I file sconosciuti vengono segnalati come non disponibili
Articoli tecnici ID:
KB94664
Ultima modifica: 23/09/2021
Ambiente
Server McAfee Threat Intelligence Exchange (TIE) 3.x
Problema
Vengono visualizzati file sconosciuti nella pagina reputazione TIE, segnalati come:
NOT Available
I seguenti errori vengono registrati nella tieserver.log (/var/McAfee/tieserver/logs/) Quando il debug è attivato:
DETTAGLIO {2021-04-30 10:51:38969} [DxlServiceRequest-default-thread-116] (JsonUtil. Java: 95)-traceId: {884f1360-F090-4D57-968C-7e6041b86983}
-risposta:/McAfee/Service/Tie/file/info : {"risultati": [{"gtiReputationLastRefresh": 1619779492762, "enterpriseReputationLastRefresh": 1619779492762,
"enterpriseCount": 1, "prevalente": falso, "productName": "Trace EDR", "productVersion": "1.0.1.23"," azienda ":" McAfee "," versione ":"1.0.1.23"," nomi ":
["DataGenerator-3bc99d0f-5c39-48Ca-b07a-721ad7d6c047. exe"], "MD5": "5DfNKV2T3qLXP1pOm4Y3vg = =",
"SHA256": "0aGBPbO + oozjZLM6RSbVN1HUxbI + kfYIU1JrRU5jUWY =", "certSha1": "",
"profilerFlags": "3001a5:0; 3002a5:0; 3003a5:0; 300465:6A10; 3005a5:20; 3006a5:1d73dacd68a31c2; 300765:1d21556d1e54500; 300865:
fffffffffffffffc; 300965:0; 300a65:0; 300b65:10; 300c65:0; 300da5: fffffffffffffffe; 300e65:20604022a2e; 300f65:40307292c; 301065:6; 301165:4F; 301265:
4; 301365:0; 301465:3E00; 301565:220; 301665:870; 3017a5:10020; 3019a5:700000004; 301a65:7597714d00420006; 301b65:
323e828ec8348; 301c65:7a4330bb302ba456; 3ffea4:0; 3fffa8:3b49000000320100; "," firstContact ": 1619779492762," lastUpdate ": 1619779499444,
"lastAccess": 1619779492762, "fileNameCount": 1, "filePathCount": 1, "filePaths": ["C:\\Users\\obfuscated\\Desktop\\ MAR_threat_generator_maker_ (1) \\threat-generator-maker\\output\\windows\\amd64\\DataGenerator\\DataGenerator-3bc99d0f-5c39-48Ca-b07a-721ad7d6c047. exe"]," dimensione ": 27152," signedBits ": 0,
"detectionCount": 0, "localRepMin": 0, "localRepMax": 0, "localRepSum": 0, "localRepCount": 0, "promptRepMin": 0, "promptRepMax": 0, "promptRepSum": 0, "promptRepCount": 0, "parentRepMin": 50,
"parentRepMax": 50, "parentRepSum": 50, "parentRepCount": 1, "goodRepCount": 0, "badRepCount": 0, "childrenCount": 0, "urlRep": {}, "filetype": 18, "Priority": 0, "fileFirstAgentGuid": "{1c7252ed-4c9c-4CD1-a2ba-117f4dd1a5f5}", "fileparents": ["zONcD1uXCxouGgiSpgWNbUxtkcM ="], "gtiReputation": 0, "enterpriseReputation": 0, "SHA1": "8FSJPNhqBLojSLy53yG1/ZGblPs ="}]}
I seguenti errori vengono registrati nel sistema client nella TicLib.log ( C:\ProgramData\McAfee\Endpoint Security\Logs):
2021-04-30 10:45:01.708Z | Debug | TicLib | mfeatp | 4024 | 7112 | TIC | TIC (0) | Tie [7112] Richiedi/McAfee/Service/Tie/file/update_metadata payload <{"hashes":[{"type":"sha1","value":
"8FSJPNhqBLojSLy53yG1/ZGblPs ="}, {"Type": "MD5", "value": "5DfNKV2T3qLXP1pOm4Y3vg = ="}, {"Type": "SHA256", "value": "0aGBPbO + oozjZLM6RSbVN1HUxbI + kfYIU1JrRU5jUWY ="}],
"localRep": 50,"filetype": 18, "Name": "DataGenerator-3bc99d0f-5c39-48Ca-b07a-721ad7d6c047. exe", "Path": "C:\\Users\\obfuscated\\Desktop\\ MAR_threat_generator_maker_ (1)
\\threat-generator-maker\\output\\windows\\amd64\\DataGenerator\\DataGenerator-3bc99d0f-5c39-48Ca-b07a-721ad7d6c047. exe"," localRepRuleId ": 0," signedBits ": 0,
"parentLocalRep": 50, "parentSha1": "zONcD1uXCxouGgiSpgWNbUxtkcM =", "actorLocalRep": 99, "actorSha1": "cuJ8aHitR1BdbZs3DFwODavUTm0 =", "companyName": "McAfee", "productName":
"Trace EDR", "productVersion": "1.0.1.23"," versione ":"1.0.1.23"," osVersion ": 42949672960," contentVersion ": 419116240322166785," serverTime ": 1619779492," size ": 27152," jtiAvProductId ":
28622, "ruleEnforcing": 1, "objectType": 1, "submitMetaData": 1, "profilerFlags": "1A5:0; 2A5:0; 3A5:0; 465:6A10; 5A5:20; 6A5:1d73dacd68a31c2; 765:
1d21556d1e54500; 865: fffffffffffffffc; 965:0; A65:0; B65:10; C65:0; DA5: fffffffffffffffe; E65:20604022a2e; F65:40307292c; 1065:6; 1165:4F; 1265:4; 1365:0; 1465:3E00; 1565:220;
1665:870; 17a5:10020; 19a5:700000004; 1a65:7597714d00420006; 1b65:323e828ec8348; 1c65:7a4330bb302ba456; ffea4:0; fffa8:3b49000000320100 "} >
Causa
L'aggregatore di metadati per server TIE è attivato.
Nota Questa opzione è disattivata per impostazione predefinita.
Consultare la sezione "utilizzo dell'aggregazione dei metadati per l'Intelligence locale" del Guida del prodotto Threat Intelligence Exchange Per ulteriori informazioni.
Soluzione
Disattivare l'opzione che si riferisce all'aggregazione dei metadati:
- Accedere alla console di ePO.
- Passare a Configurazione, Impostazioni del server.
- Nel riquadro a sinistra, selezionare Topologia DXL, quindi fare clic su Modifica.
- Deselezionare l'opzione Aggiornamento dell'aggregazione dei metadati per Intelligence locale.
- Salvare le modifiche.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|