Ogni istanza server TIE può inviare esempi di file a Advanced Threat Defense (ATD) per l'analisi. In questo articolo viene descritto come configurare il server TIE per l'invio di campioni inviati all'istanza di ATD più vicina.
Nota A partire dalla versione TIE Server 2.1.0, la convenzione di denominazione per le operazioni master/slave è stata modificata con principali/secondarie. Ovvero:
Master diventa principale
Slave diventa secondario
Le versioni precedenti del server TIE mantengono le designazioni master/slave originali.
Lo scenario di esempio in questo articolo è relativo a un'ampia distribuzione in un ambiente geograficamente distribuito. Anche in un ambiente non geograficamente distribuito, è possibile utilizzare i concetti per garantire che il processo di invio di ATD venga ridimensionato correttamente per molti endpoint, sebbene questo scenario non sia trattato in questo articolo.
Le istanze di ATD utilizzate dall'server TIE vengono configurate utilizzando le policy di ePolicy Orchestrator (ePO). L'server TIE utilizza un approccio "Round Robin" nell'elenco delle istanze di ATD configurate per l'invio di campioni per l'analisi. Ogni volta che un'istanza di server TIE riceve un campione, lo inoltra alla successiva istanza di ATD nell'elenco. Se tutte le istanze di ATD esistenti sono configurate per ogni server TIE istanza, un server TIE potrebbe inviare un file all'istanza ATD più lontana geograficamente piuttosto che a quella più vicina. È possibile utilizzare le funzionalità di raggruppamento di ePO per impostare la distribuzione in modo che i campioni inviati vengano inviati solo all'istanza di ATD più vicina.
Esempio di scenario: Istanze TIE distribuite in tutto il mondo e tre istanze di ATD situate in America, Europa e Asia. Non è auspicabile che un endpoint in Asia carichi un esempio nell'istanza principale di server TIE in Nord America, quindi che server TIE inoltrare l'esempio a un'istanza di ATD in Asia.
Per inviare esempi all'istanza di ATD più vicina:
- Nella Struttura dei sistemi di ePO, creare un gruppo di server TIE per ciascun gruppo di istanze ATD geograficamente vicine.
Nello scenario di esempio, è possibile creare tre gruppi di server TIE, uno per l'America, uno per l'Europa e l'altro per l'Asia. Per informazioni su come creare e popolare Struttura dei sistemi gruppi, consultare la sezione "Crea e compila gruppi di Struttura dei sistemi" del Guida del prodotto di ePolicy Orchestrar:
- Creare e assegnare una policy server TIE per ciascun gruppo. Quindi, distribuire le istanze di ATD tra queste policy in base alla posizione geografica.
Configurare il gruppo server TIE America policy con l'istanza di America ATD, il gruppo Europa server TIE policy con l'istanza di Europe ATD e il gruppo Asia server TIE policy con l'istanza Asia ATD.
- Nella console ePO, selezionare Menu, Politica, Catalogo delle policy.
- Nell'elenco a discesa prodotto, selezionare Gestione McAfee Threat Intelligence Exchange Server x.x.x.
- Creare una policy e fare clic sul pulsante Sandboxing scheda.
- Specificare i dettagli del server ATD per le istanze di ATD a cui il server TIE invia gli esempi.
- Assegnare il policy al gruppo di server TIE appropriato.
- Ripetere i passaggi riportati di seguito per ciascun gruppo di server TIE.
- Eseguire una chiamata di attivazione di agent per i server TIE per aggiornare le policy ATD.
Nota Assicurarsi che le zone di servizio e l'affinità del broker siano configurate correttamente. Vedere
KB89436.