Veelgestelde vragen over Advanced Threat Defense
Technische artikelen ID:
KB79333
Laatst gewijzigd: 26-1-2021
Laatst gewijzigd: 26-1-2021
Omgeving
McAfee Advanced Threat Defense (ATD) 3.x
Samenvatting
Dit artikel is een samengevoegde lijst van veelgestelde vragen en de antwoorden daarop. Het is met name bedoeld voor nieuwe gebruikers, maar kan voor iedereen nuttig zijn.
ATD is een speciale appliance die geavanceerde, moeilijk te detecteren bedreigingen identificeert door verdachte malware uit te voeren in een sandbox, het gedrag te analyseren en te bepalen welke invloed de malware kan hebben op een eindpunt in een netwerk.
ATD is een speciale appliance die geavanceerde, moeilijk te detecteren bedreigingen identificeert door verdachte malware uit te voeren in een sandbox, het gedrag te analyseren en te bepalen welke invloed de malware kan hebben op een eindpunt in een netwerk.
Algemeen Algemene vragen over ATD. Compatibiliteit Vragen over welke besturingssystemen, browsers en McAfee-software compatibel zijn met ATD. ATD en Network Security Platform Informatie over hoe ATD werkt en samenwerkt met Network Security Platform (NSP) ATD en Email Gateway (MEG) Informatie over integratie en werking van ATD en MEG. Werking Hoe ATD werkt met andere producten en hoe de taken worden uitgevoerd. Automatic Disk Space Cleanup
De werking van ATD Automatic Disk Space Cleanup.
Wat zijn de standaardgebruikersnaam en het standaardwachtwoord voor de ATD-appliance?
Hoe bepaal ik de versies van de geïnstalleerde ATD, DAT en engine?
- De aanmeldingsgegevens voor de grafische beheerconsole zijn:
Gebruikersnaam: admin
Wachtwoord: admin
- De aanmeldingsgegevens voor de opdrachtregelconsole zijn:
Gebruikersnaam: cliadmin
Wachtwoord: atdadmin
Meld u aan bij de beheerconsole van ATD. De versie van ATD wordt weergegeven onder System Information (Systeeminformatie). Bijvoorbeeld:
Versie: 3.4.x.xDe versies van de DAT en de engine worden ook weergegeven onder System Information (Systeeminformatie). Bijvoorbeeld:McAfee AV DAT-versie: 7419Waarom kan ik me niet bij de ATD-appliance verifiëren?
McAfee AV Engine-versie: 5600
McAfee GAM DAT-versie: 2951
McAfee GAM Engine-versie: 7001.1302.1842
Het kan zijn dat u niet de juiste gebruikersnaam gebruikt. Er zijn twee standaardgebruikers. Controleer of u de juiste gebruikersnaam gebruikt:
- De gebruikersnaam voor grafische interface is admin.
- De gebruikersnaam voor de opdrachtregelinterface is cliadmin.
Met welk gebruikersaccount kan ik een VMDK naar de ATD-appliance uploaden?
U moet het gebruikersaccount atdadmin gebruiken.
BELANGRIJK: u kunt geen ander account gebruiken ook al is de rol voor FTP-toegang voor dat account geselecteerd.
Hoe bereken ik hoeveel VM's (virtuele machines) ik kan maken op een ATD-appliance?
Voor ATD-3000:
Het maximale aantal VM's is 30. U kunt niet meer dan 30 VM's maken. Bovendien moet de totale grootte van de VM's op uw appliance kleiner zijn dan 600 GB. Als u twee besturingssystemen op uw ATD-appliance hebt, gebruikt u de volgende berekening:
{(Grootte van 1e besturingssysteem) x aantal VM's + (grootte van 2e besturingssysteem) x aantal VM's} < 600
Voor ATD-6000:
Het maximale aantal VM's is 60. U kunt niet meer dan 60 VM's maken. Bovendien moet de totale grootte van de VM's op uw appliance kleiner zijn dan 1200 GB. Als u twee besturingssystemen op uw ATD-appliance hebt, gebruikt u de volgende berekening:
{(Grootte van 1e besturingssysteem) x aantal VM's + (grootte van 2e besturingssysteem) x aantal VM's} < 1200
Hoeveel cores wijst ATD toe aan een VM-systeem? Is het mogelijk om deze instelling aan te passen?
ATD wijst één (1) processor en één (1) core toe. U kunt deze instelling niet aanpassen.
Welke kabel heb ik nodig om de appliance aan te sluiten voor het uitvoeren van een HyperTerminal-sessie?
Sluit een consolekabel (RJ45 naar DB9 serieel) aan op de consolepoort aan de achterkant van de ATD-appliance. Sluit het andere uiteinde aan op de COM-poort van de pc die u gebruikt om de appliance te configureren.
Welke instellingen moet ik gebruiken om HyperTerminal configureren?
- Baud: 115200
- Aantal bits: 8
- Pariteit: geen
- Stopbits: 1
- Datatransportbesturing: geen
- SSH-poort: 2222
Welke aanmeldingsgegevens moet ik gebruiken voor het uitvoeren van een HyperTerminal-sessie?
Gebruikersnaam: cliadmin
Wachtwoord: atdadmin
Hoe wis ik de gegevens op een ATD-evaluatie-eenheid of mijn ATD-appliance voordat ik deze terugstuur naar Intel Security?
Typ factorydefaults op de opdrachtregel en druk op ENTER. Met deze opdracht verwijdert u alle voorbeelden, resultaten, logboeken en VM-images en herstelt u de IP-adressen voordat u het toestel opnieuw start.
Over welke NIC's beschikt de ATD-appliance?
De ATD-appliance beschikt momenteel over vier NIC's waarvan alleen NIC 1 wordt gebruikt om te communiceren met NSM (Network Security Manager) of de ePO-server (ePolicy Orchestrator).
Hoe selecteert ATD het VM-profiel wanneer ik de optie voor het automatisch selecteren van het besturingssysteem inschakel in het analyseprofiel?
Als u bijvoorbeeld het volgende analyseprofiel configureert:
VM-profiel : Android Besturingssysteem automatisch selecteren : Inschakelen Windows 32-bits VM-profiel : WinXPsp3 Windows 64-bits VM-profiel : Win7sp1x64
Wanneer een APK-bestand wordt ontvangen voor analyse, wordt het geanalyseerd met Android; er wordt een 32-bits PE-bestand verzonden naar de Windows 32-bits VM (WinXPsp3) en er wordt een 64-bits PE-bestand verzonden naar de Windows 64-bits VM (Win7sp1x64).
Als ATD niet kan bepalen naar welk besturingssysteem het bestand moet worden verzonden, wordt het bestand verzonden naar het besturingssysteem dat is aangegeven in het VM-profiel en dat als standaard-VM wordt beschouwd voor dit doel.
Waarom zie ik de foutmelding "Application Blocked by Security Settings" (Toepassing geblokkeerd door beveiligingsinstellingen) wanneer ik probeer te communiceren met een VM?
Dit wordt veroorzaakt door de Java-beveiligingsinstellingen. Om deze instellingen te wijzigen, opent u het Java-besturingspaneel en selecteert u het tabblad Security (Beveiliging). Wijzig het beveiligingsniveau in Medium (Gemiddeld) en pas de wijzigingen toe.
Wat gebeurt er wanneer er een nieuw VM wordt gemaakt op de ATD-appliance?
Wanneer u de eerste keer een nieuw VM-profiel (nieuw besturingssysteem) maakt, wordt de service amas gestopt, wordt het VM gemaakt en wordt amas daarna weer gestart. Als u alleen het maximale aantal licenties van het bestaande VM-profiel wijzigt, wordt de service amas niet opnieuw gestart.
OPMERKING: nadat amas is gestopt en voordat amas weer wordt gestart, verwerken bestaande VM's geen verkeer. Wachtende voorbeelden blijven in de wachtrij staan en nieuwe voorbeelden van Network Security Platform (NSP) of Next Generation Firewall (NGFW) worden verwijderd. Voorbeelden die via Email Gateway, Web Gateway en RestAPI worden ingediend, worden wel toegevoegd aan de wachtrij.
BELANGRIJK: stop altijd het verzenden van verkeer naar ATD voordat u een nieuw VM-profiel (nieuw besturingssysteem) maakt.
Hoe kan ik controleren of NSM bestanden kan verzenden naar ATD?
De opdracht status op de NSP-sensor geeft aan of communicatie mogelijk is:
[McAfee MATD Communication]
Status : up
IP : 172.18.18.218
Port : 8505
Download een PE- of Office-bestand via de NSP-sensor en controleer of het wordt geanalyseerd op ATD. Het voorbeeld heeft een numerieke bestandsnaam op ATD. Deze beperking is vastgelegd in NSM versie 8.1.
Wat geeft Waiting Counter (Dashboard, File Counters, Waiting) in ATD-beheer weer?
Waiting Counter geeft het aantal bestanden weer dat wacht op de sandbox en ook andere selecties (zoals GTI, GAM, Blacklist enzovoort)).
Wat is de grootte van de opslagapparaten op ATD-appliances?
ATD-3000:
- 2x4TB HDD's, RAID 1
- 2x400GB SSD, RAID 0
ATD-6000:
- 4x4TB HDD's, RAID 1
- 2x800GB SSD, RAID 0
Kan ik verschillende modellen ATD-appliances combineren in een ATD-cluster? Kan ik bijvoorbeeld 2x ATD-3000 en 1x ATD-6000 combineren om een cluster te maken?
Ja. U kunt verschillende ATD-appliances combineren in een cluster.
Hoe worden de stations gebruikt op de ATD-servers?
VM-images en -momentopnamen worden opgeslagen op de SSD-stations. De systeempartitie en de gegevenspartitie bevinden zich op de HDD's.
Bestanden die op elke partitie worden opgeslagen:
- Gegevenspartitie: vmdk, voorbeeldbestanden, voorbeeldrapporten en logboekbestanden.
- Systeempartitie: ATD-systeemsoftware, systeemlogboeken.
Van welke CPU's maken ATD-appliances gebruik?
- ATD 3000 - 2 x Xeon CPU: E5-2658, 2,10 GHz, 20 MB cache
- ATD 6000 - 4 x Xeon CPU: E5-4640, 2,40GHz, 20 MB cache
Wat is het verschil tussen 'N/A' (N.v.t.) en 'None' (Geen) in het overzichtsrapport?
- N/A (N.v.t.) betekent dat er geen malware is gedetecteerd door de scanengine.
- None (Geen) betekent dat de scanengine was uitgeschakeld of niet was geactiveerd.
Ik heb Troubleshooting (Probleemoplossing), Diagnostic File (Diagnostisch bestand) geselecteerd, maar er is niets gebeurd en er is geen bestand gegenereerd. Is dit een probleem of een fout van ATD?
Nee. Er wordt alleen een diagnostisch bestand gegenereerd als er een fout is opgetreden op de ATD-appliance. Als er geen fout is opgetreden, wordt geen diagnostisch bestand gegenereerd.
Waarom mislukt het maken van een VM nadat ik het IP-adres van ATD heb geconfigureerd?U moet de ATD-appliance opnieuw starten nadat u het IP-adres de eerste keer hebt ingesteld of wanneer u het hebt gewijzigd. Als u dat niet doet, werkt ATD niet goed.Waarom is er een vertraging (van ongeveer 10 seconden) voordat ATD om het wachtwoord vraagt wanneer ik verbinding maak met de appliance via SSH?U hebt geen geldig IP-adres voor de DNS-server toegewezen aan de ATD-appliance. Wanneer u een geldige DNS-server instelt, wordt de vraag onmiddellijk weergegeven.
Waarom is de verbindingssnelheid van mijn ATD-appliance traag?
De NIC-kaart is onjuist geconfigureerd, waardoor automatische onderhandeling met de NIC mislukt.
- In de opdrachtregelinterface van ATD kunt u de opdracht show uitvoeren om de interface-instellingen voor de beheer-NIC te bekijken.
- U kunt de netwerkconfiguratie handmatig instellen met de opdracht set mgmtport speed [10/100/1000] duplex full.
Ook kunt u de automatische onderhandeling opnieuw uitvoeren met set mgmtport auto.
Welke informatie wordt verwijderd als ik de database opnieuw instel bij een upgrade van ATD?De volgende informatie wordt verwijderd:
- Analyseprofiel
- Analysestatus
- Analyseresultaten
- Gebruikersbeheer
- ePO-aanmelding/DXL-instelling
- Datum- en tijdinstellingen
De volgende gegevens worden niet verwijderd:
- VM-profielitems in beleid, VM-profiel
- Beheer-, proxy-instellingen
- Beheer-, DNS-instellingen
Waarom worden er geen ICMP-pakketten buiten ATD verzonden, ook al is malware-internettoegang ingeschakeld en worden ICMP-antwoordberichten naar de appliance teruggezonden?Dit is de bedoeling. ICMP-gedrag vindt altijd plaats volgens de simulatiemodus en daarom worden ICMP-pakketten (ping) niet verzonden buiten de ATD-appliance en worden ICMP-antwoordberichten naar de appliance teruggezonden.
Waarom ontvang ik de melding Certificate is invalid (Certificaat is ongeldig) wanneer ik een webcertificaat wil importeren in ATD? Hoe kan ik een ondertekend certificaat importeren in de ATD-appliance?
In de producthandleiding van ATD is beschreven hoe u een webservercertificaat uploadt en dat u het certificaat samen met de sleutel in PEM-indeling moet uploaden. U moet het openbare certificaat en de privésleutel combineren in één bestand met PEM-indeling en dat bestand importeren in de ATD-appliance.
Welke validatiecontroles voert ATD uit voordat het webcertificaat wordt geaccepteerd?
- De appliance controleert of het certificaat en de sleutel beide aanwezig zijn in het geüploade certificaat met PEM-indeling.
- ATD controleert de lengte van de sleutel en accepteert alleen sleutels met een lengte van 2048 bits of meer.
- ATD controleert het hash-/handtekeningalgoritme en accepteert alleen SHA256 en hoger.
- ATD controleert de geldigheid van het certificaat aan de hand van de vervaldatum.
Welke indeling heeft het webcertificaatbestand dat kan worden geaccepteerd door ATD?ATD accepteert een geldig certificaat samen met een niet-versleutelde persoonlijke sleutel in PEM-indeling. Het webcertificaatbestand moet worden geordend in de volgende indeling:-----BEGIN RSA PRIVATE KEY-----(gegevens voor uw persoonlijke sleutel)-----END RSA PRIVATE KEY----------BEGIN CERTIFICATE-----(gegevens van uw certificaat)-----END CERTIFICATE-----OPMERKING: er mogen geen lege regels staan tussen de regel END RSA PRIVATE KEY en de regel BEGIN CERTIFICATE. Deze twee regels moeten direct op elkaar volgen.Als u twee verschillende bestanden hebt (een bestand met het certificaat en een bestand met de persoonlijke sleutel), kunt u deze combineren in een teksteditor en het resulterende bestand vervolgens uploaden naar ATD.
Hoe combineer ik de bestanden voor het certificaat en de persoonlijke sleutel?
- Open het bestand voor het certificaat en het bestand voor de persoonlijke sleutel in een teksteditor.
- Kopieer de volledige inhoud van het bestand voor de persoonlijke sleutel en plak deze aan het begin van het bestand voor het certificaat.
- Sla het webcertifcaatbestand op.
- Upload het gecombineerde certificaatbestand naar ATD.
Accepteert ATD een versleutelde persoonlijke sleutel in het webcertificaatbestand?Nee. U moet een niet-versleutelde persoonlijke sleutel gebruiken in het webcertificaatbestand.Het ATD-beheer accepteert alleen één bestand voor het veld CA-certificaat, maar mijn webcertificaat is ondertekend door een tussenliggende CA en niet de root CA. Hoe geef ik zowel de tussenliggende CA als de root CA op voor mijn webcertificaat voor ATD?Het CA-bestand kan meerdere CA-certificaten bevatten. Daarom kunt u het root CA-certificaat en zoveel tussenliggende CA-certificaten als nodig zijn, combineren in één bestand en dit vervolgens uploaden in ATD-beheer.
Het gecombineerde PEM-bestand moet beginnen met twee certificaten en moet de volgende indeling gebruiken:-----BEGIN CERTIFICATE-----(gegevens van uw certificaat)-----END CERTIFICATE----------BEGIN CERTIFICATE-----(gegevens van een ander certificaat)-----END CERTIFICATE-----
Hoe combineer ik de CA-certificaatbestanden?
- Open de certificaatbestanden in een teksteditor.
- Kopieer de volledige inhoud van een certificaat en plak deze vervolgens in het andere certificaatbestand, ofwel aan het begin van het bestand of aan het einde van het bestand.
- Sla het gecombineerde CA-certificaat op.
- Upload het gecombineerde CA-certificaatbestand naar ATD.
Kan ik een CA-certificaat afzonderlijk uploaden?Nee. U moe een CA-certificaatbestand uploaden samen met het webcertificaat.
Kan ik de LAN2-interface gebruiken als de communicatiepoort van de ATD-server? Ja. U kunt zowel LAN1 als LAN2 gebruiken als de communicatiepoort van de ATD-server, wanneer de ATD-server wordt beheerd met een IP-adres.
OPMERKING: u moet mogelijk statische routes instellen voor het verkeer tussen Email Gateway en de ATD-appliance, wanneer u de LAN2-interface gebruikt.
Hoe kan ik ATD configureren om een bestand te controleren op basis van de bestandsextensie en niet alleen op basis van de bestandsheader, voordat het wordt verzonden voor dynamische analyse?
Typ filetypefilter enable op de opdrachtregel van ATD en druk op ENTER.
OPMERKING: zie voor meer informatie de producthandleiding voor uw release.
Ondersteunt de ATD-appliance interfacekoppeling (bijvoorbeeld eth0 koppelen aan eth1)?
Nee. Koppelen of koppelingen samenvoegen wordt momenteel niet ondersteund.
Welk tijdstempel volgt/gebruikt ATD?
Vanaf versie 3.4.6.63 gebruikt ATD RFC 3339. Oudere versies gebruiken RFC 3164.
Kan ik de instellingen wijzigen in een VM dat al is geüpload naar ATD, bijvoorbeeld het IP-adres van de DNS-server wijzigen van A.B.C.D in W.X.Y.Z?
Ja. U kunt instellingen wijzigen via de VNC-verbinding onder GUI (Grafische gebruikersinterface), Policy (Beleid), VM Profile (VM-profiel). Kies uw VM en klik daarna op Edit (Bewerken), Activate (Activeren). Nadat u de gewenste instellingen hebt gewijzigd, sluit u de VM af en schakelt u Validation (Validatie) en Create license (Licentie maken) in. Zo maakt u een nieuw VM met de gewijzigde instellingen.
Zijn er overwegingen of acties die moeten worden uitgevoerd voordat ik VM-profielen of VM-analyseprofielen toevoeg, of voordat ik het aantal licenties dat aan een VM-profiel is toegewezen, verhoog of verlaag?
Ja, Intel Security raadt u aan de AMAS-service te stoppen, voordat u vmcreator uitvoert, ook als u de licenties wijzigt.
Hoe kan ik de AMAS-service stoppen?
Typ in een opdrachtregelsessie amas stop en druk op ENTER om AMAS te stoppen.
Wat betekent de uitvoer van de opdracht "show filequeue"?
- Processing Time (Verwerkingstijd): de tijd vanaf het moment dat een voorbeeld wordt ontvangen door ATD, tot het moment waarop de analyse en de rapporten zijn voltooid (totale tijd die het voorbeeld doorbrengt in ATD).
- Analyzing Time (Analysetijd): de periode tussen de begin- en de eindtijd van het voorbeeld in de sandbox (totale tijd voor analyse).
- Files in SandBox (Bestanden in sandbox): het aantal voorbeelden dat momenteel wordt voorbereid voor sandboxanalyse. Voorbeelden worden heuristisch geanalyseerd, voordat ze naar de sandbox worden verzonden. Bij heuristische analyse kan worden bepaald of een voorbeeld schoon is en er daardoor geen sandboxanalyse is vereist. Op deze manier krijgen meer voorbeelden de status "in analysis" (wordt geanalyseerd) dan het werkelijke aantal sandbox-VM's.
- Files in Queue (Bestanden in wachtrij): het aantal bestanden dat momenteel aanwezig is in de scanmap.
- Estimated average processing time for all samples (Geschatte gemiddelde verwerkingstijd voor alle voorbeelden): de huidige wachttijd van het systeem of de tijd die ATD gebruikt om het volgende ingediende voorbeeld te analyseren.
Welke versies van Microsoft Office kan ik gebruiken met een VM met Microsoft Windows XP Service Pack 3 (SP3) of XP Service Pack 2 (SP2)?
Wanneer u een VM met Microsoft Windows XP SP3 orf XP SP2 maakt om Microsoft Office uit te voeren in ATD, moet u Microsoft Office 2007 of een oudere versie met een compatibiliteitspakket installeren. Microsoft Office 2010 of later wordt niet ondersteund in ATD voor VM's met Windows XP SP3 en Windows XP SP2.
Welke versie van Web Gateway ondersteunt ATD?
ATD ondersteunt Web Gateway 7.4.x en hoger.
Welke versies van NSP kunnen worden geïntegreerd met ATD?
NSP 8.x en later kunnen worden geïntegreerd met ATD.
Wordt Email Gateway ondersteund door ATD 3.4.2 Clustering?
Nee. Email Gateway wordt niet ondersteund door ATD 3.4.2 Clustering.
Welke informatie wordt door ATD opgehaald of gebruikt van compatibele en gekoppelde McAfee-producten?
- ATD gebruikt informatie over de reputatie van GTI bij het bepalen van de kans dat een bestand malware is.
- ePO wordt gebruikt bij het bepalen van de doelomgeving, zodat de juiste virtuele omgeving kan worden gebruikt om het bestand te analyseren. ATD bepaalt samen met ePO de kenmerken van het doelapparaat, zodat dynamische analyse van de malware kan worden uitgevoerd op het juiste besturingssysteem.
- ATD accepteert bestanden van NSP of Web Gateway en retourneert het resultaat van de analyse, zodat de informatie kan worden gebruikt voor beleidshandhaving.
- Bestanden kunnen ook handmatig worden geüpload via de webtoepassing (Analysis (Analyse), Manual Upload (Handmatig uploaden)), FTP (de gebruiker moet FTP-toegang voor het verzenden van bestanden hebben ingeschakeld onder Manage (Beheren), User Name (Gebruikersnaam)) en API.
OPMERKINGEN:
- In ATD 3.x wordt het handmatig uploaden van malware en uploaden vanaf deze McAfee-apparaten ondersteund, maar er is geen SPAN-mogelijkheid in deze release.
- Informatie over het gebruik van de ATD API kunt u vinden in de naslaggids voor ATD voor uw release.
Ga voor documenten van uw McAfee-product naar de Enterprise Product Documentation portal op https://docs.mcafee.com.
Waar kan de ATD-appliance worden geplaatst?
De ATD-appliance hoeft niet inline met verkeer of aan de rand van het netwerk te worden geplaatst. De appliance kan centraal of in een geschikt netwerksegment worden geplaatst en de NSP-sensor stuurt er gegevens heen.
Welke browsers kan ik gebruiken om ATD te beheren?
Ondersteunde browsers zijn:
- Microsoft Internet Explorer 10 en later
- Mozilla Firefox
- Google Chrome
Welke besturingssystemen voor virtuele machines die als analysator worden gebruikt, worden door ATD ondersteund?
De meest recente versie van ATD (in augustus 2015) is ATD 3.4.8 en deze versie ondersteunt de volgende virtuele machines als analysator:
- Microsoft Windows XP 32-bits
- XP Service Pack 2
- XP Service Pack 3
- Microsoft Windows 7
- Windows 7, 32-bits Service Pack 1
- Windows 7, 64-bits Service Pack 1
- Microsoft Windows 8
- Windows 8.0 Pro, 32-bits
- Windows 8.0 Pro, 64-bits
- Microsoft Server:
- Server 2003 Service Pack 1
- Server 2003 Service Pack 2
- Server 2008 R2 Service Pack 1
- Google Android
- Android 2.3
- Android 4.3
OPMERKING: de upgrade van Android 4.3 moet handmatig worden uitgevoerd. Zie de producthandleiding PD26049 voor meer informatie.
Welke toepassingen kunnen worden opgenomen in de VMDK-bestanden voor analyse?
- Microsoft Internet Explorer 6, 7, 8, 9, 10 en 11
- Mozilla Firefox 11, 12 en 13
- Microsoft Office 2003, 2007, 2010 en 2013
- Adobe Acrobat 8, 9 en 10
- Adobe Flash Player 13
- Adobe Reader versie 9, 10 en 11
- jdk-7u25/jre-7u25 32-bits en 64-bits in alle 32-bits besturingssystemen
- jdk-7u25/jre-7u25 64-bit in alle (alleen) 64-bits besturingssystemen
Welke methoden worden ondersteund voor het maken van VM-images voor ATD?
U kunt alleen met VMware Workstation 9.0, 10, 11 en 12 voor ATD een VM-image maken.
Wanneer u VMware Workstation 1x gebruikt, moet u de hardwarecompatibiliteit instellen op Workstation 9.0.
BELANGRIJK: voor Workstation 12 is de optie voor hardwarecompatibiliteit niet aanwezig bij het maken van een standaard-VM.
U moet deze instelling wijzigen door Edit (Bewerken), Preferences (Voorkeuren) te selecteren en daarna Workstation 9 te selecteren bij Default hardware compatibility (Standaardhardwarecompatibiliteit).
OPMERKING: ESXi en VMware Player worden niet ondersteund.
Welke onderdelen heb ik nodig om analyse-VM te installeren/bouwen?
U hebt het ISO van uw besturingssysteem en een geldige licentiesleutel nodig.
Hoe weet ik of een een nieuw VM-profiel dat ik heb gemaakt, gereed is voor gebruik?De status van de aanmaakprocedure van het VM is Success (Geslaagd).
Hoe kan ik de logboekbestanden van ATD weergeven?
Selecteer Troubleshooting (Problemen oplossen), Log Files (Logboekbestanden).
Wat is de optie Troubleshooting (Probleemoplossing), Support Bundle (Ondersteuningsbundel)? Welke informatie wordt hiermee opgeslagen?
Er wordt een uitgebreide verzameling logboekbestanden en configuratiegegevens van de ATD-appliance opgeslagen die kunnen helpen bij het oplossen van problemen.
Welke poorten gebruikt ATD om te communiceren?
ClientServer Standaardpoort Configureerbaar Beschrijving Willekeurige ATD TCP 80
TCP 443 (HTTPS)Nee Toegang tot webtoepassing Willekeurige ATD TCP 21
TCP 22 (SSH)Nee FTP van VMDK- of ISO-images NSP-sensor ATD TCP 8505 Nee NSP-sensorkanaal SSL
(AES-128, SHA 1)NSM ATD TCP 443 (HTTPS) Nee REST-communicatie ATD ePO TCP 8443 Ja ATD GTI TCP 443 (HTTPS) Nee GTI-kanaal Willekeurige ATD TCP 2222 (SSH) Nee CLI-toegang VNC ATD 6000+* Nee Sandboxen weergeven
* Als u gebruikmaakt van de interactieve modus en u problemen hebt met het laden van het interactieve venster,
moet u een reeks poorten openen vanaf 6000 tot en met het aantal VM's dat u hebt geconfigureerd.
Als u bijvoorbeeld 10 VM's hebt (4 xp + 6 win7) moet u de poorten 6000-6011 openen.
Waarom zie ik de foutmelding "Server refused to allocate pty" (Server weigert pty toe te wijzen) wanneer ik via SSH verbinding wil maken met de ATD-appliance?
Dit komt doordat poort 2222 niet is geopend of omdat u geen verbinding maakt via poort 2222 voor SSH.
Kan ik met ATD werken in een gesloten netwerk zonder internetverbinding? Hoe worden updates uitgevoerd?
ATD heeft een virtueel netwerk en heeft geen toegang tot internet nodig om te kunnen functioneren. Offline-updates worden momenteel niet door ATD ondersteund. Updates moeten worden gedownload en geïmporteerd. De internetsimulator emuleert momenteel de volgende services:
HTTP SMTP FTP TELNET DNS
Kan ATD een bestand analyseren dat met een wachtwoord is beveiligd?
ATD kan een archief dat met een wachtwoord is beveiligd gebruiken en het voorbeeld analyseren, maar het wachtwoord moet bekend zijn..
Wat is de maximale bestandsgrootte die ATD kan scannen met Web Gateway?
De bestandslimiet voor scannen met Web Gateway is momenteel 128 MB.
Welke tekens worden niet ondersteund in bestandsnamen die worden verzonden voor analyse?
De volgende tekens worden niet ondersteund:
\ " ^ < > | ; ( ) [ ] * ? # $ & :
Kan NSP schadelijke bestanden blokkeren wanneer het is geïntegreerd met ATD?Ja. Houd rekening met de volgende overwegingen:
- NSP kan alleen blokkeren in een statische detectie.
- Dynamische detectie duurt langer, maar NSM haalt het dynamische scanrapport op wanneer het is voltooid.
- ATD voert een initiële statische scan uit en brengt verslag uit aan NSM. Als het bestand overeenkomt, wordt het door NSM geblokkeerd.
- NSP bewaart het bestand slechts zes seconden en het uitvoeren van de dynamische analyse kan langer duren. Als detectie aanwezig is tijdens de dynamische scan, haalt NSM het rapport echter op uit ATD.
Wanneer ik een MD5-hash toevoeg aan de zwarte lijst, welke waarde geef ik dan op bij OS-ID (als besturingssysteem-id)?
De waarde van de besturingssysteem-id geeft aan welk besturingssysteem door het voorbeeld wordt gedetecteerd als kwaadaardig. Omdat u handmatig een item toevoegt aan de zwarte lijst, wordt door andere scanners niet naar deze waarde verwezen; voer daarom nul (0) in bij OS-ID.
Welke bestandstypen worden door ATD ondersteund en wat zijn de minimale en maximale bestandsgrootte in bytes?
Bestandstype Standaard-
minimumStandaard-
maximumConfigureerbaar
minimumConfigureerbaar
maximumExe-, dll- of sys-bestand van Windows PE (Portable Executable) 1024 10000000 100 128000000 PDF-documentbestand met de extensie .pdf 2048 25000000 100 128000000 Java-klassegegevensbestand met de extensie .class 1024 5000000 100 128000000 Oudere Microsoft Office-bestanden met de extensie .doc, .ppt of .xls 5120 10000000 100 128000000 Microsoft Rich Text Format-bestand met de extensie .rtf 1024 10000000 100 128000000 Zip-bestand, APK-bestand of nieuwer Microsoft Office-bestand met de extensie .docx, .pptx of .xlsx 200 20000000 100 128000000 JPEG-afbeeldingsbestand 5120 1000000 100 128000000 PNG-afbeeldingsbestand 5120 1000000 100 128000000 GIF-afbeeldingsbestand 5120 1000000 100 128000000 Uitvoerbaar Microsoft DOS-bestand met de extensie .com 1024 5000000 100 128000000 Macromedia Flash-bestand met de extensie .swf 1024 5000000 100 128000000 Gecomprimeerd 7-zip-archiefbestand met de extensie .7z 200 10000000 100 128000000 Gecomprimeerd RAR-archiefbestand met de extensie .rar 200 10000000 100 128000000 Gecomprimeerd Microsoft-cabinetbestand met de extensie .cab 200 10000000 100 128000000 Diverse tekst- of scriptbestanden. Bijvoorbeeld .js, .bat, .vbs, .xml, .py, .url, .htm 100 1000000 100 128000000
In welke volgorde voert ATD een malware-analyse uit?
- Statische analyse:
- Lokale witte lijst
- Lokale zwarte lijst
- Global Threat Intelligence (GTI)
- Gateway Anti-Malware
- Anti-Malware
- Dynamische analyse: (Sandbox)
Ondersteunt ATD niet-Engelstalige besturingssystemen? Ondersteunt ATD bijvoorbeeld de installatie van een Japanse of Chinese versie van een sandboximage met Microsoft Windows 8 (64-bits of 32-bits)?
Ja, dit wordt ondersteund. Voor meer informatie over het gebruik van een niet-Engelstalig besturingssysteem voor sandboxanalyse, dient u een serviceaanvraag in bij de technische ondersteuning.
Ondersteunt ATD double-byte tekens voor MATD-inspectie (analyse van statische gegevens, dynamische gegevens en statische code)?
Ja. Bijvoorbeeld voor gelokaliseerde Chinese/Japanse bestandsnamen en tekst in bestanden, voert ATD een analyse uit en geeft daarna de bestandsnamen weer van de gelokaliseerde bestanden die zijn ontvangen van Web Gateway.
Worden geneste groepen ondersteund bij de integratie van ATD met Active Directory?
Ja. U moet echter de optie Basis-DN in het venster Substructuur gebruiken.
Werkt KMS-activering voor VM-images die worden gehost en uitgevoerd op ATD?
Nee, KMS-activering werkt niet voor VM-images die worden uitgevoerd op de ATD-appliance.
Terug naar inhoudsopgave
ATD en NSP
Hoe kan ik de kanaalstatus van ATD/NSP weergeven?
Typ de opdracht status op de opdrachtregel van de NSP-sensor om de status te controleren van de communicatieverbinding.tussen ATD en NSP.
Bijvoorbeeld:
[McAfee MATD Communication]
Status : up
IP : 172.23.80.7
Port : 8505
OPMERKING: als de status niet up is, wordt down weergegeven.
Verzendt de NSP-sensor bestanden naar de ATD-appliance wanneer het verkeer via HTTPS wordt verzonden en de NSP-sensor het juiste certificaat heeft om te ontsleutelen?
Ja, bestandsextractie via HTTPS voor malware-analyse wordt ondersteund. Als de functie SSL is ingeschakeld op de NSP-sensor en het juiste certificaat wordt geïmporteerd, kan de sensor bestanden ontsleutelen via HTTPS en deze bestanden naar de ATD-appliance verzenden voor malware-analyse.
Hoe kan ik controleren of de NSP-sensor is aangesloten op ATD?Open een opdrachtregelsessie naar de NSP-sensor, voer de opdracht status uit en bekijk de informatie onder McAfeeMATDCommunication.
Hoe kan ik controleren of een bestand naar ATD is verzonden?Open een opdrachtregelsessie naar de NSP-sensor, voer de opdracht malwareenginestats uit en bekijk de uitvoer.
Voorbeeld:
MALWARE STATISTICS FOR MATD ENGINE:
--------------------------------------------------
Number of files sent: 4
Number of response Received: 4
Number of files ignored: 0
Welke fysieke poort gebruikt de NSP-sensor om te communiceren met de ATD-appliance?De NSP-sensor gebruikt de beheerpoort voor de communicatie met de ATD-appliance.
Welke TCP-poort gebruikt de NSP-sensor om te communiceren met ATD?
De NSP-sensor gebruikt TCP-poort 8505 voor de communicatie met ATD.
De NSP-sensor verzendt niet veel bestanden naar ATD. Waarom?
De NSP-sensor moet het hele bestand verwerken. In sommige gevallen kan uw netwerkconfiguratie (bijvoorbeeld bij een asymmetrische verkeersstroom) niet toestaan dat de NSP-sensor het hele bestand ziet. In een dergelijke situatie kunt u de NSP-sensor instellen op permit for flow control (toestaan voor transportbesturing) in plaats van permit out of order (onjuiste volgorde toestaan) in de TCP-instellingen van de NSP-sensor (Devices (Apparaten), Policy (Beleid), Advanced (Geavanceerd), TCP Settings (TCP-instellingen)).
Waarom mislukt het bijwerken van mijn handtekening?
Dit wordt meestal veroorzaakt door onjuiste DNS-instellingen. Controleer of de instellingen onder DNS Proxy setting (Instelling DNS-proxy) juist zijn.
Wat is de maximale bestandsgrootte die ATD kan scannen met NSP?De bestandslimiet voor scannen met NSP is momenteel 25 MB.
Waar kan ik malwarevoorbeelden vinden om te testen?
Websites met malwarevoorbeelden:
U kunt ook het programma Maltrieve gebruiken om de resultaten in verschillende categorieën in te delen.
Kunnen verschillende sensoren worden ingesteld op verschillende scanprofielen?Nee.
ATD en Email Gateway (MEG)
Kan ik op de hoogte worden gesteld wanneer MEG meer voorbeelden verzendt dan ATD kan afhandelen, zodat de appliance wordt overladen?
Nee. Wanneer ATD wordt overladen, worden voorbeelden van MEG geweigerd en dit wordt alleen weergegeven op de pagina ATD Analysis Status (Analysestatus van ATD) met de markering Rejected (Geweigerd). Er is geen e-mail of andere melding voor deze weigering van ATD.
Moet ik de integratie met MEG of Web Gateway verbreken, voordat ik een upgrade van mijn ATD-software uitvoer?
Nee. U hoeft deze integratie niet te verbreken voordat u een ATD-upgrade uitvoert.
Wat is de ATD-cache voor Email Gateway?
MEG gebruikt een cache met scanresultaten om dubbele scans te minimaliseren en ATD te optimaliseren.
Wat zijn de specificaties van deze cache?
- Cachevermeldingen van ATD voor MEG worden opgeslagen in een database in het geheugen.
- Er is geen limiet voor het aantal cache-items.
- De levensduur van een cachevermelding is 604.800 seconden (7 dagen).
Hoe kan ik de ATD-cache voor Email Gateway wissen?
U kunt de cache wissen vanaf de beheerconsole van MEG. Selecteer Troubleshoot (Problemen oplossen), Tools (Hulpprogramma's), ATD en wis de cache.
Bepaalt ATD de kwetsbaarheid die is misbruikt op de eerste plaats om de malwarecode toe te staan het systeem te infecteren?
Ja. ATD genereert een overzicht en uitgebreide rapportagegegevens om het gedrag en de belangrijkste indicatoren voor gevaar te bepalen. Deze informatie wordt gedeeld met andere geïntegreerde McAfee-oplossingen, zoals Web Gateway of ePO, die vervolgens proactief hun verdediging en oplossingen kunnen inschakelen.
Voert ATD geautomatiseerde opschoning van de host uit?
Nee. Geautomatiseerde opschoning van de host is niet beschikbaar in ATD 3.x.
Ondersteunt ATD het configureren van IPv6?
Nee. ATD ondersteunt IPv6 momenteel niet, maar dit is gepland voor een toekomstige update.
Ondersteunt ATD Common Criteria-certificering?
Ja, Common Criteria-certificering wordt ondersteund in versie 3.4.6 en later.
Zijn er IP-bereiken die moeten worden vermeden of die worden gebruikt door ATD?
ATD moet niet in het netwerk worden geïmplementeerd met het bereik 192.168.50.0/24, 192.168.55.0/24 of 192.168.88.0/24. 192.168.50.12 is bijvoorbeeld het IP-adres van de VM die moet worden gecontroleerd.
OPMERKING: als u uw VM's in dit bereik instelt, worden ze niet gezien en zijn ze niet beschikbaar.
Waarom hebben de actieve software en de back-upsoftware dezelfde versie bij het uitvoeren van de opdracht 'factorydefaults'?
Dit is de bedoeling. Met de opdracht factorydefaults worden zowel de actieve als de back-up-instellingen gewist en wordt de back-upversie van de software afgestemd op de actieve versie van de software.
Wat is de DNS-proxy-instelling van ATD?
Alle DNS-query's die ATD uitvoert, gebruiken deze DNS-instelling voor het uitvoeren van zoekacties en andere functies. Deze instellingen gelden voor alle DNS-functies, inclusief DAT-updates en GTI-query's.
Kan ik de items opschonen die nog moeten worden verwerkt door de ATD-appliance?Ja. Voer de volgende stappen uit om items op te schonen die nog niet zijn verwerkt door de ATD-appliance:
PAS OP: met deze actie verwijdert u alle bestaande analyseresultaten uit het systeem.
- Open de console van ATD en ga naar Manage (Beheren), Troubleshooting (Probleemoplossing), Reset Report Analysis Results (Analyseresultaten opnieuw instellen).
- Selecteer Remove all Report Analysis Results (Alle analyseresultaten verwijderen).
- Klik op Submit (Verzenden).
Gedetailleerd gedrag van PSU LED's op ATD-apparaten:
ATD 3000 en ATD 6000
Voeding LED-status Uitvoer AAN en OK GROEN Geen netstroom naar alle voedingen UIT Netstroom aanwezig/slechts 12 VSB aan (voeding uit) of voeding in koude redundante status Knippert GROEN 1 Hz Netsnoer niet aangesloten of geen netstroom; met een tweede, parallelle voeding met ingangsnetstroom ORANJE Waarschuwing voor gebeurtenissen waarbij de voeding blijft werken; hoge temperatuur, hoog vermogen, hoge stroom, trage ventilator Knippert ORANJE 1 Hz Gebeurtenis waarbij de voeding wordt uitgeschakeld; overbelasting, te hoog voltage, ventilator uitgevallen ORANJE Firmware van voeding wordt bijgewerkt Knippert GROEN 2Hz
Hoe kan ik de instelling voor sessietime-out configureren voor ATD-beheer (beheerdersinterface)?
Voer de opdracht set ui-timeout uit in de opdrachtregelinterface. Bijvoorbeeld: met set ui-timeout 300 stelt u de time-out in op 300 seconden.
Wat is de minimale bedreigingsscore die ATD als kwaadaardig beschouwd?3 (gemiddeld).
Ondersteunt ATD NIC-koppeling, teamvorming of netwerkaggregatie?
Nee. ATD ondersteunt deze technologieën niet.
Moet ik het hoofdnetwerk gebruiken voor internettoegang voor voorbeelden of moet ik een afzonderlijk netwerk/afzonderlijke lijn implementeren?
Intel Security raadt u aan uw netwerk zodanig te segmenteren dat de reputatie van uw belangrijkste IP-adressen niet wordt bedreigd. U kunt een volledig afzonderlijk netwerk implementeren of een specifiek IP implementeren dat alleen wordt gebruikt voor deze functionaliteit, zodat wanneer deze een slechte reputatie krijgt, dit geen invloed heeft op uw andere bedrijf.
Als ik een cluster met ATD's instel, wordt taakverdeling van bestanden dan ondersteund en worden bestanden en resultaten dan gedeeld met alle appliances?Taakverdeling in een cluster wordt ondersteund. Bestanden op de zwarte lijst worden gesynchroniseerd tussen clusterleden en deze functionaliteit is verbeterd in 3.4.8.
Meer informatie is beschikbaar in de producthandleiding van ATD en de versie-informatie voor uw productrelease.
Wordt een cluster met primaire en secundaire appliances in verschillende DC's of netwerken ondersteund?Nee. Alleen clusters met beide appliances in hetzelfde netwerk worden ondersteund.ATD ontvangt updates voor Anti-Virus en GAM van mwg-update.mcafee.com.
Waarom maakt ATD verbinding met mwg-update.mcafee.com?
Client Server Standaardpoort Configureerbaar Beschrijving Advanced Threat Defense tunnel.message.trustedsource.org TCP 443 (HTTPS) Nee Bestandsreputatiequery's. Advanced Threat Defense list.smartfilter.com TCP 80 (HTTP) Nee URL-updates. Elke (SSH-client) Advanced Threat Defense TCP 2222 (SSH) Nee CLI-toegang. Advanced Threat Defense mwg-update.mcafee.com TCP 443 (HTTPS) Nee Updates voor McAfee Gateway Anti-Malware Engine en McAfee Anti-Malware Engine.
Welke poort wordt gebruikt voor het doorgeven van URL-downloadverkeer wanneer de Malware-interface wordt geconfigureerd?
URL-downloadverkeer wordt alleen via de Malware-interface doorgegeven als de Malware-interface is geconfigureerd. Als de Malware-interface niet is geconfigureerd, wordt URL-downloadverkeer niet doorgegeven via de beheerpoort.
Waarom wordt het volgende systeembericht niet in het logboek opgenomen: Null domain still present or couldn't be killed (Null-domein is nog steeds aanwezig of kan niet worden verwijderd)?
Deze berichten worden weergegeven als een onderdeel van het validatie/verificatieproces en worden weergegeven nadat de ATD-appliance Null-VM's heeft verwijderd. Ze geven geen melding van een probleem maar worden weergegeven als onderdeel van de normale werking van ATD en kunnen worden genegeerd.
Terug naar inhoudsopgave
Automatic Disk Space Cleanup
Welke bestanden worden tijdens het ATD Disk Cleanup-proces verwijderd?
Wanneer wordt het Disk Cleanup-proces uitgevoerd?
Hoe lang bewaart ATD kopieën van oorspronkelijke voorbeeldgegevens en scanresultaten?
ATD bewaart oude voorbeelden en scanresultaten tot deze worden verwijderd tijdens het automatische schijfopschoningsproces.
Welke bestanden worden tijdens het ATD Disk Cleanup-proces verwijderd?
Tijdens dit proces worden oude logboeken, core-bestanden en resultaten van het scannen van bestanden verwijderd.
Wanneer wordt het Disk Cleanup-proces uitgevoerd?
Het Disk Cleanup-proces wordt gestart wanneer de gebruikte schijfruimte van de appliance hoger is dan de drempelwaarde van 75%.
Kan de bewaartijd of de limiet worden geconfigureerd?
Nee. U kunt geen instellingen voor de bewaarlimiet configureren. ATD voert de opschoningstaak uit en verwijdert een klein gedeelte van de oude resultaten, inclusief oorspronkelijke voorbeelden, wanneer het gegevensgebruik van de schijf hoger is dan 75%.
Tot welk gebruiksniveau wordt het Disk Cleanup-proces uitgevoerd?
Kan de bewaartijd of de limiet worden geconfigureerd?
Nee. U kunt geen instellingen voor de bewaarlimiet configureren. ATD voert de opschoningstaak uit en verwijdert een klein gedeelte van de oude resultaten, inclusief oorspronkelijke voorbeelden, wanneer het gegevensgebruik van de schijf hoger is dan 75%.
Tot welk gebruiksniveau wordt het Disk Cleanup-proces uitgevoerd?
Bij het Disk Cleanup-proces worden oude bestanden en bestandsscanresultaten verwijderd totdat de gebruikte schijfruimte minder dan 60% bedraagt.
Terug naar inhoudsopgave
Terug naar inhoudsopgave
Gerelateerde informatie
KB83839: End of Life for Advanced Threat Defense versions 3.2.x and earlier (Einde van de levensduur van Advanced Threat Defense versie 3.2.x en ouder)
ontkenning
De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.
Betrokken producten
Talen:
Dit artikel is beschikbaar in de volgende talen:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional