In alcune circostanze, un upgrade a ENS ATP 10.6.1 L'aggiornamento di dicembre 2018 o febbraio 2019 genera un errore durante l'invio di file di reputazione sconosciuta a ATD appliance configurati correttamente per la verifica. In questo contesto, configurato correttamente significa che la connettività TIE, DXL e ATD in genere funzionano bene.
Di seguito è riportato un esempio dell'ordine degli eventi per ATP attività per il
Testfile.exe file. ATP esegue e sottopone a scansione il file. La scansione ATP si conclude con una reputazione finale di 50 e Contenimento dinamico delle applicazioni (DAC) contiene il file. Al termine della scansione, DAC rilascia il file, a condizione che il file sia impostato su "non bloccare". Per questo esempio, DAC è configurato in modo da contenere una reputazione sconosciuta.
File di registro attività ATP:
mfeatp(9264.6356) Orchestrat.RealProtect.Attività: Überwachung von Prozess mit Prozess-ID 11784, Dateipfad C:\USERS\\DESKTOP\TestFile. exe>, durch Real Protect-cloud-scanner
mfeatp(9264.6356) Orchestrat.DACSC.Attività: Anwendung [C:\USERS\\DESKTOP\TestFile. exe>] [PID = 11784] mit Reputation 50 ist von DAC-scanner eingeschlossen.
mfeatp(9264.6356) Orchestral. Action. Activity: folgende Aktion wurde für Datei C:\Users\\DESKTOP\ TestFile. exe> Reputazione mit 50 ausgeführt: Isolieren
mfeatp(9264.6356) Orchestral. Action. Activity: Aktionsdetails:: Datei TestFile. exe>, Modus: erzwingen, scanner: on-Execute-Scan, Erkennungsname: ATP/sospetto! f474cbef3254, reputazione: 50 [Unbekannt], ActionTaken: Isolieren Regel-ID: 0, Inhaltsversion: nicht verfügbar
mfeatp(9264.4352) Orchestrat. RepChangeListener. Activity: Real Protect-cloud-scanner-Verfolgung abgeschlossen für Prozess-ID 11784, Datei c:\Users\ \Desktop\TestFile. exe> mit Grund-ID 5
mfeatp(9264.6340) Orchestrat. RepChangeListener. Activity: Real Protect-cloud-scanner-Verfolgung abgeschlossen für Prozess-ID 11784, Datei c:\Users\ \Desktop\TestFile. exe> mit Grund-ID 5
mfeatp(9264.2840) Orchestrat. wird. attività: AAC Policy konfiguriert
mfeatp(9264.2840) Orchestrat....-Adaptiver Bedrohungsschutz ist aktiviert
mfeatp(9264.2840) Orchestrat.DACSC.Attività: folgende Aktion wurde für Datei C:\USERS\\DESKTOP\TestFile. exe> Reputazione mit 50 ausgeführt: aus Isolierung freigeben
Di seguito è riportato il registro di debug ATP corrispondente. Questo registro mostra una sequenza simile di eventi come sopra, con ATP scansione e DAC contenente il file, ma elenca ulteriori dettagli:
mfeatp(9264.6356) Orchestrat. non. debug: evento di scansione, tipo di evento: 6, attore PID: 7924, nome attore: C:\windows\explorer. EXE, PID di destinazione: 0, nome destinazione: C:\USERS\\DESKTOP\ TestFile. exe>
mfeatp(9264.6356) Orchestrat.JCM. Debug: file C:\USERS\\DESKTOP\ reputazione: 0 finale: 0 risultato: NotInCache, Flags: 0x0000000000000000 tipo: 0 connettività: 0
mfeatp(9264.6364) TicLib. ATD. debug: ATD setting server ;
mfeatp(9264.6356) Orchestrat.JTI. Debug: file C:\USERS\\DESKTOP\TestFile. exe> Reputazione ITC 50 regola 0 nome minaccia, reputazione JCM 50, stato finale 0, tempo di scansione ITC (MS) = 118
mfeatp(9264.6348) Orchestrat.JCM. Debug: JCM di scansione eventi di sistema per la sezione C:\USERS\\DESKTOP\TestFile. exe> PID 7924
mfeatp(9264.6356) Orchestrator. è. debug: esecuzione della scansione del prefiltro dll
mfeatp(9264.6356) Orchestral. non. debug: dll Prefilter scanner Summary = > processo: [C:\windows\explorer. EXE]. Destinazione: [C:\USERS\\DESKTOP\TestFile. exe>]. Risultati: RPS-[1] RPD-[1] DAC-[1]
mfeatp(9264.9080) Orchestrat.RealProtectStatic. Debug: scansione file C:\USERS\\DESKTOP\ JCM reputation 50 GTI Reputation 0 MD5 507C84A15039A6ABF225F64B12504B80 Impersonation PID 7924
mfeatp(9264.6356) Orchestrat.JCM. Debug: aggiornamento dei dati Real Protect client di telemetria per C:\USERS\\DESKTOP\ -tempo di scansione: 31, ID modello: 0, LSSVM Reputazione:-1593420
mfeatp(9264.6356) Orchestrat.JCM. Debug: UpdateAttributes codice risultato: 0x00000000
mfeatp(9264.6356) Orchestrat. RealProtectStatic. Debug: file C:\USERS\\DESKTOP\TestFile. exe>: RP static Reputation 50 Classification 2 Silent 0 rilevamento nome JCM reputazione 50 0
mfeatp(9264.6356) Orchestral. non. debug: evento di scansione, tipo di evento: 4, attore PID: 7924, nome attore: C:\windows\explorer. EXE, PID di destinazione: 11784, nome destinazione: C:\USERS\\DESKTOP\ TestFile. exe>
mfeatp(9264.6348) Orchestrat.JCM. Debug: JCM di scansione degli eventi di sistema per il processo C:\USERS\\DESKTOP\TestFile. exe> PID 7924
mfeatp(9264.6356) Orchestrat.JCM. Debug: processo C:\USERS\\DESKTOP\TestFile. exe> reputazione: 50 finale: 0 risultato: 0x00000000, bandiere: 0x0000000001000000 tipo: 1 connettività: 1
mfeatp(9264.6356) Orchestrat.JTI. Debug: processo C:\USERS\\DESKTOP\TestFile. exe> Reputazione ITC 50 regola 0 nome minaccia, reputazione JCM 50, stato finale 0, tempo di scansione ITC (MS) = 2
mfeatp(9264.6356) Orchestrat.RealProtect. Debug: ha ottenuto con successo MD5 per il file C:\USERS\\DESKTOP\TestFile. exe>
mfeatp(9264.6356) Orchestrat.RealProtect. Debug: processo con ID processo 11784 [JCM fornito md5_buffer è 507C84A15039A6ABF225F64B12504B80, GTI Reputation 0, JCM reputazione 50] e percorso file C:\USERS\\DESKTOP\TestFile. exe> verrà passato a Real Protect cloud per la scansione
mfeatp(9264.6356) Orchestrat.RealProtect. Attività: Real Protect cloud programma di scansione eseguirà il monitoraggio del processo con ID processo 11784, percorso file C:\USERS\\DESKTOP\
mfeatp(9264.6356) Orchestral. Action. debug: orchestratore finalizzata reputazione per C:\Users\\DESKTOP\ TestFile. exe>
mfeatp(9264.6356) Orchestrat.DACSC.Attività: applicazione [C:\USERS\\DESKTOP\TestFile. exe>] [PID = 11784] con la reputazione 50 è contenuto dallo scanner DAC
mfeatp(9264.6356) Orchestrat.DACSC. Debug: DACBOScanner:: contain () contiene il risultato per path = C:\USERS\\DESKTOP\TestFile. exe> e PID = 11784, BLError 0x0, Success = 1, DACResult = 0
mfeatp(9264.6356) Orchestral. Action. debug: generazione evento per oggetto C:\Users\\DESKTOP\ TestFile. exe> con reputazione 50
mfeatp(9264.6356) Orchestral. Action. Activity: azione intrapresa sul file C:\Users\\DESKTOP\ TestFile. exe> con la reputazione 50 è: Isolieren
mfeatp(9264.6356) Orchestral. Action. Activity: dettagli azione:: File >, Modalità: erzwingen, scanner: on-Execute-Scan, nome rilevamento: ATP/sospetto! f474cbef3254, reputazione: 50 [Unbekannt], ActionTaken: Isolieren ID regola: 0, versione contenuto: nicht verfügbar
Il
TicLib.log contiene ulteriori dettagli sulla richiesta di reputazione che viene apportata al server TIE. L'inizio di questo frammento mostra la richiesta apportata al server TIE e la risposta restituita.
Voce di risposta
"props":{"atdCandidate":1," indica che il file deve essere inoltrato a ATD per la verifica.
mfeatp(9264.6364) TicLib. TIC. debug: TIC Ottieni lo stato della connessione DXL = csConnected [1]
mfeatp(9264.6364) TicLib. TIC. debug: Richiesta Tie [6364] payload/McAfee/Service/Tie/file/Reputation<{"hashes":[{"type":"sha1","value":"9HTL7zJUgReiTatOgcyP292zKio="},{"type":"md5","value":"UHyEoVA5pqvyJfZLElBLgA=="},{"type":"sha256","value":"aW92HPzVH0t+yugQM4fCYcUyEoPoRUdlxMwrAMkgifA="}]}>
mfeatp(9264.6364) TicLib. dxl. debug: 2019-01-15 17:57:32.588 [6364] syncRequet: invio della richiesta all'API
mfeatp(9264.6364) TicLib. TIC. debug: Richiesta Tie [6364] risposta<{"reputations":[{"createDate":1547571452,"trustLevel":0,"providerId":1,"attributes":{"2120340":"0"}},{"createDate":1547571452,"trustLevel":0,"providerId":3,"attributes":{"2101652":"0","2123156":"0","2098277":"0","2102165":"1547571452","2114965":"0","2111893":"17","2139285":"144959613005988168"}}],"props": {"atdCandidate": 1, "submitMetaData ": 1," serverTime ": 1547571452," masterServer ":";"}} >
mfeatp(9264.6364) TicLib. ATD. debug: ATD setting server ;
mfeatp(9264.6364) TicLib. TIC. debug: dicitura tasto:: OnTIEChange oldState = 1 NewState = 1
