FAQ pour Advanced Threat Defense
Articles techniques ID:
KB79333
Date de la dernière modification : 26/01/2021
Date de la dernière modification : 26/01/2021
Environnement
McAfee Advanced Threat Defense (ATD) 3.x
Synthèse
Cet article répertorie les questions et réponses fréquentes. Il est principalement destiné aux nouveaux utilisateurs du produit, mais il est à la disposition de tous les utilisateurs.
ATD est une appliance dédiée qui identifie des menaces sophistiquées et difficiles à détecter en exécutant un logiciel suspecté malveillant dans un sandbox, en analysant son comportement et en évaluant l'impact potentiel que le logiciel malveillant peut avoir sur un poste client et un réseau.
ATD est une appliance dédiée qui identifie des menaces sophistiquées et difficiles à détecter en exécutant un logiciel suspecté malveillant dans un sandbox, en analysant son comportement et en évaluant l'impact potentiel que le logiciel malveillant peut avoir sur un poste client et un réseau.
Généralités Questions générales sur ATD Compatibilité Questions sur la comptabilité des systèmes d'exploitation, navigateurs et logiciels McAfee avec ATD. ATD et Network Security Platform Informations sur la façon dont ATD fonctionne et interagit avec Network Security Platform (NSP). ATD et Email Gateway (MEG) Information sur l'intégration et l'exploitation d'ATD et de MEG. Opérations Informations sur la manière dont ATD fonctionne avec d'autres produits et exécute ses tâches. Nettoyage automatique de l'espace disque
Informations sur le fonctionnement du nettoyage automatique de l'espace disque ATD.
Quels sont le nom d'utilisateur par défaut et le mot de passe pour l'appliance ATD ?
Comment puis-je identifier les versions d'ATD, des fichiers DAT et de moteur installées ?
- Les informations de connexion pour la console de gestion graphique sont les suivantes :
Nom d'utilisateur : admin
Mot de passe : admin
- Les informations de connexion pour la console de ligne de commande sont les suivantes :
Nom d'utilisateur : cliadmin
Mot de passe : atdadmin
Connectez-vous à la console de gestion ATD. La version d'ATD est indiquée sous Informations système. Par exemple :
Version: 3.4.x.xLes versions des fichiers DAT et de moteur sont également indiquées sous Informations système. Par exemple :Version McAfee AV DAT : 7419Pourquoi ne suis-je pas en mesure d'authentifier l'appliance ATD ?
Version McAfee AV Engine : 5600
Version McAfee GAM DAT : 2951
Version McAfee GAM Engine : 7001.1302.1842
Probablement parce que vous n'utilisez pas le bon nom d'utilisateur. Il existe deux utilisateurs par défaut ; confirmez que vous utilisez le nom d'utilisateur correct :
- Le nom d'utilisateur graphique est admin.
- Le nom d'utilisateur CLI est cliadmin.
Quel compte utilisateur exploiter afin de télécharger un fichier VMDK pour l'appliance ATD ?
Vous devez utiliser le compte utilisateur atdadmin.
IMPORTANT : vous ne pouvez utiliser aucun autre compte, même si le rôle Accès FTP est sélectionné pour ce compte.
Comment calculer le nombre de machines virtuelles que je peux créer sur une appliance ATD ?
Pour ATD-3000 :
Le nombre maximal de machines virtuelles (VM) est 30. Vous ne pouvez pas créer plus de 30 VM. En outre, la taille totale des VM de votre appliance ne doit pas dépasser 600 Go. Si vous avez deux systèmes d'exploitation sur votre appliance ATD, le calcul est le suivant :
{(Taille du 1er SE)*nombre de VM + (taille du 2e SE)*nombre de VM} < 600
Pour ATD-6000 :
Le nombre maximal de VM est 60. Vous ne pouvez pas créer plus de 60 VM. En outre, la taille totale des VM de votre appliance ne doit pas dépasser 1 200 Go. Si vous avez deux systèmes d'exploitation sur votre appliance ATD, le calcul est le suivant :
{(Taille du 1er SE)*nombre de VM + (taille du 2e SE)*nombre de VM} < 1200
Combien de cœurs ADT affecte-t-il à un système de VM ? Est-il possible de personnaliser ce paramètre ?
ATD affecte un (1) processeur et un (1) cœur. Ce paramètre n'est pas personnalisable.
Quel câble dois-je connecter à l'appliance pour exécuter une session HyperTerminal ?
Connectez un câble de console (série RJ45 à DB9) au port de console situé à l'arrière de l'appliance ATD. Connectez l'autre extrémité du câble au port COM du PC que vous utilisez pour configurer l'appliance.
Quels paramètres dois-je utiliser pour configurer HyperTerminal ?
- Baud : 115200
- Nombre de bits : 8
- Parité : aucune
- Bits d'arrêt : 1
- Contrôle de flux : aucun
- Port SSH : 2222
Quelles informations de connexion dois-je utiliser lors de l'exécution d'une session HyperTerminal ?
Nom d'utilisateur : cliadmin
Mot de passe : atdadmin
Comment effacer les données d'une unité d'évaluation ATD ou de mon appliance ATD avant de la renvoyer à Intel Security ?
Dans la ligne de commande, saisissez factorydefaults, puis appuyez sur ENTREE. Cette commande supprime l'ensemble des exemples, résultats, journaux et images de machines virtuelles et réinitialise les adresses IP avant de redémarrer l'appliance.
Quelles cartes réseau (NIC) l'appliance ATD présente-t-elle ?
L'appliance ATD présente actuellement quatre cartes réseau (NIC) avec seulement la NIC 1 utilisée pour communiquer avec le serveur Network Security Manager (NSM) ou ePolicy Orchestrator (ePO).
Lorsque j'active "Automatically select OS" (Sélection automatique du SE) dans Analyzer Profile (Profil d'analyseur), comment ATD sélectionne-t-il VM Profile (Profil de VM) ?
Par exemple, si vous configurez le profil d'analyseur suivant :
Profil de VM Android Sélection automatique du SE Activer Profil de VM Windows 32 bits WinXPsp3 Profil de VM Windows 64 bits Win7sp1x64
Lorsqu'un fichier APK est reçu pour un examen, il est analysé avec Android : un fichier PE de 32 bits est envoyé à la machine virtuelle (VM) Windows 32 bits (WinXPsp3) et un fichier PE de 64 bits est envoyé à la VM Windows 64 bits (Win7sp1x64).
Si ATD n'est pas en mesure de déterminer vers quel SE envoyer le fichier, ce dernier est envoyé au SE répertorié dans le profil de VM, qui serait à cette fin vu comme la VM par défaut.
Pourquoi ne vois-je pas le message "Application Blocked by Security Settings" (Application bloquée par les paramètres de sécurité) lorsque je tente d'interagir avec une VM ?
Ceci est dû aux paramètres de sécurité Java. Pour modifier ces paramètres, ouvrez le panneau de configuration Java, puis sélectionnez l'onglet Sécurité. Définissez le niveau de sécurité sur Moyen puis appliquez les changements.
Que se passe-t-il lorsque vous démarrez la création de VM sur l'appliance ATD ?
Lorsque vous créez pour la première fois un profil de VM (nouveau système d'exploitation), le service AMAS est arrêté par ATD. La création de VM est alors démarrée et, une fois terminée, AMAS est redémarré. Lorsque vous modifiez uniquement le compte de licence maximale sous le profil de VM existant, le service AMAS ne sera pas redémarré.
REMARQUE : entre les états d'arrêt et de démarrage du service AMAS, les VM existantes ne traiteront pas le trafic. Des échantillons en attente resteront dans la file d'attente et les nouveaux échantillons provenant de Network Security Platform (NSP) ou de Next Generation Firewall (NGFW) seront abandonnés. Toutefois, les échantillons Email Gateway, Web Gateway et RestAPI soumis seront ajoutés à la file d'attente.
IMPORTANT : arrêtez toujours l'envoi de trafic vers ATD avant de commencer la création d'un profil de VM (nouveau système d'exploitation).
Comment puis-je confirmer que NSM peut envoyer des fichiers vers ATD ?
La commande status de NSP Sensor indique s'il est en mesure de communiquer :
[McAfee MATD Communication]
Status : up
IP : 172.18.18.218
Port : 8505
Téléchargez un PE ou un fichier Office via NSP Sensor, puis vérifiez qu'il est en cours d'analyse par ATD. L'exemple a un nom de fichier numérique sous ATD ; il s'agit d'une restriction établie dans la version NSM 8.1.
Que représente le Waiting counter (compteur en attente) (Tableau de bord, Compteur de fichiers, En attente) dans le gestionnaire ATD ?
Le Waiting Counter représente le nombre de fichiers en attente de la sandbox ainsi que d'autres sélecteurs déroulants (comme GTI, GAM, Liste noire, etc.).
Quelles sont les tailles des équipements de stockage des appliances ATD ?
ATD-3000 :
- 2 disques durs de 4 To, RAID 1
- 2 SSD de 400 Go, RAID 0
ATD-6000 :
- 4 disques durs de 4 To, RAID 1
- 2 SSD de 800 Go, RAID 0
Puis-je mélanger et faire correspondre des appliances de modèle ATD dans un cluster ATD ? Par exemple, puis-je combiner 2x ATD-3000 et 1x ATD-6000 pour créer un cluster ?
Oui. Vous pouvez mélanger et faire correspondre des appliances ATD pour créer un cluster.
Comment les lecteurs sont-ils utilisés sur les serveurs ATD ?
Les images et captures instantanées de VM sont enregistrées sur les lecteurs SSD ; les partitions System Disk (Disque système) et Data Disk (Disque de données) se trouvent sur les disques durs.
Fichiers enregistrés dans chaque partition :
- Data Disk : vmdk, exemples de fichiers, exemples de rapports et fichiers journaux.
- System Disk : logiciels du système ATD, journaux système.
Quels processeurs les appliances ATD utilisent-elles ?
- ATD 3000 - 2 x processeurs Xeon : E5-2658, 2,10 GHz, Cache 20 Mo
- ATD 6000 - 4 x processeurs Xeon : E5-4640, 2,40 GHz, Cache 20 Mo
Quelle est la différence entre « N/A » et « None » (Aucun) en matière de gravité dans un rapport de synthèse ?
- N/A indique que le moteur analyseur n'a détecté aucun logiciel malveillant.
- None (Aucun) indique que le moteur analyseur était désactivé ou non activé.
J'ai sélectionné Dépannage, Fichier de diagnostic, mais rien ne se passe et aucun fichier n'a été généré ; existe-t-il un problème ou une défaillance en lien avec ATD ?
Non. Un fichier de diagnostic n'est généré que si une erreur s'est produite sur l'appliance ATD. Si aucune erreur ne s'est produite, aucun fichier de diagnostic n'est généré.
Pourquoi la création de la machine virtuelle (VM) échoue-t-elle suite à la configuration de l'adresse IP d'ATD ?Vous devez redémarrer l'appliance ATD après avoir défini l'adresse IP pour la première fois ou lorsque vous modifiez l'adresse IP. Si vous ne procédez pas ainsi, ATD ne fonctionnera pas correctement.Pourquoi note-t-on un retard (environ 10 secondes) pour qu'ATD affiche l'invite 'Password:' (Mot de passe :) lors de la connexion à l'appliance via SSH ?Vous n'avez pas affecté d'adresse IP de serveur DNS valide à l'appliance ATD. Lorsque vous définissez un serveur DNS valide, ATD affiche l'invite immédiatement.
Pourquoi la vitesse de connexion de mon appliance ATD est-elle lente ?
La carte d'interface réseau n'est pas configurée correctement, ce qui provoque l'échec de la négociation automatique de cette dernière.
- Depuis l'interface de la ligne de commande ATD, vous pouvez exécuter la commande show pour afficher les paramètres de l'interface pour la carte d'interface réseau de gestion.
- Vous pouvez effectuer manuellement la configuration réseau en exécutant la commande set mgmtport speed [10/100/1000] duplex full.
Vous pouvez également effectuer à nouveau la négociation automatique en exécutant la commande set mgmtport auto.
Quelles informations seront supprimées si je sélectionne Reset Database (Réinitialiser la base de données) lorsque j'effectue une mise à niveau d'ATD ?Les informations suivantes seront supprimées :
- Profil d'analyseur
- Etat de l'analyse
- Résultats de l'analyse
- Gestion des utilisateurs
- ePO Login/DXL Setting (Connexion ePo/Paramètre DXL)
- Paramètres Date and Time (Date et heure)
Les entrées suivantes ne seront pas supprimées :
- Entrées du profil de VM dans Stratégie, Profil de VM
- Gestion, paramètres de proxy
- Gestion, paramètres de DNS
Pourquoi les paquets ICMP ne sont-ils pas envoyés hors d'ATD même si l'accès aux logiciels malveillants sur Internet a été activé et que les messages de réponse ICMP sont renvoyés à l'appliance ?Il s'agit du comportement prévu. Le comportement ICMP est toujours en mode simulateur, donc les paquets ICMP (ping) ne sont pas envoyés hors de l'appliance ATD et les messages de réponse ICMP lui seront renvoyés.
Lorsque je tente d'importer un certificat web dans ATD, pourquoi l'erreur « Le certificat n'est pas valide. » s'affiche-t-elle ? Comment puis-je importer un certificat signé dans l'appliance ATD ?
Le Guide produit ATD explique la procédure de téléchargement d'un certificat serveur web. Il y est également précisé que vous devez télécharger le certificat avec la clé au format PEM. Vous devez combiner le certificat public et la clé privée dans un seul fichier au format PEM, puis importer ce fichier dans l'appliance ATD.
Quelles vérifications de validation ATD effectue-t-il avant d'accepter le certificat Web ?
- L'appliance vérifie le certificat et la clé dans le certificat téléchargé au format PEM.
- ATD vérifie si la longueur de clé est correcte et l'accepte seulement si elle est de 2 048 bits ou plus.
- ATD vérifie l'algorithme de signature/hachage et accepte seulement les algorithmes SHA256 et supérieurs.
- ATD vérifie la validité du certificat en contrôlant la date d'expiration.
Quel est le format du fichier de certificat web pouvant être accepté par ATD ?ATD accepte un certificat valide avec une clé privée non chiffrée au format PEM. Le fichier de certificat web doit avoir le format suivant :-----DEBUT DE CLE PRIVEE RSA-----(vos données de clé privée)-----FIN DE CLE PRIVEE RSA----------DEBUT DU CERTIFICAT-----(vos données de certificat)-----FIN DU CERTIFICAT-----REMARQUE : il ne doit pas y avoir pas de ligne vide entre la ligne FIN DE CLE PRIVEE RSA et la ligne DEBUT DU CERTIFICAT. Ces deux lignes doivent apparaître dans une ligne.Si vous avez des fichiers distincts (un fichier de certificat et un fichier de clé privée), vous pouvez les combiner à l'aide d'un éditeur de texte, puis télécharger le fichier vers ATD.
Comment puis-je combiner les fichiers de certificat et de clé privée ?
- Ouvrez le fichier de certificat et le fichier de clé privée dans un éditeur de texte.
- Copiez l'ensemble du contenu du fichier de clé privée, puis collez-le au début du fichier de certificat.
- Enregistrez le fichier de certificat web.
- Téléchargez le fichier de certificat combiné vers ATD.
Est-ce qu'ATD accepte une clé privée chiffrée dans le fichier de certificat web ?Non. Vous devez utiliser une clé privée non chiffrée dans le fichier de certificat web.Le gestionnaire ATD accepte un seul fichier pour le champ de certificat d'une autorité de certification, mais mon certificat web est signé par une autorité de certification intermédiaire, et non par une autorité de certification racine. Comment puis-je spécifier à la fois l'autorité de certification intermédiaire et l'autorité de certification racine pour mon certificat web destiné à ATD ?Le fichier d'autorité de certification peut contenir plusieurs certificats d'autorité de certification. Par conséquent, vous pouvez combiner votre certificat d'autorité de certification racine et autant de certificats d'autorité de certification intermédiaires que vous le souhaitez dans un seul fichier, puis le télécharger vers le gestionnaire ATD.
Le fichier PEM combiné doit commencer par deux certificats et doit utiliser le format suivant :-----DEBUT DU CERTIFICAT-----(vos données de certificat)-----FIN DU CERTIFICAT----------DEBUT DU CERTIFICAT-----(autres données de certificat)-----FIN DU CERTIFICAT-----
Comment puis-je combiner les fichiers de certificat d'autorité de certification ?
- Ouvrez les fichiers de certificat avec un éditeur de texte.
- Copiez l'ensemble du contenu d'un certificat, puis collez-le dans un autre fichier de certificat, au début ou à la fin.
- Enregistrez le fichier de certificat d'autorité de certification combiné.
- Téléchargez le fichier de certificat d'autorité de certification vers ATD.
Puis-je télécharger uniquement un certificat d'autorité de certification ?Non. Vous devez télécharger un fichier de certificat d'autorité de certification accompagné du certificat web.
Puis-je utiliser l'interface LAN2 comme port de communication du serveur ATD ? Oui. Vous pouvez utiliser LAN1 ou LAN2 comme port de communication du serveur ATD lorsque ce dernier est géré à l'aide d'une adresse IP.
REMARQUE : vous devrez peut-être configurer des itinéraires statiques pour le trafic envoyé entre Email Gateway et l'appliance ADT lorsque vous utilisez l'interface LAN2.
Comment puis-je configurer ATD afin d'examiner un fichier en fonction de son extension et pas uniquement de son en-tête avant de l'envoyer pour une analyse dynamique ?
Sur la ligne de commande d'ATD, saisissez filetypefilter enable et appuyez sur Entrée.
REMARQUE : pour plus d'informations, reportez-vous au Guide produit correspondant à votre version.
Est-ce que l'appliance ATD prend en charge la liaison d'interfaces (par exemple, une liaison entre eth0 et eth1) ?
Non. La liaison ou l'agrégation de liens n'est actuellement pas prise en charge.
Quel horodatage ATD utilise-t-il/suit-il ?
A compter de la version 3.4.6.63, ATD utilise le format RFC 3339. Les versions antérieures utilisent le format RFC 3164.
Puis-je modifier les paramètres dans une VM qui est déjà téléchargée sur ATD, par exemple en remplaçant l'adresse IP A.B.C.D du serveur DNS par W.X.Y.Z ?
Oui. Vous pouvez modifier les paramètres sur la connexion VNC sous Interface utilisateur graphique, Stratégie, Profil de VM. Choisissez votre VM, puis cliquez sur Modifier, Activer. Après avoir modifié les paramètres nécessaires, arrêtez la VM, puis cochez les cases Validation et Create license (Créer une licence). Une VM sera alors créée avec les paramètres modifiés.
Existe-t-il des éléments à prendre en compte ou des actions à entreprendre avant d'ajouter des profils de VM ou des profils d'analyseur de VM, ou d'ajouter ou de réduire les licences affectées à un profil de VM ?
Oui, Intel Security recommande d'arrêter le service AMAS avant d'exécuter vmcreator, et cela même lorsque vous modifiez les licences.
Comment arrêter le service AMAS ?
Pour arrêter AMAS à partir d'une session de ligne de commande, saisissez amas stop et appuyez sur Entrée.
Que signifie la sortie de la commande « show filequeue » ?
- Processing Time (Temps de traitement) : temps nécessaire à l'échantillon à compter de sa réception par ADT jusqu'à la fin de l'analyse et la génération de rapports (temps total passé par l'échantillon dans ADT).
- Analyzing Time (Temps d'analyse) : temps nécessaire à l'échantillon pour commencer et terminer l'analyse sandbox (temps total nécessaire à l'analyse).
- Files in SandBox (Fichiers dans SandBox) : indique le nombre d'échantillons en cours de préparation pour l'analyse sandbox. Avant la soumission à l'analyse sandbox, les échantillons sont envoyés à des analyseurs heuristiques. L'analyse heuristique peut déterminer si un échantillon n'est pas infecté ; l'analyse sandbox ne sera alors pas nécessaire. Cela permet à plus d'échantillons d'avoir l'état « en analyse » que le nombre réel de VM sandbox.
- Files in Queue (Fichiers en file d'attente) : nombre de fichiers actuellement présents dans le répertoire d'analyse.
- Estimated average processing time for all samples (Temps de traitement moyen estimé pour l'ensemble des échantillons) : temps d'attente actuel du système ou temps nécessaire à ATD pour analyser le prochain échantillon soumis.
Quelles versions de Microsoft Office peuvent être utilisées avec une VM Microsoft Windows XP Service Pack 3 (SP3) ou XP Service Pack 2 (SP2) ?
Pour exécuter Microsoft Office dans ATD lorsque vous créez une VM Microsoft Windows XP SP3 ou XP SP2, vous devez installer Microsoft Office 2007 ou une version antérieure avec un module de compatibilité. Les versions Microsoft Office 2010 ou ultérieures ne sont pas prises en charge sur les VM Windows XP SP3 et Windows XP SP2 d'ATD.
Quelle version de Web Gateway ATD prend-il en charge ?
ATD prend en charge Web Gateway 7.4.x et versions ultérieures.
Quelles versions de NSP s'intègrent à ATD ?
NSP 8.x et ses versions ultérieures s'intègrent à ATD.
Le clustering d'ATD 3.4.2 prend-il en charge Email Gateway ?
Non. Le clustering d'ATD 3.4.2 ne prend pas en charge Email Gateway.
Quelles informations ATD récupère-t-il ou utilise-t-il des produits McAfee compatibles et connectés ?
- ATD utilise les informations de GTI relatives à la réputation pour déterminer la probabilité qu'un fichier représente un logiciel malveillant.
- ePO permet d'identifier l'environnement cible pour que l'environnement virtuel approprié soit utilisé pour analyser le fichier. ATD utilise ePO pour identifier les caractéristiques de l'équipement cible pour pouvoir exécuter une analyse dynamique du logiciel malveillant sur le système d'exploitation approprié.
- ATD accepte des fichiers de NSP ou de Web Gateway et renvoie les résultats de l'analyse pour que les informations puissent être utilisées dans une mise en œuvre de stratégie.
- Les fichiers peuvent également être téléchargés manuellement via une application Web (Analysis [Analyse], Manual Upload [Téléchargement manuel]), un site FTP (l'utilisateur doit disposer d'un accès FTP activé pour une soumission de fichiers sous Manage [Gestion], User Name [Nom utilisateur]) et une API.
REMARQUES :
- Dans ATD 3.x, un téléchargement manuel de logiciels malveillants et un téléchargement à partir de ces équipements McAfee sont pris en charge, même si cette édition n'offre aucune fonctionnalité SPAN.
- Les informations sur l'utilisation de l'API ATD sont documentées dans le Guide de référence ATD de votre version.
Pour accéder aux documents sur les produits McAfee, rendez-vous sur le portail de documentation des produits pour entreprises, à l'adresse https://docs.mcafee.com.
Où l'appliance ATD peut-elle être située ?
L'appliance ATD ne doit pas être placée avec le trafic ni au bord du réseau. Elle peut être placée au centre ou sur un segment de réseau approprié, et NSP Sensor lui transfère les données.
Quels navigateurs puis-je utiliser pour administrer ATD ?
Les navigateurs pris en charge sont les suivants :
- Microsoft Internet Explorer 10 et versions ultérieures
- Mozilla Firefox
- Google Chrome
Quels sont les systèmes d'exploitation pris en charge par ATD pour les machines virtuelles d'analyseur ?
La dernière version d'ATD (août 2015) est ATD 3.4.8 et prend en charge les machines virtuelles d'analyseur suivantes :
- Microsoft Windows XP 32 bits
- XP Service Pack 2.
- XP Service Pack 3.
- Microsoft Windows 7
- Windows 7 32 bits avec Service Pack 1
- Windows 7 64 bits avec Service Pack 1
- Microsoft Windows 8
- Windows 8.0 Pro 32 bits
- Windows 8.0 Pro 64 bits
- Microsoft Server :
- Server 2003 avec Service Pack 1
- Server 2003 avec Service Pack 2
- Server 2008 R2 avec Service Pack 1
- Google Android
- Android 2.3
- Android 4.3
REMARQUE : Android 4.3 nécessite une mise à niveau manuelle. Pour plus de détails, reportez-vous au Guide produit PD26049.
Quelles applications peuvent être incluses dans les fichiers VMDK de l'analyseur ?
- Microsoft Internet Explorer 6, 7, 8, 9, 10 et 11
- Mozilla Firefox 11, 12 et 13
- Microsoft Office 2003, 2007, 2010 et 2013
- Adobe Acrobat 8, 9 et 10
- Adobe Flash Player 13
- Adobe Reader versions 9, 10 et 11
- jdk-7u25/jre-7u25 32 bits et 64 bits dans l'ensemble des systèmes d'exploitation 32 bits
- jdk-7u25/jre-7u25 64 bits dans l'ensemble des systèmes d'exploitation 64 bits (uniquement)
Quelles méthodes sont prises en charge pour la création d'images de VM pour ATD ?
Vous pouvez uniquement créer une image de VM à l'aide de VMware Workstation 9.0, 10, 11 et 12 pour ATD.
Vous devez définir la compatibilité matérielle pour Workstation 9.0 si vous utilisez VMware Workstation 1x.
IMPORTANT : pour Workstation 12, l'option de compatibilité matérielle n'est pas proposée lors de la création par défaut d'une VM.
Vous devez modifier ce paramètre en sélectionnant Modifier, Préférences et en sélectionnant Workstation 9 dans la compatibilité matérielle par défaut.
REMARQUE : ESXi et VMware Player ne sont pas pris en charge.
De quels composants ai-je besoin pour installer/générer une VM d'analyseur ?
Vous avez besoin de l'ISO de votre système d'exploitation et d'une clé de licence valide.
Une fois que j'ai créé un profil de VM, comment puis-je savoir si le profil est prêt à être utilisé ?L'état de création de VM affichera l'état Succès.
Comment puis-je voir les fichiers journaux ATD ?
Sélectionnez Dépannage, Fichiers journaux.
Qu'est-ce que l'option Dépannage, Support Bundle (Offre groupée de prise en charge) ? Quelles informations cette option enregistre-t-elle ?
Cette option permet d'enregistrer un ensemble complet de fichiers journaux et d'informations de configuration à partir de l'appliance ATD pour faciliter le dépannage.
Quels sont les ports utilisés par ATD pour communiquer ?
ClientServeur Port par défaut Configurable Description N'importe lequel ATD TCP 80
TCP 443 (HTTPS)Non Accès à l'application web N'importe lequel ATD TCP 21
TCP 22 (SSH)Non FTP des images VMDK ou ISO NSP Sensor ATD TCP 8505 Non NSP Sensor - Canal SSL
(AES-128, SHA 1)NSM ATD TCP 443 (HTTPS) Non Communication REST ATD ePO TCP 8443 Oui ATD GTI TCP 443 (HTTPS) Non Canal GTI N'importe lequel ATD TCP 2222 (SSH) Non Accès CLI VNC ATD 6000+* Non Affichage des sandbox
* Si vous utilisez le mode interactif et que vous rencontrez des problèmes lors du chargement de la fenêtre Interactive,
vous devez ouvrir un numéro de port à partir de 6000 et y associer le numéro des VM que vous avez configurées.
Par exemple, si vous avez 10 VM (4 xp + 6win7), les ports ouverts doivent être 6000 à 6011.
Pourquoi le message d'erreur "Server refused to allocate pty" (Le serveur a refusé d'allouer un pty) s'affiche-t-il lors de la tentative de connexion via SSH à l'appliance ATD ?
Certainement car le port 2222 n'est pas ouvert ou car vous ne vous connectez pas via le port 2222 pour SSH.
Puis-je faire fonctionner ATD sur un réseau fermé sans connectivité Internet ? Comment les mises à jour se feront-elles ?
ATD dispose d'un réseau virtuel et n'a pas besoin d'un accès Internet pour fonctionner. ATD ne prend actuellement pas en charge la mise à jour hors ligne. Les mises à jour doivent être téléchargées et importées. Le simulateur Internet reproduit actuellement les services suivants :
HTTP SMTP FTP TELNET DNS
ATD peut-il analyser un fichier protégé par mot de passe ?
ATD peut accéder à une archive protégée par mot de passe et analyser l'exemple, mais il doit disposer du mot de passe.
Quelle est la taille de fichier maximale qu'ATD peut analyser avec Web Gateway ?
La limite d'analyse de fichiers pour Web Gateway est actuellement fixée à 128 Mo.
Quels sont les caractères qui ne sont pas pris en charge dans les noms de fichiers soumis à une analyse ?
Les caractères suivants ne sont pas pris en charge :
\ " ^ < > | ; ( ) [ ] * ? # $ & :
NSP est-il en mesure de bloquer des fichiers malveillants lorsqu'il est intégré à ATD ?Oui. Les considérations suivantes sont à prendre en compte :
- NSP sera en mesure de bloquer des fichiers dans une détection statique uniquement.
- Une détection dynamique prendra plus de temps, mais NSM extraira le rapport d'analyse dynamique une fois celui-ci terminé.
- ATD exécutera une analyse statique initiale et en rendra compte à NSM. Si le fichier est mis en correspondance, NSM le bloque.
- NSP maintiendra le fichier pendant seulement six secondes, mais l'exécution de l'analyse dynamique peut prendre plus longtemps. Si une détection est cependant présente au cours de l'analyse dynamique, NSM extraira le rapport d'ATD.
Lorsque j'ajoute un hachage MD5 à la liste noire, quelle valeur dois-je entrer pour OS-ID ?
La valeur OS-ID est utilisée pour mapper le système d'exploitation qui a détecté l'échantillon comme malveillant. Cette valeur n'est pas référencée par d'autres analyseurs, car vous l'ajoutez manuellement à la liste noire. Par conséquent, saisissez zéro (0) pour OS-ID.
Quels sont les types de fichiers pris en charge par ATD avec les tailles de fichier minimales et maximales exprimées en octets ?
Type de fichier Valeur minimale
par défautValeur minimale
par défautValeur minimale
par défautValeur minimale
par défautFichier exe, dll ou sys PE (Portable Executable) Windows 1024 10000000 100 128000000 Fichier de document PDF avec extension .pdf 2048 25000000 100 128000000 Fichier de données de classe Java avec extension .class 1024 5000000 100 128000000 Anciens fichiers Microsoft Office avec extension .doc, .ppt ou .xls 5120 10000000 100 128000000 Fichiers au format texte enrichi RTF (Rich Text Format) Microsoft avec une extension .rtf 1024 10000000 100 128000000 Fichier Zip, fichier APK ou fichier Microsoft Office plus récent avec extension .docx, .pptx ou xlsx 200 20000000 100 128000000 Fichier image JPG 5120 1000000 100 128000000 Fichier image PNG 5120 1000000 100 128000000 Fichier image GIF 5120 1000000 100 128000000 Fichier exécutable DOS Microsoft avec extension .com 1024 5000000 100 128000000 Fichier Macromedia Flash avec extension .swf 1024 5000000 100 128000000 Fichier archive compressé 7-zip avec extension .7z 200 10000000 100 128000000 Fichier archive compressé RAR avec extension .rar 200 10000000 100 128000000 Fichier archive compressé CAB Microsoft avec extension .cab 200 10000000 100 128000000 Fichiers texte ou de script divers. Par exemple, .js, .bat, .vbs, .xml, .py, .url, .htm 100 1000000 100 128000000
Dans quel ordre ADT effectue-t-il l'analyse des logiciels malveillants ?
- Analyse statique :
- Liste blanche locale
- Liste noire locale
- Global Threat Intelligence (GTI)
- Gateway Anti-Malware
- Antimalware
- Analyse dynamique : (sandbox)
ADT prend-il en charge les systèmes d'exploitation en langue étrangère ? Par exemple, ADT prend-il en charge l'installation d'une image d'analyse sandbox d'une version chinoise ou japonaise de Microsoft Windows 8 (64 bits ou 32 bits) ?
Oui, il la prend en charge. Pour plus d'informations sur l'utilisation d'un système d'exploitation en langue étrangère pour l'analyse sandbox, ouvrez une demande de service auprès du support technique.
ATD prend-il en charge les caractères codés sur deux octets pour l'inspection MATD (analyse statique, dynamique et de code statique) ?
Oui. Par exemple, pour les noms de fichiers chinois/japonais localisés et le texte de contenu de fichier, ATD analyse, puis répertorie les noms des fichiers localisés reçus à partir de Web Gateway.
L'intégration d'ATD avec Active Directory peut-elle prendre en charge des groupes imbriqués ?
Oui. Toutefois, vous devez utiliser l'option de l'arborescence secondaire de la recherche de nom unique de base.
Est-ce que l'activation KMS fonctionne pour les images de machine virtuelle hébergées et en cours d'exécution sur ATD ?
Non, l'activation KMS ne fonctionne pas pour les images de machine virtuelle en cours d'exécution sur l'appliance ATD.
Retour au sommaire
ATD et NSP
Comment puis-je voir l'état du canal ATD/NSP ?
Sur la ligne de commande de NSP Sensor, saisissez la commande status pour vérifier l'état du lien de communication ATD - NSP.
Par exemple :
[McAfee MATD Communication]
Status : up
IP : 172.23.80.7
Port : 8505
REMARQUE : s'il n'est pas défini à l'état up, l'état down est alors indiqué.
NSP Sensor envoie-t-il des fichiers à l'appliance ATD si le trafic est envoyé sur HTTPS et que NSP Sensor dispose du certificat correct pour les déchiffrer ?
Oui, l'extraction de fichiers via HTTPS pour l'analyse des logiciels malveillants est prise en charge. Si la fonctionnalité SSL est activée sur NSP Sensor et que le bon certificat est importé, le capteur peut déchiffrer les fichiers via HTTPS et les envoyer vers l'appliance ATD pour l'analyse des logiciels malveillants.
Comment puis-je confirmer que NSP Sensor est connecté à ATD ?Ouvrez une session de ligne de commande pour NSP Sensor, exécutez la commande status, puis consultez les informations sous McAfeeMATDCommunication pour vous en assurer.
Comment puis-je confirmer qu'un fichier a été envoyé à ATD ?Ouvrez une session de ligne de commande pour NSP Sensor, exécutez la commande malwareenginestats, puis affichez la sortie.
Exemple :
STATISTIQUES DE LOGICIELS MALVEILLANTS POUR LE MOTEUR MATD :
--------------------------------------------------
Nombre de fichiers envoyés : 4
Nombre de réponses reçues : 4
Nombre de fichiers ignorés : 0
Quel port physique NSP Sensor utilise-t-il pour communiquer avec l'appliance ATD ?NSP Sensor utilise son port de gestion pour communiquer avec l'appliance ATD.
Quel port TCP est utilisé par NSP Sensor pour communiquer avec ATD ?
NSP Sensor utilise le port TCP 8505 pour communiquer avec ATD.
NSP Sensor n'envoie pas beaucoup de fichiers à ATD. Pourquoi ?
NSP Sensor doit traiter le fichier entier. Dans certains cas, votre configuration réseau (par exemple, un flux de trafic asymétrique) peut ne pas autoriser NSP Sensor à voir le fichier complet. Pour résoudre temporairement ce problème, définissez NSP Sensor sur permit for flow control au lieu de permit out of order dans les paramètres TCP de NSP Sensor (Equipements, Stratégie, Avancé, TCP Settings (Paramètres TCP)).
Pourquoi mes mises à jour de signature échouent ?
Ceci est généralement dû à des paramètres DNS incorrects. Confirmez qu'ils sont corrects sous DNS Proxy setting (Paramètres de proxy DNS).
Quelle est la taille de fichier maximale qu'ATD peut analyser avec NSP ?La limite d'analyse de fichiers pour NSP est actuellement définie à 25 Mo.
Où puis-je obtenir des exemples de logiciels malveillants pour réaliser mes tests ?
Sites web d'exemples de logiciels malveillants :
Vous pouvez également utiliser l'outil de catégorisation Maltrieve pour classer les résultats dans différentes catégories.
Est-ce possible de définir plusieurs capteurs sur des profils d'analyse différents ?Non.
ATD et Email Gateway (MEG)
Lorsque MEG envoie un nombre d'échantillons trop important par rapport aux capacités d'ATD et que l'appliance est surchargée, puis-je être informé de cette situation ?
Non. Lorsqu'ATD est surchargé, les échantillons de MEG sont rejetés et sont uniquement visibles sur la page Statut de l'analyse ATD marqués comme Rejetés. ATD ne signale pas le rejet de ces éléments.
Ai-je besoin d'arrêter l'intégration avec MEG ou Web Gateway avant de mettre à niveau mon logiciel ATD ?
Non. Vous ne devez pas arrêter l'intégration avant d'effectuer une mise à niveau d'ATD.
Qu'est-ce que le cache ATD d'Email Gateway ?
MEG utilise un cache de résultats d'analyse afin de minimiser les analyses en double et d'optimiser ATD.
Quelles sont les caractéristiques de ce cache ?
- Les entrées de cache ATD sur Email Gateway sont stockées sur une base de données en mémoire.
- Aucun nombre maximal d'éléments de cache n'existe.
- La durée de vie de chaque entrée de cache est de 604 800 secondes (7 jours).
Comment puis-je effacer le cache ATD d'Email Gateway ?
Vous pouvez effacer le cache à partir de la console de gestion Email Gateway. Sélectionnez Résoudre les problèmes, Outils, ATD et effacez le cache.
ATD identifiera-t-il la vulnérabilité qui a été exploitée pour permettre au code malveillant d'infecter le système en premier lieu ?
Oui. ATD génère un rapport de synthèse ainsi que les détails de rapport très complets pour identifier les comportements et principaux indicateurs de compromission des fichiers. Ces informations sont partagées avec d'autres solutions McAfee intégrées, comme Web Gateway ou ePO, capables d'activer de manière proactive des défenses et des actions de correction.
ATD effectuera-t-il un nettoyage automatisé de l'hôte ?
Non. Le nettoyage automatisé de l'hôte n'est pas disponible dans ATD 3.x.
ATD prend-il en charge la configuration d'IPv6 ?
Non. ATD ne prend pas actuellement en charge IPv6 ; à noter que cette fonctionnalité est prévue dans le cadre d'une prochaine mise à jour.
ATD prend-il en charge la certification Common Criteria ?
Oui, la certification Common Criteria est prise en charge dans la version 3.4.6 ou dans les versions ultérieures.
Existe-t-il des intervalles IP qui sont à éviter ou utilisés par ATD ?
ATD ne doit pas être déployé dans le réseau utilisant l'intervalle 192.168.50.0/24, 192.168.55.0/24 ou 192.168.88.0/24. Par exemple, 192.168.50.12 est l'adresse IP de la VM à valider.
REMARQUE : une définition de vos VM dans cet intervalle signifiera qu'elles ne seront pas vues ou disponibles.
Lorsque vous exécutez la commande « factorydefaults », pourquoi les versions de logiciel Active (Actif) et Backup (Sauvegarde) sont-elles définies à la même version ?
Il s'agit là d'une volonté de conception. La commande factorydefaults efface à la fois les paramètres actifs et de sauvegarde, et la version du logiciel sauvegardée est alignée sur la version du logiciel actif.
Quel est le paramètre de proxy DNS d'ATD ?
Toutes les requêtes DNS exécutées par ATD utilisent ce paramètre DNS pour effectuer des recherches et exécuter d'autres fonctions. Ces paramètres s'appliquent pour toutes les fonctions DNS, y compris des mises à jour DAT et des requêtes GTI.
Puis-je purger les éléments restant à traiter par l'appliance ATD ?Oui. Procédez comme suit pour purger des éléments qui n'ont pas été traités par l'appliance ATD :
ATTENTION : cette action supprime tous les résultats de l'analyse des rapports présents dans le système.
- Ouvrez la console ATD, puis accédez à Gestion, Dépannage, Reset Report Analysis Results (Réinitialiser les résultats de l'analyse des rapports).
- Sélectionnez Remove all Report Analysis Results (Supprimer tous les résultats de l'analyse des rapports).
- Cliquez sur Soumettre.
Comportement détaillé des voyants (LED) de l'alimentation (PSU) des unités ATD :
ATD 3000 et ATD 6000
Condition d'alimentation Etat des voyants Sortie ON (Marche) et OK VERT Aucune alimentation CA sur toutes les alimentations OFF (Arrêt) CA présent / Uniquement 12 VSB sur (PS off) de PS en état redondant froid VERT clignotant 1 Hz Cordon CA débranché ou perte d'alimentation CA ; avec une deuxième alimentation en parallèle toujours avec une alimentation d'entrée CA AMBRE Evénement d'avertissement d'alimentation où l'alimentation continue de fonctionner ; température élevée, forte puissance, courant élevé, ventilateur lent AMBRE clignotant 1 Hz Evénement critique d'alimentation provoquant un arrêt ; défaillance OCP, OVP et panne du ventilateur AMBRE Mise à jour du micrologiciel (FW) de l'alimentation VERT clignotant 2Hz
Comment puis-je configurer le paramètre d'expiration de la session pour le gestionnaire ATD (interface utilisateur graphique de l'administrateur) ?
Exécutez la commande set ui-timeout de l'interface à partir de la ligne de commande. Par exemple : set ui-timeout 300 définit le délai d'expiration sur 300 secondes.
Quel est le score de menace minimal considéré comme malveillant par ADT ?3 (moyen).
ATD prend-il en charge la liaison de carte d'interface réseau, le regroupement ou l'agrégation réseau ?
Non. ATD ne prend pas en charge ces technologies.
Dois-je utiliser le réseau principal afin d'accéder à Internet pour les échantillons ou dois-je mettre en place un réseau/une ligne distinct(e) ?
Intel Security recommande de segmenter votre réseau de manière à ne pas menacer la réputation de vos adresses IP principales. Vous pouvez mettre en place soit un réseau séparé complet, soit une adresse IP spécifique, utilisée uniquement pour cette fonctionnalité, de sorte que si sa réputation se dégrade, vos autres activités ne seront pas affectées.
Si je configure un cluster d'ATD, l'équilibrage de charge de fichiers est-il pris en charge, et les fichiers et résultats sont-ils partagés entre chaque appliance ?L'équilibrage de charge est pris en charge dans un cluster. Les fichiers inclus dans la liste noire sont synchronisés entre les membres du cluster. Cette fonctionnalité a été améliorée dans la version 3.4.8.
Pour plus d'informations, reportez-vous au Guide produit d'ATD, ainsi qu'aux notes de version du produit.
Un cluster comportant des appliances primaires et secondaires situées dans différents contrôleurs de domaine (DC) ou réseaux est-il pris en charge ?Non. Seuls les clusters dont les deux appliances se trouvent sur le même réseau sont pris en charge.ATD récupère des mises à jour d'antivirus et de GAM sur le site mwg-update.mcafee.com.
Pourquoi ATD se connecte-t-il à mwg-update.mcafee.com ?
Client Serveur Port par défaut Configurable Description Advanced Threat Defense tunnel.message.trustedsource.org TCP 443 (HTTPS) Non Requêtes de réputation des fichiers. Advanced Threat Defense list.smartfilter.com TCP 80 (HTTP) Non Mises à jour d'URL. Tous (client SSH) Advanced Threat Defense TCP 2222 (SSH) Non Accès CLI. Advanced Threat Defense mwg-update.mcafee.com TCP 443 (HTTPS) Non Mises à jour pour McAfee Gateway Anti-Malware Engine et McAfee Anti-Malware Engine.
Quel port est utilisé pour transmettre le trafic de téléchargement d'URL lorsque l'interface de logiciel malveillant est configurée ?
Le trafic de téléchargement d'URL est transmis par l'interface de logiciel malveillant uniquement si celle-ci est configurée. Si l'interface de logiciel malveillant n'est pas configurée, le trafic de téléchargement d'URL est transmis par le port de gestion.
Pourquoi le message système « Null domain still present or couldn't be killed » (Domaine NULL toujours présent ou non supprimé) est-il consigné ?
Ces messages apparaissent dans le cadre du processus de validation/vérification et sont indiqués après que l'appliance ATD a supprimé les machines virtuelles nulles. Ils n'indiquent pas un problème. Ils sont consignés dans le cadre du fonctionnement normal d'ADT et peuvent être ignorés.
Retour au sommaire
Nettoyage automatique de l'espace disque
Quels fichiers sont supprimés au cours du processus de nettoyage de disque ATD ?
Quand le processus de nettoyage de disque est-il exécuté ?
Pendant combien de temps ATD conserve-t-il des données sur les échantillons d'origine et des résultats d'analyse ?
ATD conserve les anciens échantillons et résultats d'analyse jusqu'à leur suppression par le processus de nettoyage de disque automatique.
Quels fichiers sont supprimés au cours du processus de nettoyage de disque ATD ?
Le processus supprime les anciens journaux, les fichiers noyaux et les résultats d'analyse de fichiers.
Quand le processus de nettoyage de disque est-il exécuté ?
Le processus de nettoyage de disque démarre à chaque fois que l'utilisation de l'espace disque de l'appliance dépasse le seuil des 75 %.
La durée ou la limite de conservation est-elle configurable ?
Non. Il n'est pas possible de configurer des paramètres de limite de conservation. ADT exécute la tâche de nettoyage et supprime une petite quantité des anciens résultats, y compris les échantillons d'origine, lorsque l'utilisation du disque de données dépasse 75 %.
A quel niveau d'utilisation le processus de nettoyage de disque s'arrête-t-il ?
La durée ou la limite de conservation est-elle configurable ?
Non. Il n'est pas possible de configurer des paramètres de limite de conservation. ADT exécute la tâche de nettoyage et supprime une petite quantité des anciens résultats, y compris les échantillons d'origine, lorsque l'utilisation du disque de données dépasse 75 %.
A quel niveau d'utilisation le processus de nettoyage de disque s'arrête-t-il ?
Le processus de nettoyage de disque élimine les anciens fichiers et les résultats d'analyse de fichiers jusqu'à ce que l'utilisation de l'espace disque soit inférieure à 60 %.
Retour au sommaire
Retour au sommaire
Informations connexes
KB83839 : End of Life for Advanced Threat Defense versions 3.2.x and earlier (Fin de vie pour les versions 3.2.x d'Advanced Threat Defense et versions antérieures)
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional