McAfee Cloud Threat Detection 1.0.0

(1)

Guia de soluções

McAfee Cloud Threat Detection 1.0.0

Para uso com McAfee ePolicy Orchestrator Cloud

(2)

COPYRIGHT

ATRIBUIÇÕES DE MARCAS COMERCIAIS

Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros.

INFORMAÇÕES SOBRE LICENÇA Contrato de licença

AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL.

(3)

Conteúdo

1 Visão geral da solução 5

Recursos principais . . . 5

Como funciona . . . 6

Como ele analisa arquivos . . . 7

Versões de produtos da McAfee compatíveis . . . 7

2 Ativação do McAfee CTD e gerenciamento de sua conta 9 Ativar o McAfee CTD durante a inscrição no McAfee ePO Cloud . . . 9

Ativar o McAfee CTD na conta atual . . . 10

Exibir as informações sobre o uso de licença do McAfee CTD . . . 10

3 Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service 11 Ativar o McAfee CTD no McAfee Web Gateway . . . 11

Ativar regras para um critério de envio de arquivo no McAfee Web Gateway . . . 12

Ativar o McAfee CTD no McAfee Web Gateway Cloud Service . . . 13

Como um arquivo suspeito é analisado . . . 13

4 Integração com o McAfee Network Security Manager 15 Ativar o McAfee CTD no McAfee Network Security Manager . . . 15

Configurar políticas de malware avançado . . . 16

Como um arquivo suspeito é analisado . . . 16

Exibir estatísticas de malware . . . 17

Verificação da integração . . . 19

5 Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem 21 Relatório de análise de malware . . . 21

Detalhes do arquivo enviado . . . 22

Status de arquivo geral . . . 23

Filtro do seletor de tempo . . . 23

Status do serviço de análise . . . 24

A Solução de problemas 25

Índice 27

(4)

Conteúdo

(5)

1 Visão geral da solução

A solução McAfee^® Cloud Threat Detection (McAfee^® CTD) adiciona o recurso de sandboxing à infraestrutura de segurança existente por meio do software McAfee^® ePolicy Orchestrator^® Cloud (McAfee^® ePO^™ Cloud) de ambiente baseado em nuvem.

É possível configurar o McAfee CTD para trabalhar com produtos de segurança da McAfee, como McAfee^® Web Gateway, appliances de McAfee^® Network Security Manager e McAfee^® Web Gateway Cloud Service (McAfee^® WGCS).

Esses produtos automaticamente analisam arquivos suspeitos que podem ser encontrados nos terminais, na rede e na Web. Nesse caso, o McAfee CTD fornece um relatório detalhado. Você pode definir uma política unificada dos produtos integrados para seleção dos arquivos a serem enviados.

Conteúdo

Recursos principais Como funciona

Como ele analisa arquivos

Versões de produtos da McAfee compatíveis

Recursos principais

O McAfee CTD oferece análise de malware avançado baseada em nuvem com esses recursos.

Tipo de recurso Descrição Detecção de malware

avançado Detecta ameaças com antecedência analisando automaticamente os arquivos desconhecidos. Os arquivos estão sujeitos a análises estática (recurso) e dinâmica (comportamento). Fornece saída de relatório detalhado no STIX 1.1 e formatos legíveis para o usuário.

Sandboxing Executa o arquivo em um servidor de sandbox baseado em nuvem para testar seu comportamento.

Distribuição baseada na

nuvem Distribui no McAfee ePO Cloud para proteger seus terminais e produtos integrados.

Integração do McAfee Network Security Manager

Permite o envio de um arquivo suspeito do McAfee Network Security Manager que entra na rede e é interceptado pelo sensor.

Integração do McAfee Web Gateway e McAfee Web Gateway Cloud Service

Permite o envio de um arquivo suspeito das versões no local e na nuvem do McAfee Web Gateway instalado em um servidor Web.

Critérios de envio de Permite definir políticas unificadas dos produtos de segurança integrados.

1

(6)

Tipo de recurso Descrição

Geração de relatórios Fornece relatórios através de

• Dashboard Espaço de trabalho de detecção de ameaças — Para fornecer

informações sobre rastreamento de status de arquivo, medição de uso do locatário e determinação da integridade da análise do arquivo distribuído.

• Relatório de indicadores de comprometimento (IOC) — Para fornecer relatórios de análise detalhada no formato STIX 1.1 lido por máquinas para uso imediato.

McAfee^® Global Threat Intelligence^™ (McAfee GTI)

Publica resultados no McAfee GTI para proteger todos os seus dispositivos protegidos pela McAfee.

Como funciona

A solução McAfee CTD está disponível como uma distribuição centralizada baseada em nuvem através do McAfee ePO Cloud.

Aprimore sua infraestrutura de segurança integrando a rede existente, detecção antimalware, proteção e ferramentas de correção com o McAfee CTD.

Arquitetura

Este diagrama representa a arquitetura de alto nível da solução e sua localização na infraestrutura de segurança existente.

Fluxo de trabalho

1 O administrado entra no portal do McAfee ePO Cloud.

2 O administrador assina o McAfee CTD na interface do McAfee ePO Cloud.

3 O administrador integra os produtos de segurança do McAfee, como McAfee Web Gateway, McAfee Network Security Manager e McAfee Web Gateway Cloud Service para funcionar com o McAfee CTD.

1

Visão geral da solução

Como funciona

(7)

4 Com base na análise local e configurações da tomada de decisões dos produtos McAfee, os arquivos de análise são selecionados e enviados ao McAfee ePO Cloud para varredura. O McAfee ePO Cloud usa o serviço de gerenciamento do McAfee CTD para analisar o arquivo quanto a malwares. Quando é encontrado algum conteúdo mal-intencionado, são enviados alertas.

5 O dashboard Espaço de trabalho de ameaças na nuvem do portal do McAfee ePO Cloud fornece informações como status do arquivo enviado, informações sobre o uso do produto integrado, status do serviço de análise e resultados da análise de ameaça.

Como ele analisa arquivos

Os produtos de segurança integrados selecionam arquivos que requerem análise avançada e os enviam para o McAfee CTD, que realiza uma análise detalhada nos arquivos e fornece resultados apropriados e relatórios IOC.

1 Um produto de segurança da McAfee, como McAfee Web Gateway ou McAfee Network Security Manager, envia um arquivo suspeito para o McAfee CTD.

2 Se as informações sobre o arquivo já estão disponíveis no McAfee GTI, os resultados com relatórios IOC são devolvidos para o produto de segurança.

3 Se as informações sobre o arquivo forem desconhecidas, o McAfee CTD realiza uma análise estática para extrair os detalhes do arquivo.

4 O arquivo é executado em um ambiente de sandbox. Todas as ações são registradas, revistas e avaliadas.

5 O McAfee CTD usa a análise com base no Big Data e técnicas de aprendizagem de máquina para comparar o comportamento com o do malware conhecido.

6 Com base nos resultados, as políticas para os produtos de segurança da McAfee são atualizadas para instâncias futuras. Os relatórios IOC são gerados para os usuários. O banco de dados do McAfee GTI é atualizado com o IOC de descobertas mais recentes.

Versões de produtos da McAfee compatíveis

O McAfee CTD pode analisar arquivos que são enviados destes produtos da McAfee quando estão integrados com o McAfee CTD por meio do McAfee ePO Cloud.

Produto Versão

McAfee Network Security Manager 8.3.7.44 ou posterior McAfee^® Network Security Sensor (série NS) 8.3.5.22 ou posterior

McAfee Web Gateway 7.7.0 ou posterior

McAfee Web Gateway Cloud Service A versão mais recente disponível no McAfee ePO Cloud Consulte a documentação de cada produto para obter mais informações.

Como ele analisa arquivos

1

(8)

1

Versões de produtos da McAfee compatíveis

(9)

2 Ativação do McAfee CTD e gerenciamento de sua conta

Acesse o McAfee ePO Cloud, ative o McAfee CTD e integre-o com seus produtos McAfee.

Para usar o recurso McAfee CTD com seus produtos de segurança da McAfee, realize estas ações:

1 Ative o McAfee CTD no McAfee ePO Cloud.

2 Ative o McAfee CTD na interface do produto de segurança da McAfee e obtenha a chave de provisionamento.

3 Use a chave de provisionamento para gerar uma chave de ativação na interface do McAfee ePO Cloud.

4 Use a chave de ativação para ativar seu produto de segurança da McAfee.

As instruções detalhadas para obter a chave de provisionamento e ativar um produto podem variar.

Consulte as seções subsequentes para obter informações detalhadas sobre a integração do McAfee CTD com seu produto McAfee.

Quando os produtos integrados começam a enviar arquivos para análise ao McAfee CTD, você pode exibir suas informações de uso na página Assinaturas no McAfee ePO Cloud.

Conteúdo

Ativar o McAfee CTD durante a inscrição no McAfee ePO Cloud Ativar o McAfee CTD na conta atual

Exibir as informações sobre o uso de licença do McAfee CTD

Ativar o McAfee CTD durante a inscrição no McAfee ePO Cloud

Inscreva-se no McAfee ePO Cloud e ative o McAfee CTD.

Tarefa

Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou em Ajuda.

1 Vá para o portal do McAfee ePO Cloud em https://manage.mcafee.com e clique em Inscreva-se agora.

2 Selecione o McAfee Cloud Threat Detection como produto.

3 Preencha o formulário com os seus detalhes.

2

(10)

4 Selecione Eu aceito o contrato de licença e o aviso de privacidade e clique em Enviar.

Clique nos links Contrato de licença e Aviso de privacidade para ler os documentos.

5 Aguarde o e-mail de ativação e siga as instruções contidas nele para ativar sua conta do McAfee ePO Cloud.

Ativar o McAfee CTD na conta atual

Entre no portal do McAfee ePO Cloud e ative o McAfee CTD para sua conta.

Tarefa

1 Vá para o portal do McAfee ePO Cloud em https://manage.mcafee.com, insira seu endereço de e-mail e senha e clique em Entrar.

2 No Menu, clique em Minha conta.

3 Clique em Assinaturas.

4 Em Criar pedido/avaliação, clique em Criar avaliação ou em Comprar agora para o McAfee Cloud Threat Detection.

5 Siga as instruções na tela.

Exibir as informações sobre o uso de licença do McAfee CTD

Saiba qual é o número de arquivos enviados para o McAfee CTD em um dia e o número de arquivos que você ainda pode enviar no dia de acordo com os termos da licença.

Tarefa

1 Vá para o portal do McAfee ePO Cloud em https://manage.mcafee.com, insira seu endereço de e-mail e senha e clique em Entrar.

2 No Menu, clique em Minha conta e depois em Assinaturas.

3 No Resumo de utilização, exiba estes detalhes:

Opção Definição

Código de serviço Exibe o código de serviço do McAfee CTD, que é Detecção de ameaças na nuvem.

Licença comprada Número máximo de arquivos que podem ser enviados para o McAfee CTD em um dia.

Licença usada Número de arquivos enviados para o McAfee CTD para o dia em que os resultados foram atualizados pela última vez.

Última atualização A data em que as informações sobre o uso foram atualizadas pela última vez.

2

Ativação do McAfee CTD e gerenciamento de sua conta Ativar o McAfee CTD na conta atual

(11)

3 Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service

As versões no local e nuvem do McAfee Web Gateway podem ser ativadas para enviar os arquivos suspeitos ao McAfee ePO Cloud para varredura.

O McAfee CTD faz a varredura nos arquivos recebidos. Quando é encontrado algum conteúdo mal-intencionado, ações adicionais são realizadas de acordo com a configuração da sua versão do McAfee Web Gateway.

O McAfee Web Gateway faz parte de uma solução integrada conhecida como McAfee^® Web Protection.

Esta solução fornece proteção contra ameaças que surgem quando os usuários acessam a Web de dentro ou de fora de sua rede local. Esta solução integrada, McAfee Web Protection, permite impor a mesma política de segurança para acesso à Web de usuários no local e na nuvem.

Conteúdo

Ativar o McAfee CTD no McAfee Web Gateway

Ativar regras para um critério de envio de arquivo no McAfee Web Gateway Ativar o McAfee CTD no McAfee Web Gateway Cloud Service

Como um arquivo suspeito é analisado

Ativar o McAfee CTD no McAfee Web Gateway

Ative o McAfee CTD para usar com uma distribuição apenas no local ou híbrida de local e nuvem do McAfee Web Gateway.

Antes de iniciar

Ative o McAfee CTD em sua conta do McAfee ePO Cloud. Consulte Ativar o McAfee CTD na conta atual.

Tarefa

1 Entre no console do McAfee Web Gateway e selecione Configuração | Appliances.

2 Na árvore de appliances, expanda Cluster e clique em Informações sobre o locatário.

As configurações de Informações sobre o locatário aparecem no painel de configuração.

3

(12)

3 Clique em Mostrar chave de provisionamento e copie a chave de provisionamento necessária à ativação.

A chave é gerada com base no seu ID de cliente e o carimbo de hora atual usando SHA256 e codificação base64. A chave de provisionamento é um identificador único do McAfee Web Gateway usado pelo McAfee ePO Cloud para gerar uma chave de ativação criptografada. Anote essa chave, pois ela é necessária para gerar uma chave de ativação.

4 Use a chave de provisionamento para gerar uma chave de ativação do McAfee ePO Cloud.

a Entre no portal do McAfee ePO Cloud em https://manage.mcafee.com.

b Selecione Menu | Configuração | Configurações do servidor e selecione Cloud Threat Detection Setup (Configuração da Detecção de ameaças na nuvem).

c Insira a chave de provisionamento e clique em Generate Activation Key (Gerar chave de ativação).

d Copie a chave de ativação de McAfee ePO Cloud.

5 Volte à página Tenant ID Configuration (Configuração do ID do locatário) no console do McAfee Web Gateway, cole a chave de ativação e clique em Set Tenant ID (Definir ID do locatário).

Ativar regras para um critério de envio de arquivo no McAfee Web Gateway

Ative o conjunto de regras padrão do McAfee CTD ou personalize o conjunto de regras para selecionar arquivos para análise.

Os conjuntos de regras da Detecção de ameaças na nuvem estão pré-configurados. Se eles foram excluídos ou alterados, importe-os da biblioteca de conjuntos de regras. Esses conjuntos de regras do McAfee CTD estão disponíveis na biblioteca Gateway Anti-Malware (Antimalware de gateway):

• Detecção de ameaças na nuvem

• Detecção de ameaças na nuvem - Hybrid Tarefa

1 Entre no console do McAfee Web Gateway.

2 Selecione Política | Conjuntos de regras | Detecção de ameaças na nuvem e ative o conjunto de regras padrão ou altere as configurações conforme necessário.

Opção Descrição

Ativar Ativa o conjunto de regras.

Ativar na nuvem Ativa o conjunto de regras do McAfee Web Gateway Cloud Service para o cenário de distribuição híbrida.

Aplica-se a Seleciona quando o conjunto de regras será processado:

• Solicitação (de usuários)

• Respostas (de servidores Web)

• Objetos incorporados (com solicitação e respostas)

Editar Permite alterar as configurações de regra (não recomendado).

3

Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service Ativar regras para um critério de envio de arquivo no McAfee Web Gateway

(13)

Opção Descrição

Ativar a página de progresso Exibe a página de progresso de um arquivo enviado.

Fazer upload do arquivo no CTD e

aguardar o resultado da varredura Bloqueia o processamento ou o download do arquivo enquanto a análise está em andamento.

3 Expanda todas as configurações definidas para o módulo Antimalware (mecanismo) e verifique se na seção Selecionar mecanismos de varredura e comportamento, está selecionada a opção Serviço na nuvem somente: enviar arquivos para o serviço da Detecção de ameaças na nuvem para análise minuciosa através de sandboxing.

4 Se você alterou alguma opção no conjunto de regras, clique em Salvar alterações.

Ativar o McAfee CTD no McAfee Web Gateway Cloud Service

Ative a regra do McAfee CTD definida no McAfee Web Gateway Cloud Service.

Tarefa

Não é necessária uma chave de provisionamento ou de ativação para ativar o McAfee CTD para a distribuição apenas na nuvem do McAfee Web Gateway. Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou em Ajuda.

1 Entre no McAfee ePO Cloud.

2 Selecione Web Protection | Gerenciamento de políticas.

3 Em Navegador de política, expanda o Filtro antimalware e selecione Detecção de ameaças na nuvem.

4 Em Detalhes da regra, no lado direito da tela, selecione Ativar a regra e clique em Salvar.

Como um arquivo suspeito é analisado

O McAfee Web Gateway envia um arquivo suspeito, o McAfee CTD realiza uma análise detalhada e informa os resultados de acordo com as configurações feitas em sua versão do produto.

1 Um usuário envia uma solicitação para acessar um objeto da Web (por exemplo, um arquivo) a partir de um sistema da sua rede que é um cliente do McAfee Web Gateway.

2 Se o objeto for aprovado nas regras de filtragem antimalware, o McAfee Web Gateway o encaminhará para o servidor Web apropriado.

3 Se o arquivo for suspeito e os critérios de envio do arquivo para o McAfee CTD forem atendidos, o McAfee Web Gateway encaminhará o arquivo ao McAfee CTD para análise.

Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service

Ativar o McAfee CTD no McAfee Web Gateway Cloud Service

3

(14)

4 Enquanto a análise está em andamento, uma destas ações ocorrem de acordo com o conjunto de regras:

• Varredura online — O processamento ou download do arquivo é bloqueado durante a análise. A análise geralmente leva até 45 minutos para ser concluída. Quando a análise é concluída, os relatórios são gerados e as ações configuradas são realizadas. Esta opção está disponível somente com a distribuição no local ou híbrida do McAfee Web Gateway.

• Varredura offline — O arquivo pode ser processado ou baixado durante a análise. Quando a análise é concluída, os resultados são publicados para bloquear qualquer download futuro de um arquivo semelhante.

5 Uma análise detalhada do arquivo pode ser obtida no dashboard Espaço de trabalho de ameaças na nuvem do McAfee ePO Cloud.

3

Integração com McAfee Web Gateway e McAfee Web Gateway Cloud Service Como um arquivo suspeito é analisado

(15)

4 Integração com o McAfee Network Security Manager

O McAfee Network Security Manager pode ser ativado para enviar os arquivos suspeitos ao McAfee ePO Cloud para varredura.

O McAfee CTD faz a varredura nos arquivos recebidos. Quando é encontrado algum conteúdo

mal-intencionado, o sensor do McAfee Network Security Manager envia um alerta para o gerenciador do McAfee Network Security Manager.

Conteúdo

Ativar o McAfee CTD no McAfee Network Security Manager Configurar políticas de malware avançado

Como um arquivo suspeito é analisado Exibir estatísticas de malware

Verificação da integração

Ativar o McAfee CTD no McAfee Network Security Manager

Ative o McAfee CTD para usar com McAfee Network Security Manager.

Tarefa

1 Entre no console do McAfee Network Security Manager, selecione Manager (Gerenciador) | <Nome do domínio de admin.> | Integration (Integração) | CTD.

2 Selecione Enable CTD Integration (Ativar a integração de CTD).

A seção Activation Key (Chave de ativação) exibe a chave de provisionamento, e o status da chave de ativação é Required.(Obrigatório). Tome nota da chave de provisionamento, que é necessária para gerar uma chave de ativação do McAfee ePO Cloud.

3 Em Manage Activation Key (Gerenciar chave de ativação), selecione Open Cloud ePO Console (Abrir o console do ePO na nuvem).

4

(16)

6 Insira a chave de provisionamento que você copiou do McAfee Network Security Manager e clique em Generate Activation Key (Gerar chave de ativação).

7 Copie a chave de ativação de McAfee ePO Cloud.

8 Volte ao McAfee Network Security Manager e, na página do CTD, selecione Manage Activation Key (Gerenciar chave de ativação) e clique em Add Activation Key (Adicionar chave de ativação).

9 Insira a chave de ativação na caixa New Activation Key (Nova chave de ativação) e selecione Add (Adicionar).

10 Quando a chave de ativação for adicionada e o Activation Key Status (Status da chave de ativação) mudar para Present (Presente), clique em Save (Salvar).

Configurar políticas de malware avançado

Configure políticas de malware avançado para enviar arquivos executáveis e PDF ao McAfee CTD.

Para configurar políticas de malware avançado a fim de enviar arquivos ao McAfee CTD, realize as seguintes etapas:

Tarefa

1 Vá para a página Política | <Nome do domínio de admin.> | Prevenção contra intrusões | Tipos de política | Políticas de malware avançado.

2 Verifique e ative a Reputação do arquivo TIE/GTI para arquivos executáveis e PDF na página Política de malware avançado antes de ativar a opção McAfee ePO Cloud para ambos os tipos de arquivo.

Será exibida uma mensagem de confirmação perguntando se você deseja ativar a Reputação do arquivo TIE/GTI para arquivos executáveis e PDF.

3 Clique em Sim para continuar.

4 No mecanismo de malware do McAfee Cloud, selecione Arquivos executáveis e PDF.

Como um arquivo suspeito é analisado

Quando um arquivo suspeito tenta entrar na rede e é interceptado pelo sensor do McAfee Network Security Manager, o McAfee Network Security Manager trabalha junto com o McAfee CTD para fazer a varredura nesse arquivo suspeito, como ilustra esta sequência.

Essa sequência é apenas um meio de visualizar os resultados da análise de malware. Para conhecer meios alternativos, consulte o Guia de administração do McAfee Network Security Manager.

1 Quando um arquivo suspeito tenta entrar na rede, o sensor do McAfee Network Security Manager computa um hash de arquivo e, se a varredura de malware avançado está ativada, consulta vários mecanismos de varredura de malware.

2 Se os resultados dos mecanismos de malware são desconhecido, baixo ou muito baixo, o sensor do McAfee Network Security Manager sinaliza esse arquivo e o encaminha para o gerenciador do McAfee Network Security Manager.

4

Integração com o McAfee Network Security Manager Configurar políticas de malware avançado

(17)

3 O gerenciador do McAfee Network Security Manager envia o arquivo para o McAfee CTD para nova varredura e faz a sondagem de resultados a cada cinco minutos.

• O gerenciador do McAfee CTD emite um alerta, MALWARE: Unknown File Download Detected and Submitted to McAfee Cloud Service for Analysis (MALWARE: um download de arquivo desconhecido foi detectado e enviado ao McAfee Cloud Service para análise), no Attack Log (Registro de ataques), indicando que um arquivo suspeito foi enviado.

Se a reputação do arquivo retornado pelo McAfee CTD está limpa, o alerta é removido do Attack Log (Registro de ataques). Se a reputação do arquivo é exibida como Pending (Pendente) no Attack Log (Registro de ataques) por mais de três horas, o alerta é removido.

Se a opção Salvar arquivo está ativada na página Políticas de malware avançado, o arquivo cujo alerta foi removido do Attack Log (Registro de ataques) é salvo em Gerenciar | Manutenção | Arquivos pasta | Arquivo de malware. Você pode reenviar esse arquivo para varredura.

4 Se o McAfee CTD retorna uma reputação de arquivo medium (médio), high (alto) ou very high (muito alto), o gerenciador do McAfee Network Security Manager emite um alerta, MALWARE:

Malicious File Detected by McAfee Cloud Service (MALWARE: foi detectado um arquivo

mal-intencionado pelo McAfee Cloud Service) no Attack Log (Registro de ataques). Nesse caso, o alerta de envio é substituído pelo ID de ataque da detecção de arquivo mal-intencionado. Se o arquivo é retornado como desconhecido ou limpo, o alerta de envio é excluído.

5 Se o envio do arquivo para o McAfee CTD excede o limite diário ou quando a taxa de envio de arquivo é muito alta, são geradas falhas do sistema. O limite de envio de arquivos e a taxa de envio diários estão baseados no tipo de licença adquirido no contrato com a McAfee. As falhas do sistema podem ser vistas na interface do McAfee Network Security Manager. Para exibir as falhas do sistema relacionadas ao licenciamento, vá para Gerenciador | <Domínio de admin.> | Solução de problemas

| Falhas do sistema.

6 Clique duas vezes no alerta cujos detalhes você quer exibir.

É aberto o painel Detalhes do alerta.

7 É possível exibir os detalhes do usuário na seção Atacante / Destino.

8 Você pode exibir o nível de confiança do malware na página Arquivos de malware.

• Exiba os detalhes do McAfee CTD de um malware detectado.

Na página Arquivos de malware, clique ao lado do nível de confiança do McAfee Cloud. Um relatório gerado pelo McAfee CTD é aberto em uma janela.

Campo Descrição

Propriedades do arquivo Exibe a severidade mais alta do malware retornada pelos componentes do McAfee CTD, valor hash do arquivo do MD5, tamanho do arquivo, arquivos que foram detectados primeiro e por último.

Aliases

Atividades observadas Atividades realizadas pelo malware.

Alterações no sistema

Exibir estatísticas de malware

Integração com o McAfee Network Security Manager

Exibir estatísticas de malware

4

(18)

Tarefa

1 Entre no console do McAfee Network Security Manager e selecione Manager (Gerenciador) | <Nome do domínio de admin.> | Integration (Integração) | CTD | Statistics (Estatísticas).

2 Verifique esses detalhes.

Campo Descrição

Total de arquivos enviados O número total de arquivos enviados para o McAfee CTD desde que os contadores foram reiniciados pela última vez.

Arquivos com confiança muito

alta de malware Arquivos que continham qualquer um desses valores de reputação que foram armazenados no McAfee CTD e não foram enviados novamente para análise.

Arquivos com confiança alta de malware

Arquivos com confiança média de malware

Arquivos com confiança baixa de malware

Arquivos com confiança muito baixa de malware

Arquivos com confiança de malware limpo

Hora do último envio A última vez em que um arquivo foi enviado para o McAfee CTD.

Última solicitação de envio a

partir de O produto gerenciado do qual o último arquivo foi enviado.

Total de erros de envio O número total de arquivos enviados para o McAfee CTD que continham erro.

• O erro do último envio é exibido na terceira coluna da grade sempre que há um erro.

Salvar como CSV Exporta informações como um arquivo .csv que você pode usar para realizar análises mais detalhadas.

Reiniciar contadores Reinicia todos os contadores de dados.

Salvar Certifique-se de salvar as alterações após a reinicialização dos contadores.

É possível atualizar os dados exibidos clicando nesse ícone.

4

Integração com o McAfee Network Security Manager Exibir estatísticas de malware

(19)

Verificação da integração

É possível verificar se a integração entre o McAfee CTD e o McAfee Network Security Manager está funcionando.

Para confirmar isso... Faça isto...

Presença da chave de ativação Confirme se o status da chave de ativação é Present (Presente) com um ícone verde.

Conectividade e validade da chave de

ativação Use a opção Testar conexão.

Êxito no envio Veja os contadores antes e depois do envio do arquivo para garantir que estejam aumentando conforme esperado.

Integração com o McAfee Network Security Manager

Verificação da integração

4

(20)

4

Integração com o McAfee Network Security Manager Verificação da integração

(21)

5 Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem

O dashboard Espaço de trabalho de ameaças na nuvem fornece relatórios, como rastreamento de status do arquivo, medição do uso do locatário e determinação da integridade da análise do arquivo distribuído.

O dashboard Espaço de trabalho de ameaças na nuvem fornece as seguintes informações:

• Um relatório de análise com uma lista de arquivos enviados com o respectivo status e detalhes de ameaças.

• Uma contagem de arquivos em cada status de análise e o número total de arquivos enviados mostrados no cabeçalho principal da página de relatório de análise. Você pode clicar em um status para filtrar os resultados sob um status específico.

• Os dados históricos de um período selecionado.

• Detalhes sobre um arquivo selecionado.

• O status do serviço de sandboxing do McAfee ePO Cloud e outros alertas.

Conteúdo

Relatório de análise de malware Detalhes do arquivo enviado Status de arquivo geral Filtro do seletor de tempo Status do serviço de análise

Relatório de análise de malware

O Relatório de análise exibe uma lista de arquivos enviados com as informações sobre seus status e detalhes da análise de ameaças.

Esse relatório mostra os arquivos que foram enviados para análise e seu resultado ou status da análise. Você pode planejar ações adicionais para os arquivos que estão Em risco. É possível filtrar os resultados, exibir informações detalhadas sobre um arquivo e respectiva análise ou exibir o status do serviço de sandboxing.

5

(22)

Nome do arquivo Nome do arquivo detectado.

Status Status da análise de arquivo.

• Alto risco — O status de risco do arquivo é alto e o arquivo deve ser bloqueado para execução.

• Suspeito — O status de risco do arquivo é moderado e pode requerer análise mais detalhada.

• Baixo risco — O status de risco do arquivo é baixo e sua execução pode ser segura.

• Com falha — Falha da análise do arquivo.

• Monitorado — O arquivo está sendo monitorado.

• Em andamento — O arquivo está sendo analisado.

Por meio de Produto de origem do qual o arquivo foi enviado.

• McAfee Network Security Platform — Enviado por McAfee Network Security Manager

• McAfee Web Gateway — Enviado por McAfee Web Gateway

• McAfee Web Security — Enviado por McAfee Web Gateway Cloud Service

Enviado Data e hora em que o arquivo foi enviado.

Tempo de processamento Tempo gasto para analisar o arquivo.

Clicar em um status Filtra o resultado para exibir uma lista de arquivos que têm o status selecionado.

Clicar em uma coluna Classifica o relatório pela coluna selecionada.

Clicar no seletor de

tempo Permite selecionar um tempo durante o qual você deseja filtrar a lista.

Clicar em um arquivo Exibe informações detalhadas sobre o arquivo e seus resultados de análise no painel direito do dashboard Espaço de trabalho de ameaças na nuvem.

Detalhes do arquivo enviado

Clique em um arquivo do Relatório de análise para que sejam exibidas informações detalhadas sobre o arquivo e os resultados da análise no painel direito do dashboard Espaço de trabalho de ameaças na nuvem.

Barra de título Exibe o nome do arquivo e o respectivo status no título.

Por meio de Produto de origem do qual o arquivo foi enviado.

• NSM — Enviado por McAfee Network Security Manager

• McAfee Web Gateway — Enviado por McAfee Web Gateway

• Web SaaS — Enviado por McAfee Web Gateway Cloud Service

Enviado Data e hora em que o arquivo foi enviado.

Tempo de processamento Tempo gasto para analisar o arquivo.

5

Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem Detalhes do arquivo enviado

(23)

Detalhes da ameaça Exibe informações sobre as ameaças associadas ao arquivo, como tipo de arquivo, assinaturas, autenticação e malware detectados no arquivo, e quaisquer nomes adicionais relacionados a malware.

Reputação Exibe o status do risco ao arquivo e a reputação do arquivo com sugestões adicionais. Por exemplo, se o status da ameaça ao arquivo for Com falha, haverá uma sugestão para fazer download de um Indicador de

comprometimento (IOC) que ajudará a analisar melhor usando ferramentas adicionais.

Status de arquivo geral

O cabeçalho do dashboard Espaço de trabalho de ameaças na nuvem exibe a contagem de arquivos para cada status e o número total de arquivos enviados. Cada status é exibido em uma cor distinta para diferenciá-los.

Status Cor Descrição

Alto risco Vermelho O status de risco do arquivo é alto e sua execução deve ser bloqueada.

Suspeito Laranja O status de risco do arquivo é moderado e pode exigir análise mais detalhada.

Baixo risco Verde-pálido O status de risco do arquivo é baixo e sua execução pode ser segura.

Com falha Preto Falha da análise do arquivo.

Monitorado Amarelo-pálido O arquivo está sendo monitorado.

Filtro do seletor de tempo

Selecione um período de tempo para o qual você deseja exibir os resultados no relatório Status da análise.

Últimas 4 horas Exibe a lista de arquivos enviados nas últimas quatro horas.

Últimas 8 horas Exibe a lista de arquivos enviados nas últimas oito horas.

Últimas 12 horas Exibe a lista de arquivos enviados nas últimas 12 horas.

Últimos 7 dias Exibe a lista de arquivos enviados nas últimas sete dias.

Últimos 14 dias Exibe a lista de arquivos enviados nas últimas 14 dias.

Últimos 90 dias Exibe a lista de arquivos enviados nas últimas 90 dias.

Sempre Exibe a lista inteira de arquivos enviados até a data.

Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem

Status de arquivo geral

5

(24)

Status do serviço de análise

Clique no ícone de notificação (símbolo de sino) no dashboard Espaço de trabalho de ameaças na nuvem para exibir um cartão de integridade e obter detalhes sobre o serviço de análise do McAfee CTD.

Status do servidor de Sandbox

na nuvem Exibe um código de cor para indicar se o serviço de análise do McAfee CTD está funcionando. Vermelho indica que o servidor está inoperante e verde significa que ele está funcionando.

Gráficos (por data de envio) Os gráficos representam os envios de arquivo por data e seu status. É possível selecionar um período de tempo para exibir as mudanças nos resultados.

Total de arquivos enviados Número de arquivos enviados para análise no período definido no seletor de tempo.

Disponível O número restante de arquivos que pode ser analisado.

Tempo de processamento Tempo gasto para analisar o arquivo.

Porcentagem de envios de

arquivo (por produtos) Porcentagem de arquivos enviados por produtos McAfee.

5

Como trabalhar com o dashboard Espaço de trabalho de ameaças na nuvem Status do serviço de análise

(25)

A Solução de problemas

Esses são os problemas comuns que podem surgir enquanto você trabalha com o McAfee CTD.

Problemas de integração do McAfee Network Security Manager Problema Descrição

Falha de

conectividade Clicar em Testar conexão na página de integração do McAfee CTD resulta em falha de conectividade. Esse problema ocorre quando a conexão entre o McAfee Network Security Manager e o McAfee CTD não foi bem-sucedida.

• Certifique-se de que a chave de ativação correta foi inserida.

• Use a opção Abrir ePO em nuvem para confirmar se o McAfee ePO Cloud pode ser acessado. https://login.mcafee.com/v1

• Verifique a tabela iv_ems.properties no banco de dados do McAfee Network Security Manager. Certifique-se de que os URLs correspondentes a estes atributos estão acessíveis:

• iv.malware.CloudPrometheus.gtiSubmitTarget

• iv.malware.CloudPrometheus.gtiUsageTarget Problemas de

licenciamento Quando o número de arquivos enviados excede o limite diário ou quando a taxa de envio de arquivo é muito alta, são geradas falhas do sistema. Esses problemas podem ser vistos na página Falhas do sistema na interface do McAfee Network Security Manager. O tipo de licença adquirido define o número de arquivos que pode ser enviado diariamente.

Os possíveis problemas com o McAfee CTD são:

• Assinatura inválida do CTD — Este tipo de falha é gerado quando as tentativas de enviar arquivos para o McAfee CTD são rejeitadas porque a chave de ativação usada na integração do McAfee CTD não está associada a uma assinatura válida do cliente.

Solução alternativa — Corrija a assinatura no McAfee ePO Cloud e importe uma nova chave de ativação para o gerenciador do McAfee Network Security Manager.

• Assinatura expirada do CTD — Este tipo de falha é gerado quando as tentativas de enviar arquivos para o McAfee CTD são rejeitadas porque a chave de ativação usada na integração do McAfee CTD está associada a uma assinatura expirada.

Solução alternativa — Corrija a assinatura no McAfee CTD e importe uma nova chave de ativação para o gerenciador do McAfee Network Security Manager.

• Limite de envio de arquivos ao CTD atingido — Este tipo de falha é gerado quando é atingido o limite diário de envios de arquivos ao McAfee CTD.

Solução alternativa — Pode ser necessário adquirir uma outra licença.

• Taxa muito alta de envio de arquivos ao CTD — Este tipo de falha é gerado quando as tentativas de enviar arquivos ao McAfee CTD são rejeitadas porque a taxa de envio

(26)

Problema Descrição

Solução alternativa — Pode ser necessário adquirir uma outra licença.

Para obter mais informações sobre as falhas do sistema, consulte o Guia de solução de problemas do McAfee Network Security Manager

Problemas de integração do McAfee Web Gateway e McAfee Web Gateway Cloud Service

Problema Descrição

Falhas comuns:

• 14030 — Falha na comunicação (tempos limite, problemas da rede, recebimento de dados inválidos).

• 14031 — Não é possível fazer a varredura no arquivo (ausência de licença, amostra excede o limite de tamanho, envio rejeitado pelo servidor)

Causas:

• O recurso McAfee CTD não está licenciado.

Solução alternativa — Para a distribuição no local, gere e importe a chave de importação. Para a distribuição somente na nuvem, verifique se há assinatura do McAfee CTD no McAfee ePO Cloud.

• O McAfee Web Gateway não está configurado para fazer a verificação de certificado.

• Algum problema com a resolução DNS.

• O McAfee Web Gateway não se conectou ao serviço McAfee CTD no tempo configurado.

• O tempo total necessário para analisar a amostra excedeu o valor configurado.

A

Solução de problemas

(27)

Índice

D

dashboard

detalhes do arquivo 22 relatório de análise 21 seletor de tempo 23 status do arquivo 23 status do serviço 24

visão geral do espaço de trabalho de ameaças na nuvem 21

G

gerenciamento de contas

Cloud Threat Detection, ativação 9 novos usuários, ativação 9 uso de licença, exibição 10 usuários existentes, ativação 10

I

integração

network security manager 15

network security manager, ativação 15 network security manager, verificação 19

política do network security manager, configuração 16 regras do web gateway, ativação 12

web gateway 11 web gateway cloud 11

web gateway cloud, ativação 13 web gateway, ativação 11 introdução

arquitetura 6 como funciona 6

fluxo de trabalho da solução 6

introdução (continuação)

fluxo de trabalho de análise 7 produtos compatíveis 7 recursos da solução 5 visão geral 5

N

network security manager estatísticas, exibição 17 fluxo de trabalho de análise 16 integração, verificação 19 política, configuração 16 solução de problemas 25 solução, ativação 15 visão geral da integração 15

S

solução de problemas 25

W

web gateway

fluxo de trabalho de análise 13 regras, ativação 12

solução de problemas 25 solução, ativação 11 visão geral da integração 11 web gateway cloud

fluxo de trabalho de análise 13 solução de problemas 25 solução, ativação 13 visão geral da integração 11

(28)