Domande frequenti sulla modalità di osservazione di Application Control 6.1.2
Articoli tecnici ID:
KB79576
Ultima modifica: 02/04/2015
Ultima modifica: 02/04/2015
Ambiente
McAfee Application Control (MAC) 6.2.0
McAfee Application Control (MAC) 6.1.2
Riepilogo
Questo articolo è un elenco consolidato di domande e risposte frequenti sulla funzione Policy DIscovery (Rilevamento policy) di MAC 6.2.0 e sulla modalità di osservazione di MAC 6.1.2.
Soluzione
Quali sono le novità della funzionalità Policy Discovery (Rilevamento policy) nella versione 6.2.0?
- L'amministratore del sito può visualizzare e intraprendere azioni sulle richieste di Policy Discovery (Rilevamento policy) provenienti solo dai propri host, non dagli host ai quali l'utente registrato non ha accesso.
- Le osservazioni ora sono generate per operazioni su file basate su percorsi di rete. L'amministratore può trovare policy di directory affidabili per tali osservazioni. Le osservazioni ricevute da condivisione di rete sono elencate nella pagina di Policy Discovery (Rilevamento policy) con attività Network Path Execution (Esecuzione percorso di rete).
- Sono state aggiunte nuove funzioni al rilevamento policy per agevolare la gestione delle richieste di Policy Discovery (Rilevamento policy).
- La pagina di Policy Discovery (Rilevamento policy) ora presenta filtri aggiuntivi per attività, livello di affidabilità e nome del sistema.
- L'amministratore può impostare regole di policy personalizzate diverse da quelle suggerite dall'opzione Policy Discovery (Rilevamento policy)->Actions (Azioni)->“Create Custom Policy” (Crea policy personalizzata) . A tale scopo, tutte le schede delle policy ora sono visibili, è stata aggiunta l'azione Clear and define rules (Cancella e definisci regole) e i dettagli delle richieste sono disponibili alla pagina Create Custom Policy (Crea policy personalizzata).
- Nella pagina relativa ai dettagli di Policy Discovery (Rilevamento policy) è indicato il checksum binario nella sezione Binary Properties (Proprietà binarie).
- Alla pagina con i dettagli su Policy Discovery (Rilevamento policy) è stata aggiunta la possibilità di ordinare in base a nome utente, nome host e percorso binario ed è stata aggiunta la ricerca rapida per il nome host.
- La pagina di Policy Discovery (Rilevamento policy) ora presenta filtri aggiuntivi per attività, livello di affidabilità e nome del sistema.
- L'amministratore può creare regole di policy personalizzate partendo direttamente da eventi di minaccia. A tale scopo è presente l'azione Create Custom Policy (Crea policy personalizzata) per eventi come scrittura negata, esecuzione negata, modifica del pacchetto non consentita e per gli eventi di protezione della memoria. Per questa azione l'amministratore può controllare i dettagli dell'evento e creare di conseguenza le regole della policy.
Per ulteriori informazioni su questi argomenti, consultare la guida del prodotto MACC 6.2.0.
Quali sono le novità della modalità di osservazione nella versione 6.1.2?
Quali sono le novità?
- In questa versione, la funzionalità di osservazione è stata migliorata in modo significativo per quanto riguarda la scalabilità.
- È stata introdotta la pagina di Policy Discovery (Rilevamento policy) per consentire la creazione di policy per gli eventi relativi a osservazioni e autoapprovazione.
- Sono state effettuate importanti modifiche anche nel menu Observation mode (Modalità di osservazione):
- Le interfacce utente delle modalità di autoapprovazione e di osservazione sono state unite in un'unica pagina di Policy Discovery (Rilevamento policy).
- Per l'osservazione e l'autoapprovazione della stessa applicazione è possibile usare una sola policy. È possibile approfondire una linea specifica per consultare le informazioni relative alle richieste di autoapprovazione o osservazione.
Cosa è cambiato?
- In questa versione, la funzionalità di osservazione è stata migliorata in modo significativo per quanto riguarda la scalabilità. Di conseguenza, l'amministratore può osservare un impatto immediato sul numero e sulla qualità delle osservazioni che dalla presente versione di Application Control è stato ridotto.
- Alcune delle modifiche comportano dei cambiamenti nei flussi di lavoro di questa funzionalità:
- Il menu della modalità di osservazione è obsoleto.
- L'analisi del rilevamento regole ora viene effettuato negli endpoint per garantire che solo gli eventi richiesti vengano inviati a ePO.
- La struttura dei processi non è disponibile nell'interfaccia utente di Policy Discovery. Nelle precedenti versioni di Application Control, gli eventi generati per creare la struttura dei processi (Process Created) (Processo creato) erano uno dei principali strumenti di osservazione.
- Gli eventi identici (per lo stesso binario e attività) da più host vengono consolidati in un'unica linea di Policy Discovery (Rilevamento policy) per agevolare l'elaborazione delle richieste e ridurre i carichi di lavoro. Tuttavia, questo consolidamento ha un impatto sul meccanismo di creazione delle policy rispetto al metodo della pagina Events (Eventi) disponibile nelle versioni precedenti.
- In questa versione ci siamo concentrati sul rilevamento di candidati per la policy che siano agenti di modifica per i contenuti della whitelist. In questo modo i processi corretti sono garantiti con privilegi di aggiornamento. Non verranno pertanto visualizzate osservazioni per eventi EXECUTION_DENIED relativi a nuovi file, ma verranno visualizzati eventi equivalenti per l'aggiunta di file alla whitelist.
- Le osservazioni non sono generate per operazioni su file basate su percorsi di rete.
- Regole che consentono l'esecuzione temporanea vengono create quando negli endpoint vengono richiamati nuovi contenuti. Ciò impedisce la generazione di nuove osservazioni su esecuzioni ripetute.
- Un meccanismo di cache è stato implementato per la modalità Enable (Attiva) in modo che per lo stesso binario non vengano generate richieste di osservazione ripetute.
- Il gruppo di regole Global Self-Approval Rules (Regole globali di autoapprovazione) è stato rinominato come Global Rules (Regole globali).
- Diversi gruppi di regole relativi alla precedente implementazione delle osservazioni sono stati contrassegnati come obsoleti e ai nomi dei gruppi di regole è stato aggiunto il suffisso Deprecated (Obsoleto). Ad esempio, Global Observation Rules (Deprecated).
Cosa succede quando si effettua l'upgrade da versioni precedenti alla 6.1.2?
- Il menu della modalità di osservazione rimane disponibile, ma viene contrassegnato come obsoleto.
- Le richieste di autoapprovazione effettuate con le versioni precedenti verranno compilate nell'interfaccia utente di Policy Discovery.
Cosa succede quando si effettua una nuova installazione dell'estensione MAC 6.1.2?
- Viene visualizzata solo la pagina Policy Discovery.
- Tutte le richieste di autoapprovazione e osservazione effettuate in modalità di Observation (Osservazione) o Enable (Attiva) sono visualizzate in questa pagina.
- Solo gli endpoint con 6.1.2 (e versioni successive) sono in grado di segnalare osservazioni in questa interfaccia utente.
- Tutti gli endpoint con 6.1.0 e build successive possono segnalare richieste di autoapprovazione nell'interfaccia utente.
Cosa succederà alle regole aggiunte ai gruppi di regole obsolete nelle prossime versioni?
Quando i gruppi di regole verranno rimossi, tutte le regole di policy pertinenti incluse nei gruppi di regole obsoleti verranno conservate e migrate ad altri gruppi di regole.
Perché il collegamento "Show Suggestions" (Mostra suggerimenti) non è presente nella pagina Events (Eventi) per le nuove osservazioni?
Prima della versione 6.1.2:
Prima della versione 6.1.2:
- Per le osservazioni e gli eventi era presente un mapping di tipo one-to-one.
- Nella pagina degli eventi era presente un collegamento Show Suggestions (Mostra suggerimenti) per le osservazioni generate in modalità Enable (Attiva) che consentiva all'utente di consultare le regole delle policy.
A partire dalla versione 6.1.2:
- La pagina di Policy Discovery (Rilevamento policy) può essere usata come console principale per il rilevamento delle regole di policy, a prescindere dalla modalità di esecuzione dell'endpoint.
- La pagina di Policy Discovery (Rilevamento policy) riunisce eventi identici (per lo stesso binario e attività) da più host in un unico record, per agevolare l'elaborazione delle richieste e ridurre i carichi di lavoro.
Il meccanismo di rilevamento delle policy rende inutile il collegamento Show Suggestions (Mostra suggerimenti), pertanto questo è stato eliminato durante la riprogettazione della funzionalità.
Quali eventi sono generati con 6.1.2 in modalità Observe (Osservazione) ed Enable (Attiva)?
Quali eventi sono generati con 6.1.2 in modalità Observe (Osservazione) ed Enable (Attiva)?
Gli eventi del flusso di lavoro per le modalità Observe (Osservazione) ed Enable (Attiva) sono indicati nella seguente tabella.
| Tipo di evento | Modalità | Funzionamento |
| Impedisci esecuzione; percorso non di rete | Attiva | Genera un'osservazione per "autorizza per checksum" |
| Osserva |
|
|
| Impedisci scrittura | Attiva | Genera un'osservazione "autore aggiornamento per nome" |
| Osserva |
|
|
| Impedisci esecuzione; percorso di rete | Attiva | Nessuna osservazione |
| Osserva | Nessuna osservazione | |
| Negazione controllo pacchetto | Attiva | Genera un'osservazione per "Autore aggiornamento per checksum" |
| Osserva |
|
|
| Active X Denial | Attiva | Genera un'osservazione per il certificato |
| Osserva |
|
|
| Protezione memoria NX/di processo da hijack | Attiva | Genera un'osservazione per il bypass attr |
| Osserva |
|
|
| File eseguibili MSI di estrazione | Attiva | Genera un'osservazione per "Autore aggiornamento per checksum" |
| Osserva |
|
|
| File binari eseguibili di estrazione (exe/dll/driver) e file script | Attiva | Genera un'osservazione "autore aggiornamento per nome" |
| Osserva |
|
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
