McAfee Cloud Threat Detection 1.0.0

Transcrição

1 Guia de soluções McAfee Cloud Threat Detection Para uso com McAfee epolicy Orchestrator Cloud

2 COPYRIGHT 2016 Intel Corporation ATRIBUIÇÕES DE MARCAS COMERCIAIS Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. INFORMAÇÕES SOBRE LICENÇA Contrato de licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL. 2 McAfee Cloud Threat Detection Guia de soluções

3 Conteúdo 1 Visão geral da solução 5 Recursos principais Como funciona Como ele analisa arquivos Versões de produtos da McAfee compatíveis Ativação do McAfee CTD e gerenciamento de sua conta 9 Ativar o McAfee CTD durante a inscrição no McAfee epo Cloud Ativar o McAfee CTD na conta atual Exibir as informações sobre o uso de licença do McAfee CTD Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service 11 Ativar o McAfee CTD no McAfee Web Gateway Ativar regras para um critério de envio de arquivo no McAfee Web Gateway Ativar o McAfee CTD no McAfee Web Gateway Cloud Service Como um arquivo suspeito é analisado Integração com o McAfee Network Security Manager 15 Ativar o McAfee CTD no McAfee Network Security Manager Configurar políticas de malware avançado Como um arquivo suspeito é analisado Exibir estatísticas de malware Verificação da integração Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem 21 Relatório de análise de malware Detalhes do arquivo enviado Status de arquivo geral Filtro do seletor de tempo Status do serviço de análise A Solução de problemas 25 Índice 27 McAfee Cloud Threat Detection Guia de soluções 3

4 Conteúdo 4 McAfee Cloud Threat Detection Guia de soluções

5 1 Visão geral da solução A solução McAfee Cloud Threat Detection (McAfee CTD) adiciona o recurso de sandboxing à infraestrutura de segurança existente por meio do software McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) de ambiente baseado em nuvem. É possível configurar o McAfee CTD para trabalhar com produtos de segurança da McAfee, como McAfee Web Gateway, appliances de McAfee Network Security Manager e McAfee Web Gateway Cloud Service (McAfee WGCS). Esses produtos automaticamente analisam arquivos suspeitos que podem ser encontrados nos terminais, na rede e na Web. Nesse caso, o McAfee CTD fornece um relatório detalhado. Você pode definir uma política unificada dos produtos integrados para seleção dos arquivos a serem enviados. Conteúdo Recursos principais Como funciona Como ele analisa arquivos Versões de produtos da McAfee compatíveis Recursos principais O McAfee CTD oferece análise de malware avançado baseada em nuvem com esses recursos. Tipo de recurso Detecção de malware avançado Sandboxing Distribuição baseada na nuvem Integração do McAfee Network Security Manager Integração do McAfee Web Gateway e McAfee Web Gateway Cloud Service Critérios de envio de arquivo Descrição Detecta ameaças com antecedência analisando automaticamente os arquivos desconhecidos. Os arquivos estão sujeitos a análises estática (recurso) e dinâmica (comportamento). Fornece saída de relatório detalhado no STIX 1.1 e formatos legíveis para o usuário. Executa o arquivo em um servidor de sandbox baseado em nuvem para testar seu comportamento. Distribui no McAfee epo Cloud para proteger seus terminais e produtos integrados. Permite o envio de um arquivo suspeito do McAfee Network Security Manager que entra na rede e é interceptado pelo sensor. Permite o envio de um arquivo suspeito das versões no local e na nuvem do McAfee Web Gateway instalado em um servidor Web. Permite definir políticas unificadas dos produtos de segurança integrados. McAfee Cloud Threat Detection Guia de soluções 5

6 1 Visão geral da solução Como funciona Tipo de recurso Geração de relatórios McAfee Global Threat Intelligence (McAfee GTI) Descrição Fornece relatórios através de Dashboard Espaço de trabalho de detecção de ameaças Para fornecer informações sobre rastreamento de status de arquivo, medição de uso do locatário e determinação da integridade da análise do arquivo distribuído. Relatório de indicadores de comprometimento (IOC) Para fornecer relatórios de análise detalhada no formato STIX 1.1 lido por máquinas para uso imediato. Publica resultados no McAfee GTI para proteger todos os seus dispositivos protegidos pela McAfee. Como funciona A solução McAfee CTD está disponível como uma distribuição centralizada baseada em nuvem através do McAfee epo Cloud. Aprimore sua infraestrutura de segurança integrando a rede existente, detecção antimalware, proteção e ferramentas de correção com o McAfee CTD. Arquitetura Este diagrama representa a arquitetura de alto nível da solução e sua localização na infraestrutura de segurança existente. Fluxo de trabalho 1 O administrado entra no portal do McAfee epo Cloud. 2 O administrador assina o McAfee CTD na interface do McAfee epo Cloud. 3 O administrador integra os produtos de segurança do McAfee, como McAfee Web Gateway, McAfee Network Security Manager e McAfee Web Gateway Cloud Service para funcionar com o McAfee CTD. 6 McAfee Cloud Threat Detection Guia de soluções

7 Visão geral da solução Como ele analisa arquivos 1 4 Com base na análise local e configurações da tomada de decisões dos produtos McAfee, os arquivos de análise são selecionados e enviados ao McAfee epo Cloud para varredura. O McAfee epo Cloud usa o serviço de gerenciamento do McAfee CTD para analisar o arquivo quanto a malwares. Quando é encontrado algum conteúdo mal-intencionado, são enviados alertas. 5 O dashboard Espaço de trabalho de ameaças na nuvem do portal do McAfee epo Cloud fornece informações como status do arquivo enviado, informações sobre o uso do produto integrado, status do serviço de análise e resultados da análise de ameaça. Como ele analisa arquivos Os produtos de segurança integrados selecionam arquivos que requerem análise avançada e os enviam para o McAfee CTD, que realiza uma análise detalhada nos arquivos e fornece resultados apropriados e relatórios IOC. 1 Um produto de segurança da McAfee, como McAfee Web Gateway ou McAfee Network Security Manager, envia um arquivo suspeito para o McAfee CTD. 2 Se as informações sobre o arquivo já estão disponíveis no McAfee GTI, os resultados com relatórios IOC são devolvidos para o produto de segurança. 3 Se as informações sobre o arquivo forem desconhecidas, o McAfee CTD realiza uma análise estática para extrair os detalhes do arquivo. 4 O arquivo é executado em um ambiente de sandbox. Todas as ações são registradas, revistas e avaliadas. 5 O McAfee CTD usa a análise com base no Big Data e técnicas de aprendizagem de máquina para comparar o comportamento com o do malware conhecido. 6 Com base nos resultados, as políticas para os produtos de segurança da McAfee são atualizadas para instâncias futuras. Os relatórios IOC são gerados para os usuários. O banco de dados do McAfee GTI é atualizado com o IOC de descobertas mais recentes. Versões de produtos da McAfee compatíveis O McAfee CTD pode analisar arquivos que são enviados destes produtos da McAfee quando estão integrados com o McAfee CTD por meio do McAfee epo Cloud. Produto McAfee Network Security Manager Versão ou posterior McAfee Network Security Sensor (série NS) ou posterior McAfee Web Gateway McAfee Web Gateway Cloud Service ou posterior Consulte a documentação de cada produto para obter mais informações. A versão mais recente disponível no McAfee epo Cloud McAfee Cloud Threat Detection Guia de soluções 7

8 1 Visão geral da solução Versões de produtos da McAfee compatíveis 8 McAfee Cloud Threat Detection Guia de soluções

9 2 Ativação 2 do McAfee CTD e gerenciamento de sua conta Acesse o McAfee epo Cloud, ative o McAfee CTD e integre-o com seus produtos McAfee. Para usar o recurso McAfee CTD com seus produtos de segurança da McAfee, realize estas ações: 1 Ative o McAfee CTD no McAfee epo Cloud. 2 Ative o McAfee CTD na interface do produto de segurança da McAfee e obtenha a chave de provisionamento. 3 Use a chave de provisionamento para gerar uma chave de ativação na interface do McAfee epo Cloud. 4 Use a chave de ativação para ativar seu produto de segurança da McAfee. As instruções detalhadas para obter a chave de provisionamento e ativar um produto podem variar. Consulte as seções subsequentes para obter informações detalhadas sobre a integração do McAfee CTD com seu produto McAfee. Quando os produtos integrados começam a enviar arquivos para análise ao McAfee CTD, você pode exibir suas informações de uso na página Assinaturas no McAfee epo Cloud. Conteúdo Ativar o McAfee CTD durante a inscrição no McAfee epo Cloud Ativar o McAfee CTD na conta atual Exibir as informações sobre o uso de licença do McAfee CTD Ativar o McAfee CTD durante a inscrição no McAfee epo Cloud Inscreva-se no McAfee epo Cloud e ative o McAfee CTD. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Vá para o portal do McAfee epo Cloud em e clique em Inscreva-se agora. 2 Selecione o McAfee Cloud Threat Detection como produto. 3 Preencha o formulário com os seus detalhes. McAfee Cloud Threat Detection Guia de soluções 9

10 2 Ativação do McAfee CTD e gerenciamento de sua conta Ativar o McAfee CTD na conta atual 4 Selecione Eu aceito o contrato de licença e o aviso de privacidade e clique em Enviar. Clique nos links Contrato de licença e Aviso de privacidade para ler os documentos. 5 Aguarde o de ativação e siga as instruções contidas nele para ativar sua conta do McAfee epo Cloud. Ativar o McAfee CTD na conta atual Entre no portal do McAfee epo Cloud e ative o McAfee CTD para sua conta. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Vá para o portal do McAfee epo Cloud em insira seu endereço de e senha e clique em Entrar. 2 No Menu, clique em Minha conta. 3 Clique em Assinaturas. 4 Em Criar pedido/avaliação, clique em Criar avaliação ou em Comprar agora para o McAfee Cloud Threat Detection. 5 Siga as instruções na tela. Exibir as informações sobre o uso de licença do McAfee CTD Saiba qual é o número de arquivos enviados para o McAfee CTD em um dia e o número de arquivos que você ainda pode enviar no dia de acordo com os termos da licença. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Vá para o portal do McAfee epo Cloud em insira seu endereço de e senha e clique em Entrar. 2 No Menu, clique em Minha conta e depois em Assinaturas. 3 No Resumo de utilização, exiba estes detalhes: Opção Código de serviço Licença comprada Licença usada Última atualização Definição Exibe o código de serviço do McAfee CTD, que é Detecção de ameaças na nuvem. Número máximo de arquivos que podem ser enviados para o McAfee CTD em um dia. Número de arquivos enviados para o McAfee CTD para o dia em que os resultados foram atualizados pela última vez. A data em que as informações sobre o uso foram atualizadas pela última vez. 10 McAfee Cloud Threat Detection Guia de soluções

11 3 Integração 3 com McAfee Web Gateway e McAfee Web Gateway Cloud Service As versões no local e nuvem do McAfee Web Gateway podem ser ativadas para enviar os arquivos suspeitos ao McAfee epo Cloud para varredura. O McAfee CTD faz a varredura nos arquivos recebidos. Quando é encontrado algum conteúdo mal-intencionado, ações adicionais são realizadas de acordo com a configuração da sua versão do McAfee Web Gateway. O McAfee Web Gateway faz parte de uma solução integrada conhecida como McAfee Web Protection. Esta solução fornece proteção contra ameaças que surgem quando os usuários acessam a Web de dentro ou de fora de sua rede local. Esta solução integrada, McAfee Web Protection, permite impor a mesma política de segurança para acesso à Web de usuários no local e na nuvem. Conteúdo Ativar o McAfee CTD no McAfee Web Gateway Ativar regras para um critério de envio de arquivo no McAfee Web Gateway Ativar o McAfee CTD no McAfee Web Gateway Cloud Service Como um arquivo suspeito é analisado Ativar o McAfee CTD no McAfee Web Gateway Ative o McAfee CTD para usar com uma distribuição apenas no local ou híbrida de local e nuvem do McAfee Web Gateway. Antes de iniciar Ative o McAfee CTD em sua conta do McAfee epo Cloud. Consulte Ativar o McAfee CTD na conta atual. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Entre no console do McAfee Web Gateway e selecione Configuração Appliances. 2 Na árvore de appliances, expanda Cluster e clique em Informações sobre o locatário. As configurações de Informações sobre o locatário aparecem no painel de configuração. McAfee Cloud Threat Detection Guia de soluções 11

12 3 Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service Ativar regras para um critério de envio de arquivo no McAfee Web Gateway 3 Clique em Mostrar chave de provisionamento e copie a chave de provisionamento necessária à ativação. A chave é gerada com base no seu ID de cliente e o carimbo de hora atual usando SHA256 e codificação base64. A chave de provisionamento é um identificador único do McAfee Web Gateway usado pelo McAfee epo Cloud para gerar uma chave de ativação criptografada. Anote essa chave, pois ela é necessária para gerar uma chave de ativação. 4 Use a chave de provisionamento para gerar uma chave de ativação do McAfee epo Cloud. a Entre no portal do McAfee epo Cloud em b c d Selecione Menu Configuração Configurações do servidor e selecione Cloud Threat Detection Setup (Configuração da Detecção de ameaças na nuvem). Insira a chave de provisionamento e clique em Generate Activation Key (Gerar chave de ativação). Copie a chave de ativação de McAfee epo Cloud. 5 Volte à página Tenant ID Configuration (Configuração do ID do locatário) no console do McAfee Web Gateway, cole a chave de ativação e clique em Set Tenant ID (Definir ID do locatário). Ativar regras para um critério de envio de arquivo no McAfee Web Gateway Ative o conjunto de regras padrão do McAfee CTD ou personalize o conjunto de regras para selecionar arquivos para análise. Os conjuntos de regras da Detecção de ameaças na nuvem estão pré-configurados. Se eles foram excluídos ou alterados, importe-os da biblioteca de conjuntos de regras. Esses conjuntos de regras do McAfee CTD estão disponíveis na biblioteca Gateway Anti-Malware (Antimalware de gateway): Detecção de ameaças na nuvem Detecção de ameaças na nuvem - Hybrid Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Entre no console do McAfee Web Gateway. 2 Selecione Política Conjuntos de regras Detecção de ameaças na nuvem e ative o conjunto de regras padrão ou altere as configurações conforme necessário. Opção Ativar Ativar na nuvem Aplica-se a Editar Descrição Ativa o conjunto de regras. Ativa o conjunto de regras do McAfee Web Gateway Cloud Service para o cenário de distribuição híbrida. Seleciona quando o conjunto de regras será processado: Solicitação (de usuários) Respostas (de servidores Web) Objetos incorporados (com solicitação e respostas) Permite alterar as configurações de regra (não recomendado). 12 McAfee Cloud Threat Detection Guia de soluções

13 Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service Ativar o McAfee CTD no McAfee Web Gateway Cloud Service 3 Opção Ativar a página de progresso Fazer upload do arquivo no CTD e aguardar o resultado da varredura Descrição Exibe a página de progresso de um arquivo enviado. Bloqueia o processamento ou o download do arquivo enquanto a análise está em andamento. 3 Expanda todas as configurações definidas para o módulo Antimalware (mecanismo) e verifique se na seção Selecionar mecanismos de varredura e comportamento, está selecionada a opção Serviço na nuvem somente: enviar arquivos para o serviço da Detecção de ameaças na nuvem para análise minuciosa através de sandboxing. 4 Se você alterou alguma opção no conjunto de regras, clique em Salvar alterações. Ativar o McAfee CTD no McAfee Web Gateway Cloud Service Ative a regra do McAfee CTD definida no McAfee Web Gateway Cloud Service. Antes de iniciar Ative o McAfee CTD em sua conta do McAfee epo Cloud. Consulte Ativar o McAfee CTD na conta atual. Tarefa Não é necessária uma chave de provisionamento ou de ativação para ativar o McAfee CTD para a distribuição apenas na nuvem do McAfee Web Gateway. Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Entre no McAfee epo Cloud. 2 Selecione Web Protection Gerenciamento de políticas. 3 Em Navegador de política, expanda o Filtro antimalware e selecione Detecção de ameaças na nuvem. 4 Em Detalhes da regra, no lado direito da tela, selecione Ativar a regra e clique em Salvar. Como um arquivo suspeito é analisado O McAfee Web Gateway envia um arquivo suspeito, o McAfee CTD realiza uma análise detalhada e informa os resultados de acordo com as configurações feitas em sua versão do produto. 1 Um usuário envia uma solicitação para acessar um objeto da Web (por exemplo, um arquivo) a partir de um sistema da sua rede que é um cliente do McAfee Web Gateway. 2 Se o objeto for aprovado nas regras de filtragem antimalware, o McAfee Web Gateway o encaminhará para o servidor Web apropriado. 3 Se o arquivo for suspeito e os critérios de envio do arquivo para o McAfee CTD forem atendidos, o McAfee Web Gateway encaminhará o arquivo ao McAfee CTD para análise. McAfee Cloud Threat Detection Guia de soluções 13

14 3 Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service Como um arquivo suspeito é analisado 4 Enquanto a análise está em andamento, uma destas ações ocorrem de acordo com o conjunto de regras: Varredura online O processamento ou download do arquivo é bloqueado durante a análise. A análise geralmente leva até 45 minutos para ser concluída. Quando a análise é concluída, os relatórios são gerados e as ações configuradas são realizadas. Esta opção está disponível somente com a distribuição no local ou híbrida do McAfee Web Gateway. Varredura offline O arquivo pode ser processado ou baixado durante a análise. Quando a análise é concluída, os resultados são publicados para bloquear qualquer download futuro de um arquivo semelhante. 5 Uma análise detalhada do arquivo pode ser obtida no dashboard Espaço de trabalho de ameaças na nuvem do McAfee epo Cloud. 14 McAfee Cloud Threat Detection Guia de soluções

15 4 Integração 4 com o McAfee Network Security Manager O McAfee Network Security Manager pode ser ativado para enviar os arquivos suspeitos ao McAfee epo Cloud para varredura. O McAfee CTD faz a varredura nos arquivos recebidos. Quando é encontrado algum conteúdo mal-intencionado, o sensor do McAfee Network Security Manager envia um alerta para o gerenciador do McAfee Network Security Manager. Conteúdo Ativar o McAfee CTD no McAfee Network Security Manager Configurar políticas de malware avançado Como um arquivo suspeito é analisado Exibir estatísticas de malware Verificação da integração Ativar o McAfee CTD no McAfee Network Security Manager Ative o McAfee CTD para usar com McAfee Network Security Manager. Antes de iniciar Ative o McAfee CTD em sua conta do McAfee epo Cloud. Consulte Ativar o McAfee CTD na conta atual. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Entre no console do McAfee Network Security Manager, selecione Manager (Gerenciador) <Nome do domínio de admin.> Integration (Integração) CTD. 2 Selecione Enable CTD Integration (Ativar a integração de CTD). A seção Activation Key (Chave de ativação) exibe a chave de provisionamento, e o status da chave de ativação é Required.(Obrigatório). Tome nota da chave de provisionamento, que é necessária para gerar uma chave de ativação do McAfee epo Cloud. 3 Em Manage Activation Key (Gerenciar chave de ativação), selecione Open Cloud epo Console (Abrir o console do epo na nuvem). 4 Insira suas credenciais do servidor McAfee epo Cloud e clique em Log on (Entar). 5 Na interface do McAfee epo Cloud, selecione Menu Configuração Configurações do servidor Cloud Threat Detection Setup (Configuração da Detecção de ameaças na nuvem). McAfee Cloud Threat Detection Guia de soluções 15

16 4 Integração com o McAfee Network Security Manager Configurar políticas de malware avançado 6 Insira a chave de provisionamento que você copiou do McAfee Network Security Manager e clique em Generate Activation Key (Gerar chave de ativação). 7 Copie a chave de ativação de McAfee epo Cloud. 8 Volte ao McAfee Network Security Manager e, na página do CTD, selecione Manage Activation Key (Gerenciar chave de ativação) e clique em Add Activation Key (Adicionar chave de ativação). 9 Insira a chave de ativação na caixa New Activation Key (Nova chave de ativação) e selecione Add (Adicionar). 10 Quando a chave de ativação for adicionada e o Activation Key Status (Status da chave de ativação) mudar para Present (Presente), clique em Save (Salvar). Configurar políticas de malware avançado Configure políticas de malware avançado para enviar arquivos executáveis e PDF ao McAfee CTD. Para configurar políticas de malware avançado a fim de enviar arquivos ao McAfee CTD, realize as seguintes etapas: Tarefa 1 Vá para a página Política <Nome do domínio de admin.> Prevenção contra intrusões Tipos de política Políticas de malware avançado. 2 Verifique e ative a Reputação do arquivo TIE/GTI para arquivos executáveis e PDF na página Política de malware avançado antes de ativar a opção McAfee epo Cloud para ambos os tipos de arquivo. Será exibida uma mensagem de confirmação perguntando se você deseja ativar a Reputação do arquivo TIE/GTI para arquivos executáveis e PDF. 3 Clique em Sim para continuar. 4 No mecanismo de malware do McAfee Cloud, selecione Arquivos executáveis e PDF. Como um arquivo suspeito é analisado Quando um arquivo suspeito tenta entrar na rede e é interceptado pelo sensor do McAfee Network Security Manager, o McAfee Network Security Manager trabalha junto com o McAfee CTD para fazer a varredura nesse arquivo suspeito, como ilustra esta sequência. Essa sequência é apenas um meio de visualizar os resultados da análise de malware. Para conhecer meios alternativos, consulte o Guia de administração do McAfee Network Security Manager. 1 Quando um arquivo suspeito tenta entrar na rede, o sensor do McAfee Network Security Manager computa um hash de arquivo e, se a varredura de malware avançado está ativada, consulta vários mecanismos de varredura de malware. 2 Se os resultados dos mecanismos de malware são desconhecido, baixo ou muito baixo, o sensor do McAfee Network Security Manager sinaliza esse arquivo e o encaminha para o gerenciador do McAfee Network Security Manager. 16 McAfee Cloud Threat Detection Guia de soluções

17 Integração com o McAfee Network Security Manager Exibir estatísticas de malware 4 3 O gerenciador do McAfee Network Security Manager envia o arquivo para o McAfee CTD para nova varredura e faz a sondagem de resultados a cada cinco minutos. O gerenciador do McAfee CTD emite um alerta, MALWARE: Unknown File Download Detected and Submitted to McAfee Cloud Service for Analysis (MALWARE: um download de arquivo desconhecido foi detectado e enviado ao McAfee Cloud Service para análise), no Attack Log (Registro de ataques), indicando que um arquivo suspeito foi enviado. Se a reputação do arquivo retornado pelo McAfee CTD está limpa, o alerta é removido do Attack Log (Registro de ataques). Se a reputação do arquivo é exibida como Pending (Pendente) no Attack Log (Registro de ataques) por mais de três horas, o alerta é removido. Se a opção Salvar arquivo está ativada na página Políticas de malware avançado, o arquivo cujo alerta foi removido do Attack Log (Registro de ataques) é salvo em Gerenciar Manutenção Arquivos pasta Arquivo de malware. Você pode reenviar esse arquivo para varredura. 4 Se o McAfee CTD retorna uma reputação de arquivo medium (médio), high (alto) ou very high (muito alto), o gerenciador do McAfee Network Security Manager emite um alerta, MALWARE: Malicious File Detected by McAfee Cloud Service (MALWARE: foi detectado um arquivo mal-intencionado pelo McAfee Cloud Service) no Attack Log (Registro de ataques). Nesse caso, o alerta de envio é substituído pelo ID de ataque da detecção de arquivo mal-intencionado. Se o arquivo é retornado como desconhecido ou limpo, o alerta de envio é excluído. 5 Se o envio do arquivo para o McAfee CTD excede o limite diário ou quando a taxa de envio de arquivo é muito alta, são geradas falhas do sistema. O limite de envio de arquivos e a taxa de envio diários estão baseados no tipo de licença adquirido no contrato com a McAfee. As falhas do sistema podem ser vistas na interface do McAfee Network Security Manager. Para exibir as falhas do sistema relacionadas ao licenciamento, vá para Gerenciador <Domínio de admin.> Solução de problemas Falhas do sistema. 6 Clique duas vezes no alerta cujos detalhes você quer exibir. É aberto o painel Detalhes do alerta. 7 É possível exibir os detalhes do usuário na seção Atacante / Destino. 8 Você pode exibir o nível de confiança do malware na página Arquivos de malware. Exiba os detalhes do McAfee CTD de um malware detectado. Na página Arquivos de malware, clique ao lado do nível de confiança do McAfee Cloud. Um relatório gerado pelo McAfee CTD é aberto em uma janela. Campo Propriedades do arquivo Aliases Atividades observadas Alterações no sistema Descrição Exibe a severidade mais alta do malware retornada pelos componentes do McAfee CTD, valor hash do arquivo do MD5, tamanho do arquivo, arquivos que foram detectados primeiro e por último. Atividades realizadas pelo malware. Exibir estatísticas de malware A página Statistics (Estatísticas) fornece uma contagem de malwares identificados nos arquivos suspeitos enviados ao McAfee CTD para varredura. McAfee Cloud Threat Detection Guia de soluções 17

18 4 Integração com o McAfee Network Security Manager Exibir estatísticas de malware Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Entre no console do McAfee Network Security Manager e selecione Manager (Gerenciador) <Nome do domínio de admin.> Integration (Integração) CTD Statistics (Estatísticas). 2 Verifique esses detalhes. Campo Total de arquivos enviados Arquivos com confiança muito alta de malware Arquivos com confiança alta de malware Arquivos com confiança média de malware Arquivos com confiança baixa de malware Arquivos com confiança muito baixa de malware Arquivos com confiança de malware limpo Hora do último envio Última solicitação de envio a partir de Total de erros de envio Salvar como CSV Reiniciar contadores Salvar Descrição O número total de arquivos enviados para o McAfee CTD desde que os contadores foram reiniciados pela última vez. Arquivos que continham qualquer um desses valores de reputação que foram armazenados no McAfee CTD e não foram enviados novamente para análise. A última vez em que um arquivo foi enviado para o McAfee CTD. O produto gerenciado do qual o último arquivo foi enviado. O número total de arquivos enviados para o McAfee CTD que continham erro. O erro do último envio é exibido na terceira coluna da grade sempre que há um erro. Exporta informações como um arquivo.csv que você pode usar para realizar análises mais detalhadas. Reinicia todos os contadores de dados. Certifique-se de salvar as alterações após a reinicialização dos contadores. É possível atualizar os dados exibidos clicando nesse ícone. 18 McAfee Cloud Threat Detection Guia de soluções

19 Integração com o McAfee Network Security Manager Verificação da integração 4 Verificação da integração É possível verificar se a integração entre o McAfee CTD e o McAfee Network Security Manager está funcionando. Para confirmar isso... Presença da chave de ativação Conectividade e validade da chave de ativação Êxito no envio Faça isto... Confirme se o status da chave de ativação é Present (Presente) com um ícone verde. Use a opção Testar conexão. Veja os contadores antes e depois do envio do arquivo para garantir que estejam aumentando conforme esperado. McAfee Cloud Threat Detection Guia de soluções 19

20 4 Integração com o McAfee Network Security Manager Verificação da integração 20 McAfee Cloud Threat Detection Guia de soluções

21 5 5 Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem O dashboard Espaço de trabalho de ameaças na nuvem fornece relatórios, como rastreamento de status do arquivo, medição do uso do locatário e determinação da integridade da análise do arquivo distribuído. O dashboard Espaço de trabalho de ameaças na nuvem fornece as seguintes informações: Um relatório de análise com uma lista de arquivos enviados com o respectivo status e detalhes de ameaças. Uma contagem de arquivos em cada status de análise e o número total de arquivos enviados mostrados no cabeçalho principal da página de relatório de análise. Você pode clicar em um status para filtrar os resultados sob um status específico. Os dados históricos de um período selecionado. Detalhes sobre um arquivo selecionado. O status do serviço de sandboxing do McAfee epo Cloud e outros alertas. Conteúdo Relatório de análise de malware Detalhes do arquivo enviado Status de arquivo geral Filtro do seletor de tempo Status do serviço de análise Relatório de análise de malware O Relatório de análise exibe uma lista de arquivos enviados com as informações sobre seus status e detalhes da análise de ameaças. Esse relatório mostra os arquivos que foram enviados para análise e seu resultado ou status da análise. Você pode planejar ações adicionais para os arquivos que estão Em risco. É possível filtrar os resultados, exibir informações detalhadas sobre um arquivo e respectiva análise ou exibir o status do serviço de sandboxing. McAfee Cloud Threat Detection Guia de soluções 21

22 5 Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem Detalhes do arquivo enviado Opção Nome do arquivo Status Por meio de Enviado Tempo de processamento Clicar em um status Clicar em uma coluna Clicar no seletor de tempo Clicar em um arquivo Definição Nome do arquivo detectado. Status da análise de arquivo. Alto risco O status de risco do arquivo é alto e o arquivo deve ser bloqueado para execução. Suspeito O status de risco do arquivo é moderado e pode requerer análise mais detalhada. Baixo risco O status de risco do arquivo é baixo e sua execução pode ser segura. Com falha Falha da análise do arquivo. Monitorado O arquivo está sendo monitorado. Em andamento O arquivo está sendo analisado. Produto de origem do qual o arquivo foi enviado. McAfee Network Security Platform Enviado por McAfee Network Security Manager McAfee Web Gateway Enviado por McAfee Web Gateway McAfee Web Security Enviado por McAfee Web Gateway Cloud Service Data e hora em que o arquivo foi enviado. Tempo gasto para analisar o arquivo. Filtra o resultado para exibir uma lista de arquivos que têm o status selecionado. Classifica o relatório pela coluna selecionada. Permite selecionar um tempo durante o qual você deseja filtrar a lista. Exibe informações detalhadas sobre o arquivo e seus resultados de análise no painel direito do dashboard Espaço de trabalho de ameaças na nuvem. Detalhes do arquivo enviado Clique em um arquivo do Relatório de análise para que sejam exibidas informações detalhadas sobre o arquivo e os resultados da análise no painel direito do dashboard Espaço de trabalho de ameaças na nuvem. Opção Barra de título Por meio de Enviado Tempo de processamento Definição Exibe o nome do arquivo e o respectivo status no título. Produto de origem do qual o arquivo foi enviado. NSM Enviado por McAfee Network Security Manager McAfee Web Gateway Enviado por McAfee Web Gateway Web SaaS Enviado por McAfee Web Gateway Cloud Service Data e hora em que o arquivo foi enviado. Tempo gasto para analisar o arquivo. 22 McAfee Cloud Threat Detection Guia de soluções

23 Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem Status de arquivo geral 5 Opção Detalhes da ameaça Reputação Definição Exibe informações sobre as ameaças associadas ao arquivo, como tipo de arquivo, assinaturas, autenticação e malware detectados no arquivo, e quaisquer nomes adicionais relacionados a malware. Exibe o status do risco ao arquivo e a reputação do arquivo com sugestões adicionais. Por exemplo, se o status da ameaça ao arquivo for Com falha, haverá uma sugestão para fazer download de um Indicador de comprometimento (IOC) que ajudará a analisar melhor usando ferramentas adicionais. Status de arquivo geral O cabeçalho do dashboard Espaço de trabalho de ameaças na nuvem exibe a contagem de arquivos para cada status e o número total de arquivos enviados. Cada status é exibido em uma cor distinta para diferenciá-los. Status Cor Descrição Alto risco Vermelho O status de risco do arquivo é alto e sua execução deve ser bloqueada. Suspeito Laranja O status de risco do arquivo é moderado e pode exigir análise mais detalhada. Baixo risco Verde-pálido O status de risco do arquivo é baixo e sua execução pode ser segura. Com falha Preto Falha da análise do arquivo. Monitorado Amarelo-pálido O arquivo está sendo monitorado. Filtro do seletor de tempo Selecione um período de tempo para o qual você deseja exibir os resultados no relatório Status da análise. Opção Últimas 4 horas Últimas 8 horas Últimas 12 horas Últimas 24 horas Últimas 72 horas Últimos 7 dias Últimos 14 dias Últimos 90 dias Sempre Definição Exibe a lista de arquivos enviados nas últimas quatro horas. Exibe a lista de arquivos enviados nas últimas oito horas. Exibe a lista de arquivos enviados nas últimas 12 horas. Exibe a lista de arquivos enviados nas últimas 24 horas. Exibe a lista de arquivos enviados nas últimas 72 horas. Exibe a lista de arquivos enviados nas últimas sete dias. Exibe a lista de arquivos enviados nas últimas 14 dias. Exibe a lista de arquivos enviados nas últimas 90 dias. Exibe a lista inteira de arquivos enviados até a data. McAfee Cloud Threat Detection Guia de soluções 23

24 5 Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem Status do serviço de análise Status do serviço de análise Clique no ícone de notificação (símbolo de sino) no dashboard Espaço de trabalho de ameaças na nuvem para exibir um cartão de integridade e obter detalhes sobre o serviço de análise do McAfee CTD. Opção Status do servidor de Sandbox na nuvem Gráficos (por data de envio) Total de arquivos enviados Disponível Tempo de processamento Porcentagem de envios de arquivo (por produtos) Definição Exibe um código de cor para indicar se o serviço de análise do McAfee CTD está funcionando. Vermelho indica que o servidor está inoperante e verde significa que ele está funcionando. Os gráficos representam os envios de arquivo por data e seu status. É possível selecionar um período de tempo para exibir as mudanças nos resultados. Número de arquivos enviados para análise no período definido no seletor de tempo. O número restante de arquivos que pode ser analisado. Tempo gasto para analisar o arquivo. Porcentagem de arquivos enviados por produtos McAfee. 24 McAfee Cloud Threat Detection Guia de soluções

25 A Solução de problemas Esses são os problemas comuns que podem surgir enquanto você trabalha com o McAfee CTD. Problemas de integração do McAfee Network Security Manager Problema Falha de conectividade Problemas de licenciamento Descrição Clicar em Testar conexão na página de integração do McAfee CTD resulta em falha de conectividade. Esse problema ocorre quando a conexão entre o McAfee Network Security Manager e o McAfee CTD não foi bem-sucedida. Certifique-se de que a chave de ativação correta foi inserida. Use a opção Abrir epo em nuvem para confirmar se o McAfee epo Cloud pode ser acessado. Verifique a tabela iv_ems.properties no banco de dados do McAfee Network Security Manager. Certifique-se de que os URLs correspondentes a estes atributos estão acessíveis: iv.malware.cloudprometheus.gtisubmittarget iv.malware.cloudprometheus.gtiusagetarget Quando o número de arquivos enviados excede o limite diário ou quando a taxa de envio de arquivo é muito alta, são geradas falhas do sistema. Esses problemas podem ser vistos na página Falhas do sistema na interface do McAfee Network Security Manager. O tipo de licença adquirido define o número de arquivos que pode ser enviado diariamente. Os possíveis problemas com o McAfee CTD são: Assinatura inválida do CTD Este tipo de falha é gerado quando as tentativas de enviar arquivos para o McAfee CTD são rejeitadas porque a chave de ativação usada na integração do McAfee CTD não está associada a uma assinatura válida do cliente. Solução alternativa Corrija a assinatura no McAfee epo Cloud e importe uma nova chave de ativação para o gerenciador do McAfee Network Security Manager. Assinatura expirada do CTD Este tipo de falha é gerado quando as tentativas de enviar arquivos para o McAfee CTD são rejeitadas porque a chave de ativação usada na integração do McAfee CTD está associada a uma assinatura expirada. Solução alternativa Corrija a assinatura no McAfee CTD e importe uma nova chave de ativação para o gerenciador do McAfee Network Security Manager. Limite de envio de arquivos ao CTD atingido Este tipo de falha é gerado quando é atingido o limite diário de envios de arquivos ao McAfee CTD. Solução alternativa Pode ser necessário adquirir uma outra licença. Taxa muito alta de envio de arquivos ao CTD Este tipo de falha é gerado quando as tentativas de enviar arquivos ao McAfee CTD são rejeitadas porque a taxa de envio de arquivos é alta demais. McAfee Cloud Threat Detection Guia de soluções 25

26 A Solução de problemas Problema Descrição Solução alternativa Pode ser necessário adquirir uma outra licença. Para obter mais informações sobre as falhas do sistema, consulte o Guia de solução de problemas do McAfee Network Security Manager Problemas de integração do McAfee Web Gateway e McAfee Web Gateway Cloud Service Problema Falhas comuns: Falha na comunicação (tempos limite, problemas da rede, recebimento de dados inválidos) Não é possível fazer a varredura no arquivo (ausência de licença, amostra excede o limite de tamanho, envio rejeitado pelo servidor) Descrição Causas: O recurso McAfee CTD não está licenciado. Solução alternativa Para a distribuição no local, gere e importe a chave de importação. Para a distribuição somente na nuvem, verifique se há assinatura do McAfee CTD no McAfee epo Cloud. O McAfee Web Gateway não está configurado para fazer a verificação de certificado. Algum problema com a resolução DNS. O McAfee Web Gateway não se conectou ao serviço McAfee CTD no tempo configurado. O tempo total necessário para analisar a amostra excedeu o valor configurado. 26 McAfee Cloud Threat Detection Guia de soluções

27 Índice D dashboard detalhes do arquivo 22 relatório de análise 21 seletor de tempo 23 status do arquivo 23 status do serviço 24 visão geral do espaço de trabalho de ameaças na nuvem 21 G gerenciamento de contas Cloud Threat Detection, ativação 9 novos usuários, ativação 9 uso de licença, exibição 10 usuários existentes, ativação 10 I integração network security manager 15 network security manager, ativação 15 network security manager, verificação 19 política do network security manager, configuração 16 regras do web gateway, ativação 12 web gateway 11 web gateway cloud 11 web gateway cloud, ativação 13 web gateway, ativação 11 introdução arquitetura 6 como funciona 6 fluxo de trabalho da solução 6 introdução (continuação) fluxo de trabalho de análise 7 produtos compatíveis 7 recursos da solução 5 visão geral 5 N network security manager estatísticas, exibição 17 fluxo de trabalho de análise 16 integração, verificação 19 política, configuração 16 solução de problemas 25 solução, ativação 15 visão geral da integração 15 S solução de problemas 25 W web gateway fluxo de trabalho de análise 13 regras, ativação 12 solução de problemas 25 solução, ativação 11 visão geral da integração 11 web gateway cloud fluxo de trabalho de análise 13 solução de problemas 25 solução, ativação 13 visão geral da integração 11 McAfee Cloud Threat Detection Guia de soluções 27

28 0-12