Advanced Threat Defense 4.2 modifiche all'interfaccia di gestione e all'utilizzo della porta Internet del malware

Articoli tecnici ID: KB90022
Ultima modifica: 29/09/2020

Ambiente

McAfee Advanced Threat Defense (ATD) 4.x

Riepilogo

ATD 4.0 e 3.x
Porta dell'interfaccia di gestione (MGMT) in ATD 3.x e 4.0 è stato utilizzato per traffico potenzialmente dannoso o sporco. ATD 3.x e 4.0 ha utilizzato la porta MGMT con la configurazione Preferito e Alternativo Server DNS, come indicato di seguito:

Il traffico VM di attivazione viene inviato dalla porta dell'interfaccia di gestione, indipendentemente dall'impostazione. La VM di attivazione viene utilizzata quando si crea il profilo VM.
Le ricerche DNS per i download di URL non utilizzano la porta di interfaccia del malware. Utilizzano la porta dell'interfaccia di gestione.
Le ricerche DNS non utilizzano il DNS malware impostazione. Utilizzano il Preferito e alternativo Server DNS.
Il traffico download URL viene eseguito tramite l'interfaccia di gestione, indipendentemente dall'impostazione della porta di interfaccia del malware.

Nota Quando un esempio di URL viene inviato a ATD, ATD prima convalida l'URL utilizzando i selettori in basso e quindi la sandbox prima che inizi a eseguire la scansione, come indicato nel KB89334. Il processo di convalida è costituito da un nome host DNS per l'URL, seguito dal download del contenuto dall'URL. Sia la ricerca DNS che i processi di download vengono eseguiti tramite la porta MGMT.

ATD 4.2 e versioni successive
ATD 4.2 impedisce l'utilizzo dell'interfaccia MGMT per traffico potenzialmente dannoso o sporco:

Traffico DNS Dirty: questo traffico include
- Ricerche DNS per scaricare URL
- Traffico dalla VM sandbox per l'analisi
- Traffico dalla VM per l'attivazione, in cui è possibile attivare Microsoft Windows e Microsoft Office.
Questo traffico viene inviato al malware server DNS utilizzando la porta di interfaccia del malware. Se il DNS del malware non è impostato, non viene eseguita alcuna ricerca DNS e l'URL download non riesce.
Altri traffici sporchi: tutti gli altri traffici sporchi da/verso la VM sandbox, e da/verso la VM per l'attivazione, seguono l'impostazione della porta dell'interfaccia del malware.

IMPORTANTE È possibile assegnare la porta Internet del malware a uno qualsiasi di MGMT, intfport 1 intfport 2 e intfport 3. Se si configura la porta MGMT come porta Internet del malware, il traffico sporco viene comunque inviato utilizzando la porta MGMT in ATD 4.2 e versioni successive.

Per separare il traffico sporco dalla rete di gestione, utilizzare la porta MGMT solo per la gestione, quindi assegnare la porta Internet malware a intfport 1, 2 o 3.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Advanced Threat Defense 4.8.x
Advanced Threat Defense 4.6.x (EOL)
Advanced Threat Defense 4.4.x (EOL)
Advanced Threat Defense 4.2.x (EOL)
Advanced Threat Defense 4.0.x (EOL)

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

English United States
Spanish Spain
French
Italian
Portuguese Brasileiro

Knowledge Center

Advanced Threat Defense 4.2 modifiche all'interfaccia di gestione e all'utilizzo della porta Internet del malware

Ambiente

Riepilogo

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

Advanced Threat Defense 4.2 modifiche all'interfaccia di gestione e all'utilizzo della porta Internet del malware

Ambiente

Riepilogo

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title