Web Gateway 7.4.x und höher.
Welche Versionen von NSP können in ATD integriert werden?
NSP kann ab Version 8.x in ATD integriert werden.
Unterstützt das ATD 3.4.2-Clustering Email Gateway?
Nein. Email Gateway wird vom ATD 3.4.2-Clustering nicht unterstützt.
Welche Informationen werden von ATD aus kompatiblen und verbundenen McAfee-Produkten abgerufen oder verwendet?
- ATD ermittelt die Wahrscheinlichkeit, mit der es sich bei einer Datei um Malware handelt, anhand von Informationen aus den Reputationsdaten von GTI.
- Die Zielumgebung wird mithilfe von ePO ermittelt, damit die Datei in der passenden virtuellen Umgebung analysiert werden kann. ATD ermittelt in Zusammenarbeit mit ePO die Eigenschaften der Zielgeräte, damit die dynamische Analyse der Malware auf dem passenden Betriebssystem erfolgen kann.
- ATD nimmt Dateien von NSP oder Web Gateway an und gibt die Analyseergebnisse zurück, damit die entsprechenden Informationen bei der Richtlinienerzwingung eingesetzt werden können.
- Dateien können auch manuell über die Web-Anwendung (Analysis (Analyse) | Manual Upload (Manueller Upload)), über FTP (für den Benutzer muss unter Manage (Verwalten) | User Name (Benutzername) der FTP-Zugriff für die Dateiübermittlung aktiviert sein) oder über die API hochgeladen werden.
HINWEISE:
- In ATD 3.x werden das manuelle Hochladen von Malware und das Hochladen von diesen McAfee-Geräten aus zwar unterstützt, die Version bietet jedoch keine SPAN-Funktion.
- Informationen zur Verwendung der ATD-API finden Sie im ATD Reference Guide (ATD-Referenzhandbuch) für Ihre Version.
Informationen zu McAfee Produktdokumenten finden Sie im Enterprise-Produkt Dokumentationsportal unter https://docs.mcafee.com.
Muss sich die ATD-Appliance an einer bestimmten Position befinden?
Die ATD-Appliance muss sich nicht an einer Stelle, die der Datenverkehr direkt durchläuft, bzw. am Rand des Netzwerks befinden. Sie kann zentral oder innerhalb eines passenden Netzwerksegments positioniert werden, da der NSP-Sensor alle Daten an die Appliance weiterleitet.
Welche Browser kann ich für die Verwaltung von ATD nutzen?
Folgende Browser werden unterstützt:
- Microsoft Internet Explorer 10 und höher
- Mozilla Firefox
- Google Chrome
Welche Betriebssysteme werden von ATD für Analyse-VMs unterstützt?
Die aktuelle ATD-Version (ab August 2015) ist ATD 3.4.8, und die folgenden Analyse-VMs werden unterstützt:
- Microsoft Windows XP (32 Bit)
- XP Service Pack 2
- XP Service Pack 3
- Microsoft Windows 7
- Windows 7, 32 Bit, Service Pack 1
- Windows 7, 64 Bit, Service Pack 1
- Microsoft Windows 8
- Windows 8.0 Pro, 32 Bit
- Windows 8.0 Pro, 64 Bit
- Microsoft Server:
- Server 2003, Service Pack 1
- Server 2003, Service Pack 2
- Server 2008 R2, Service Pack 1
- Google Android
- Android 2.3
- Android 4.3
HINWEIS: Für Android 4.3 muss ein manuelles Upgrade durchgeführt werden. Ausführliche Informationen hierzu finden Sie im Produkthandbuch (PD26049).
Welche Anwendungen können in den Analyse-VMDK-Dateien enthalten sein?
- Microsoft Internet Explorer 6, 7, 8, 9, 10 und 11
- Mozilla Firefox 11, 12 und 13
- Microsoft Office 2003, 2007, 2010 und 2013
- Adobe Acrobat 8, 9 und 10
- Adobe Flash Player 13
- Adobe Reader, Version 9, 10 und 11
- jdk-7u25/jre-7u25, 32 Bit und 64 Bit, auf allen 32-Bit-Betriebssystemen
- jdk-7u25/jre-7u25, 64 Bit, auf allen 64-Bit-Betriebssystemen (ausschließlich)
Welche Methoden zur Erstellung von VM-Images für ATD werden unterstützt?
Sie können zur Erstellung von VM-Images für ATD nur VMware Workstation 9.0, 10, 11 und 12 verwenden.
Wenn Sie VMware Workstation 1x benutzen, müssen Sie für die Hardware-Kompatibilität Workstation 9.0 einstellen.
WICHTIG: Für Workstation 12 wird die Hardware-Kompatibilitätsoption während der VM-Erstellung nicht als Standardoption angeboten.
Sie müssen diese Einstellung ändern. Wählen Sie hierzu Edit (Bearbeiten) und dann Preferences (Voreinstellungen) aus, und wählen Sie für die Hardware-Standardkompatibilität (Default hardware compatibility) "Workstation 9" aus.
HINWEIS: ESXi und VMware Player werden nicht unterstützt.
Welche Komponenten benötige ich zum Installieren/Erstellen einer Analyse-VM?
Sie benötigen die ISO Ihres Betriebssystems sowie einen gültigen Lizenzschlüssel.
Woran erkenne ich, dass ein neu erstelltes VM-Profil einsatzbereit ist?Als Status der virtuellen Maschine wird Success (Erfolg) anzeigt.
Wie kann ich die ATD-Protokolldateien anzeigen?
Wählen Sie Troubleshooting (Fehlerbehebung) und dann Log Files (Protokolldateien) aus.
Wozu dient die Option "Support Bundle" (Support-Paket) im Bereich "Troubleshooting" (Fehlerbehebung)? Welche Informationen werden mit dieser Option gespeichert?
Mit dieser Option werden viele Protokolldateien und Konfigurationsinformationen von der ATD-Appliance gespeichert, die sehr hilfreich bei der Fehlerbehebung sind.
Welche Ports nutzt ATD für die Kommunikation?
ClientServer Standard-Port Konfigurierbar Beschreibung Beliebig ATD TCP 80
TCP 443 (HTTPS)Nein Zugriff auf Web-Anwendung Beliebig ATD TCP 21
TCP 22 (SSH)Nein FTP von VDMK- oder ISO-Images NSP-Sensor ATD TCP 8505 Nein NSP-Sensor-Kanal SSL
(AES-128, SHA 1)NSM ATD TCP 443 (HTTPS) Nein REST-Kommunikation ATD ePO TCP 8443 Ja ATD GTI TCP 443 (HTTPS) Nein GTI-Kanal Beliebig ATD TCP 2222 (SSH) Nein CLI-Zugriff VNC ATD 6000+* Nein Anzeigen von Sandbox-Bereichen
* Wenn Sie den interaktiven Modus nutzen und es beim Laden des Fensters "Interactive" (Interaktiv) zu Problemen kommt,
müssen Sie einen Port ab Nummer 6000 innerhalb eines Nummernbereichs öffnen, der der Anzahl der von Ihnen konfigurierten virtuellen Maschinen entspricht.
Wenn Sie beispielsweise über 10 VMs verfügen (4 XP und 6 Windows 7), sollten die offenen Ports im Bereich 6000–6011 liegen.
Warum wird die Fehlermeldung "Server refused to allocate pty" (Server hat Pty nicht zugewiesen) angezeigt, wenn ich über SSH eine Verbindung mit der ATD-Appliance herstellen will?
Entweder ist Port 2222 nicht geöffnet oder die SSH-Verbindung wird nicht über Port 2222 hergestellt.
Kann ich ATD auch in einem abgeschlossenen Netzwerk ohne Internet-Verbindung betreiben? Wie werden dann Aktualisierungen durchgeführt?
ATD verfügt über ein virtuelles Netzwerk und benötigt daher für den ordnungsgemäßen Betrieb keinen Internet-Zugriff. Derzeit werden jedoch keine Offline-Aktualisierungen unterstützt. Aktualisierungen müssen daher heruntergeladen und anschließend importiert werden. Das Internet-Simulationsmodul kann derzeit folgende Dienste emulieren:
HTTP SMTP FTP TELNET DNS
Kann ATD auch kennwortgeschützte Dateien analysieren?
ATD kann kennwortgeschützte Archivdateien analysieren, hierfür muss jedoch das Kennwort bekannt sein.
Wie groß darf eine Datei höchstens sein, damit ATD sie mit Web Gateway scannen kann?
Die Größenbeschränkung für mit Web Gateway zu scannende Dateien beträgt derzeit 128 MB.
Welche Zeichen dürfen im Namen von Dateien, die zur Analyse übermittelt werden, nicht enthalten sein?
Die folgenden Zeichen werden nicht unterstützt:
\ " ^ < > | ; ( ) [ ] * ? # $ & :
Kann NSP bösartige Dateien blockieren, sofern es in ATD integriert ist?Ja. Berücksichtigen Sie dabei jedoch Folgendes:
- NSP kann Dateien nur im Rahmen einer statischen Erkennung blockieren.
- Eine dynamische Erkennung nimmt längere Zeit in Anspruch, NSM ruft den Bericht zum dynamischen Scannen jedoch ab, sobald dieser abgeschlossen ist.
- ATD führt zuerst einen statischen Scan durch und meldet die Ergebnisse an NSM. Wenn für die Datei eine Übereinstimmung vorliegt, wird sie von NSM blockiert.
- NSP verarbeitet die Datei nur sechs Sekunden lang, die Ausführung der dynamischen Analyse kann jedoch länger dauern. Falls während des dynamischen Scans eine Erkennung erfolgt, ruft NSM den Report von ATD ab.
Welchen Wert muss ich als OS-ID eingeben, wenn ich einen MD5-Hash auf die Blacklist setzen möchte?
Der OS-ID-Wert bezeichnet das Betriebssystem, auf dem die Probe als bösartig erkannt wurde. Da Sie den Wert manuell in die Blacklist eintragen, wird der Wert nicht von anderen Scan-Programmen vorgegeben. Geben Sie (0) für die OS-ID an.
Welche Dateitypen werden von ATD unterstützt, und welche Mindest- und Maximalgrößen sind dabei jeweils zulässig?
Dateityp Standard-
minimumStandard-
maximumKonfigurierbares
MinimumKonfigurierbares
MaximumPortierbare ausführbare (PE) EXE-, DLL- oder SYS-Dateien unter Windows 1024 10000000 100 128000000 PDF-Dokumente mit der Erweiterung ".pdf" 2048 25000000 100 128000000 Java-Klassendateien mit der Erweiterung ".class" 1024 5000000 100 128000000 Ältere Microsoft Office-Dateien mit der Erweiterung ".doc", ".ppt" oder ".xls" 5120 10000000 100 128000000 Microsoft Rich Text Format-Dateien mit der Erweiterung ".rtf" 1024 10000000 100 128000000 ZIP-Dateien, APK-Dateien oder neuere Microsoft Office-Dateien mit der Erweiterung ".docx", ".pptx" oder ".xlsx" 200 20000000 100 128000000 JPEG-Bilddateien 5120 1000000 100 128000000 PNG-Bilddateien 5120 1000000 100 128000000 GIF-Bilddateien 5120 1000000 100 128000000 Ausführbare Microsoft DOS-Dateien mit der Erweiterung ".com" 1024 5000000 100 128000000 Macromedia Flash-Dateien mit der Erweiterung ".swf" 1024 5000000 100 128000000 Mit 7-zip komprimierte Archivdateien mit der Erweiterung ".7z" 200 10000000 100 128000000 Komprimierte RAR-Archivdateien mit der Erweiterung ".rar" 200 10000000 100 128000000 Komprimierte Microsoft-CAB-Archivdateien mit der Erweiterung ".cab" 200 10000000 100 128000000 Verschiedene Text- oder Skriptdateien, z. B. .js, .bat, .vbs, .xml, .py, .url, .htm 100 1000000 100 128000000
In welcher Reihenfolge führt ATD die Malware-Analyse durch?
- Statische Analyse:
- Lokale Whitelist
- Lokale Blacklist
- Global Threat Intelligence (GTI)
- Gateway-Malware-Schutz
- Malware-Schutz
- Dynamische Analyse: (Sandbox)
Unterstützt ATD nicht-englischsprachige Betriebssysteme? Unterstützt ATD beispielsweise die Installation eines Sandboxing-Image einer japanischen oder chinesischen Version von Microsoft Windows 8 in ATD (64 Bit oder 32 Bit)?
Ja, das wird unterstützt. Bei weiteren Fragen zur Verwendung eines nicht-englischsprachigen Betriebssystems für die Sandbox-Analyse öffnen Sie eine Service-Anfrage beim technischen Support.
Unterstützt ATD Doppel-Byte-Zeichen für die MATD-Prüfung (statische Analyse, dynamische Analyse und Analyse des statischen Codes)?
Ja. ATD analysiert beispielsweise bei lokalisierten chinesischen bzw. japanischen Dateinamen und Dateiinhalten die Dateinamen der lokalisierten und von Web Gateway erhaltenen Dateien und führt sie in einer Liste auf.
Werden bei der Integration von ATD in Active Directory untergeordnete Gruppen unterstützt?
Ja. Sie müssen für die Basis-DN-Suche jedoch die Option "Unterstruktur" verwenden.
Funktioniert die KMS-Aktivierung für VM-Images, die auf ATD gehostet und ausgeführt werden?
Nein, die KMS-Aktivierung funktioniert nicht für VM-Images, die auf der ATD-Appliance ausgeführt werden.
Zurück zum Inhalt
ATD und NSP
Wie kann ich den Status des ATD/NSP-Kanals anzeigen?
Geben Sie zum Überprüfen des Status der ATD-NSP-Kommunikationsverbindung in der Befehlszeile des NSP-Sensors den Befehl status ein.
Beispiel:
[McAfee MATD Communication]
Status: up
IP: 172.23.80.7
Port: 8505
HINWEIS: Der Status lautet entweder up (aktiv) oder down (nicht aktiv).
Sendet der NSP-Sensor Dateien an die ATD-Appliance, wenn der Datenverkehr über HTTPS läuft und der NSP-Sensor über das korrekte Zertifikat für die Entschlüsselung verfügt?
Ja, die Extraktion von Dateien über HTTPS für die Malware-Analyse wird unterstützt. Wenn für den NSP-Sensor die SSL-Funktion aktiviert ist und das korrekte Zertifikat importiert wurde, kann der Sensor die Dateien über HTTPS entschlüsseln und Dateien zur Malware-Analyse an die ATD-Appliance senden.
Wie kann ich überprüfen, ob der NSP-Sensor tatsächlich mit ATD verbunden ist?Öffnen Sie eine Befehlszeilensitzung für den NSP-Sensor, führen Sie den Befehl status aus, und überprüfen Sie zur Bestätigung die unter McAfeeMATDCommunication angezeigten Informationen.
Wie kann ich überprüfen, ob eine Datei tatsächlich an ATD gesendet wurde?Öffnen Sie eine Befehlszeilensitzung für den NSP-Sensor, führen Sie den Befehl malwareenginestats aus, und überprüfen Sie die Ausgabe.
Beispiel:
MALWARE STATISTICS FOR MATD ENGINE:
--------------------------------------------------
Number of files sent: 4
Number of response Received: 4
Number of files ignored: 0
Welchen physischen Port verwendet der NSP-Sensor für die Kommunikation mit der ATD-Appliance?Der NSP-Sensor nutzt für die Kommunikation mit der ATD-Appliance seinen Verwaltungs-Port.
Welchen TCP-Port verwendet der NSP-Sensor für die Kommunikation mit ATD?
Der NSP-Sensor nutzt für die Kommunikation mit ATD den TCP-Port 8505.
Der NSP-Sensor sendet nur wenige Dateien an ATD. Warum?
Der NSP-Sensor muss die gesamte Datei verarbeiten. In manchen Fällen lässt es die Konfiguration Ihres Netzwerks (z. B. bei asymmetrischem Datenverkehrsfluss) möglicherweise nicht zu, dass der NSP-Sensor Zugriff auf die gesamte Datei hat. Legen Sie zum Umgehen solcher Situationen für den NSP-Sensor anstelle von permit out of order (nicht in Reihenfolge zulassen) die Option permit for flow control (Flussteuerung zulassen) fest. Diese Optionen befinden sich in den TCP-Einstellungen des NSP-Sensors (Devices | Policy | Advanced | TCP Settings (Geräte | Richtlinie | Erweitert | TCP-Einstellungen)).
Warum schlagen meine Signaturaktualisierungen fehl?
Dies liegt häufig an falschen DNS-Einstellungen. Überprüfen Sie unter DNS Proxy setting (DNS-Proxy-Einstellungen), ob die Einstellungen korrekt sind.
Wie groß darf eine Datei maximal sein, damit ATD sie mit NSP scannen kann?Die Größenbeschränkung für mit NSP zu scannende Dateien beträgt derzeit 25 MB.
Wo erhalte ich für Testzwecke einsetzbare Malware-Proben?
Malware-Proben sind auf folgenden Websites verfügbar:
Mit dem Kategorisierungsprogramm Maltrieve können Sie die Ergebnisse auch verschiedenen Kategorien zuordnen.
Können verschiedene Sensoren auf verschiedene Scan-Profile eingestellt werden?Nein.
ATD und Email Gateway (MEG)
Wenn MEG mehr Proben sendet, als ATD verarbeiten kann, und somit die Appliance überlastet, kann ich darüber benachrichtigt werden?
Nein. Wenn ATD überlastet ist, werden Proben von MEG abgelehnt und nur auf der Seite ATD Analysis Status (ATD-Analysestatus) als Abgelehnt angezeigt. Es gibt keine E-Mail oder sonstige Benachrichtigung für diese Ablehnung durch ATD.
Muss ich vor einem ATD-Upgrade die Integration in MEG oder Web Gateway vorübergehend einstellen?
Nein. Sie müssen die Integration vor der Durchführung eines ATD-Upgrades nicht vorübergehend einstellen.
Was ist der ATD-Cache von Email Gateway?
MEG arbeitet mit einem Cache für Scan-Ergebnisse, um die Anzahl doppelter Scans zu vermindern und die ATD-Leistung zu optimieren.
Was sind die Merkmale dieses Caches?
- ATD-Cache-Einträge in MEG werden in einer In-Memory-Database gespeichert.
- Die Anzahl der Cache-Elemente ist nicht beschränkt.
- Die Gültigkeitsdauer jedes Cache-Eintrags beträgt 604.800 Sekunden (7 Tage).
Wie kann ich den ATD-Cache von Email Gateway leeren?
Der Cache kann über die MEG-Verwaltungskonsole geleert werden. Wählen Sie Fehlerbehebung | Tools | ATD aus, und leeren Sie den Cache.
Erkennt ATD auch die Schwachstelle, durch deren Ausnutzung der böswillige Code das System überhaupt infizieren konnte?
Ja. ATD erstellt sowohl Übersichts- als auch ausführliche Berichte mit Informationen zu den Verhaltensweisen und Schlüsselindikatoren, die zur Infizierung geführt haben. Diese Informationen werden an andere integrierte McAfee-Lösungen wie Web Gateway oder ePO weitergegeben, die daraufhin proaktiv entsprechende Absicherungen aktivieren und Behebungsaktionen durchführen.
Führt ATD ein automatisches Säubern von Hosts durch?
Nein. In ATD 3.x bietet keine Funktion zum automatischen Säubern von Hosts.
Unterstützt ATD das Konfigurieren von IPv6?
Nein. IPv6 wird von ATD derzeit nicht unterstützt. Dies ist jedoch im Rahmen einer zukünftigen Aktualisierung geplant.
Unterstützt ATD die Common Criteria-Zertifizierung?
Ja, die Common Criteria-Zertifizierung wird ab Version 3.4.6 unterstützt.
Gibt es bestimmte IP-Adressbereiche, die vermieden werden sollten bzw. die von ATD verwendet werden?
ATD darf im Netzwerk nicht in den Bereichen 192.168.50.0/24, 192.168.55.0/24 und 192.168.88.0/24 eingesetzt werden. So ist 192.168.50.12 beispielsweise die IP-Adresse der virtuellen Maschine, die überprüft werden soll.
HINWEIS: Wenn Sie Ihren virtuellen Maschinen eine Adresse in diesem Bereich zuweisen, sind sie weder sichtbar noch verfügbar.
Warum wird beim Ausführen des Befehls "factorydefaults" für die Software-Versionen "Active" (Aktiv) und "Backup" (Sicherung) die gleiche Version festgelegt?
Dies ist so vorgesehen. Der Befehl factorydefaults löscht die aktiven Einstellungen und die Sicherungseinstellungen, und die Backup-Software-Version wird an die aktive Software-Version angepasst.
Worum handelt es sich bei den DNS-Proxy-Einstellungen von ATD?
Alle von ATD durchgeführten DNS-Abfragen verwenden diese DNS-Einstellungen bei der Durchführung von Suchen und anderen Funktionen. Diese Einstellungen werden auf alle DNS-Funktionen angewendet, z. B. DAT-Aktualisierungen und GTI-Abfragen.
Kann ich Elemente bereinigen, die noch nicht von der ATD-Appliance verarbeitet wurden?Ja. Führen Sie folgende Schritte durch, um Elemente zu bereinigen, die noch nicht von der ATD-Appliance verarbeitet wurden:
VORSICHT: Dabei werden sämtliche vorhandenen Berichtsanalyseergebnisse aus dem System entfernt.
- Öffnen Sie die ATD-Konsole, und navigieren Sie zu Manage (Verwalten), zu Troubleshooting (Fehlerbehebung) und dann zu Reset Report Analysis Results (Berichtsanalyseergebnisse zurücksetzen).
- Wählen Sie Remove all Report Analysis Results (Alle Berichtsanalyseergebnisse entfernen) aus.
- Klicken Sie auf Submit (Senden).
Erläuterung des Verhaltens der PSU-LEDs an ATD-Einheiten:
ATD 3000 und ATD 6000
Status der Stromversorgung LED-Anzeige Anzeige "ON" und "OK" GRÜN Alle Netzteile ohne Stromversorgung AUS Stromversorgung vorhanden/Nur 12 VSB (Stromversorgung aus) oder Stromversorgung im Status "Kalte Redundanz" 1 Hz-Blinken, GRÜN Netzstecker gezogen oder keine Stromversorgung; zweite, parallele Stromversorgung ist noch vorhanden und aktiv GELB Warnungsereignisse bezüglich der Stromversorgung, Versorgung ist jedoch noch aktiv (hohe Temperatur/Auslastung/Stromstärke, Lüfter langsam) 1 Hz-Blinken, GELB Schwerwiegendes Ereignis bezüglich der Stromversorgung löst Abschaltung aus (Versagen wg. zu hoher Stromstärke/Überspannung, Lüfterversagen) GELB Firmware der Stromversorgung wird aktualisiert 2 Hz-Blinken, GRÜN
Wie kann ich das Sitzungszeitlimit für den ATD-Manager (Admin GUI) konfigurieren?
Führen Sie über die Befehlszeilenschnittstelle den Befehl set ui-timeout aus. Beispiel: Mit set ui-timeout 300 wird das Zeitlimit auf 300 Sekunden gesetzt.
Ab welchem Bedrohungsfaktor gilt eine Datei bei ATD als bösartig?Ab 3 (Mittel).
Unterstützt ATD NIC-Bündelung, NIC-Teaming oder Netzwerk-Aggregation?
Nein. ATD unterstützt diese Technologien nicht.
Kann ich für den Internet-Zugriff für Proben das Hauptnetzwerk verwenden, oder muss ich ein separates Netzwerk bzw. eine separate Verbindung einrichten?
Sie sollten Ihr Netzwerk so segmentieren, dass die Reputation Ihrer wichtigsten IP-Adressen nicht gefährdet wird. Sie können entweder ein vollständig abgetrenntes Netzwerk oder eine bestimmte IP-Adresse einrichten, das bzw. die nur für diese Funktion genutzt wird, damit sich eine schlechte Reputation dieser IP-Adresse nicht negativ auf Ihr Unternehmen auswirkt.
Wenn ich einen ATD-Cluster einrichte, wird dann der Lastausgleich zwischen den Dateien unterstützt, und können Dateien und Ergebnisse Appliance-übergreifend freigegeben werden?Der Lastausgleich wird in einem Cluster unterstützt. Die in der Blacklist befindlichen Dateien werden zwischen den Mitgliedern des Clusters synchronisiert, und diese Funktion wurde in Version 3.4.8 verbessert.
Weitere Informationen hierzu finden Sie im ATD Product Guide (ATD-Produkthandbuch) und in den Versionshinweisen für Ihre Produktversion.
Werden Cluster unterstützt, deren Primär- und Sekundär-Appliance sich in verschiedenen DCs oder Netzwerken befinden?Nein. Er werden nur Cluster unterstützt, deren Appliances sich in demselben Netzwerk befinden.ATD ruft Antiviren- und GAM-Aktualisierungen von mwg-update.mcafee.com ab.
Warum stellt ATD eine Verbindung mit mwg-update.mcafee.com her?
Client Server Standard-Port Konfigurierbar Beschreibung Advanced Threat Defense tunnel.message.trustedsource.org TCP 443 (HTTPS) Nein Datei-Reputations-Abfragen. Advanced Threat Defense list.smartfilter.com TCP 80 (HTTP) Nein URL-Aktualisierungen. Beliebig (SSH-Client) Advanced Threat Defense TCP 2222 (SSH) Nein CLI-Zugriff. Advanced Threat Defense mwg-update.mcafee.com TCP 443 (HTTPS) Nein Aktualisierungen für die McAfee Gateway Anti-Malware Engine und die McAfee Anti-Malware Engine.
Über welchen Port läuft der URL-Download-Datenverkehr, wenn die Malware-Schnittstelle konfiguriert ist?
Der URL-Download-Datenverkehr passiert die Malware-Schnittstelle nur, wenn diese konfiguriert ist. Wenn die Malware-Schnittstelle nicht konfiguriert ist, läuft der URL-Download-Datenverkehr über den Verwaltungs-Port.
Warum wird die folgende Systemmeldung protokolliert: Null domain still present or couldn't be killed (Nulldomäne weiterhin vorhanden oder konnte nicht beendet werden)?
Diese Meldungen werden im Rahmen des Überprüfungs-/Bestätigungsprozesses angezeigt, nachdem die ATD-Appliance Null-VMs entfernt hat. Sie geben kein Problem an, sondern werden als Teil der normalen Funktionsweise von ATD protokolliert und können ignoriert werden.
Zurück zum Inhalt
Automatische Datenträgerbereinigung
Welche Dateien werden bei der Datenträgerbereinigung von ATD entfernt?
Wann wird die Datenträgerbereinigung durchgeführt?
Wie lange bewahrt ATD Kopien der ursprünglichen Probendaten und Scan-Ergebnisse auf?
ATD bewahrt die alten Proben und Scan-Ergebnisse auf, bis diese bei der nächsten automatischen Datenträgerbereinigung gelöscht werden.
Welche Dateien werden bei der Datenträgerbereinigung von ATD entfernt?
Der Prozess löscht alte Protokolle, Core-Dateien und Ergebnisse der Datei-Scans.
Wann wird die Datenträgerbereinigung durchgeführt?
Die Datenträgerbereinigung wird immer dann gestartet, wenn mehr als 75 % des Speicherplatzes der Appliance belegt sind.
Sind die Beibehaltungsdauer und die Obergrenze konfigurierbar?
Nein. Es gibt keine konfigurierbaren Einstellungen für die Datenbeibehaltung. ATD führt den Säuberungs-Task aus und löscht einen kleinen Teil der alten Ergebnisse, darunter die ursprüngliche Probe, wenn die Datenträgerauslastung über 75 % liegt.
Bei welchem Speicherbelegungswert wird die Datenträgerbereinigung wieder beendet?
Sind die Beibehaltungsdauer und die Obergrenze konfigurierbar?
Nein. Es gibt keine konfigurierbaren Einstellungen für die Datenbeibehaltung. ATD führt den Säuberungs-Task aus und löscht einen kleinen Teil der alten Ergebnisse, darunter die ursprüngliche Probe, wenn die Datenträgerauslastung über 75 % liegt.
Bei welchem Speicherbelegungswert wird die Datenträgerbereinigung wieder beendet?
Bei der Datenträgerbereinigung werden so lange alte Dateien und Ergebnisse von Datei-Scans entfernt, bis die Speicherauslastung unter 60 % gesunken ist.
Zurück zum Inhalt
Zurück zum Inhalt
Themenbezogene Informationen
KB83839: End of Life for Advanced Threat Defense versions 3.2.x and earlier (Ende des Lebenszyklus der Advanced Threat Defense-Versionen 3.2.x und früher)
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional