O servidor TIE fornece um comando de reputação remota definido com a API da Web do ePolicy Orchestrator (ePO). Ele destina-se a automatizar substituições de reputação de um determinado conjunto de arquivos e hashes de certificado. A execução em massa é suportada e pode ser auditada a partir do log de auditoria do ePO. As substituições sempre têm precedência. Portanto, a McAfee recomenda que você reconcile as substituições periodicamente em relação a outras reputações e remova as reputações já abordadas para manter os recursos adaptáveis.
A sintaxe do comando é
tie.setReputations [fileReps] [certReps]. Especifique pelo menos um
fileReps Quanto
certReps; Você pode especificar ambos na mesma chamada de carga. Utilização
JSON cadeias de caracteres para representar arquivos e certificados. Certifique-se de que os hashes sejam
Base64 codificado e use um dos seguintes valores para especificar a reputação:
- 1 (conhecido como malicioso)
- 15 (provavelmente malicioso)
- 30 (pode ser malicioso)
- 50 (desconhecido)
- 70 (pode ser confiável)
- 86 (provavelmente confiável)
- 99 (confiável conhecido)
A seguir está um exemplo de uma carga que define a reputação de um único arquivo como confiável conhecido:
fileReps = [{"name":"test.exe",
"sha1":"udrarummyjtffybxaflkxzjhpao=",
"md5":"gixbyabniwsaanqznfufxe==",
"sha256":"icidutgqksorrzjvqsepfmkyiambtbufcckwarjmqth==",
"reputation":"99"}]
Atributos
sha1,
md5, e
reputation são obrigatórias. Atributos
name em
sha256 são opcionais. É recomendável que você forneça o máximo de tipos de hash possíveis para um determinado arquivo. O motivo é que os produtos integrados podem não honrar alguns hashes.
A seguir está um exemplo de uma carga que define a reputação de um único certificado para confiável conhecido:
certReps = [{"sha1":"frATnSF1c5s8yw0REAZ4IL5qvSk=", "publicKeySha1":"udrarummyjtffybxaflkxzjhpao=",
"reputation":"99"}]]
Atributos
sha1 em
reputation são obrigatórias. Atributo
publicKeySha1 é opcional.