McAfee Cloud Threat Detection 1.0.0 Lösungshandbuch Zur

Lösungshandbuch
McAfee Cloud Threat Detection 1.0.0
Zur Verwendung mit McAfee ePolicy Orchestrator Cloud
COPYRIGHT
© 2016 Intel Corporation
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
Inhaltsverzeichnis
1
2
Lösungsübersicht
5
Wichtigste Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Analyse von Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Unterstützte McAfee-Produktversionen . . . . . . . . . . . . . . . . . . . . . . . . .
5
6
7
7
Aktivieren von McAfee CTD und Verwalten Ihres Kontos
9
Aktivieren von McAfee CTD bei der Registrierung für McAfee ePO Cloud . . . . . . . . . . . .
9
Aktivieren von McAfee CTD in einem vorhandenen Konto . . . . . . . . . . . . . . . . . . 10
Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz . . . . . . . . . . . . . 10
3
Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service
Aktivieren von McAfee CTD in McAfee Web Gateway . . . . . . .
Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee
Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service .
Analyse verdächtiger Dateien . . . . . . . . . . . . . . . .
4
. .
Web
. .
. .
. . . .
Gateway
. . . .
. . . .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
13
. 13
. 14
. 15
. 16
Integrieren in McAfee Network Security Manager
17
Aktivieren von McAfee CTD in McAfee Network Security Manager . . . . . . . . . . . . . .
Konfigurieren von erweiterten Malware-Richtlinien . . . . . . . . . . . . . . . . . . . .
Analyse verdächtiger Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Malware-Statistiken . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen der Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für CloudBedrohungen)
23
Malware-Analysebericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Details der übermittelten Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gesamtdateistatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zeitauswahlfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Status des Analysedienstes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A
17
18
18
20
21
23
24
25
25
26
Fehlerbehebung
27
Index
29
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
3
Inhaltsverzeichnis
4
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
1
Lösungsübersicht
®
®
Mit der McAfee Cloud Threat Detection (McAfee CTD)-Lösung können Sie Ihre vorhandene
Sicherheitsinfrastruktur durch die McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)-Software
in Ihrer Cloud-basierten Umgebung um Sandboxing-Funktionen erweitern.
®
®
®
™
®
Sie können McAfee CTD für die Zusammenarbeit mit McAfee-Sicherheitsprodukten wie McAfee Web
Gateway, McAfee Network Security Manager-Appliances und McAfee Web Gateway Cloud Service
(McAfee WGCS) konfigurieren.
®
®
®
Mit diesen Produkten können verdächtige Dateien, die Sie an Ihren Endpunkten, im Netzwerk und im
Internet antreffen, automatisch analysiert werden. Anschließend erhalten Sie von McAfee CTD einen
detaillierten Bericht. Sie können in den integrierten Produkten eine einheitliche Richtlinie für die
Auswahl der zu übermittelnden Dateien festlegen.
Inhalt
Wichtigste Funktionen
Funktionsweise
Analyse von Dateien
Unterstützte McAfee-Produktversionen
Wichtigste Funktionen
Mit McAfee CTD erhalten Sie Cloud-basierte erweiterte Malware-Analyse mit den folgenden
Funktionen.
Funktionstyp
Beschreibung
Erweiterte Malware-Erkennung
Bedrohungen werden früher erkannt, da unbekannte Dateien
automatisch analysiert werden. Dateien werden einer statischen
(Funktion) und dynamischen (Verhalten) Analyse unterzogen. Sie
erhalten detaillierte Berichte, die im STIX 1.1-Format sowie in für
Benutzer lesbaren Formaten ausgegeben werden.
Sandboxing
Die Datei wird auf einem Cloud-basierten Server ausgeführt, um
ihr Verhalten zu testen.
Cloud-basierte Bereitstellung
Wird in McAfee ePO Cloud bereitgestellt, um Ihre Endpunkte und
integrierten Produkte zu schützen.
Integration in McAfee Network
Security Manager
Ermöglicht die Übermittlung verdächtiger Dateien, die in das
Netzwerk gelangen und vom Sensor abgefangen werden, über
McAfee Network Security Manager.
Integration in McAfee Web
Gateway und McAfee Web
Gateway Cloud Service
Ermöglicht die Übermittlung verdächtiger Dateien aus den lokalen
und Cloud-basierten Versionen von McAfee Web Gateway, die auf
einem Web-Server installiert sind.
Dateiübermittlungskriterien
Ermöglichen es Ihnen, einheitliche Richtlinien über die integrierten
Sicherheitsprodukte zu definieren.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
5
1
Lösungsübersicht
Funktionsweise
Funktionstyp
Beschreibung
Berichterstellung
Berichte können an den folgenden Stellen erstellt werden:
• Im Dashboard Threat Detection Workspace (Arbeitsbereich für
Erkennung von Bedrohungen) erhalten Sie Informationen zur
Überwachung des Dateistatus, zur Messung der
Mandantenverwendung und zur Ermittlung des Zustands der
verteilten Dateianalyse.
• Der IOC-Bericht (Indicators of Compromise,
Kompromittierungsindikatoren) enthält detaillierte
Analyseinformationen im maschinenlesbaren STIX 1.1-Format,
die sofort verwendet werden können.
McAfee Global Threat
Intelligence (McAfee GTI)
®
™
Veröffentlicht Ergebnisse in McAfee GTI, die für den Schutz aller
Ihrer von McAfee geschützten Geräte verwendet werden.
Funktionsweise
Die McAfee CTD-Lösung ist als zentralisierte, Cloud-basierte Bereitstellung über McAfee ePO Cloud
verfügbar.
Erweitern Sie Ihre Sicherheitsinfrastruktur, indem Sie vorhandene Tools für Netzwerk,
Malware-Erkennung, Schutz und Korrektur in McAfee CTD integrieren.
Architektur
In diesem Diagramm wird die allgemeine Architektur der Lösung dargestellt und gezeigt, wie sie sich
in Ihre vorhandene Sicherheitsinfrastruktur einfügt.
Workflow
6
1
Der Administrator meldet sich beim McAfee ePO Cloud-Portal an.
2
Der Administrator abonniert McAfee CTD über die Benutzeroberfläche von McAfee ePO Cloud.
3
Der Administrator integriert die McAfee-Sicherheitsprodukte wie beispielsweise McAfee Web
Gateway, McAfee Network Security Manager und McAfee Web Gateway Cloud Service, damit sie
zusammen mit McAfee CTD verwendet werden können.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
Lösungsübersicht
Analyse von Dateien
1
4
Basierend auf den lokalen Analyse- und Entscheidungsfindungskonfigurationen der
McAfee-Produkte werden die Dateien für die Analyse ausgewählt und zum Scannen an McAfee ePO
Cloud gesendet. In McAfee ePO Cloud wird die Datei mithilfe des McAfee CTD-Verwaltungsdiensts
auf Malware analysiert. Wenn bösartige Inhalte gefunden werden, werden Warnungen gesendet.
5
Das Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) im McAfee ePO
Cloud-Portal enthält Informationen wie beispielsweise den Status übermittelter Dateien,
Informationen zur Verwendung integrierter Produkte, den Status des Analysedienstes und
Ergebnisse der Bedrohungsanalyse.
Analyse von Dateien
Von den integrierten Sicherheitsprodukten werden Dateien, für die eine erweiterte Analyse erforderlich
ist, ausgewählt und an McAfee CTD gesendet. Dort wird eine detaillierte Analyse der Dateien
ausgeführt, und es werden entsprechende Ergebnisse und IOC-Berichte bereitgestellt.
1
Von einem McAfee-Sicherheitsprodukt wie beispielsweise McAfee Web Gateway oder McAfee
Network Security Manager wird eine verdächtige Datei an McAfee CTD gesendet.
2
Wenn die Informationen zur Datei bereits in McAfee GTI verfügbar sind, werden die Ergebnisse mit
IOC-Berichten zurück an das Sicherheitsprodukt gesendet.
3
Wenn keine Informationen zur Datei bekannt sind, werden die Dateidetails durch eine statische
Analyse von McAfee CTD extrahiert.
4
Die Datei wird in einer Sandbox-Umgebung ausgeführt. Alle Aktionen werden aufgezeichnet,
überprüft und bewertet.
5
In McAfee CTD wird die Analyse basierend auf Big Data und maschinellen Lerntechniken verwendet,
um das Verhalten mit bekanntem Malware-Verhalten zu vergleichen.
6
Auf der Grundlage der Ergebnisse werden Richtlinien für McAfee-Sicherheitsprodukte für zukünftige
Fälle aktualisiert. Die IOC-Berichte werden für die Benutzer generiert. Die McAfee GTI-Datenbank
wird mit den IOCs der neuesten Erkennungen aktualisiert.
Unterstützte McAfee-Produktversionen
Mit McAfee CTD können aus diesen McAfee-Produkten übermittelte Dateien analysiert werden, wenn
sie über McAfee ePO Cloud in McAfee CTD integriert sind.
Produkt
Version
McAfee Network Security Manager
8.3.7.44 oder höher
McAfee Network Security Sensor (NS-Serie)
8.3.5.22 oder höher
McAfee Web Gateway
7.7.0 oder höher
McAfee Web Gateway Cloud Service
Neueste in McAfee ePO Cloud verfügbare Version
®
Weitere Informationen finden Sie in der Dokumentation des jeweiligen Produkts.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
7
1
Lösungsübersicht
Unterstützte McAfee-Produktversionen
8
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
2
Aktivieren von McAfee CTD und
Verwalten Ihres Kontos
Greifen Sie auf McAfee ePO Cloud zu, aktivieren Sie McAfee CTD, und integrieren Sie die Software in
Ihre McAfee-Produkte.
Führen Sie die folgenden Aktionen aus, um McAfee CTD-Funktionen zusammen mit Ihren
McAfee-Sicherheitsprodukten zu verwenden.
1
Aktivieren Sie McAfee CTD in McAfee ePO Cloud.
2
Aktivieren Sie McAfee CTD auf der Benutzeroberfläche Ihres McAfee-Sicherheitsprodukts, und
besorgen Sie sich den Bereitstellungsschlüssel.
3
Verwenden Sie den Bereitstellungsschlüssel, um über die Benutzeroberfläche von McAfee ePO
Cloud einen Aktivierungsschlüssel zu generieren.
4
Aktivieren Sie Ihr McAfee-Sicherheitsprodukt mit dem Aktivierungsschlüssel.
Die detaillierten Anweisungen für das Beziehen des Bereitstellungsschlüssels und das Aktivieren eines
Produkts variieren. In den folgenden Abschnitten finden Sie detaillierte Informationen zum Integrieren
von McAfee CTD in Ihr McAfee-Produkt.
Wenn von den integrierten Produkten Dateien zur Analyse an McAfee CTD gesendet werden, können
Sie Ihre Verwendungsinformationen auf der Seite Abonnements in McAfee ePO Cloud anzeigen.
Inhalt
Aktivieren von McAfee CTD bei der Registrierung für McAfee ePO Cloud
Aktivieren von McAfee CTD in einem vorhandenen Konto
Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz
Aktivieren von McAfee CTD bei der Registrierung für McAfee
ePO Cloud
Registrieren Sie sich für McAfee ePO Cloud, und aktivieren Sie McAfee CTD.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wechseln Sie zum McAfee ePO Cloud-Portal (https://manage.mcafee.com), und klicken Sie auf Jetzt
registrieren.
2
Wählen Sie McAfee Cloud Threat Detection als Produkt aus.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
9
2
Aktivieren von McAfee CTD und Verwalten Ihres Kontos
Aktivieren von McAfee CTD in einem vorhandenen Konto
3
Füllen Sie das Formular mit Ihren Angaben aus.
4
Wählen Sie Ich akzeptiere den Lizenzvertrag und die Datenschutzhinweise aus, und klicken Sie dann auf
Übermitteln.
Klicken Sie auf die Links Lizenzvertrag und Datenschutzhinweise, um die Dokumente zu lesen.
5
Warten Sie auf die Aktivierungs-E-Mail, und folgen Sie dann den Anweisungen in der E-Mail, um Ihr
McAfee ePO Cloud-Konto zu aktivieren.
Aktivieren von McAfee CTD in einem vorhandenen Konto
Melden Sie sich beim McAfee ePO Cloud-Portal an, und aktivieren Sie McAfee CTD für Ihr Konto.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wechseln Sie zum McAfee ePO Cloud-Portal (https://manage.mcafee.com), geben Sie Ihre
E-Mail-Adresse und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
2
Klicken Sie im Menü auf Mein Konto.
3
Klicken Sie auf Abonnements.
4
Klicken Sie in Bestellung/Testversion erstellen auf Testversion erstellen oder auf Jetzt kaufen für McAfee Cloud Threat
Detection.
5
Folgen Sie den auf dem Bildschirm angezeigten Anweisungen.
Anzeigen der Informationen zur Verwendung der McAfee CTDLizenz
Hier können Sie sich über die Anzahl der an einem Tag an McAfee CTD übermittelten Dateien und über
die Anzahl der Dateien, die Sie gemäß den Lizenzbedingungen noch an diesem Tag übermitteln
können, informieren.
10
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
2
Aktivieren von McAfee CTD und Verwalten Ihres Kontos
Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wechseln Sie zum McAfee ePO Cloud-Portal (https://manage.mcafee.com), geben Sie Ihre
E-Mail-Adresse und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
2
Klicken Sie im Menü auf Mein Konto und dann auf Abonnements.
3
Zeigen Sie unter Verwendungsübersicht die folgenden Details an.
Option
Beschreibung
Dienstcode
Zeigt den Dienstcode für McAfee CTD an. Er lautet Cloud Threat Detection
(Erkennung von Cloud-Bedrohungen).
Erworbene Lizenzen Gibt die maximale Anzahl von Dateien an, die Sie an einem Tag an McAfee CTD
übermitteln können.
Verwendete Lizenzen Gibt die Anzahl der Dateien an, die an dem Tag, an dem die Ergebnisse
letztmals aktualisiert wurden, an McAfee CTD übermittelt wurden.
Zuletzt aktualisiert
Gibt das Datum der letzten Aktualisierung der Verwendungsinformationen an.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
11
2
Aktivieren von McAfee CTD und Verwalten Ihres Kontos
Anzeigen der Informationen zur Verwendung der McAfee CTD-Lizenz
12
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
3
Integrieren in McAfee Web Gateway und
McAfee Web Gateway Cloud Service
Sowohl für lokale als auch für Cloud-basierte Versionen von McAfee Web Gateway kann das
Übermitteln verdächtiger Dateien an McAfee ePO Cloud zum Scannen aktiviert werden.
Eingehende Dateien werden von McAfee CTD gescannt. Wenn bösartige Inhalte gefunden werden,
werden die Aktionen ausgeführt, die Sie für Ihre Version von McAfee Web Gateway konfiguriert haben.
®
McAfee Web Gateway ist Bestandteil einer integrierten Lösung mit dem Namen McAfee Web
Protection. Mit dieser Lösung können Sie sich vor Bedrohungen schützen, die entstehen, wenn
Benutzer von inner- oder außerhalb Ihres lokalen Netzwerks auf das Internet zugreifen. Da es sich um
eine integrierte Lösung handelt, können Sie mitMcAfee Web Protection für den Web-Zugriff von lokalen
Benutzern und Cloud-Benutzern dieselben Sicherheitsrichtlinien erzwingen.
Inhalt
Aktivieren von McAfee CTD in McAfee Web Gateway
Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee Web Gateway
Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service
Analyse verdächtiger Dateien
Aktivieren von McAfee CTD in McAfee Web Gateway
Aktivieren Sie McAfee CTD für die Verwendung mit einer rein lokalen oder hybriden (lokal und in der
Cloud) Bereitstellung von McAfee Web Gateway.
Bevor Sie beginnen
Aktivieren Sie McAfee CTD in Ihrem McAfee ePO Cloud-Konto. Weitere Informationen finden
Sie unter Aktivieren von McAfee CTD in einem vorhandenen Konto.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Melden Sie sich bei der McAfee Web Gateway-Konsole an, und wählen Sie Configuration | Appliances
(Konfiguration, Appliances) aus.
2
Erweitern Sie in der Appliances-Struktur die Option Cluster, und klicken Sie dann auf Tenant Info
(Mandanteninformationen).
Daraufhin werden im Konfigurationsbereich die Einstellungen für Tenant Info
(Mandanteninformationen) angezeigt.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
13
3
Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service
Aktivieren von Regeln für ein Dateiübermittlungskriterium in McAfee Web Gateway
3
Klicken Sie auf Show Provisioning Key (Bereitstellungsschlüssel anzeigen), und kopieren Sie den
Bereitstellungsschlüssel, den Sie für die Aktivierung benötigen.
Der Schlüssel wird basierend auf Ihrer Kunden-ID und dem aktuellen Zeitstempel mit SHA256- und
Base64-Codierung generiert. Beim Bereitstellungsschlüssel handelt es sich um eine eindeutige ID
für McAfee Web Gateway, die von McAfee ePO Cloud verwendet wird, um einen verschlüsselten
Aktivierungsschlüssel zu generieren. Notieren Sie sich diesen Schlüssel, da Sie ihn zum Generieren
eines Aktivierungsschlüssels benötigen.
4
5
Verwenden Sie den Bereitstellungsschlüssel, um über McAfee ePO Cloud einen
Aktivierungsschlüssel zu generieren.
a
Melden Sie sich beim McAfee ePO Cloud-Portal an (https://manage.mcafee.com).
b
Wählen Sie Menu | Configuration | Server Settings (Menü, Konfiguration, Server-Einstellungen) und
dann Cloud Threat Detection Setup (Setup für die Erkennung von Cloud-Bedrohungen) aus.
c
Geben Sie den Bereitstellungsschlüssel ein, und klicken Sie dann auf Generate Activation Key
(Aktivierungsschlüssel generieren).
d
Kopieren Sie den Aktivierungsschlüssel aus McAfee ePO Cloud.
Kehren Sie zurück zur Seite Tenant ID Configuration (Konfiguration der Mandanten-ID) in der McAfee
Web Gateway-Konsole, fügen Sie den Aktivierungsschlüssel ein, und klicken Sie dann auf Set Tenant
ID (Mandanten-ID festlegen).
Aktivieren von Regeln für ein Dateiübermittlungskriterium in
McAfee Web Gateway
Aktivieren Sie den McAfee CTD-Standardregelsatz, oder passen Sie den Regelsatz an, um Dateien für
die Analyse auszuwählen.
Die Regelsätze für die Cloud Threat Detection (Erkennung von Cloud-Bedrohungen) sind vorkonfiguriert.
Wenn sie gelöscht oder geändert wurden, importieren Sie die Regelsätze aus der Regelsatzbibliothek.
Die folgenden McAfee CTD-Regelsätze stehen in der Bibliothek für Gateway-Malware-Schutz zur Verfügung:
•
Cloud Threat Detection (Erkennung von Cloud-Bedrohungen)
•
Cloud Threat Detection - Hybrid (Erkennung von Cloud-Bedrohungen – Hybrid)
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
14
1
Melden Sie sich bei der McAfee Web Gateway-Konsole an.
2
Wählen Sie Policy | Rule Sets | Cloud Threat Detection (Richtlinie, Regelsätze, Erkennung von
Cloud-Bedrohungen) aus, und aktivieren Sie dann den Standardregelsatz, oder ändern Sie die
Einstellungen nach Bedarf.
Option
Beschreibung
Enable (Aktivieren)
Aktiviert den Regelsatz.
Enable in Cloud (In Cloud aktivieren)
Aktiviert den Regelsatz für McAfee Web Gateway Cloud
Service für das hybride Bereitstellungsszenario.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service
Aktivieren von McAfee CTD in McAfee Web Gateway Cloud Service
Option
Beschreibung
Applies to (Bezieht sich auf)
Mit dieser Option wählen Sie aus, wann der Regelsatz
verarbeitet wird:
3
• Request (Anfrage) (von Benutzern)
• Responses (Reaktionen) (von Web-Servern)
• Embedded objects (Eingebettete Objekte) (mit Anfrage und
Reaktionen)
Edit (Bearbeiten)
Hier können Sie die Regeleinstellungen ändern (nicht
empfohlen).
Enable progress Page (Fortschrittsseite
aktivieren)
Zeigt die Fortschrittsseite für eine übermittelte Datei an.
Upload File to CTD and Wait for Scanning
Result (Datei in CTD hochladen und
auf Scanergebnis warten)
Blockiert die Verarbeitung oder das Herunterladen der Datei
während der Ausführung der Analyse.
3
Erweitern Sie alle für das Malware-Schutzmodul (Modul) konfigurierten Einstellungen, und stellen
Sie sicher, dass im Abschnitt Select Scanning Engines and Behavior (Scan-Module und Verhalten
auswählen) die Option Cloud Service only: Send files to Cloud Threat Detection service for deep analysis through
sandboxing (Nur Cloud-Dienst: Dateien zur umfassenden Sandbox-Analyse an Dienst zur Erkennung
von Cloud-Bedrohungen senden) ausgewählt ist.
4
Wenn Sie Optionen im Regelsatz geändert haben, klicken Sie auf Save Changes (Änderungen
speichern).
Aktivieren von McAfee CTD in McAfee Web Gateway Cloud
Service
Aktivieren Sie den McAfee CTD-Regelsatz in McAfee Web Gateway Cloud Service.
Bevor Sie beginnen
Aktivieren Sie McAfee CTD in Ihrem McAfee ePO Cloud-Konto. Weitere Informationen finden
Sie unter Aktivieren von McAfee CTD in einem vorhandenen Konto.
Vorgehensweise
Zum Aktivieren von McAfee CTD für die reine Cloud-Bereitstellung von McAfee Web Gateway benötigen
Sie keinen Bereitstellungs- oder Aktivierungsschlüssel. Klicken Sie auf ? oder Hilfe, um Details zu
Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
1
Melden Sie sich bei McAfee ePO Cloud an.
2
Wählen Sie Web Protection | Policy Management (Web-Schutz, Richtlinienverwaltung) aus.
3
Erweitern Sie im Richtlinien-Browser die Option Anti-Malware Filter (Malware-Schutzfilter), und wählen Sie
dann Cloud Threat Detection (Erkennung von Cloud-Bedrohungen) aus.
4
Wählen Sie rechts auf dem Bildschirm in Rule Details (Regeldetails) die Option Enable Rule (Regel
aktivieren) aus, und klicken Sie dann auf Save (Speichern).
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
15
3
Integrieren in McAfee Web Gateway und McAfee Web Gateway Cloud Service
Analyse verdächtiger Dateien
Analyse verdächtiger Dateien
Von McAfee Web Gateway wird eine verdächtige Datei gesendet, die von McAfee CTD detailliert
analysiert wird. Anschließend werden die Ergebnisse gemäß Ihrer Konfiguration für die jeweilige
Produktversion gemeldet.
1
Ein Benutzer sendet von einem System in Ihrem Netzwerk, das Client von McAfee Web Gateway
ist, eine Anfrage für den Zugriff auf ein Webobjekt (beispielsweise eine Datei).
2
Wenn das Objekt durch die Filterregeln des Malware-Schutzes zugelassen wird, wird es von McAfee
Web Gateway an den entsprechenden Web-Server weitergeleitet.
3
Wenn die Datei verdächtig ist und die Kriterien für die Übermittlung der Datei an McAfee CTD erfüllt
sind, wird die Datei von McAfee Web Gateway zur Analyse an McAfee CTD weitergeleitet.
4
Während der Analyse wird gemäß dem Regelsatz eine der folgenden Aktionen ausgeführt:
5
16
•
Online-Scan: Die Verarbeitung oder das Herunterladen der Datei wird während der Analyse
blockiert. Die Analyse dauert im Allgemeinen bis zu 45 Minuten. Nach Abschluss der Analyse
werden Berichte generiert und konfigurierte Aktionen ausgeführt. Diese Option ist nur für eine
lokale oder hybride Bereitstellung von McAfee Web Gateway verfügbar.
•
Offline-Scan: Die Datei kann während der Analyse verarbeitet oder heruntergeladen werden.
Nach Abschluss der Analyse werden die Ergebnisse veröffentlicht, um zukünftige Downloads
einer ähnlichen Datei zu blockieren.
Eine detaillierte Analyse der Datei finden Sie im Dashboard Arbeitsbereich für Cloud-Bedrohungen in
McAfee ePO Cloud.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
4
Integrieren in McAfee Network Security
Manager
Für McAfee Network Security Manager kann das Übermitteln verdächtiger Dateien an McAfee ePO
Cloud zum Scannen aktiviert werden.
Eingehende Dateien werden von McAfee CTD gescannt. Wenn bösartige Inhalte gefunden werden, wird
vom McAfee Network Security Manager-Sensor eine Warnung an McAfee Network Security Manager
gesendet.
Inhalt
Aktivieren von McAfee CTD in McAfee Network Security Manager
Konfigurieren von erweiterten Malware-Richtlinien
Analyse verdächtiger Dateien
Anzeigen von Malware-Statistiken
Überprüfen der Integration
Aktivieren von McAfee CTD in McAfee Network Security
Manager
Aktivieren Sie McAfee CTD für die Verwendung mit McAfee Network Security Manager.
Bevor Sie beginnen
Aktivieren Sie McAfee CTD in Ihrem McAfee ePO Cloud-Konto. Weitere Informationen finden
Sie unter Aktivieren von McAfee CTD in einem vorhandenen Konto.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Melden Sie sich bei der McAfee Network Security Manager-Konsole an, und wählen Sie Manager |
<Name der Administrationsdomäne> | Integration | CTD aus.
2
Wählen Sie Enable CTD Integration (CTD-Integration aktivieren) aus.
Im Abschnitt Activation Key (Aktivierungsschlüssel) wird der Bereitstellungsschlüssel angezeigt, und
der Status des Aktivierungsschlüssels lautet Required (Erforderlich). Notieren Sie sich den
Bereitstellungsschlüssel, da Sie ihn zum Generieren eines Aktivierungsschlüssels über McAfee ePO
Cloud benötigen.
3
Wählen Sie in Manage Activation Key (Aktivierungsschlüssel verwalten) die Option Open Cloud ePO Console
(Cloud ePO-Konsole öffnen) aus.
4
Geben Sie Ihre Anmeldeinformationen für den McAfee ePO Cloud-Server ein, und klicken Sie auf
Log on (Anmelden).
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
17
4
Integrieren in McAfee Network Security Manager
Konfigurieren von erweiterten Malware-Richtlinien
5
Wählen Sie auf der Benutzeroberfläche von McAfee ePO Cloud die Optionen Menu | Configuration |
Server Settings | Cloud Threat Detection Setup (Menü, Konfiguration, Server-Einstellungen, Setup für die
Erkennung von Cloud-Bedrohungen) aus.
6
Geben Sie den aus McAfee Network Security Manager kopierten Bereitstellungsschlüssel ein, und
klicken Sie dann auf Generate Activation Key (Aktivierungsschlüssel generieren).
7
Kopieren Sie den Aktivierungsschlüssel aus McAfee ePO Cloud.
8
Kehren Sie zu McAfee Network Security Manager zurück, und wählen Sie auf der CTD-Seite die
Option Manage Activation Key (Aktivierungsschlüssel verwalten) aus. Klicken Sie dann auf Add Activation
Key (Aktivierungsschlüssel hinzufügen).
9
Geben Sie den Aktivierungsschlüssel in das Feld New Activation Key (Neuer Aktivierungsschlüssel) ein,
und wählen Sie die Option Add (Hinzufügen) aus.
10 Wenn der Aktivierungsschlüssel vollständig ist und sich der Status des Aktivierungsschlüssels in Present
(Vorhanden) ändert, klicken Sie auf Save (Speichern).
Konfigurieren von erweiterten Malware-Richtlinien
Konfigurieren Sie erweiterte Malware-Richtlinien zum Senden von ausführbaren Dateien und
PDF-Dateien an McAfee CTD.
Führen Sie die folgenden Schritte aus, um erweiterte Malware-Richtlinien zum Senden von Dateien an
McAfee CTD zu konfigurieren:
Vorgehensweise
1
Wechseln Sie zur Seite Policy | <Name der Administrationsdomäne> | Intrusion Prevention | Policy Types | Advanced
Malware Policies (Richtlinie, <Name der Administrationsdomäne>, Eindringungsschutz,
Richtlinientypen, Erweiterte Malware-Richtlinien).
2
Überprüfen und aktivieren Sie die TIE-/GTI-Datei-Reputation für ausführbare Dateien und PDF-Dateien
auf der Seite Advanced Malware Policy (Erweiterte Malware-Richtlinie), bevor Sie die McAfee ePO
Cloud-Option für beide Dateitypen aktivieren.
Sie werden in einer Bestätigungsmeldung gefragt, ob Sie die TIE-/GTI-Datei-Reputation für ausführbare
Dateien und PDF-Dateien aktivieren möchten.
3
Klicken Sie zum Fortfahren auf Yes (Ja).
4
Wählen Sie im McAfee Cloud-Malware-Modul die Optionen Excecutables (Ausführbare Dateien) und PDF
Files (PDF-Dateien) aus.
Analyse verdächtiger Dateien
Wenn eine verdächtige Datei in das Netzwerk gelangen soll und vom McAfee Network Security
Manager-Sensor abgefangen wird, veranschaulicht diese Sequenz die Funktionsweise von McAfee
Network Security Manager in Verbindung mit McAfee CTD beim Scannen der verdächtigen Datei.
Diese Sequenz ist nur eine Möglichkeit, die Ergebnisse der Malware-Analyse anzuzeigen. Informationen
zu alternativen Möglichkeiten finden Sie im McAfee Network Security
Manager-Administrationshandbuch.
18
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
4
Integrieren in McAfee Network Security Manager
Analyse verdächtiger Dateien
1
Wenn eine verdächtige Datei in das Netzwerk gelangen soll, wird vom McAfee Network Security
Manager-Sensor ein Datei-Hash berechnet, und wenn erweiterte Malware-Scans aktiviert sind,
werden beim Scannen verschiedene Malware-Module hinzugezogen.
2
Wenn die Ergebnisse der Malware-Module Unbekannt, Niedrig oder Sehr niedrig entsprechen, wird
die Datei vom McAfee Network Security Manager-Sensor gekennzeichnet und an McAfee Network
Security Manager weitergeleitet.
3
Die Datei wird von McAfee Network Security Manager zu weiteren Scans an McAfee CTD gesendet,
und die Ergebnisse werden alle fünf Minuten abgefragt.
•
Vom McAfee CTD-Manager wird die Warnung MALWARE: Unknown File Download Detected and
Submitted to McAfee Cloud Service for Analysis (MALWARE: Unbekannter Datei-Download
erkannt und zur Analyse an McAfee-Cloud-Dienst übermittelt) im Angriffsprotokoll ausgelöst. Dies
ist ein Hinweis darauf, dass eine verdächtige Datei übermittelt wurde.
Wenn die von McAfee CTD zurückgegebene Datei-Reputation sauber ist, wird die Warnung aus dem
Angriffsprotokoll entfernt. Wenn die Datei-Reputation länger als drei Stunden den Status Pending
(Ausstehend) im Angriffsprotokoll hat, wird die Warnung entfernt.
Wenn Sie auf der Seite Advanced Malware Policies (Erweiterte Malware-Richtlinien) die Option Save File
(Datei speichern) aktiviert haben, wird die Datei, für die die Warnung aus dem Angriffsprotokoll
entfernt wurde, im Ordner Manage | Maintenance | Files | Malware Archive (Verwalten, Wartung, Dateien,
Malware-Archiv) gespeichert. Sie können die Datei erneut zum Scannen senden.
4
Wenn von McAfee CTD die Datei-Reputation Mittel, Hoch oder Sehr hoch zurückgegeben wird, wird
von McAfee Network Security Manager die Warnung MALWARE: Malicious File Detected by McAfee
Cloud Service (MALWARE: Bösartige Datei durch McAfee Cloud-Dienst erkannt) im Angriffsprotokoll
ausgelöst. In diesem Fall wird die Übermittlungswarnung durch die Angriffs-ID der erkannten
bösartigen Datei ersetzt. Wenn die Datei als unbekannt oder sauber zurückgegeben wird, wird die
Übermittlungswarnung gelöscht.
5
Wenn durch die Dateiübermittlung an McAfee CTD das Tageslimit überschritten wird oder die Rate
der Dateiübermittlungen zu hoch ist, werden Systemfehler generiert. Das Tageslimit für
Dateiübermittlungen und die Übermittlungsrate basieren auf dem Typ der Lizenzen, die Sie beim
Abschließen Ihres Vertrags mit McAfee erworben haben. Die Systemfehler können auf der
Benutzeroberfläche von McAfee Network Security Manager angezeigt werden. Zum Anzeigen von
Lizenzen im Zusammenhang mit den Systemfehlern wechseln Sie zu Manager | <Administrationsdomäne>
| Troubleshooting | System Faults (Manager, <Administrationsdomäne>, Fehlerbehebung, Systemfehler).
6
Doppelklicken Sie auf die Warnung, deren Details Sie anzeigen möchten.
Das Fenster Alert Details (Warnungsdetails) wird geöffnet.
7
Im Abschnitt Attacker/Target (Angreifer/Ziel) können Sie die Benutzerdetails anzeigen.
8
Auf der Seite Malware Files (Malware-Dateien) können Sie die Zuverlässigkeit der
Malware-Informationen anzeigen.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
19
4
Integrieren in McAfee Network Security Manager
Anzeigen von Malware-Statistiken
•
Zeigen Sie die McAfee CTD-Details für erkannte Malware an.
Klicken Sie auf der Seite Malware Files (Malware-Dateien) neben der Zuverlässigkeitsstufe für McAfee
Cloud auf
. Ein von McAfee CTD generierter Bericht wird in einem Fenster geöffnet.
Feld
Beschreibung
File Properties (Dateieigenschaften)
Zeigt den höchsten Malware-Schweregrad, der von den
Komponenten von McAfee CTD zurückgegeben wurde, den
MD5-Hash-Wert der Datei, die Dateigröße sowie die ersten
und letzten erkannten Dateien an.
Aliases (Aliasse)
Observed Activities (Beobachtete
Aktivitäten)
Von der Malware ausgeführte Aktivitäten
System Changes (Systemänderungen)
Anzeigen von Malware-Statistiken
Auf der Seite Statistics (Statistiken) wird die Anzahl der Fälle angezeigt, in denen Malware in den zum
Scannen an McAfee CTD übermittelten verdächtigen Dateien identifiziert wurde.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Melden Sie sich bei der McAfee Network Security Manager-Konsole an, und wählen Sie Manager |
<Name der Administrationsdomäne> | Integration | CTD | Statistics (Manager, <Name der
Administrationsdomäne>, Integration, CTD, Statistiken) aus.
2
Zeigen Sie diese Details an.
Feld
Beschreibung
Total Files submitted (Insgesamt
übermittelte Dateien)
Die Gesamtanzahl der Dateien, die seit dem letzten
Zurücksetzen der Zähler an McAfee CTD übermittelt
wurden
Very High Malware Confidence Files (Dateien
mit sehr hoher Zuverlässigkeit der
Malware-Informationen)
Dateien, die einen dieser Datei-Reputationswerte
enthielten, in McAfee CTD gespeichert wurden und nicht
erneut zur Analyse übermittelt wurden
High Malware Confidence Files (Dateien mit
hoher Zuverlässigkeit der
Malware-Informationen)
Medium Malware Confidence Files (Dateien mit
mittlerer Zuverlässigkeit der
Malware-Informationen)
Low Malware Confidence Files (Dateien mit
niedriger Zuverlässigkeit der
Malware-Informationen)
Very Low Malware Confidence Files (Dateien mit
sehr niedriger Zuverlässigkeit der
Malware-Informationen)
Clean Malware Confidence Files (Saubere
Dateien mit Zuverlässigkeit der
Malware-Informationen)
20
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
Integrieren in McAfee Network Security Manager
Überprüfen der Integration
Feld
Beschreibung
Last Submission Time (Zeitpunkt der letzten
Übermittlung)
Gibt an, wann letztmals eine Datei an McAfee CTD
übermittelt wurde.
Last Submission Request From (Letzte
Übermittlungsanfrage von)
Das verwaltete Produkt, von dem die letzte Datei
übermittelt wurde
Total Submission Errors (Gesamtanzahl der
Übermittlungsfehler)
Die Gesamtanzahl der an McAfee CTD übermittelten
Dateien, die Fehler enthielten
4
• Der letzte Übermittlungsfehler wird in der dritten
Rasterspalte angezeigt, wenn ein Fehler vorlag.
Save as CSV (Als CSV speichern)
Exportiert Informationen als CSV-Datei, die Sie zur
weiteren Analyse verwenden können.
Reset Counters (Zähler zurücksetzen)
Setzt alle Datenzähler auf null zurück.
Save (Speichern)
Achten Sie darauf, die Änderungen zu speichern,
nachdem Sie die Zähler zurückgesetzt haben.
Sie können die angezeigten Daten aktualisieren, indem
Sie auf dieses Symbol klicken.
Überprüfen der Integration
Sie können überprüfen, ob die Integration zwischen McAfee CTD und McAfee Network Security
Manager funktioniert.
Zu überprüfender Aspekt
Vorgehensweise
Vorhandensein eines
Aktivierungsschlüssels
Vergewissern Sie sich, dass der Status des
Aktivierungsschlüssels Present (Vorhanden) einem grünen
Symbol entspricht.
Konnektivität und Gültigkeit des
Aktivierungsschlüssels
Verwenden Sie die Option Test Connection (Verbindung testen).
Erfolg der Übermittlung
Vergewissern Sie sich, dass sich die Zähler vor und nach der
Dateiübermittlung erwartungsgemäß erhöhen.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
21
4
Integrieren in McAfee Network Security Manager
Überprüfen der Integration
22
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
5
Arbeiten mit dem Dashboard Cloud
Threat Workspace (Arbeitsbereich für
Cloud-Bedrohungen)
Im Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) erhalten Sie Informationen
zur Überwachung des Dateistatus, zur Messung der Mandantenverwendung und zur Ermittlung des
Zustands der verteilten Dateianalyse.
Das Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) enthält die folgenden
Informationen:
•
Einen Analysebericht mit einer Liste der übermittelten Dateien mit ihrem Analysestatus sowie
Bedrohungsdetails
•
Die Anzahl der Dateien in den einzelnen Analysestatus und die Gesamtanzahl der übermittelten
Dateien, die in der Kopfzeile der Seite mit dem Analysebericht angezeigt wird. Sie können auf einen
Status klicken, um die Ergebnisse unter einem bestimmten Status zu filtern.
•
Die Verlaufsdaten für eine ausgewählte Dauer
•
Details zu einer ausgewählten Datei
•
Den Status des McAfee ePO Cloud-Sandboxing-Dienstes und andere Warnungen
Inhalt
Malware-Analysebericht
Details der übermittelten Dateien
Gesamtdateistatus
Zeitauswahlfilter
Status des Analysedienstes
Malware-Analysebericht
Im Analysebericht wird eine Liste der übermittelten Dateien mit Informationen zu ihrem
Bedrohungsanalysestatus sowie Details angezeigt.
In diesem Bericht werden die zur Analyse gesendeten Dateien sowie ihre Analyseergebnisse oder ihr
Status angezeigt. Für Dateien mit dem Status At Risk (Gefährdet) können Sie weitere Aktionen planen.
Sie können die Ergebnisse filtern, detaillierte Informationen zu einer Datei und ihrer Analyse anzeigen
oder den Status des Sandboxing-Dienstes anzeigen.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
23
5
Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen)
Details der übermittelten Dateien
Option
Beschreibung
File Name (Dateiname)
Der Name der erkannten Datei
Status
Der Status der Dateianalyse
• High Risk (Hohes Risiko): Die Datei weist einen hohen Risikostatus auf,
und ihre Ausführung muss blockiert werden.
• Suspicious (Verdächtig): Die Datei weist einen mittleren Risikostatus
auf und muss möglicherweise weiter analysiert werden.
• Low Risk (Niedriges Risiko): Die Datei weist einen niedrigen
Risikostatus auf und kann möglicherweise gefahrlos ausgeführt
werden.
• Failed (Fehlgeschlagen): Die Analyse der Datei ist fehlgeschlagen.
• Monitored (Überwacht): Die Datei wird überwacht.
• Processing (Wird verarbeitet): Die Datei wird gerade analysiert.
Through (Durch)
Das Quellprodukt, von dem die Datei übermittelt wurde
• McAfee Network Security Platform: Übermittelt von McAfee Network Security
Manager
• McAfee Web Gateway: Übermittelt von McAfee Web Gateway
• McAfee Web Security: Übermittelt von McAfee Web Gateway Cloud Service
Submitted (Übermittelt
am/um)
Datum und Uhrzeit der Übermittlung der Datei
Processing Time
(Verarbeitungszeit)
Dauer der Analyse der Datei
Klicken auf einen Status
Filtert die Ergebnisse, um eine Liste von Dateien unter dem
ausgewählten Status anzuzeigen.
Klicken auf eine Spalte
Sortiert den Bericht nach der ausgewählten Spalte.
Klicken auf die Zeitauswahl
Ermöglicht das Auswählen einer Zeitdauer, nach der Sie die Liste filtern
möchten.
Klicken auf eine Datei
Zeigt detaillierte Informationen zur Datei und den zugehörigen
Analyseergebnissen im rechten Bereich des Dashboards Cloud Threat
Workspace (Arbeitsbereich für Cloud-Bedrohungen) an.
Details der übermittelten Dateien
Wenn Sie im Analysebericht auf eine Datei klicken, werden im rechten Bereich des Dashboards Cloud Threat
Workspace (Arbeitsbereich für Cloud-Bedrohungen) detaillierte Informationen zu der Datei und den
Analyseergebnissen angezeigt.
Option
Beschreibung
Titelleiste
Zeigt den Dateinamen und den Status als Titel an.
Through (Durch)
Das Quellprodukt, von dem die Datei übermittelt wurde
• NSM: Übermittelt von McAfee Network Security Manager
• Web-Gateway: Übermittelt von McAfee Web Gateway
• Web SaaS: Übermittelt von McAfee Web Gateway Cloud Service
Submitted (Übermittelt
am/um)
24
Datum und Uhrzeit der Übermittlung der Datei
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen)
Gesamtdateistatus
5
Option
Beschreibung
Processing Time
(Verarbeitungszeit)
Dauer der Analyse der Datei
Threat Details
(Bedrohungsdetails)
Zeigt Informationen zu den mit der Datei verbundenen Bedrohungen an.
Dazu gehören der Dateityp, Signaturen, Authentifizierung, gegebenenfalls
in der Datei erkannte Malware sowie zusätzliche Namen der Malware.
Reputation
Zeigt den Risikostatus der Datei und die Datei-Reputation mit weiteren
Vorschlägen an. Wenn beispielsweise der Bedrohungsstatus der Datei
Fehlgeschlagen lautet, wird möglicherweise vorgeschlagen, eine
Kompromittierungsindikator-Datei (Indicator of Compromise, IOC)
herunterzuladen, die Sie für die weitere Analyse mit zusätzlichen Tools
verwenden können.
Gesamtdateistatus
In der Kopfzeile des Dashboards Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen) wird die
Anzahl der Dateien für jeden Status sowie die Gesamtanzahl der übermittelten Dateien angezeigt.
Jeder Status wird in einer anderen Farbe angezeigt, um die Unterscheidung zu erleichtern.
Status
Farbe
Beschreibung
High Risk (Hohes Risiko)
Rot
Die Datei weist einen hohen Risikostatus auf, und ihre
Ausführung muss blockiert werden.
Suspicious (Verdächtig)
Orange
Die Datei weist einen mittleren Risikostatus auf und muss
möglicherweise weiter analysiert werden.
Low Risk (Niedriges Risiko) Blassgrün Die Datei weist einen niedrigen Risikostatus auf und kann
möglicherweise gefahrlos ausgeführt werden.
Failed (Fehlgeschlagen)
Schwarz
Die Analyse der Datei ist fehlgeschlagen.
Monitored (Überwacht)
Blassgelb Die Datei wird überwacht.
Zeitauswahlfilter
Wählen Sie eine Zeitdauer aus, für die Sie die Ergebnisse im Bericht zum Analysestatus anzeigen
möchten.
Option
Beschreibung
Past 4 Hours (Letzte 4 Stunden)
Zeigt eine Liste der Dateien an, die in den letzten vier Stunden
übermittelt wurden.
Past 8 Hours (Letzte 8 Stunden)
Zeigt eine Liste der Dateien an, die in den letzten acht Stunden
übermittelt wurden.
Past 12 Hours (Letzte 12 Stunden) Zeigt eine Liste der Dateien an, die in den letzten zwölf Stunden
übermittelt wurden.
Past 24 Hours (Letzte 24 Stunden) Zeigt eine Liste der Dateien an, die in den letzten 24 Stunden
übermittelt wurden.
Past 72 Hours (Letzte 72 Stunden) Zeigt eine Liste der Dateien an, die in den letzten 72 Stunden
übermittelt wurden.
Past 7 Days (Letzte 7 Tage)
Zeigt eine Liste der Dateien an, die in den letzten sieben Tagen
übermittelt wurden.
Past 14 Days (Letzte 14 Tage)
Zeigt eine Liste der Dateien an, die in den letzten 14 Tagen
übermittelt wurden.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
25
5
Arbeiten mit dem Dashboard Cloud Threat Workspace (Arbeitsbereich für Cloud-Bedrohungen)
Status des Analysedienstes
Option
Beschreibung
Past 90 Days (Letzte 90 Tage)
Zeigt eine Liste der Dateien an, die in den letzten 90 Tagen
übermittelt wurden.
All Time (Alle Zeiträume)
Zeigt eine Liste aller Dateien an, die bis zum aktuellen Tag
übermittelt wurden.
Status des Analysedienstes
Wenn Sie auf das Benachrichtigungssymbol (Glockensymbol) im Dashboard Cloud Threat Workspace
(Arbeitsbereich für Cloud-Bedrohungen) klicken, wird eine Zustandskarte mit Details zum McAfee
CTD-Analysedienst angezeigt.
Option
Beschreibung
Status des Cloud Sandbox-Servers Zeigt mithilfe eines Farbcodes an, ob der McAfee
CTD-Analysedienst funktioniert. Rot bedeutet, dass der Server
heruntergefahren ist, und Grün bedeutet, dass der Server
funktioniert.
26
Diagramme (nach
Übermittlungsdatum)
In diesem Diagrammen werden die Dateiübermittlungen nach
Datum und Status angezeigt. Sie können zum Anzeigen der
Ergebnisse einen anderen Zeitraum auswählen.
Total Files submitted (Insgesamt
übermittelte Dateien)
Die Anzahl der Dateien, die in dem mit der Zeitauswahl
festgelegten Zeitraum zur Analyse übermittelt wurden
Available (Verfügbar)
Die verbleibende Anzahl von Dateien, die analysiert werden
können
Verarbeitungszeit
Dauer der Analyse der Datei
Prozentsatz der
Dateiübermittlungen (nach
Produkten)
Prozentsatz der übermittelten Dateien (nach McAfee-Produkten)
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
A
Fehlerbehebung
Die folgenden allgemeinen Probleme können beim Arbeiten mit McAfee CTD auftreten.
Probleme bei der Integration in McAfee Network Security Manager
Problem
Beschreibung
Konnektivitätsfehler Klicken auf Test Connection (Verbindung testen) auf der Seite für die McAfee
CTD-Integration führt zu einem Verbindungsfehler. Dieses Problem tritt auf,
wenn die Verbindung zwischen McAfee Network Security Manager und McAfee
CTD nicht hergestellt werden kann.
• Vergewissern Sie sich, dass der richtige Aktivierungsschlüssel eingegeben
wurde.
• Vergewissern Sie sich mithilfe der Option Open Cloud ePO (Cloud ePO öffnen),
dass McAfee ePO Cloud erreicht werden kann. https://login.mcafee.com/v1
• Überprüfen Sie die Tabelle iv_ems.properties in der McAfee Network Security
Manager-Datenbank. Vergewissern Sie sich, dass der Zugriff auf die URLs, die
den folgenden Attributen entsprechen, möglich ist:
• iv.malware.CloudPrometheus.gtiSubmitTarget
• iv.malware.CloudPrometheus.gtiUsageTarget
Lizenzprobleme
Wenn durch die Anzahl der übermittelten Dateien das Tageslimit überschritten
wird oder die Rate der Dateiübermittlungen zu hoch ist, werden Systemfehler
generiert. Diese Probleme können auf der Seite System Faults (Systemfehler) auf
der Benutzeroberfläche von McAfee Network Security Manager angezeigt
werden. Vom Typ der erworbenen Lizenzen hängt ab, wie viele Dateien Sie
täglich übermitteln können.
Mögliche Probleme mit McAfee CTD:
• Invalid CTD subscription (Ungültiges CTD-Abonnement): Dieser Fehlertyp wird
generiert, wenn die Versuche, Dateien an McAfee CTD zu übermitteln,
abgelehnt werden, da der für die McAfee CTD-Integration verwendete
Aktivierungsschlüssel nicht mit einem gültigen Kundenabonnement verbunden
ist.
Problemumgehung: Korrigieren Sie das Abonnement in McAfee ePO Cloud,
und importieren Sie einen neuen Aktivierungsschlüssel in McAfee Network
Security Manager.
• Expired CTD subscription (Abgelaufenes CTD-Abonnement): Dieser Fehlertyp wird
generiert, wenn die Versuche, Dateien an McAfee CTD zu übermitteln,
abgelehnt werden, da der für die McAfee CTD-Integration verwendete
Aktivierungsschlüssel mit einem abgelaufenen Kundenabonnement verbunden
ist.
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
27
A
Fehlerbehebung
Problem
Beschreibung
Problemumgehung: Korrigieren Sie das Abonnement in McAfee CTD, und
importieren Sie einen neuen Aktivierungsschlüssel in McAfee Network Security
Manager.
• CTD file submission limit reached (Dateiübermittlungslimit für CTD erreicht): Dieser
Fehlertyp wird generiert, wenn das Tageslimit für Dateiübermittlungen an
McAfee CTD erreicht ist.
Problemumgehung: Möglicherweise müssen Sie eine weitere Lizenz
erwerben.
• CTD file submission rate too high (Zu hohe Dateiübermittlungsrate in CTD): Dieser
Fehlertyp wird generiert, wenn die Versuche, Dateien an McAfee CTD zu
übermitteln, abgelehnt werden, da die Dateiübermittlungsrate zu hoch ist.
Problemumgehung: Möglicherweise müssen Sie eine weitere Lizenz
erwerben.
Weitere Informationen zu den Systemfehlern finden Sie im McAfee Network
Security Manager-Fehlerbehebungshandbuch.
Probleme bei der Integration in McAfee Web Gateway und McAfee Web Gateway
Cloud Service
Problem
Beschreibung
Allgemeine Fehler:
Ursachen:
• 14030: Kommunikation
fehlgeschlagen
(Zeitüberschreitungen,
Netzwerkprobleme, Empfang
ungültiger Daten).
• Die McAfee CTD-Funktion ist nicht lizenziert.
• 14031: Datei kann nicht gescannt
werden (fehlende Lizenz, Probe
überschreitet Größenlimit,
Übermittlung wurde vom Server
abgelehnt).
Problemumgehung: Bei einer lokalen Bereitstellung
generieren und importieren Sie einen
Aktivierungsschlüssel. Bei einer reinen Cloud-Bereitstellung
vergewissern Sie sich, dass McAfee CTD in McAfee ePO
Cloud abonniert ist.
• McAfee Web Gateway ist nicht für Zertifikatüberprüfung
konfiguriert.
• Es liegt ein Problem mit der DNS-Auflösung vor.
• Von McAfee Web Gateway konnte im konfigurierten
Zeitraum keine Verbindung mit dem McAfee CTD-Dienst
hergestellt werden.
• Der Gesamtzeitbedarf für die Analyse der Probe hat den
konfigurierten Wert überschritten.
28
McAfee Cloud Threat Detection 1.0.0
Lösungshandbuch
Index
D
Dashboard
Analysebericht 23
Arbeitsbereich für Cloud-Bedrohungen, Übersicht 23
Dateidetails 24
Dateistatus 25
Dienststatus 26
Zeitauswahl 25
Integration (Fortsetzung)
Web-Gateway, Aktivieren 13
K
Kontoverwaltung
Cloud Threat Detection, Aktivieren 9
Lizenzverwendung, Anzeigen 10
Neue Benutzer, Aktivieren 9
Vorhandene Benutzer, Aktivieren 10
E
Einführung
Analyse-Workflow 7
Architektur 6
Funktionsweise 6
Lösungs-Workflow 6
Lösungsfunktionen 5
Übersicht 5
Unterstützte Produkte 7
N
Network Security Manager
Analyse-Workflow 18
Fehlerbehebung 27
Integration, Überprüfen 21
Integrationsübersicht 17
Lösung, Aktivieren 17
Richtlinie, Konfigurieren 18
Statistiken, Anzeigen 20
F
Fehlerbehebung 27
I
Integration
Network Security Manager 17
Network Security Manager-Richtlinie, Konfigurieren 18
Network Security Manager, Aktivieren 17
Network Security Manager, Überprüfen 21
Web Gateway Cloud 13
Web Gateway Cloud, Aktivieren 15
Web-Gateway 13
Web-Gateway-Regeln, Aktivieren 14
McAfee Cloud Threat Detection 1.0.0
W
Web Gateway Cloud
Analyse-Workflow 16
Fehlerbehebung 27
Integrationsübersicht 13
Lösung, Aktivieren 15
Web-Gateway
Analyse-Workflow 16
Fehlerbehebung 27
Integrationsübersicht 13
Lösung, Aktivieren 13
Regeln, Aktivieren 14
Lösungshandbuch
29
0-15