En algunas circunstancias, una ampliación a ENS ATP 10.6.1 Las actualizaciones de diciembre de 2018 o de febrero de 2019 provocan un error al enviar archivos de reputación desconocida a una appliance de ATD configurada correctamente para la comprobación. En este contexto, configurada correctamente significa que la conectividad de TIE, DXL y ATD suele funcionar bien.
A continuación, se ofrece un ejemplo del orden de eventos de ATP actividad de la
Testfile.exe File. ATP ejecuta y analiza el archivo. El análisis de ATP concluye con una reputación final de 50 y Contención dinámica de aplicaciones (DAC) contiene el archivo. Una vez finalizado el análisis, DAC libera el archivo, siempre que el archivo esté establecido en "no bloquear". En este ejemplo, la DAC está configurada para contener una reputación de desconocida.
ATP archivo de registro de actividades:
mfeatp(9264.6356) Orchestrator.RealProtect.Actividad: Überwachung von Prozess MIT Prozess-ID 11784, Dateipfad C:\USERS\\DESKTOP\TESTFILE. exe>, durch Real Protect-Cloud-analizador
mfeatp(9264.6356) Orchestrator.DACSC.Actividad: ANWENDUNG [C:\USERS\\DESKTOP\TESTFILE. exe>] [PID = 11784] MIT reputación 50 TSI DAC CAD: analizador eingeschlossen.
mfeatp(9264.6356) Orchestrator. Action. Activity: Folgende Aktion wurde für fechai C:\USERS\\DESKTOP\ TESTFILE. exe> MIT reputación 50 ausgeführt: Isolieren
mfeatp(9264.6356) Orchestrator. Action. Activity: Aktionsdetails:: Fecha: TESTFILE. exe>, Modus: Erzwingen, Scanner: on-Execute-Scan, Erkennungsname: ATP/sospechoso! f474cbef3254, reputación: 50 [unbekannt], ActionTaken: Isolieren Regel-ID: 0, Inhaltsversion: nicht verfügbar
mfeatp(9264.4352) Orchestrator. RepChangeListener. Activity: real Protect-Cloud-analizador-Verfolgung abgeschlossen für Prozess-ID 11784, Datei c:\users\\desktop\ TESTFILE. exe> MIT Grund-ID 5
mfeatp(9264.6340) Orchestrator. RepChangeListener. Activity: real Protect-Cloud-analizador-Verfolgung abgeschlossen für Prozess-ID 11784, Datei c:\users\\desktop\ TESTFILE. exe> MIT Grund-ID 5
mfeatp(9264.2840) Orchestrator. OES. Activity: Directiva AAC wird konfiguriert
mfeatp(9264.2840) Orchestrator. OES. Activity: Adaptator Bedrohungsschutz IST aktiviert
mfeatp(9264.2840) Orchestrator.DACSC.Actividad: Folgende Aktion wurde für Datei C:\USERS\\DESKTOP\TESTFILE. exe> MIT reputación 50 ausgeführt: AUS Isolierung freigeben
El siguiente es el registro de depuración de ATP correspondiente. Este registro muestra una secuencia de eventos similar a la anterior, con ATP el análisis y la DAC que contienen el archivo, pero muestra más detalles:
mfeatp(9264.6356) Orchestrator. OES. Debug: Análisis de eventos, tipo de evento: 6, ID de actor PID: 7924, nombre de actor: C:\WINDOWS\EXPLORER. EXE, PID de destino: 0, nombre de destino: C:\USERS\\DESKTOP\ TESTFILE. exe>
mfeatp(9264.6356) Orchestrator.JCM. Depurar: archivo C:\USERS\\DESKTOP\ reputación: 0 final: 0 resultado: NotInCache, marcas: 0x0000000000000000 tipo: 0, conectividad: 0
mfeatp(9264.6364) TicLib. ATD. Debug: ATD Setting Server ;
mfeatp(9264.6356) Orchestrator.JTI. Depurar: archivo C:\USERS\\DESKTOP\TESTFILE. exe> JTI reputación 50 regla 0 nombre de amenaza, JCM reputación 50, IsFinal 0, JTI tiempo de análisis (MS) = 118
mfeatp(9264.6348) Orchestrator.JCM. Debug: Análisis de eventos del sistema de JCM para la sección C:\USERS\\DESKTOP\TESTFILE. exePID de > 7924
mfeatp(9264.6356) Orchestrator. OES. Debug: ejecutando análisis de filtrado previo de dll
mfeatp(9264.6356) Orchestrator. OES. Debug: dll Resumen del analizador de filtro prefiltrado = > proceso: [C:\WINDOWS\EXPLORER. EXE]. Destino: [C:\USERS\\DESKTOP\TESTFILE. exe>]. Resultados: RPS-[1] RPD-[1] DAC-[1]
mfeatp(9264.9080) Orchestrator.RealProtectStatic. Depurar: analizando archivo C:\USERS\\DESKTOP\ JCM reputación 50 GTI reputación 0 MD5 507C84A15039A6ABF225F64B12504B80 suplantación PID 7924
mfeatp(9264.6356) Orchestrator.JCM. Depurar: actualización de datos de telemetría de cliente de real Protect para C:\USERS\\DESKTOP\: tiempo de análisis: 31, ID de modelo: 0, reputación de LSSVM:-1593420
mfeatp(9264.6356) Orchestrator.JCM. Debug: código de resultado UpdateAttributes: 0x00000000
mfeatp(9264.6356) Orchestrator. RealProtectStatic. Depurar: archivo C:\USERS\\DESKTOP\TESTFILE. exe>: RP static reputación 50 clasificación 2 Silent 0 nombre de detección JCM reputación 50 IsFinal 0
mfeatp(9264.6356) Orchestrator. OES. Debug: Análisis de eventos, tipo de evento: 4, ID de actor PID: 7924, nombre de actor: C:\WINDOWS\EXPLORER. EXE, PID de destino: 11784, nombre de destino: C:\USERS\\DESKTOP\ TESTFILE. exe>
mfeatp(9264.6348) Orchestrator.JCM. Debug: Análisis de eventos del sistema de JCM para el proceso C:\USERS\\DESKTOP\TESTFILE. exePID de > 7924
mfeatp(9264.6356) Orchestrator.JCM. Depurar: proceso C:\USERS\\DESKTOP\TESTFILE. exereputación de >: 50 final: 0 resultado: 0x00000000, marcas: 0x0000000001000000 tipo: 1 Conectividad: 1
mfeatp(9264.6356) Orchestrator.JTI. Depurar: proceso C:\USERS\\DESKTOP\TESTFILE. exe> JTI reputación 50 regla 0 nombre de amenaza, JCM reputación 50, IsFinal 0, JTI tiempo de análisis (MS) = 2
mfeatp(9264.6356) Orchestrator.RealProtect. Depurar: se ha obtenido correctamente MD5 para el archivo C:\USERS\\DESKTOP\TESTFILE. exe>
mfeatp(9264.6356) Orchestrator.RealProtect. Depurar: proceso con el ID de proceso 11784 [JCM proporcionado md5_buffer es 507C84A15039A6ABF225F64B12504B80, GTI reputación 0, JCM reputación 50] y ruta de archivo C:\USERS\\DESKTOP\TESTFILE. exe> se transferirá a la nube de real Protect para su análisis
mfeatp(9264.6356) Orchestrator.RealProtect. Actividad: Real Protect analizador en la nube se monitor proceso con ID de proceso 11784, ruta de archivo C:\USERS\\DESKTOP\
mfeatp(9264.6356) Orchestrator. Action. Debug: Orchestrator finalizando la reputación para C:\USERS\\DESKTOP\ TESTFILE. exe>
mfeatp(9264.6356) Orchestrator.DACSC.Actividad: aplicación [C:\USERS\\DESKTOP\TESTFILE. exe>] [PID = 11784] con la reputación 50 está contenida en el analizador DAC
mfeatp(9264.6356) Orchestrator.DACSC. Debug: DACBOScanner:: contener () contiene el resultado de path = C:\USERS\\DESKTOP\TESTFILE. exe> y PID = 11784, BLError 0X0, correcto = 1, DACResult = 0
mfeatp(9264.6356) Orchestrator. Action. Debug: generación de eventos para el objeto C:\USERS\\DESKTOP\ TESTFILE. exe> con reputación 50
mfeatp(9264.6356) Orchestrator. Action. Activity: acción realizada en el archivo C:\USERS\\DESKTOP\ TESTFILE. exe> con la reputación 50 es: Isolieren
mfeatp(9264.6356) Orchestrator. Action. Activity: detalles de la acción: Archivo >, Mode: Erzwingen, Scanner: on-Execute-Scan, nombre de detección: ATP/sospechoso! f474cbef3254, reputación: 50 [unbekannt], ActionTaken: Isolieren ID de regla: 0, versión de contenido: nicht verfügbar
Lo
TicLib.log contiene más detalles sobre la solicitud de reputación que se realiza a la servidor de TIE. El inicio de este fragmento de código muestra la solicitud realizada a la servidor de TIE y la respuesta devuelta.
La entrada de respuesta
"props":{"atdCandidate":1," indica que el archivo se debe reenviar a ATD para su comprobación.
mfeatp(9264.6364) TicLib. TIC. Debug: TIC Get DXL estado de conexión = csConnected [1]
mfeatp(9264.6364) TicLib. TIC. Debug: Vincular [6364] solicitud carga útil de/McAfee/Service/TIE/File/Reputation<{"hashes":[{"type":"sha1","value":"9HTL7zJUgReiTatOgcyP292zKio="},{"type":"md5","value":"UHyEoVA5pqvyJfZLElBLgA=="},{"type":"sha256","value":"aW92HPzVH0t+yugQM4fCYcUyEoPoRUdlxMwrAMkgifA="}]}>
mfeatp(9264.6364) TicLib. DXL. Debug: 2019-01-15 17:57:32.588 [6364] syncRequet: enviando solicitud a la API
mfeatp(9264.6364) TicLib. TIC. Debug: Solicitud de empate [6364] respuesta<{"reputations":[{"createDate":1547571452,"trustLevel":0,"providerId":1,"attributes":{"2120340":"0"}},{"createDate":1547571452,"trustLevel":0,"providerId":3,"attributes":{"2101652":"0","2123156":"0","2098277":"0","2102165":"1547571452","2114965":"0","2111893":"17","2139285":"144959613005988168"}}],"props": {"atdCandidate": 1, "submitMetaData ": 1," serverTime ": 1547571452," masterServer ":";"}} >
mfeatp(9264.6364) TicLib. ATD. Debug: ATD configuración del servidor ;
mfeatp(9264.6364) TicLib. TIC. Debug: control:: OnTIEChange oldState = 1 newState = 1
