Chaque instance serveur TIE peut envoyer des échantillons de fichier à Advanced Threat Defense (ATD) à des fins d’analyse. Cet article explique comment configurer le serveur TIE pour envoyer des échantillons envoyés au instance ATD le plus proche.
Veuillez A partir de la version 2.1.0 du Serveur TIE, la convention d'affectation de noms pour les opérations Maître et Esclave a changé pour Primaire et Secondaire. Par exemple :
Maître devient Primaire
Esclave devient Secondaire
Les précédentes versions du Serveur TIE conservent l'appellation Maître/Esclave d'origine.
L’exemple de scénario présenté dans cet article concerne un déploiement de grande envergure dans un environnement géographiquement distribu?. De même dans un environnement non distribué géographiquement, vous pouvez utiliser les concepts pour vous assurer que le processus de soumission ATD s’adapte correctement pour de nombreux postes clients, bien que ce scénario ne soit pas abordé dans cet article.
Les instances ATD utilisées par le serveur TIE sont configurées à l’aide des stratégies ePolicy Orchestrator (ePO). Le serveur TIE utilise une approche « à répétition alternée » dans la liste des instances ATD configurées pour envoyer des échantillons à des fins d’analyse. Chaque fois qu’un serveur TIE instance reçoit un échantillon, il le transmet au instance ATD suivant de la liste. Si toutes les instances ATD existantes sont configurées pour chaque instance de serveur TIE, un serveur TIE peut envoyer un fichier au instance le plus éloigné géographiquement, au lieu du plus proche de celui-ci. Vous pouvez utiliser les fonctionnalités de regroupement d’ePO pour configurer le déploiement de manière à ce que les échantillons soumis soient envoyés uniquement au instance ATD le plus proche.
Exemple de scénario : Les instances TIE distribuées dans le monde entier et trois instances ATD situées en Amérique, en Europe et en Asie. Il n’est pas utile pour un poste client en Asie de charger un échantillon sur le serveur TIE principal instance en Amérique du Nord, puis de faire en sorte que ce serveur TIE transmette l’échantillon à un instance ATD en Asie.
Pour envoyer des échantillons au instance ATD le plus proche :
- Dans l'Arborescence des systèmes ePO, créez un groupe de serveurs TIE pour chaque groupe d’instances ATD à proximité géographiquement.
Dans l’exemple de scénario, vous devez créer trois groupes de serveurs TIE, l’un pour l’Amérique, l’autre pour l’Europe et l’autre pour l’Asie. Pour plus d’informations sur la création et le remplissage des groupes de Arborescence des systèmes, reportez-vous à la section "création et remplissage de groupes Arborescence des systèmes" de la section Guide produit d’ePolicy Orchestrator:
- Créez et affectez une stratégie de serveur TIE pour chaque groupe. Ensuite, distribuez les instances ATD entre ces stratégies en fonction de leur emplacement géographique.
Configurez la stratégie de groupe de serveur TIE d’Amérique avec la instance Amérique ATD, la stratégie de groupe du serveur TIE Europe avec la ATD Europe instance et la stratégie de groupe Asie du serveur TIE avec l’Asie ATD instance.
- Dans la console ePO, sélectionnez Menu, Stratégie, Catalogue de stratégies.
- Dans la liste déroulante produit, sélectionnez Gestion des serveurs McAfee Threat Intelligence Exchange x.x.x.
- Créez une stratégie et cliquez sur le bouton Sandboxing onglet.
- Spécifiez les détails du serveur ATD pour les instances ATD auxquelles le serveur TIE soumet les échantillons.
- Affectez la stratégie au groupe de serveurs TIE approprié.
- Répétez ces étapes pour chaque groupe de serveurs TIE.
- Effectuez un appel de réactivation agent pour que les serveurs TIE mettent à jour leurs stratégies ATD.
Veuillez Assurez-vous que les zones service et l’affinité service Broker sont correctement configurées. Voir
KB89436.