Attivazione di McAfee CTD in McAfee Web Gateway
Download
Report
Transcript Attivazione di McAfee CTD in McAfee Web Gateway
Guida alla soluzione
McAfee Cloud Threat Detection 1.0.0
Per l'uso con McAfee ePolicy Orchestrator Cloud
COPYRIGHT
© 2016 Intel Corporation
ATTRIBUZIONI DEI MARCHI
Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee e il logo McAfee, McAfee Active Protection,
McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee
LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total
Protection, TrustedSource, VirusScan sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e
denominazioni potrebbero essere rivendicati come proprietà di terzi.
INFORMAZIONI SULLA LICENZA
Contratto di licenza
AVVISO A TUTTI GLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO LEGALE RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE
CONDIZIONI GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI
LICENZA È STATO ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O
ALL'ORDINE DI ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO
(SOTTO FORMA DI OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL
SOFTWARE). SE NON SI ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO,
L'UTENTE POTRÀ RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA IN CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO.
2
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
Sommario
1
2
Panoramica della soluzione
5
Funzioni chiave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funzionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modalità di analisi dei file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Versioni prodotto McAfee supportate . . . . . . . . . . . . . . . . . . . . . . . . . .
5
6
7
7
Attivazione di McAfee CTD e gestione dell'account
9
Attivazione di McAfee CTD durante la registrazione a McAfee ePO Cloud . . . . . . . . . . . . 9
Attivazione di McAfee CTD in un account esistente . . . . . . . . . . . . . . . . . . . . 10
Visualizzazione di informazioni sull'utilizzo della licenza di McAfee CTD . . . . . . . . . . . . 10
3
Integrazione con McAfee Web Gateway e McAfee Web Gateway Cloud Service
11
Attivazione di McAfee CTD in McAfee Web Gateway . . . . . . .
Attivazione di regole per criteri di invio file in McAfee Web Gateway
Attivazione di McAfee CTD in McAfee Web Gateway Cloud Service .
Procedura di analisi di un file sospetto . . . . . . . . . . . .
4
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
Integrazione con McAfee Network Security Manager
15
Attivazione di McAfee CTD in McAfee Network Security Manager . . . . . . . . . . . . . . .
Configurazione di policy antimalware avanzate . . . . . . . . . . . . . . . . . . . . . .
Procedura di analisi di un file sospetto . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizzazione di statistiche malware . . . . . . . . . . . . . . . . . . . . . . . . .
Verifica dell'integrazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Utilizzo della dashboard Area di lavoro per minacce cloud
15
16
16
17
18
19
Rapporto di analisi malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dettagli dei file inviati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Stato file complessivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtro selettore temporale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Stato del servizio di analisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A
11
12
13
13
19
20
21
21
22
Risoluzione dei problemi
23
Indice
25
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
3
Sommario
4
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
1
Panoramica della soluzione
®
®
La soluzione McAfee Cloud Threat Detection (McAfee CTD) consente di aggiungere funzionalità di
sandboxing all'infrastruttura di sicurezza esistente mediante il software McAfee ePolicy Orchestrator
Cloud (McAfee ePO Cloud) in ambienti basati su cloud.
®
®
®
™
®
È possibile configurare McAfee CTD affinché lavori con prodotti di sicurezza McAfee quali McAfee Web
Gateway, appliance McAfee Network Security Manager e McAfee Web Gateway Cloud Service
(McAfee WGCS).
®
®
®
Questi prodotti sono in grado di analizzare automaticamente file sospetti che si potrebbero incontrare
negli endpoint, nella rete e nel Web. A seguito dell'analisi, McAfee CTD fornisce rapporti dettagliati. È
possibile impostare una policy unificata nei prodotti integrati per selezionare i file per l'invio.
Sommario
Funzioni chiave
Funzionamento
Modalità di analisi dei file
Versioni prodotto McAfee supportate
Funzioni chiave
McAfee CTD offre un'analisi malware avanzata basata su cloud con le funzioni descritte di seguito.
Tipo di funzione
Descrizione
Rilevamento malware
avanzato
Consente di rilevare le minacce più rapidamente eseguendo l'analisi
automatica di file sconosciuti. I file vengono sottoposti ad analisi statica
(funzione) e dinamica (comportamento). Fornisce output di rapporti
dettagliati in formati leggibili e STIX 1.1.
Sandboxing
Consente di eseguire il file in un server sandbox basato su cloud per
testare il comportamento del file.
Distribuzione basata su
cloud
Consente di eseguire la distribuzione su McAfee ePO Cloud per proteggere
endpoint e prodotti integrati.
Integrazione di McAfee
Network Security
Manager
Consente l'invio da McAfee Network Security Manager di un file sospetto
che accede alla rete e viene intercettato dal sensore.
Integrazione di McAfee
Web Gateway e McAfee
Web Gateway Cloud
Service
Consente l'invio di un file sospetto dalla versione di McAfee Web Gateway
(locale e cloud) installata su un server Web.
Criteri di invio file
Consente di definire policy unificate in prodotti di sicurezza integrati.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
5
1
Panoramica della soluzione
Funzionamento
Tipo di funzione
Descrizione
Reportistica
Fornisce funzioni di reportistica mediante:
• La dashboard Area di lavoro per minacce cloud: per informazioni sul
monitoraggio dello stato del file, sulla misurazione dell'utilizzo di tenant
e sulla definizione dello stato dell'analisi dei file distribuiti.
• Rapporti di indicatori di compromissione (IOC): per rapporti di analisi
dettagliate in formati leggibili e STIX 1.1 per un uso immediato.
McAfee Global Threat
Intelligence (McAfee
GTI)
®
™
Consente di pubblicare i risultati su McAfee GTI per fornire protezione a
tutti i dispositivi protetti da McAfee.
Funzionamento
La soluzione McAfee CTD è disponibile come distribuzione centralizzata basata su cloud mediante
McAfee ePO Cloud.
È possibile migliorare la propria infrastruttura di sicurezza integrando i servizi di rete esistenti, il
rilevamento antimalware, la protezione e gli strumenti di correzione con McAfee CTD.
Architettura
Il diagramma riportato di seguito rappresenta l'architettura di alto livello della soluzione e dove viene
collocata nell'infrastruttura di sicurezza esistente.
Flusso di lavoro
6
1
L'amministratore accede al portale di McAfee ePO Cloud.
2
L'amministratore esegue la sottoscrizione a McAfee CTD nell'interfaccia di McAfee ePO Cloud.
3
L'amministratore integra i prodotti di sicurezza McAfee, ad esempio McAfee Web Gateway, McAfee
Network Security Manager e McAfee Web Gateway Cloud Service, affinché lavorino con McAfee
CTD.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
Panoramica della soluzione
Modalità di analisi dei file
1
4
In base all'analisi locale e alle configurazioni decisionali dei prodotti McAfee, i file da sottoporre ad
analisi vengono selezionati e inviati a McAfee ePO Cloud per la scansione. McAfee ePO Cloud utilizza
il servizio di gestione di McAfee CTD per analizzare il file e rilevare eventuale malware. In caso di
rilevamento di contenuti dannosi, vengono inviati avvisi.
5
La dashboard Area di lavoro per minacce cloud nel portale di McAfee ePO Cloud fornisce diverse
informazioni, ad esempio lo stato del file inviato, informazioni sull'utilizzo del prodotto integrato, lo
stato del servizio di analisi e i risultati dell'analisi delle minacce.
Modalità di analisi dei file
I prodotti di sicurezza integrati selezionano i file che richiedono un'analisi avanzata e li inviano a
McAfee CTD, che esegue un'analisi dettagliata di tali file e fornisce risultati appropriati e rapporti IOC.
1
Un prodotto di sicurezza McAfee, ad esempio McAfee Web Gateway o McAfee Network Security
Manager, invia un file sospetto a McAfee CTD.
2
Se le informazioni sul file sono già disponibili in McAfee GTI, i risultati e i rapporti IOC vengono
restituiti al prodotto di sicurezza.
3
Se le informazioni sul file sono sconosciute, McAfee CTD esegue un'analisi statica per estrarre i
dettagli del file.
4
Il file viene eseguito in un ambiente sandbox. Tutte le azioni vengono registrate, analizzate e
valutate.
5
McAfee CTD utilizza una procedura di analisi basata su Big Data e tecniche di Machine Learning per
mettere a confronto il comportamento corrente con un comportamento malware conosciuto.
6
In base ai risultati, le policy dei prodotti di sicurezza McAfee vengono aggiornate per istanze future.
Vengono generati rapporti IOC per gli utenti. Il database di McAfee GTI viene aggiornato con i
rapporti IOC relativi alle individuazioni più recenti.
Versioni prodotto McAfee supportate
McAfee CTD è in grado di analizzare i file inviati da questi prodotti McAfee se sono integrati con McAfee
CTD tramite McAfee ePO Cloud.
Prodotto
Versione
McAfee Network Security Manager
8.3.7.44 o versione successiva
McAfee Network Security Sensor (serie NS)
8.3.5.22 o versione successiva
McAfee Web Gateway
7.7.0 o versione successiva
McAfee Web Gateway Cloud Service
Ultima versione disponibile in McAfee ePO Cloud
®
Per ulteriori informazioni, consultare la documentazione dei singoli prodotti.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
7
1
Panoramica della soluzione
Versioni prodotto McAfee supportate
8
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
2
Attivazione di McAfee CTD e gestione
dell'account
Accedere a McAfee ePO Cloud, attivare McAfee CTD e integrarlo ai prodotti McAfee.
Per utilizzare la funzionalità McAfee CTD con i prodotti di sicurezza McAfee, eseguire le azioni descritte
di seguito.
1
Attivare McAfee CTD in McAfee ePO Cloud.
2
Attivare McAfee CTD nell'interfaccia del prodotto di sicurezza McAfee e ottenere la chiave di
provisioning.
3
Utilizzare la chiave di provisioning per generare una chiave di attivazione nell'interfaccia di McAfee
ePO Cloud.
4
Utilizzare la chiave di attivazione per attivare il prodotto di sicurezza McAfee.
Le istruzioni dettagliate per ottenere la chiave di provisioning e l'attivazione di un prodotto variano.
Per le informazioni dettagliate sull'integrazione di McAfee CTD al prodotto McAfee in uso, consultare le
sezioni riportate di seguito.
Quando i prodotti integrati iniziano a inviare file per l'analisi a McAfee CTD, è possibile visualizzare le
informazioni sull'utilizzo nella pagina Abbonamenti in McAfee ePO Cloud.
Sommario
Attivazione di McAfee CTD durante la registrazione a McAfee ePO Cloud
Attivazione di McAfee CTD in un account esistente
Visualizzazione di informazioni sull'utilizzo della licenza di McAfee CTD
Attivazione di McAfee CTD durante la registrazione a McAfee
ePO Cloud
Eseguire la registrazione a McAfee ePO Cloud, quindi attivare McAfee CTD.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Andare al portale di McAfee ePO Cloud all'indirizzo https://manage.mcafee.com, quindi fare clic su
Iscriviti ora.
2
Selezionare McAfee Cloud Threat Detection come prodotto.
3
Compilare il modulo con i dettagli personali.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
9
2
Attivazione di McAfee CTD e gestione dell'account
Attivazione di McAfee CTD in un account esistente
4
Selezionare Accetto il contratto di licenza e la notifica sulla privacy, quindi fare clic su Invia.
Fare clic sui collegamenti Contratto di licenza e Notifica sulla privacy per leggere attentamente i documenti.
5
Attendere il messaggio email di attivazione, quindi seguire le istruzioni riportate nel messaggio per
attivare il proprio account McAfee ePO Cloud.
Attivazione di McAfee CTD in un account esistente
Accedere al portale di McAfee ePO Cloud e attivare McAfee CTD per il proprio account.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Andare al portale di McAfee ePO Cloud all'indirizzo https://manage.mcafee.com, immettere il
proprio indirizzo email e la password, quindi fare clic su Accedi.
2
Nella pagina Menu, fare clic su Il mio account.
3
Fare clic su Abbonamenti.
4
Nella pagina Crea ordine/versione di prova, fare clic su Crea prova o su Acquista ora per McAfee Cloud Threat
Detection.
5
Seguire le istruzioni visualizzate sullo schermo.
Visualizzazione di informazioni sull'utilizzo della licenza di
McAfee CTD
È possibile conoscere il numero di file inviati a McAfee CTD in un giorno e il numero di file che è ancora
possibile inviare in un giorno in base ai termini della licenza in uso.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Andare al portale di McAfee ePO Cloud all'indirizzo https://manage.mcafee.com, immettere il
proprio indirizzo email e la password, quindi fare clic su Accedi.
2
Nella pagina Menu, fare clic su Il mio account, quindi su Abbonamenti.
3
Nella pagina Riepilogo utilizzo, visualizzare i dettagli riportati di seguito.
Opzione
Definizione
Codice servizio
Consente di visualizzare il codice del servizio di McAfee CTD, ovvero di
Rilevamento delle minacce nel cloud.
Licenza acquistata
Numero massimo di file che è possibile inviare a McAfee CTD in un giorno.
Licenza utilizzata
Numero di file inviati a McAfee CTD il giorno in cui è stato eseguito l'ultimo
aggiornamento dei risultati.
Ultimo aggiornamento La data in cui è stato eseguito l'ultimo aggiornamento delle informazioni
sull'utilizzo.
10
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
3
Integrazione con McAfee Web Gateway e
McAfee Web Gateway Cloud Service
È possibile attivare entrambe le versioni di McAfee Web Gateway (locale e cloud) per inviare i file
sospetti a McAfee ePO Cloud per la scansione.
McAfee CTD esegue la scansione dei file in ingresso. In caso di rilevamento di contenuti dannosi,
vengono eseguite ulteriori azioni in base alla configurazione della versione di McAfee Web Gateway.
®
McAfee Web Gateway fa parte di una soluzione integrata nota come McAfee Web Protection. Questa
soluzione fornisce protezione da minacce che si presentano quando gli utenti accedono al Web
all'interno o all'esterno della rete locale. Grazie a questa soluzione integrata, McAfee Web Protection
consente di imporre la stessa policy di sicurezza per l'accesso Web da parte degli utenti in locale e nel
cloud.
Sommario
Attivazione di McAfee CTD in McAfee Web Gateway
Attivazione di regole per criteri di invio file in McAfee Web Gateway
Attivazione di McAfee CTD in McAfee Web Gateway Cloud Service
Procedura di analisi di un file sospetto
Attivazione di McAfee CTD in McAfee Web Gateway
È possibile attivare McAfee CTD per utilizzarlo con una distribuzione solo locale o con una distribuzione
ibrida locale e cloud di McAfee Web Gateway.
Prima di iniziare
Attivare McAfee CTD nel proprio account McAfee ePO Cloud. Consultare la sezione
Attivazione di McAfee CTD in un account esistente.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Accedere alla console di McAfee Web Gateway, quindi selezionare Configurazione | Appliance.
2
Nella struttura degli appliance, espandere Cluster, quindi fare clic su Tenant Info (Info tenant).
Le impostazioni della pagina Tenant Info (Info tenant) vengono visualizzate nel riquadro di
configurazione.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
11
3
Integrazione con McAfee Web Gateway e McAfee Web Gateway Cloud Service
Attivazione di regole per criteri di invio file in McAfee Web Gateway
3
Fare clic su Mostra chiave di provisioning, quindi copiare la chiave di provisioning necessaria per
l'attivazione.
La chiave viene generata in base all'ID cliente e all'indicatore orario corrente utilizzando la codifica
SHA256 e base64. La chiave di provisioning è un identificatore univoco di McAfee Web Gateway e
viene utilizzata da McAfee ePO Cloud per generare la chiave di attivazione crittografata. Annotare
questa chiave poiché verrà richiesta per generare una chiave di attivazione.
4
5
Utilizzare la chiave di provisioning per generare una chiave di attivazione in McAfee ePO Cloud.
a
Accedere al portale di McAfee ePO Cloud all'indirizzo https://manage.mcafee.com.
b
Selezionare Menu | Configurazione | Impostazioni del server, quindi selezionare Cloud Threat Detection Setup
(Configurazione di Rilevamento delle minacce nel cloud).
c
Immettere la chiave di provisioning, quindi fare clic su Genera chiave di attivazione.
d
Copiare la chiave di attivazione da McAfee ePO Cloud.
Tornare alla pagina Configurazione ID tenant nella console di McAfee Web Gateway, incollare la chiave di
attivazione, quindi fare clic su Imposta ID tenant.
Attivazione di regole per criteri di invio file in McAfee Web
Gateway
Attivare il set di regole predefinito di McAfee CTD o personalizzare il set di regole per selezionare i file
per l'analisi.
I set di regole di Rilevamento delle minacce nel cloud sono preconfigurati. Se sono stati eliminati o modificati,
importarli dalla libreria di set di regole. Questi set di regole di McAfee CTD sono disponibili nella
libreria Gateway Anti-Malware (Gateway antimalware):
•
Rilevamento delle minacce nel cloud
•
Rilevamento delle minacce nel cloud - Hybrid
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Accedere alla console di McAfee Web Gateway.
2
Selezionare Policy | Set di regole | Rilevamento delle minacce nel cloud, quindi attivare il set di regole
predefinito o modificare le impostazioni in base alle esigenze.
Opzione
Descrizione
Attiva
Consente di attivare il set di regole.
Attiva nel cloud
Consente di attivare il set di regole di McAfee Web Gateway Cloud
Service per uno scenario di distribuzione ibrida.
Si applica a
Consente di specificare quando si desidera che il set di regole venga
elaborato:
• Richiesta (da utenti)
• Risposte (da server Web)
• Oggetti incorporati (con richiesta e risposte)
Modifica
12
Consente di modificare le impostazioni delle regole (opzione non
consigliata).
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
Integrazione con McAfee Web Gateway e McAfee Web Gateway Cloud Service
Attivazione di McAfee CTD in McAfee Web Gateway Cloud Service
Opzione
Descrizione
Attiva pagina di stato
Consente di visualizzare la pagina di stato di un file inviato.
Carica file su CTD e attendi
risultato scansione
Consente di bloccare l'elaborazione o scaricare il file durante l'analisi.
3
3
Espandere tutte le impostazioni configurate per il modulo antimalware (motore) e assicurarsi che,
nella sezione Seleziona motori di scansione e comportamento, l'opzione Solo servizio cloud: invia file al servizio
Rilevamento delle minacce nel cloud per l'analisi approfondita tramite sandboxing sia selezionata.
4
Se è stata modificata qualsiasi opzione nel set di regole, fare clic su Salva modifiche.
Attivazione di McAfee CTD in McAfee Web Gateway Cloud
Service
Attivare la regola McAfee CTD impostata in McAfee Web Gateway Cloud Service.
Prima di iniziare
Attivare McAfee CTD nel proprio account McAfee ePO Cloud. Consultare la sezione
Attivazione di McAfee CTD in un account esistente.
Attività
Non è necessaria una chiave di provisioning o di attivazione per attivare McAfee CTD per la
distribuzione solo cloud di McAfee Web Gateway. Per informazioni su funzioni, utilizzo e procedure
consigliate del prodotto, fare clic su ? o su Guida.
1
Accedere a McAfee ePO Cloud.
2
Selezionare Web Protection | Gestione delle policy.
3
Nella pagina Browser policy, espandere Filtro antimalware, quindi selezionare Rilevamento delle minacce nel
cloud.
4
Nella pagina Dettagli regola a destra della schermata, selezionare Attiva regola, quindi fare clic su Salva.
Procedura di analisi di un file sospetto
McAfee Web Gateway invia un file sospetto e McAfee CTD esegue un'analisi dettagliata, quindi mostra i
risultati in base alla configurazione della versione del prodotto in uso.
1
Un utente invia una richiesta per accedere a un oggetto Web (ad esempio, un file) da un sistema
nella rete che corrisponde a un client di McAfee Web Gateway.
2
Se l'oggetto supera le regole di filtraggio antimalware, McAfee Web Gateway lo inoltra al server
Web appropriato.
3
Se il file è sospetto e i criteri per l'invio del file a McAfee CTD vengono soddisfatti, McAfee Web
Gateway inoltra il file a McAfee CTD per l'analisi.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
13
3
Integrazione con McAfee Web Gateway e McAfee Web Gateway Cloud Service
Procedura di analisi di un file sospetto
4
5
14
Mentre l'analisi è in corso, viene eseguita una delle seguenti azioni in base al set di regole:
•
Scansione online: l'elaborazione o il download del file durante l'analisi vengono bloccati. In
genere, il completamento dell'analisi richiede fino a 45 minuti. Una volta completata l'analisi,
vengono generati i rapporti e vengono eseguite le azioni configurate. Questa opzione è
disponibile solo con la distribuzione locale o ibrida di McAfee Web Gateway.
•
Scansione offline: l'elaborazione o il download del file durante l'analisi vengono consentiti. Una
volta completata l'analisi, i risultati vengono pubblicati per bloccare eventuali download futuri di
file simili.
È possibile ottenere un'analisi dettagliata del file nella dashboard Area di lavoro per minacce cloud in
McAfee ePO Cloud.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
4
Integrazione con McAfee Network
Security Manager
È possibile attivare McAfee Network Security Manager per inviare i file sospetti a McAfee ePO Cloud
per la scansione.
McAfee CTD esegue la scansione dei file in ingresso. Se viene rilevato un contenuto dannoso, il
sensore di McAfee Network Security Manager invia un avviso al gestore di McAfee Network Security
Manager.
Sommario
Attivazione di McAfee CTD in McAfee Network Security Manager
Configurazione di policy antimalware avanzate
Procedura di analisi di un file sospetto
Visualizzazione di statistiche malware
Verifica dell'integrazione
Attivazione di McAfee CTD in McAfee Network Security Manager
È possibile attivare McAfee CTD per utilizzarlo con McAfee Network Security Manager.
Prima di iniziare
Attivare McAfee CTD nel proprio account McAfee ePO Cloud. Consultare la sezione
Attivazione di McAfee CTD in un account esistente.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Accedere alla console di McAfee Network Security Manager, quindi selezionare Manager (Gestione) |
<Nome dominio amministratore> | Integration (Integrazione) | CTD.
2
Selezionare Attiva integrazione CTD.
Nella sezione Chiave di attivazione viene visualizzata la chiave di provisioning e lo stato della chiave di
attivazione è Obbligatorio. Annotare la chiave di provisioning, che è richiesta per generare una chiave
di attivazione in McAfee ePO Cloud.
3
Nella pagina Gestisci chiave di attivazione, selezionare Apri console cloud ePO.
4
Immettere le credenziali di accesso al server McAfee ePO Cloud, quindi fare clic su Accedi.
5
Nell'interfaccia di McAfee ePO Cloud, selezionare Menu | Configurazione | Impostazioni del server | Cloud
Threat Detection Setup (Configurazione di Rilevamento delle minacce nel cloud).
6
Immettere la chiave di provisioning copiata in precedenza da McAfee Network Security Manager,
quindi fare clic su Genera chiave di attivazione.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
15
4
Integrazione con McAfee Network Security Manager
Configurazione di policy antimalware avanzate
7
Copiare la chiave di attivazione da McAfee ePO Cloud.
8
Tornare a McAfee Network Security Manager e alla pagina CTD, selezionare Gestisci chiave di attivazione,
quindi fare clic su Aggiungi chiave di attivazione.
9
Immettere la chiave di attivazione nella casella Nuova chiave di attivazione, quindi selezionare Aggiungi.
10 Una volta aggiunta la chiave di attivazione e che lo Stato chiave di attivazione diventa Presente, fare clic su
Salva.
Configurazione di policy antimalware avanzate
È possibile configurare policy antimalware avanzate per inviare file eseguibili e PDF a McAfee CTD.
Per configurare policy antimalware avanzate e inviare file a McAfee CTD, eseguire la seguente
procedura:
Attività
1
Andare alla pagina Policy | <Nome dominio amministratore> | Prevenzione delle intrusioni | Tipi di policy | Policy
antimalware avanzate.
2
Verificare e attivare l'opzione Reputazione file TIE/GTI per file eseguibili e PDF nella pagina Policy
antimalware avanzata prima di attivare l'opzione McAfee ePO Cloud per entrambi i tipi di file.
Viene visualizzato un messaggio di conferma in cui viene richiesto se si desidera attivare l'opzione
Reputazione file TIE/GTI per file eseguibili e PDF.
3
Fare clic su Sì per continuare.
4
Nel motore antimalware di McAfee Cloud (Cloud McAfee), selezionare Eseguibili e File PDF.
Procedura di analisi di un file sospetto
Quando un file sospetto tenta di accedere alla rete e viene intercettato dal sensore di McAfee Network
Security Manager, McAfee Network Security Manager agisce insieme a McAfee CTD per eseguire la
scansione del file sospetto mediante la procedura descritta di seguito.
Tale procedura è solo un modo di visualizzare i risultati dell'analisi antimalware. Per informazioni sulle
procedure alternative, consultare la Guida all'amministrazione di McAfee Network Security Manager.
1
Quando un file sospetto tenta di accedere alla rete, il sensore di McAfee Network Security Manager
calcola un hash del file e, se la scansione antimalware avanzata è attiva, consulta diversi motori
antimalware per eseguire la scansione.
2
Se i risultati forniti dai motori antimalware sono sconosciuti, scarsi o molto scarsi, il sensore di
McAfee Network Security Manager contrassegna il file e lo inoltra a McAfee Network Security
Manager.
3
Il gestore di McAfee Network Security Manager invia il file a McAfee CTD per un'ulteriore scansione
ed esegue il polling dei risultati ogni 5 minuti.
•
16
Il gestore di McAfee CTD crea l'avviso MALWARE: Unknown File Download Detected and
Submitted to McAfee Cloud Service for Analysis (MALWARE: download di file sconosciuto rilevato
e inviato a McAfee Cloud Service per l'analisi) nel Registro attacchi per indicare che è stato inviato
un file sospetto.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
Integrazione con McAfee Network Security Manager
Visualizzazione di statistiche malware
4
Se la reputazione file restituita da McAfee CTD indica che si tratta di un file non infetto, l'avviso
viene rimosso dal Registro attacchi. Se la reputazione file viene visualizzata come In sospeso nel Registro
attacchi per più di 3 ore, l'avviso viene rimosso.
Se è stata attivata l'opzione Salva file nella pagina Policy antimalware avanzate, il file per cui viene rimosso
l'avviso dal Registro attacchi viene salvato nella cartella Gestisci | Manutenzione | File | Archivio malware. È
possibile inviare nuovamente il file per la scansione.
4
Se McAfee CTD restituisce una reputazione file media, alta o molto alta, il gestore di McAfee
Network Security Manager crea l'avviso MALWARE: Malicious File Detected by McAfee Cloud Service
(MALWARE: file dannoso rilevato da McAfee Cloud Service) nel Registro attacchi. In questo caso,
l'avviso di invio viene sostituito con l'ID attacco di rilevamento file sospetto. Se il file viene
restituito come sconosciuto o non infetto, l'avviso di invio viene eliminato.
5
Se l'invio di file a McAfee CTD supera il limite giornaliero o se la frequenza di invio file è troppo
alta, vengono generati errori del sistema. Il limite di invio file giornaliero e la frequenza di invio
sono basati sul tipo di licenze acquistate al momento del contratto con McAfee. È possibile
visualizzare errori del sistema nell'interfaccia di McAfee Network Security Manager. Per visualizzare
gli errori del sistema correlati alle licenze, selezionare Manager (Gestione) | <Dominio amministratore> |
Risoluzione dei problemi | Errori sistema.
6
Fare doppio clic sull'avviso di cui si desidera visualizzare i dettagli.
Viene aperto il riquadro Dettagli avviso.
7
È possibile visualizzare i dettagli dell'utente nella sezione Autore dell'attacco/Destinazione.
8
È possibile visualizzare il livello di probabilità malware nella pagina File malware.
•
Visualizzare i dettagli di McAfee CTD per un file malware rilevato.
Nella pagina File malware, fare clic su
accanto al livello di probabilità per McAfee Cloud. Viene aperto
un rapporto generato da McAfee CTD in una finestra.
Campo
Descrizione
Proprietà file
Consente di visualizzare la gravità malware più elevata restituita dai componenti
di McAfee CTD, il valore hash MD5 del file, la dimensione file e il file rilevato per
primo e per ultimo.
Alias
Attività osservate
Attività eseguite dal malware.
Modifiche al sistema
Visualizzazione di statistiche malware
Nella pagina Statistiche viene fornito un conteggio dei malware identificati nei file sospetti che sono stati
inviati a McAfee CTD per la scansione.
Attività
Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida.
1
Accedere alla console di McAfee Network Security Manager, quindi selezionare Manager (Gestione) |
<Nome dominio amministratore> | Integration (Integrazione) | CTD | Statistiche.
2
Visualizzare i dettagli riportati di seguito.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
17
4
Integrazione con McAfee Network Security Manager
Verifica dell'integrazione
Campo
Descrizione
Totale file inviati
Numero totale di file inviati a McAfee CTD dall'ultima reimpostazione
dei contatori.
File con livello di probabilità
malware molto alto
File che contenevano uno dei valori di reputazione archiviati in McAfee
CTD e che non sono stati inviati nuovamente per l'analisi.
File con livello di probabilità
malware alto
File con livello di probabilità
malware medio
File con livello di probabilità
malware basso
File con livello di probabilità
malware molto basso
Ripulisci file con livello di
probabilità malware
Ultimo invio
L'ultima volta che un file è stato inviato a McAfee CTD.
Ultima richiesta di invio da
Il prodotto gestito da cui è stato inviato l'ultimo file.
Errori di invio totali
Il numero totale di file inviati a McAfee CTD che contenevano lo stesso
errore.
• L'ultimo errore di invio viene visualizzato nella terza colonna della
griglia (tipo di errore, data e ora).
Salva come CSV
Consente di esportare le informazioni come file .csv utilizzabile per
un'ulteriore analisi.
Reimposta contatori
Consente di reimpostare tutti i contatori di dati su zero.
Salva
Una volta reimpostati i contatori, assicurarsi di salvare le modifiche.
È possibile aggiornare i dati visualizzati facendo clic su questa icona.
Verifica dell'integrazione
È possibile verificare se l'integrazione tra McAfee CTD e McAfee Network Security Manager è in
funzione.
18
Per confermare...
Eseguire questa procedura...
La presenza della chiave di attivazione
Verificare che lo stato della chiave di attivazione sia
Presente con un'icona verde.
La connettività e la validità della chiave
di attivazione
Utilizzare l'opzione Verifica connessione.
Il completamento dell'invio
Controllare i contatori prima e dopo l'invio dei file per
assicurarsi che risultino incrementati come previsto.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
5
Utilizzo della dashboard Area di lavoro
per minacce cloud
La dashboard Area di lavoro per minacce cloud fornisce rapporti con informazioni sul monitoraggio dello stato
del file, sulla misurazione dell'utilizzo di tenant e sulla definizione dello stato dell'analisi dei file
distribuiti.
La dashboard Area di lavoro per minacce cloud fornisce le seguenti informazioni:
•
Un rapporto di analisi contenente un elenco di file inviati con il relativo stato di analisi e i dettagli
sulle minacce.
•
Un conteggio dei file in ciascuno stato di analisi e il numero totale dei file inviati visualizzato
nell'intestazione superiore della pagina del rapporto di analisi. È possibile fare clic su uno stato per
filtrare i risultati nello stato specifico.
•
I dati cronologici per una durata selezionata.
•
I dettagli relativi al file selezionato.
•
Lo stato del servizio di sandboxing di McAfee ePO Cloud e altri avvisi.
Sommario
Rapporto di analisi malware
Dettagli dei file inviati
Stato file complessivi
Filtro selettore temporale
Stato del servizio di analisi
Rapporto di analisi malware
Nella pagina Rapporto di analisi viene visualizzato un elenco di file inviati con le informazioni sul relativo
stato di analisi delle minacce e i dettagli.
Questo rapporto mostra i file inviati per l'analisi e il relativo risultato o stato dell'analisi. È possibile
pianificare ulteriori azioni per i file valutati come A rischio. È possibile filtrare i risultati, visualizzare
informazioni dettagliate su un file e sulla relativa analisi o visualizzare lo stato del servizio di
sandboxing.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
19
5
Utilizzo della dashboard Area di lavoro per minacce cloud
Dettagli dei file inviati
Opzione
Definizione
Nome file
Il nome del file rilevato.
Stato
Lo stato dell'analisi del file.
• Rischio elevato: lo stato di rischio del file è elevato ed è necessario bloccare
l'esecuzione del file.
• Sospetto: lo stato di rischio del file è moderato e potrebbe richiedere un'ulteriore
analisi.
• Rischio basso: lo stato di rischio del file è basso e la relativa esecuzione potrebbe
essere sicura.
• Non riuscita: l'analisi del file non è stata completata.
• Monitorato: il file viene monitorato.
• Elaborazione in corso: il file è in fase di analisi.
Tramite
Prodotto di origine da cui è stato inviato il file.
• McAfee Network Security Platform: inviato da McAfee Network Security Manager
• McAfee Web Gateway: inviato da McAfee Web Gateway
• McAfee Web Security: inviato da McAfee Web Gateway Cloud Service
Inviato
Data e ora di invio del file.
Durata elaborazione
Tempo impiegato per l'analisi del file.
Seleziona stato
Consente di filtrare il risultato per visualizzare un elenco di file nello stato
selezionato.
Seleziona
colonna
Consente di ordinare il rapporto in base alla colonna selezionata.
Seleziona
selettore
temporale
Consente di selezionare una durata per cui si desidera filtrare l'elenco.
Seleziona file
Consente di visualizzare informazioni dettagliate sul file e i risultati della relativa
analisi nel riquadro destro della dashboard Area di lavoro per minacce cloud.
Dettagli dei file inviati
Facendo clic su un file nella pagina Rapporto di analisi vengono visualizzate informazioni dettagliate sul file
e i relativi risultati di analisi nel riquadro destro della dashboard Area di lavoro per minacce cloud.
Opzione
Definizione
Barra del titolo
Consente di visualizzare il nome del file e il relativo stato come titolo.
Tramite
Prodotto di origine da cui è stato inviato il file.
• NSM: inviato da McAfee Network Security Manager
• McAfee Web Gateway: inviato da McAfee Web Gateway
• Web SaaS: inviato da McAfee Web Gateway Cloud Service
Inviato
Data e ora di invio del file.
Durata elaborazione Tempo impiegato per l'analisi del file.
20
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
5
Utilizzo della dashboard Area di lavoro per minacce cloud
Stato file complessivi
Opzione
Definizione
Dettagli minaccia
Consente di visualizzare informazioni sulle minacce associate al file, tra cui tipo di
file, firme, autenticazione, malware rilevato nel file, se presente, ed eventuali nomi
aggiuntivi del malware.
Reputazione
Consente di visualizzare lo stato di rischio e la reputazione del file con ulteriori
suggerimenti. Ad esempio, se lo stato della minaccia del file è Non riuscita, si
potrebbe visualizzare un suggerimento in cui viene indicato di scaricare un file
Indicatore di compromissione (IOC, Indicator of Compromise) per consentire
un'ulteriore analisi mediante strumenti aggiuntivi.
Stato file complessivi
L'intestazione della dashboard Area di lavoro per minacce cloud visualizza il conteggio dei file per ciascuno
stato e il numero complessivo di file inviati. Ciascuno stato viene visualizzato con un colore differente.
Stato
Colore
Rischio elevato Rosso
Descrizione
Lo stato di rischio del file è elevato ed è necessario bloccare l'esecuzione
del file.
Sospetto
Arancione
Lo stato di rischio del file è moderato e potrebbe richiedere un'ulteriore
analisi.
Rischio basso
Verde pallido Lo stato di rischio del file è basso e la relativa esecuzione potrebbe essere
sicura.
Non riuscita
Nero
Monitorato
Giallo pallido Il file viene monitorato.
L'analisi del file non è stata completata.
Filtro selettore temporale
È possibile selezionare una durata per cui si desidera visualizzare i risultati nel rapporto Stato analisi.
Opzione
Definizione
Ultime 4 ore
Consente di visualizzare l'elenco di file inviati nelle ultime 4 ore.
Ultime 8 ore
Consente di visualizzare l'elenco di file inviati nelle ultime 8 ore.
Ultime 12 ore
Consente di visualizzare l'elenco di file inviati nelle ultime 12 ore.
Ultime 24 ore
Consente di visualizzare l'elenco di file inviati nelle ultime 24 ore.
Ultime 72 ore
Consente di visualizzare l'elenco di file inviati nelle ultime 72 ore.
Ultimi 7 giorni
Consente di visualizzare l'elenco di file inviati negli ultimi 7 giorni.
Ultimi 14 giorni
Consente di visualizzare l'elenco di file inviati negli ultimi 14 giorni.
Ultimi 90 giorni
Consente di visualizzare l'elenco di file inviati negli ultimi 90 giorni.
Tutto il tempo
Consente di visualizzare l'elenco intero dei file inviati fino alla data specificata.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
21
5
Utilizzo della dashboard Area di lavoro per minacce cloud
Stato del servizio di analisi
Stato del servizio di analisi
Facendo clic sull'icona di notifica (simbolo campana) nella dashboard Area di lavoro per minacce cloud viene
visualizzata una scheda dello stato di salute contenente informazioni dettagliate sul servizio di analisi
McAfee CTD.
Opzione
Definizione
Stato server Cloud Sandbox Consente di visualizzare un codice colore che indica se il servizio di
analisi McAfee CTD è in funzione. Rosso indica che il server non è attivo
e verde indica che il server è in funzione.
22
Grafici (in base a data di
invio)
Grafici che rappresentano operazioni di invio file in base alla data e al
relativo stato. È possibile selezionare un intervallo di tempo differente
per visualizzare la variazione dei risultati.
Totale file inviati
Numero di file inviati per l'analisi nel periodo di tempo definito nel
selettore temporale.
Disponibili
Numero rimanente di file che possono essere analizzati.
Durata elaborazione
Tempo impiegato per l'analisi del file.
Percentuale di file inviati
(da prodotti)
Percentuale di file inviati da prodotti McAfee.
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
A
Risoluzione dei problemi
Di seguito sono riportati i problemi comuni che si potrebbero verificare durante l'uso di McAfee CTD.
Problemi di integrazione di McAfee Network Security Manager
Problema
Descrizione
Errore di
connettività
Facendo clic su Verifica connessione nella pagina del processo di integrazione di McAfee
CTD viene visualizzato un errore di connettività. Questo errore si verifica quando la
connessione tra McAfee Network Security Manager e McAfee CTD non riesce.
• Assicurarsi di aver immesso la chiave di attivazione corretta.
• Utilizzare l'opzione Apri cloud ePO per verificare che sia possibile raggiungere McAfee
ePO Cloud. https://login.mcafee.com/v1
• Controllare la tabella iv_ems.properties nel database di McAfee Network Security
Manager. Assicurarsi che gli URL corrispondenti ai seguenti attributi siano accessibili:
• iv.malware.CloudPrometheus.gtiSubmitTarget
• iv.malware.CloudPrometheus.gtiUsageTarget
Problemi di
licenze
Se il numero di file inviati supera il limite giornaliero o se la frequenza di invio file è
troppo alta, vengono generati errori del sistema. È possibile visualizzare questi
problemi nella pagina Errori di sistema nell'interfaccia di McAfee Network Security
Manager. Il tipo di licenze acquistate determina il numero di file che è possibile inviare
giornalmente.
I possibili problemi che si possono verificare con McAfee CTD sono i seguenti:
• Abbonamento CTD non valido: questo tipo di errore viene generato quando le richieste di
invio file a McAfee CTD vengono rifiutate poiché la chiave di attivazione utilizzata per
l'integrazione di McAfee CTD non è associata a un abbonamento cliente valido.
Soluzione alternativa: correggere l'abbonamento in McAfee ePO Cloud e importare
una nuova chiave di attivazione nel gestore di McAfee Network Security Manager.
• Abbonamento CTD scaduto: questo tipo di errore viene generato quando le richieste di
invio file a McAfee CTD vengono rifiutate poiché la chiave di attivazione utilizzata per
l'integrazione di McAfee CTD è associata a un abbonamento scaduto.
Soluzione alternativa: correggere l'abbonamento in McAfee CTD e importare una
nuova chiave di attivazione nel gestore di McAfee Network Security Manager.
• Limite invio file CTD raggiunto: questo tipo di errore viene generato quando il limite
giornaliero per il numero di invii di file a McAfee CTD viene raggiunto.
Soluzione alternativa: potrebbe essere necessario acquistare un'altra licenza.
• Frequenza di invio file CTD troppo alta: questo tipo di errore viene generato quando le
richieste di invio file a McAfee CTD vengono rifiutate a causa di una frequenza di
invio file troppo alta.
Soluzione alternativa: potrebbe essere necessario acquistare un'altra licenza.
Per ulteriori informazioni sugli errori del sistema, consultare la Guida alla risoluzione
dei problemi di McAfee Network Security Manager
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
23
A
Risoluzione dei problemi
Problemi di integrazione di McAfee Web Gateway e McAfee Web Gateway Cloud
Service
Problema
Descrizione
Errori comuni:
Cause:
• 14030: comunicazione non riuscita • La funzionalità McAfee CTD è senza licenza.
(timeout, problemi di rete, dati non
Soluzione alternativa: per la distribuzione locale,
validi ricevuti).
generare e importare una chiave di attivazione. Per la
distribuzione solo cloud, verificare che McAfee CTD sia
• 14031: impossibile eseguire la
sottoscritto in McAfee ePO Cloud.
scansione del file (licenza
• McAfee Web Gateway non è configurato per eseguire la
mancante, il campione supera il
verifica del certificato.
limite di dimensione, invio rifiutato
dal server)
• Alcuni problemi con la risoluzione DNS.
• McAfee Web Gateway non si è connesso al servizio McAfee
CTD nel tempo configurato.
• Il tempo complessivo necessario per analizzare il campione
ha superato il valore configurato.
24
McAfee Cloud Threat Detection 1.0.0
Guida alla soluzione
Indice
D
dashboard
dettagli file 20
panoramica dell'area di lavoro per minacce cloud 19
rapporto di analisi 19
selettore temporale 21
stato del servizio 22
stato file 21
G
gestione account
cloud threat detection, attivazione 9
nuovi utenti, attivazione 9
uso licenza, visualizzazione 10
utenti esistenti, attivazione 10
gestione della sicurezza di rete
flusso di lavoro dell'integrazione 15
flusso di lavoro di analisi 16
integrazione, verifica 18
policy, configurazione 16
risoluzione dei problemi 23
soluzione, attivazione 15
statistiche, visualizzazione 17
I
integrazione
gestione della sicurezza di rete 15
gestione della sicurezza di rete, attivazione 15
gestione della sicurezza di rete, verifica 18
policy di gestione della sicurezza di rete, configurazione 16
McAfee Cloud Threat Detection 1.0.0
integrazione (segue)
regole di web gateway, attivazione 12
web gateway 11
web gateway cloud 11
web gateway cloud, attivazione 13
web gateway, attivazione 11
introduzione
architettura 6
flusso di lavoro della soluzione 6
flusso di lavoro di analisi 7
funzionamento 6
funzioni della soluzione 5
panoramica 5
prodotti supportati 7
R
risoluzione dei problemi 23
W
web gateway
flusso di lavoro dell'integrazione 11
flusso di lavoro di analisi 13
regole, attivazione 12
risoluzione dei problemi 23
soluzione, attivazione 11
web gateway cloud
flusso di lavoro dell'integrazione 11
flusso di lavoro di analisi 13
risoluzione dei problemi 23
soluzione, attivazione 13
Guida alla soluzione
25
0-04