在某些情况下,升级至 ENS ATP10.6.12018 年 12 月或 2019 年 2 月更新导致无法将未知信誉的文件提交到正确配置的 ATD 装置进行检查。 在这种情况下,正确配置意味着 TIE、DXL 和 ATD 连接通常运行正常。
以下是事件顺序的示例,ATP活动的顺序。
Testfile.exe文件。 ATP执行并扫描文件。 最终ATP信誉为 50 的扫描对象 (DAC) 动态应用程序封闭包含该文件。 扫描完成后,DAC 会发布文件,只要文件设置为"不阻止"。 对于本例,DAC 配置为包含未知信誉。
ATP 活动日志文件:
mfeatp(9264.6356) Orchestrator。RealProtect。活动: BERwach会 von Prozess mit Prozess-ID 11784 , Dateipfad C:\USERS\\DESKTOP\Testfile.exe> 、Real Protect-Cloud-Scanner
mfeatp(9264.6356) Orchestrator。DACSC。活动: Anwendcs [C:\USERS\\DESKTOP\Testfile.exe>] [PID = 11784] mit Reputation 50 ist von DAC-Scanner eingeschlossen 。
mfeatp(9264.6356) Orchestrator.Action.Activity: Folgende Aktion wurde f来源 Datei C:\USERS\\DESKTOP\ Testfile.exe> Mit Reputation 50 ausgefhrt: Iso 以图元
mfeatp(9264.6356) Orchestrator.Action.Activity: Aktionsdetails:: Datei: Testfile.exe> 、 Modus: Erzwingen 、 扫描程序: 执行扫描 、 Erkenn以name: ATP/Suspect!f474cbef3254 、 信誉: 50 [Unbekannt] 、 ActionTaken: Isogelen Regel-ID: 0 、 Indistsversion: Nigel verftakengbar
mfeatp(9264.4352) Orchestrator.RepChangeListener.Activity: Real Protect-Cloud-Scanner-Verfoschschlossen f来源 Prozess-ID 11784 , Datei c:\users\\desktop\ Testfile.exe> Mit Nd-ID 5
mfeatp(9264.6340) Orchestrator.RepChangeListener.Activity: Real Protect-Cloud-Scanner-Verfoschschlossen f来源 Prozess-ID 11784 , Datei c:\users\\desktop\ Testfile.exe> Mit Nd-ID 5
mfeatp(9264.2840) Orchestrator.OEMS.Activity: AAC 策略 wird konfiguriert
mfeatp(9264.2840) Orchestrator.OEMS.Activity: 自适应程序 Bedrohungsschutz 为 Aktiviert
mfeatp(9264.2840) Orchestrator。DACSC。活动: Folgende Aktion wurde f来源 Datei C:\USERS\\DESKTOP\Testfile.exe> mit Reputation 50 ausgefhrt: Aus Isofrigeben
以下为相应的 ATP 日志。 此日志显示的事件顺序与上面类似,ATP扫描内容和 DAC 包含文件,但列出了更多详细信息:
mfeatp(9264.6356) Orchestrator.PIDS.Debug: 扫描事件, 事件类型: 6 , 操作者 Pid: 7924 ,操作者名称: C:\WINDOWS\EXPLORER 。EXE , 目标 Pid: 0 , 目标名称: C:\USERS\\DESKTOP\ Testfile.exe>
mfeatp(9264.6356) Orchestrator。JCM.调试: 文件 C:\USERS\\DESKTOP\ reputation: 0 最终: 0 结果: NotInCache,标记: 0x0000000000000000类型: 0 连接: 0
mfeatp(9264.6364) TicLib.ATD.Debug: ATD 设置服务器;
mfeatp(9264.6356) Orchestrator。JTI.调试: 文件 C:\USERS\\DESKTOP\Testfile.exe> JTI 信誉 50 规则 0 威胁名称、JCM 信誉 50、IsFinal 0、JTI 扫描时间(毫秒) =118
mfeatp(9264.6348) Orchestrator。JCM.调试: C:\USERS\\DESKTOP\部分为 JCM 系统事件扫描Testfile.exe> PID 7924
mfeatp(9264.6356) Orchestrator.OEMS.Debug: 运行 dll prefilter 扫描
mfeatp(9264.6356) Orchestrator.SCANNERS.Debug: DLL Prefilter 扫描程序摘要 =>进程: [C:\WINDOWS\EXPLORER。EXE")。 目标: [C:\USERS\\DESKTOP\Testfile.exe>]. 结果: RPS-[1] RPD-[1] DAC-[1]
mfeatp(9264.9080) Orchestrator。RealProtectStatic.调试: 扫描文件 C:\USERS\\DESKTOP\ JCM 信誉50 GTI 信誉 0 md5 507C84A15039A6ABF225F64B12504B80 模拟 pid 7924
mfeatp(9264.6356) Orchestrator。JCM.调试: 更新 C:\USERS\\DESKTOP\ - 扫描时间: 31,型号 ID: 0, LSSVM 信誉: -1593420
mfeatp(9264.6356) Orchestrator。JCM.调试: UpdateAttributes 结果代码:0x00000000
mfeatp(9264.6356) Orchestrator.RealProtectStatic.调试: 文件 C:\USERS\\DESKTOP\Testfile.exe> : RP 静态信誉 50 分类 2 静默 0 检测项名称 JCM 信誉 50 IsFinal 0
mfeatp(9264.6356) Orchestrator.PIDS.Debug: 扫描事件, 事件类型: 4 , 操作者 Pid: 7924 ,操作者名称: C:\WINDOWS\EXPLORER 。EXE , Target Pid: 11784 ,目标名称: C:\USERS\\DESKTOP\ Testfile.exe>
mfeatp(9264.6348) Orchestrator。JCM.调试: 进程 C:\USERS\\DESKTOP\ 的JCM 系统事件扫描Testfile.exe> PID 7924
mfeatp(9264.6356) Orchestrator。JCM.调试: 进程 C:\USERS\\DESKTOP\Testfile.exe>信誉: 50 最终: 0 结果: 0x00000000,标记: 0x0000000001000000 类型: 1 连接: 1
mfeatp(9264.6356) Orchestrator。JTI.调试: 进程 C:\USERS\\DESKTOP\Testfile.exe> JTI 信誉 50 规则 0 威胁名称、JCM 信誉 50、IsFinal 0、JTI 扫描时间(毫秒) =2
mfeatp(9264.6356) Orchestrator。RealProtect.调试: 已成功获得文件 C:\USERS\\DESKTOP\ 的md5Testfile.exe>
mfeatp(9264.6356) Orchestrator。RealProtect.调试: 进程 ID 为 11784 [JCM 提供 md5_buffer 为 507C84A15039A6ABF225F64B12504B80 , gti 信誉为 0 ,JCM信誉 50] 和文件路径 C:\USERS\\DESKTOP\Testfile.exe>将被传递到 Real Protect 云进行扫描
mfeatp(9264.6356) Orchestrator。RealProtect.活动: Real Protect云扫描程序将监控进程 ID 为 11784 的进程,文件路径 C:\USERS\\DESKTOP\
mfeatp(9264.6356) Orchestrator.Action.Debug: Orchestrator 正在最终确定 C:\USERS\\DESKTOP\ 的信誉Testfile.exe>
mfeatp(9264.6356) Orchestrator。DACSC。活动: 应用程序 [C:\USERS\\DESKTOP\Testfile.exe> DAC 扫描程序已包含信誉为 50 的 [PID = 11784]
mfeatp(9264.6356) Orchestrator。DACSC.调试: DACBOScanner::Contain() 包含路径 = C:\USERS\\DESKTOP\ 的结果Testfile.exe>和 PID = 11784 ,BLError 0x0,成功 = 1,DACResult = 0
mfeatp(9264.6356) Orchestrator.Action.Debug: 为对象 C:\USERS\\DESKTOP\ 生成事件Testfile.exe>信誉为 50 的
mfeatp(9264.6356) Orchestrator.Action.Activity: 对文件 C:\USERS\\DESKTOP\ 采取的操作Testfile.exe>信誉为 50 的映像为: Iso以该信誉
mfeatp(9264.6356) Orchestrator.Action.Activity: 操作详细信息: : 文件:> 、 模式: Erzwingen 、 扫描程序: 执行时扫描 、 检测项名称: ATP/Suspect!f474cbef3254 、 信誉: 50 [Unbekannt] 、 ActionTaken: Isotakenen 规则 ID: 0 , 内容版本: Nitaken verftakengbar
TicLib.log包含有关正对服务器进行的信誉请求的TIE 服务器。 此不活动显示对系统的请求TIE 服务器返回的响应。
响应条目
"props":{"atdCandidate":1,"表示文件需要转发至 ATD 进行检查。
mfeatp(9264.6364) TicLib.TIC.Debug: TIC Get Dxl 连接状态 = csConnected[1]
mfeatp(9264.6364) TicLib.TIC.Debug: TIE [6364] 请求/mcafee/service/tie/file/reputation 负载<{"hashes":[{"type":"sha1","value":"9HTL7zJUgReiTatOgcyP292zKio="},{"type":"md5","value":"UHyEoVA5pqvyJfZLElBLgA=="},{"type":"sha256","value":"aW92HPzVH0t+yugQM4fCYcUyEoPoRUdlxMwrAMkgifA="}]}>
mfeatp(9264.6364) TicLib.DXL.Debug: 2019-01-15 17:57:32.588[6364] syncRequet: 正在向 api 发送请求
mfeatp(9264.6364) TicLib.TIC.Debug: TIE 请求 [6364] 响应<{"reputations":[{"createDate":1547571452,"trustLevel":0,"providerId":1,"attributes":{"2120340":"0"}},{"createDate":1547571452,"trustLevel":0,"providerId":3,"attributes":{"2101652":"0","2123156":"0","2098277":"0","2102165":"1547571452","2114965":"0","2111893":"17","2139285":"144959613005988168"}}],"属性":{"atdCandidate":1,submitMetaData":1,"serverTime":1547571452,"masterServer":";"}}>
mfeatp(9264.6364) TicLib.ATD.Debug: ATD 设置服务器;
mfeatp(9264.6364) TicLib.TIC.Debug:Control::onTIEChange 旧状态 = 1 newState = 1
