Lösungshandbuch McAfee Cloud Threat Detection 1.0.0 Zur Verwendung mit McAfee ePolicy Orchestrator Cloud COPYRIGHT © 2016 Intel Corporation MARKEN Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Inhaltsverzeichnis 1 2 Lösungsübersicht 5 Wichtigste Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Analyse von Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterstützte McAfee-Produktversionen . . . . . . . . . . . . . . . . . . . . . . . . . 5 6 7 7 Aktivieren von McAfee CTD und Verwalten Ihres Kontos 9 Aktivieren von McAfee CTD bei der Registrierung für McAfee ePO Cloud . . . . . . . . . . . . 9 Aktivieren von McAfee CTD in einem vorhandenen Konto . . . . . . . . . . . . . . . . . . 10 Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz . . . . . . . . . . . . . 10 3 Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service Aktivieren von McAfee CTD in McAfee Web Gateway . . . . . . . Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service . Analyse verdächtiger Dateien . . . . . . . . . . . . . . . . 4 . . Web . . . . . . . . Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 . 13 . 14 . 15 . 16 Integrieren in McAfee Network Security Manager 17 Aktivieren von McAfee CTD in McAfee Network Security Manager . . . . . . . . . . . . . . Konfigurieren von erweiterten Malware-Richtlinien . . . . . . . . . . . . . . . . . . . . Analyse verdächtiger Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Malware-Statistiken . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für CloudBedrohungen) 23 Malware-Analysebericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Details der übermittelten Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . Gesamtdateistatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zeitauswahlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Status des Analysedienstes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A 17 18 18 20 21 23 24 25 25 26 Fehlerbehebung 27 Index 29 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 3 Inhaltsverzeichnis 4 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 1 Lösungsübersicht ® ® Mit der McAfee Cloud Threat Detection (McAfee CTD)-Lösung können Sie Ihre vorhandene Sicherheitsinfrastruktur durch die McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)-Software in Ihrer Cloud-basierten Umgebung um Sandboxing-Funktionen erweitern. ® ® ® ™ ® Sie können McAfee CTD für die Zusammenarbeit mit McAfee-Sicherheitsprodukten wie McAfee Web Gateway, McAfee Network Security Manager-Appliances und McAfee Web Gateway Cloud Service (McAfee WGCS) konfigurieren. ® ® ® Mit diesen Produkten können verdächtige Dateien, die Sie an Ihren Endpunkten, im Netzwerk und im Internet antreffen, automatisch analysiert werden. Anschließend erhalten Sie von McAfee CTD einen detaillierten Bericht. Sie können in den integrierten Produkten eine einheitliche Richtlinie für die Auswahl der zu übermittelnden Dateien festlegen. Inhalt Wichtigste Funktionen Funktionsweise Analyse von Dateien Unterstützte McAfee-Produktversionen Wichtigste Funktionen Mit McAfee CTD erhalten Sie Cloud-basierte erweiterte Malware-Analyse mit den folgenden Funktionen. Funktionstyp Beschreibung Erweiterte Malware-Erkennung Bedrohungen werden früher erkannt, da unbekannte Dateien automatisch analysiert werden. Dateien werden einer statischen (Funktion) und dynamischen (Verhalten) Analyse unterzogen. Sie erhalten detaillierte Berichte, die im STIX 1.1-Format sowie in für Benutzer lesbaren Formaten ausgegeben werden. Sandboxing Die Datei wird auf einem Cloud-basierten Server ausgeführt, um ihr Verhalten zu testen. Cloud-basierte Bereitstellung Wird in McAfee ePO Cloud bereitgestellt, um Ihre Endpunkte und integrierten Produkte zu schützen. Integration in McAfee Network Security Manager Ermöglicht die Übermittlung verdächtiger Dateien, die in das Netzwerk gelangen und vom Sensor abgefangen werden, über McAfee Network Security Manager. Integration in McAfee Web Gateway und McAfee Web Gateway Cloud Service Ermöglicht die Übermittlung verdächtiger Dateien aus den lokalen und Cloud-basierten Versionen von McAfee Web Gateway, die auf einem Web-Server installiert sind. Dateiübermittlungskriterien Ermöglichen es Ihnen, einheitliche Richtlinien über die integrierten Sicherheitsprodukte zu definieren. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 5 1 Lösungsübersicht Funktionsweise Funktionstyp Beschreibung Berichterstellung Berichte können an den folgenden Stellen erstellt werden: • Im Dashboard Threat Detection Workspace (Arbeitsbereich für Erkennung von Bedrohungen) erhalten Sie Informationen zur Überwachung des Dateistatus, zur Messung der Mandantenverwendung und zur Ermittlung des Zustands der verteilten Dateianalyse. • Der IOC-Bericht (Indicators of Compromise, Kompromittierungsindikatoren) enthält detaillierte Analyseinformationen im maschinenlesbaren STIX 1.1-Format, die sofort verwendet werden können. McAfee Global Threat Intelligence (McAfee GTI) ® ™ Veröffentlicht Ergebnisse in McAfee GTI, die für den Schutz aller Ihrer von McAfee geschützten Geräte verwendet werden. Funktionsweise Die McAfee CTD-Lösung ist als zentralisierte, Cloud-basierte Bereitstellung über McAfee ePO Cloud verfügbar. Erweitern Sie Ihre Sicherheitsinfrastruktur, indem Sie vorhandene Tools für Netzwerk, Malware-Erkennung, Schutz und Korrektur in McAfee CTD integrieren. Architektur In diesem Diagramm wird die allgemeine Architektur der Lösung dargestellt und gezeigt, wie sie sich in Ihre vorhandene Sicherheitsinfrastruktur einfügt. Workflow 6 1 Der Administrator meldet sich beim McAfee ePO Cloud-Portal an. 2 Der Administrator abonniert McAfee CTD über die Benutzeroberfläche von McAfee ePO Cloud. 3 Der Administrator integriert die McAfee-Sicherheitsprodukte wie beispielsweise McAfee Web Gateway, McAfee Network Security Manager und McAfee Web Gateway Cloud Service, damit sie zusammen mit McAfee CTD verwendet werden können. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Lösungsübersicht Analyse von Dateien 1 4 Basierend auf den lokalen Analyse- und Entscheidungsfindungskonfigurationen der McAfee-Produkte werden die Dateien für die Analyse ausgewählt und zum Scannen an McAfee ePO Cloud gesendet. In McAfee ePO Cloud wird die Datei mithilfe des McAfee CTD-Verwaltungsdiensts auf Malware analysiert. Wenn bösartige Inhalte gefunden werden, werden Warnungen gesendet. 5 Das Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) im McAfee ePO Cloud-Portal enthält Informationen wie beispielsweise den Status übermittelter Dateien, Informationen zur Verwendung integrierter Produkte, den Status des Analysedienstes und Ergebnisse der Bedrohungsanalyse. Analyse von Dateien Von den integrierten Sicherheitsprodukten werden Dateien, für die eine erweiterte Analyse erforderlich ist, ausgewählt und an McAfee CTD gesendet. Dort wird eine detaillierte Analyse der Dateien ausgeführt, und es werden entsprechende Ergebnisse und IOC-Berichte bereitgestellt. 1 Von einem McAfee-Sicherheitsprodukt wie beispielsweise McAfee Web Gateway oder McAfee Network Security Manager wird eine verdächtige Datei an McAfee CTD gesendet. 2 Wenn die Informationen zur Datei bereits in McAfee GTI verfügbar sind, werden die Ergebnisse mit IOC-Berichten zurück an das Sicherheitsprodukt gesendet. 3 Wenn keine Informationen zur Datei bekannt sind, werden die Dateidetails durch eine statische Analyse von McAfee CTD extrahiert. 4 Die Datei wird in einer Sandbox-Umgebung ausgeführt. Alle Aktionen werden aufgezeichnet, überprüft und bewertet. 5 In McAfee CTD wird die Analyse basierend auf Big Data und maschinellen Lerntechniken verwendet, um das Verhalten mit bekanntem Malware-Verhalten zu vergleichen. 6 Auf der Grundlage der Ergebnisse werden Richtlinien für McAfee-Sicherheitsprodukte für zukünftige Fälle aktualisiert. Die IOC-Berichte werden für die Benutzer generiert. Die McAfee GTI-Datenbank wird mit den IOCs der neuesten Erkennungen aktualisiert. Unterstützte McAfee-Produktversionen Mit McAfee CTD können aus diesen McAfee-Produkten übermittelte Dateien analysiert werden, wenn sie über McAfee ePO Cloud in McAfee CTD integriert sind. Produkt Version McAfee Network Security Manager 8.3.7.44 oder höher McAfee Network Security Sensor (NS-Serie) 8.3.5.22 oder höher McAfee Web Gateway 7.7.0 oder höher McAfee Web Gateway Cloud Service Neueste in McAfee ePO Cloud verfügbare Version ® Weitere Informationen finden Sie in der Dokumentation des jeweiligen Produkts. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 7 1 Lösungsübersicht Unterstützte McAfee-Produktversionen 8 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 2 Aktivieren von McAfee CTD und Verwalten Ihres Kontos Greifen Sie auf McAfee ePO Cloud zu, aktivieren Sie McAfee CTD, und integrieren Sie die Software in Ihre McAfee-Produkte. Führen Sie die folgenden Aktionen aus, um McAfee CTD-Funktionen zusammen mit Ihren McAfee-Sicherheitsprodukten zu verwenden. 1 Aktivieren Sie McAfee CTD in McAfee ePO Cloud. 2 Aktivieren Sie McAfee CTD auf der Benutzeroberfläche Ihres McAfee-Sicherheitsprodukts, und besorgen Sie sich den Bereitstellungsschlüssel. 3 Verwenden Sie den Bereitstellungsschlüssel, um über die Benutzeroberfläche von McAfee ePO Cloud einen Aktivierungsschlüssel zu generieren. 4 Aktivieren Sie Ihr McAfee-Sicherheitsprodukt mit dem Aktivierungsschlüssel. Die detaillierten Anweisungen für das Beziehen des Bereitstellungsschlüssels und das Aktivieren eines Produkts variieren. In den folgenden Abschnitten finden Sie detaillierte Informationen zum Integrieren von McAfee CTD in Ihr McAfee-Produkt. Wenn von den integrierten Produkten Dateien zur Analyse an McAfee CTD gesendet werden, können Sie Ihre Verwendungsinformationen auf der Seite Abonnements in McAfee ePO Cloud anzeigen. Inhalt Aktivieren von McAfee CTD bei der Registrierung für McAfee ePO Cloud Aktivieren von McAfee CTD in einem vorhandenen Konto Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz Aktivieren von McAfee CTD bei der Registrierung für McAfee ePO Cloud Registrieren Sie sich für McAfee ePO Cloud, und aktivieren Sie McAfee CTD. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Wechseln Sie zum McAfee ePO Cloud-Portal (https://manage.mcafee.com), und klicken Sie auf Jetzt registrieren. 2 Wählen Sie McAfee Cloud Threat Detection als Produkt aus. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 9 2 Aktivieren von McAfee CTD und Verwalten Ihres Kontos Aktivieren von McAfee CTD in einem vorhandenen Konto 3 Füllen Sie das Formular mit Ihren Angaben aus. 4 Wählen Sie Ich akzeptiere den Lizenzvertrag und die Datenschutzhinweise aus, und klicken Sie dann auf Übermitteln. Klicken Sie auf die Links Lizenzvertrag und Datenschutzhinweise, um die Dokumente zu lesen. 5 Warten Sie auf die Aktivierungs-E-Mail, und folgen Sie dann den Anweisungen in der E-Mail, um Ihr McAfee ePO Cloud-Konto zu aktivieren. Aktivieren von McAfee CTD in einem vorhandenen Konto Melden Sie sich beim McAfee ePO Cloud-Portal an, und aktivieren Sie McAfee CTD für Ihr Konto. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Wechseln Sie zum McAfee ePO Cloud-Portal (https://manage.mcafee.com), geben Sie Ihre E-Mail-Adresse und Ihr Kennwort ein, und klicken Sie dann auf Anmelden. 2 Klicken Sie im Menü auf Mein Konto. 3 Klicken Sie auf Abonnements. 4 Klicken Sie in Bestellung/Testversion erstellen auf Testversion erstellen oder auf Jetzt kaufen für McAfee Cloud Threat Detection. 5 Folgen Sie den auf dem Bildschirm angezeigten Anweisungen. Anzeigen der Informationen zur Verwendung der McAfee CTDLizenz Hier können Sie sich über die Anzahl der an einem Tag an McAfee CTD übermittelten Dateien und über die Anzahl der Dateien, die Sie gemäß den Lizenzbedingungen noch an diesem Tag übermitteln können, informieren. 10 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 2 Aktivieren von McAfee CTD und Verwalten Ihres Kontos Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Wechseln Sie zum McAfee ePO Cloud-Portal (https://manage.mcafee.com), geben Sie Ihre E-Mail-Adresse und Ihr Kennwort ein, und klicken Sie dann auf Anmelden. 2 Klicken Sie im Menü auf Mein Konto und dann auf Abonnements. 3 Zeigen Sie unter Verwendungsübersicht die folgenden Details an. Option Beschreibung Dienstcode Zeigt den Dienstcode für McAfee CTD an. Er lautet Cloud Threat Detection (Erkennung von Cloud-Bedrohungen). Erworbene Lizenzen Gibt die maximale Anzahl von Dateien an, die Sie an einem Tag an McAfee CTD übermitteln können. Verwendete Lizenzen Gibt die Anzahl der Dateien an, die an dem Tag, an dem die Ergebnisse letztmals aktualisiert wurden, an McAfee CTD übermittelt wurden. Zuletzt aktualisiert Gibt das Datum der letzten Aktualisierung der Verwendungsinformationen an. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 11 2 Aktivieren von McAfee CTD und Verwalten Ihres Kontos Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz 12 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 3 Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service Sowohl für lokale als auch für Cloud-basierte Versionen von McAfee Web Gateway kann das Übermitteln verdächtiger Dateien an McAfee ePO Cloud zum Scannen aktiviert werden. Eingehende Dateien werden von McAfee CTD gescannt. Wenn bösartige Inhalte gefunden werden, werden die Aktionen ausgeführt, die Sie für Ihre Version von McAfee Web Gateway konfiguriert haben. ® McAfee Web Gateway ist Bestandteil einer integrierten Lösung mit dem Namen McAfee Web Protection. Mit dieser Lösung können Sie sich vor Bedrohungen schützen, die entstehen, wenn Benutzer von inner- oder außerhalb Ihres lokalen Netzwerks auf das Internet zugreifen. Da es sich um eine integrierte Lösung handelt, können Sie mitMcAfee Web Protection für den Web-Zugriff von lokalen Benutzern und Cloud-Benutzern dieselben Sicherheitsrichtlinien erzwingen. Inhalt Aktivieren von McAfee CTD in McAfee Web Gateway Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee Web Gateway Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service Analyse verdächtiger Dateien Aktivieren von McAfee CTD in McAfee Web Gateway Aktivieren Sie McAfee CTD für die Verwendung mit einer rein lokalen oder hybriden (lokal und in der Cloud) Bereitstellung von McAfee Web Gateway. Bevor Sie beginnen Aktivieren Sie McAfee CTD in Ihrem McAfee ePO Cloud-Konto. Weitere Informationen finden Sie unter Aktivieren von McAfee CTD in einem vorhandenen Konto. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Melden Sie sich bei der McAfee Web Gateway-Konsole an, und wählen Sie Configuration | Appliances (Konfiguration, Appliances) aus. 2 Erweitern Sie in der Appliances-Struktur die Option Cluster, und klicken Sie dann auf Tenant Info (Mandanteninformationen). Daraufhin werden im Konfigurationsbereich die Einstellungen für Tenant Info (Mandanteninformationen) angezeigt. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 13 3 Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee Web Gateway 3 Klicken Sie auf Show Provisioning Key (Bereitstellungsschlüssel anzeigen), und kopieren Sie den Bereitstellungsschlüssel, den Sie für die Aktivierung benötigen. Der Schlüssel wird basierend auf Ihrer Kunden-ID und dem aktuellen Zeitstempel mit SHA256- und Base64-Codierung generiert. Beim Bereitstellungsschlüssel handelt es sich um eine eindeutige ID für McAfee Web Gateway, die von McAfee ePO Cloud verwendet wird, um einen verschlüsselten Aktivierungsschlüssel zu generieren. Notieren Sie sich diesen Schlüssel, da Sie ihn zum Generieren eines Aktivierungsschlüssels benötigen. 4 5 Verwenden Sie den Bereitstellungsschlüssel, um über McAfee ePO Cloud einen Aktivierungsschlüssel zu generieren. a Melden Sie sich beim McAfee ePO Cloud-Portal an (https://manage.mcafee.com). b Wählen Sie Menu | Configuration | Server Settings (Menü, Konfiguration, Server-Einstellungen) und dann Cloud Threat Detection Setup (Setup für die Erkennung von Cloud-Bedrohungen) aus. c Geben Sie den Bereitstellungsschlüssel ein, und klicken Sie dann auf Generate Activation Key (Aktivierungsschlüssel generieren). d Kopieren Sie den Aktivierungsschlüssel aus McAfee ePO Cloud. Kehren Sie zurück zur Seite Tenant ID Configuration (Konfiguration der Mandanten-ID) in der McAfee Web Gateway-Konsole, fügen Sie den Aktivierungsschlüssel ein, und klicken Sie dann auf Set Tenant ID (Mandanten-ID festlegen). Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee Web Gateway Aktivieren Sie den McAfee CTD-Standardregelsatz, oder passen Sie den Regelsatz an, um Dateien für die Analyse auszuwählen. Die Regelsätze für die Cloud Threat Detection (Erkennung von Cloud-Bedrohungen) sind vorkonfiguriert. Wenn sie gelöscht oder geändert wurden, importieren Sie die Regelsätze aus der Regelsatzbibliothek. Die folgenden McAfee CTD-Regelsätze stehen in der Bibliothek für Gateway-Malware-Schutz zur Verfügung: • Cloud Threat Detection (Erkennung von Cloud-Bedrohungen) • Cloud Threat Detection - Hybrid (Erkennung von Cloud-Bedrohungen – Hybrid) Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 14 1 Melden Sie sich bei der McAfee Web Gateway-Konsole an. 2 Wählen Sie Policy | Rule Sets | Cloud Threat Detection (Richtlinie, Regelsätze, Erkennung von Cloud-Bedrohungen) aus, und aktivieren Sie dann den Standardregelsatz, oder ändern Sie die Einstellungen nach Bedarf. Option Beschreibung Enable (Aktivieren) Aktiviert den Regelsatz. Enable in Cloud (In Cloud aktivieren) Aktiviert den Regelsatz für McAfee Web Gateway Cloud Service für das hybride Bereitstellungsszenario. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service Option Beschreibung Applies to (Bezieht sich auf) Mit dieser Option wählen Sie aus, wann der Regelsatz verarbeitet wird: 3 • Request (Anfrage) (von Benutzern) • Responses (Reaktionen) (von Web-Servern) • Embedded objects (Eingebettete Objekte) (mit Anfrage und Reaktionen) Edit (Bearbeiten) Hier können Sie die Regeleinstellungen ändern (nicht empfohlen). Enable progress Page (Fortschrittsseite aktivieren) Zeigt die Fortschrittsseite für eine übermittelte Datei an. Upload File to CTD and Wait for Scanning Result (Datei in CTD hochladen und auf Scanergebnis warten) Blockiert die Verarbeitung oder das Herunterladen der Datei während der Ausführung der Analyse. 3 Erweitern Sie alle für das Malware-Schutzmodul (Modul) konfigurierten Einstellungen, und stellen Sie sicher, dass im Abschnitt Select Scanning Engines and Behavior (Scan-Module und Verhalten auswählen) die Option Cloud Service only: Send files to Cloud Threat Detection service for deep analysis through sandboxing (Nur Cloud-Dienst: Dateien zur umfassenden Sandbox-Analyse an Dienst zur Erkennung von Cloud-Bedrohungen senden) ausgewählt ist. 4 Wenn Sie Optionen im Regelsatz geändert haben, klicken Sie auf Save Changes (Änderungen speichern). Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service Aktivieren Sie den McAfee CTD-Regelsatz in McAfee Web Gateway Cloud Service. Bevor Sie beginnen Aktivieren Sie McAfee CTD in Ihrem McAfee ePO Cloud-Konto. Weitere Informationen finden Sie unter Aktivieren von McAfee CTD in einem vorhandenen Konto. Vorgehensweise Zum Aktivieren von McAfee CTD für die reine Cloud-Bereitstellung von McAfee Web Gateway benötigen Sie keinen Bereitstellungs- oder Aktivierungsschlüssel. Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Melden Sie sich bei McAfee ePO Cloud an. 2 Wählen Sie Web Protection | Policy Management (Web-Schutz, Richtlinienverwaltung) aus. 3 Erweitern Sie im Richtlinien-Browser die Option Anti-Malware Filter (Malware-Schutzfilter), und wählen Sie dann Cloud Threat Detection (Erkennung von Cloud-Bedrohungen) aus. 4 Wählen Sie rechts auf dem Bildschirm in Rule Details (Regeldetails) die Option Enable Rule (Regel aktivieren) aus, und klicken Sie dann auf Save (Speichern). McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 15 3 Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service Analyse verdächtiger Dateien Analyse verdächtiger Dateien Von McAfee Web Gateway wird eine verdächtige Datei gesendet, die von McAfee CTD detailliert analysiert wird. Anschließend werden die Ergebnisse gemäß Ihrer Konfiguration für die jeweilige Produktversion gemeldet. 1 Ein Benutzer sendet von einem System in Ihrem Netzwerk, das Client von McAfee Web Gateway ist, eine Anfrage für den Zugriff auf ein Webobjekt (beispielsweise eine Datei). 2 Wenn das Objekt durch die Filterregeln des Malware-Schutzes zugelassen wird, wird es von McAfee Web Gateway an den entsprechenden Web-Server weitergeleitet. 3 Wenn die Datei verdächtig ist und die Kriterien für die Übermittlung der Datei an McAfee CTD erfüllt sind, wird die Datei von McAfee Web Gateway zur Analyse an McAfee CTD weitergeleitet. 4 Während der Analyse wird gemäß dem Regelsatz eine der folgenden Aktionen ausgeführt: 5 16 • Online-Scan: Die Verarbeitung oder das Herunterladen der Datei wird während der Analyse blockiert. Die Analyse dauert im Allgemeinen bis zu 45 Minuten. Nach Abschluss der Analyse werden Berichte generiert und konfigurierte Aktionen ausgeführt. Diese Option ist nur für eine lokale oder hybride Bereitstellung von McAfee Web Gateway verfügbar. • Offline-Scan: Die Datei kann während der Analyse verarbeitet oder heruntergeladen werden. Nach Abschluss der Analyse werden die Ergebnisse veröffentlicht, um zukünftige Downloads einer ähnlichen Datei zu blockieren. Eine detaillierte Analyse der Datei finden Sie im Dashboard Arbeitsbereich für Cloud-Bedrohungen in McAfee ePO Cloud. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 4 Integrieren in McAfee Network Security Manager Für McAfee Network Security Manager kann das Übermitteln verdächtiger Dateien an McAfee ePO Cloud zum Scannen aktiviert werden. Eingehende Dateien werden von McAfee CTD gescannt. Wenn bösartige Inhalte gefunden werden, wird vom McAfee Network Security Manager-Sensor eine Warnung an McAfee Network Security Manager gesendet. Inhalt Aktivieren von McAfee CTD in McAfee Network Security Manager Konfigurieren von erweiterten Malware-Richtlinien Analyse verdächtiger Dateien Anzeigen von Malware-Statistiken Überprüfen der Integration Aktivieren von McAfee CTD in McAfee Network Security Manager Aktivieren Sie McAfee CTD für die Verwendung mit McAfee Network Security Manager. Bevor Sie beginnen Aktivieren Sie McAfee CTD in Ihrem McAfee ePO Cloud-Konto. Weitere Informationen finden Sie unter Aktivieren von McAfee CTD in einem vorhandenen Konto. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Melden Sie sich bei der McAfee Network Security Manager-Konsole an, und wählen Sie Manager | <Name der Administrationsdomäne> | Integration | CTD aus. 2 Wählen Sie Enable CTD Integration (CTD-Integration aktivieren) aus. Im Abschnitt Activation Key (Aktivierungsschlüssel) wird der Bereitstellungsschlüssel angezeigt, und der Status des Aktivierungsschlüssels lautet Required (Erforderlich). Notieren Sie sich den Bereitstellungsschlüssel, da Sie ihn zum Generieren eines Aktivierungsschlüssels über McAfee ePO Cloud benötigen. 3 Wählen Sie in Manage Activation Key (Aktivierungsschlüssel verwalten) die Option Open Cloud ePO Console (Cloud ePO-Konsole öffnen) aus. 4 Geben Sie Ihre Anmeldeinformationen für den McAfee ePO Cloud-Server ein, und klicken Sie auf Log on (Anmelden). McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 17 4 Integrieren in McAfee Network Security Manager Konfigurieren von erweiterten Malware-Richtlinien 5 Wählen Sie auf der Benutzeroberfläche von McAfee ePO Cloud die Optionen Menu | Configuration | Server Settings | Cloud Threat Detection Setup (Menü, Konfiguration, Server-Einstellungen, Setup für die Erkennung von Cloud-Bedrohungen) aus. 6 Geben Sie den aus McAfee Network Security Manager kopierten Bereitstellungsschlüssel ein, und klicken Sie dann auf Generate Activation Key (Aktivierungsschlüssel generieren). 7 Kopieren Sie den Aktivierungsschlüssel aus McAfee ePO Cloud. 8 Kehren Sie zu McAfee Network Security Manager zurück, und wählen Sie auf der CTD-Seite die Option Manage Activation Key (Aktivierungsschlüssel verwalten) aus. Klicken Sie dann auf Add Activation Key (Aktivierungsschlüssel hinzufügen). 9 Geben Sie den Aktivierungsschlüssel in das Feld New Activation Key (Neuer Aktivierungsschlüssel) ein, und wählen Sie die Option Add (Hinzufügen) aus. 10 Wenn der Aktivierungsschlüssel vollständig ist und sich der Status des Aktivierungsschlüssels in Present (Vorhanden) ändert, klicken Sie auf Save (Speichern). Konfigurieren von erweiterten Malware-Richtlinien Konfigurieren Sie erweiterte Malware-Richtlinien zum Senden von ausführbaren Dateien und PDF-Dateien an McAfee CTD. Führen Sie die folgenden Schritte aus, um erweiterte Malware-Richtlinien zum Senden von Dateien an McAfee CTD zu konfigurieren: Vorgehensweise 1 Wechseln Sie zur Seite Policy | <Name der Administrationsdomäne> | Intrusion Prevention | Policy Types | Advanced Malware Policies (Richtlinie, <Name der Administrationsdomäne>, Eindringungsschutz, Richtlinientypen, Erweiterte Malware-Richtlinien). 2 Überprüfen und aktivieren Sie die TIE-/GTI-Datei-Reputation für ausführbare Dateien und PDF-Dateien auf der Seite Advanced Malware Policy (Erweiterte Malware-Richtlinie), bevor Sie die McAfee ePO Cloud-Option für beide Dateitypen aktivieren. Sie werden in einer Bestätigungsmeldung gefragt, ob Sie die TIE-/GTI-Datei-Reputation für ausführbare Dateien und PDF-Dateien aktivieren möchten. 3 Klicken Sie zum Fortfahren auf Yes (Ja). 4 Wählen Sie im McAfee Cloud-Malware-Modul die Optionen Excecutables (Ausführbare Dateien) und PDF Files (PDF-Dateien) aus. Analyse verdächtiger Dateien Wenn eine verdächtige Datei in das Netzwerk gelangen soll und vom McAfee Network Security Manager-Sensor abgefangen wird, veranschaulicht diese Sequenz die Funktionsweise von McAfee Network Security Manager in Verbindung mit McAfee CTD beim Scannen der verdächtigen Datei. Diese Sequenz ist nur eine Möglichkeit, die Ergebnisse der Malware-Analyse anzuzeigen. Informationen zu alternativen Möglichkeiten finden Sie im McAfee Network Security Manager-Administrationshandbuch. 18 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 4 Integrieren in McAfee Network Security Manager Analyse verdächtiger Dateien 1 Wenn eine verdächtige Datei in das Netzwerk gelangen soll, wird vom McAfee Network Security Manager-Sensor ein Datei-Hash berechnet, und wenn erweiterte Malware-Scans aktiviert sind, werden beim Scannen verschiedene Malware-Module hinzugezogen. 2 Wenn die Ergebnisse der Malware-Module Unbekannt, Niedrig oder Sehr niedrig entsprechen, wird die Datei vom McAfee Network Security Manager-Sensor gekennzeichnet und an McAfee Network Security Manager weitergeleitet. 3 Die Datei wird von McAfee Network Security Manager zu weiteren Scans an McAfee CTD gesendet, und die Ergebnisse werden alle fünf Minuten abgefragt. • Vom McAfee CTD-Manager wird die Warnung MALWARE: Unknown File Download Detected and Submitted to McAfee Cloud Service for Analysis (MALWARE: Unbekannter Datei-Download erkannt und zur Analyse an McAfee-Cloud-Dienst übermittelt) im Angriffsprotokoll ausgelöst. Dies ist ein Hinweis darauf, dass eine verdächtige Datei übermittelt wurde. Wenn die von McAfee CTD zurückgegebene Datei-Reputation sauber ist, wird die Warnung aus dem Angriffsprotokoll entfernt. Wenn die Datei-Reputation länger als drei Stunden den Status Pending (Ausstehend) im Angriffsprotokoll hat, wird die Warnung entfernt. Wenn Sie auf der Seite Advanced Malware Policies (Erweiterte Malware-Richtlinien) die Option Save File (Datei speichern) aktiviert haben, wird die Datei, für die die Warnung aus dem Angriffsprotokoll entfernt wurde, im Ordner Manage | Maintenance | Files | Malware Archive (Verwalten, Wartung, Dateien, Malware-Archiv) gespeichert. Sie können die Datei erneut zum Scannen senden. 4 Wenn von McAfee CTD die Datei-Reputation Mittel, Hoch oder Sehr hoch zurückgegeben wird, wird von McAfee Network Security Manager die Warnung MALWARE: Malicious File Detected by McAfee Cloud Service (MALWARE: Bösartige Datei durch McAfee Cloud-Dienst erkannt) im Angriffsprotokoll ausgelöst. In diesem Fall wird die Übermittlungswarnung durch die Angriffs-ID der erkannten bösartigen Datei ersetzt. Wenn die Datei als unbekannt oder sauber zurückgegeben wird, wird die Übermittlungswarnung gelöscht. 5 Wenn durch die Dateiübermittlung an McAfee CTD das Tageslimit überschritten wird oder die Rate der Dateiübermittlungen zu hoch ist, werden Systemfehler generiert. Das Tageslimit für Dateiübermittlungen und die Übermittlungsrate basieren auf dem Typ der Lizenzen, die Sie beim Abschließen Ihres Vertrags mit McAfee erworben haben. Die Systemfehler können auf der Benutzeroberfläche von McAfee Network Security Manager angezeigt werden. Zum Anzeigen von Lizenzen im Zusammenhang mit den Systemfehlern wechseln Sie zu Manager | <Administrationsdomäne> | Troubleshooting | System Faults (Manager, <Administrationsdomäne>, Fehlerbehebung, Systemfehler). 6 Doppelklicken Sie auf die Warnung, deren Details Sie anzeigen möchten. Das Fenster Alert Details (Warnungsdetails) wird geöffnet. 7 Im Abschnitt Attacker/Target (Angreifer/Ziel) können Sie die Benutzerdetails anzeigen. 8 Auf der Seite Malware Files (Malware-Dateien) können Sie die Zuverlässigkeit der Malware-Informationen anzeigen. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 19 4 Integrieren in McAfee Network Security Manager Anzeigen von Malware-Statistiken • Zeigen Sie die McAfee CTD-Details für erkannte Malware an. Klicken Sie auf der Seite Malware Files (Malware-Dateien) neben der Zuverlässigkeitsstufe für McAfee Cloud auf . Ein von McAfee CTD generierter Bericht wird in einem Fenster geöffnet. Feld Beschreibung File Properties (Dateieigenschaften) Zeigt den höchsten Malware-Schweregrad, der von den Komponenten von McAfee CTD zurückgegeben wurde, den MD5-Hash-Wert der Datei, die Dateigröße sowie die ersten und letzten erkannten Dateien an. Aliases (Aliasse) Observed Activities (Beobachtete Aktivitäten) Von der Malware ausgeführte Aktivitäten System Changes (Systemänderungen) Anzeigen von Malware-Statistiken Auf der Seite Statistics (Statistiken) wird die Anzahl der Fälle angezeigt, in denen Malware in den zum Scannen an McAfee CTD übermittelten verdächtigen Dateien identifiziert wurde. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1 Melden Sie sich bei der McAfee Network Security Manager-Konsole an, und wählen Sie Manager | <Name der Administrationsdomäne> | Integration | CTD | Statistics (Manager, <Name der Administrationsdomäne>, Integration, CTD, Statistiken) aus. 2 Zeigen Sie diese Details an. Feld Beschreibung Total Files submitted (Insgesamt übermittelte Dateien) Die Gesamtanzahl der Dateien, die seit dem letzten Zurücksetzen der Zähler an McAfee CTD übermittelt wurden Very High Malware Confidence Files (Dateien mit sehr hoher Zuverlässigkeit der Malware-Informationen) Dateien, die einen dieser Datei-Reputationswerte enthielten, in McAfee CTD gespeichert wurden und nicht erneut zur Analyse übermittelt wurden High Malware Confidence Files (Dateien mit hoher Zuverlässigkeit der Malware-Informationen) Medium Malware Confidence Files (Dateien mit mittlerer Zuverlässigkeit der Malware-Informationen) Low Malware Confidence Files (Dateien mit niedriger Zuverlässigkeit der Malware-Informationen) Very Low Malware Confidence Files (Dateien mit sehr niedriger Zuverlässigkeit der Malware-Informationen) Clean Malware Confidence Files (Saubere Dateien mit Zuverlässigkeit der Malware-Informationen) 20 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Integrieren in McAfee Network Security Manager Überprüfen der Integration Feld Beschreibung Last Submission Time (Zeitpunkt der letzten Übermittlung) Gibt an, wann letztmals eine Datei an McAfee CTD übermittelt wurde. Last Submission Request From (Letzte Übermittlungsanfrage von) Das verwaltete Produkt, von dem die letzte Datei übermittelt wurde Total Submission Errors (Gesamtanzahl der Übermittlungsfehler) Die Gesamtanzahl der an McAfee CTD übermittelten Dateien, die Fehler enthielten 4 • Der letzte Übermittlungsfehler wird in der dritten Rasterspalte angezeigt, wenn ein Fehler vorlag. Save as CSV (Als CSV speichern) Exportiert Informationen als CSV-Datei, die Sie zur weiteren Analyse verwenden können. Reset Counters (Zähler zurücksetzen) Setzt alle Datenzähler auf null zurück. Save (Speichern) Achten Sie darauf, die Änderungen zu speichern, nachdem Sie die Zähler zurückgesetzt haben. Sie können die angezeigten Daten aktualisieren, indem Sie auf dieses Symbol klicken. Überprüfen der Integration Sie können überprüfen, ob die Integration zwischen McAfee CTD und McAfee Network Security Manager funktioniert. Zu überprüfender Aspekt Vorgehensweise Vorhandensein eines Aktivierungsschlüssels Vergewissern Sie sich, dass der Status des Aktivierungsschlüssels Present (Vorhanden) einem grünen Symbol entspricht. Konnektivität und Gültigkeit des Aktivierungsschlüssels Verwenden Sie die Option Test Connection (Verbindung testen). Erfolg der Übermittlung Vergewissern Sie sich, dass sich die Zähler vor und nach der Dateiübermittlung erwartungsgemäß erhöhen. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 21 4 Integrieren in McAfee Network Security Manager Überprüfen der Integration 22 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 5 Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) Im Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) erhalten Sie Informationen zur Überwachung des Dateistatus, zur Messung der Mandantenverwendung und zur Ermittlung des Zustands der verteilten Dateianalyse. Das Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) enthält die folgenden Informationen: • Einen Analysebericht mit einer Liste der übermittelten Dateien mit ihrem Analysestatus sowie Bedrohungsdetails • Die Anzahl der Dateien in den einzelnen Analysestatus und die Gesamtanzahl der übermittelten Dateien, die in der Kopfzeile der Seite mit dem Analysebericht angezeigt wird. Sie können auf einen Status klicken, um die Ergebnisse unter einem bestimmten Status zu filtern. • Die Verlaufsdaten für eine ausgewählte Dauer • Details zu einer ausgewählten Datei • Den Status des McAfee ePO Cloud-Sandboxing-Dienstes und andere Warnungen Inhalt Malware-Analysebericht Details der übermittelten Dateien Gesamtdateistatus Zeitauswahlfilter Status des Analysedienstes Malware-Analysebericht Im Analysebericht wird eine Liste der übermittelten Dateien mit Informationen zu ihrem Bedrohungsanalysestatus sowie Details angezeigt. In diesem Bericht werden die zur Analyse gesendeten Dateien sowie ihre Analyseergebnisse oder ihr Status angezeigt. Für Dateien mit dem Status At Risk (Gefährdet) können Sie weitere Aktionen planen. Sie können die Ergebnisse filtern, detaillierte Informationen zu einer Datei und ihrer Analyse anzeigen oder den Status des Sandboxing-Dienstes anzeigen. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 23 5 Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) Details der übermittelten Dateien Option Beschreibung File Name (Dateiname) Der Name der erkannten Datei Status Der Status der Dateianalyse • High Risk (Hohes Risiko): Die Datei weist einen hohen Risikostatus auf, und ihre Ausführung muss blockiert werden. • Suspicious (Verdächtig): Die Datei weist einen mittleren Risikostatus auf und muss möglicherweise weiter analysiert werden. • Low Risk (Niedriges Risiko): Die Datei weist einen niedrigen Risikostatus auf und kann möglicherweise gefahrlos ausgeführt werden. • Failed (Fehlgeschlagen): Die Analyse der Datei ist fehlgeschlagen. • Monitored (Überwacht): Die Datei wird überwacht. • Processing (Wird verarbeitet): Die Datei wird gerade analysiert. Through (Durch) Das Quellprodukt, von dem die Datei übermittelt wurde • McAfee Network Security Platform: Übermittelt von McAfee Network Security Manager • McAfee Web Gateway: Übermittelt von McAfee Web Gateway • McAfee Web Security: Übermittelt von McAfee Web Gateway Cloud Service Submitted (Übermittelt am/um) Datum und Uhrzeit der Übermittlung der Datei Processing Time (Verarbeitungszeit) Dauer der Analyse der Datei Klicken auf einen Status Filtert die Ergebnisse, um eine Liste von Dateien unter dem ausgewählten Status anzuzeigen. Klicken auf eine Spalte Sortiert den Bericht nach der ausgewählten Spalte. Klicken auf die Zeitauswahl Ermöglicht das Auswählen einer Zeitdauer, nach der Sie die Liste filtern möchten. Klicken auf eine Datei Zeigt detaillierte Informationen zur Datei und den zugehörigen Analyseergebnissen im rechten Bereich des Dashboards Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) an. Details der übermittelten Dateien Wenn Sie im Analysebericht auf eine Datei klicken, werden im rechten Bereich des Dashboards Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) detaillierte Informationen zu der Datei und den Analyseergebnissen angezeigt. Option Beschreibung Titelleiste Zeigt den Dateinamen und den Status als Titel an. Through (Durch) Das Quellprodukt, von dem die Datei übermittelt wurde • NSM: Übermittelt von McAfee Network Security Manager • Web-Gateway: Übermittelt von McAfee Web Gateway • Web SaaS: Übermittelt von McAfee Web Gateway Cloud Service Submitted (Übermittelt am/um) 24 Datum und Uhrzeit der Übermittlung der Datei McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) Gesamtdateistatus 5 Option Beschreibung Processing Time (Verarbeitungszeit) Dauer der Analyse der Datei Threat Details (Bedrohungsdetails) Zeigt Informationen zu den mit der Datei verbundenen Bedrohungen an. Dazu gehören der Dateityp, Signaturen, Authentifizierung, gegebenenfalls in der Datei erkannte Malware sowie zusätzliche Namen der Malware. Reputation Zeigt den Risikostatus der Datei und die Datei-Reputation mit weiteren Vorschlägen an. Wenn beispielsweise der Bedrohungsstatus der Datei Fehlgeschlagen lautet, wird möglicherweise vorgeschlagen, eine Kompromittierungsindikator-Datei (Indicator of Compromise, IOC) herunterzuladen, die Sie für die weitere Analyse mit zusätzlichen Tools verwenden können. Gesamtdateistatus In der Kopfzeile des Dashboards Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) wird die Anzahl der Dateien für jeden Status sowie die Gesamtanzahl der übermittelten Dateien angezeigt. Jeder Status wird in einer anderen Farbe angezeigt, um die Unterscheidung zu erleichtern. Status Farbe Beschreibung High Risk (Hohes Risiko) Rot Die Datei weist einen hohen Risikostatus auf, und ihre Ausführung muss blockiert werden. Suspicious (Verdächtig) Orange Die Datei weist einen mittleren Risikostatus auf und muss möglicherweise weiter analysiert werden. Low Risk (Niedriges Risiko) Blassgrün Die Datei weist einen niedrigen Risikostatus auf und kann möglicherweise gefahrlos ausgeführt werden. Failed (Fehlgeschlagen) Schwarz Die Analyse der Datei ist fehlgeschlagen. Monitored (Überwacht) Blassgelb Die Datei wird überwacht. Zeitauswahlfilter Wählen Sie eine Zeitdauer aus, für die Sie die Ergebnisse im Bericht zum Analysestatus anzeigen möchten. Option Beschreibung Past 4 Hours (Letzte 4 Stunden) Zeigt eine Liste der Dateien an, die in den letzten vier Stunden übermittelt wurden. Past 8 Hours (Letzte 8 Stunden) Zeigt eine Liste der Dateien an, die in den letzten acht Stunden übermittelt wurden. Past 12 Hours (Letzte 12 Stunden) Zeigt eine Liste der Dateien an, die in den letzten zwölf Stunden übermittelt wurden. Past 24 Hours (Letzte 24 Stunden) Zeigt eine Liste der Dateien an, die in den letzten 24 Stunden übermittelt wurden. Past 72 Hours (Letzte 72 Stunden) Zeigt eine Liste der Dateien an, die in den letzten 72 Stunden übermittelt wurden. Past 7 Days (Letzte 7 Tage) Zeigt eine Liste der Dateien an, die in den letzten sieben Tagen übermittelt wurden. Past 14 Days (Letzte 14 Tage) Zeigt eine Liste der Dateien an, die in den letzten 14 Tagen übermittelt wurden. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 25 5 Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) Status des Analysedienstes Option Beschreibung Past 90 Days (Letzte 90 Tage) Zeigt eine Liste der Dateien an, die in den letzten 90 Tagen übermittelt wurden. All Time (Alle Zeiträume) Zeigt eine Liste aller Dateien an, die bis zum aktuellen Tag übermittelt wurden. Status des Analysedienstes Wenn Sie auf das Benachrichtigungssymbol (Glockensymbol) im Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) klicken, wird eine Zustandskarte mit Details zum McAfee CTD-Analysedienst angezeigt. Option Beschreibung Status des Cloud Sandbox-Servers Zeigt mithilfe eines Farbcodes an, ob der McAfee CTD-Analysedienst funktioniert. Rot bedeutet, dass der Server heruntergefahren ist, und Grün bedeutet, dass der Server funktioniert. 26 Diagramme (nach Übermittlungsdatum) In diesem Diagrammen werden die Dateiübermittlungen nach Datum und Status angezeigt. Sie können zum Anzeigen der Ergebnisse einen anderen Zeitraum auswählen. Total Files submitted (Insgesamt übermittelte Dateien) Die Anzahl der Dateien, die in dem mit der Zeitauswahl festgelegten Zeitraum zur Analyse übermittelt wurden Available (Verfügbar) Die verbleibende Anzahl von Dateien, die analysiert werden können Verarbeitungszeit Dauer der Analyse der Datei Prozentsatz der Dateiübermittlungen (nach Produkten) Prozentsatz der übermittelten Dateien (nach McAfee-Produkten) McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch A Fehlerbehebung Die folgenden allgemeinen Probleme können beim Arbeiten mit McAfee CTD auftreten. Probleme bei der Integration in McAfee Network Security Manager Problem Beschreibung Konnektivitätsfehler Klicken auf Test Connection (Verbindung testen) auf der Seite für die McAfee CTD-Integration führt zu einem Verbindungsfehler. Dieses Problem tritt auf, wenn die Verbindung zwischen McAfee Network Security Manager und McAfee CTD nicht hergestellt werden kann. • Vergewissern Sie sich, dass der richtige Aktivierungsschlüssel eingegeben wurde. • Vergewissern Sie sich mithilfe der Option Open Cloud ePO (Cloud ePO öffnen), dass McAfee ePO Cloud erreicht werden kann. https://login.mcafee.com/v1 • Überprüfen Sie die Tabelle iv_ems.properties in der McAfee Network Security Manager-Datenbank. Vergewissern Sie sich, dass der Zugriff auf die URLs, die den folgenden Attributen entsprechen, möglich ist: • iv.malware.CloudPrometheus.gtiSubmitTarget • iv.malware.CloudPrometheus.gtiUsageTarget Lizenzprobleme Wenn durch die Anzahl der übermittelten Dateien das Tageslimit überschritten wird oder die Rate der Dateiübermittlungen zu hoch ist, werden Systemfehler generiert. Diese Probleme können auf der Seite System Faults (Systemfehler) auf der Benutzeroberfläche von McAfee Network Security Manager angezeigt werden. Vom Typ der erworbenen Lizenzen hängt ab, wie viele Dateien Sie täglich übermitteln können. Mögliche Probleme mit McAfee CTD: • Invalid CTD subscription (Ungültiges CTD-Abonnement): Dieser Fehlertyp wird generiert, wenn die Versuche, Dateien an McAfee CTD zu übermitteln, abgelehnt werden, da der für die McAfee CTD-Integration verwendete Aktivierungsschlüssel nicht mit einem gültigen Kundenabonnement verbunden ist. Problemumgehung: Korrigieren Sie das Abonnement in McAfee ePO Cloud, und importieren Sie einen neuen Aktivierungsschlüssel in McAfee Network Security Manager. • Expired CTD subscription (Abgelaufenes CTD-Abonnement): Dieser Fehlertyp wird generiert, wenn die Versuche, Dateien an McAfee CTD zu übermitteln, abgelehnt werden, da der für die McAfee CTD-Integration verwendete Aktivierungsschlüssel mit einem abgelaufenen Kundenabonnement verbunden ist. McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch 27 A Fehlerbehebung Problem Beschreibung Problemumgehung: Korrigieren Sie das Abonnement in McAfee CTD, und importieren Sie einen neuen Aktivierungsschlüssel in McAfee Network Security Manager. • CTD file submission limit reached (Dateiübermittlungslimit für CTD erreicht): Dieser Fehlertyp wird generiert, wenn das Tageslimit für Dateiübermittlungen an McAfee CTD erreicht ist. Problemumgehung: Möglicherweise müssen Sie eine weitere Lizenz erwerben. • CTD file submission rate too high (Zu hohe Dateiübermittlungsrate in CTD): Dieser Fehlertyp wird generiert, wenn die Versuche, Dateien an McAfee CTD zu übermitteln, abgelehnt werden, da die Dateiübermittlungsrate zu hoch ist. Problemumgehung: Möglicherweise müssen Sie eine weitere Lizenz erwerben. Weitere Informationen zu den Systemfehlern finden Sie im McAfee Network Security Manager-Fehlerbehebungshandbuch. Probleme bei der Integration in McAfee Web Gateway und McAfee Web Gateway Cloud Service Problem Beschreibung Allgemeine Fehler: Ursachen: • 14030: Kommunikation fehlgeschlagen (Zeitüberschreitungen, Netzwerkprobleme, Empfang ungültiger Daten). • Die McAfee CTD-Funktion ist nicht lizenziert. • 14031: Datei kann nicht gescannt werden (fehlende Lizenz, Probe überschreitet Größenlimit, Übermittlung wurde vom Server abgelehnt). Problemumgehung: Bei einer lokalen Bereitstellung generieren und importieren Sie einen Aktivierungsschlüssel. Bei einer reinen Cloud-Bereitstellung vergewissern Sie sich, dass McAfee CTD in McAfee ePO Cloud abonniert ist. • McAfee Web Gateway ist nicht für Zertifikatüberprüfung konfiguriert. • Es liegt ein Problem mit der DNS-Auflösung vor. • Von McAfee Web Gateway konnte im konfigurierten Zeitraum keine Verbindung mit dem McAfee CTD-Dienst hergestellt werden. • Der Gesamtzeitbedarf für die Analyse der Probe hat den konfigurierten Wert überschritten. 28 McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Index D Dashboard Analysebericht 23 Arbeitsbereich für Cloud-Bedrohungen, Übersicht 23 Dateidetails 24 Dateistatus 25 Dienststatus 26 Zeitauswahl 25 Integration (Fortsetzung) Web-Gateway, Aktivieren 13 K Kontoverwaltung Cloud Threat Detection, Aktivieren 9 Lizenzverwendung, Anzeigen 10 Neue Benutzer, Aktivieren 9 Vorhandene Benutzer, Aktivieren 10 E Einführung Analyse-Workflow 7 Architektur 6 Funktionsweise 6 Lösungs-Workflow 6 Lösungsfunktionen 5 Übersicht 5 Unterstützte Produkte 7 N Network Security Manager Analyse-Workflow 18 Fehlerbehebung 27 Integration, Überprüfen 21 Integrationsübersicht 17 Lösung, Aktivieren 17 Richtlinie, Konfigurieren 18 Statistiken, Anzeigen 20 F Fehlerbehebung 27 I Integration Network Security Manager 17 Network Security Manager-Richtlinie, Konfigurieren 18 Network Security Manager, Aktivieren 17 Network Security Manager, Überprüfen 21 Web Gateway Cloud 13 Web Gateway Cloud, Aktivieren 15 Web-Gateway 13 Web-Gateway-Regeln, Aktivieren 14 McAfee Cloud Threat Detection 1.0.0 W Web Gateway Cloud Analyse-Workflow 16 Fehlerbehebung 27 Integrationsübersicht 13 Lösung, Aktivieren 15 Web-Gateway Analyse-Workflow 16 Fehlerbehebung 27 Integrationsübersicht 13 Lösung, Aktivieren 13 Regeln, Aktivieren 14 Lösungshandbuch 29 0-15
© Copyright 2024 ExpyDoc