Temas Relacionados
Solución de Problemas de APT Blocker
Los archivos entrantes son procesados por los servicios de seguridad en este orden:
Gateway AV > APT Blocker > Data Loss Prevention
Las comprobaciones de APT Blocker ocurren solamente cuando el archivo es permitido por el escaneo de Gateway AV. Las acciones de Data Loss Prevention se aplican solamente si Gateway AV o APT Blocker permitieron el archivo.
Solución de Problemas del Envío de Archivos de APT Blocker
Cuando se examina primero, ocurre una comprobación hash MD5 del archivo. Si no hay una coincidencia con ningún archivo previamente analizado, el archivo se debe enviar al centro de datos de Lastline para el análisis.
Cuando el archivo se envía con éxito, se asigna una task_uuid como referencia y se incluye en el mensaje de registro:
Permitir 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 34063 80 msg="ProxyAllow: Archivo HTTP enviado al servidor de análisis APT" proxy_act="HTTP-Client.1" host="192.168.3.30" ruta="/test/sample.exe" md5="dd0af53fec2267757cd90d633acd549a" task_uuid="35c8ac1aaeee4e5186d584318deb397b" (HTTP-proxy-00)
Cuando el archivo se envía al centro de datos de Lastline y el archivo se identifica como una amenaza, este registro de evento se genera para informarle que se ha enviado la notificación de APT Blocker.
Amenaza APT notificada. Detalles='Nombre de Política: HTTPS-proxy-00 Motivo: amenaza APT alta detectada Task_UUID: d09445005c3f4a9a9bb78c8cb34edc2a IP de origen: 10.0.1.2 Puerto de Origen: 43130 IP de Destino: 67.228.175.200 Puerto de Destino: 443 Tipo de Proxy: Proxy HTTP Host: analysis.lastline.com Ruta: /docs/lastline-demo-sample.exe'
Este tipo de mensaje de registro aparece cuando APT Blocker detecta una amenaza. El mensaje de registro especifica el nivel de la amenaza, el nombre de la amenaza, la clase de la amenaza, las actividades maliciosas, el nombre de host de destino y la ruta URI.
Denegar 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 48120 80 msg="ProxyDrop: HTTP APT Detectado" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/apt_sample.exe" md5="2e77cadb722944a3979571b444ed5183"
Este tipo de mensaje de registro aparece cuando un archivo está escaneado y se determinó que está limpio y libre de malware por la revisión de archivo hash o carga a Lastline:
Permitir 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: Archivo HTTP informado como seguro desde revisión hash APT" proxy_act="HTTP-Client.Standard.1" host="172.16.180.32" path="/VOD/5k_end.zip" md5="221f11af6a29be878ad54f164304f1f2" task_uuid="d1eb81f2519c466e93db4827167dd935" (HTTP-proxy-00)