Rubriques Connexes
Dépanner APT Blocker
Les fichiers entrants sont traités par les services de sécurité dans l'ordre suivant :
Gateway AV > APT Blocker > Data Loss Prevention
Les vérifications d'APT Blocker se produisent uniquement lorsque le fichier est autorisé par l'analyse de Gateway AV. Les actions de Data Loss Prevention s'appliquent uniquement si Gateway AV ou APT Blocker a autorisé le fichier.
Dépanner la soumission de fichiers d'APT Blocker
Lors du premier examen, le hachage MD5 du fichier est contrôlé. S'il n'y a pas de correspondance avec des fichiers précédemment analysés, le fichier doit être soumis au centre de données Lastline pour analyse.
Lorsque le fichier est soumis avec succès, une tâche uuid lui est attribuée en guise de référence et est incluse dans le message du journal :
Allow 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 34063 80 msg="ProxyAllow: HTTP File submitted to APT analysis server" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/test/sample.exe" md5="dd0af53fec2267757cd90d633acd549a" task_uuid="35c8ac1aaeee4e5186d584318deb397b" (HTTP-proxy-00)
Lorsque le fichier est soumis au centre de données Lastline et qu'il est identifié comme étant une menace, ce journal d'événements est généré pour vous informer que la notification d'APT Blocker a été envoyée.
Menace APT notifiée. Détails='Nom de Stratégie : Raison HTTPS-proxy-00 : menace APT élevée détectée Task_UUID : d09445005c3f4a9a9bb78c8cb34edc2a IP Source : 10.0.1.2 Port Source : 43130 IP de destination : 67.228.175.200 Port de Destination : 443 Type de Proxy : Hôte de Proxy HTTP : analysis.lastline.com Chemin : /docs/lastline-demo-sample.exe'
Ce type de message de journal s'affiche lorsqu'APT Blocker détecte une menace. Le message de journal spécifie le niveau de menace, le nom de la menace, la classe de menace, les activités malveillantes, le nom d'hôte de destination et le chemin URI.
Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 48120 80 msg="ProxyDrop: HTTP APT Detected" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/apt_sample.exe" md5="2e77cadb722944a3979571b444ed5183"
Ce type de message de journal apparaît lorsqu'un fichier est analysé et considéré comme propre et sans programme malveillant par la vérification de hachage de fichier ou le chargement vers Lastline :
Allow 2-Internal 0-External tcp 172.16.182.27 172.16.180.32 52816 80 msg="ProxyAllow: HTTP File reported safe from APT hash check" proxy_act="HTTP-Client.Standard.1" host="172.16.180.32" path="/VOD/5k_end.zip" md5="221f11af6a29be878ad54f164304f1f2" task_uuid="d1eb81f2519c466e93db4827167dd935" (HTTP-proxy-00)