Dans certains cas, une mise à niveau vers ENS ATP 10.6.1 La mise à jour de décembre 2018 ou de février 2019 entraîne l’échec de l’envoi de fichiers de réputation inconnue à un appliance ATD correctement configuré pour la vérification. Dans ce contexte, la configuration correcte signifie que TIE, DXL et la connectivité ATD fonctionnent en général correctement.
L’exemple suivant illustre l’ordre des événements pour ATP activité pour le
Testfile.exe pièces. ATP exécute et analyse le fichier. L’analyse ATP se termine par une réputation finale de 50 et Confinement d’application dynamique (DAC) contient le fichier. Une fois l’analyse terminée, DAC libère le fichier, à condition que le fichier soit défini sur « ne pas bloquer ». Pour cet exemple, DAC est configuré pour contenir sur une réputation inconnue.
ATP le fichier journal d’activité :
mfeatp(9264.6356) Orchestrator.RealProtect.Activité : Überwachung von Prozess mit Prozess-ID 11784, Dateipfad C:\USERS\\DESKTOP\TestFile. exe>, durch Real Protect-Cloud-scanner
mfeatp(9264.6356) Orchestrator.DACSC.Activité : Anwendung [C:\USERS\\DESKTOP\TestFile. exe>] [PID = 11784] mit reputation 50 TSI von DAC-scanner eingeschlossen.
mfeatp(9264.6356) Orchestrator. action. Activity : folgende Aktion wurde für Datei C:\USERS\\DESKTOP\ TestFile. exe> mit réputation 50 ausgeführt : Isolieren
mfeatp(9264.6356) Orchestrator. action. Activity : Aktionsdetails :: Datei : TestFile. exe>, Modus : erzwingen, analyseur : on-Execute-Scan, Erkennungsname : ATP/suspect ! f474cbef3254, réputation : 50 [Unbekannt], ActionTaken : Isolieren Regel-ID : 0, Inhaltsversion : nicht verfügbar
mfeatp(9264.4352) Orchestrator. RepChangeListener. Activity : Real Protect-Cloud-scanner-Verfolgung abgeschlossen für Prozess-ID 11784, Datei c:\Users\\desktop\ TestFile. exe> mit Grund-ID 5
mfeatp(9264.6340) Orchestrator. RepChangeListener. Activity : Real Protect-Cloud-scanner-Verfolgung abgeschlossen für Prozess-ID 11784, Datei c:\Users\\desktop\ TestFile. exe> mit Grund-ID 5
mfeatp(9264.2840) Orchestrator. OES. Activity : stratégie AAC wird konfiguriert
mfeatp(9264.2840) Orchestrator. OES. Activity : Adaptiver Bedrohungsschutz ist aktiviert
mfeatp(9264.2840) Orchestrator.DACSC.Activité : folgende Aktion wurde für Datei C:\USERS\\DESKTOP\TestFile. exe> mit réputation 50 ausgeführt : aus Isolierung freigeben
Voici le journal de débogage ATP correspondant. Ce journal affiche une séquence similaire d’événements comme ci-dessus, avec ATP analyse et DAC contenant le fichier, mais fournit des détails supplémentaires :
mfeatp(9264.6356) Orchestrator. OES. Debug : Scanning Event, type d’événement : 6, acteur PID : 7924, nom d’acteur : C:\WINDOWS\EXPLORER. EXE, PID cible : 0, nom cible : C:\USERS\\DESKTOP\ TestFile. exe>
mfeatp(9264.6356) Orchestrator.NETTOYAGE JCM. Débogage : fichier C:\USERS\\DESKTOP\ réputation : 0 final : 0 résultat : NotInCache, Flags : 0x0000000000000000 type : 0 connectivité : 0
mfeatp(9264.6364) TicLib. ATD. Debug: Serveur de paramètres ATD ;
mfeatp(9264.6356) Orchestrator.JTI. Débogage : file C:\USERS\\DESKTOP\TestFile. exe> JTI réputation 50 règle 0 nom de menace, nettoyage JCM réputation 50, IsFinal 0, JTI durée de l’analyse (MS) = 118
mfeatp(9264.6348) Orchestrator.NETTOYAGE JCM. Débogage : analyse des événements système nettoyage JCM pour la section C:\USERS\\DESKTOP\TestFile. exe> PID 7924
mfeatp(9264.6356) Orchestrator. OES. Debug : exécution de l’analyse préfiltrée de dll
mfeatp(9264.6356) Orchestrator. OES. Debug : dll préfilter scanner Resume = > process : [C:\WINDOWS\EXPLORER. EXE]. Cible : [C:\USERS\\DESKTOP\TestFile. exe>]. Résultats : RPS-[1] RPD-[1] DAC-[1]
mfeatp(9264.9080) Orchestrator.RealProtectStatic. Débogage : analyse de fichier C:\USERS\\DESKTOP\ nettoyage jcm réputation 50 GTI réputation 0 MD5 507C84A15039A6ABF225F64B12504B80 usurpation d’identité 7924
mfeatp(9264.6356) Orchestrator.NETTOYAGE JCM. Débogage : mise à jour des données de télémétrie client Real Protect pour C:\USERS\\DESKTOP\ -temps d’analyse : 31, ID de modèle : 0, réputation LSSVM :-1593420
mfeatp(9264.6356) Orchestrator.NETTOYAGE JCM. Débogage : code de résultat UpdateAttributes : 0x00000000
mfeatp(9264.6356) Orchestrator. RealProtectStatic. Débogage : file C:\USERS\\DESKTOP\TestFile. exe> : RP static réputation 50 classification 2 nom de détection 0 nettoyage JCM réputation 50 IsFinal 0
mfeatp(9264.6356) Orchestrator. OES. Debug : Scanning Event, type d’événement : 4, acteur PID : 7924, nom d’acteur : C:\WINDOWS\EXPLORER. EXE, PID cible : 11784, nom de la cible : C:\USERS\\DESKTOP\ TestFile. exe>
mfeatp(9264.6348) Orchestrator.NETTOYAGE JCM. Débogage : analyse des événements système nettoyage JCM pour le processus C:\USERS\\DESKTOP\TestFile. exe> PID 7924
mfeatp(9264.6356) Orchestrator.NETTOYAGE JCM. Débogage : processus C:\USERS\\DESKTOP\TestFile. exeréputation > : 50 final : 0 résultat : 0x00000000, indicateurs : 0x0000000001000000 type : 1 connectivité : 1
mfeatp(9264.6356) Orchestrator.JTI. Débogage : processus C:\USERS\\DESKTOP\TestFile. exe> JTI réputation 50 règle 0 nom de menace, nettoyage JCM réputation 50, IsFinal 0, JTI durée de l’analyse (MS) = 2
mfeatp(9264.6356) Orchestrator.RealProtect. Débogage : MD5 pour le fichier C:\USERS\\DESKTOP\TestFile. exe>
mfeatp(9264.6356) Orchestrator.RealProtect. Déboguer : le processus avec l’ID de processus 11784 [nettoyage JCM fourni md5_buffer est 507C84A15039A6ABF225F64B12504B80, GTI réputation 0, NETTOYAGE JCM réputation 50] et chemin d’accès au fichier C:\USERS\\DESKTOP\TestFile. exe> sera transmis à Real Protect cloud pour l’analyse
mfeatp(9264.6356) Orchestrator.RealProtect. Activité : Real Protect cloud analyseur surveillera le processus avec l’ID de processus 11784, chemin d’accès au fichier C:\USERS\\DESKTOP\
mfeatp(9264.6356) Orchestrator. action. Debug : Orchestrator finalisation de la réputation pour C:\USERS\\DESKTOP\ TestFile. exe>
mfeatp(9264.6356) Orchestrator.DACSC.Activité : application [C:\USERS\\DESKTOP\TestFile. exe>] [PID = 11784] avec la réputation 50 est contenue dans l’analyseur DAC
mfeatp(9264.6356) Orchestrator.DACSC. Debug : DACBOScanner :: contenance () contient le résultat pour path = C:\USERS\\DESKTOP\TestFile. exe> et PID = 11784, BLError 0x0, Success = 1, DACResult = 0
mfeatp(9264.6356) Orchestrator. action. Debug : génération d’un événement pour l’objet C:\USERS\\DESKTOP\ TestFile. exe> avec réputation 50
mfeatp(9264.6356) Orchestrator. action. Activity : action entreprise sur le fichier C:\USERS\\DESKTOP\ TestFile. exe> avec la réputation 50 est le suivant : Isolieren
mfeatp(9264.6356) Orchestrator. action. Activity : détails de l’action :: Pièces >, Mode : erzwingen, analyseur : on-Execute-Scan, nom de détection : ATP/suspect ! f474cbef3254, réputation : 50 [Unbekannt], ActionTaken : ID de la règle Isolieren : 0, version du contenu : nicht verfügbar
Cette
TicLib.log contient des informations supplémentaires sur la demande de réputation qui est effectuée sur le serveur TIE. Le début de cet extrait de date indique que la demande a été envoyée au serveur TIE et à la réponse renvoyée.
L’entrée de réponse
"props":{"atdCandidate":1," indique que le fichier doit être transféré à ATD pour vérification.
mfeatp(9264.6364) TicLib. TIC. Debug : morpion accéder à l’état de la connexion DXL = csConnected [1]
mfeatp(9264.6364) TicLib. TIC. Debug : Tie [6364] demande charge active/McAfee/service/tie/file/reputation<{"hashes":[{"type":"sha1","value":"9HTL7zJUgReiTatOgcyP292zKio="},{"type":"md5","value":"UHyEoVA5pqvyJfZLElBLgA=="},{"type":"sha256","value":"aW92HPzVH0t+yugQM4fCYcUyEoPoRUdlxMwrAMkgifA="}]}>
mfeatp(9264.6364) TicLib. DXL. Debug : 2019-01-15 17:57 :32.588 [6364] syncRequet : envoi d’une demande à l’API
mfeatp(9264.6364) TicLib. TIC. Debug : Requête tie [6364] réponse<{"reputations":[{"createDate":1547571452,"trustLevel":0,"providerId":1,"attributes":{"2120340":"0"}},{"createDate":1547571452,"trustLevel":0,"providerId":3,"attributes":{"2101652":"0","2123156":"0","2098277":"0","2102165":"1547571452","2114965":"0","2111893":"17","2139285":"144959613005988168"}}],"props" : {"atdCandidate" : 1, "submitMetaData " : 1," serverTime " : 1547571452," masterServer " :";"}} >
mfeatp(9264.6364) TicLib. ATD. Debug : ATD de paramètres serveur ;
mfeatp(9264.6364) TicLib. TIC. Debug : TheControl :: OnTIEChange OldState = 1 NewState = 1
