Konfigurieren von McAfee Advanced Threat Defense für die
Contents
1. Beschriftung Beschreibung 3 Verwaltungsport Hierbei handelt es sich um die ETH O Schnittstelle Die Befehle set appliance und set mgmtport gelten fur diese Schnittstelle Beispiel Wenn Sie den Befehl set appliance ip verwenden wird die entsprechende IP Adresse dieser Schnittstelle zugewiesen 4 Zusatzliche Anschlusse Buchsen fur E A Modul Hierbei handelt es sich jeweils um die ETH 1 ETH 2 und ETH 3 Schnittstellen Diese Schnittstellen sind standardmaBig deaktiviert e Um eine Schnittstelle zu aktivieren bzw zu deaktivieren verwenden Sie den Befehl set intfport Zum Beispiel aktivieren Sie ETH 1 mit set intfport 1 enable e Um einer Schnittstelle die IP Daten zuzuweisen verwenden Sie set intfport lt eth 1 2 or 3 gt ip lt IPv4 address gt lt subnet mask gt Beispiel set intfport 1 ip 10 10 10 10 255 255 255 0 e Sie k nnen diesem Port nicht das Standard Gateway zuweisen Sie k nnen jedoch f r diese Schnittstelle ein Routing konfigurieren damit der Datenverkehr zum gew nschten Gateway geleitet wird Um ein Routing zu konfigurieren verwenden Sie route add network lt IPv4 subnet gt netmask lt netmask gt gateway lt IPv4 address gt intfport 1 Beispiel route add network 10 10 10 0 netmask 255 255 255 0 gateway 10 10 10 1 intfport 1 Mit diesem Befehl wird der gesamte Datenverkehr des 10 10 10 0 Befehls ber NIC 2 ETH 1 an 10 10 10 1 geleitet 5 Videoanschluss2. vit aad Tiir ein nage W Power on this virtual machine after creation McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 197 198 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 18 Wenn das Popupfenster Removable Devices Wechselgerate angezeigt wird wahlen Sie Do not show this hint again Diesen Hinweis nicht mehr anzeigen und klicken Sie auf OK Schritt 19 Melden Sie sich mit den folgenden Anmeldeinformationen beim virtualMachineImage an e Administrator e cr cker42 Die Installation von Windows beginnt Dies kann etwa 15 Minuten dauern install Windows Fr computer all regia sera tenes The regia tobe p hile els Ma ready Por ren 4751 Schritt 20 Die VM wird standardmaBig im Modus Metro UI angezeigt Klicken Sie auf die Kachel Desktop um in den Desktop Modus zu wechseln McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 21 Richten Sie Windows 8 so ein dass beim Start der Desktop Modus anstelle des Standardmodus Metro UI verwendet wird 1 Drucken Sie gleichzeitig die Windows und die R Taste um das Dialogfeld Ausf hren zu ffnen 2 Geben Sie im Dialogfeld Ausf hren den Befehl regedit ein und dr cken Sie die Eingabetaste Type th
3. Ta Ek Action e ete FTP Site Properties AE AX ore ee rty accounts Messages Hora Directory Dinschony Security j Internet Informabion SSY ths conbent for thes resouno should conse rare ROOTS OMI ih FTP Ste T Adirschon located on this computer B Deak FIPS 7 Adirechang jocated on another computer A Application Pook FTP site directory A Welt stes TT eh Browse EHG Web Service Esta Fs Baad fe Write FF Log zul Directory habra style C UNE Oe OS Schritt 42 Richten Sie die automatische Anmeldung ein indem Sie Start Ausf hrenausw hlen rund1132 netplwiz dll UsersRunD1l eingeben und die Eingabetaste drucken Type the name of a program folder document or Internet resource and Windows will open it For wou Open rundil32 netpkiz dil isersrunDil McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 43 Deaktivieren Sie im Fenster Benutzerkonten die Option Benutzer m ssen Benutzernamen und Kennwort eingeben und klicken Sie auf bernehmen Schritt 44 F hren Sie im Popupfenster Automatische Anmeldung die folgenden Schritte aus und klicken Sie dann auf OK Details User Accounts Aa Users Advanced Use the list below bo grant or deny users access bo
4. 181 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 42 Um PDF Dateien zu 1 Installieren Sie Adobe Reader 9 0 auf der VM analysieren laden Sie Adobe Reader auf den nativen Host 2 Offnen Sie Adobe Reader und klicken Sie auf Akzeptieren herunter und kopieren Sie ihn auf die VM In diesem Beispiel wird Adobe Reader 9 0 verwendet Press the Accept button to agree to the Licer ADOBE SYSTEMS INCORPORATED THIS DOCUMENT INCLUDES WARRANTY INFORMATION PART THE USE OF ADOBE SOFTWARE PART IM PART L WARRANTY DISCLAIMER THE SOFTWARE AND OTHER INFORMATION IS DELIVERED TO AND ITS SUPPLIERS AND CERTIFICATE AUTHORITIES DO NOT OR RESULTS YOU MAY OBTAIN BY USING THE SOFTWARE CER THIRD PARTY GS EXCEPT TO THE EXTENT ANY WARR TERM CANNOT OR MAY NOT BE EXCLUDED OR LIMITED BY LA CONDITIONS REPRESENTATIONS OR TERMS EXPRESS OR IMP CUSTOM USAGE OR OTHERWISE AS TO ANY MATTER INCLUL NONI GEMENT OF THIRD PARTY RIGHTS MERCHANTABI eS TETE a ee TmT TS ss le eee eee 3 Wahlen Sie in Adobe Reader Bearbeiten Voreinstellungen Allgemein und deaktivieren Sie Nach Updates suchen Barc 182 Gerede Fount e ae Ei Tor De Ten Lisp ergo do gen Ful Kerne af Crete hmin brar LE basal blb Hand tad cal Page Dip Fe Fusi iad rua 20 Bc Pairs lla Hd bool un Bzg tiy bisbr ebro feed pel Ese hori Uber Teri ere deer TEL CE wi riera l gt
5. 4 Wahlen Sie NET Framework 3 5 einschlieBlich NET 2 0 und 3 0 und anschlieBend die Optionen Nicht HTTP Aktivierung von Windows Communication Foundation HTTP Aktivierung von Windows Communication Foundation und Windows Communication Foundation Non HTTP Activation Nicht HTTP Aktivierung von Windows Communication Foundation McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Turn Windows features on or off i To tum a feature on select its check bor To turn a feature off clear its check box A filled box means that only part of the feature i turned on de MET Framework 3 5 includes NET 2 0 and 3 0 CAN Windows Communication Foundation HTTP Activation y Windows Communication Foundation Non HTTP Activa el jo NET Framework 4 5 Advanced Services ia dra Pirata Diana Miami a Fa a au 5 Klicken Sie auf OK 6 Sollte die folgende Meldung angezeigt werden w hlen Sie Dateien von Windows Update herunterladen Windows needs files from Windows Update to finish installing some features Download files from Windows Update Don t connect to Windows Update No change wall be made to your PC Dieser Vorgang kann etwa 5 Minuten in Anspruch nehmen Applying changes Eine Bestatigungsmeldung wird angezeigt sobald der Vorgang abgeschlossen ist G y Windows completed the requested change
6. Bevor Sie beginnen Stellen Sie sicher dass fur das erforderliche Analyseprofil die Internetzugriffsoptionen Sandbox Sandkasten und Malware ausgewahlt wurden Abh ngig von den Anforderungen k nnen Sie die URLs mit zwei verschiedenen Optionen hochladen Verwenden sie hierzu die Advanced Threat Defense Web Anwendung Folgende Optionen sind fur das manuelle Hochladen von URLs verf gbar URL Die ausgew hlte URL wird an die Analyse VM gesendet und die Datei auf die die URL verweist wird zur Analyse auf die Analyse VM heruntergeladen Beispiel Ubermittelt ein Benutzer die URL http the earth li sgtatham putty latest x86 putty exe wird die URL an die Analyse VM gesendet und anschlieBend wird die Datei putty exe auf die Analyse VM heruntergeladen URL Download Die ausgew hlte URL wird auf die Advanced Threat Defense Appliance heruntergeladen und anschlieBend zur Analyse an die Analyse VM gesendet Beispiel Ubermittelt ein Benutzer die URL http the earth li sgtatham putty latest x86 putty exe wird die Datei putty exe auf die Advanced Threat Defense Appliance heruntergeladen und anschlie end an die Analyse VM gesendet Wenn Sie mithilfe der Advanced Threat Defense Web Anwendung eine URL zur Analyse senden w hlen Sie ein Analyseprofil aus Dieses Analyseprofil setzt das mit Ihrem Benutzerkonto verkn pfte Standard Analyseprofil au er Kraft McAfee Advanced Threat Defense 3 4 2 Produkthandbuch An
7. Dropdown Liste Wahlen Sie je nach Anforderung Primary Backup oder Secondary Prim r Sicherung oder Sekund r aus Add Node Knoten hinzuf gen Klicken Sie auf diese Option um dem Cluster den prim ren sekund ren und Sicherungsknoten hinzuzuf gen Die IP Adresse des prim ren oder sekund ren Knotens ist die IP Adresse mit der Sie auf die Advanced Threat Defense Web Anwendung zugreifen Cluster IP address Cluster IP Adresse Save Speichern Geben Sie die Cluster IP Adresse ein die vom aktiven Knoten prim ren Knoten oder Sicherungsknoten verwendet werden soll Klicken Sie auf diese Schaltfl che um die Cluster IP zu speichern bevor Sie einen Sicherungsknoten hinzuf gen Zeigt den Status eines Knotens an O KA Gibt an dass der Knoten hochgefahren und bereit ist Handelt es sich um einen sekund ren Knoten bedeutet es auBerdem dass der prim re Knoten das Heartbeat Signal des sekund ren Knotens empf ngt O KM Gibt an dass der Knoten hochgefahren ist aber Ihre Aufmerksamkeit erfordert Die Konfiguration ist z B m glicherweise nicht mit der Konfiguration des prim ren Knotens synchronisiert O KM Gibt an dass der primare Knoten das Heartbeat Signal des sekund ren Knotens empf ngt Der prim re Knoten verteilt Dateien nur an Knoten die den gr nen Status aufweisen Wechselt der Status eines sekund ren Knotens w hrend einer Datei bertragung zu Gelb oder Rot weist
8. 45 Automatic recommended Automatica download recommended updates fat my compe er and install thea Download updates for me bul let me choose when to instal them C Hoti me but don t automatically download or install them Your computer vall be more vulnerable unless pow install updates regularly Install updates fram the Windows Update web sile Ule umdaler saari Hell ve pe hacer toes te 3 Klicken Sie auf Ubernehmen und anschlieBend auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 127 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Schritt 52 Um Microsoft Word Excel und ie Microsoft Office XP Setup PowerPoint Dateien zu analysieren installieren Sie a ee ee Microsoft Office 2003 auf dem A nl ua virtuellen Computer Select the Office XP applications you would ibe installed E rot word Microsoft Outlook Micresalt Excel A Ci mucrosaft Access Microsoft PowerPoint BI O microsoft FrontPage install spobesbore mth the krpa options Choose detaded iretallation options for each application Spee Regal onc 153 MPB Space Avelable onc 1537 HB lt Back net gt cone Schritt 53 Senken Sie die e ffnen Sie Microsoft Word 2003 und w hlen Sie Extras Makro Sicherheits
9. C Ytest diri RGetProcAddress Reglreatekeyays condition linet Abbildung 6 14 Benutzerdefinierte YARA Regel 7 F gen Sie gem der Anforderung der entsprechenden YARA Textdatei weitere Regeln hinzu und speichern Sie die Datei anschlie end Der n chste Schritt ist das Importieren dieser Datei in McAfee Advanced Threat Defense 276 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse 6 Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung Importieren der benutzerdefinierten YARA Regeldatei Bevor Sie beginnen Sie haben Ihre YARA Regeln wie unter Erstellen der benutzerdefinierten YARA Regeldatei auf Seite 274 beschrieben in einer Textdatei definiert Nachdem Sie Ihre YARA Regeln in einer Textdatei erstellt haben importieren Sie diese Datei mithilfe der McAfee Advanced Threat Defense Web Anwendung in McAfee Advanced Threat Defense Nach dem Importieren der benutzerdefinierten YARA Dateien und der Aktivierung der benutzerdefinierten YARA Regeln nimmt McAfee Advanced Threat Defense diese YARA Regeln in ihren Mechanismus zur Malware Erkennung auf Vorgehensweise 1 Wahlen Sie Verwalten Custom YARA Rules Benutzerdefinierte YARA Regeln aus 2 Aktivieren Sie das Kontrollk stchen Enable YARA Rules YARA Regeln aktivieren Aktivieren Sie das Kontrollk stchen beim Import einer benutzerdefini
10. Schritt 8 Geben Sie die Informationen im Fenster Name the Virtual Machine Benennen des virtuellen Computers ein und klicken Sie anschlie end auf Next Weiter e Virtual Machine name Name des virtuellen Computers Geben Sie virtualMachinelmage als Namen ein e Location Speicherort Navigieren Sie zu dem Ordner in dem die VDMK Datei erstellt werden soll und w hlen Sie ihn aus Mew Virtual Machine Wizard Name the Virtual Machine What name would you ike to use for this virtual machine Uria machine name virtualMachnelmage Location Cip 6 N6MATD_3 2 0408 The default locaton can be changed at Edit gt Preferences lt Back Next Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 9 Ubernehmen Sie im Fenster Processor Configuration Prozessorkonfiguration die Standardwerte und klicken Sie auf Next Weiter Mew Virtual Machine Wizard Processor Configuration spe fy the number of processors for this virtual machine Number of mossos Aaa E ai Total processor cores 1 Number of cores per processor Schritt 10 Legen Sie im Fenster Memory for the Virtual Machine Speicher fur den virtuellen Computer 2 048 MB als Speicher fest Mew Virtual Machine Wizard Hemory for the Virtual Machine Hew much memory would you Ike to use fer
11. Uberwachen des Analysestatus fiir ein Advanced Threat Defense Cluster Auf der Seite Analysis Status Analysestatus des prim ren Knotens wird der Analysestatus fur Dateien die von jedem Knoten analysiert werden angezeigt In einem sekund ren Knoten werden nur die Dateien angezeigt die von diesem sekund ren Knoten analysiert wurden hnlich wie bei einer eigenst ndigen Advanced Threat Defense k nnen Sie den Status der von Ihnen gesendeten Proben anzeigen Wenn Sie Administratorrechte haben k nnen Sie den Status f r Proben anzeigen die von einem beliebigen Benutzer gesendet wurden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 341 8 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Vorgehensweise 1 Melden Sie sich bei der Web Anwendung des prim ren Knotens an 2 Wahlen Sie Analyse Analysis Status Analysestatus aus Analysis Status Analysestatus kann erweitert werden damit die sekund ren Knoten des Clusters angezeigt werden Analysis Status Analysestatus bezieht sich auf den prim ren Knoten Die sekund ren Knoten werden unter Analysis Status Analysestatus mit ihrer ATD ID und ihrer ATD Id 2 1 ATD Id 3 Analysis Results Manual Upload 3 Um den Status der durch den prim ren Knoten analysierten Dateien anzuzeigen klicken Sie auf Analysis Status Analysestatus 4 Um den Status der durch einen bestimmten sek
12. 3 Nehmen Sie die nderungen an den gew nschten Feldern vor und klicken Sie auf Speichern L schen von VM Profilen Bevor Sie beginnen e Zum L schen eines VM Profils m ssen Sie dieses entweder erstellt haben oder eine Administratorbenutzerrolle haben e Stellen Sie sicher dass das zu l schende VM Profil nicht in den Analyseprofilen festgelegt ist Vorgehensweise 1 Wahlen Sie Richtlinie VM Profil Die verf gbaren VM Profile werden angezeigt 2 W hlen Sie den gew nschten Datensatz aus und klicken Sie auf L schen 3 Klicken Sie auf Ja um das L schen zu best tigen Anzeigen des VM Erstellungsprotokolls Wenn Sie auf der Seite VM Profile ein VM Profil konfigurieren erstellt McAfee Advanced Threat Defense eine Analyse VM aus der Image Datei die Sie im VM Profildatensatz ausgew hlt haben Gleichzeitig werden die dazugeh rigen Protokolle ausgegeben die Sie in der McAfee Advanced Threat Defense Web Anwendung anzeigen k nnen Mithilfe dieser Protokolleintr ge sehen Sie die Vorg nge bei der Erstellung der Analyse VM Diese Informationen sind bei der Fehlerbehebung hilfreich Vorgehensweise e Nachdem Sie auf der Seite VM Profile auf Save Speichern geklickt haben w hlen Sie Verwalten VM Erstellungsprotokoll um die Protokolleintr ge anzuzeigen Die Protokolleintr ge k nnen nicht gedruckt oder exportiert werden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 241 5 Erstellen einer Anal
13. Die Task ID Task ID und die Job ID Auftrags ID unterscheiden sich f r komprimierte Dateien und sind f r nicht komprimierte Dateien identisch e URL Liste der zur Analyse eingesendeten URLs Geben Sie den Suchbegriff im Textfeld daneben ein Case Sensitive GroB Wahlen Sie diese Option wenn bei der Suche die Gro Kleinschreibung Kleinschreibung beachtet werden soll beachten Nehmen wir an Sie haben File Name Dateiname und Status als Kriterien ausgew hlt sowie den Begriff Com mit der Option Case Sensitive Gro Kleinschreibung beachten festgelegt Alle Datens tze mit dem Status Completed Abgeschlossen und Dateinamen die mit Com beginnen werden aufgef hrt 292 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Konfigurieren der Seite Analysis Status Analysestatus Tabelle 7 5 Spaltendefinitionen Spalte Beschreibung Submitted Time Ein Zeitstempel der angibt wann die Datei zur Analyse bermittelt Ubermittlungszeit wurde Status Der aktuelle Status der Analyse e Waiting Warten Typischerweise weist dieser Status darauf hin dass McAfee Advanced Threat Defense auf die dynamische Analyse der Datei durch die Analyse VM wartet e Analyzing Analysieren Gibt an dass die Analyse noch l uft e Completed Abgeschlossen Gibt an dass die Analyse der Datei abgeschlossen ist Doppelklicken Sie auf den Datensatz um den vollst ndigen Bericht anz
14. NTP Servername der nach Priorit t geordneten Reihenfolge an mit denen McAfee Advanced Threat Defense synchronisiert werden soll Stellen Sie bei der Eingabe von Dom nennamen sicher dass die DNS Einstellungen ordnungsgem konfiguriert wurden Es muss stets mindestens ein erreichbarer NTP Server konfiguriert sein L schen W hlen Sie diese Option aus wenn Sie einen NTP Server aus der Liste entfernen m chten Status Gibt an ob ein bestimmter NTP Server erreichbar ist Gr n bedeutet dass der Server erreichbar ist w hrend Rot keine Erreichbarkeit anzeigt W E ee Teme F i Priority ATP Server Name Delete Status pe I ha alr Submit McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung Optionsname Beschreibung Datum Uhrzeit Um Datum und Uhrzeit fur McAfee Advanced Threat Defense manuell anzugeben deaktivieren Sie die Option Enable Network Time Protocol Network Time Protocol aktivieren und klicken Sie unter Network Time Protocol auf Senden Geben Sie das Datum und die Uhrzeit in den entsprechenden Feldern an und klicken Sie anschlieBend unter Date and Time Settings Datums und Uhrzeiteinstellungen auf Senden guirit Cube and Tee Seating Date Time 2 21 14 4 Hr Submit Select Time zone Wahlen Sie die erforderliche Zeitzone aus der Liste
15. Next Weiter VMware Workstation Seite Datei Z BEENDEN New Virtual Machine Neuer virtueller File Edit View VM Jabs Help Computer PA New Virtual Machine Ctrl N fa New Window Open Ctrl 0 Close Tab Ctrl W law Connect to Server Cirl L Es Virtualize a Physical Machine Export to OVF Map Virtual Disks Exit Schritt 3 W hlen Sie im Fenster New Virtual Machine Wizard pjes o hiachine Wizard z Assistent f r neue virtuelle Computer die Option Custom Advanced Benutzerdefiniert erweitert und klicken Sie auf se yal What type of configuration do you want Trpical recommended Create a Workstation 10 0 virtual machine in a few easy steps Custom advanced Create a virtual machine with advanced opbors such as a 5251 controller type virtual disk type and compatiblity with oder Ware producta v nware Workstation McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 105 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Schritt 4 W hlen Sie im Fenster Choose the Virtual Machine it Wiad 52 Hardware Compatibility W hlen der Hardwarekompatibilit t des Choose the Virtual Machine Hardware Compatibility virtuellen Computers Workst
16. 100 gt Legen Sie die damit die Geschwindigkeit f r den Schnittstellenanschluss fest Der Geschwindigkeitswert kann 10 oder 100 betragen lt half full gt Legen Sie damit die Duplex Einstellung f r den Schnittstellenanschluss fest Setzen Sie den Wert auf half f r Halb Duplex und auf full f r Voll Duplex Beispiel set intfport 1 speed 100 duplex full set malware intfport Mit diesem Befehl konfigurieren Sie den erforderlichen Port zur Weiterleitung des Internet Datenverkehrs einer Analyse VM Bevor Sie diesen Befehl ausf hren stellen Sie sicher dass der erforderliche Port aktiviert und mit einer IP Adresse konfiguriert ist Syntax set malware intfport lt 1 gt lt 2 gt lt 3 gt gateway A B C D Beispiel set malware intfport 1 10 10 10 252 F hren Sie show intfport 1 aus und pr fen Sie die Eintr ge f r Malware Interface Port und Malware Gateway McAfee Advanced Threat Defense verwendet den konfigurierten Port um Analyse VMs den Zugriff auf das Internet zu erlauben Siehe Internetzugriff f r Probedateien auf Seite 248 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle set mgmtport auto Dieser Befehl konfiguriert den Netzwerkanschluss f r die automatische Aushandlung der Verbindung zwischen der McAfee Advanced Threat Defense Appliance und dem unmittelbarem Netzwerkger t Dieser Befehl hat keine Parameter Syntax
17. Analyse dargestellt Y McAfee 1E FH Laa sanmplo Mara eii I A WDS Hash identifier BC BICC IAEN Oe 1 gt HMA 1 Pash Beri Hi ee TC ee AAA T na Fille Sipe VETE Coen Selectors Anahi Era Pi Mi da y hd 15 cari A iran cipal ral ey in drab Entren pal qui ee a A Ju eier bop seo ern ee ana Jo PIE Bales er TE A ALEA a H Trg Tighe D rra Bain ia bin mat infected Pree a ade in th darge Le ghee Sa Bb le pomp aa le bm ar Ei fey ker rpm ijra S pim Frere a A Pad EE LLLE i a AS bell a LOS ai A A E sala la Hd dra Classtiication Thread Score Pere rea ber Drag Ai ee an pel PARO PO ae Ser oo che bee AA Pl den bara iaa um ado y Ep Hehe ja a ea sd Cas mor rg Selig rro eig Ft eat Dxrarrie Apes Deba Compre By U2 Beer of code e cae el abe eed een Wer See eg an ron Caer EPA MEA A TA TA Y Cala ss rd Ma dae pata hd Lor or MAME Beer El we mir ee E en oe oe E mamie or ee ee E mis idee E qa OPP Tea het qe Mei odias ern ar eee CF OPE FA SFP PO ME a e das Por a ie a dar a kki Maa a rea A eed DO AA PUNA A FEA Bae ra oder oe dy paler th EA ATI AO N m E AA e As len be crm E Lep ASA A Lap de rrm Deere tes Dean pees rodar ae ae mel ee Abbildung 7 11 Ubersichtsbericht der Analyse McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 299 7 Analysieren von Malware Anzeigen der Analyseergebnis
18. TH O 10 10 10 15 24 ETH 1 20 20 20 25 24 ETH 1 20 20 20 25 24 ETH O 10 10 10 15 24 Aa De a zer Advanced Threat Defense Defense Sekund r 1 Sekund r 2 Sicherung ETH O ETH 1 10 10 10 15 24 20 20 20 25 24 Im oben abgebildeten Beispiel sind die ETH O Schnittstellen aller Knoten mit dem selben Switch L2 Netzwerk verbunden Die ETH 0 Schnittstelle des prim ren Knoten agiert als Managementschnittstelle des Clusters w hrend die ETH 0 Schnittstellen des sekund ren und des Sicherungsknotens zum Informationsaustausch mit dem prim ren Knoten dienen Der Sicherungsknoten dient als ein sekund rer Knoten bis der prim re Knoten aus irgendeinem Grund ausf llt und der Sicherungsknoten die Rolle des aktiven prim ren Knotens bernimmt Der prim re Knoten f hrt den Lastenausgleich der auf der ETH 0 Schnittstelle empfangenen Dateien unter den sekund ren Knoten nach dem Round Robin Verfahren durch Er bertr gt die durch den sekund ren Knoten zu analysierenden Dateien ber die ETH O Schnittstelle und verwendet diese auch zum Abrufen der Ergebnisse Werden ber den prim ren Knoten nderungen an der Clusterkonfiguration vorgenommen wird die Synchronisierung der sekund ren Knoten und des Sicherungsknotens ber die ETH 0 Schnittstelle durchgef hrt In diesem Beispiel wird ETH 1 zur Bereitstellung von Netzwerkzugriff f r Malware verwendet die auf den Analyse VMs ausgef hrt wird Dadurch wird
19. lt E F G H gt Alternative DNS Adresse lt WORD gt Dom nenname der Appliance Beispiel ATD 6000 gt set appliance dns 1 1 1 2 10 11 10 4 nai com DNS setting had been configured set intfport Benutzen Sie diesen Befehl zum Aktivieren oder Deaktivieren desMcAfee Advanced Threat Defense Schnittstellenanschlusses Syntax set antiport lt 1 gt lt 2 gt lt 3 gt lt enable gt lt disable gt Beispiel set intfport 1 enable set intfport auto Dieser Befehl konfiguriert den Schnittstellenport fur die automatische Aushandlung der Verbindung mit dem unmittelbarem Netzwerkgerat Syntax McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 361 362 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle set intfp rt lt 1 gt lt 2 gt lt 3 gt auto Beispiel set intfport 1 auto set intfport ip Dieser Befehl legt eine IP Adresse fur einen Schnittstellenport fest Syntax set inttport lt 1 gt lt 2 gt lt 3 gt auto Beispiel Set INC oort I 10 10 10 10 2009200 522000 set intfport speed duplex Dieser Befehl legt die Geschwindigkeits und Duplex Einstellungen f r den spezifischen Schnittstellenanschluss fest Syntax set intfport lt 1 gt lt 2 gt lt 3 gt speed lt 10 100 gt duplex lt half full gt Parameter Beschreibung lt 1 gt lt 2 gt lt 3 gt Geben Sie eine Schnittstellenanschluss ID an f r die Sie Geschwindigkeit und Duplex einstellen m chten lt 10
20. set mgmtport auto Standardwert Der Netzwerkanschluss ist automatisch auf auto automatische Aushandlung gesetzt set mgmtport speed and duplex Dieser Befehl konfiguriert den Netzwerkanschluss so dass er dieselbe Geschwindigkeit verwendet wie das Netzwerkger t das mit der McAfee Advanced Threat Defense Appliance verbunden ist und dass er im Voll oder Halbduplexmodus betrieben wird Syntax set mgmtport lt speed lt 10 100 gt duplex lt full half gt gt Parameter Beschreibung lt 10 100 gt Diese Zeichenfolge legt die Geschwindigkeit am Ethernet Netzwerkanschluss fest Der Wert f r die Geschwindigkeit kann entweder 10 oder 100 Mbit s betragen Um die Geschwindigkeit auf 1000 Mbit s zu setzen benutzen Sie den Befehl set mgmtport auto lt half full gt Diese Zeichenfolge legt die Duplexeinstellung fur den Ethernet Netzwerkanschluss fest Benutzen Sie den Wert half f r Halbduplex und full f r Vollduplex Standardwert Der Netzwerkanschluss ist automatisch auf auto automatische Aushandlung gesetzt set filesizes Mit diesem Befehl k nnen McAfee Advanced Threat Defense Benutzer die minimale und maximale Dateigr e nach eigenem Bedarf ndern Syntax set filesizes lt type number gt lt minimum size gt lt maximum size gt lt restart engine gt Parameter Beschreibung type number Typnummer Typ der zur Analyse eingesendeten Datei minimum size Mindestgr e Mindestgr e der Dat
21. show ui timeout Mit diesem Befehl wird das Zeitlimit des McAfee Advanced Threat Defense Web Anwendungsclients in Sekunden angezeigt Syntax show ui timeout Ausgabebeispiel Current timeout value 600 show uilog Verwenden Sie diesen Befehl um die aktuelle Stufe fur uilog zu pr fen Dieser Befehl hat keine Parameter Syntax show uilog Im Folgenden werden die Informationen die durch den Befehl show uilog angezeigt werden dargestellt ATD 6000 gt show uilog Current log level is 7 show version Zeigt die Zebra Version von McAfee Advanced Threat Defense an Dieser Befehl hat keine Parameter Syntax show version Im Folgenden werden die Informationen die durch den Befehl show uilog angezeigt werden dargestellt nebra 0 952 Copyright 1996 2004 Kuniniro Isniguro ATD 3000 gt show waittime Mit diesem Befehl wird der f r McAfee Email Gateway eingestellte Schwellenwert f r die Wartezeit angezeigt Syntax show waittime Ausgabebeispiel Current MEG wait time threshold 780 seconds McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 371 372 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle shutdown Dieser Befehl halt die McAfee Advanced Threat Defense Appliance an damit Sie sie herunterfahren k nnen Nach zirka einer Minute k nnen Sie die McAfee Advanced Threat Defense Appliance manuell ausschalten und beide Netzteile ausstecken Die McAfee Advanced Threat Defense Appl
22. Best tigen Sie den Vorgang indem Sie auf Ja klicken 43 WIN ATSICOPATSC WIN ATSICOPATSC Administrator Mn Application Pools a 6 Sites Explore Edit Permissions Add Application Add Virtual Directory Edit Bindings Refresh Add FTP Publishing Rename Switch to Content View 2 Klicken Sie mit der rechten Maustaste auf Sites und wahlen Sie FTP Site hinzuf gen F hren Sie dann folgende Schritte aus 4 43 WIN AT5IC9P4T5C WIN AT5IC9P4T5014dministrator vn Application Pools e 2 Add Web Site Switch to Content View a Geben Sie unter FTP Sitename root ein McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 149 150 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details b Physischer Pfad C c Klicken Sie auf Weiter Add FTP Site Site Information FTP site nime root Content Directory Piysical path ams AA a Heri Cancel 3 Wahlen Sie unter Bindungen und SSL Einstellungen die Option Kein SSL Akzeptieren Sie bei allen anderen Feldern die Standardwerte und klicken Sie auf Weiter did FTP Ste uh Binding and SSL Settings Binding IP Address Port All Unassigned Fj Erable Virtual bos Hemes Steet FTP ubt oa So Mo SSL Alicea SSL Require 351 SSL C rtilicabe Previous Net Cancel Abbildung 5 1 Bindungs und SSL Einstellungen 4 F hren Sie unter A
23. Despo Pa bo executable Local Computer hecovray Dependencies Tids Erablect a remote uaa bo log on bo the compule ad A un programe and supports vana TLF AP Telrel E CMMIND OWS system ao ans eae Startup hoe Danita Ha Stent Aukomalic Siopa You can ppecdy the chert parameters the app when you siat Ihe myke from here Stat psrappelers Nip i ZVERPEER Schritt 26 Aktivieren Sie FTP auf der VM Wahlen Sie im virtualMachineImage die Optionen Start Systemsteuerung Software Windows Komponenten hinzufugen oder entfernen Windows Components Wizard Windows Componerds You can add of nemo components of Winden HP To add u remo a component cick Fe checkbos 4 rhaded bow means thst only pat of he component vil be misled To me what s inched na component cick Daia Comporents rene Explore Winter Infomation Services 115 a Manage af Message Queuing A ASA Fade OME 125 MB 20 MB oul MB urn and Morona Took bescaphorn Ircludes Windows Accesses and Utd for Fa open Total dsk space required Spsos salable on dak 55 8 HE 2304 SHE lt Back Her Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 85 86 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schrit
24. Network error remote side closed connection Login again Abbildung 7 7 Analyse VM meldet sich ab Hochladen von Dateien zur Analyse uber SFTP Bevor Sie beginnen e Ihr Benutzername verf gt ber die Berechtigung FTP Access FTP Zugang Dies ist erforderlich um auf den auf McAfee Advanced Threat Defense gehosteten FTP Server zuzugreifen e Sie haben das erforderliche Analyseprofil erstellt das Sie verwenden mochten e Sie haben einen FTP Client auf Ihrem Computer installiert Mit SFTP k nnen Sie die unterstutzten Dateitypen auf den FTP Server auf McAfee Advanced Threat Defense hochladen FTP ist standardm ig kein unterst tztes Protokoll f r das Hochladen von Proben Um FTP zum Hochladen von Dateien verwenden zu k nnen m ssen Sie es mit dem CLI Befehl set ftp aktivieren Siehe set ftp auf Seite 364 Vorgehensweise 1 ffnen Sie Ihren FTP Client und stellen Sie eine Verbindung mit McAfee Advanced Threat Defense unter Verwendung der folgenden Informationen her e Host Geben Sie die IP Adresse von McAfee Advanced Threat Defense ein e User Name Geben Sie Ihren McAfee Advanced Threat Defense Benutzernamen ein e Password Geben Sie Ihr McAfee Advanced Threat Defense Kennwort ein e Port Geben Sie 22 ein den Standardport f r SFTP F r FTP geben Sie 21 ein 2 Laden Sie die Dateien von der lokalen Site auf die Remote Site hoch die sich auf McAfee Advanced Threat Defense befindet 3 W hlen Sie
25. Read cur poo steberment pad 3 Klicken Sie auf OK Schritt 38 Um Microsoft Word Excel und PowerPoint Dateien zu analysieren installieren Sie Microsoft Office 2003 auf dem virtuellen Computer El Microsoft Office XP Setup Chace whch appa far setup ls miial Select the Office XP applications you would like installed el Micromet Word oy meras Duck a F Microsoft Boel Microsoft Access El J Merosot Power gr EN MicroscA ForrPage Choros detail installation options for each anp cabor Cote hared a SM pase Awallable on O Be McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 39 Senken Sie die Sicherheitsstufe um Makros fur Office Anwendungen auszuf hren e ffnen Sie Microsoft Word 2003 und w hlen Sie Extras Makro Sicherheit und dann Niedrig und klicken Sie auf OK Security Level Trusted Sources T Hg Only signed macros from rusted sources will be allowed bo run Unsigned macros are automatically disabled T Medium You can choose whether or not lo run poberiially unsafe macros IE Low not recommended You are not protected from potentaly unsafe macros List this setting oniy if you have Manus Scanning 50 emstaled or you are sure all documents you open are safe ee E oe e Setzen Sie genauso die Makrosicherheit f r Microsoft Excel und PowerPoin
26. Syntax lowseveritystatus lt show gt lt hide gt Beispiel lowseveritystatus hide Parameter Beschreibung show Dies ist das Standardverhalten Wenn eine Probe dynamisch analysiert wird zeigt Advanced Threat Defense den Wert der dynamischen Analyse im Bericht an Dieser Wert wird ebenfalls bei der Berechnung der Endbewertung ber cksichtigt hide Angenommen bei der Probe handelt es sich nicht um eine portable ausf hrbare Datei f r die eine dynamische Analyse ausgef hrt wurde Wenn Advanced Threat Defense erkennt dass die Datei ber einen niedrigen Schweregrad verf gt wird der Wert der dynamischen Analyse nicht im Bericht im Abschnitt Analyseauswahl unter Sandbox Sandkasten angezeigt Advanced Threat Defense ber cksichtigt den Wert der dynamischen Analyse auch nicht bei der Berechnung der Endbewertung Die Details zur dynamischen Analyse wie ge ffnete und erstellte Dateien sind im Bericht enthalten Der Befehl lowseveritystatus hide wirkt sich nur auf den im Bericht angezeigten Wert aus nicht jedoch auf die auf der Seite Analysis Results Analyseergebnisse angezeigten Ergebnisse nslookup Dieser Befehl zeigt das Abfrageergebnis f r den nslookup Befehl f r den jeweiligen Dom nennamen an Sie k nnen diesen Befehl verwenden um zu berpr fen ob McAfee Advanced Threat Defense nslookup Abfragen korrekt durchf hrt Syntax nslookup lt WORD gt Parameter Beschreibung lt WORT gt Dies ist d
27. Wahlen Sie im Fenster New Virtual Machine Mm ts New Virtual Machine Wizard Wizard Assistent fur neue virtuelle Computer die Option Custom Advanced Benutzerdefiniert erweitert und klicken Sie auf Next Weiter Welcome to the New Virtual Machine Wizard what type of configuration do you want Typical recommended Create a Workstation 10 0 virtual machine ina few easy steps Custom advanced reste a virtual machine with advanced opbons such as a SCSI controller type vmware Workstation Next gt Co Schritt 4 W hlen Sie im Fenster Choose the Virtual 6 Wiad 52 Machine Hardware Compatibility Wahlen der Choose the Virtual Machine Hardware Compatibility Hardwarekompatibilitat des Which hardware features are needed for this virtual machine virtuellen Computers Workstation 9 0 aus der Virtual machine hardware compatibility Dropdown Liste Hardware Hardware compatb ty Workstation 9 0 z compatibility Compatible with ESX Server Hardwarekompatibilitat aus Akzeptieren Sie bei den Somate prosucts Limitations anderen Feldern die Me dormir s Standardwerte und klicken Fusion b 10 network adapters Sie auf Next Weiter oe lr A McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 189 190 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 5 Wa
28. You have chosen to stop automatically checking for updates and will miss future security updates We ginongly recommend letting lava perodcaly check for reme versions io en re wou he fe meet secure and fastest laws sapere Schritt 47 Geben Sie im Windows Dialogfeld Ausf hren msconfig ein E Type the name of a program folder document or Internet resource and Windows wall open it for you Open msconfig 8 This tack will be created with administrative privileges Schritt 48 Navigieren Sie im Systemkonfigurationsprogramm zur Registerkarte Start Schritt 49 Klicken Sie in der Systemkonfiguration auf Neu starten arena Beet Serias Startup Toots Simip Thera Marurtarturer Conard Lorahar La he J oros Office F Mirosso Com CPROGRA CProgramia a Ar m F o cm amy teo Deaktivieren Sie reader_s und jusched und klicken Sie dann auf OK You may need to restart your computer to apply these changes Before restarting save any open files and dose all programs Don t show this message again ret McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 159 160 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 50 Offnen Sie den Standard Browser und richten Sie ihn fur Malware Analysen ein In diesem Beispiel wird Internet
29. ab MAGE E AAA E Sub el _ E Sub SOME into ER E nb Ma 101000430 by SADO E AA e Gb AAA eke e Sub aC E E Sub Se Q oo 30 mib ETN G 100000 e fb HAE ee e Sb HASIE ADE TAL E Sb 20058 A Y 2500009 A Temra elle e nante Bde e Lions nr E riada Dri b riada ae e VStar E 0040 Le We Char Tip e Dido el Tee de ii en de Winter EA e bared nH Fa Abbildung 7 16 Layout der Subroutinen Beziehungen Das Diagramm stellt eine bersicht ber die Komplexit t der Probe dar wie an den Querverweisen der Funktionsaufrufe ersichtlich wird Die folgende vergr erte Abbildung zeigt mehr Details zu den Funktionsnamen und ihren Adressen a Fi 1 uni a r Ii Y k A F I i noo a F i h E E Fa T 1 i L u ae pa a l i GN r e E i previ 8 ere 12414 ea oo o Abbildung 7 17 Vergr erung des Layouts McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 309 310 Analysieren von Malware Anzeigen der Analyseergebnisse Der ausgefuhrte Pfad wird durch zwei Farben angezeigt Die roten Strichlinien zeigen den nicht ausgefuhrten Pfad und die durchgangig blauen Linien den ausgefuhrten Pfad Dem vorangegangenen Steuerdiagramm zufolge wurde die Subroutine Sub_004017A0 unter der virtuellen Adresse 0x004017A0 ausgefuhrt und wird mit einer durchgangig blauen Linie angezeigt die auf das Kastchen Sub_004017A0 verweist Die Subroutine GetVersion wurde jedoch nicht aufgerufen da nu
30. automatisch auf alle Knoten angewendet werden L sen Sie zun chst das Cluster auf Nehmen Sie dann manuell die Anderungen f r jeden Knoten einzeln vor Wenn Sie ein neues VM Profil erstellen m ssen Sie es zun chst f r alle Knoten erstellen bevor Sie das neue VM Profil in einem der Analyseprofile ausw hlen Wenn Sie ein vorhandenes VM Profil ndern m chten m ssen Sie diese nderung sofort auch f r alle anderen Knoten vornehmen Erstellen Sie nun das Cluster neu McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 325 8 Clustering von McAfee Advanced Threat Defense Appliances Funktionsweise des Advanced Threat Defense Clusters e VM Profile e DAT und Scan Modul Versionen der McAfee Anti Malware Engine e DAT und Scan Modul Versionen der McAfee Gateway Anti Malware Engine e Whitelist und Blacklist Eintrage e Zeitzone e Wenn Advanced Threat Defense als Cluster eingerichtet ist verwendet jeder Knoten seinen eigenen Satz von YARA Regeln Das bedeutet dass die von Ihnen im primaren Knoten definierten YARA Regeln nicht automatisch an die sekund ren Knoten gesendet werden Mithilfe der CLI vorgenommene Konfigurations nderungen werden nicht ausgetauscht Sie m ssen dieselben Anderungen f r jeden Knoten einzeln vornehmen Wenn die sekund ren Knoten als Teil eines Clusters behandelt werden sind sie f r Benutzer und integrierte Produkte transparent e Sie k nnen eine sekund re Advanced Threat Defense direkt f r die Da
31. chten Beispiel blacklist delete 254A40A56A6E28636E1465AF7C42B71F McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 349 350 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle e Verwenden Sie blacklist query lt md5 gt um zu berpr fen ob ein MD5 Wert in der Blacklist vorhanden ist Parameter Beschreibung lt md5 gt Der MD5 Hashwert einer Malware f r den Sie berpr fen m chten ob er in der Blacklist vorhanden ist Beispiel blacklist query 254A40A56A6E28636E1465AF7C42B71F Ist der MD5 Wert vorhanden werden Details wie die Modul ID der Malware Schweregrad und so weiter angezeigt e Verwenden Sie blacklist update lt md5 gt lt score gt lt file name gt lt malware name gt lt Eng ID gt lt OS ID gt um die Details fur einen Eintrag in der Blacklist zu aktualisieren Parameter Beschreibung lt md5 gt Der MD5 Hashwert einer Malware den Sie aktualisieren m chten Wert muss in der Blacklist vorhanden sein damit Sie den Datensatz aktualisieren k nnen lt score gt Der neue Malware Schweregrad den Sie ndern m chten g ltige Werte sind 3 bis 5 lt file_ name gt Der neue Dateiname fur den MD5 Wert lt malware_ name gt Der neue Malwarename fur den MD5 Wert lt Eng ID gt Die neue Modul ID auf die ge ndert werden soll lt OS ID gt Der neue Wert des Betriebssystems das fur die dynamische Analyse der Malware verwendet wurde B
32. die folgenden Informationen e Datum und Uhrzeit der Erstellung der Probedatei e PE Header und optionale Header Informationen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse e Verschiedene Abschnittsheader Informationen e Die Intel Disassembly Liste Sie k nnen den Bericht in der McAfee Advanced Threat Defense Web Anwendung anzeigen oder ihn als Datei auf den Client Computer herunterladen Die Inhalte des Berichts sind bei beiden Methoden gleich e Zum Anzeigen des Berichts Disassembly Results in der McAfee Advanced Threat Defense Web Anwendung wahlen Sie Analyse Analysis Results Analyseergebnisse aus Klicken Sie auf der Seite Analysis Results Analyseergebnisse auf und w hlen Sie Disassembly Results Disassembly Ergebnisse aus Zum Verwenden dieser Option muss Disassembly Results im entsprechenden Analyseprofil aktiviert sein Zum Herunterladen einer Berichtsdatei klicken Sie auf der Seite Analysis Results auf und w hlen Sie Complete Results Vollst ndige Ergebnisse aus Laden Sie die ZIP Datei lt sample_name gt herunter Diese ZIP Datei enthalt im AnalysisLog Ordner eine Datei mit dem Namen lt file name gt _detail asm Der ZIP Bericht enthalt die ASM Datei ungeachtet dessen ob Sie die Option Disassembly Results im entsprechenden Analyseprofil aktiviert haben Der Bericht Disassembly Results umfasst die Assembly Anweisungen mit allen Aufrufnamen der
33. entsprechende Compatibility Pack installiert sein Rufen Sie http www microsoft com en us download details aspx id 3 auf und laden Sie das erforderliche Microsoft Office Compatibility Pack f r Word Excel und PowerPoint Dateiformate herunter Installieren Sie es anschlie end auf dem virtuellen Computer Aktivieren Sie im Dialogfeld Compatibility Pack f r 2007 Office System die Option Klicken Sie hier um den Microsoft Software Lizenzbedingungen zuzustimmen und klicken Sie auf Weiter You mus accept the Microsoft Sofware License Terms in orde MICROSOFT SOFTWARE LICENSE TERRIS Re RO SOFT FACE COMPATIBILITY FACE POR AACR ESCE These icense terms are an agreement between Microsoft Cor Pieace read hermi Ther sppiy bo the pawe named abore v ako apply bo my Microsolt updates une gt termet besed proes ard a puppan H for the software unless other berms accompany those Rere Er UGA THE SOFTWARE YOU ACCEPT THESE TERMS FYE Hf you comply wath these boense terms you hiwe the nobis be 1 INSTALLATION AMD USE RIGHTS You may install and were 2 SCOPE OF LEEBE The cota bleed not sokl Tha reserves all other rights Unkes applicable bya gres you more eps persia in Che agreerent In dor so you an WOU bo ue FE in certain Ways Vou pray not ewok arcund any bechnical lrntabicns mi the clara feverse engines decompile ce desssembie the sotbware a Ehe breetaliore F Click bere to accept the Microsoft Softwa
34. erreicht werden Inhalt gt Erl uterungen zum McAfee Advanced Threat Defense Cluster Voraussetzungen und Anmerkungen gt Netzwerkverbindungen f r ein Advanced Threat Defense Cluster Funktionsweise des Advanced Threat Defense Clusters gt Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Erl uterungen zum McAfee Advanced Threat Defense Cluster Clustering von McAfee Advanced Threat Defense Appliances ist eine ab Version 3 2 0 verf gbare Funktion Um einen Cluster aus McAfee Advanced Threat Defense Appliances zu erstellen ben tigen Sie mindestens zwei funktionsf hige McAfee Advanced Threat Defense Appliances Identifizieren Sie unter diesen McAfee Advanced Threat Defense Appliances die prim re McAfee Advanced Threat Defense Appliance Alle anderen McAfee Advanced Threat Defense Appliances agieren als sekund re Appliance Ab Version 3 4 2 wird ein Knoten der sich in demselben L2 Netzwerk wie die prim re McAfee Advanced Threat Defense Appliance befindet direkt als Sicherungsknoten hinzugef gt Dieser wird als prim rer Knoten aktiviert falls der eigentliche prim re Knoten ausf llt Ein sekund rer Knoten kann nicht als Sicherungsknoten eingesetzt werden Sie verwenden die Web Anwendung des prim ren Knotens um diese McAfee Advanced Threat Defense Appliances zu integrieren und den Cluster zu bilden In einem Cluster wird jede McAfee Advanced Threat Defense Appliance als Knoten bezeichnet M
35. hren soll Sie k nnen auch ein Standard VM Profil fur 32 Bit und 64 Bit Windows erstellen User Benutzer Ein McAfee Advanced Threat Defense Benutzer verf gt ber die erforderlichen Berechtigungen um Dateien zur Analyse und Anzeige der Ergebnisse an McAfee Advanced Threat Defense zu senden Im Fall der manuellen Ubertragung kann ein Benutzer die McAfee Advanced Threat Defense Web Anwendung oder einen FTP Client verwenden Im Fall der automatischen Ubertragung integrieren Sie McAfee Advanced Threat Defense in McAfee Produkte wie McAfee Network Security Platform oder McAfee Web Gateway Wenn diese Produkte einen Datei Download erkennen senden Sie die Datei automatisch an McAfee Advanced Threat Defense bevor der Download abgeschlossen werden kann F r diese Produkte sind Standardbenutzerprofile in McAfee Advanced Threat Defense verf gbar F r jeden Benutzer definieren Sie das Standardanalyseprofil das wiederum das VM Profil enthalten kann Wenn Sie McAfee Advanced Threat Defense zum Hochladen von Dateien f r die Analyse verwenden k nnen Sie dieses Standardprofil f r die Datei bertragung au er Kraft setzen F r andere Benutzer verwendet McAfee Advanced Threat Defense die Standardprofile Grundlegende Schritte zum Konfigurieren der Malware Analyse In diesem Abschnitt erfahren Sie N heres ber die wichtigsten Schritte zum Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse und Malware Berichte Abb
36. intel Security Y Produkthandbuch Revision McAfee Advanced Threat Defense 3 4 2 COPYRIGHT Copyright 2014 McAfee Inc 2821 Mission College Boulevard Santa Clara CA 95054 1 888 847 8766 www intelsecurity com MARKEN Intel und das Intel Logo sind eingetragene Marken der Intel Corporation in den USA und oder anderen Landern McAfee und das McAfee Logo McAfee Active Protection McAfee DeepSAFE ePolicy Orchestrator McAfee ePO McAfee EMM McAfee Evader Foundscore Foundstone Global Threat Intelligence McAfee LiveSafe Policy Lab McAfee QuickClean Safe Eyes McAfee SECURE McAfee Shredder SiteAdvisor McAfee Stinger McAfee TechMaster McAfee Total Protection TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee Inc oder seinen Tochterunternehmen in den USA und anderen Landern Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FUR ALLE BENUTZER LESEN SIE DEN LIZENZVERTRAG FUR DIE VON IHNEN ERWORBENE SOFTWARE SORGFALTIG DURCH ER ENTHALT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FUR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE WENN SIE NICHT WISSEN WELCHEN SOFTWARE LIZENZTYP SIE ERWORBEN HABEN SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZUGLICH DER LIZENZGEWAHRUNG ODER DEN BESTELLUNTERLAGEN NACH DIE SIE ZUSAMMEN MIT DEM SOFTWARE PAKET ODER SEPARAT ALS BROSCHURE DATEI AUF DER PRODUKT CD ODER ALS DATEI DIE AUF DER W
37. lt Back text gt Carcel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 6 Geben Sie die e Windows product key Windows Produktschl ssel Geben Sie den Informationen im Fenster Easy Lizenzschl ssel des Windows Betriebssystems ein f r das Sie die Install Information Informationen VMDK Datei erstellen zur einfachen Installation ein und klicken Sie auf Next Version of Windows to install Zu installierende Windows Version Weiter Wahlen Sie die Standard oder Enterprise Version Full name Vollst ndiger Name Geben Sie administrator als Full name ein Password Kennwort Geben Sie cr cker42 als Kennwort ein Dies ist das Kennwort das McAfee Advanced Threat Defense fur die Anmeldung bei der VM verwendet Confirm Best tigen Geben Sie cr cker42 zur Best tigung erneut ein e Log on automatically requires a password Automatisch anmelden Kennwort erforderlich Deaktivieren Sie dieses Kontrollk stchen Mew Virtual Machine Wizard Easy Install Information The E used to metal Windows Server 2008 ed Windows product key il Verson of Windows to install Windows Server 2008 Standard Personalize Windows Ful name aderistrator Password TETTEIT Confirm HEEE Log an aubomaticaly requires a Passo MO sik hets Schritt 7 Klicken Sie im Pop
38. statischen Standardbibliothek wie printf und DLL API Aufrufnamen im Windows System die in der Liste eingebettet sind Wenn globale Variablen wie Zeichenfolgentexte im Code referenziert werden sind diese ebenfalls aufgef hrt Tabelle 7 10 Ein Abschnitt eines Disassembly Results Beispielberichts Spalte 1 Spalte 2 Spalte 3 00401010 e8 1f2c0000 call 00403c34 Call URLDownloadToFileA Die virtuelle Adresse der Anweisung wird in Spalte 1 angezeigt die binar codierte Anweisung in Spalte 2 und die Assembly Anweisung mit Kommentaren in Spalte 3 Im aufgef hrten Beispiel f hrt die Anweisung call 00403c34 am Speicherort 00401010 einen Funktionsaufruf an den Speicherort 0x403c34 aus Dabei handelt es sich um einen System DLL API Funktionsaufruf der als URLDownloadToFileA festgelegt wurde Der in der Liste angezeigte Kommentar mit gibt den Bibliotheksfunktionsnamen an Bericht Logic Path Graph Logisches Pfaddiagramm Dieser Bericht ist eine grafische Darstellung der Querverweise von Funktionsaufrufen die w hrend der dynamischen Analyse entdeckt wurden Dadurch k nnen Sie die Subroutinen in der analysierten Datei anzeigen die w hrend der dynamischen Analyse ausgef hrt wurden sowie diejenigen die nicht ausgef hrt wurden Diese nicht ausgef hrten Funktionen k nnten eine potenzielle Zeitbombe darstellen die unter bestimmten Bedingungen ausgel st wird Der Bericht Logic Path Graph ist als GML Graph Modelling Langu
39. verwendet Details 1 Installieren Sie Adobe Reader 9 0 auf der VM 2 ffnen Sie Adobe Reader und klicken Sie auf Akzeptieren Adobe Reader License Apreemeni Press Ihe Accept button bo agree Lo Ihe Liconsa Arge ind ad Corina ADOBE SYSTEMS INCORPORATED Wanani Disclaimer and Software License Agrement THIS DOCUMENT INCLUDES WARRANTY INFORMATION FART D AND A LICENSE AURBEM THE USE OF ADOBE SOFTWARE PART I PART L WARRANTY DASCLAIMER 3 Wahlen Sie in Adobe Reader Bearbeiten Voreinstellungen Allgemein und deaktivieren Sie Nach Updates suchen Dairy Erk Tri ap T Jii rii oE a i S Crate iiy h UPL AA Mad Hard sod aaa bad Per Des Ma HL a e e ei Hr Ei e ri Mabe Hard Sol en es Accmsiiiiy I Hd Salt bevel it irag Aorobat com Far Hi ree h Sr Id Ty o E z cereal i ee hemiri Mie mad baca ii re Fier 20 Fama Oy Far ee Feind Fi bere See oe Savers rn Di Pig es eg Indie Peek af past carita poi Serio seais Erhard TU Areces plc ee ein T Jia cahy come per e bor pes Schritt 59 Laden Sie die folgenden Programme auf den nativen Host herunter und installieren Sie sie auf der VM 1 Laden Sie Microsoft Visual C 2005 Redistributable Package x86 von der Seite http www microsoft com en us download details aspx id 3387 herunter und installieren Sie das Programm 2 Laden Sie Microsoft Visual C 2008 Redistributable Package x86 von der Seite http www microsoft com en us dow
40. wird dieser hier angezeigt a Ge Cae 196 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 17 Fuhren Sie e Power on this virtual machine after creation Diesen virtuellen Computer nach folgende Schritte im Fenster der Erstellung einschalten W hlen Sie diese Option Ready to Create Virtual Machine Bereit zur Erstellung des e Klicken Sie auf Finish Fertig stellen virtuellen Computers aus P Dieser Schritt kann etwa 30 Minuten in Anspruch nehmen Mew Virtual Machine Wizard Ready to Create Virtual Machine Check Finish to reale the virtual machine and start netaling Window amp 64 and hen ware Tools The virtual machine will be oreabed wath the following settings Name vriualMachineimage Location C 01_ IA TO 3 2 0 Wi Version Workstation 9 0 Operabro System Windows E 164 Hard Desk 24 GB Pre alloceted Memory 20 5 PE Network Adapter MAT Other Devices CODO Controller Printer Sound Card Power on this virtual machine after creation Bak Frish Cancel Mew Virtual Machine Wizard Ready to Create Virtual Machine Chek Finish to create the virtual machine and start instaling Windows amp 164 and then Weware Tools The virtual machine will be oreabed wath the following settings
41. 117 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Serververwaltung angezeigt wird aktivieren Sie das Kontrollk stchen Diese Seite bei der Anmeldung nicht anzeigen und schlie en Sie das Fenster Details Schritt 28 Wenn das Fenster a Aaa Fide ee E Manage Your Server Shane Ml To dd roda thet hs ge Yur ee Aral shea pers roles aca by cei O dr Para ode 4 Managing Your Server Roles ter you hire added role return fa the page dl ary ewe Far boii ened niama bo help pau ee cau cay Sera er Sore Cee Ll Ha roles harass bean idad bo Eh amem To dd a role dick dd e Pearce a ee fr Cian cepa hii ca k kei Al Schritt 29 F hren Sie die folgenden Schritte aus 1 W hlen Sie Start Ausf hren und geben Sie gpedit msc ein 2 Wahlen Sie im Fenster Gruppenrichtlinienobjekt Editor die Optionen Computerkonfiguration Administrative Vorlagen System und doppelklicken Sie auf Ereignisprotokollierung f r Herunterfahren anzeigen TE ine Por Gh pect Fit Display schoen Event Tracker Satin l al Erro Bape Dipy Base ties Barkas Fle Prodectic Peet or Peete Proceckrn Ca EI kr Prat ME ieri Jr ma rro m _ Probanicrad or ndo are SoS Einberei power Y Group Policy iray trade COM Jerte Aro Re LE LJ Sere Reie Campin EN Fait potential
42. 141 142 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 12 Ubernehmen Sie unter Select I O Controller Types New Virtual Machine Wizard Ausw hlen der I TE O Control ler Typen die en ziehe aT al You bkg to use Standardauswahl A ioe wate AO controller types SCSI Controller Busiocgie Not avaiable for 64 bit guests LST Logie Y LS Logic 545 Recommended Help lt Back ext gt Cancel Schritt 13 Wahlen Sie auf der Seite Ausw hlen eines Datentragertyps ew virtual Machine Wizard H die Option IDE und klicken Sie auf Next Weiter Select a Disk Type What land of disk do you want to ganie SCSI Datentrager sind MEF D mit McAfee Advanced nd ze Threat Defense nicht a IDE kompatibel Scot Recommended SATA Not supported on Workstation 9 0 Yis help lt Back bext gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 7 erstellen und klicken Sie auf Next Weiter Schritt Details Schritt 14 Wahlen Sie im Fenster Ausw hlen eines Datentragers sis virtual Machine Wizard sz die Option Create a new virtual disk i Ml m Neuen virtuellen Datentr ger Select a Desk Which disk do you want to use Disk Create a new virtual disk A virtual disk is composed of one or more files on the host fle system whch vall a
43. 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 8 Geben Sie die Next Weiter Informationen im Fenster Name the Virtual Machine Benennen des virtuellen Computers ein und klicken Sie anschlieBend auf Details Mew Virtual Machine Wizard Name the Virtual Machine What name would you like to use for this virtual machine Vir tual machine name vrtialmMacinelmage Locabon za 8 Bis ia zu ur i ge ee The default location can be changed al Edit gt Preferences lt Gack beat gt e Virtual Machine name Name des virtuellen Computers Geben Sie virtualMachinelmage als Namen ein a e Location Speicherort Navigieren Sie zu dem Ordner in dem die VDMK Datei erstellt werden soll und w hlen Sie ihn aus Fenster Processor Configuration auf Next Weiter Schritt 9 bernehmen Sie im Prozessorkonfiguration die Standardwerte und klicken Sie e Mew Virtual Machine Wizard Processor Configurateon Specify the number of processors for this virtual machine Processors Number of processors 1 Number of gores per processor 1 Total processor cores i McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 77 78 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle
44. 234 Bearbeiten von VM Profilen men 240 L schen von VM Profilen Hm ee ee ee ee 241 Anzeigen des VM Erstellungsprotokolls nn nn 241 Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 243 Begriffe ef hwy eh ow eo oe oe 2 oe oe A Grundlegende Schritte z zum Rennen der Malware aves TE oe we oe we eZ Wie analysiert McAfee Advanced Threat Defense Malware 2 ww ew ee 248 Internetzugriff f r Probedateien nun nn 248 Verwalten von Analyseprofilen nn 251 Anzeigen der Analyseprofile 1 nn nn nn 252 Erstellen von Analyseprofilen 1 nn nenn 253 Bearbeiten von Analyseprofilen nn nn nen 256 L schen von Analyseprofilen nn nn nenn nn 256 Integration in McAfee ePO nen 26 Konfigurieren der McAfee ePO Integration 2 nn m 0 258 Integration in Data Exchange Layer nun 259 Konfigurieren der Data Exchange Layer Integration nn nn 260 Integration in McAfee Next Generation Firewall 1 ew ee ee ee ee eee 261 Konfigurieren des Proxy Servers f r die Internetverbindung E Soe as OL Angeben von Proxy Einstellungen f r den Datenverkehr von Global rss inteligence 262 Festlegen der Malware Website Proxy Einstellungen f r Malware Datenverkehr 263 Konfigurieren der Syslog Einstellung nun 264 Konfigurieren von DNS Eins
45. 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 10 Legen Sie im Fenster Memory for the Virtual Machine Speicher fur den virtuellen Computer 1 024 MB als Speicher fest Details New Virtual Machine Wizard Memory for the Virtual Machine How much memory would you like to use for thes virtual machine Speofy the amount of memory alocated to this vrival machine The memory size mist be a multoie of 4 MA i OB Memory for this virtual machine 1024 MB a Maximum recommended memory lu Recon Ti nended Memory 512 MB Guest OS recommended minimum Schritt 11 Ubernehmen Sie im Fenster Network Type Netzwerktyp die Standardauswahl New Virtual Machine Wizard et Mebwork Type What type of network da you wart to add Use bridged networking Give the guest operating system access bo the host computer s dialup or external Ethernet network cormecti n using the hosts P address Use host only networking Connect the guest operating system to a private virtual network on the host compelber Do not use a nebwork connection McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 12 Ubernehmen Sie unter Select I O Contro
46. Advanced Threat Defense 3 4 2 Produkthandbuch 83 84 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 22 Halten Sie die Installation von VMware Tools an Die VMware Tools sind mit McAfee Advanced Threat Defense nicht kompatibel Wenn Sie die Installation von VMware Tools nicht angehalten haben k nnen Sie dennoch mit der VMDK Dateierstellung fortfahren Das Programm muss aber deinstalliert sein sobald die VMDK Datei bereit ist Details gt Vidware Tools Setup Schritt 23 Wahlen Sie im virtualMachineImage die Optionen Start Systemsteuerung Sicherheitscenter Windows Firewall AUS Schritt 24 Klicken Sie im virtualMachineImage auf Start und dann mit der rechten Maustaste auf Arbeitsplatz Wahlen Sie dann Verwalten Dienste und Anwendungen Dienste Doppelklicken Sie anschlieBend auf Telnet Window Security Comer dd Resources toot the lada ar ee viru inne ros Pio Cheech dor e lest platea Prone ner iC n fet gupta u KA feet hei abe ei Cerda e Char Se mas Security Caries asta ons A interest Opine e Windia we Firewall IF F 1 Te Lompular Menazermene MY F r bim ves Widow Hep t DR FAR M un y Drapia Hyi Liat Ma ien Tok sat are pa Shared Fobia Teiret Local L
47. Advanced Threat Defense den konfigurierten HTTP Proxy Server ber den angegebenen Port erreichen kann Senden Klicken Sie auf diese Schaltfl che um die Proxy Einstellungen in der Datenbank zu speichern Stellen Sie sicher dass die Testverbindung erfolgreich hergestellt werden konnte bevor Sie auf Senden klicken 262 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse 6 Konfigurieren des Proxy Servers fur die Internetverbindung Festlegen der Malware Website Proxy Einstellungen fur Malware Datenverkehr Vorgehensweise Wahlen Sie Verwalten Proxy Einstellungenaus Auf der Seite Proxy Einstellungen wird der Abschnitt Malware Site Proxy angezeigt Malware Site Proxy W Enable Proxy User Name matd Password Proxy IP Address Submit Fl Copy above settings Port Number 8858 Test Abbildung 6 7 Seite Proxy Einstellungen Felder ein 2 Geben Sie im Bereich Malware Site Proxy die entsprechenden Informationen in die jeweiligen Optionsname Enable Proxy Proxy Beschreibung W hlen Sie die Verbindung von McAfee Advanced Threat Defense mit Proxy IP Address Proxy IP Adresse aktivieren einem Proxy Server f r den Internetzugriff aus Benutzername Geben Sie den Benutzernamen an den McAfee Advanced Threat Defense f r die Proxy Internetverbindung verwenden soll Kennwort Geben Sie das entsprechende Ken
48. Analyse dass die Datei b sartig ist f hrt McAfee Advanced Threat Defense keine weiteren Analysen aus und generiert die erforderlichen Berichte Dies ist jedoch abhangig davon wie Sie das entsprechende Analyseprofil konfiguriert haben 5 Falls die statische Analyse keine Malware erkennt oder Sie McAfee Advanced Threat Defense zur Ausf hrung einer dynamischen Analyse unabh ngig von den statischen Analyseergebnissen konfiguriert haben startet McAfee Advanced Threat Defense die dynamische Analyse der Datei 6 Die L sung f hrt die Datei auf der entsprechenden Analyse VM aus und erstellt Aufzeichnungen ber alle Verhaltensweisen Die Analyse VM wird durch das VM Profil im Analyseprofil bestimmt 7 Wenn die Datei vollst ndig ausgef hrt oder die maximale Ausf hrungszeit erreicht wurde erstellt McAfee Advanced Threat Defense die erforderlichen Berichte 8 Nach dem Abschluss der dynamischen Analyse setzt die L sung die Analyse VM auf die Basisversion zur ck sodass sie zur Analyse der n chsten Datei in der Warteschlange zur Verf gung steht Internetzugriff f r Probedateien W hrend einer dynamischen Analyse einer Probe k nnte diese auf eine Ressource im Internet zugreifen Zum Beispiel k nnte die Probe versuchen zus tzlichen b sartigen Code herunterladen oder auf dem Host Computer in diesem Fall auf der Analyse VM gesammelte Informationen hochzuladen Sie k nnen McAfee Advanced Threat Defense so konfigurieren dass den Analyse V
49. Analyse des b sartigen Codes mittels Reverse Engineering ein Dies umfasst die Analyse aller Anweisungen und Eigenschaften zur Erkennung des beabsichtigten Verhaltens das m glicherweise nicht sofort ersichtlich ist Dadurch werden detaillierte Informationen zur Malware Klassifizierung bereitgestellt und der Schutz erweitert Zudem kann zugeh rige Malware identifiziert werden die die Wiederverwendung von Code nutzt Standardm ig l dt McAfee Advanced Threat Defense die Aktualisierungen f r McAfee Gateway Anti Malware Engine und McAfee Anti Malware Engine alle 90 Minuten herunter Verwenden Sie f r D eine sofortige Aktualisierung den CLI Befehl update_avdat auf Seite 373 Damit diese Aktualisierungen erfolgreich sind stellen Sie sicher dass McAfee Advanced Threat Defense wpm webwasher com Uber HTTPS TCP 443 kontaktieren kann e Dynamic Analysis Dynamische Analyse Dabei f hrt McAfee Advanced Threat Defense die Datei auf einem sicheren virtuellen Computer Virtual Machine VM aus und uberwacht ihr Verhalten um zu berpr fen wie b swillig die Datei ist Am Ende der Analyse wird je nach Bedarf ein detaillierter Bericht erstellt McAfee Advanced Threat Defense fuhrt nach Abschluss der statischen Analyse eine dynamische Analyse durch StandardmaBig fuhrt McAfee Advanced Threat Defense keine dynamische Analyse durch wenn bei der statischen Analyse Malware erkannt wird Sie k nnen jedoch eine Durchf hrung der dynamischen Analyse un
50. Anzahl der vom Sensor empfangenen unbekannten Befehle Null Dateizeichenfolgen Null Dateidaten Anzahl der unbekannten Dateien Anzahl der irregul ren Pakete Anzahl von MD5 Konflikten zwischen den vom Sensor gesendeten und von McAfee Advanced Threat Defense empfangenen Inhalten Fehleranzahl bei der Speicherzuteilung Zeit berschreitung bei der Datei bertragung Anzahl der neuen Dateien Fehleranzahl bei der Shared Memory Zuteilung Anzahl der gesendeten statischen Analyseanworten Anzahl der gesendeten dynamischen Analyseanworten Anzahl der empfangenen Scan Anfragen MD5 der letzten vom Sensor gestreamten Datei show route Dieser Befehl wird zum Anzeigen von Routen benutzt die Sie mithilfe des route add Befehls und in der IP Routingtabelle erstellt haben Syntax show route In der nachstehenden Tabelle sehen Sie Details zu einer Beispielausgabe des Befehls Tabelle 9 2 System IP Routingtabelle Destination Gateway Genmask Flags Metric Ref Use Iface 10 10 10 0 0 0 0 0 255 255 255 0 U 0 0 0 mgmt 11 11 11 0 0 0 0 0 255 255 255 0 U 0 0 0 mgmt 12 12 0 0 0 0 0 0 255 255 0 0 U 0 0 0 mgmt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Tabelle 9 2 System IP Routingtabelle Fortsetzung Destination Gateway Genmask Flags Metric Ref Use Iface 13 0 0 0 0 0 0 0 255 0 0 0 U 0 0 0 mgmt 0 0 0 0 10 10 10 253 0 0 0 0 UG 0 0 0 mgmt
51. Check OF 2014 065 07 01 44 01 Backup starts 2014 06 07 01 44 20 Backun de 2014 05 07 01 59 2014 D6 07 01 59 H 2014 06 07 01 59 2014 D06 07 02 00 38 2014 06 07 02 00 84 2014 06 07 02 00 35 2014 06 07 02 00 5 2014 06 07 02 00 47 2014 06 07 02 19 2014 06 07 02 19 2014 06 07 02 19 2014 06 07 02 30 2014 05 07 02 20 2014 06 07 02 20 2 014 06 07 02 20 ed doe Oo oS Ed Restore starts Got backup file matd_4 0 5 63 Stopping AMAS Restore DA and config files Restore dona Starting AHAS Amas Databases Check OK AHAS started BOT _2014_06_07_01_44 2ip H Restore starts 50 Got backup file matd_7 0 5 63 38978_2014_06_07_01_44 zip 50 Stopping AHAS 24 Restore DE and config file 54 Restore done 51 Starting AMAS 53 Ames Dstsbese Check OK ats OT oe i i all Figure 4 13 Protokolle in Zusammenhang mit der Datenwiederherstellung Die Prozesse in Zusammenhang mit der Probenanalyse werden vor der Wiederherstellung angehalten und nach der Wiederherstellung neu gestartet se 3 4 2 Produkthandbuch McAfee Advanced Threat Defen 69 70 Verwalten von Advanced Threat Defense Sichern und Wiederherstellen der Advanced Threat Defense Datenbank McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM In der dynamischen Analyse fuhrt McAfee Advanced Threat Defense eine verdachtige Datei auf einem sicheren virtuellen Computer Virtual Machine VM aus
52. Das Kommunikationsverhalten umfasst Reputation Volumen und Netzwerkdatenverkehrsmuster McAfee Advanced Threat Defense verwendet die IP Reputations und Datei Reputationsfunktionen von GTI Damit Datei Reputations Abfragen erfolgreich sind stellen Sie sicher dass McAfee Advanced D Threat Defense mit tunnel message trustedsource org Uber HTTPS TCP 443 kommunizieren kann McAfee Advanced Threat Defense ruft die URL Aktualisierungen von List smartfilter com Uber HTTP TCP 80 ab 244 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse 6 Begriffe Gateway Anti Malware McAfeeGateway Anti Malware Engine analysiert das Verhalten von Websites Website Code und heruntergeladenen Web 2 0 Inhalten in Echtzeit um b sartige Angriffe praventiv zu erkennen und zu blockieren Dadurch werden Unternehmen vor komplexen Angriffen wie Viren W rmern Adware Spyware Riskware und ahnlichen Crimeware Bedrohungen geschutzt ohne auf Virussignaturen zuruckgreifen zu m ssen McAfee Gateway Anti Malware Engine ist in McAfee Advanced Threat Defense eingebettet um Malware Erkennung in Echtzeit zu liefern Anti Malware McAfee Anti Malware Engine ist in McAfee Advanced Threat Defense eingebettet DAT Aktualisierungen werden entweder manuell oder automatisch vorgenommen basierend auf der Netzwerkverbindung von McAfee Advanced Threat Defense Die statische Analyse schlieBt auch die
53. Dateien auf dem lokalen Computer zulassen aus McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 101 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Internet Optio ns General Security Privacy Content Connections Programs Advanced Settings y Just display the results in the main window me a Just go to the most likely site 2 Senunly Allow actve content from CDs ba nun on bly Computer Ablow acte content to run in flee on My Computer Allow sofware bo run ol install ever if the signature ic invalid Check lot publeher s certificate revocahon Check tor server Gerbficate revocation requires restart Check for signatures on downloaded programs De not save encrypted pages to dick Empty Tempceary Intenet Files folder when browser is closed Enable Integrated Windows Authentication requires restart Enable Profle Assistant Use SSL 2 0 w Use SSL 3 0 Use TLS 1 0 hal Restore Detouts 5 Klicken Sie auf OK 102 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 69 Um eine l 1 Rufen Sie h
54. Defense Appliance gew hlt haben berpr fen Sie dass Sie alle notwendigen Ausr stungsteile und Komponenten haben die in diesem Dokument aufgef hrt sind Machen Sie sich mithilfe dieses Dokuments mit den NIC Anschl ssen und Steckern der McAfee Advanced Threat Defense Appliance vertraut Stellen Sie sicher dass Sie folgende Informationen zur Hand haben wenn Sie die McAfee Advanced Threat Defense Appliance konfigurieren e IPv4 Adresse die Sie der Appliance zuweisen m chten e Netzwerkmaske e Standard Gateway Adresse McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Vor dem Installieren der McAfee Advanced Threat Defense Appliance Warnungen und Hinweise Lesen und beachten Sie diese Sicherheitswarnungen wenn Sie die McAfee Advanced Threat Defense Appliance installieren Ein Nichtbeachten dieser Sicherheitswarnungen kann zu ernsthaften Personensch den f hren O O O Ein Aus Schalter der McAfee Advanced Threat Defense Appliance Der Ein Aus Schalter auf der Vorderseite der McAfee Advanced Threat Defense Appliance schaltet nicht die Stromversorgung ab Um die Stromversorgung f r die McAfee Advanced Threat Defense Appliance abzuschalten m ssen Sie beide Netzkabel von der Stromquelle oder den Steckdosen trennen Die Stromversorgung in Ihrem System kann eine Gefahr durch hohe Spannungen und Stromschlag darstellen und zu Personenschaden f hren Nur ge
55. Der h chste Faktor einer bestimmten Methode wird verwendet um den endg ltigen Schweregrad fur die Probe festzulegen Abschnitt Analysis Environment Dies ist ein Abschnitt im Ubersichtsbericht der Analyse In diesem Abschnitt finden Sie die folgenden Details e Details der entsprechenden Analyse VM wie Betriebssystem Browser und Version sowie die Anwendungen die auf der VM installiert sind und ihre Versionen Analysis Environment Digital Sigr EEUE mot walid o Microsoft Windows XP Professional Service Pack 3 build Verified nn Pabligiar 5hinghal Yiyi Digha Tecanglegy Ge Internet Explorer version 6 Oeecription 1LGame Micrasolt Office version 2003 Product Ame o PDF Reader version 10 a Pil varg he 1 7 5 Sample Submitted on 2013 08 18 23 22 33 a om mm rigina Narra 1 Larose lime Taken 2 seconds ae ee Tg _ Copyright 6 2011 Baltexe activated but not infected ee Camana rio bist Aral tis Abbildung 7 12 Abschnitt Analysis Environment e Die Zeit wenn die Probe gesendet wurde wie von der Uhr der McAfee Advanced Threat Defense Appliance angegeben e Die ben tigte Zeit f r die Dateianalyse und die Berichterstellung e Auf der rechten Seite gibt eine Tabelle die Dateieigenschaften an Diese enth lt unter anderem folgende Informationen e Digitale Signatur f r die Datei vorhanden oder nicht e Name des Herausgebers falls vorhanden 302 McAfee Advanced Threat Defense 3 4 2 Produkth
56. Die heuristische Filterung ist AKTIVIERT Durch das Aktivieren der heuristischen Analyse wird der heuristische Filter ebenfalls AKTIVIERT sodass McAfee Advanced Threat Defense die MS Office 2007 Word oder Excel Dateistruktur auf Unregelm igkeiten untersucht Wenn keine Unregelm igkeiten vorliegen wird die Datei als sauber behandelt und es wird keine weitere Analyse durchgef hrt Wenn heuristische Unregelm igkeiten vorliegen wird die MS Office 2007 Word oder Excel Datei gem dem entsprechenden Analyseprofil statisch und dynamisch analysiert Wenn die heuristische Analyse deaktiviert ist werden folgende Einstellungen verwendet e Die heuristische Filterung ist DEAKTIVIERT Durch das Deaktivieren der heuristischen Analyse wird der heuristische Filter ebenfalls DEAKTIVIERT sodass McAfee Advanced Threat Defense die MS Office 2007 Word oder Excel Dateien nicht auf heuristische Unregelm igkeiten untersucht Die MS Office 2007 Word und Excel Dateien werden gem dem entsprechenden Analyseprofil statisch und dynamisch analysiert 352 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle exit Der Befehl beendet die CLI Dieser Befehl hat keine Parameter Syntax exit factorydefaults L scht alle Proben Ergebnisse Protokolle und Analyse VM Laufwerksdateien und setzt alle IP Adressen vor dem Neustart des Ger ts zuruck Der Befehl erscheint
57. EM i Step1 5 wi A y gt bi 4 Adobe Photoshop Lightroom Windows 7 Vista XP 2008 2003 Step2 Flash Player 14 for Other Browsers v System requirements Leam more Note Your antivirus software must allow you to install software If your operating system browser combination is not displayed click here for older versions of Adobe Flash Player Total size 182 MB 4 Doppelklicken Sie in der unteren Ecke Ihres Bildschirms auf die Installationsdatei fur Adobe Flash Player install_ flashplayer xxx exe AA install_flashplayerl x exe 5 Klicken Sie im Dialogfeld Sicherheitswarnung auf Ausf hren Open File Security Warning Do you wani lo nun this fle cH Mame inglal_flashplayer1d32_ 116503 2d_avec_aih 1 exe Publisher Adobe Systems Incorporated Imme Application From C3 Users MilabhiDownloads install flashpleyerl aun Cam FF Always aak befara opening this fila While fies from the Inemet can be useful this file type can potentially ham your computer Cindy run sofan from publishers you trust What s the nak 6 Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Ja 186 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Ay User Account Control 5 Do you want to allow the following program to make Le y n Y changes to this
58. Eraser east Supports il Frasin See E Frage Fera m rabiar a Y Proa p Fiese fra iar y McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 119 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 33 W hlen Sie im Fenster Eigenschaften von Telnet Lokaler Computer aus der Dropdown Liste Starttyp die Option Automatisch W hlen Sie dann bernehmen Start OK Schritt 34 Aktivieren Sie FTP auf der VM Details Telnet Properties Local Computer xj General Log On Recovery Dependencias Service name Tint5w Display name Tenet Descnption Enables a remote user lo log on to this computer and a u un prograns and suppots vanous TCPAP Telnet Path bo executable CAWINDOWS eystema2Ulritevt exe e cow teh 1 Wahlen Sie im virtualMachineImage die Optionen Start Systemsteuerung Software Windows Komponenten hinzuf gen entfernen co U xl tna Components TS Dar 0d or ee rs dl rior To dd ai mirra a store e a Chet bee A thie bix imira Ih ori el ae To sm eb mcluded in a component chch E Siosaia ard Utiles MA Certacote Genies 1 4 HB E En Seraces 1 1 HB al Pe rra 79 BA Descmpbor Includes ASPMET Internet niar
59. Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 30 Deaktivieren Sie die automatische Aktualisierung fur Windows 1 Drucken Sie gleichzeitig die Windows und die X Taste und wahlen Sie dann Systemsteuerung Windows Update Andern 2 Wahlen Sie Nie nach Updates suchen nicht empfohlen und klicken Sie auf OK Windows Update Tum on automatic updating Update ae not Being milalled automatically Tum on autormi upasbng to help IRE be pec and performance rl your PC and allow standard users to install updates on Eh PC _Tum on automatic updates Let ene choose my settings Mon recent check fer updates Het Updates were matalat Hever Vow recerve updebes For Windows ony Get updates for other Microsoft products Find out more McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 31 Fuhren Sie die folgenden Schritte aus 1 Offnen Sie die Systemsteuerung und wahlen Sie aus dem Dropdown Ment Anzeigen nach die Option Kleine Symbole aus 2 Wahlen Sie Administratortools Computerverwaltung und fuhren Sie die Schritte in der nachsten Spalte aus 1 Wahlen Sie Computerverwaltung Lokal System Lokale Benutzer und Gruppen Gruppen aus File Action View Help 2 E l Bi A Computer Management Local Name De
60. Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 13 Wahlen Sie auf der Seite Auswahlen eines Datentragertyps die Option IDE und klicken Sie auf Next Weiter SCSI Datentr ger sind mit McAfee Advanced Threat Defense nicht kompatibel Mew Virtual Machine Wizard Select a Disk Type What kind of disk de you want lo create a De SATA Not supported on Workstation 9 0 vrs Schritt 14 Wahlen Sie im Fenster Auswahlen eines Datentragers die Option Create a new virtual disk Neuen virtuellen Datentrager erstellen und klicken Sie auf Next Weiter Mew Virtual Machine Wizard Select a Disk Which dek de you want to use Disk A virtual disk is composed of one or more files on the host file system which wil appear as a single hard disk to the guest operating system Virtual disks can easily be copied or moved on the same host ar between hoes Choose this opGon to rause a previously configured disk Lhe a physical disk for advanced users Choose this apGon to gree Ehe virtual machine direct access to a local hard disk McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 195 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 15 Geben Sie die e Maximum disk size GB Maximale Datentr gergr e GB F r Details im Fenster Angeben der windows 8 64 und 32 Bit betr gt die Datentr ge
61. Firefox und Chrome McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 35 Zugreifen auf die McAfee Advanced Threat Defense Web Anwendung Zugreifen auf die McAfee Advanced Threat Defense Web Anwendung Zugreifen auf die McAfee Advanced Threat Defense Web Anwendung 36 Vorgehensweise 1 ffnen Sie auf einem Client Computer ber einen der unterst tzten Browser eine Sitzung 2 Nutzen Sie f r den Zugriff auf die McAfee Advanced Threat Defense Web Anwendung folgende Daten e URL https lt McAfee Advanced Threat Defense Appliance Hostname oder IP Adresse gt e Standardbenutzername admin e Kennwort admin 3 Klicken Sie auf Anmelden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense Zum Verwalten von Konfigurationen wie Benutzerkonten und zum Uberwachen des Systemzustands von McAfee Advanced Threat Defense Appliance wird die McAfee Advanced Threat Defense Web Anwendung benutzt Inhalt gt Verwalten von McAfee Advanced Threat Defense Benutzern berwachen der McAfee Advanced Threat Defense Leistung Upgrade von McAfee Advanced Threat Defense und Android VM gt Fehlerbehebung Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Verwalten von McAfee Advanced Threat Defense Benutzern Bei den Benutzerkonten f r McAfee Advanced Threat Defense sind unterschiedliche Berechtigungen und Konfigurationseinstellungen m glich Die Berechtigungen h n
62. Fortsetzung Schritt Schritt 46 Extrahieren Sie sigcheck zip an folgendem Speicherort C WINDOWS system32 Details Fe Ei iw Favorites Tools Que gt CAIDOS system lp FT po Search oy Folders EE fe Sigcheck Lizenzvertrag auf Agree Ich stimme zu Nach dem Klicken auf Agree Ich stimme zu wird keine Best tigungsmeldung angezeigt You can also ute the accapieula commanding seich lo accept the ELLA SYSINTERNALS SOFTWARE LICENSE TERMS These Gare terre are on agreement bewiesen Sysinternab a wholly owned subsidiary of Microsoft Corporation and you Plesse read them They apt to the sofare you are doenigading fom Systinternak chm hich includes the media on which you received it Fany The terme alo apoh to any Sysinternak updates supplements Folders S TERMO an dl Avr moded i Storm El emplyregdb lias s Two di mi amonat ES Network Diagnostic A TPO Ed mscompat E Centi ho Tije prar q COMPFIGANT ue Cra ah aa 3 TPSwc dil 3 print 5 ES pchaakh 4 yH Hopr dl EA PTC CAE ee A TPM Morden cll far aga cil BEER 2 TEO A pid PAF e 2 a TPP Hon di Erig 7 ra a dl id ertcons ES recas DTPA rad E perthoos z iaa lerne E Palir ngisak 2 Bh secu 3 eMUpgrsceakshutdosnwe dl Schritt 47 Navigieren Sie in Windows Explorer zu C WINDOWS system32 und doppelklicken Sie auf sigcheck exe Schritt 48 Klicken Sie in der Warnmeldung auf Ausf hren wenn Sie dazu aufgeford
63. Fortsetzung Schritt Details Schritt 16 berpr fen Sie die Einstellungen f r das Erstellen Mew Virtual Machine Wizard des virtuellen Computers und klicken Sie auf Finish Fertig Ready to Create Virtual Machine stellen Dadurch wird der kp ER virtuelle Computer erstellt Anschlie end m ssen Sie das The virtual machine will be created with the folowing setings Betriebssystem installieren Name virtualMachine Image Loca COl Wok ips da pcs Version Workstation 9 0 Operating System Windows Server 2003 Standard Edition 5 GB Pre allocated 1024 MB NAT CD DWD USA Controller Printer Sound Card New Virtual Machine Wizard z Ready to Create Virtual Machine Click Finish to create the virtual machine Then you can install Windows Server 2003 Standard Edition The virtual machine wil be created with the followang settings 112 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Erstellen eine r Analyse VM Erstellen einer VMDK Datei f r Windows 2003 Server Schritt Schritt 17 Schalten Sie in der VMware Workstation den zuvor erstellten virtuellen Computer ein und installieren Sie Windows Server 2003 indem Sie die blichen Schritte ausf hren e Dieser Schritt kann etwa 30 Minut
64. GE Control Panel amp X Accessibdty Add Hardware Switch to Category view Options Remo 2 a Also Bluetooth Cate and Time Display Windows Update Devices Help and Support Ls 2 Game Internet Java AN A AS Schritt 62 Deaktivieren Sie auf der Registerkarte Update die Option Automatisch nach Updates suchen The Java Update mechanism ensures y version of the Java platform The optic updates are obtained and applied Before dor Motify Me McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 63 Wahlen Sie im Dialogfeld Java Update Warnung die Option Nicht berpr fen und klicken Sie dann in der Java Systemsteuerung auf OK Details Java Update Warning You have chosen to stop automatically checking for updates and will miss future security updates We strongly recommend letting Jara perdia check for never serra tp ensure wou heres Khe most secure and Fastest Java eeperience Ch Mioi De ol Check Schritt 64 Geben Sie im Windows Dialogfeld Ausf hren msconfig ein Type the name of a program Folder document or Internet resource and Windows will open it for you Open msconfig Schritt 65 Navigieren Sie im Systemkonfigurations
65. III Log on automatically requires a password Help lt Back Next gt Cancel Schritt 7 Klicken Sie im Popupfenster VMware Workstation auf Yes Ja You have entered a Full Name that may conflict with a built n account in the quest operating system If it does conflict you may be asked for a new Full Name by the installer Would you like to continue IF Do not show this message again Yes Produkthandbuch McAfee Advanced Threat Defense 3 4 2 139 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 8 Geben Sie die e Virtual Machine name Name des virtuellen Computers Geben Sie Informationen im Fenster Name virtualMachinelmage als Namen ein the Virtual Machine Benennen des virtuellen Computers ein und e Location Speicherort Navigieren Sie zu dem Ordner in dem die klicken Sie anschlie end auf VDMK Datei erstellt werden soll und w hlen Sie ihn aus Next Weiter Mew Virtual Machine Wizard El Name the Virtual Machine What name woud you like to use for this vrtual machine Virtual machine name vi thal ache mage Loca Gor e gt re u Are au The default location can be changed at Edit gt Preferences lt Back Kent gt Cancel Schritt 9 Ubernehmen Sie im Co 4 Fenster Processor Configuration Mew Vistuad Machine Wiari Bg Prozessorkonfiguration die Standardwerte und klicken Sie Proc
66. Integration in Data Exchange Layer McAfee Data Exchange Layer DXL enthalt Client Software und einen oder mehrere Broker fur bidirektionale Kommunikation zwischen Endpunkten in einem Netzwerk Der McAfee DXL Client wird auf allen verwalteten Endpunkten installiert sodass Bedrohungsinformationen unmittelbar mit allen anderen Diensten und Geraten geteilt werden und Bedrohungen sich dadurch nicht mehr einfach ausbreiten k nnen Durch die Integration von Advanced Threat Defense in McAfee DXL kann Advanced Threat Defense den Analysebericht der in Advanced Threat Defense analysierten Proben an den McAfee DXL Broker senden Die Proben von Advanced Threat Defense werden in einem Thema unter mcafee event atd file report auf dem McAfee DXL Broker ver ffentlicht Clients wie Security Information and Event Management SIEM die dieses Thema mcafee event atd file report abonniert haben k nnen die Analyseberichte vom McAfee DXL Broker abrufen um eine stabile Sicherheitsreputationsdatenbank aufzubauen Clients mit Abonnements k nnen auf diese Datenbank Bezug nehmen und in ihr Netzwerk eingehende Dateien entsprechend dem Analysebericht der Dateien behandeln Im Folgenden wird beschrieben wie Advanced Threat Defense die Analyseberichte im McAfee DXL Kanal ver ffentlicht 1 Advanced Threat Defense erh lt die Probedateien zur Analyse von verschiedenen Kan len wie McAfee Network Security Platform McAfee Web Gateway usw 2 Die Analyse bersicht wird
67. K Turn off the display L Put the computer to sleep Meyer m Produkthandbuch 207 208 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 27 Drucken Sie gleichzeitig die Windows und die X Taste und wahlen Sie dann Computerverwaltung Dienste und Anwendungen Dienste Doppelklicken Sie anschlieBend auf Telnet Programs and Features Power Options Event Viewer System Device Manager Disk Management Command Prompt Command Prompt Admin File Action View Help AME ois B m gt nun de Computer Management Local a System Tools P Task Scheduler Event Viewer Shared Folders Description Sa Supertel de Local Users and Groups Enables a remote user to log on to gt cae b Pal Performance thes computer and run programs and System y Device Manager supports various TCP IP Telnet Ca Task Sct a E Storage clients mcluding UA based and EE TCP IP I Windows based computers If this Pm 4 m FAA service is stopped remote user access nahen a Dh Services and Applications to programs might be unavailable i b Wy Internet Information Sai this service is disabled any serice Themes C4 Services thet explicitly depend on R willfailto 2 Thread i McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Sc
68. LS habas beget Ta vee a change pour cual canhgunakan Staa tah un McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 113 114 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 19 Geben Sie die folgenden Details im Fenster Windows Setup ein Details e Name Geben Sie root ein e Organisation Lassen Sie dieses Feld leer und klicken Sie auf Weiter Personaliza Your Software Saip ee na pou Piece ae ee Lo ea pour Yankee lan 7 Type pour full name and the meme of pour company of organizador Hae 100 Schritt 20 Geben Sie einen Produktschlussel ein und klicken Sie auf Weiter Li x Your Product Key Your Product Kay uniquely dentes pour copp of windows Flesse see pou License Agssement Adminstrator or Syatem Administrador bo obtain pour SS characte Volume Liceras product key For mone ndormalion ses pour product Type he Volume License Predict Kay baka Product Key aa oe McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 21 W hlen Sie das Lizenzmodel
69. Malware in der k rzestm glichen Zeit und das Verhindern einer Ausbreitung auf andere Computer Eine Malware Schutzstrategie umfasst vier Hauptaspekte e Erkennen von Datei Downloads Wenn ein Benutzer eine Datei von einer externen Ressource herunterl dt muss Ihr Sicherheitsprodukt in der Lage sein diesen Download zu erkennen e Analyse der Datei auf Malware Sie m ssen berpr fen k nnen ob die Datei bekannte Malware enth lt e Blockieren zuk nftiger Downloads der gleichen Datei Wenn die Datei als b sartig erkannt wird muss Ihr Malware Schutz anschlie end zuk nftige Downloads der gleichen Datei oder Varianten davon verhindern e Identifizieren betroffener Hosts und Problembehebung Ihr Sicherheitssystem muss den Host identifizieren k nnen der die Malware ausgef hrt hat und auch die Hosts ermitteln auf die sie sich ausgebreitet hat AnschlieBend muss es in der Lage sein die betroffenen Hosts zu isolieren bis sie ges ubert sind Die McAfee Advanced Threat Defense Losung 12 Eine Sicherheitsl sung die auf einer einzelnen Methode oder einem einzelnen Prozess basiert reicht moglicherweise nicht zum verlasslichen Schutz vor Malware Angriffen aus Sie ben tigen dazu eventuell eine mehrschichtige L sung mit verschiedenen Techniken und Produkten Bei einer solchen L sung k nnen Musterabgleich globale Reputation Programmemulation sowie statische und dynamische Analysen zum Einsatz kommen Diese verschiedenen Schich
70. McAfee Advanced Threat Defense Web Anwendung konfigurieren Der Anmeldename lautet admin und das Standardkennwort ist admin e Network Security Platform Der Anmeldename lautet nsp und das Standardkennwort ist admin Dies wird von Network Security Platform zur Integration in die McAfee Advanced Threat Defense verwendet e ATD upload Admin ATD Upload Admin Dies ist das Standardbenutzerkonto fur den Zugriff auf den FTP Server auf McAfee Advanced Threat Defense Der Benutzername lautet atdadmin und das Kennwort ist adtadmin e McAfee Web Gateway Dies dient der Integration von McAfee Web Gateway in McAfee Advanced Threat Defense e McAfee Email Gateway Dies dient der Integration von McAfee Email Gateway in McAfee Advanced Threat Defense D Aus Sicherheitsgr nden sollten Sie die Standardkennw rter ndern e F r den Zugriff auf die McAfee Advanced Threat Defense CLI m ssen Sie cliadmin als Anmeldenamen und atdadmin als Kennwort verwenden Auf diesen Benutzerdatensatz kann nicht zugegriffen werden Sie k nnen keinen anderen Benutzer zum Zugriff auf die CLI erstellen Sie m ssen Uber SSH und Port 2222 auf die CLI zugreifen Siehe Anmelden uber die Befehlszeilenschnittstelle CLI auf Seite 347 e Wenn Sie kein Administratorbenutzer sind k nnen Sie auf Ihren Benutzerdatensatz zugreifen und ihn andern Zum Andern Ihrer Rollenzuweisungen mussen Sie sich an den Administratorbenutzer wenden Anzeigen von Benutzerprofilen Al
71. Melden Sie sich bei der CLI an und berpr fen Sie die Softwareversion i berpr fen Sie die Version in der McAfee Advanced Threat Defense Web Anwendung 50 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM j Melden Sie sich bei der Web Anwendung an und berpr fen Sie auf der Seite Systemprotokoll ob die vmcreator Task aufgerufen wurde Wenn Sie ein Upgrade auf McAfee Advanced Threat Defense 3 2 0 durchf hren werden alle Analyse VMs automatisch neu erstellt Dieser Prozess nimmt je nach Anzahl der Analyse VMs etwas Zeit in Anspruch k Stellen Sie sicher dass die Daten und Konfigurationen Ihrer fr heren Version bernommen wurden Die aktualisierte Softwareversion ist jetzt auf der aktiven Festplatte der McAfee Advanced Threat Defense Appliance gespeichert Upgrade der McAfee Advanced Threat Defense Software von 3 0 4 xx auf 3 2 0 xx Bevor Sie beginnen e Stellen Sie sicher dass die aktuelle McAfee Advanced Threat Defense Version 3 0 4 56 3 0 75 oder 3 0 4 94 lautet Wenn die aktuelle Version 3 0 2 xx lautet lesen Sie sich die Upgrade Informationen im entsprechenden Abschnitt durch e Vergewissern Sie sich dass die system 3 2 0 x msu der McAfee Advanced Threat Defense Software die Sie verwenden mochten extrahiert ist und Sie vom Client Computer aus Zugriff darauf haben e Sie verfugen uber die Anmeldeinfo
72. Pack 2 e Microsoft Windows XP 32 Bit Service Pack 3 e Microsoft Windows Server 2003 32 Bit Service Pack 1 e Microsoft Windows Server 2003 32 Bit Service Pack 2 e Microsoft Windows Server 2008 R2 Service Pack 1 e Microsoft Windows 7 32 Bit Service Pack 1 e Microsoft Windows 7 64 Bit Service Pack 1 e Microsoft Windows 8 0 Pro 32 Bit McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 71 5 Erstellen einer Analyse VM e Microsoft Windows 8 0 Pro 64 Bit e Standardm ig Android 2 3 Sie k nnen ein Upgrade auf Android 4 3 durchf hren Siehe Upgrade der Android Analyse VM auf Seite 55 Die oben genannten Windows Betriebssysteme k nnen auf Deutsch Englisch Chinesisch vereinfacht Japanisch oder Italienisch vorliegen D Die einzige vorinstallierte Analyse VM ist die Android VM 2 Beim Verwenden der VMware Workstation 9 0 wird eine VMDK Virtual Machine Disk Datei der ISO Datei erstellt Nach dem Erstellen der VM k nnen Sie erforderliche Anwendungen installieren beispielsweise e Internet Explorer 6 7 8 9 und 10 e Firefox 11 12 und 13 e Microsoft Office 2003 2007 2010 oder 2013 e Adobe Reader 8 9 oder 10 Die empfohlene VMware Workstation Version ist 9 0 Wenn Sie jedoch VMware Workstation 10 0 verwenden w hlen Sie im Fenster New Virtual Machine Wizard Assistent f r neue virtuelle Computer unter Hardware Compatibility Hardwarekompatibilit t Workstation 9 0 aus siehe unten Men Virtua
73. Ressource im Internet zuzugreifen 2 McAfee Advanced Threat Defense berpr ft ob im f r die Analyse verwendeten Profil die Option f r eine Internetverbindung aktiviert ist 3 Je nachdem ob die Option f r eine Internetverbindung aktiviert ist oder nicht bestimmt McAfee Advanced Threat Defense den Modus f r die Bereitstellung von Netzwerkdiensten e Simulationsmodus Wenn die Option f r eine Internetverbindung nicht im Analyseprofil aktiviert ist wird dieser Modus verwendet McAfee Advanced Threat Defense kann selbst als Zielressource fungieren Versucht die Probe zum Beispiel eine Datei ber FTP herunterzuladen simuliert McAfee Advanced Threat Defense die Verbindung f r die Analyse VM e Real Internet Modus Bei diesem Modus ist f r den Verwaltungsport ETH 0 ETH 1 ETH 2 oder ETH 3 Internetzugriff erforderlich Wenn die Option f r eine Internetverbindung im Analyseprofil aktiviert ist verwendet McAfee Advanced Threat Defense diesen Modus McAfee Advanced Threat Defense stellt eine echte Internetverbindung standardm ig ber den Verwaltungsport her der ffentlich oder gem Ihrer Netzwerkkonfiguration zur Firewall Ihres Unternehmens geleitet wird Da der Datenverkehr von einer Analyse VM b sartig sein kann sollten Sie diesen Datenverkehr eventuell von Ihrem Produktionsnetzwerk trennen In diesem Fall k nnen Sie ETH 1 ETH 2 oder ETH 3 von McAfee Advanced Threat Defense verwenden oder der Analyse VM den Internetzugriff e
74. Schritt Schritt 23 Klicken Sie im Fenster Datums und Uhrzeiteinstellungen auf Weiter Details inc Setup Date amid Tame Seilir Set the conect date and hme for pour Windows comput Ep Daia amp Tare 18 214 23 Ac ed jami IEI Peete Tere US Lanadal Tuas f Automatically siunt clock lor daigh saving changes Back Hest gt Schritt 24 Ubernehmen Sie im Fenster Netzwerkeinstellungen die Standardwerte und klicken Sie auf Weiter Warnes Seb gp Networking Settings Insialing rebeok soia alee wou bo Gone lo giha compia maiak and iha Inder a Choose whether to une Ippica of custom settings de Create meiak conrechore using de Chen hor Microsoft Meimorks File and Pret Shaming lor blice Hebwor s and the TEPAP barapor Custom setts Allows you lo manually configure resor ng component ES McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 2003 Server Schritt Schritt 25 bernehmen Sie im Fenster Arbeitsgruppe oder Computerdom ne die Standardwerte und klicken Sie auf Weiter Details Windoves Setup Workgroup of Compete Domain eorkgeqvp ie a collection of compuless hal heave the came workgroup rana 4 daman is a colle
75. Schritt Schritt 42 Klicken Sie mit der rechten Maustaste auf Standard FTP Site und wahlen Sie dann Eigenschaften Basisverzeichnis F hren Sie dann folgende Schritte aus 1 Navigieren Sie zu C 2 W hlen Sie Lesen 3 Wahlen Sie Schreiben 4 Wahlen Sie Besuche protokollieren und klicken Sie auf Ubernehmen und anschlieBend auf OK Details e internet inioemation ds Petautl FIR Site Properties Fic Adian Wer He FTP Sie Secuitpacomais Menges Mone Director gt m dr d qa eee da cen Ger Wren Gong bo th race Ha Gober hauki cores her E a grecion located on ha computa 3 BESTICHT der Ca grass kanal on another computes a FTP Stes FTP Site Diiia da lara Ei Cime A mad hatte Log yee lecitina his i UNG HEDOE Schritt 43 Richten Sie die automatische Anmeldung ein indem Sie Start Ausf hrenausw hlen rund1132 netplwiz dll UsersRunD1l eingeben und die Eingabetaste drucken Type the name of a program folder document or Internet resource and Windows wall open it for you Open rundil32 netohwiz dll UsersRuncal Schritt 44 Deaktivieren Sie im Fenster Benutzerkonten die Option Benutzer m ssen Benutzernamen und Kennwort eingeben und klicken Sie auf bernehmen McAfee Advanced Threat Defense 3 4 2 User Accounts Users Advanced Use the list below bo grant or deny users access to your computer and to change passwords and other settings Users must en
76. System Configuration Ltd Dont show this message or launch the System Configuration Ly when Windows shart McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details ein Schritt 68 ffnen Sie den Standard Browser und richten Sie ihn f r Malware Analysen In diesem Beispiel wird Internet Explorer verwendet 1 Stellen Sie sicher dass der Popupblocker eingeschaltet ist W hlen Sie in Internet Explorer Extras Popupblocker Popupblocker einschalten Favotes EEN ue Hal ared Mews J Du A Tur Sff Pop up eke Manage Add ons Popup Blocker Settings LEN Synchronize Windows Update pos com mbar when you link yi Windows Messenger Diagnose Connection Problems Internet CACM 2 Wahlen Sie Extras Internetoptionen und wahlen Sie abhangig von der Version von Internet Explorer unter Startseite entweder Leere Seite oder Neue Registerkarte aus Internet Options General Security Privacy Content Connections Programs Advanced Home page A Tou can change which page bo use for your home page Address about blank Use Curent Use Detaur Use Blank 3 Wechseln Sie zur Registerkarte Erweitert und suchen Sie Sicherheit 4 Wahlen Sie Ausf hrung aktiver Inhalte in
77. Threat Defense Software geliefert Die McAfee Advanced Threat Defense Appliance ist in den folgenden Modellen verf gbar e ATD 3000 Dieses Standardmodell ist ein 1 HE Chassis e ATD 6000 Dieses High End Modell ist ein 2 HE Chassis Funktionen einer McAfee Advanced Threat Defense Appliance Die McAfee Advanced Threat Defense Appliances sind speziell angefertigte skalierbare und flexible Hochleistungsserver f r die Analyse verdachtiger Dateien auf Malware McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 19 Einrichten der McAfee Advanced Threat Defense Appliance Vor dem Installieren der McAfee Advanced Threat Defense Appliance Dies sind die Hauptfunktionen der McAfee Advanced Threat Defense Appliance Hosten der McAfee Advanced Threat Defense Software die Dateien auf Malware analysiert Hosten der McAfee Advanced Threat Defense Web Anwendung Hosten der virtuellen Computer die fur die dynamische Analyse verdachtiger Dateien verwendet werden D Informationen zu den Leistungswerten von ATD 3000 und ATD 6000 erhalten Sie vom McAfee Support Vor dem Installieren der McAfee Advanced Threat Defense Appliance 20 In diesem Abschnitt werden die Aufgaben beschrieben die vor der Installation von McAfee Advanced Threat Defense ausgef hrt werden m ssen Lesen Sie vor der Installation die mitgelieferte Dokumentation Stellen Sie sicher dass Sie einen geeigneten Speicherort f r die Installation der McAfee Advanced Threat
78. Threat Defense Web Anwendung protokollieren m chten Restful Access REST Zugriff Mit dieser Rolle weisen Sie die Zugriffsberechtigung fur REST APIs der McAfee Advanced Threat Defense Web Anwendung zu um Dateien f r die Analyse zu senden F r die integrierten McAfee Produkte die REST APIs verwenden O muss die Restful Access Rolle REST Zugriff ausgew hlt werden Wenn Sie die Option deaktivieren k nnte die Integration fehlschlagen Sample Download Access Zugriff auf Proben Download Mit dieser Rolle kann ein Benutzer zuvor gesendete Proben herunterladen Produkthandbuch Verwalten von Advanced Threat Defense 4 Verwalten von McAfee Advanced Threat Defense Benutzern Optionsname Beschreibung FTP Result Output FTP Ergebnisausgabe Geben Sie die Details des FTP Servers an an den McAfee Advanced Threat Defense die Ergebnisse der Malware Analyse senden soll Wenn Sie die Details fur den FTP Server konfigurieren sendet McAfee Advanced Threat Defense die Ergebnisse an den angegebenen FTP Server und speichert diese im Datenspeicher Sobald der Datenspeicher zu 75 voll ist werden die lteren Analyseergebnisse gel scht Um die Ergebnisse f r einen l ngeren Zeitraum aufzubewahren k nnen Sie die FTP Result Output FTP Ergebnisausgabe konfigurieren Remote IP Remote IP Dies ist die IPv4 Adresse des FTP Servers Protocol Protokoll Geben Sie an ob FTP oder SFTP verwendet werden soll McAfe
79. Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM d Wahlen Sie unter System Software Systemsoftware die Datei system lt version number gt msu aus e Stellen Sie f r den Fall von Upgrades sicher dass Datenbank zur cksetzen nicht ausgew hlt ist und klicken Sie auf Installieren System Software Fi ih ii ystem Software file must be uploaded to appliance using SFTP first with the atdadmin account Wi 4 Fie system 3 0 4 MIS Razgl Database Install Abbildung 4 5 Upgrade der McAfee Advanced Threat Defense Web Anwendung f Eine Best tigungsmeldung wird angezeigt Klicken Sie auf OK Status st be upload 1 i System Software file was validated LD successfully Installation will start shortly J na ye Ls all E U Die Systemsoftware wird installiert und der Status wird im Browser angezeigt 1 j Installation is in progress Please wait a D Die Installation der Systemsoftware dauert mindestens 20 Minuten McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 47 48 Verwalten von Advanced Threat Defense Upgrade von McAfee Advanced Threat Defense und Android VM g Nachdem die Software installiert wurde startet die McAfee Advanced Threat Defense Appliance neu Eine entsprechende Meldung wird angezeigt Die Appliance startet eigenstandig neu Die angezeigte Meldung dient nur zu Ihrer Information Status 1J The system is going down for reboot now Wenn Sie die
80. U Maike Select tool select images before text at robe com Forms Une ford revolution for Snapshot tool image pat iy mnterrurtoral wW terre hevadconpe Do not thow edi warnings Meswing 20 Meaning 30 Merunng Geo Print Miltmeds Trust legacy Fesdeng Search Security Applicaton Startup Securty Enhanced Show iplaih creen Tracker Use oniy cert plug in Currenthy in Ce Trust Manager 7 Units und McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 221 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 45 Legen Sie Adobe Reader 9 als Standardanwendung zum Offnen von PDF Dateien fest 1 Wahlen Sie in der Systemsteuerung Symbolansicht Standardprogramme aus T E t Control Panel All Control Panel items Adjust your computer s settings pr Action Center a Administrative Tools A Color Mana ig BitLocker Drive Encryption ement 49 Date and Time Bx Default Programs a Devices and Printers m Display MU Family Safety Es File History 2 Wahlen Sie Dateityp oder Protokoll einem Programm zuordnen aus 7 Ege AN Control Panel tems Default Programs Control Panel Hom i EHER N WEBER E Choose the programs that Windows uses Set your default programs Moke a program the default for all file types and 13 au Change AutoPlay settings Play CDs or other mada automatically a Set program access and computer defaults Control access to
81. View VM Tabs Help Next Weiter McAfee Advanced Threat Defense 3 4 2 WIWare Workstation hat type of configuration do you want Typical recommended virtueller Computer El New Virtual Machine Ctrl N ES New Window Open Ctri 0 Close Tab Ctr W la Connect to Server Ctrl L Es Virtualize a Physical Machine Export to OVF Map Virtual Disks Exit Schritt 3 W hlen Sie im oe Fenster New Virtual Machine Wizard cas Machine Wizard iz Assistent fur neue virtuelle Computer die Option Custom Advanced Benutzerdefiniert i l Welcome to the New Virtual erweitert und klicken Sie auf Machine Wizard Create a Workstation 10 0 virtual machine ina few easy steps Custom advanced Create a virtual machine with advanced opbons such as a SCS controller type virtual disk type and compatibility with gider VMware products Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 4 Wahlen Sie im Fenster Choose the Virtual Machine Details 44 Windows XP Professional detected This operating system vell use Easy instal What s this I vell ingtall the operating system later The virtual machine vell be created wit
82. Wenn Sie mehrere McAfee Advanced Threat Defense Appliances installieren sollten Sie mit der untersten freien Stelle beginnen Abbildung 2 8 Installation der Gleitschiene 28 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Einrichten der McAfee Advanced Threat Defense 2 Ziehen Sie die Klemme an der R ckseite des Racks und damit die Montageschiene aus und richten Sie sie an den entsprechenden Rack L chern aus D Vergewissern Sie sich das die H he der Montageschiene auf beiden Seiten des Racks gleich ist Abbildung 2 9 Installation der Schiene im Rack 3 Klemmen Sie die Schiene sicher am Rack fest 4 Wiederholen Sie diese Schritte zum Befestigen der zweiten Montageschiene im Rack 5 Ziehen Sie beide Schienen soweit wie m glich heraus Abbildung 2 10 Maximale Ausziehdistanz 6 Heben Sie die McAfee Advanced Threat Defense Appliance mit der Hilfe einer zweiten Person an und installieren Sie das Chassis auf beiden Seiten gleichzeitig auf den Schienen Abbildung 2 11 Installieren der Appliance auf den Schienen Senken Sie zuerst die hintere Spule ab gefolgt von der mittleren und dann der vorderen O Das Anheben der McAfee Advanced Threat Defense Appliance und das Befestigen im Rack erfordert zwei Personen 7 Setzen Sie n tigenfalls die verschlie bare Blende zum Schutz der Vorderseite auf McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 29 30
83. Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 6 Geben Sie die Informationen im Fenster Easy Install Information Informationen zur einfachen Installation ein und klicken Sie auf Next Weiter Details Windows product key Windows Produktschl ssel Geben Sie den Lizenzschlussel des Windows Betriebssystems ein fur das Sie die VMDK Datei erstellen Full name Vollst ndiger Name Geben Sie administrator als Full name ein Password Kennwort Geben Sie cr cker42 als Kennwort ein Dies ist das Kennwort das McAfee Advanced Threat Defense fur die Anmeldung bei der VM verwendet Confirm Best tigen Geben Sie cr cker42 zur Best tigung erneut ein Log on automatically requires a password Automatisch anmelden Kennwort erforderlich Deaktivieren Sie dieses Kontrollk stchen New Virtual Machine Wizard Easy Install Information This 5 used to install Windows XP Professional Mindo produi key Personalze Vino Full name admine f ator Password TT op Sonal Confirm EFEFEF Log on automatically nequines a password Schritt 7 Klicken Sie im Popupfenster VMware Workstation auf Yes Ja You have entered a Full Name that may conflict with a built in account in the quest operating system If it does conflict you may be asked for a new Full Name by the installer Would you like to continue El Do not show this message again 76 McAfee Advanced Threat Defense 3 4
84. a qe de Access Control Assist Pie oe Lv zu Adminetrators Aad ven First de Backup Operators Ba Da gi Shared Folders a 2 Local Users and Groups e Cryptographic Operat Me D U ae Distributed COM Users Me 3 Groups Event Log Readers hip Performance Be Guests Gus e Dente Manager de Hyper V Administrators Me a Storage ae 115_IUSRS Bui ES Disk Management de Network Configuratio Me Tel Services and Applications Performance Log Users Me de Performance Monitora Me He Power Users Po de Rernote Desktop Users Mie BE Rernote Management Me e Replicator Sup Users Lise TelmetClients de NinRMA Remote MIL Me 2 Doppelklicken Sie auf TelnetClients de TehneiChients Diescalption Changes to a user s group membership Add are not effective until the next time the usar loga cn 3 Klicken Sie auf Hinzuf gen und geben Sie Administrator ein 4 Klicken Sie auf Namen berpr fen und anschlieBend auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 215 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details s Control Asset Member of the group can remot TelnetChients Properties Linea or Gun sacuty prepat From ths locator WIN PUKSLUTEBEOS WIH E me Schritt 32 Dr cken Sie gleichzeitig die Windows und die R Taste um das Dialogfeld Ausf hren zu ffnen Geben Sie anschlie end netplwiz ein und
85. alle Knoten erstellen bevor Sie das neue VM Profil in einem der Analyseprofile ausw hlen Wenn Sie ein vorhandenes VM Profil ndern m chten m ssen Sie diese nderung sofort auch f r alle anderen Knoten vornehmen Erstellen Sie nun das Cluster neu e Die VM Profile aller Knoten m ssen genau bereinstimmen e Es wird empfohlen dass DAT und Scan Modul Versionen der McAfee Anti Malware Engine in allen Knoten bereinstimmen e Es wird empfohlen dass DAT und Scan Modul Versionen der McAfee Gateway Anti Malware Engine in allen Knoten bereinstimmen 322 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Netzwerkverbindungen f r ein Advanced Threat Defense Cluster e Die Knoten k nnen in Bezug auf folgende Aspekte heterogen sein e Hardware Das hei t dass Sie ein Cluster aus einer Kombination aus ATD 3000 und ATD 6000 Appliances erstellen k nnen e FIPS Konformit t Unabh ngig davon ob es sich um prim re oder sekund re Knoten handelt k nnen sich einige Knoten im FIPS Modus und der Rest im Nicht FIPS Modus befinden e Verwenden Sie die IP Adresse des prim ren Knotens zum Einsenden von Dateien und zur Integration in andere Produkte z B Network Security Platform und Web Gateway Der prim re Knoten oder die prim re McAfee Advanced Threat Defense Appliance agieren als externe Schnittstelle f r das Cluster Das hei t dass der prim re Knoten in Bezug auf
86. also ue the accepi commaenddine pach bo accept the EULA SYSINTERNALS SOFTWARE LICENSE TERMS hese license terms are an agreement between Sysinternals a wholly owned subsidiary of Mocrosoft Corporation and you Please read ther They apply to the software you are downdosding from Systinternals com which includes the media on which you recetved it E any The terms also apply to any Sysinternals updates supplements internet based services and Schritt 39 Laden Sie die ZIP Datei MergelDE zip von der Seite https www virtualbox org attachment wiki Migrate_Windows MergelDE zip auf den nativen Computer herunter und kopieren Sie sie auf die VM McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 40 Extrahieren Sie MergelDE zip und f hren Sie die MergeIDE Batchdatei Compressed Folder Tools A ras Home Share View Extract 4 MergelDE ST A Mame Typ BE Desktop 0218 206 Tex Je Downloads _ LIZENZ Tex El Recent places MergelDE Wir a MergelDE Rec Libraries e Klicken Sie in der Warnmeldung auf Ausf hren wenn Sie dazu aufgefordert werden e Schlie en Sie Windows Explorer Schritt 41 Um Microsoft Word Excel und PowerPoint Dateien zu EN analysieren installieren Sie m en nn er Microsoft Office 2003 auf AR dem virtuellen Computer Select the O
87. any iim 1 ntopen Msernce gt Gntopen service name for MiOpenProcess Abbildung 6 8 Beispiel f r eine YARA Regel Nachdem Sie Ihre YARA Regeln in McAfee Advanced Threat Defense importiert haben erfolgt die Malware Erkennung und Klassifizierung ebenfalls auf der Grundlage dieser Regeln Der bei Abschluss der Probenanalyse festgelegte Schweregrad wird als Maximalwert anhand der oben erw hnten Analysemethoden einschlieBlich der benutzerdefinierten YARA Regeln bestimmt Down Selector s Analysis Engre GTI File Reputation Gateway Anh Malware nb Malba are Custom Yara Sandbox Final Threat Name seventy None None None Abbildung 6 9 Von einem benutzerdefinierten YARA Regelwert beeinflusste Endbewertung Fa This sample is malicious final severity level 4 Anmerkungen e McAfee Advanced Threat Defense unterst tzt YARA Regeln erst ab McAfee Advanced Threat Defense Version 3 2 0 e McAfee Advanced Threat Defense 3 2 0 unterst tzt lediglich YARA Version 1 0 Entsprechend werden alle im YARA Benutzerhandbuch der Version 1 0 dokumentierten Funktionen unterst tzt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 273 6 Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung e Wenn McAfee Advanced Threat Defense als Cluster eingerichtet ist verwendet jeder Knoten seinen eigenen separaten Satz von YARA Regeln Das bedeutet da
88. auf McAfee Advanced Threat Defense 3 2 0 xx erfolgt als zweistufiger Prozess Sie aktualisieren die McAfee Advanced Threat Defense Benutzeroberfl che und die McAfee Advanced Threat Defense Systemsoftware separat Stellen Sie daher sicher dass Sie von Ihrem Client Computer aus auf die Dateien ui 3 2 0 X msu und system 3 2 0 x msu zugreifen k nnen e Sie verf gen ber die Anmeldeinformationen um sich als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung anzumelden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM Sie verfugen uber die Anmeldeinformationen um sich mit SSH bei der McAfee Advanced Threat Defense CLI anzumelden Sie verfugen uber die Anmeldeinformationen fur das SFTP der McAfee Advanced Threat Defense Appliance Fur den admin Benutzerdatensatz wahlen Sie auf der Seite Benutzerverwaltung die Option Allow Multiple Logins Mehrere Anmeldungen zulassen aus Mithilfe der McAfee Advanced Threat Defense Web Anwendung k nnen Sie das McAfee Advanced Threat Defense Software Image auf das Sie aktualisieren m chten importieren Vorgehensweise 1 F hren Sie ein Upgrade der Benutzeroberfl che der McAfee Advanced Threat Defense Web Anwendung durch a b W hlen Sie Verwalten Software Verwaltung aus Klicken Sie auf Durchsuchen und w hlen Sie die Datei ui 3 2 0 X msu auf Ih
89. aus und klicken Sie Zeitzone w hlen unter Time zone Setting Zeitzoneneinstellung auf Senden Die standardm ig eingestellte Zeitzone ist Pacific Time Senden Bei Auswahl dieser Option werden Ihre Anderungen in den entsprechenden Abschnitten der Seite Date and time settings Datums und Uhrzeiteinstellungen implementiert und ebenfalls in der Datenbank gespeichert Wenn Sie fur Network Time Protocol auf Senden klicken wird eine Erfolgsmeldung angezeigt Sobald Sie fur diese Meldung auf OK klicken berpr ft McAfee Advanced Threat Defense ob die angegebenen NTP Server erreichbar sind und aktualisiert fur jeden NTP Server denStatus s Cheching Status Sie m ssen in allen betreffenden Abschnitten einzeln aufSenden klicken Wenn Sie beispielsweise Anderungen an der NTP Serverliste vornehmen und au erdem die Zeitzone ndern m ssen Sie sowohl unter Network Time Protocol als auch unter Time zone Setting Zeitzoneneinstellung auf Senden klicken Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung YARA ist ein regelbasiertes Tool zur Identifizierung und Klassifizierung von Malware Sie k nnen mithilfe von McAfee Advanced Threat Defense Ihre eigenen YARA Regeln zur Malware Identifizierung und Klassifizierung erstellen Sie k nnen also Ihre eigenen Malware Beschreibungen in McAfee Advanced Threat Defense importieren Dar ber hinaus haben Sie die M glichkeit mithilfe der McAfee Advanced Threa
90. ausgew hlt wird wird nach dem Upgrade dessen Verbindung zum Cluster getrennt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Funktionsweise des Advanced Threat Defense Clusters Prozessablauf f r Network Security Platform Stellen Sie sich ein Szenario vor in dem sich ein Sensor zwischen den Endpunkten in Ihrem Netzwerk und dem Internet befindet Dieser Sensor ist in ein Advanced Threat Defense Cluster integriert das aus 3 Advanced Threat Defense Appliances besteht N Manager e Les Endpunkte Prim re McAfee ATD Sekund re McAfee ATD Sekund re McAfee ATD McAfee ATD Cluster Abbildung 8 3 Network Security Platform integriert in ein Advanced Threat Defense Cluster Nummer Beschreibung 1 Die Endpunkte versuchen Dateien aus dem Internet herunterzuladen Die Inline Uberwachungsports erkennen diese Aktivit t 2 F r eine gegebene Datei h lt der Sensor die Weiterleitung des letzten Pakets an den Endpunkt zur ck und bermittelt gleichzeitig die Dateipakete an die prim re Advanced Threat Defense zur Analyse Zu diesem Zweck nutzen der Sensor und die prim re Advanced Threat Defense ihre Verwaltungsports 3 Wenn die gesamte Datei bei der prim ren Advanced Threat Defense Appliance ist verteilt diese die Datei an eine der Appliances im Cluster Angenommen die Datei wird an eine sekund re Advanced Threat Defense Appliance gesen
91. by File Name McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 315 7 Analysieren von Malware Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Top 10 Malware by Threat Name In diesem Monitor sehen Sie die zehn schadlichsten in Ihrem Netzwerk erkannten Malware Dateien nach Bedrohungsnamen Top 10 Malware by Threat Name x X e RDN BackDoor FCFDia PWSZbot FFAIC25BD433622E ZeroAccess F BEI26619E4645A9 A amisM58C1DIDIFFC Artemis D66740065452 Win32 Suspicious RON Generic PWS ylb2m W32 Sality genz Artemis 0944054461F6 Artemis DE 140948 1 Abbildung 7 22 Top 10 Malware by Threat Name Dieser Monitor verf gt Uber eine Drilldown Funktion Wenn Sie mit dem Mauszeiger auf einen bestimmten Balken klicken 6ffnet Advanced Threat Defense die Seite Analysis Results Analyseergebnisse auf der die Datens tze nach dem gewahlten Balken sortiert angezeigt werden Files Analyzed by Engine In diesem Monitor sehen Sie den Schweregrad und die Anzahl der von der GAM der GTI und dem Sandkasten analysierten Dateien Files Analyzed by Engine wX l GAM GTI Sandbox o 20 40 60 80 400 Abbildung 7 23 Files Analyzed by Engine Dieser Monitor verf gt ber eine Drilldown Funktion Wenn Sie mit dem Mauszeiger auf einen bestimmten Balken klicken ffnet Advanced Threat Defense die Seite Analysis Results Analyseergebnisse auf der die Datens tze nach dem gew hlten Balken sortiert ange
92. certain programs and set defai 3 Suchen Sie nach pdf und doppelklicken Sie darauf W hlen Sie Adobe Reader 9 0 als Standard PDF Reader aus Click on an extension to view t Reader How do you want to open Microsoft Corporation y pe y Keep using Reader Adobe Reader 9 0 222 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 46 Laden Sie zum Analysieren von JAR Dateien Java Runtime Environment herunter und installieren Sie die Anwendung In diesem Beispiel wird Java 7 Update 25 verwendet ORACLE Jena provides sele and secure access to the world of amazing Jess conter From business solutions to helphd uites and entertainment Jess makes our internet exgenenge come to lite Note No personal infonmestion ts gathered as par of our install process Dick here for more intonation on whatwe do collect Click Install to accepi he license agreement and install Jena now Change destination holder Cancel install gt Schritt 47 Offnen Sie Java in der Systemsteuerung Flash Player 32 bit Center Notification rea Icons tion and Tools e Personalization Programs and Features Schritt 48 Deaktivieren Sie auf der Registerkarte Update die Option Automatisch nach Updates suchen The Java Update mechanism ensures y version of the Java platform The opti update
93. computer User Name Group 1 Adminsstrator Administrators Users Password for Administrator To change your password press Ctl An Del and select Change a Password Lox Jl come ac Schritt 30 F hren Sie im e Benutzername Geben Sie Administrator ein Popupfenster Automatische Anmeldung die folgenden Schritte aus und klicken Sie dann auf OK e Kennwort Geben Sie cr cker42 ein e Kennwort best tigen Geben Sie cr cker42 erneut ein User Account 7 Automatically Log On N User name You can set up your computer so that users do not have to type a user name and parsarord to log on To do this specify a user that wall be automatically logged on below Administrator Password are re Confirm Password Schritt 31 Laden Sie Sigcheck von der Seite http technet microsoft com en us sysinternals bb897441 aspx auf Ihren Computer den nativen Host herunter Auf der von Ihnen erstellten VM ist die Windows Firewall deaktiviert AuBerdem ist kein Virenschutz installiert Daher wird empfohlen die Programme und Komponenten zuerst auf den nativen Host herunterzuladen und dann auf die VM in VMware Workstation zu kopieren Schritt 32 Extrahieren Sie sigcheck zip an folgendem Speicherort C WINDOWS system32 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 33 Nav
94. dann zur weiteren On Demand Verteilung fur Clients mit Abonnement an den McAfee DXL Broker gesendet McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 259 6 Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse Integration in Data Exchange Layer Im folgenden Diagramm wird die Integration von Advanced Threat Defense und McAfee DXL beschrieben Proben Proben Proben Analysebericht f r PE Dateien Analysebericht f r PE Dateien Abbildung 6 5 Advanced Threat Defense Integration von Data Exchange Layer Konfigurieren der Data Exchange Layer Integration Vorgehensweise 1 Wahlen Sie Verwalten ePO Login DXL Setting ePO Anmeldung DXL Einstellung Die Seite McAfee ePO wird angezeigt ePO User Credentials Enable ePO Login Login ID Password IP Address Port Number Submit Test ePO Login DAL Setting Test Connection DXL Status DOWN Apply 2 Geben Sie die Details in die entsprechenden Felder ein Siehe Konfigurieren der McAfee ePO Integration auf Seite 258 Konfigurieren der McAfee ePO Integration 260 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse 6 Integration in McAfee Next Generation Firewall Klicken Sie auf Verbindung testen Wird die Meldung Test connection is successful Testverbindung erfolgreich angezeigt klicken Sie auf OK Gehen Sie im Bereich DXL Setting DXL Einstellung w
95. der Registerkarte Update die Option Automatisch nach Updates suchen Click the Update Now button below to check for updates An icon will appear in the system tay if an update E available Move the cursor McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 183 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 46 Wahlen Sie im Dialogfeld Java Update Warnung die Option Nicht berpr fen und klicken Sie dann in der Java Systemsteuerung auf OK You have chosen to stop automatically checking for updates and will miss future security updates We ginongly recommend letting Java perodcaly check for reer versions nenn re wou hire the most secure and fastest lava experience Check any Schritt 47 Geben Sie im Windows Dialogfeld rn CCE Ausf hren msconfig ein i Type the name of a program folder document or Internet resource and Windows will open it for you Open msconfig This task will be created with administrative privileges Lom concer Browns Schritt 48 Navigieren Sie im Systemkonfigurationsprogramm zur Registerkarte Start laca 10 aha SE At Li y E progran Al HELMIECFTA ARE J romi Oie P Microsoft Corp COPROGRA Z C Programists Mic _ 7 F Erab e sl De all Deaktivieren Sie alle Eintr ge und klicken Sie auf OK Schritt 49 Aktivieren Sie im Dialogfeld Systemkonfigur
96. der prim re Knoten die Datei dem n chsten Knoten in der Warteschlange zu ATD ID ATD ID Dies ist ein systemgenerierter Ganzzahlwert zur Identifizierung der Knoten in einem Cluster Der prim re Knoten generiert diesen eindeutigen Wert und weist ihn den Knoten im Cluster zu Diese ID wird in der Verzeichnisstruktur links unter Analysis Status Analysestatus und Analysis Results Analyseergebnisse auf dem prim ren Knoten angezeigt Hiermit k nnen Sie den Knoten identifizieren der eine bestimmte Probe analysiert hat Die Eindeutigkeit der ATD ID basiert auf der IP Adresse eines Knotens wie sie in der Datenbank des prim ren Knotens gespeichert ist Beachten Sie dass drei Knoten im Cluster vorhanden sind Entfernen Sie den sekund ren Knoten mit ATD ID 2 aus dem Cluster und f gen Sie ihn erneut dem Cluster hinzu Anschlie end wird dieser sekund re Knoten derselben ATD ID 2 zugewiesen wenn die folgenden Bedingungen erf llt sind e Sie haben die IP Adresse der ETH 0 Schnittstelle des Knotens Verwaltungsanschluss nicht ge ndert e Die Datenbank des prim ren Knotens hat weiterhin einen Datensatz f r die IP Adresse des sekund ren Knotens IP Adresse Die IP Adresse des Verwaltungsports des Knotens McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Tabelle 8 1 O
97. die Fahigkeit einer Malware Erkennung und Entfernung zu umgehen Security Solution Mechanism Bypass Termination and Removal Anti Debugging VM Detection Dies ist die Fahigkeit einer Malware Erkennungsmethoden und module zu umgehen oder in die Irre zu f hren Einige Malware verf gt ber einen Anti Disassembly Code der zu Verwechslungen oder Verz gerungen bei der Malware Analyse f hren kann Einige Malware Programme versuchen festzustellen ob sie in einer Sandkastenumgebung ausgef hrt werden Wenn ja w hlen sie m glicherweise einen anderen Ausf hrungspfad Dieser Faktor weist auf das Vorhandensein eines solchen Codes in der Malware hin Spreading Dies ist die F higkeit einer Malware sich im Netzwerk zu verbreiten Exploiting Shellcode Dies zeigt das Vorhandensein von Shell Code an der ein ausgef hrtes Programm ausnutzen kann Networking Dies zeigt das netzwerkbezogene Verhalten der Malware w hrend der dynamischen Analyse an Die Malware k nnte beispielsweise DNS Abfragen ausgel st oder Sockets erstellt haben Wenn f r dieses Merkmal ein Schweregrad angegeben ist wird dieser mit den Netzwerkdetails f r die Dateien in der Probe abgeglichen Data Spying Sniffing Keylogging Ebanking Fraud Dies zeigt an ob die Malware zu Datenspionage Sniffing Keylogging oder Online Banking Betrug f hig ist McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 303 304 Analysieren v
98. die Konfiguration und die Einsendung von Dateien virtuell mit der IP Adresse des Clusters verkn pft ist Wenn Sie Network Security Platform Web Gateway und Email Gateway in die sekund ren Knoten integrieren funktionieren diese Knoten wie eigenst ndige McAfee Advanced Threat Defense Appliances Ist ein Sicherungsknoten im Cluster vorhanden dann m ssen diese integrierten Produkte mit der Cluster IP Adresse konfiguriert werden Die Integration eines McAfee Advanced Threat Defense Clusters in Email Gateway wird ab Version 3 4 2 unterst tzt e Sollte der prim re Knoten ausfallen bernimmt der Sicherungsknoten Der Sicherungsknoten muss sich im selben L2 Netzwerk befinden wie der prim re Knoten e Benutzer k nnen den Analysestatus und die Analyseergebnisse aller Knoten im Cluster ber den aktiven Knoten d h den prim ren oder den Sicherungsknoten sehen Netzwerkverbindungen f r ein Advanced Threat Defense Cluster Abbildung 8 1 Beispiel f r die Bereitstellung eines Advanced Threat Defense Clusters McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 323 8 Clustering von McAfee Advanced Threat Defense Appliances Netzwerkverbindungen f r ein Advanced Threat Defense Cluster Manager NSM MWG NTP DNS ePO t Via Internetzugriff fur Proben Advanced Threat Defense Prim r Se o Router ETHO 10 10 10 10 24 ETH 1 20 20 20 20 24 SZ Router L2 Switch L2 Switch
99. die aktuelle McAfee Advanced Threat Defense Version 3 2 0 xx lautet e Vergewissern Sie sich dass die android 4 3 msu extrahiert ist und Sie vom Client Computer aus Zugriff darauf haben e Sie verf gen ber die Anmeldeinformationen um sich als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung anzumelden e Sie verf gen ber die Anmeldeinformationen um sich mit SSH bei der McAfee Advanced Threat Defense CLI anzumelden e Sie verf gen ber die Anmeldeinformationen fur das SFTP der McAfee Advanced Threat Defense Appliance e Fur den admin Benutzerdatensatz wahlen Sie auf der Seite Benutzerverwaltung die Option Allow Multiple Logins Mehrere Anmeldungen zulassen aus Mit der McAfee Advanced Threat Defense Web Anwendung k nnen Sie ein Upgrade der Android Analyse VM auf Version 4 3 durchf hren Vorgehensweise 1 Melden Sie sich mithilfe eines FTP Clients wie FileZilla bei der McAfee Advanced Threat Defense Appliance an Melden Sie sich als der Benutzer atdadmin an 2 Laden Sie die Datei android 4 3 msu ber SFTP in das Stammverzeichnis von McAfee Advanced Threat Defense hoch Stellen Sie sicher dass die Ubertragung im Bin rmodus erfolgt 3 Melden Sie sich nach dem Hochladen der Datei als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung an und wahlen Sie Verwalten Software Verwaltung McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 55 4 Verwalten v
100. e Angeben von Proxy Einstellungen fur den Datenverkehr von Global Threat Intelligence auf Seite 262 e Festlegen der Malware Website Proxy Einstellungen fur Malware Datenverkehr auf Seite 263 Angeben von Proxy Einstellungen fur den Datenverkehr von Global Threat Intelligence Vorgehensweise 1 Wahlen Sie Verwalten Proxy Einstellungen Auf der Seite Proxy Einstellungen wird der Abschnitt GTI HTTP Proxy angezeigt Proxy Settings GTI HTTP Proxy User Name matd Password un Proxy IP Address Port Number 8080 Submit Test Abbildung 6 6 Seite Proxy Einstellungen Zum Aktivieren dieser Option muss die Option GTI File Reputation GTI Datei Reputation unter Analyze Options Analyseoptionen aktiviert sein 2 Geben Sie im Bereich GTIHTTP Proxy die entsprechenden Informationen in die jeweiligen Felder ein Optionsname Beschreibung Enable Proxy Proxy W hlen Sie die Verbindung von McAfee Advanced Threat Defense mit aktivieren einem Proxy Server f r den Internetzugriff aus Benutzername Geben Sie den Benutzernamen an den McAfee Advanced Threat Defense f r die Proxy Internetverbindung verwenden soll Kennwort Geben Sie das entsprechende Kennwort an Proxy IP Address Geben Sie die IPv4 Adresse des Proxy Servers ein Proxy IP Adresse Portnummer Geben Sie die Portnummer des Proxy Servers f r eingehende Verbindungen ein Testen Klicken Sie auf diese Schaltfl che um zu berpr fen ob McAfee
101. entsprechenden Analyseprofil aktiviert haben In diesem Abschnitt wird der yWorks yEd Graph Editor verwendet um zu erkl ren wie die GML Datei zu verwenden ist Sie m ssen im yEd Graph Editor zun chst den Routing Stil festlegen Wenn Sie dies einmal getan haben wird die Einstellung f r die k nftige Verwendung gespeichert 1 Wahlen Sie im yEd Graph Editor Layout Hierarchical Hierarchisch aus 2 Wahlen Sie im Dialogfeld Incremental Hierarchic Layout Inkrementell hierarchisches Layout die Registerkarte Edges Kanten aus und wahlen Sie aus der Dropdown Liste Routing Style Routing Stil Polyline Hilfslinie aus a Incremental Hierarchic Layout Routing Style Polyline Backloop Routing E Backloop Routing For Selfloops Automatic Edge Grouping E Minimum First Segment Length Minimum Last Segment Length Minimum Length Minimum Edge Distance Minimum Slope 0 0 Port Constraint Optimization FM Straighten Edges Abbildung 7 13 Konfigurieren des Routing Stils im yEd Graph Editor 3 Klicken Sie auf OK 306 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse Wenn Sie die Datei lt file name gt _logicpath gml im yEd Graph Editor ffnen k nnten Sie am Anfang viele rechteckige Kastchen sehen die sich Uberlappen oder ein einzelnes rechteckiges Kastchen wie im folgenden Beispiel Y viest32_logicpsthugmil yEd File Edit View Layout Tools Group
102. erstellt und ge ffnet haben In der Spalte Ebene wird der Schweregrad jeder Datei basierend auf der dynamischen Analyse angegeben e DOVO gibt einen Schweregradfaktor von O und die Bedrohungsstufe Information an Dies ist der Schweregrad f r als sicher klassifizierte Dateien e DODOL gibt einen Schweregradfaktor von 1 und eine sehr niedrige Bedrohungsstufe an e DOODO gibt einen Schweregradfaktor von 2 und eine niedrige Bedrohungsstufe an 490000 _ gibt einen Schweregradfaktor von 3 und eine mittlere Bedrohungsstufe an e OOO gibt einen Schweregradfaktor von 4 und eine hohe Bedrohungsstufe an e 16000 0 gibt einen Schweregradfaktor von 5 und eine sehr hohe Bedrohungsstufe an Klicken Sie auf einen Dateinamen um zu dem Abschnitt des Berichts zu navigieren der Details zum Verhalten der Datei enth lt Beim Klicken auf einen Dateinamen springen Sie also zu Abschnitt 7 der obigen Abbildung 5 Abschnitt Classification Threat Score auf Seite 303 Dieser Abschnitt enth lt die individuellen Faktoren der unterschiedlichen Merkmale einer typischen Malware 300 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse Tabelle 7 7 Abschnitte des Ubersichtsberichts der Analyse Fortsetzung Element Beschreibung 6 Abschnitt Dynamic Analysis Dynamische Analyse Dieser Abschnitt gibt den Prozentsatz des ausgefuhrten Dateicodes an Be
103. f r den FTP Server auf der McAfee Advanced Threat Defense Appliance e Benutzer mit Zugriffsberechtigung f r die REST APIs der McAfee Advanced Threat Defense Web Anwendung Vorgehensweise 1 Wahlen Sie Verwalten Benutzerverwaltung Neu Die Seite Benutzerverwaltung wird angezeigt User Credentials Password Rules i Username nsp Minimum 8 characters long o di mn At least 1 uppercase character ia At least 1 number At least 1 special character 2 amp Confirm Password Cannot be a5 same 35 username User Type STAND_ALONE v STAND_ALONE M Allow Multiple Logir NSP User Details MWG First and Last Name MEG NGFW Company Email Phone Address State Country Default Analyzer Profile M Roles FTP Result Output E Admin User Y Web Access Remote IP Protocol ftp N 7 Restful Access Y FTP Access Path F Sample Download User Name Password Access Abbildung 4 3 Hinzuf gen von Benutzern 2 Geben Sie die entsprechenden Informationen in die jeweiligen Felder ein 40 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Verwalten von McAfee Advanced Threat Defense Benutzern Optionsname Beschreibung Benutzername Kennwort Dies ist der Benutzername f r den Zugriff auf die McAfee Advanced Threat Defense Web Anwendung den FTP Server oder die REST APIs Dies ist das Standardkennwort das Sie dem Benutzer zuweisen m
104. fest die als prim rer Knoten dienen soll Alle anderen Advanced Threat Defense Appliances werden als sekund re Knoten eingestuft Nach der Definition des Clusters k nnen Sie den prim ren Knoten nur noch ndern wenn Sie das gesamte Cluster neu definieren Auch der Sicherungsknoten kann nach dessen Hinzuf gung nicht mehr ge ndert werden au er er wird aus dem Cluster entfernt Bedenken Sie bei der Festlegung des prim ren Knotens Folgendes e Verwenden Sie zum Senden von Dateien und Verwalten der Konfiguration die IP Adresse des prim ren Knotens e Produkte wie Network Security Platform Web Gateway und Email Gateway m ssen mit der IP Adresse des prim ren Knotens integriert werden Da Ergebnisse und Berichte ber den prim ren Knoten abgerufen werden ist eine Verbindung zwischen den integrierten Produkten und den sekund ren Knoten nicht obligatorisch Ab Version 3 4 2 ist die Cluster IP der Verbindungspunkt f r die integrierten Produkte wenn der Benutzer sich f r die Konfiguration eines Sicherungsknotens entscheidet McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 331 332 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte 8 9 e Stellen Sie sicher dass die Analyse VMs und die VM Profile in allen Knoten identisch sind Wenn Sie eine Analyse VM hinzuf gen oder ein VM Profil hinzuf gen andern oder l schen m ssen l sen Sie d
105. gung e Klicken Sie auf Produktdokumentation um Dokumentation f r Produkte zu finden e Klicken Sie auf Technische Artikel um KnowledgeBase Artikel aufzurufen 3 W hlen Sie Meine Filter nicht l schen aus 4 Geben Sie ein Produkt ein und wahlen Sie die Version aus Klicken Sie dann auf Suchen um eine Liste der gewunschten Dokumente anzuzeigen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Malware Erkennung und McAfee Advanced Threat Defense Malware hat sich ber die Jahre hinweg zu einem hochentwickelten Tool fur b sartige Aktivit ten darunter Diebstahl wertvoller Informationen Zugriff auf Computerressourcen ohne Ihr Wissen und St rung des Gesch ftsbetriebs entwickelt Gleichzeitig sorgt der technische Fortschritt daf r dass unbeschr nkte M glichkeiten zur Verteilung b sartiger Dateien an ahnungslose Benutzer zur Verf gung stehen Die Malware Erkennung wird aufgrund der hunderttausend t glich auftretenden neuen Malware Varianten zu einem immer komplexeren Unterfangen Herk mmliche Malware Schutztechniken reichen zum Schutz Ihres Netzwerks nicht mehr aus McAfees Antwort auf diese Herausforderung ist die McAfee Advanced Threat Defense L sung Dabei handelt es sich um eine lokale Appliance die die Erkennung und Vermeidung von Malware erleichtert McAfee Advanced Threat Defense sch tzt sowohl vor bekannter Malware als auch vor Zero Day Bedrohungen und vor Malware die bald nach dem Ver ffentlichungsdatum eine
106. hlen eines Datentr gers joo ol Machine Wizard sz die Option Create a new virtual disk E a _ Neuen virtuellen Datentr ger Select a Deck Which disk do you want fo use Disk Create anew virtua disk A virtual disk is composed of one or mare fies on the host fle system whidh vall appear as a single hard disk to the guest operating system Wrtual disks can easily be copied or moved on the same host or between hosts Lite an ewig virtual disk Choose thie option to reise a previqusly configured disk Lise a physical disk for advanced teers Choose this apiion ba give the virtual machine direct access bo a local hard Hep pack text gt came McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 14 Geben Sie die Details im Fenster Angeben der Speicherkapazit t an und klicken Sie auf Next Weiter Details e Maximum disk size GB Maximale Datentr gergr e in GB Geben Sie 5 GB an e Wahlen Sie Allocate all disk space now S mtlichen Speicherplatz jetzt Zuweisen e Wahlen Sie Store virtual disk as a single file Virtuellen Datentrager als einzelne Datei speichern Mew Virtual Machine Wizard us specify Disk Capacity How large do you want this disk i
107. hren wenn Sie dazu aufgefordert werden e SchlieBen Sie Windows Explorer McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 153 154 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 37 Deaktivieren Sie 1 W hlen Sie Start Systemsteuerung Windows Update Einstellungen ndern Windows Updates 2 F hren Sie auf der Seite Einstellungen ndern die folgenden Schritte durch a W hlen Sie unter Wichtige Updates die Option Nie nach Updates suchen nicht empfohlen b Deaktivieren Sie die Kontrollk stchen unter Empfohlene Updates Wer kann Updates installieren Microsoft Update Benachrichtigungen ber Software Choose how Windows can install updates een your computer N onina Wand oe can serra ia ey check for mpertar updaber amc natal Hem Beng hee setings When res updeber pre ave you can abo mill them hefcre thutong down bre campaia boy dpr pigri apathy Pep me reportar updates y hese check for upisi no recommended T Recommended updates DRE AE penado pines Thee ee il E Pa ude Who can install updates Allow all paar de lal updabes on Pis cormpubel Misco Lips Gre rre updaten for Microso H producte and check for new opten Meceoucft sofhvars when Upoete Winds Schwere mcblicatecns Sosa me detailed pobhicabons when nes Mrccott schwere is een la ble Kate Wiindesa Update might update maah automaticaly fit when checking for other updates
108. hrung aktiver Inhalte in Dateien auf dem lokalen Computer McAfee Advanced Threat Defense 3 4 2 zulassen aus Intemet Options Sr General Security Privacy ee Settings i Printing Print background colors and images Go not submit unknown addresses to your auto search pri Just display the results in the main window amp security Allow active content from CDs to run on My Computer UR low actve content to run in files on My Computer Allow software to run or instal even if the signature is inv 5 Klicken Sie auf OK Produkthandbuch 185 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 51 Um eine 1 Rufen Sie http get adobe com de flashplayer otherversions Flash Datei SWF dynamisch auf zu analysieren installieren Sie die erforderliche Version von 2 W hlen Sie gem Ihren Anforderungen ein Betriebssystem und Adobe Flash eine Flash Player Version in den Dropdown Menis Schritt 1 und diesen ae wie Schritt 2 aus siehe unten Flash Player 14 3 Klicken Sie auf Jetzt herunterladen verwendet Adobe Flash Player Optional offer Terms amp conditions ths 4 Yes want to try the free Lightroom 5 By clicking the Download now button you Be x uA j trial and learn how to make good shots acknowledge that you have read and agree D as us great Add to my download tothe Adobe Software Licensing Agreement bay N RN
109. ikry Dis mt heas di bra EN hare I Friri LETTES q sach army A Pump Rat Ether ed 5 paing Fersen Lis ori re jal Terr Plaga rar Check la ade McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 43 Laden Sie zum Analysieren von JAR Dateien Java Runtime Environment herunter und installieren Sie die Anwendung ORACLE In diesem Beispiel wird Welcome to Java Gi Java 7 Update 25 verwendet Jews prowides sele and secure access to tha word of amezng Jae conter From business solutions to helpful wilites and entertainment Jess makes our internet espenence come to hte Mote Mo personal information is gathered os par of our install process Dick here for more information on whetwe do collect Click Install to accepi he license agreement and install Jena now Change desinator folie Cancel rectal gt Schritt 44 Offnen Sie Java in der Systemsteuerung Owe El Control Panel Programs Control Panel Home al Programs ans BBP panoan Network and Internet Hardware and Sound e Default Progr Change default s Programs Make a file type a User Accounts and Family Safety i r Desktop Gadi Appearance and Add gadgets to t Personalization Restore desktop Clock Language and Region 4 Java 32 bit 3 Ease of Access Schritt 45 Deaktivieren Sie auf
110. in der McAfee Advanced Threat Defense Web Anwendung Analyse Analysis Status Analysestatus zum berwachen des Status der hochgeladenen Dateien 286 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Analysieren von URLs Analysieren von URLs Ahnlich dem Senden einer Datei kann in dieser Version auch eine URL an Advanced Threat Defense zur Analyse bermittelt werden Advanced Threat Defense analysiert die URL in einer Analyse VM die durch das Benutzerprofil festgelegt wird und meldet die Ergebnisse der Dateianalyse Advanced Threat Defense verwendet nur die lokale Blacklist und die dynamische Analyse f r die heruntergeladene Datei AuBerdem wird die McAfee GTI Reputation der URL gemeldet Auch das Verhalten des Browsers beim Offnen einer URL wird hinsichtlich b sartiger Aktivit ten analysiert Gehen Sie zum Senden von URLs wie folgt vor e Laden Sie die URL manuell ber die Advanced Threat Defense Web Anwendung hoch e Verwenden Sie die REST APIs der Advanced Threat Defense Web Anwendung zum Hochladen der URLs Siehe Advanced Threat Defense RESTful APIs Reference Guide Referenzhandbuch zu Advanced Threat Defense REST APIs Bosartige Websites enthalten blicherweise mehrere Typen von Malware Wenn ein Benutzer die Website ffnet wird diejenige Malware heruntergeladen die die entsprechenden Schwachstellen des Endgerats angreifen kann Sie k nnen mehrere Analyse VMs mit jeweils unterschiedlichen Be
111. l scht alle Analyseberichte fur eine Datei Syntax deletesamplereport lt md5 gt Parameter Beschreibung lt md5 gt Der MD5 Wert der Datei fur die Sie alle Berichte in McAfee Advanced Threat Defense l schen m chten Beispiel deletesamplereport c0850299723819570b793f6e81ce0495 diskcleanup Verwenden Sie diesen Befehl um einige der alteren Analyseberichte zu l schen wenn nur noch wenig Festplattenspeicher auf McAfee Advanced Threat Defense verf gbar ist Syntax diskcleanup Dieser Befehl hat keine Parameter dxistatus Verwenden Sie diesen Befehl um den DXL Status zu bestimmen Syntax dxlstatus Dieser Befehl hat keinen Parameter Unter Verwendung dieses Befehls werden die folgenden Informationen angezeigt lt DXL STATUS gt Stats 2 DISAB RED DXL Channel Status DOWN Sample Files Received Count 0 Sample Files Published Count 0 Sample Files Queued Count 0 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 351 9 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle docfilterstatus Mithilfe des Befehls docfilterstatus soll eine unn tige Belastung des Sandkastens durch MS Office 2007 Word und Excel Dateien die frei von verdachtigen Inhalten sind verhindert werden Mit diesem Befehl kann der heuristische Filter fur MS Office 2007 Word und Excel Dateien aktiviert oder deaktiviert werden Verwenden Sie den Befehl Anzeigen um den aktuellen Status zu bes
112. ls Mote Mo personal informs on is gethered os part of our install process ick here for more informma orn on shat we do collect Click Install to accept he license agreement and install Jen a now Cancel Change desina or lolas tal gt Schritt 44 Offnen Sie Java in der Systemsteuerung Owe A Control Panel Programs Control Panel Home al en ant IWF Uninstall a progra System and Security in LIE a Network and Internet Hardware and Sound Default EINER Change default s e Programs Make a file type a User Accounts and Farnily e be Appearance and mu Personalization Restore desktop Clock Language and Region 4 Java 32 bit n l Ease of Access Schritt 45 Deaktivieren Sie auf der Registerkarte Update die Option Automatisch nach Updates suchen SRA version of the Java platform The options below let you control how Before downloading Notify Me advanced Cid the Update Now button below to check for updates An icon will appear in the system tray if an update e avalable Move the cursor over the icon to see the status of the update 158 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 46 Wahlen Sie im Dialogfeld Java Update Warnung die Option Nicht berpr fen und klicken Sie dann in der Java Systemsteuerung auf OK
113. lt Name gt ein um den Namen der McAfee Advanced Threat Defense Appliance festzulegen D Geben Sie die Werte zwischen den Zeichen lt gt ein ohne lt gt einzugeben Beispiel set appliance name matd appliance 1 Der Name der McAfee Advanced Threat Defense Appliance kann eine Zeichenfolge von bis zu 25 alphanumerischen Zeichen sein Die Zeichenfolge muss mit einem Buchstaben beginnen und darf Bindestriche Unterstriche und Punkte enthalten aber keine Leerzeichen 32 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Einrichten der McAfee Advanced Threat Defense 6 Zum Festlegen der Verwaltungsport IP Adresse und Subnetzmaske der McAfee Advanced Threat Defense Appliance geben Sie set appliance ip lt A B C D gt lt E F G H gt ein Geben Sie eine 32 Bit Adresse an die als vier 8 Bit Zahlen durch Punkte getrennt geschrieben ist Beispiel lt A B C D gt wobei A B C und D eine 8 Bit Zahl zwischen O und 255 darstellen lt E F G H gt steht fur die Subnetzmaske Beispiel set appliance ip 192 34 2 8 255 255 255 0 Nach dem erstmaligen Festlegen oder einer Anderung der IP Adresse muss die McAfee Advanced Threat Defense Appliance neu gestartet werden 7 Geben Sie die Adresse des Standard Gateways ein set appliance gateway lt A B C D gt Verwenden Sie die gleiche Konvention wie fur den Befehl set appliance ip Beispiel set appliance gateway 192 34 2 1 8 Legen Sie di
114. nicht A A A A j lUmp anzeigen und klicken Sie auf O provide Computer informatio j severe Schlie en me m LAA Leal Parra Lia laa A erfuhr corr ore zen harr ct late his Serves li dara eo Aird ere Ju zn a ed ar E A E Zaid a AA z bad dos pd ES Customize This Serv H Cabe rha ind ia E Sol rira ais a isa kiitti A 1 Boles gy mi er Dar Schritt 20 Halten Sie die Installation von VMware Tools il vitware Tools Setup Pole be an Die VMware Tools sind mit McAfee Advanced Threat Defense nicht kompatibel Wenn Sie die Installation von VMware Tools nicht angehalten haben k nnen Sie dennoch mit A der VMDK Dateierstellung I i matallation fortfahren Das Programm muss aber deinstalliert sein sobald die VMDK Datei bereit ist Schritt 21 Wenn das Fenster Server Manager angezeigt wird A w hlen Sie Diese Konsole bei der de o Anmeldung nicht mehr anzeigen und schlie en Sie das Fenster ld Aa er rt a Fe A rl eed rn T reer ey D ie iy eher de Cr en Pen aP Virs Fii ira di a ah del rr er Eres er Som Geren nimi E o to rie Peral 8 Condes ice bi hei Fin bem Fihi 5 co rer nen un 4 Je CD ue VO IA Conger eo 172 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 22 Fuhren Sie die folgenden Schritte aus 2 Wahlen Sie im Fenster Lokaler
115. nschen entsprechend auf der Seite Date and Time Settings Datums und Uhrzeiteinstellungen festlegen McAfee Advanced Threat Defense verwendet Ihre Einstellungen zu Datum und Uhrzeit f r alle Funktions und Anzeigezwecke Datum und Uhrzeit der Benutzeroberflachen Berichte Protokolldateien und CLI der McAfee Advanced Threat Defense Web Anwendung richten sich nach Ihren Einstellungen von Datum und Uhrzeit Beispielsweise der Zeitstempel der Seiten Analysis Status Analysestatus und Analysis Results Analyseergebnisse richtet sich nach dem Datum und der Uhrzeit das bzw die Sie konfiguriert haben Sie k nnen Datum und Uhrzeit entweder manuell angeben oder die Network Time Protocol Server NTP als Quelle f r McAfee Advanced Threat Defense konfigurieren Sie k nnen bis zu drei Network Time Protocol Server NTP Server konfigurieren wenn Sie NTP Server angeben McAfee Advanced Threat Defense dient in diesem Fall als NTP Client und wird mit dem NTP Server mit der h chsten verfugbaren Prioritat synchronisiert e Die Synchronisierung mit NTP Servern ist in McAfee Advanced Threat Defense standardm ig aktiviert pool ntp org ist ebenfalls als Standard NTP Server konfiguriert Die standardmaBig eingestellte Zeitzone ist Pacific Standard Time UTC 8 e Wenn Sie ein Upgrade von einer vorhergehenden Version durchfuhren ohne die Option Datenbank zur cksetzen zu aktivieren werden die Datums und Uhrzeiteinstellungen der vorherigen installierte
116. oder FileZilla 2 Stellen Sie mithilfe der folgenden Anmeldeinformationen eine Verbindung zum FTP Server auf McAfee Advanced Threat Defense her e Host IP Adresse von McAfee Advanced Threat Defense e Benutzername atdadmin e Kennwort atdadmin e Port die Portnummer f r das Protokoll das Sie verwenden m chten 3 Laden Sie die VMDK Datei vom lokalen Computer in McAfee Advanced Threat Defense hoch Konvertieren der VMDK Datei in eine Image Datei Bevor Sie beginnen e Sie haben die VMDK Datei auf McAfee Advanced Threat Defense hochgeladen e Sie verf gen ber Administratorberechtigungen in McAfee Advanced Threat Defense Vorgehensweise 1 W hlen Sie in der McAfee Advanced Threat Defense Web Anwendung Verwalten Image Management Image Verwaltung 2 Klicken Sie auf der Seite Image Management Image Verwaltung auf die VMDK Datei die Sie ber das Dropdown Men VMDK Image VMDK Image importiert haben 230 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Konvertieren der VMDK Datei in eine Image Datei 3 Benennen Sie die Image Datei Der Name muss aus 1 bis 20 Zeichen bestehen und darf keine Leerzeichen enthalten Enth lt der Name der Image Datei ein Leerzeichen schl gt die Konvertierung in die Image Datei fehl F r die Malware Analyse ben tigen Sie m glicherweise mehrere Analyse VMs die auf demselben Betriebssystem aber mit verschiedenen Anwendungen laufen B
117. primare Advanced Threat Defense verteilt solche Dateien unter den Mitgliedern nach dem Round Robin Verfahren Samtliche Kommunikation zwischen den Mitgliedern in einem Cluster erfolgt Uber deren Verwaltungsports Angenommen die Datei wird an eine sekundare Advanced Threat Defense zur Analyse gesendet Die sekund re Advanced Threat Defense gibt die Auftrags ID und die Task ID an den primaren Knoten zuruck und beginnt mit der Analyse der Datei Der primare Knoten wiederum gibt die Auftrags ID und die Task ID an Web Gateway zur ck 330 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Nummer Beschreibung 6 F r die Analyseberichte stellt Web Gateway eine Anfrage an den prim ren Knoten mit der Task ID Anhand der Task ID erkennt der prim re Knoten die Advanced Threat Defense die die Datei analysiert hat und ruft aus dieser die Berichte ab 7 Als Antwort auf die Anfrage von Web Gateway leitet die prim re Advanced Threat Defense die Berichte weiter 8 Auf Grundlage des Berichts von Advanced Threat Defense l sst Web Gateway die Datei zu oder blockiert sie 9 Die Sicherungs Advanced Threat Defense bernimmt die Rolle der prim ren Advanced Threat Defense wenn die eigentliche prim re Advanced Threat Defense ausf llt Hinweise Wenn Web Gateway eine Anfrage nach einem
118. products workstation workstation evaluation herunter und installieren Sie das Programm McAfee empfiehlt Version 9 oder 10 e Stellen Sie sicher dass Sie ber ein ISO Image von Windows 8 32 Bit oder 64 Bit verf gen fur das Sie die VMDK Datei erstellen mussen Nur Windows 8 Pro wird unterstutzt Bei diesem Vorgang wird Windows 8 Pro englische Version als Beispiel verwendet e Stellen Sie sicher dass Sie ber alle notwendigen Informationen basierend auf Ihrem Lizenztyp verf gen um das Betriebssystem zu aktivieren Sie m ssen erst das Betriebssystem aktivieren bevor Sie die VMDK Datei in McAfee Advanced Threat Defense importieren k nnen Gehen Sie wie nachfolgend beschrieben vor um VMDK Dateien von einem ISO Image von Windows 8 Pro 32 oder 64 Bit zu erstellen Schritt Details Schritt 1 Starten Sie VMware Workstation In diesem Beispiel wird VMware Workstation 10 verwendet Schritt 2 W hlen Sie auf der VMware Workstation Seite Datei New Virtual Machine Neuer virtueller Computer Eile Edit View VM Tabs Help LP Hi New Virtual Machine New Window Open Close Tab Connect to Server Virtualize a Physical Machine Export to OVF Map Virtual Disks Exit Ctrl N Ctrl O Ctrl W Cirl L To McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 3
119. und berwacht ihr Verhalten hinsichtlich b swilliger Aktivit ten Diese VM wird als Analyse VM bezeichnet In diesem Kapitel werden die Schritte zum Erstellen einer Analyse VM und des VM Profils beschrieben Jede Sicherheitssoftware bzw jedes einfache Dienstprogramm auf einer Analyse VM kann zu Konflikten mit der dynamischen Analyse der Probedatei f hren Die Ausf hrung der Probedatei selbst kann w hrend der dynamischen Analyse abgebrochen werden Aufgrund dessen k nnten die Berichte nicht das gesamte Verhalten der Probedatei erfassen Wenn Sie das vollst ndige Verhalten der Probedatei ermitteln m chten sollten Sie das Betriebssystem der Analyse VM mit keinem Patch versehen und keine Sicherheitssoftware darauf installieren Wenn Sie die Auswirkung der Probedatei speziell auf Ihr Netzwerk ermitteln m chten verwenden Sie Ihr COE Common Operating Environment Image mit der regul ren Sicherheitssoftware um die Analyse VMs zu erstellen Die Hauptschritte zum Erstellen einer Analyse VM und des VM Profils sind wie folgt 1 Erstellen Sie ein ISO Image des entsprechenden Betriebssystems Sie m ssen au erdem ber den Lizenzschl ssel f r das Betriebssystem verf gen Um beispielsweise eine Analyse VM f r Windows 7 zu erstellen m ssen Sie ber ein ISO Image von Windows 7 und den Lizenzschl ssel verf gen F r das Erstellen der Analyse VMs werden nur die folgenden Betriebssysteme unterst tzt e Microsoft Windows XP 32 Bit Service
120. verf gbaren Ergebnisse bereit anstatt die Datei erneut zu analysieren Dasselbe Ergebnis wird auch in McAfee Advanced Threat Defense angezeigt Konfigurationseinstellung min file size 2048 Mindestdateigr e Sie k nnen f r von Sensoren gesendete PDF Dateien eine Mindestdateigr e angeben Kleinere Dateien werden dann nicht von McAfee Advanced Threat Defense analysiert Durch das Herausfiltern kleinerer PDF Dateien wird die Belastung f r McAfee Advanced Threat Defense gesenkt Die Standard Dateigr e betr gt f r von Sensoren gesendete PDF Dateien 2 KB Die Funktion Re Analyze Erneut analysieren wird auf alle von Sensoren unterst tzten Dateitypen angewendet w hrend der heuristische Filter und die Mindestdateigr e nur f r von Sensoren gesendete PDF Dateien gelten Verwenden Sie den Befehl Festlegen um die heuristische Analyse f r von einem Sensor gesendete Dateien zu aktivieren oder zu deaktivieren Syntax set heuristic analysis lt enable gt lt PDF minimum file size in bytes gt Syntax set heuristic analysis lt disable gt Der Befehl set heuristic analysis wird nicht ausgef hrt wenn gerade eine Analyse VM erstellt wird McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 355 356 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Beispiel ohne Mindestdateigr e set heuristic analysis enable Wenn Sie dieses Beispiel ausfuhren werden die folgenden Ei
121. vor dem Start der VM angezeigt W Ansy Con oie Accents Monita Feten Po er ept 8 ot Sita a 7 Mote The certificate is not va and cannot be used to verify the identty of fus webste More Informaton cone Ce Abbildung 5 9 Warnmeldung Do you want to run this application An unsigned application from the location below is requesting permission to run Location http Haha Running this application may be a security risk More Information Select the box below then dick run to start the application 4 1 accent the risk and want to run this app Do not show this again for this app Abbildung 5 10 Warnmeldung Nachdem Sie die Warnmeldungen bestatigt haben startet die VM ir au Abbildung 5 11 In einem Popupfenster angezeigte VM 236 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Verwalten von VM Profilen 4 Nachdem die VM hochgefahren ist fahren Sie sie herunter und schlie en Sie das Popupfenster Abbildung 5 13 SchlieBen des Popupfensters McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 237 5 Erstellen einer Analyse VM Verwalten von VM Profilen 5 Klicken Sie auf Uberpriifen Image validation is in progress Check status R Image w n2k3sp1_withoutPDF img Wr Mame wir 2 k 35p with Out P F Description Windows 2003 Server SP 1 English without a zn m m PRE Reader Default Profile Maximum Licens
122. werden Diese Protokolle sind f r den McAfee Support gedacht McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 59 4 Verwalten von Advanced Threat Defense Fehlerbehebung Vorgehensweise 1 Klicken Sie auf der Seite Fehlerbehebung auf Protokolldateien um die Systemprotokolle herunterzuladen und auf Diagnostic File Diagnosedatei um die Diagnoseprotokolle herunterzuladen 2 Zum Download der sonstigen Informationen und Protokolle klicken Sie auf Supportpaket geben Sie die Ticketnummer ein und klicken Sie auf OK LEY MS Troubleshooting HTTP Proxy Setting System Lag DNS Setting Date and Time Setting Abbildung 4 8 Erstellung eines Supportpakets McAfee Advanced Threat Defense sammelt die erforderlichen Informationen Unten im Browser wird eine Meldung angezeigt Sp ter wird eine Option zum Speichern der lt ticket number gt tgz Datei angezeigt 3 Stellen Sie dem McAfee Support folgende Dateien zur Verf gung e Systemprotokolle atdlogs bin e Diagnoseprotokolle atdcore bin e Sonstige Protokolltypen lt ticket number gt tgz Neuerstellen der Analyse VMs Wahrend der dynamischen Analyse k nnen Proben einige der Analyse VMs beschadigen Diese Analyse VM Instanzen sind daher eventuell nicht fur weitere Analysen verfugbar Unter diesen Umstanden k nnen Sie alle bestehenden Analyse VMs l schen und neu erstellen Alle bestehenden Analyse VMs einschlieBlich der Standard Android VM und der fehlerfreien O Ana
123. with very large disks hp Back bext Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 16 Vergewissern Sie o sich dass im Fenster Specify Disk ic ol Machine Wizard Ta file Datentragerdatei angeben standardm ig Specify Disk File virtualMachinelmage vmd k Per angezeigt wird und klicken Sie auf Next Weiter Disk Fle i One 5 68 dick file will be created using the fle name provided here Wenn Sie unter Virtual Machine name Name des virtuellen Computers einen anderen vr tualMachinelmage vmdk Browse Namen angegeben haben wird dieser hier angezeigt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 81 82 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 17 Fuhren Sie folgende Schritte im Fenster Ready to Create Virtual Machine Bereit zur Erstellung des virtuellen Computers aus Details e Power on this virtual machine after creation Diesen virtuellen Computer nach der Erstellung einschalten W hlen Sie diese Option e Klicken Sie auf Finish Fertig stellen Dieser Schr
124. 0000 Erweiterung Z 13 Komprimierte RAR Archivdatei mit der 200 10000000 Erweiterung rar 14 Komprimierte Microsoft Cabinet Archivdatei mit der 200 10000000 Erweiterung cab Wenn ein Benutzer z B die Mindestdateigr e einer JPEG Bilddatei in 300 Byte ndern m chte wird durch den Befehl set filesizes 7 300 1000000 0 die Mindestdateigr e fur JPEG Bilddateien in 300 Byte ge ndert set fips Aktiviert oder deaktiviert den FIPS Modus Dieser Befehl hat keine Parameter Starten Sie die McAfee Advanced Threat Defense Appliance neu wenn Sie den FIPS Modus aktivieren oder deaktivieren Syntax set fips lt enable gt lt disable gt set ftp Wenn Sie Dateien zur Analyse mit einem FTP Client hochladen oder wenn Sie eine VMDK Datei in McAfee Advanced Threat Defense importieren um eine Analyse VM zu erstellen verwenden Sie SFTP da FTP standardm ig nicht unterst tzt wird Sollten Sie jedoch FTP fur diese Aufgaben bevorzugen k nnen Sie FTP aktivieren Syntax set ftp lt enable gt lt disable gt In der Standardeinstellung ist FTP deaktiviert 364 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Beispiel set ftp enable Siehe auch show ftp auf Seite 368 set heuristic_analysis Siehe heuristic_analysis auf Seite 354 set appliance gateway Dieser Befehl legt die IPv4 Adresse des Gateways fur die McAfee Advanced Threat Defense Appl
125. 1 x Number of ganes per processor 1 Total procersor core i Help lt Back Next gt Cancel 166 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server als Speicher fest Schritt Details Schritt 10 Legen Sie im Fenster Memory for the Virtual _ New Virtual Machine Wizard Bis Machine Speicher fur den virtuellen Computer 3 072 MB Memory for the Virtual Machine How much memory would you ik to use for this virtual machine Speofy the amount of memory alocated to this virtual machine The memory ste Schritt 11 Ubernehmen Sie im Fenster Network Type Netzwerktyp die Standardauswahl must be a multiple of 4 MB 4 GE Memory for his virtual machine 31072 MB 3 Ga 1 GE 6 GE rE p 468 L u Maximum recommended memory 108 gt a 5952 MB 108 lt 517 MB E Recommended memory 1235 HE fl HA O Guest OS recommended minimum i 4B 1024 MB 16 HB EME HB Help lt Back Next gt Cancel New Virtual Machine Wizard Keiwork Type What type of network do you wart bo acid Wee bridged networking nebrork The guest must have its own P address on the extemal neiwark a a a ey Give the Quest operating system access to the host computer s dial up or external Ethernet nebwork cormection using the hosts IP ackress Use fpost only networking Connect the guest
126. 2 SFTP Nein Zugriff auf den FTP Server auf FTP Client Threat Defense McAfee Advanced Threat Defense Sensor McAfee Advanced TCP 8505 Nein Kommunikationskanal Threat Defense zwischen einem Sensor und McAfee Advanced Threat Defense Manager McAfee Advanced TCP 443 Nein Kommunikation zwischen dem Threat Defense HTTPS Manager und McAfee Advanced Threat Defense ber die REST APIs McAfee McAfee ePO TCP 8443 Ja Hostdatenabfragen Advanced Threat Defense McAfee tunnel message TCP 443 Nein Datei Reputations Abfragen Advanced trustedsource HTTPS Threat Moje Defense McAfee List TCP 80 HTTP Nein URL Aktualisierungen Advanced smartfilter Threat com Defense Beliebig McAfee Advanced TCP 2222 SSH Nein CLI Zugriff SSH Client Threat Defense McAfee wpm webwasher TCP 443 Nein Aktualisierungen fur McAfee Advanced com HTTPS Gateway Anti Malware Engine Threat und McAfee Anti Malware Defense Engine Einrichten der McAfee Advanced Threat Defense In diesem Kapitel wird beschrieben wie die McAfee Advanced Threat Defense Appliance eingerichtet wird damit Sie sie konfigurieren k nnen Inhalt gt Montieren und Entfernen von Rackgriffen gt Installieren oder Entfernen der Appliance aus dem Rack Einschalten der McAfee Advanced Threat Defense Appliance Umgang mit der Frontblende gt Verbinden des Netzwerkkabels gt Konfigurieren der Netzwerkinformationen f r die McAfee Advanced
127. 24 5000000 Microsoft DOS 11 Flash Datei mit der Erweiterung swf 1024 5000000 12 Komprimierte 7 Zip Archivdatei mit der 200 10000000 Erweiterung 7Z 13 Komprimierte RAR Archivdatei mit der 200 10000000 Erweiterung rar 14 Komprimierte Microsoft Cabinet Archivdatei mit der 200 10000000 Erweiterung cab show fips Zeigt an ob FIPS derzeit aktiviert oder deaktiviert ist Dieser Befehl hat keine Parameter Syntax show fips show ftp Verwenden Sie diesen Befehl um zu erfahren ob FTP derzeit aktiviert oder deaktiviert ist In der Standardeinstellung ist FTP deaktiviert Syntax show ftp Siehe auch set ftp auf Seite 364 show history Dieser Befehl ruft eine Liste der in der Sitzung benutzten CLI Befehle auf Syntax show history 368 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Dieser Befehl hat keine Parameter show heuristic_analysis Siehe heuristic_analysis auf Seite 354 show intfport Dieser Befehl zeigt den Status des angegebenen Schnittstellen oder Verwaltungsports von McAfee Advanced Threat Defense an Syntax show intfport lt mgmt gt lt 1 gt lt 2 gt lt 3 gt Zu den Informationen die durch den Befehl show intfport angezeigt werden zahlen Angabe ob der Administrationsstatus aktiviert oder deaktiviert ist Verknupfungsstatus des Ports Geschwindigkeit des Ports Angabe ob der Port auf Halb oder Vollduplex einge
128. 2d_avrc_aih exe Publisher Adobe Systems Incorporated Tyoe Application From C Users Milabhi Downloads install Hashpleperl fan Cam F Always aak before opening thia fila Zu While flea from the htemet can be use a this file type can de potentially ham your computer Only run sofware from publishers you trust What s the dgk 6 Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Ja McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 103 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Py User Account Control Do you want to allow the following program to make i m gt changes to this computer Program name Adobe Flash Player Installer Verified publisher Adobe Systems Incorporated File origin Hard drive on this computer V Show details No Change when these notifications appear 7 Wahlen Sie Ihre Aktualisierungsoption und klicken Sie auf WEITER Adobe Flash Player Installer a et mm ee wwe p Update Flash Player Preferences Security updates and enhancements are periodically released for Adobe Flash Player that can be downloaded and installed automatically IMPORTANT Your update options have recently changed Choose your update option O Allow Adobe to install updates recommended Notify me to install updates Never check
129. 3 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt md 67 Um eine Flash Datei SWF dynamisch zu analysieren laden Sie die erforderliche Version von Adobe Flash herunter In diesem Beispiel wird Flash Player 14 verwendet Details 1 Rufen Sie http get adobe com de flashplayer otherversions auf 2 Wahlen Sie gem Ihren Anforderungen ein Betriebssystem und eine Flash Player Version in den Dropdown Men s Schritt 1 und Schritt2 aus siehe unten 3 Klicken Sie auf Jetzt herunterladen Adobe Flash Player Optional offer Terms amp conditions vjs 4 Yes want to try the free Lightroom 5 By clicking the Download now button you Es ES LS ui Be trial and learn how to make good shots acknowledge that you have read and agree E eS great Add to my download tothe Adobe Software Licensing Agreement 24 tS NN N E Em ia Step EEX 4 si he ete gt Ba Windows 7 Vista XP 2008 2003 v Me Adobe Photoshop en Lightroom Flash Player 14 for Other Browsers v Leam more System requirements Note Your antivirus software must allow you to install software If your operating system browser combination is not displayed Total size 182 MB click here for older versions of Adobe Flash Player 4 Doppelklicken Sie in der unteren Ecke Ihres Bildschirms auf die Installationsdatei fur Adobe Flash Player install_flashp
130. 4 meta Classification 32 Description CUSTOM yara test create remove directory Severity 4 Abbildung 6 11 Metadaten einer benutzerdefinierten YARA Regel a Geben Sie optional den Klassifizierungswert f r die YARA Regel ein Die Klassifizierung meint die Malware Klassifizierungskategorie zu der die Verhaltensregel geh rt Verwenden Sie die folgenden Informationen um den Klassifizierungswert zu berechnen Klassifizierung Wert Persistence Installation Boot Survival 1 Hiding Camouflage Stealthiness Detection und Removal Protection 2 Security Solution Mechanism Bypass Termination and Removal Anti Debugging VM 4 Detection Spreading 8 Exploiting Shellcode 16 Networking 32 Data Spying Sniffing Keylogging Ebanking Fraud 64 Beispiel Wenn eine YARA Regel eine Malware beschreibt die Spreading Wert 8 Installation Boot Survival Wert 1 und Networking Wert 32 versucht hat lautet das Klassifizierungsergebnis insgesamt 8 1 32 41 b Geben Sie die Beschreibung f r die Regel ein die in den Analyseberichten angezeigt wird Dynamic Analysis Custom YARA Rule Description that you entered as metadata im the rule O Hid cc Custom TARA Rule Name O Created conf O Alloca create O Created named mutex object D amp D Initial m m mie om Abbildung 6 12 Name und Beschreibung der benutzerdefinierten YARA Regel in den Berichten c Geben Sie einen Schweregrad fur das von de
131. 6 NIC 1 derzeit nicht verwendet 7 NIC 2 derzeit nicht verwendet 8 RJ 45 Anschluss seriell 9 Anschl sse Buchsen f r E A Modul nicht verwendet 10 Add In Adapter Slots von Riser Card 11 RMM4 NIC Anschluss 12 Stromversorgungsmodul 2 13 Stromversorgungsmodul 1 14 Add In Adapter Slots von Riser Card Hardware Spezifikationen und Umgebungsanforderungen Eigenschaften ATD 3000 ATD 6000 Abmessungen e 438 B x 43 2 H x 734 66 L mm e 438 B x 87 3 H x 712 L mm e 43 82 B x 4 32 H x 73 66 L cm e 43 78 B x 8 71 H x 71 12 L cm Formfaktor 1HE Rack Montage fur 2HE Rack Montage fur 19 Zoll Geh use 19 Zoll Gehause Gewicht 15 kg 22 7 kg Speicher e Festplattenspeicher HDD 2x4 TB e Festplattenspeicher HDD 4 x 4 TB e SSD 2 x 400 GB e SSD 2 x 800 GB Maximaler 2x 750 W 2x 1 600 W Energieverbrauch McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 25 26 Einrichten der McAfee Advanced Threat Defense Appliance Hardware Spezifikationen und Umgebungsanforderungen Eigenschaften ATD 3000 ATD 6000 Redundante Stromversorgung Wechselstrom redundant im laufenden Betrieb austauschbar Wechselstrom redundant im laufenden Betrieb austauschbar Wechselspannung 100 240 V bei 50 60 Hz 5 8 A 100 240 V 50 60 Hz 8 5 A Betriebstemperatur 10 C bis 35 C wobei die Anderungsgeschwindigkeit maximal 10 C pro Stunde betragt 10 C bis 35 C wobei die Anderun
132. 88 Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 32 Wahlen Sie im Fenster Einstellungen des Virtual Machine Settings o virtuellen Computers den Eintrag CD DVD IDE aus Hardware Device Summary de Memory 1GB J Processors 1 E Hard Disk IDE 5 GB Preallocated CD OVD IDE Auto detect je Network Adapter MAT USB Controller Present dh Sound Card Auto detect Printer Present Display Auto detect Schritt 33 Navigieren Sie im Feld Use ISO image file o ISO Image Datei verwenden i zum ISO Image das Sie ee verwendet haben und klicken Auto detect Er x Sie auf OK a Use 150 image file C 01_WorkMATDIMATD 3 0 2 Browse Schritt 34 Klicken Sie im Fenster Willkommen bei Microsoft Windows XP auf Beenden Welcome to Microsoft Windows XP YO What do you want to do gt Install Windows XP gt Learn more about the setup process gt Install optional Windows components n pP gt Perform additional tasks gt Check system compatibility McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 35 Wahl
133. Advanced Threat Defense 3 4 2 Produkthandbuch 239 240 Erstellen einer Analyse VM Verwalten von VM Profilen Sie k nnen den Fortschritt mithilfe der folgenden Methoden berwachen e Wahlen Sie Dashboard aus und berpr fen Sie den Monitor VM Creation Status VM Erstellungsstatus VM Creation Status VM Creation Status e Wahlen Sie Richtlinie VM Profil aus um den Status mit dem entsprechenden VM Profil zu vergleichen mE 5 2136 ME YA creation a im pregress Um die Systemprotokolle im Zusammenhang mit der VM Erstellung anzuzeigen wahlen Sie Verwalten Systemprotokoll aus 8 Um die erfolgreiche Erstellung des VM Profils zu bestatigen wahlen Sie Richtlinie Analyseprofil aus und berpr fen Se ob das erstellte VM Profil im Dropdown Men VM Profil aufgef hrt ist Analyzer Profile Name Description VM Profile w android Automatically Select Q win2k3spl win splx64 Fl Enable win2k3s5p2 Bearbeiten von VM Profilen Bevor Sie beginnen Zum Bearbeiten eines VM Profils m ssen Sie dieses entweder erstellt haben oder eine Administratorbenutzerrolle haben Vorgehensweise 1 W hlen Sie Richtlinie VM Profil Die verfugbaren VM Profile werden aufgef hrt 2 Wahlen Sie den gew nschten Datensatz aus und klicken Sie auf Bearbeiten Die Seite VM Profil wird angezeigt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Anzeigen des VM Erstellungsprotokolls
134. Advanced Threat Defense 3 4 2 Produkthandbuch 51 4 Verwalten von Advanced Threat Defense Upgrade von McAfee Advanced Threat Defense und Android VM 6 Eine Bestatigungsmeldung wird angezeigt Klicken Sie auf OK Status bd st be upload 2 System Software file was validated successfully Installation will start shortly 104 msu OK Die Systemsoftware wird installiert und der Status wird im Browser angezeigt Login ID Password zu Status L j Installation is in progress Please wait D Die Installation der Systemsoftware dauert mindestens 20 Minuten 7 Nachdem die Software installiert wurde startet die McAfee Advanced Threat Defense Appliance neu Eine entsprechende Meldung wird angezeigt Die Appliance startet eigenst ndig neu Die angezeigte Meldung dient nur zu Ihrer Information Status E j The system is going down for reboot now D Wenn Sie diese Meldungen nicht sehen k nnen l schen Sie den Browser Cache 8 Warten Sie bis die McAfee Advanced Threat Defense Appliance gestartet wurde Melden Sie sich bei der CLI an und berpr fen Sie die Softwareversion 9 berpr fen Sie die Version in der McAfee Advanced Threat Defense Web Anwendung 52 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM 10 Melden Sie sich bei der Web Anwendung an und berpr fen Sie auf der Seite Systemprotok
135. Advanced Threat Defense von McAfee ePO Hostdaten f r eine bestimmte IP Adresse erh lt werden diese im Cache zwischengespeichert e Die fur die Hostdaten zwischengespeicherte IP Adresse hat einen TTL Wert Time to Live Wert Gultigkeitsdauer von 48 Stunden e Wahrend der ersten 24 Stunden verwendet McAfee Advanced Threat Defense nur die Hostdaten aus dem Cache e W hrend der zweiten 24 Stunden also von 24 bis 48 Stunden verwendet McAfee Advanced Threat Defense die Hostdaten aus dem Cache und fragt McAfee ePO ab um den Cache zu aktualisieren Diese aktualisierten Daten gelten fur die nachsten 48 Stunden e Wenn die zwischengespeicherten Daten alter als 48 Stunden sind reagiert das System so als waren keine zwischengespeicherten Daten fur die IP Adresse vorhanden Das bedeutet dass es versucht die Informationen von anderen Quellen abzufragen und es sendet auch eine Abfrage an McAfee ePO Nachfolgend wird beschrieben wie McAfee Advanced Threat Defense mit McAfee ePO zusammenarbeitet 1 Network Security Platform oder McAfee Web Gateway sendet eine Datei zur Analyse an McAfee Advanced Threat Defense Beim Senden einer Datei durch Network Security Platform wird auch die IP Adresse des Zielhosts gesendet 2 McAfee Advanced Threat Defense berpr ft den eigenen Cache um herauszufinden ob der IP Adresse ein g ltiges Betriebssystem zugeordnet ist 3 Wenn diese Datei zum ersten Mal f r diese IP Adresse analysiert wird gibt es keine
136. Allerdings k nnen Sie die Image Dateien einer VMDK Datei mehrfach konvertieren Dadurch k nnen Sie mehrere Image Dateien aus einer VMDK Datei erstellen 234 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Verwalten von VM Profilen Vorgehensweise 1 Wahlen Sie Richtlinie VM Profil Neu Die Seite VM Profil wird angezeigt Image w Validate Activate win sp1 x64 img Mame nXPsp3 1mg Descnpbon android img Default Profile y Maxornurn Licenses Cancel Abbildung 5 7 Auswahlen der Image Datei 2 Wahlen Sie im Dropdown Men Image die Image Datei aus fur die Sie das VM Profil erstellen m chten 3 Klicken Sie auf Aktivieren um die VM von der ausgew hlten Image Datei zu erstellen e Wenn Sie auf Aktivieren klicken wird die VM in einem Popupfenster ge ffnet Vergewissern Sie sich daher dass der Popupblocker Ihres Browsers deaktiviert ist e Dies hat nichts mit der Windows Aktivierung von Microsoft zu tun Sie m ssen erst die Windows Aktivierung abschlie en bevor Sie die VMDK Datei mithilfe von FTP oder SFTP in McAfee Advanced Threat Defense importieren k nnen In einem Fortschrittsbalken wird die VM Erstellung angezeigt nn Connecting to WM dc Abbildung 5 8 Fortschritt der VM Erstellung McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 235 5 Erstellen einer Analyse VM Verwalten von VM Profilen Abhangig von Ihren Browsereinstellungen werden Warnmeldungen
137. Analysis Status Analysestatus Vorgehensweise 1 Wahlen Sie Analyse Analysis Status Analysestatus aus Auf der Seite Analysis Status wird der Status der eingesendeten Dateien angezeigt Analysis Status Analysis Status Last 24 hours v Refresh every 1 minute Analysis Results Samples C Case Sensitive Search By Search Manual Upload imitted Time Status File Name User VM Profile Analyzer Profile MDS 4 10 24 11 08 33 MDT Completed AdbeRdrUpd11009_incr msp nsp Below minimu 2DC1C6AB937C52 4 10 24 11 08 33 MDT Completed 2dc1c6ab937c5221c3ff0c719b5c5eSd nsp Below minimu 2DC1C6AB937C52 4 10 24 11 07 10 MDT Completed surefire booter 2 16 jar nsp File type nots F75BBOF2D75CDEF 4 10 24 11 07 10 MDT Analyzing maven plugin annotations 3 2 jar nsp winXPsp3 Analyzer Profile 1 BEAD7FF75948592 4 10 24 11 07 10 MDT Completed surefire booter 2 16 jar nsp File type not s F75BBOF2D75CDEF 4 10 24 11 07 10 MDT Analyzing bead7ff759485924df2257ea048d6385 nsp winXPsp3 Analyzer Profile 1 BEAD7FF75948592 4 10 24 11 07 08 MDT Completed am_engine_patch1_e54b94a9ea73dd nsp winXPsp3 Analyzer Profile 1 374CE8F08FAE319 11 07 07 MDT Completed nsp winXPsp3 Analyzer Profile 1 374CE8FO8FAE319 4 10 24 11 06 57 MDT Analyzing maven surefire plugin 2 16 jar nsp winXPsp3 Analyzer Profile 1 364CDA98D192CDI Abbildung 7 9 Status der zur Analyse eingesendeten Dateien Wenn Sie keine Administratorberechtigungen haben werden nur die von Ihnen eingesendeten
138. Android VM ist die Standard VM f r alle ATD Installationen Inhalt Erstellen einer VMDK Datei f r Windows XP Erstellen einer VMDK Datei f r Windows 2003 Server Erstellen einer VMDK Datei f r Windows 7 Erstellen einer VMDK Datei f r Windows 2008 Server Erstellen einer VMDK Datei f r Windows 8 Importieren einer VMDK Datei in McAfee Advanced Threat Defense Konvertieren der VMDK Datei in eine Image Datei Verwalten von VM Profilen Anzeigen des VM Erstellungsprotokolls Erstellen einer VMDK Datei f r Windows XP Bevor Sie beginnen Laden Sie VMware Workstation 9 0 oder h her von der Seite http www vmware com products workstation workstation evaluation herunter und installieren Sie das Programm Stellen Sie sicher dass Sie ber ein ISO Image von Windows XP SP2 oder SP3 verf gen f r das Sie die VMDK Datei erstellen m ssen Nur Windows Professional wird unterst tzt Stellen Sie sicher dass Sie Uber den Lizenzschlussel f r das Betriebssystem verf gen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 73 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Schritt Schritt 1 Starten Sie VMware Workstation Details In diesem Beispiel wird VMware Workstation 10 verwendet Schritt 2 Wahlen Sie auf der VMware Workstation Seite File Datei New Virtual Machine Neuer Eile Edit
139. Aufrufsequenzen e Eine Adresse die der ungef hren Aufrufadresse entspricht von der der DLL API Aufruf ausgef hrt wurde e Optionale Eingabe und Ausgabeparameter und R ckgabewert f r wichtige System DLL API Aufrufe e Im Folgenden sind die Dateien aufgef hrt die die dynamischen Ausf hrungsprotokolle enthalten Alle Dateien sind in der ZIP Datei lt sample name gt enthalten e lt sample name gt ntv txt Diese Datei enth lt die Windows Zw Version der nativen Systemdienst API Aufrufsequenz w hrend der dynamischen Analyse Der API Name beginnt meist mit Zw wie in ZwCreaterile e log zip e dump zip e dropfiles zip e networkdrive zip Herunterladen der vollst ndigen Ergebnisse als ZIP Datei McAfee Advanced Threat Defense liefert eine detaillierte Analyse f r jede gesendete Probe Alle verf gbaren Berichte f r eine analysierte Probe sind in einer ZIP Datei enthalten die Sie aus der McAfee Advanced Threat Defense Web Anwendung herunterladen k nnen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse Vorgehensweise 1 Wahlen Sie Analyse Analysis Results Analyseergebnisse aus 2 Klicken Sie auf der Seite Analysis Results Analyseergebnisse auf und w hlen Sie Complete Results Vollstandige Ergebnisse aus Laden Sie die ZIP Datei lt sample_name gt an den gewunschten Speicherort herunter Die ZIP Datei enthalt die Berichte fur jede Analyse Di
140. Boot Services Startup Tools To manage startup items use the Startup s 3 Klicken Sie auf Task Manager ffnen 4 Wenn Java TM Update Scheduler jusched aufgef hrt ist w hlen Sie es aus und klicken Sie auf Deaktivieren 5 Wenn Adobe Acrobat SpeedLauncher reader_sl aufgef hrt ist w hlen Sie es aus und klicken Sie auf Deaktivieren File Options View Processes Performance App hetorny Startup Users Details Services Publicher Status Oracle Corporation Disabled Adobe Syiters Incorpo Enabled m Videare Tools Core Service haare Imc Enabled X gt A Fewer details Disable 6 Aktivieren Sie im Dialogfeld Systemkonfiguration das Kontrollk stchen Diese Meldung nicht mehr anzeigen und klicken Sie auf Neu starten McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 225 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details You may need to restart your computer to apply these changes Don t show this message again 226 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 51 Offnen Sie den Standard Browser und richten Sie ihn fur Malware Analysen ein In diesem Beispiel wird Internet Explorer verwendet 1 Stellen Sie sicher dass der Popupblocker ausgeschaltet ist Wahlen Sie in Internet Explorer Extr
141. Confirm Password AE DK Cancel Schritt 35 Laden Sie Auf der von Ihnen erstellten VM st die Windows Firewall deaktiviert Sigcheck von der Seite AuBerdem ist kein Virenschutz installiert Daher wird empfohlen die http Programme und Komponenten zuerst auf den nativen Host technet microsoft com herunterzuladen und dann auf die VM in VMware Workstation zu en us sysinternals kopieren bb897441 aspx auf Ihren Computer den nativen Host herunter Schritt 36 Extrahieren Sie sigcheck zip an folgendem Speicherort C WINDOWS system32 Select a Destination and Extract Files Files will be extracted to this folder Ci Windowsi Systems Show extracted files when complete McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 217 218 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 37 Navigieren Sie in Windows Explorer zu C WINDOWS system32 und doppelklicken Sie auf sigcheck exe Applicatio Home Share View Mana T Je t Computer Local Disk 1 Name m sigcheck signdry dll Er sigverit r Favorites UN Desktop m Downloads L EN F Recent places Schritt 38 Klicken Sie im Sigcheck License Agreement Sigcheck Lizenzvertrag auf Agree Ich stimme zu Nach dem Klicken auf Agree Ich stimme zu wird keine Best tigungsmeldung angezeigt CAWindows System32 sigcheck exe You can
142. DFRedirdd pdf File Size 57 KB MDS ae832bb52d781f4e7 28388831b898f13 Mime Type application pat Abbildung 7 3 Meldung zu erfolgreichem Hochladen der Datei 6 Klicken Sie im Dialogfeld File successfully uploaded Datei erfolgreich hochgeladen auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 283 7 Analysieren von Malware Analysieren von Dateien 7 Sie m ssen zur Seite Analysis Status Analysestatus wechseln um mit der Probe zu interagieren Klicken Sie daher im Meldungsfeld User Interactive Mode Interaktiver Benutzermodus auf OK und wahlen Sie Analyse Analysis Status Analysestatus aus User Interactive Mode Please go to Analysis Status page to interact with the sample Abbildung 7 4 Meldung User Interactive Mode Interaktiver Benutzermodus Auf der Seite Analysis Status Analysestatus wird die Schaltflache X Mode in der Spalte Status fur den entsprechenden Datensatz angezeigt Samples Case Sensitive 542 Subritted Tena ier Status Fila Haren WA Profile Analycer Prof 2014 02 24 21122146 PST admin X Mode POFR edri por sinKPsp Wina PErgizhi 2014 02 24 21 15 45 PST admin Completed FOFRedr z pol Bins Fapa AaPOZS Test 2014 00 24 21115127 PST admin Completed FOEFRedr l p sinKkPsp3 APO 2 Testy Abbildung 7 5 X Mode auf der Seite Analysis Status Analysestatus 8 Klicken Sie auf der Seite Analysis Status Analysestatus fur den entsprechenden Datensatz auf X Mode Ein Popupfenster wird auf Ihrem Com
143. Dateien angezeigt Ein Benutzer mit Administratorberechtigungen kann von allen Benutzern eingesendete Dateien sehen 290 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Konfigurieren der Seite Analysis Status Analysestatus 2 Wahlen Sie aus der Dropdown Liste die Kriterien zum Anzeigen und Aktualisieren des Status der analysierten Dateien aus e Legen Sie die Kriterien zum Anzeigen von Datens tzen auf der Seite Analysis Status Analysestatus fest Das Standardintervall f r die Aktualisierung betr gt 1 Minute e Legen Sie das Zeitintervall f r die Aktualisierung der Seite Analysis Status Analysestatus fest Standardm ig werden die Ergebnisse der letzten 24 Stunden angezeigt Sie k nnen diese Kriterien basierend auf Zeit oder Anzahl festlegen Beispielsweise k nnen Sie den Status von Dateien anzeigen die in den letzten 5 Minuten eingesendet wurden oder den der letzten 100 Proben D Um die Seite Analysis Status Analysestatus jetzt zu aktualisieren klicken Sie auf Lied 3 Filtern Sie die angezeigten Datens tze um diejenigen zu finden nach denen Sie suchen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 291 7 Analysieren von Malware Konfigurieren der Seite Analysis Status Analysestatus Tabelle 7 4 Filteroptionen Option Beschreibung Search Suche Geben Sie den Parameter an den Sie zum Filtern der Datensatze verwenden mochten Klicken Sie auf Search Suche und
144. Daten im Cache Die Analyse VM wird deshalb im Fall von Network Security Platform uber die Gerateprofilinformationen und im Fall von McAfee Web Gateway uber den Benutzerdatensatz ermittelt Gleichzeitig wird eine Abfrage nach den Hostdaten fur die IP Adresse an McAfee ePO gesendet 4 McAfee ePO leitet die Hostdaten an McAfee Advanced Threat Defense weiter wo sie zur zukunftigen Verwendung im Cache zwischengespeichert werden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 257 258 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Integration in McAfee ePO Konfigurieren der McAfee ePO Integration Durch Integration in McAfee ePO kann McAfee ePO Informationen zum auf dem Zielhost installierten Betriebssystem und Browsern sammeln McAfee Advanced Threat Defense verwendet diese Informationen um die beste Analyse VM fur die dynamische Analyse auszuwahlen Vorgehensweise 1 Wahlen Sie Verwalten ePO Login DXL Setting ePO Anmeldung DXL Einstellung Die Seite ePO Login DXL Setting ePO Anmeldung DXL Einstellung wird angezeigt Abbildung 6 4 McAfee ePO Integration McAfee ePO ePO User Credentials Enable ePO Login Login ID Password IP Address Port Number Submit Test ePO Login DAL Setting Test Connection DXL Status DOWN McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Integration in Data Exchange Layer 2 Geben Sie d
145. Datensicherung wiederherstellen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 61 62 Verwalten von Advanced Threat Defense Sichern und Wiederherstellen der Advanced Threat Defense Datenbank e Analyseprofile e Benutzerdatensatze e Integrationsinformationen zu McAfee ePO e Proxy Einstellungen e DNS Einstellungen e Datums und Uhrzeiteinstellungen einschlieBlich NTP Server Details e Einstellungen f r Lastenausgleichscluster wie auf der Seite Load Balancing Cluster Setting Einstellungen fur Lastenausgleichscluster dargestellt Dies umfasst nicht die Konfigurations und Analyseergebnisse der anderen Knoten im Cluster e Benutzerdefinierte YARA Regeln und Konfiguration e Zeitplaneinstellungen zur Datensicherung e Gesicherte Dateiinformationen wie auf der Seite Restore Management Wiederherstellungsverwaltung dargestellt Folgende Daten werden nicht gesichert e Alle Probedateien oder URLs die zum Zeitpunkt der Sicherung analysiert werden Die Seite Analysis Status Analysestatus zeigt nur die derzeit analysierte Datei an e VMDK bzw Image Dateien von Analyse VMs e McAfee Advanced Threat Defense Software auf der aktiven bzw der Sicherungsfestplatte e Protokoll und Diagnosedateien Planen einer Datenbanksicherung Sie k nnen t glich w chentlich oder monatlich automatische Sicherungen planen Der Prozess zur Erstellung der Sicherungen dauert normalerweise einige Minuten Er variiert je nach Gr e d
146. EBSEITE VERFUGBAR IST VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN ERHALTEN HABEN WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFUHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE SOFERN MOGLICH GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HANDLER BEI VOLLER RUCKERSTATTUNG DES KAUFPREISES ZURUCK 2 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Inhaltsverzeichnis Einleitung 9 Informationen zu diesem Handbuch 9 Zielgruppe 9 Konventionen P 9 Quellen f r Produktinformationen aoaaa a a a nn nenn 10 1 Malware Erkennung und McAfee Advanced Threat Defense 11 Das Malware Bedrohungsszenario a a a nn ee a 11 Die McAfee Advanced Threat Defense L sung 2 nn m nm ee ee ee ee ee ee 12 McAfee Advanced Threat Defense Bereitstellungsoptionen 14 Vorteile von McAfee Advanced Threat Defense 2 2 2 m m ee ee ee ee ee 17 2 Einrichten der McAfee Advanced Threat Defense Appliance 19 Uber die McAfee Advanced Threat Defense Appliance 2 2 m nn ee ee ee ee 19 Funktionen einer McAfee Advanced Threat Defense Appliance 19 Vor dem Installieren der McAfee Advanced Threat Defense Appliance 20 Warnungen und Hinweise nun ee ee ee 21 Nutzungsbeschrankungen nn ee 21 Auspacken der Lieferung nenn 22 berpr fen der Lieferung yo ae ee ow ss erase 7 Hardware Spezifikationen und A E E A
147. Einrichten der McAfee Advanced Threat Defense Appliance Einrichten der McAfee Advanced Threat Defense 8 Heben Sie die Entriegelungslasche an und schieben Sie die Appliance in das Gestell Abbildung 2 12 Entriegelungslasche anheben und Appliance in das Rack schieben 9 Zum Entfernen der McAfee Advanced Threat Defense Appliance aus dem Rack heben Sie die Entriegelungslasche neben der vorderen Spule am Chassis an und heben Sie das Ger t aus den Schienen Dieser Vorgang muss auf beiden Seiten gleichzeitig erfolgen und erfordert zwei Personen Einschalten der McAfee Advanced Threat Defense Appliance Die McAfee Advanced Threat Defense Appliance verf gt ber vorinstallierte redundante Netzteile D Die McAfee Advanced Threat Defense Appliance wird mit zwei Netzkabeln geliefert die den Anforderungen Ihres Landes oder Ihrer Region entsprechen Vorgehensweise 1 Schlie en Sie das eine Ende des Netzkabels an das erste Netzteilmodul auf der R ckseite und das andere Ende an eine geeignete Stromquelle an 2 Schlie en Sie das eine Ende des Netzkabels an das zweite Netzteilmodul auf der RUckseite und das andere Ende an eine geeignete Stromquelle an Die McAfee Advanced Threat Defense wird eingeschaltet ohne dass der Ein Ausschalter auf der Vorderseite bet tigt werden muss Der Ein Ausschalter auf der Vorderseite schaltet nicht die Stromversorgung ein oder aus Um die Stromversorgung f r die McAfee Advanced Threat Defense Appliance abzusc
148. Explorer verwendet McAfee Advanced Threat Defense 3 4 2 1 Stellen Sie sicher dass der Popupblocker eingeschaltet ist Wahlen Sie in Internet Explorer Extras Popupblocker Popupblocker einschalten Toots E Delete Browsing History Chr Shift Del J mm Pages Safety Took InPriwate Brossa Dirt h F a en Kerpen Lact Brrsang penon InP irate altering Chee Shaft F InPiteate Pettering Settings Pop up Bleeker E i Tum DN Pep ue Becker Sm rf creen Filter G Fep up Becker Selbingi Manage Add ens W hlen Sie Extras Internetoptionen und w hlen Sie abh ngig von der Version von Internet Explorer unter Startseite entweder Leere Seite oder Neue Registerkarte aus General Security Privacy Content Connections Programs Advanced Home page 4 gt To create home page tabs type each address on ite own line MW sboutbiank Browsing hestory Wechseln Sie zur Registerkarte Erweitert und suchen Sie Sicherheit W hlen Sie Ausf hrung aktiver Inhalte in Dateien auf dem lokalen Computer zulassen aus Internet Options te General Security Privacy Settings ss Printing Print background colors and images Search from the Address bar Go not submit unknown addresses to your auto search pri Just display the results in the main window amp Security Allow active content from CDs to run on My Computer 2 Allow active content to run in files on My Computer Allow softw
149. Gruppenrichtlinien Editor 1 Geben Sie gpedit msc im Windows Fenster Ausfuhren ein und drucken Sie die Eingabetaste Computerkonfiguration Administrative Vorlagen System und doppelklicken Sie anschlieBend auf Ereignisprotokollierung fur Herunterfahren anzeigen BB isa Pao Diiira 7 Lal es h Cor ul L ad F je POCO ra Be EL 3 Hil as ee ma Proa tratas Peder Moci n Seren i rr p mar mig i i le She ees i z i ony Ai ar Micro aa By Pat Pre 4 et Ernfexsignal 6 ead a Hoes tert Errar Ls r hers iw a Tire erie EI Ceist Delegar k J 2 Dran mmi Deriyi En eal naa Deak re The Shut Em acer sm bu 1 Ads LL der en 5 y AS Een E bite ce CORE E Fehr Ed Desire 00 at et een Goa m ia Ina Ein je ie pis p ES Folie Reiret Farh Ki ab a El copes Hae eh DE GGG y the BOD thereat Corra A es Fo ras thin matting and 3 Wahlen Sie im Dialogfeld Eigenschaften von Ereignisprotokollierung fur Herunterfahren anzeigen die Option Deaktiviert und klicken Sie auf OK Schritt 23 Deaktivieren Sie auf der VM die Windows Firewall 1 Wahlen Sie Start Systemsteuerung Windows Firewall Windows Firewall ein oder ausschalten 2 Wahlen Sie Aus und klicken Sie dann auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 173 174 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 24 Aktivieren Sie die Te
150. IES DO NOT OR RESULTS YOU MAY OBTAIN BY USING THE SOFTWARE CER THIRD PARTY GS EXCEPT TO THE EXTENT ANY WARR TERM CANNOT OR MAY NOT BE EXCLUDED OR LIMITED BY LA CONDITIONS REPRESENTATIONS OR TERMS EXPRESS OR IMP CUSTOM USAGE OR OTHERWISE AS TO ANY MATTER INCLUL NONINFRINGEMENT OF THIRD PARTY RIGHTS MERCHANTABD eS TETE SS TPL ire Count ey Pere ae Eta Tide De Ten Lisp ergo do gen Ful Kerne af Crete hmin brar LE basal blab Haad iaai cl Page Dip 7 EH Furi id a i Be Pech Elek Had iol una Forei hip Sekine Arad pel Ese hori lha Ted erred eer kiris TEL CE Wi riera Lapini Dio or das da biie 20 hare I Friri e arar gr ear Unido 4 March Gert Ar Sarg Te Ear Ad 5 spain SN Pagado Lie andy cube Terr Plaga rar Check la ade SS TE a mar E FE Termin 3 W hlen Sie in Adobe Reader Bearbeiten Voreinstellungen Allgemein und deaktivieren Sie Nach Updates suchen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 157 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 43 Laden Sie zum Analysieren von JAR Dateien Java Runtime Environment herunter und installieren Sie die Anwendung In diesem Beispiel wird Java 7 Update 25 verwendet ORACLE Jena provides sele and secure access to the word of among Jee conter From business solutions to helpful wilites and entertainment Jews makes your intemetcpernence come to
151. LLA SYSINTERMALS SOFTWARE LICENSE TERMS These Gitar terre are an agreement between Sysinternals a webo owned subsidiary of Microsoft Corporation and you Plesse read them Trey apih to he sofware you are downloading from Systime nab t m which includes the media on which you received It Fary The terme aka apoly to any Sysintarnak updates supplements internet based services and gm Schritt 51 Laden Sie die ZIP Datei MergeIDE zip von der Seite https www virtualbox org attachment wiki Migrate_Windows MergelDE zip auf den nativen Computer herunter und kopieren Sie sie auf die VM MergelDE Fle Edit View Favorites Tool Help d J _ 0218 06 F Li File and Folder Tasks Rename this fie m Pove this File PY Copy this file GH Publish this file to the Web F E mail this file la Print this file Delete this File ther Mares Schritt 52 Extrahieren Sie MergelDE zip und f hren Sie die MergeIDE Batchdatei auf der VM aus e Klicken Sie in der Warnmeldung auf Ausf hren wenn Sie dazu aufgefordert werden e Schlie en Sie Windows Explorer Schritt 53 Deaktivieren Sie Windows Updates 1 W hlen Sie Start Einstellungen Systemsteuerung 2 ffnen Sie System 3 Deaktivieren Sie auf der Registerkarte Automatische Updates die Option Den Computer auf dem neusten Stand halten 4 Klicken Sie auf bernehmen und anschlie end auf OK McA
152. Local Tena AL a Es Sri Deret oy TORO er Prado i Enpbis 3 remobe 152 de bg ont i he Tals 5 e E Prades T APA PO AA ARAS Wr i erin ve cum Ti CP Tangi dani mug PE bami an irera a Terry Serer Ikpa ugm TINIE bijde Mii serve of Paz mar eral Ger ges Terminal amp monoed remote uhr DUDES HI de i Eura riji be uas 75 hi a emira Ger ze Ll aves ite Schritt 26 Wahlen Sie im Dialogfeld Eigenschaften von Telnet Lokaler Computer aus der Liste Starttyp die Option Automatisch aus Wahlen Sie dann Ubernehmen Start OK You can specfy the start parameters that apply when you start the service From hera McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 175 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 2008 Server Schritt Details ee Aktivieren Sie FTP 1 W hlen Sie im virtualMachinelmage die Optionen Start Verwaltung auf der VM Server Manager 2 Wahlen Sie im Fenster Server Manager die Optionen Server Manager Name des virtuellen Computers Rollen Webserver IIS 3 Klicken Sie mit der rechten Maustaste auf Webserver IIS und wahlen Sie Rollendienste hinzuf gen A server Manager Web Server IIS gt Roles er m al indie E LA MN Role Provide ga Features _ Remove R
153. MD5 Hashwert mit Zeitraum stellt ohne Auftrags oder Task ID pr ft der prim re Knoten den MD5 Hash in seiner Datenbank Sollte es keinen passenden Eintrag geben pr ft der prim re Knoten die sekund ren Knoten wo die Datei analysiert wird und sendet den Bericht zur ck an Web Gateway ohne die entsprechende Datei erneut zu analysieren Wenn Web Gateway eine Anfrage nach einem MD5 Hashwert f r einen laufenden Task stellt ohne Auftrags oder Task ID pr ft der prim re Knoten den MD5 Hash mit Status Warten oder Analysieren in seiner Datenbank Sollte es keinen passenden Eintrag geben pr ft der prim re Knoten die sekund ren Knoten wo die Datei analysiert wird oder in der Warteschlange ist Dann sendet der prim re Knoten die Details zum Task an Web Gateway zur ck ohne die entsprechende Datei erneut zu analysieren Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Mit diesen grundlegenden Schritten k nnen Sie ein Advanced Threat Defense Cluster konfigurieren 1 Legen Sie die Advanced Threat Defense Appliances fest die Sie zur Erstellung des Clusters verwenden m chten Sie k nnen einem bereits bestehenden Advanced Threat Defense Cluster zus tzliche sekund re Knoten hinzuf gen Stellen Sie sicher dass die Advanced Threat Defense Appliances die unterVoraussetzungen und Anmerkungen auf Seite 322 aufgef hrten Anforderungen erf llen Legen Sie diejenige der Advanced Threat Defense Appliances
154. MDK Dateien von einem ISO Image von Windows 7 SP1 32 oder 64 Bit zu erstellen Schritt Details Schritt 1 Starten Sie VMware In diesem Beispiel wird VMware Workstation 10 verwendet Workstation Schritt 2 W hlen Sie auf der VMware Workstation Seite Datei New Virtual Machine Neuer virtueller Eile Edit View WM Jabs Help Computer D New Virtual Machine Ctrl N lt New Window Open Ctri O Close Tab Ciri W Connect to Server Cirl L Virtualize a Physical Machine Export to OVF Map Virtual Disks ls F Exit Schritt 3 W hlen Sie im Fenster New Virtual Machine Wizard Assistent f r neue virtuelle Computer die Option Custom Advanced Benutzerdefiniert erweitert und klicken Sie auf Next Weiter New Virtual Machine Wizard rm Welcome to the New Virtual Machine Wizard What type of configuration do you want Iypical recommended Create a Workstation 10 0 virtual machine in a few easy steps Custom advanced Create a virtual machine vaith advanced opbors such as a SOS controller type Artual disk type and compatibility with vmware araa Tm Workstation Next gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 137 138 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 4 Wahlen Sie im Fenster Choose the Virtual Machine Hardware Compatibility Wahlen der Hardwareko
155. Monitoren angezeigten Informationen fest Sie k nnen beispielsweise ausw hlen die Informationen f r die letzte halbe Stunde anzuzeigen Standardm ig werden Daten f r die vergangenen 14 Tage angezeigt Dieses Feld hat keine Auswirkung auf die Monitore f r Systemzustand und Systeminformationen b Zum Aktualisieren der Monitore klicken Sie auf W Klicken Sie auf Pa um die Dashboard Einstellungen zu bearbeiten Tabelle 7 11 Dashboard Einstellungen Option Beschreibung Monitors Monitore Wahlen Sie die Monitore aus die Sie im Dashboard sehen m chten Automatic Refresh Legen Sie fest wie oft sich das Dashboard automatisch aktualisieren Automatische Soll Aktualisierung Wenn Sie das Dashboard nur manuell aktualisieren m chten w hlen Sie Disabled Deaktiviert Wenn Sie das Dashboard aktualisieren m chten klicken Sie auf 6 Damit k nnen Sie den Snapshot des Dashboards zu einem bestimmten Zeitpunkt anzeigen Layout Legen Sie die Spaltenanzahl im Dashboard fest OK Klicken Sie auf diese Schaltflache um die Dashboard Einstellungen zu speichern und zu ubernehmen Abbrechen Klicken Sie auf diese Schaltflache um die zuletzt gespeicherten Einstellungen zu behalten Klicken Sie auf eal um die Dashboard Einstellungen zu speichern 3 Wahlweise k nnen Sie die Anzeigeeinstellungen fur jeden Monitor festlegen O Zum Einklappen eines Monitors klicken Sie auf Zum Ausblenden eines Monitors klicken Si
156. Ms Netzwerkdienste bereitgestellt werden damit die Netzwerkaktivit ten einer Probedatei analysiert werden k nnen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse 6 Wie analysiert McAfee Advanced Threat Defense Malware Erhalten Proben Zugriff auf das Internet kann McAfee Advanced Threat Defense das Netzwerkverhalten einer Probe analysieren und die Auswirkungen der zusatzlich aus dem Internet heruntergeladenen Dateien ermitteln Einige Malware Programme k nnten versuchen festzustellen ob sie in einer Sandkastenumgebung ausgef hrt werden indem sie einen Zugriff auf das Internet vornehmen und gegebenenfalls ihr Verhalten andern Wenn eine Analyse VM erstellt wird sorgt McAfee Advanced Threat Defense daf r dass die Analyse VM ber die fur eine Kommunikation Uber ein Netzwerk erforderlichen Konfigurationen verf gt Mithilfe einer Einstellung in den Analyseprofilen k nnen Sie einer Analyse VM den Netzwerkzugriff erlauben Netzwerkdienste werden unabh ngig von der f r das Senden der Probe verwendeten Methode bereitgestellt Zum Beispiel erhalten sowohl manuell ber die McAfee Advanced Threat Defense Web Anwendung gesendete Proben als auch jene die von integrierten Produkten gesendet wurden Netzwerkzugriff Im Folgenden finden Sie den grundlegenden Prozessablauf f r den Zugriff einer Probe auf eine Ressource im Internet 1 Eine Probe versucht auf eine
157. NIC 1 Aktivit t 4 e ATD 3000 LED Anzeige f r NIC 3 Aktivit t e ATD 6000 Nicht verwendet Taste fur System Kaltstart Systemstatus LED Ein Ausschalter mit integrierter LED Anzeige LED Anzeige f r Festplattenaktivit t e ATD 3000 LED Anzeige f r NIC 4 Aktivit t e ATD 6000 Nicht verwendet WO COIN OIA 10 LED Anzeige fur NIC 2 Aktivitat Im Lieferumfang der McAfee Advanced Threat Defense Appliance ist eine verschlie bare Blende enthalten mit der Sie die Vorderseite des Ger ts abdecken k nnen Abbildung 2 4 R ckseite der ATD 3000 Appliance McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 23 Einrichten der McAfee Advanced Threat Defense Appliance Vor dem Installieren der McAfee Advanced Threat Defense Appliance Beschriftung Beschreibung 1 Stromversorgungsmodul 1 2 Stromversorgungsmodul 2 3 Verwaltungsport NIC 1 Hierbei handelt es sich um die ETH O Schnittstelle Die Befehle set appliance und set mgmtport gelten fur diese Schnittstelle Beispiel Wenn Sie den Befehl set appliance ip verwenden wird die entsprechende IP Adresse dieser Schnittstelle zugewiesen 4 NIC 2 Hierbei handelt es sich um die ETH 1 Schnittstelle Diese Schnittstelle ist standardm ig deaktiviert e Um diese Schnittstelle zu aktivieren bzw zu deaktivieren verwenden Sie den Befehl set intfport Beispiel set intfport 1 enable Um dieser Schnittstelle die IP Daten zuzuweisen
158. P Adresse die Verwaltungsport IP Adresse des sekund ren Knotens ein und w hlen Sie Secondary Sekund r aus Klicken Sie auf Add Node Knoten hinzuf gen 6 Klicken Sie aufYes Ja um den sekund ren Knoten hinzuzuf gen Wenn Sie in der Best tigungsmeldung auf Yes Ja klicken speichert der prim re Knoten seine Konfiguration in einer Datei und sendet sie an den sekund ren Knoten Diese Datei enth lt die Konfigurationen die in diesem Dokument als synchronisierte Konfigurationen bezeichnet werden Weitere Informationen zu synchronisierten Konfigurationen finden Sie unter Funktionsweise des D Advanced Threat Defense Clusters auf Seite 325 Der sekund re Knoten verwendet diese Konfigurationsdatei um die entsprechende Konfiguration in seiner Datenbank zu berschreiben Erstellen Sie unbedingt eine Sicherung der Konfiguration f r den sekund ren Knoten bevor Sie fortfahren Wenn Sie den sekund ren Knoten aus dem Cluster entfernen wird die Konfiguration des prim ren Knotens beibehalten 7 F gen Sie die anderen sekund ren Knoten auf hnliche Weise hinzu 8 Geben Sie im Ment Cluster IP address Cluster IP Adresse die Cluster IP Adresse ein und klicken Sie auf Save Speichern Wahlen Sie Backup Sichern aus dem Dropdown Men aus und geben Sie die Verwaltungsport IP Adresse in das Feld Node IP address Knoten IP Adresse des Sicherungsknotens ein Klicken Sie auf Add Node Knoten hinzuf gen und der Sicherungsknoten wird hinzuge
159. Prioritatsreihenfolge 1 Lokale Whitelist 2 Lokale Blacklist 3 McAfee GTI 4 McAfee Gateway Anti Malware Engine 5 McAfee Anti Malware Engine 6 Dynamische Analyse McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung 7 Benutzerdefinierte YARA Regeln Hierbei handelt es sich um vom Benutzer erstellte YARA Regeln 8 Interne YARA Regeln Hierbei handelt es sich um interne YARA Regeln die von McAfee definiert und nur bei Bedarf im Zuge eines Software Upgrades von McAfee Advanced Threat Defense aktualisiert werden Diese Regeln k nnen Sie nicht anzeigen oder herunterladen McAfee Advanced Threat Defense vergleicht die Probe nur mit den YARA Regeln wenn sie einer dynamischen Analyse unterzogen wird meta Classification 32 Descoption Changed access protection of pages lo RYWWRWE and injected into Severity 4 sirings Sniget Nij7w GetProcessHeap ntquery Nil AwyQuerySysteminformaton Process Thread sntopen Nij w OpenProcess sntalloc Nt Aw Allocate VirtualMemory Starte Nij2w WinteVirtualMemory 0 0A F 16 12 0 5 1 0 9A E jf 4 Sservice swchost csrss lsass spootsv isermcesiwnlogonjlexplorerllexplorelwinswc i exe nocase condition all of them and or any iin 1 ntquery Antopen gt Gntquery i sequence of query open and tor
160. Richtlinie Analyseprofil Neu Die Seite Analyseprofil wird angezeigt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 253 254 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Verwalten von Analyseprofilen 2 Geben Sie die entsprechenden Informationen in die jeweiligen Felder ein Optionsname Beschreibung Name Geben Sie den Namen fur das Analyseprofil ein Wahlen Sie einen Namen der die Eigenschaften des Analyseprofils widerspiegelt Beschreibung Optional k nnen Sie auch eine detaillierte Beschreibung des Analyseprofils bereitstellen VM Profil W hlen Sie das VM Profil das McAfee Advanced Threat Defense f r die dynamische Analyse einer Datei verwenden soll Automatically Select OS Betriebssystem automatisch w hlen Wenn McAfee Advanced Threat Defense automatisch das richtige VM Profil f r Windows 32 Bit und Windows 64 Bit w hlen soll klicken Sie auf Enable Aktivieren und w hlen Sie anschlie end die VM Profile aus den Optionen Windows 32 bit VM Profile und Windows 64 bit VM Profile VM Profile f r Windows 32 Bit und 64 Bit Unter VM Profile haben Sie beispielsweise Android ausgew hlt Sie haben die Option Automatically Select OS Betriebssystem automatisch w hlen aktiviert Sie haben f r Windows 32 bit VM Profile Windows XP SP3 und f r Windows 64 bit VM Profile Windows 7 SP1 64 Bit ausgew hlt Wird eine APK Datei erkannt wird nun autom
161. Schutz konfigurieren Wenn Ihr Netzwerkbenutzer eine Datei herunterladt scannt die native McAfee Gateway Anti Malware Engine auf McAfee Web Gateway die Datei und ermittelt einen Malware Faktor Abhangig von diesem Faktor und dem Dateityp sendet McAfee Web Gateway eine Kopie der Datei zur genaueren Pr fung und dynamischen Analyse an McAfee Advanced Threat Defense Eine Fortschrittsseite informiert Ihre Benutzer dass die angeforderte Datei auf Malware berpr ft wird Abh ngig von dem Malware Schweregrad der von McAfee Advanced Threat Defense ermittelt wurde legt McAfee Web Gateway fest ob die Datei zugelassen oder blockiert wird Bei einer Blockierung werden Ihren Benutzern die Gr nde daf r angezeigt Die Details zur erkannten Malware k nnen Sie in der Protokolldatei einsehen Advanced Threat Defense Liefert Leitet Objekt 3 Scanergebnisse f r den Scan weiter Y 4 Benutzer fordert Web Objekt an Leitet Anfrage weiter Web Gateway Erlaubt oder blockiert Zugriff auf Objekte Sendet Objekt als Reaktion Web lnr Netzwerk Abbildung 1 4 Integration in McAfee Web Gateway Durch diesen Ansatz wird sichergestellt dass nur Dateien die eine eingehende Analyse erfordern an McAfee Advanced Threat Defense gesendet werden Fur den Benutzer bedeutet das ein Gleichgewicht zwischen Downloadgeschwindigkeit und Sicherheit Informationen zur Integration von McAfee Advanced Threat Defense in McAfee Web Gatewa
162. Server Schritt Schritt 31 W hlen Sie im virtualMachinelmage die Optionen Start Systemsteuerung Windows Firewall AUS Details Y Y Un Tha setting bocha all cuide mare bom cornecting lo thes conputs dh the sepion of Pine need on the Escepitora tab Pont alos cacepliona losion such s sazorts You val nol be mhed ahan amejaa Finsal blocks pagana Setia on ihe Escaping Lab ral be Da petai mi conpubs me yerai lo viruses deed Piua Schritt 32 Klicken Sie auf Start und dann mit der rechten Maustaste auf Arbeitsplatz W hlen Sie dann Verwalten Dienste und Anwendungen Dienste Doppelklicken Sie anschlie end auf Telnet Dir DS PLA AAA Ll Aa EIA se Bj corps Paraanend il oral Devt Took Ever Yas Shaved Finders 4 8 Local Lae ed Groups al Parte Loge rl Alarh Erbe 4 ren je 0 login bo her Lieven Pre Li prnl Aces pij opc Kr Telnet beurglier carr re bra rel erst var PCR Taba cart incidir HE a iia tasa puts F Pe ene E hopped rar LIA EC Lo pita rar bs eae F ihe sorna E deste Sr pandas Lal plot dard an E ad fa bart u 8 ore r Ei rigan riger Gert EY Extra y Merz ancl Rare Mrs cade Logon ee cores rar I heal Hardas Dat Dying TOPE Servi west cond Gp ere bei iy Seiten Evert Kahl Wy Tarek Schaller A CP Weis He Ge ote Oh Tara Services Pair a de na Era Char rout
163. Sicherungsknoten und den sekund ren Knoten in einem Lastenausgleichscluster an Dieser Befehl hat keine Parameter Es erfolgt keine Ausgabe wenn Advanced Threat Defense nicht Teil eines Clusters ist Syntax lbstats Weitere Informationen finden Sie im Abschnitt Uberwachen des Status eines Advanced Threat Defense Clusters auf Seite 337 list Dieser Befehl listet alle dem Benutzer zur Verf gung stehenden CLI Befehle auf Syntax list Dieser Befehl hat keine Parameter McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 357 358 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle lowseveritystatus Proben mit dem Schweregrad 1 und 2 werden von Advanced Threat Defense als Proben mit niedrigem Schweregrad und jene mit dem Schweregrad 3 4 und 5 als b sartig behandelt Wenn Sie die dynamische Analyse konfigurieren wird der Wert der dynamischen Analyse fur alle Proben standardm ig im Ubersichtsbericht angezeigt Dieser Wert wirkt sich ebenfalls auf die Endbewertung der Probe aus Bei Bedarf k nnen Sie den Befehl lowseveritystatus verwenden um dieses Verhalten zu andern Zum Beispiel zeigt Advanced Threat Defense den Wert der dynamischen Analyse fur Proben mit niedrigem Schweregrad weder im Ubersichtsbericht an noch ber cksichtigt sie diesen Wert bei der Berechnung der Endbewertung Der Befehl lowseveritystatus gilt nur f r nicht portable ausf hrbare Proben wie Microsoft Word Dokumente und PDF Dateien
164. Sie diese Option wenn McAfee Advanced Threat Defense die Datei mithilfe aller ausgew hlten Analyseoptionen analysieren soll unabh ngig vom Ergebnis einer bestimmten Methode Enable Malware Internet Access Malware Internetzugriff aktivieren McAfee Advanced Threat Defense 3 4 2 Aktivieren Sie diese Option um Proben Internetzugriff zu gew hren wenn diese versuchen auf eine Ressource im Internet zuzugreifen Zum Aktivieren dieser Option muss die Option Sandbox Sandkasten unter Analyzer Options Analyseoptionen aktiviert sein Sie m ssen zudem ber Administratorberechtigungen verf gen um die Option Enable Malware Internet Access Malware Internetzugriff aktivieren zu aktivieren bzw zu deaktivieren Da es sich bei der zu analysierenden Probe m glicherweise um Malware handelt besteht beim Aktivieren der Option Enable Malware Internet Access Malware Internetzugriff aktivieren die Gefahr dass b sartiger Datenverkehr aus Ihrem Netzwerk O heraus verbreitet wird Beim Aktivieren dieser Option wird eine Haftungsausschlussmeldung angezeigt Klicken Sie auf OK um fortzufahren Der Administrator kann zudem eine Proxy Einstellung f r Malware konfigurieren sofern im Netzwerk ein Proxy Server vorhanden ist Produkthandbuch 255 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Integration in McAfee ePO Optionsname Beschreibung Speichern Erstellt den Analyseprofil Datensatz m
165. Threat Defense Appliance McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 27 2 Einrichten der McAfee Advanced Threat Defense Appliance Einrichten der McAfee Advanced Threat Defense Montieren und Entfernen von Rackgriffen e Um einen Rackgriff zu montieren richten Sie ihn an den beiden L chern auf der Seite der McAfee Advanced Threat Defense Appliance aus und befestigen Sie ihn gem Abbildung mithilfe von zwei Schrauben Abbildung 2 6 Installieren des Rackgriffs e Zum Entfernen eines Rackgriffs entfernen Sie die beiden Schrauben mit denen der Griff befestigt ist und entfernen Sie den Rack Griff wie gezeigt vom Serversystem Abbildung 2 7 Entfernen des Rackgriffs Installieren oder Entfernen der Appliance aus dem Rack Installieren Sie die Appliance mithilfe des mit McAfee Advanced Threat Defense gelieferten Rackmontage Sets in einem 19 Zoll Montagerahmen Das Montage Set kann f r die meisten Racks nach Industriestandard verwendet werden Verwenden Sie die Kabelhalter zur Sicherung der Kabel der McAfee Advanced Threat Defense Appliance im Rahmen Vorgehensweise 1 Platzieren Sie eine der Montageschienen so vorne im Rack dass sich die Klemme auf der H he der entsprechenden L cher im Rack befindet Beachten Sie die Sicherheitshinweise W hrend Sie planen wo im Rack Sie die McAfee Advanced O Threat Defense Appliance installieren m chten denken Sie daran dass Sie das Rack immer von unten nach oben beladen sollten
166. Threat Defense die Zielhostumgebung korrekt identifizieren und die passendste Analyse VM f r die dynamische Analyse ausw hlen 256 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse 6 Integration in McAfee ePO Zum Bestimmen der Analyse VM fur eine durch Network Security Platform oder McAfee Web Gateway gesendete Datei verwendet McAfee Advanced Threat Defense die folgenden Informationsquellen in der angefuhrten Reihenfolge 1 McAfee Advanced Threat Defense fragt von McAfee ePO das Betriebssystem eines Hosts auf Basis von dessen IP Adresse ab Falls bei dieser Quelle keine Informationen oder keine entsprechende Analyse VM vorhanden sind wird mit der nachsten Quelle fortgefahren 2 Wenn die Ger teprofilerstellung aktiviert ist stellt der Sensor das Betriebssystem und die Anwendungen beim Weiterleiten einer Analyse zur Datei bereit Falls bei dieser Quelle keine Informationen oder keine entsprechende Analyse VM vorhanden sind wird mit der nachsten Quelle fortgefahren 3 Die McAfee Advanced Threat Defense bestimmt das VM Profil auf Basis des Analyseprofils im entsprechenden Benutzerdatensatz Falls bei dieser Quelle keine Informationen oder keine entsprechende Analyse VM vorhanden sind wird mit der nachsten Quelle fortgefahren 4 Das als Standard ausgew hlte VM Profil Sie k nnen aus den VM Profilen in der Konfiguration eines als Standard auswahlen Wenn McAfee
167. Ubernehmen Sie im Fenster Processor Configuration gt New Virtual Machine Wizard Prozessorkonfiguration die a AAA Standardwerte und klicken Sie Processor Configuration auf Next Weiter Specify the number of processors for this virtual machine Processors Number of processors Humber of pones per processor Total processor cores Schritt 9 Legen Sie im Fenster Memory for the Virtual Machine Speicher f r den virtuellen Computer 1 024 MB als Memory for the Virtual Machine Speicher fest How much memory would you like to use far this virtual machine Soeoty the amount of memory alocated to ths virtual machine The memory ste must be a multiple of MB Memory for this virtual machine 1024 KE a Maximum recommended memory 2952 ME 512 MB O Guest 05 recommended mina 12 MB 108 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 10 Ubernehmen Sie im Fenster Network Type Netzwerktyp die Standardauswahl Details New Virtual Machine Wizard a Network Type What type of network do you want to add Network connechor Use bridged networking neiwark The guest must have its own P address on the external netreork Give the guest operating system access to the host com
168. a file While fea from the Inemet can be useful this fils type can potential harm your computer Only run software from publishers you trust What s the aak 6 Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Ja McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details 05 Do you want to allow the following program to make Y changes to this computer Program name Adobe Flash Player Installer Verified publisher Adobe Systems Incorporated File origin Hard drive on this computer V Show details No Change when these notifications appear 7 W hlen Sie Ihre Aktualisierungsoption und klicken Sie auf WEITER Adobe Flash Player Installer O a n gt A l _ s Update Flash Player Preferences Security updates and enhancements are periodically released for Adobe Flash Player that can be downloaded and installed automatically IMPORTANT Your update options have recently changed Choose your update option O Allow Adobe to install updates recommended Notify me to install updates Never check for updates not recommended 8 Klicken Sie auf FERTIGSTELLEN um die Adobe Flash Player Installation abzuschlieBen Adobe Flash Player Installer Adobe Flash Player FINISH Schritt 53 Fahren Sie die VM herunter Schritt 54 Navigieren Sie zu dem Speicherort den Sie in Schritt 8 angegebe
169. abh ngig von den Ergebnissen der statischen Analyse in McAfee Advanced Threat Defense konfigurieren Auch die Konfigurierung einer dynamischen Analyse ohne statische Analyse ist m glich Die dynamische Analyse beinhaltet auch die Disassembly Listenfunktion von McAfee Advanced Threat Defense Diese Funktion kann den Disassembly Code f r PE Dateien generieren damit Sie die Probe weiter analysieren k nnen e Analyzer VM Analyse VM Dies ist der virtuelle Computer auf der McAfee Advanced Threat Defense der f r dynamische Analysen verwendet wird Zur Erstellung der Analyse VMs m ssen Sie die VMDK Datei mit dem erforderlichen Betriebssystem und allen Anwendungen erstellen Dann importieren Sie diese Datei ber SFTP in die McAfee Advanced Threat Defense Appliance F r das Erstellen der Analyse VMs werden nur die folgenden Betriebssysteme unterst tzt Microsoft Windows XP 32 Bit Service Pack 2 Microsoft Windows XP 32 Bit Service Pack 3 Microsoft Windows Server 2003 32 Bit Service Pack 1 Microsoft Windows Server 2003 32 Bit Service Pack 2 Microsoft Windows Server 2008 R2 Service Pack 1 Microsoft Windows 7 32 Bit Service Pack 1 Microsoft Windows 7 64 Bit Service Pack 1 Microsoft Windows 8 0 Pro 32 Bit McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 245 246 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Begriffe e Microsoft Windows 8 0 Pro 64 Bit e Standardm ig Android 2 3 S
170. age Datei verf gbar Dabei handelt es sich um ein reines ASCII Textformat das eine grafische Darstellung des logischen Ausf hrungspfads der Probe im GML Format enth lt Sie k nnen diese Datei nicht direkt in der McAfee Advanced Threat Defense Web Anwendung anzeigen aber auf Ihren Client Computer herunterladen Sie m ssen dann ein Grafik Layout Programm wie yWorks yEd Graph Editor verwenden das das GML Format unterst tzt Mit diesem Editor k nnen Sie die Querverweise aller Funktionen anzeigen mit der Datei als Input McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 305 7 Analysieren von Malware Anzeigen der Analyseergebnisse Sie k nnen die Datei Logic Path Graph mit einer der folgenden Methoden herunterladen Klicken Sie auf der Seite Analysis Results Analyseergebnisse Analyse Analysis Results auf und wahlen Sie Logic Path Graph Logisches Pfaddiagramm aus Laden Sie dann die Datei lt file name gt _logicpath gml herunter Zum Verwenden dieser Option m ssen Sie Logic Path Graph im entsprechenden Analyseprofil aktiviert haben Nachdem Sie auf geklickt haben w hlen Sie Complete Results Vollst ndige Ergebnisse aus Laden Sie die ZIP Datei lt sample_name gt herunter Die ZIP Datei enth lt die gleiche Datei lt file name gt _logicpath gml im AnalysisLog Ordner Der ZIP Bericht enth lt die Datei lt file name gt _logicpath gml ungeachtet dessen ob Sie die Option Logic Path Graph Logisches Pfaddiagramm im
171. ainn jaraca MEL srl the Epobcsbon Server Console Total disk pse mquesd As HE etal Space masisi on dick 10161 MB Estado a oe 2 Doppelklicken Sie auf Anwendungsserver 3 Doppelklicken Sie auf Internetinformationsdienste IIS 120 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Internetinformationsdienste IIS die folgenden Schritte aus Schritt Details Schritt 35 Fuhren Sie im 1 Wahlen Sie Gemeinsame Dateien Popupfenster 2 Wahlen Sie FTP Dienst File Transfer Protocol 3 Wahlen Sie Internetinformationsdienste Manager klicken Sie auf OK und anschlieBend im Assistenten fur Windows Komponenten auf Weiter q Pe dl or Remove Programs a oe Ihe component vall be installed To see what s noluded in a component chek nerds of Internet Information Sense 1151 7 gt Bock ound Inisligent Transfer Service BITS Serve Extensions IHE E la Common Files 1 0 ME wt Ale Transier Pintocol FTP Sevice 01 MB m 1 Fronif age 2008 Serve Eensions 14 1 ME O grises Pining 0 0 ME IN 4NNTP Serice 10486 Total disk space requinect 15MB Space avadab e or dido 18190 MB DJ e McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 121 5 Erstellen einer Analyse VM Erstellen einer VMDK Da
172. al dirk space required 51 8 HE Space saldos on cick 23117 HB Schritt 29 Klicken Sie im Pop Up Datentrager einlegen auf Abbrechen Li Plesos wal while Setup configures the components The may lake Plassa inert Ihe Compact Dens labeled windows F Professional Service Pack 3 OD into you CD ROM deve D and than chek OK You Gan ala chek OK d posa want files lo be coped from an alle nate locaton such as a floppy disk or a raha sete McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 30 Wahlen Sie im Pop Up Windows XP Setup die Option OK aus Details Please war while Setup configures the components This may take Several MME depending on the components selected aca Windows XP Setup Schritt 31 Klicken Sie in VMware Workstation mit der rechten Maustaste auf die VM in diesem Beispiel virtualMachinelmage Wahlen Sie dann Einstellungen aus a Type nere tO sear E Mb My Computer Rename Remove 1 Power Removable Devices b Pause co Send Ctri Alt Del Grab Input Lo Snapshot Capture Screen 7 Manage LJ Settings Close Tab Mark as Favorite Reinstall VMware Tools McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 87
173. alyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 52 Um eine 1 Rufen Sie http get adobe com flashplayer otherversions auf Flash Datei SWF dynamisch zu analysieren 2 Wahlen Sie gem Ihren Anforderungen ein Betriebssystem und see ale die eine Flash Player Version in den Dropdown Men s Schritt 1 und Schritt 2 errorderiicne version von aus siehe unten Adobe Flash 3 Klicken Sie auf Jetzt herunterladen In diesem Beispiel wird Flash Player 14 verwendet Adobe Flash Player Optional offer Terms conditions TIA a cto nr Em Be great Addto my download to the Adobe Software Licensing Agreement PY 23 Wl EP ia oe 7Nista XP 2008 2003 v F E es Lightroom System requirements er Note Your antivirus software must allow you to install software If your operating system browser combination is not displayed Downloadnow click here for older versions of Adobe Flash Player Total size 18 2 MB 4 Doppelklicken Sie in der unteren Ecke Ihres Bildschirms auf die Installationsdatei fur Adobe Flash Player install_flashplayer xxx exe es es install _flashplayerl4x exe 7 5 Klicken Sie im Dialogfeld Sicherheitswarnung auf Ausf hren Da you wani lo nun this fle E Mame install fMashplaperid2_11155 2d_avez_aih 1 exe b Fubleter Adobe Systems Incorporated Iyne Application From C3 Users Milabhi Downloads install Hashpleperl Ban F Araya aak before opening thi
174. alysieren von Malware 7 Analysieren von URLS Manuelles Hochladen mithilfe der URL Option Vorgehensweise 1 Wahlen Sie Analyse Manual Upload Manuelles Hochladen aus 2 Auf der Seite Manual Upload legen Sie die Details gemaB Ihren Anforderungen fest Manual Upload Manual Upload URL w http mal W Analyzer Profile Analyzer Profile 1 Submit Advanced Abbildung 7 8 Senden einer URL zur Malware Analyse Tabelle 7 3 Optionsbeschreibungen Option Beschreibung URL Upload method Wahlen Sie in der Dropdownliste eine Upload Methode aus URL Upload Methode l e URL Die URL wird direkt auf der Analyse VM analysiert e URL Download URL Download Die von der URL genannte Datei wird in die Advanced Threat Defense Appliance und anschlieBend zur Analyse auf die Analyse VM heruntergeladen Nur HTTP HTTPS und FTP werden unterst tzt Geben Sie daher die Protokoll ID in der URL an Geben Sie m glichst die gesamte URL ein Wenn Advanced Threat Defense die URL dynamisch analysiert k nnte der Browser fehlende Elemente hinzuf gen Wenn Sie zum Beispiel http google com eingeben k nnte der Browser der Analyse VM Ihre Eingabe in http www google com ndern Analyseprofil W hlen Sie das f r die Probe erforderliche Analyseprofil Es werden nur Analyseprofile aufgef hrt die ber die Internetzugriffsoptionen Sandbox Sandkasten und Malware verf gen McAfee Advanced Threat Defense 3 4 2 Prod
175. andbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 24 Wahlen Sie Start Systemsteuerung Programme Programme und Funktionen Windows Funktionen ein oder ausschalten und fuhren Sie folgende Schritte aus 1 Wahlen Sie Internetinformationsdienste FTP Server und FTP Erweiterbarkeit 2 Wahlen Sie Internetinformationsdienste Webverwaltungstools und IIS Webverwaltungsdienst 3 Wahlen Sie Telnet Server und klicken Sie auf OK Dieser Vorgang kann etwa 5 Minuten in Anspruch nehmen Turn Windows features on or off 7 To tum a feature on select its check box To tum a feature off clear its check box A filled box means that only part of the feature is turned on P Indexing Service Internet Explorer 8 34 4 de Internet Information Services Wh FTP Server FTP Extensibility Fl FTP Service M Web Management Tools FE 156 Management Compatibility d IS Management Console Jo 1S Management Scripts and Tools Fl ES Management Service U World Wide Web Services m Cancel Schritt 25 Klicken Sie auf Start und dann mit der rechten Maustaste auf Computer W hlen Sie dann Verwalten Dienste und Anwendungen Dienste Doppelklicken Sie anschlie end auf Telnet A Computer Management Fin Acton Wwe Heip e 200 sbh OA ue de Computer Management Local a i System Took Py Tiik Schedule Teisa Ham Diii
176. andbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse e Versionsinformationen e Originalname der Datei sodass Sie in anderen Quellen etwa dem Internet danach suchen k nnen e Baitexe Vorgang infiziert oder nicht Am Ende jeder Analyse erstellt McAfee Advanced Threat Defense einen zus tzlichen K der Vorgang namens Baitexe Das Baitexe Programm ruft nur zwei APIs beep und sleep kontinuierlich auf Wenn dieser Baitexe Vorgang von der zuvor ausgefuhrten Probe infiziert wurde andert sich das Verhalten von Baitexe In diesem Fall wird die Nachricht Baitexe activated and infected Baitexe ist aktiviert und infiziert angezeigt Wenn der Baitexe Vorgang nicht infiziert ist wird die Meldung Baitexe activated but not infected Baitexe ist aktiviert aber nicht infiziert angezeigt Abschnitt Classification Threat Score Dies ist ein Abschnitt im Ubersichtsbericht der Analyse in dem der Schweregrad fiir verschiedene Merkmale einer typischen Malware angegeben sind Tabelle 7 9 Abschnitt Classification Threat Score Beschriftung Beschreibung Persistence Installation Boot Survival Einige Malware hat die Fahigkeit auf dem infizierten Host zu bleiben Dies wird als Persistence Persistenz bezeichnet Installation Boot Survival bezieht sich auf die Fahigkeit der Malware selbst nach einem Neustart bestehen zu bleiben Hiding Camouflage Stealthness Detection und Removal Protection Dies ist
177. anderes Analyseprofil ausw hlen Benutzertyp W hlen Sie in der Dropdown Liste einen Benutzertyp aus W hlen Sie beispielsweise NSP aus wenn Sie Proben mithilfe des Network Security Platform Sensors senden m chten McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 41 42 Verwalten von Advanced Threat Defense Verwalten von McAfee Advanced Threat Defense Benutzern Optionsname Beschreibung Rollen McAfee Advanced Threat Defense 3 4 2 Admin User Administratorbenutzer Mit dieser Rolle k nnen Sie Superuser Rechte in derMcAfee Advanced Threat Defense Web Anwendung zuweisen Benutzer mit dieser Rolle k nnen auf alle Men s zugreifen und andere Benutzer erstellen Web Access Web Zugriff Mit dieser Rolle kann ein Benutzer Dateien Uber die McAfee Advanced Threat Defense Web Anwendung senden und die Ergebnisse anzeigen Benutzer mit dieser Rolle k nnen auf alle Funktionen zugreifen aber nur ihr eigenes Benutzerprofil anzeigen Beim manuellen Senden von Dateien k nnen sie nur das Analyseprofil zuweisen das sie erstellt haben FTP Access FTP Zugriff Mit dieser Rolle haben Sie die Zugriffsberechtigung fur den FTP Server auf der McAfee Advanced Threat Defense Appliance um Dateien fur die Analyse zu senden und VMDK Dateien hochzuladen Log User Activities Benutzeraktivitaten protokollieren Wahlen Sie diese Rolle aus wenn Sie von Benutzern vorgenommene Anderungen in der McAfee Advanced
178. any Microsoft updates upper Irtermet besed services oral a upper RK 27 foe the software unless other terms accompany those tenn Er LEA THE SOFTWARE YOU ACCEPT THESE TERMAS FYI If you comply wath these boense terms you hiwe the nights be 1 INSTALLATION AND USE RIGHTS You may install and une 2 SCOPE OF LEESE Tre riisme E Iris not sole Thi reserves all other nights Links applicable bra gees you more Biia permited in thei agreement In dewey so you rik you bo use rt in certain ways You may not a work around any bechnical len abens m the often Tere engineer decompile ce deaemble the schbweare ea Hees britain McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Reader auf die Schritt 42 Um PDF Dateien zu analysieren laden Sie Adobe auf den nativen Host herunter und kopieren Sie ihn VM In diesem Beispiel wird Adobe Reader 9 0 verwendet 1 Installieren Sie Adobe Reader 9 0 auf der VM 2 Offnen Sie Adobe Reader und klicken Sie auf Akzeptieren Press the Accept button to agree to the Licer ADOBE SYSTEMS INCORPORATED Warranty Disclaimer and Software License Agreement THIS DOCUMENT INCLUDES WARRANTY INFORMATION PARI THE USE OF ADOBE SOFTWARE PART II PART L WARRANTY DISCLAIMER THE SOFTWARE AND OTHER INFORMATION IS DELIVERED TO AND ITS SUPPLIERS AND CERTIFICATE AUTHORIT
179. appliance gateway Wird in folgenden F llen ebenfalls ben tigt e Wenn sich die McAfee Advanced Threat Defense Appliance in einem anderen Netzwerk befindet als die McAfee Produkte in die Sie sie integrieren m chten e Wenn Sie von einem anderen Netzwerk aus auf McAfee Advanced Threat Defense zugreifen m chten entweder ber einen SSH Client oder per Browserzugriff auf die McAfee Advanced Threat Defense Web Anwendung Anmelden ber die Befehlszeilenschnittstelle CLI Bevor Sie CLI Befehle eingeben k nnen m ssen Sie sich zun chst mit einem g ltigen Benutzernamen Standard Benutzername ist cliadmin und einem Kennwort Standard ist atdadmin bei der McAfee Advanced Threat Defense Appliance anmelden Zum Abmelden geben Sie exit ein O Es wird von McAfee dringend empfohlen das Kennwort zu ndern indem Sie bei Ihrer ersten Interaktion mit der McAfee Advanced Threat Defense Appliance den Befehl passwd verwenden Bedeutung von zeigt m gliche Befehlszeichenfolgen die Sie eingeben k nnen an Syntax 2 in Kombination mit einem anderen Befehl zeigt das n chste Wort an das Sie eingeben k nnen Wenn Sie beispielsweise den Befehl zusammen mit dem set Befehl eingeben erhalten sie eine Liste aller Optionen f r den set Befehl Verwalten der Festplatten der McAfee Advanced Threat Defense Appliance Die McAfee Advanced Threat Defense Appliance hat zwei Festplatten Disk A und Disk B Disk A ist die aktive Festp
180. ard Android Analyse VM im Falle einer ATD 3000 30 und im Falle einer ATD 6000 60 nicht bersteigen darf Sie k nnen also bei einer ATD 3000 ber bis zu 29 und bei einer ATD 6000 ber bis zu 59 Windows Analyse VMs verf gen Die maximale Anzahl von Analyse VMs die Sie in eine McAfee Advanced Threat Defense Appliance hochladen k nnen h ngt vom Windows Betriebssystem und dem Appliance Typen ab e Windows Server 2008 Windows Server 2003 SP1 SP2 Windows 7 SP1 64 Bit und Windows 7 SP1 32 Bit bis zu 20 Analyse VMs f r ATD 3000 und bis zu 40 f r ATD 6000 e Windows XP SP2 SP3 bis zu 30 Analyse VMs f r ATD 3000 und bis zu 60 f r ATD 6000 Speichern Mit dem Befehl wird der VM Profildatensatz mit den angegebenen Informationen erstellt Wenn Sie auf Speichern klicken startet die VM Erstellung im Hintergrund als Daemon und das VM Profil wird auf der Seite VM Profil aufgef hrt Auch wenn das neu erstellte VM Profil auf der Seite VM Profil aufgef hrt ist dauert es ca 10 bis 15 Minuten bis die Analyse VM und das VM Profil verwendet werden k nnen Abbrechen Der Befehl schlieBt die Seite VM Profil ohne die Anderungen zu speichern 7 berwachen Sie den Fortschritt der VM Erstellung Es wird eine Meldung zur VM Erstellung angezeigt Information The VMs are being created and the VM Creation Status progress can be monitored in the Dashboard Each VM will take about 5 10 minutes to complete McAfee
181. are to run or instal even if the signature is inv 5 Klicken Sie auf OK Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 51 Um eine Flash Datei SWF dynamisch zu analysieren installieren Sie die erforderliche Version von Adobe Flash In diesem Beispiel wird Flash Player 14 verwendet 1 Rufen Sie http get adobe com de flashplayer otherversions auf 2 Wahlen Sie gem Ihren Anforderungen ein Betriebssystem und eine Flash Player Version in den Dropdown Men s Schritt 1 und Schritt2 aus siehe unten 3 Klicken Sie auf Jetzt herunterladen Adobe Flash Player Optional offer Terms amp conditions ws 4 Yes want to try the free Lightroom 5 By clicking the Download now button you Be x uA j trial and learn how to make good shots acknowledge that you have read and agree D as us great Add to my download tothe Adobe Software Licensing Agreement bay N RN EM i Step1 5 wi A y gt bi 4 Adobe Photoshop Lightroom Windows 7 Vista XP 2008 2003 Step2 Flash Player 14 for Other Browsers v System requirements Leam more Note Your antivirus software must allow you to install software If your operating system browser combination is not displayed click here for older versions of Adobe Flash Player Total size 182 MB 4 Doppelklicken Sie in der unteren Ecke Ihres Bildschirms auf die Installationsdate
182. as Popupblocker Popupblocker ausschalten Fa Edt View Favorim Help Cirle Safes Del Cans Shift P Delete brewding hittery InPrivate Browsing Tracking Protection ActiveX Filtering Fi conrecion probleme Rieopen last browsing pessom ddd site to Start Screen nit View devisada Pop up Blocker pl Srmar creen Filter lifestyle shop Chris Tum off Pop up Blocker Pop up Blocker settings 2 Wahlen Sie Extras Internetoptionen und geben Sie unter Startseite about blank ein General Security Privacy Content Connections Advance Home page gt To create home page tabs type each address on its own ine I about blank lar tup 3 Wechseln Sie zur Registerkarte Erweitert und suchen Sie Sicherheit 4 W hlen Sie Ausf hrung aktiver Inhalte in Dateien auf dem lokalen Computer zulassen aus General Security Privacy Content Connections Programs Settings Js Multimedia Enable alternative codecs in HTMLS media elements Enable automatic image resizing Play animations in webpage Play sounds in webpages _ Show image download placeholders Show pictures Allow active content from CDs to run on My Computer Allow active content to run in files on My Computer _ Allow software to run or install even if the signature is 5 Klicken Sie auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 227 228 Erstellen einer An
183. as Cluster auf nehmen Sie in allen Knoten die erforderlichen Anderungen vor und erstellen Sie das Cluster erneut e Die synchronisierten Konfigurationen der sekundaren Knoten werden mit der Konfiguration des primaren Knotens berschrieben Verwenden Sie nach der Erstellung des Clusters den prim ren Knoten um die Konfigurationen zu verwalten Weitere Informationen zu synchronisierten Konfigurationen finden Sie unter Funktionsweise des Advanced Threat Defense Clusters auf Seite 325 Stellen Sie sicher dass die sekund ren Knoten und der prim re Knoten uber die Verwaltungsports miteinander kommunizieren k nnen Es wird empfohlen vor der Konfiguration des Clusters eine Sicherung aller Knoten insbesondere der sekundaren Knoten zu erstellen Vergewissern Sie sich dass die integrierten Produkte so konfiguriert sind dass sie den primaren Knoten verwenden Dies gilt auch fur die integrierten Produkte von McAfee sowie fur Drittanbieteranwendungen und skripte die die Advanced Threat Defense REST APIs verwenden Ab Version 3 4 2 ist die Cluster IP der Verbindungspunkt f r die integrierten Produkte wenn der Benutzer sich fur die Konfiguration eines Sicherungsknotens entscheidet Erstellen des McAfee Advanced Threat Defense Clusters auf Seite 332 Senden Sie Dateien und URLs an das Advanced Threat Defense Cluster Zeigen Sie die Analyseergebnisse fur ein Advanced Threat Defense Cluster an 10 Verwalten Sie die Cluster Konfigurationen Er
184. aspx id 3 auf und laden Sie das erforderliche Microsoft Office Compatibility Pack f r Word Excel und PowerPoint Dateiformate herunter Installieren Sie es anschlieBend auf dem virtuellen Computer Schritt 41 Aktivieren Sie im Dialogfeld Compatibility Pack f r 2007 Gompetbility Pack forthe 2007 Office system Office System die Option Klicken Sie hier um den Microsoft Software Lizenzbedingungen zuzustimmen und klicken Sie auf Weiter MICROSOFT SOFTWARE LICENSE TERRA MICROSOFT OFFICE COMPATIBILITY PACK FOR WORD EXCE These icense terms are an agreement between Microsoft Cor Pirate read Eher They eppiy bo the pofteere named above w ako apply bo ay Microsoft a updabes tupplemerts gt termet besed senices pra a upper 11957 57 hor the software unless other terms accompany those Rere BY USING THE SOFTWARE YOU ACCEPT THESE TERMS IF WI I you comply wath these boense berms you have the ighis bee 1 INSTALLATION AND USE RIGHTS You may install and gee 2 SCOPE OF LICENSE The cote u lemme not sole Thi reserves ell other nghts Linkess applicable bra gres you more pres permitted in thei agreement In dewey 66 you rik you bo use ft in certain ways You pray not work around any bechnical len abens m the often verse engines decompile or deacsemble the software ex Bh ireetation Vou mus accept te Microsoft Software License Terms in onde McAfee Advanced Threat Defense 3 4 2 Produkthandbuch
185. asswords and other settings User must enter a user name and password to use this computer Users for this computer User Name Group A Adrminetrator Administrators Users Password for Administrator ARS To change your password press Cirl Alt Del and select Change Password McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 177 178 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 30 Fuhren Sie im Popupfenster Automatische Anmeldung die folgenden Schritte aus und klicken Sie dann auf OK e Benutzername Geben Sie Administrator ein e Kennwort Geben Sie cr cker42 ein e Kennwort best tigen Geben Sie cr cker42 erneut ein User Accounts Ez Automatically Log On You can set up your computer so that users do not have to type a user A name and parsword to log on To do this specify a user that will be automatically logged on below User name Administrator Password serene Conte Password Por oie a Schritt 31 Laden Sie Sigcheck Auf der von Ihnen erstellten VM ist die Windows Firewall von der Seite http technet microsoft com en us sysinternals bb897441 aspx auf Ihren Computer den nativen Host herunter deaktiviert AuBerdem ist kein Virenschutz installiert Daher wird empfohlen die Programme und Komponenten zuerst auf den nativen Host herunterzuladen und dann auf die VM in VMware Workstatio
186. ated with the following settings Mame vrialMachinelmage oi Location Ciara 0 ee ee ae Version Worectaborn 9 0 Operating System Windows 7 164 Hard Disk 14 GA Pre allocated Memory 3072 MB Mebrork Adapter MAT Other Devices ODED USA Controler Printer Sound Card 7 Customize Hardware Power on this virtual machine after creation spak Finish Cancel Mew Virtual Machine Wizard re Glick Fresh to create the virtual machine and start installing Windows 7 werd and then Weware Toots The virtual machine wil be created with the following setings Name vialMadielmage VMware Workstation em Te Pe a Power on fe virtual machine after creation Schritt 18 Wenn das Popupfenster Removable Devices Wechselgerate angezeigt wird wahlen Sie Do not show this hint again Diesen Hinweis nicht mehr anzeigen und klicken Sie auf OK Die Installation von Windows beginnt Dies kann etwa 15 Minuten dauern McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 145 146 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 19 Wenn das Fenster Set Network Location oo aly Set Network Location Netzwerkstandort festlegen angezeigt wird wahlen Sie Public Network Offentliches Netzwerk und Close SchlieBen Slee a location lor Ihe Nenverk network Thr toni Peller ee Wired wll emba the coer reparo settings based on th
187. ateianalyse benutzen Sie k nnen auch die Anzahl der Lizenzen festlegen die Sie f r das Betriebssystem und die Anwendungen besitzen McAfee Advanced Threat Defense ber cksichtigt diese Informationen beim Erstellen bereinstimmender Analyse VMs von einer Image Datei Die VM Profile k nnen mittels McAfee Advanced Threat Defense Web Anwendung verwaltet werden VM Profil Name der Image Datei img Name des Betriebssystems Benutzerbeschreibung f r das VM Profil vorinstallierte Anwendungen usw Angabe ob dies das Standard VM Profil ist Anzahl der Lizenzen f r das Betriebssystem Abbildung 5 6 Konfigurationen in einem VM Profil McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 233 5 Erstellen einer Analyse VM Verwalten von VM Profilen Anzeigen von VM Profilen Sie k nnen die vorhandenen VM Profile in der McAfee Advanced Threat Defense Web Anwendung anzeigen Vorgehensweise 1 Wahlen Sie Richtlinie VM Profil Die verf gbaren VM Profile werden aufgef hrt Spaltenname Beschreibung Ausw hlen Dient zum Bearbeiten oder L schen des entsprechenden VM Profils Name Der von Ihnen zugewiesene Name des VM Profils Licenses Lizenzen Die Anzahl der Endbenutzerlizenzen ber die Sie f r das entsprechende Betriebssystem und die Anwendungen verf gen Dies ist einer der Faktoren die die Anzahl der gleichzeitigen Analyse VMs auf McAfee Advanced Threat Defense festlegen Default Standar
188. ation NO 9 0 aus der Dropdown Liste Hardware compatibility Virtual machine hardware compaibllty Hardwarekompatibilit t aus Hardware compatiolity Workstation 9 0 Akzeptieren Sie bei den Compatible with X Server anderen Feldern die Standardwerte und klicken Sie nn a auf Next Weiter aoe i nt alli Fusion 6 0 10 network adspbers Workstation 10 0 218 disk sue Workstation 9 0 Mo SATA devices a helo lt gek pet gt Cancel a E _ EL Tg u Schritt 5 W hlen Sie im Fenster Guest Operating System New Virtual Machine Wizard Installation Installation eines l Gast Betriebssystems een u entweder Installer disc ankan ey apio cl iia a system How wall you retal the quest opera System Installationsdatentrager oder u Installer disc image file iso install from Image Datei des Installer disc Installationsdatentr gers navigieren Sie zum ISO Image u DWO RW Drive E w hlen Sie es aus und klicken Sie anschlie end auf Next Weiter ED Dataller disc image fe doo w win Boos Could not detect which operating system is in this disc image shag sehen later The virtual machine vell be created with a blank hard disk ep agents Damen 106 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Window
189. ation das Kontrollk stchen Diese Meldung nicht mehr anzeigen und klicken You may need to restart your computer to apply these changes Sie auf Neu starten Before restarting save any open files and dose all programs 184 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 50 Offnen Sie den Standard Browser und richten Sie ihn fur Malware Analysen ein In diesem Beispiel wird Internet Explorer verwendet 1 Stellen Sie sicher dass der Popupblocker ausgeschaltet ist W hlen Sie in Internet Explorer Extras Popupblocker Popupblocker ausschalten Chk Shit Del Cin 5H F Delete Browsing History jP rieri Bross Kerpen Let menang penon hPa Filtering Cite Shita F InPiteate Phiering Settings Pop up Blocker Q F Amarcreen Ahir Manage Add ens Turn Of Pep ue Blecka Fep up Becker Selbingi 2 Wahlen Sie Extras Internetoptionen und wahlen Sie abhangig von der Version von Internet Explorer unter Startseite entweder Leere Seite oder Neue Registerkarte aus Internet Options Ea General Security Privacy Content Connections Programs Advanced Home pag gt To create home page tabs type each address on its own line ll about blank Use defout Browsing history 3 Wechseln Sie zur Registerkarte Erweitert und suchen Sie Sicherheit 4 Wahlen Sie Ausf
190. atisch die Android Analyse VM zur dynamischen Analyse der Datei verwendet Ebenso wird f r eine PE32 Datei Windows XP SP3 verwendet F r eine PE64 Datei wird eine Analyse VM mit Windows 7 SP1 64 Bit verwendet Wenn McAfee Advanced Threat Defense das Betriebssystem f r das Analyseprofil nicht bestimmen kann oder wenn die festgelegte Analyse VM nicht verf gbar ist wird die im Feld VM Profile VM Profil angegebene VM verwendet Archive Password Archivkennwort Confirm Password Kennwort best tigen Geben Sie das Kennwort f r McAfee Advanced Threat Defense ein um eine kennwortgesch tzte Malware Probe zu entpacken Geben Sie das Kennwort zur Best tigung erneut ein Minimum Run Time sec Mindestlaufzeit in Sekunden Geben Sie die Mindestdauer f r die dynamische Analyse der Probe durch McAfee Advanced Threat Defense an Der Standardwert ist 5 Sekunden Der zul ssige H chstwert betr gt 600 Sekunden Wenn das Ausf hren der Datei vor diesem Zeitpunkt beendet ist wird die dynamische Analyse angehalten Maximum Run Time sec Maximale Laufzeit in Sekunden Geben Sie die maximale Dauer f r die dynamische Analyse der Probe durch McAfee Advanced Threat Defense an Der Standardwert betr gt 180 Sekunden Der zul ssige H chstwert betr gt 600 Sekunden Wenn das Ausf hren der Datei vor diesem Zeitpunkt nicht beendet ist wird die dynamische Analyse angehalten Analysis Summary Analyse bersicht W hl
191. auf den Dropdown Pfeil b W hlen Sie Columns Spalten c W hlen Sie nur die erforderlichen Spaltennamen aus der Liste Logim ID T Default Analyzer Profile admin A At Sort Ascending E z nap A Sort Descending atdadmin Iz pi UEH Columns cd FT mwg Analyzer Profile 1 Name E Login ID Ej Default Analyzer Profile Abbildung 4 2 Auswahlen der erforderlichen Spaltennamen 3 Zum Sortieren der Liste der Benutzerdatens tze basierend auf einem bestimmten Spaltennamen klicken Sie auf die Spaltenuberschrift Sie k nnen die Datens tze in auf oder absteigender Reihenfolge sortieren Alternativ k nnen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift bewegen und auf den Dropdown Pfeil klicken W hlen Sie dann Sort Ascending Aufsteigend sortieren oder Sort Descending Absteigend sortieren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 39 4 Verwalten von Advanced Threat Defense Verwalten von McAfee Advanced Threat Defense Benutzern 4 Zum Anzeigen der vollst ndigen Details eines bestimmten Benutzers w hlen Sie den Datensatz aus und klicken Sie auf Bearbeiten Hinzuf gen von Benutzern Wenn Sie ber die Rolle Administratorbenutzer verf gen k nnen Sie folgende Benutzertypen erstellen e Benutzer mit Administratorrolle in der McAfee Advanced Threat Defense Web Anwendung e Nicht Administratorbenutzer in der McAfee Advanced Threat Defense Web Anwendung e Benutzer mit Zugriffsberechtigung
192. banksicherung m glicherweise nicht mit dieser Datei wiederherstellen Wiederherstellen einer Datenbanksicherung Spezifische Sicherungsdatei und vorhergehende Sicherungsdatei Bevor Sie beginnen e Stellen Sie sicher dass Sie die FTP IP Adresse den Verzeichnispfad und die Anmeldeinformationen auf der Seite Backup Scheduler Setting Zeitplaneinstellung zur Datensicherung konfiguriert haben und pr fen Sie ob die Verbindung f r die angegebene Konfiguration funktioniert Sie k nnen eine Sicherung nur von dem FTP Server wiederherstellen den Sie auch zur Erstellung der Sicherung verwendet haben e Vergewissern Sie sich dass die entsprechende Sicherungsdatei die Sie wiederherstellen m chten auf dem FTP Server im angegebenen Verzeichnis verf gbar ist e Vorsichtshalber sollte kein anderer Benutzer w hrend der Wiederherstellung bei Advanced Threat Defense angemeldet sein Ber cksichtigen Sie die Advanced Threat Defense Web Anwendung REST APIs und CLI e Achten Sie darauf dass Advanced Threat Defense w hrend der Wiederherstellung keine Probedateien oder URLs analysiert Au erdem d rfen keine integrierten Produkte Benutzer oder Skripte w hrend der Wiederherstellung Proben einsenden e Vergewissern Sie sich dass Sie w hrend der Sicherung keine Sicherung wiederherstellen e W hrend der Wiederherstellung darf kein Advanced Threat Defense Software Upgrade durchgef hrt werden Mit Specific backup file Spezifische Sicherun
193. bertialy unsafe macros Lise this setting only F you hase rus scanning tere installed or you se gure all e Setzen Sie genauso die Makrosicherheit fur Microsoft Excel und PowerPoint herab McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 95 Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 56 Sie ben tigen das Compatibility Pack um Microsoft Office Dateien ffnen zu k nnen die mit einer neueren Version von Microsoft seer teeny Office erstellt wurden Beispiel erters Zum Offnen einer DOCX Datei mit Office 2003 muss das entsprechende Compatibility Pack installiert sein Rufen Sie http www microsoft com en us download details aspx id 3 auf und laden Sie das erforderliche Microsoft Office Compatibility Pack f r Word Excel und PowerPoint Dateiformate herunter Installieren Sie es anschlieBend auf dem virtuellen Computer Schritt 57 Aktivieren Sie im Dialogfeld Compatibility Pack fiir 2007 epee Office System die Option Klicken Sie MELIA AA A IAS ie hier um den Microsoft Software Lizenzbedingungen zuzustimmen und klicken Sie auf OK You must accept the Microsoft Software License Terms in order MICROSOFT SOFTWARE LICENSE TERMS MICROSOFT OFFICE COMPATIBILITY PACK FOR WORD EXC These license terms are an agreement between Mi
194. c a ER Oj Tables PC Input Se Enabl AD Local tier and Cup ee 4 Task Scheduler Enabl Esta A TCAP Mel HL Promi a Periormanee Santas Pa Maric a Device Manager sl Taaphony First a E Hoge Diascnpiiore _ rk nl Sl Dik Management Enables a rarata user do los on to el Themes Prever McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 147 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 26 Wahlen Sie im Dialogfeld Eigenschaften von Telnet Lokaler Computer aus der Liste Starttyp die Option Automatisch aus Wahlen Sie dann Ubernehmen Start OK Description Enables a remote user to log on to this computer and a un programs and supports va ous TCP IP Telnet Path to executable C Windows System32Elnteer se Sapte Automate O start MOD raga megum from here CE Comes Cie 148 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 7 Schritt Details oa Aktivieren Sie FTP 1 w hlen Sie Sites und klicken Sie mit der rechten Maustaste auf auf der VM W hlen Sie im virtualMachinelmage die Optionen Start Systemsteuerung System und Sicherheit Verwaltung Doppelklicken Sie auf Internetinformationsdienste IIS erweitern Sie die Baumstruktur unter Hostname und f hren Sie folgende Schritte aus Standardwebsite und anschlie end auf Entfernen
195. cAfee Advanced Threat Defense Software Image auf das Sie aktualisieren m chten importieren Vorgehensweise 1 Melden Sie sich mithilfe eines FTP Clients wie FileZilla bei der McAfee Advanced Threat Defense Appliance an Melden Sie sich als der Benutzer atdadmin an Laden Sie die Datei system lt version number gt msu Uber SFTP in das Stammverzeichnis von McAfee Advanced Threat Defense hoch Stellen Sie sicher dass die Ubertragung im Bin rmodus erfolgt Melden Sie sich nach dem Hochladen der Datei als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung an und wahlen Sie Verwalten Software Verwaltung Wahlen Sie unter System Software Systemsoftware die Datei system lt version number gt msu aus Stellen Sie f r den Fall von Upgrades sicher dass Datenbank zur cksetzen nicht ausgew hlt ist und klicken Sie auf Installieren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 53 4 Verwalten von Advanced Threat Defense Upgrade von McAfee Advanced Threat Defense und Android VM 6 Eine Bestatigungsmeldung wird angezeigt Klicken Sie auf OK Status bd st be upload 2 System Software file was validated successfully Installation will start shortly 104 msu OK Die Systemsoftware wird installiert und der Status wird im Browser angezeigt Login ID Password zu Status L j Installation is in progress Please wait D Die Installation der Systemsoftware dauer
196. cAfee Advanced Threat Defense 3 4 2 Produkthandbuch 321 8 Clustering von McAfee Advanced Threat Defense Appliances Voraussetzungen und Anmerkungen Der prim re Knoten oder die prim re McAfee Advanced Threat Defense Appliance agieren als externe Schnittstelle f r das Cluster Das hei t dass der prim re Knoten in Bezug auf die Konfiguration und die Einsendung von Dateien virtuell mit der IP Adresse des Clusters verkn pft ist Die integrierten Produkte und Benutzer greifen auf den prim ren Knoten zu um Dateien zur Analyse zu senden und die Ergebnisse und Berichte abzurufen Der prim re Knoten fungiert auch als Vorlage und Steuerzentrale f r das Cluster Er ist f r den Lastenausgleich von Dateien unter allen Knoten verantwortlich und ruft die Berichte f r analysierte Dateien ab Ist ein Sicherungsknoten im Cluster vorhanden dann m ssen diese integrierten Produkte mit der Cluster IP Adresse konfiguriert werden Wie bereits erw hnt dient das Clustering von McAfee Advanced Threat Defense Appliances dem Lastenausgleich von Dateien Es gew hrleistet au erdem eine hohe Verf gbarkeit sekund rer Knoten F llt der prim re Knoten aus irgendeinem Grund aus bernimmt der Sicherungsknoten dessen Verantwortung sowie die Cluster IP Adresse des prim ren Knotens Nach der Reaktivierung wartet der primare Knoten in der Funktion des Sicherungsknotens bis der eigentliche Sicherungsknoten ausfallt Der Sicherungsknoten empf ngt und analysiert d
197. cAfee Advanced Threat Defense Appliance wenn Sie diese in Network Security Platform integrieren Syntax set appliance name lt WORD gt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 365 366 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Parameter Beschreibung lt WORD gt Gibt eine Folge von bis zu 25 Zeichen an bei denen die Gro und Kleinschreibung beachtet werden muss Die Zeichenfolge kann Bindestriche Unterstriche und Punkte enthalten und muss mit einem Buchstaben beginnen Beispiel set appliance name SanJose MATDI set uilog Verwenden Sie diesen Befehl um den Umfang der zu protokollierenden Informationen zum UI Zugriff festzulegen Es sind Stufen zwischen 1 und 7 m glich Syntax set uilog lt seconds gt Parameter Beschreibung lt numeric gt Legt den Umfang der zu protokollierenden Informationen zum UI Zugriff fest ATD 6000 gt set uilog 5 new log level is 5 set ui timeout Dieser Befehl legt fest wie viele Minuten Inaktivit t verstreichen k nnen bevor es bei der Verbindung zur McAfee Advanced Threat Defense Web Anwendung zu einer Zeit berschreitung kommt Syntax set ul timeout lt 60 86400 gt Parameter Beschreibung lt 60 86400 gt Sie k nnen f r die Zeit berschreitung eine Dauer von 60 bis 86 400 Sekunden einstellen Beispiel set ui timeout 600 Standardwert 15 Minuten set waittime Verwenden Sie dies
198. ced Threat Defense Appliance so nahe wie m glich zum Installationsort Platzieren Sie die Schachtel so dass die Schrift darauf richtig ausgerichtet ist Offnen Sie die Klappen der Schachtel Entnehmen Sie die Zubeh rschachtel aus der Schachtel in der sich die McAfee Advanced Threat Defense Appliance befindet Entfernen Sie den Gleitschienensatz Entfernen Sie das Verpackungsmaterial das die McAfee Advanced Threat Defense Appliance umgibt Nehmen Sie die McAfee Advanced Threat Defense Appliance aus der antistatischen T te Heben Sie Schachtel und die Verpackungsmaterialien auf falls Sie sie sp ter f r einen Umzug oder Versand der McAfee Advanced Threat Defense Appliance ben tigen berpr fen der Lieferung Die folgenden Zubeh rteile sind in der Lieferung der McAfee Advanced Threat Defense Appliance enthalten McAfee Advanced Threat Defense Appliance Im Inhaltsblatt aufgef hrtes Zubeh r Werkzeuglos zu montierender Laufschienensatz Frontblende mit Schl ssel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Vor dem Installieren der McAfee Advanced Threat Defense Appliance Vorder und Ruckseite der McAfee Advanced Threat Defense Appliance Abbildung 2 3 Vorderseite der ATD 3000 und ATD 6000 Beschriftung Beschreibung 1 System ID Taste mit integrierter LED Anzeige 2 NMI Taste zur ckgesetzt Werkzeug erforderlich 3 LED Anzeige f r
199. ch mithilfe der Anmeldeinformationen eines von Ihnen erstellten Benutzers bei der McAfee Advanced Threat Defense Web Anwendung an und laden Sie eine Probedatei zur Analyse hoch Dieser Schritt dient der berpr fung dass McAfee Advanced Threat Defense ordnungsgem konfiguriert ist Siehe Hochladen von Dateien zur Analyse mittels McAfee Advanced Threat Defense Web Anwendung auf Seite 280 7 berwachen Sie auf der Seite Analysestatus den Status der Analyse Siehe Konfigurieren der Seite Analysis Status Analysestatus auf Seite 290 8 Zeigen Sie nach Abschluss der Analyse den Bericht auf der Seite Analysis Results Analyseergebnisse an Siehe Anzeigen der Analyseergebnisse auf Seite 294 Wie analysiert McAfee Advanced Threat Defense Malware 248 In diesem Abschnitt lernen Sie den typischen Workflow von McAfee Advanced Threat Defense beim Analysieren von Dateien auf Malware kennen Stellen Sie sich folgende Situation vor Sie haben eine Datei manuell mithilfe der McAfee Advanced Threat Defense Web Anwendung hochgeladen 1 Wir gehen davon aus dass das Dateiformat unterst tzt wird McAfee Advanced Threat Defense entpackt die Datei und berechnet den MD5 Hashwert 2 McAfee Advanced Threat Defense wendet das wahrend des Hochladens angegebene Analyseprofil an 3 Auf Basis der Konfiguration im Analyseprofil bestimmt die L sung die Module fur die statische Analyse und gleicht die Datei gegen diese Module ab 4 Ergibt die statische
200. chten Es muss folgende Kriterien erf llen e Mindestens 8 Zeichen e Mindestens ein Gro buchstabe e Mindestens 1 Ziffer e Mindestens eines der folgenden Sonderzeichen amp e Kennwort und Benutzername d rfen nicht bereinstimmen Allow Multiple Logins Mehrere Anmeldungen zulassen First and Last Name Vor und Nachname Deaktivieren Sie diese Option wenn Sie nur eine Anmeldesitzung f r diesen Benutzernamen zulassen m chten Aktivieren Sie die Option um f r den Benutzernamen mehrere gleichzeitige Anmeldungen zuzulassen Geben Sie den vollst ndigen Namen des Benutzers an Er muss aus mindestens 2 Zeichen bestehen Email E Mail Adresse Geben Sie optional die E Mail Adresse des Benutzers an Company Unternehmen Telefon Geben Sie optional das Unternehmen an dem der Benutzer angeh rt Geben Sie optional die Telefonnummer des Benutzers an Anschrift Geben Sie optional die Anschrift des Benutzers zu Kommunikationszwecken an State Bundesland Geben Sie optional das der eingegebenen Anschrift entsprechende Bundesland an Land Geben Sie optional das der eingegebenen Anschrift entsprechende Land an Default Analyzer Profile Standard Analyseprofil W hlen Sie das Analyseprofil f r alle Dateien aus die vom Benutzer gesendet werden Benutzer die Dateien manuell senden k nnen diese Einstellung au er Kraft setzen und f r die Datei bertragung ein
201. chten Benutzerdatensatz aus und klicken Sie auf Bearbeiten Die Seite Benutzerverwaltung wird angezeigt 3 Nehmen Sie die nderungen an den gew nschten Feldern vor und klicken Sie auf Speichern Informationen zu den Feldern finden Sie unter Hinzuf gen von Benutzern auf Seite 40 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 43 4 Verwalten von Advanced Threat Defense Uberwachen der McAfee Advanced Threat Defense Leistung Loschen von Benutzern Wenn Ihnen die Administratorbenutzerrolle zugewiesen ist k nnen Sie Benutzerdatens tze l schen Vergewissern Sie sich dass der entsprechende Benutzer nicht angemeldet ist Sie k nnen keine vordefinierten Benutzerdatens tze l schen Dazu geh ren die Benutzerdatensatze fur den Administrator f r Network Security Platform und f r McAfee Web Gateway Vorgehensweise 1 Wahlen Sie Verwalten Benutzerverwaltung Die aktuelle Liste der Benutzer wird angezeigt 2 Wahlen Sie den gew nschten Benutzerdatensatz aus und klicken Sie auf Loschen 3 Klicken Sie auf Ja um das L schen zu best tigen berwachen der McAfee Advanced Threat Defense Leistung Die folgenden Optionen zur berwachung der Leistung von McAfee Advanced Threat Defense sind verf gbar e Verwenden Sie die Monitore im McAfee Advanced Threat Defense Dashboard um die Leistung laufend zu berwachen Siehe McAfee Advanced Threat Defense Leistungsmonitore auf Seite 317 e Verwenden Sie den Befehl sta
202. computer Program name Adobe Flash Player Installer Verified publisher Adobe Systems Incorporated File origin Hard drive on this computer V Show details No Change when these notifications appear 7 Wahlen Sie Ihre Aktualisierungsoption und klicken Sie auf WEITER Adobe Flash Player Installer nn _ X Update Flash Player Preferences Security updates and enhancements are periodically released for Adobe Flash Player that can be downloaded and installed automatically IMPORTANT Your update options have recently changed Choose your update option O Allow Adobe to install updates recommended Notify me to install updates Never check for updates not recommended 8 Klicken Sie auf FERTIGSTELLEN um die Adobe Flash Player Installation abzuschlieBen Adobe Flash Player Installer F Adobe Flash Player FINISH Schritt 52 Fahren Sie das virtualMachineImage herunter indem Sie folgende Optionen auswahlen Start Herunterfahren Schritt 53 Navigieren Sie zu dem Speicherort den Sie in Schritt 8 angegeben haben um die VMDK Datei mit dem Namen virtualMachinelmage flat vmdk aufzurufen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 187 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Erstellen einer VMDK Datei fur Windows 8 188 Bevor Sie beginnen e Laden Sie VMware Workstation 9 0 oder h her von der Seite http www vmware com
203. crosoft Cor them They apply to the software named above which inchuc Updates supplements Internet based services and support services For this software unless other terms accompany those items BY USING THE SOFTWARE YOU ACCEPT THESE TERMS IF Y IF you comply with these license terms you have the rights be 1 INSTALLATION AND USE RIGHTS You may install and use 2 SCOPE OF LICENSE The software is licensed not sold Th other rights Unless applicable law gives you more rights desp agreement In doing so you must comply with any technical work around any technical limitations in the software reverse engineer decompile or disassemble the software e limitation make more copies of the software than specified in this agre publish the software for others to copy rent lease or lend the software transfer the software or this agreement to any third party use the software For commercial software hosting services Click here to accept the Microsoft Software License Terms McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 58 Um PDF Dateien zu analysieren laden Sie Adobe Reader auf den nativen Host herunter und kopieren Sie ihn auf die VM In diesem Beispiel wird Adobe Reader 9 0
204. ction of computers debned by a neck admi ahi Dio ou mani hs compute bo be a member of a doman You map need bo obian this information bom your metvaork scumartrator WORKGROUP Yes make is computer a member of the following domain A Hest gt Schritt 26 Melden Sie sich mit den folgenden Anmeldeinformationen beim virtuellen Computer an e User Benutzer administrator e Password Kennwort cr cker42 Schritt 27 Wenn die Seite Sicherheitsupdatekonfiguration fur Windows Server angezeigt wird klicken Sie auf Fertig stellen Windows Server Post Setup Security pdates Maat p contra updating Wardens Lo halp pect par errar rang vr and other mor HTETI 3 gt ae diese re ee E paid pu dl rra la all of the labest re i alate nia diner Lee Sores pales espt ha Ainea be retarted I Aikas E seta dira he pise pe poa a um Lo Windows Update la meara HE all critical uisa hore bem roba ra conning h Ber eps Update this server Gh Pore Doers Step 2 Configure Automatic Updates Tie Aboma Update Fabra ceri uber cowed ha lata recurs updates oni cda eo er fines Chest ther carver Pus been ited bed ey Car Pe erae Dha it thas rs ber on fahmi Lecaros O Configure miomasi updating for this Pa dore Eh para rel ao inoue corsa Hier Ls Eh arar click Pin Por mera Torin soot bo nore orte e the ee Config ation dira mo ee McAfee Advanced Threat Defense 3 4 2 Produkthandbuch
205. d Zeigt an ob es sich um ein Standard VM Profil handelt Size Gr e Die Gr e der Image Datei in MB Hash Der MD5 Hash Wert der Image Datei 2 Blenden Sie die berfl ssigen Spalten aus a Bewegen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift und klicken Sie auf den Dropdown Pfeil b W hlen Sie Columns Spalten c W hlen Sie nur die erforderlichen Spaltennamen aus der Liste D Sie k nnen auf eine Spalten berschrift klicken und sie an die gew nschte Position ziehen 3 Zum Sortieren der Datens tze basierend auf einem bestimmten Spaltennamen klicken Sie auf die Spalten berschrift Sie k nnen die Datens tze in auf oder absteigender Reihenfolge sortieren Alternativ k nnen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift bewegen und auf den Dropdown Pfeil klicken W hlen Sie dann Sort Ascending Aufsteigend sortieren oder Sort Descending Absteigend sortieren 4 Zum Anzeigen aller Details eines bestimmten VM Profils w hlen Sie den Datensatz aus und klicken Sie auf View Anzeigen Erstellen von VM Profilen Nachdem Sie die VDMK Datei in das Image Format konvertiert haben k nnen Sie mit der VM Erstellung beginnen und auch das entsprechende VM Profil erstellen Jede Image Datei die Sie konvertiert haben darf nur mit einem VM Profil verkn pft sein Das bedeutet dass Sie f r jedes zu erstellende VM Profil eine nicht verwendete Image Datei ben tigen
206. d Threat Defense 3 4 2 Produkthandbuch 143 144 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 16 Vergewissern Sie sich dass im Fenster Specify Disk file Datentragerdatei angeben standardm ig virtualMachinelmage vmdk angezeigt wird und klicken Sie auf Next Weiter Wenn Sie unter Virtual Machine name Name des virtuellen Computers einen anderen Namen angegeben haben wird dieser hier angezeigt Mew Virtual Machine Wizard Specify Disk File Where voud you ike to store the ds fe Cask File One 14 GB disk file mil be created using the file name provided here vrtualMachneimage mok Bromas McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 17 Fuhren Sie folgende Schritte im Fenster Ready to Create Virtual Machine Bereit zur Erstellung des virtuellen Computers aus e Power on this virtual machine after creation Diesen virtuellen Computer nach der Erstellung einschalten W hlen Sie diese Option e Klicken Sie auf Finish Fertig stellen Dieser Schritt kann etwa 30 Minuten in Anspruch nehmen New Virtual Machine Wizard Ez Ready bo Create Virtual Machine Glick Finish to create the virtual machine and start installing Windows 7 64 and then Ware Tools The virtual machine wil be cre
207. d klicken Sie auf den Dropdown Pfeil b W hlen Sie Columns Spalten c W hlen Sie nur die erforderlichen Spaltennamen aus der Liste D Sie k nnen auf eine Spalten berschrift klicken und sie an die gew nschte Position ziehen 3 Zum Sortieren der Datens tze basierend auf einem bestimmten Spaltennamen klicken Sie auf die Spalten berschrift Sie k nnen die Datens tze in auf oder absteigender Reihenfolge sortieren Alternativ k nnen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift bewegen und auf den Dropdown Pfeil klicken W hlen Sie dann Sort Ascending Aufsteigend sortieren oder Sort Descending Absteigend sortieren 4 Zum Anzeigen der vollst ndigen Details eines bestimmten Analyseprofils w hlen Sie den Datensatz aus und klicken Sie auf View Anzeigen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Verwalten von Analyseprofilen Erstellen von Analyseprofilen Bevor Sie beginnen e Wenn Sie die Option fur die dynamische Analyse im Analyseprofil verwenden m chten stellen Sie sicher dass Sie das erforderliche VM Profil erstellt haben VM Profile sind auch erforderlich wenn Sie die Option Automatically Select OS Betriebssystem automatisch wahlen verwenden mochten e Wenn Sie Proben Internetzugriff gew hren m chten m ssen Sie ber Administratorbenutzerrechte verf gen Vorgehensweise 1 Wahlen Sie
208. den Sie die folgenden Programme auf den nativen Host herunter und installieren Sie sie auf der VM 1 Laden Sie Microsoft Visual C 2005 Redistributable Package x86 von der Seite http www microsoft com en us download details aspx id 3387 herunter und installieren Sie das Programm 2 Laden Sie Microsoft Visual C 2008 Redistributable Package x86 von der Seite http www microsoft com en us download details aspx id 5582 herunter und installieren Sie das Programm 3 Laden Sie Microsoft Visual C 2010 Redistributable Package x86 von der Seite http www microsoft com en us download details aspx id 5555 herunter und installieren Sie das Programm 4 Laden Sie Microsoft NET Framework 2 0 Service Pack 2 x86 Version von der Seite http www microsoft com en us download details aspx id 1639 herunter und installieren Sie das Programm 130 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 2003 Server Schritt Schritt 58 Laden Sie zum Analysieren von JAR Dateien Java Runtime Environment herunter und installieren Sie die Anwendung In diesem Beispiel wird Java 7 Update 25 verwendet Details Java Setup Welcome ie java ORACLE Welcome to Java Jaws prowides sele and secure access to he word of a
209. der durch Malware verursachte Netzwerkdatenverkehr vom Produktionsnetzwerk mit dem die ETH 0 Schnittstellen verbunden sind isoliert 324 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Funktionsweise des Advanced Threat Defense Clusters Funktionsweise des Advanced Threat Defense Clusters Beachten Sie Folgendes Wenn Sie ein Cluster f r Advanced Threat Defense Appliances erstellen fungiert der prim re Knoten als Vorlage und Control Center f r das gesamte Cluster Nachdem Sie das Cluster definiert haben k nnen Sie das Cluster mithilfe des prim ren Knotens konfigurieren D Der Sicherungsknoten verh lt sich wie ein sekund rer Knoten f r alle Konfigurationsprozesse Zu Erkl rungszwecken kann die gesamte Advanced Threat Defense Konfiguration folgenderma en klassifiziert werden Synchronisierte Konfiguration Bestimmte Konfigurationen sind nur mithilfe des prim ren Knotens m glich Wenn Sie diese Konfigurationen speichern sendet der prim re Knoten einen Snapshot seiner aktuellen Konfiguration in Dateiform an alle sekund ren Knoten Die sekund ren Knoten speichern diese Einstellungen in ihrer Datenbank Dieser Synchronisierungsprozess hat keine Auswirkungen auf die Dateianalyse Funktion einer Advanced Threat Defense Appliance Der prim re Knoten verf gt ber die aktuelle Version der Konfigurationsdatei Wenn die Versionen der Konfigurationsdatei des prim ren u
210. det Die Mitglieder im Cluster nutzen ihre Verwaltungsports f r die gesamte Kommunikation 4 Die korrespondierende sekund re Advanced Threat Defense antwortet mit einer Auftrags ID an die prim re und beginnt mit der Analyse der Datei auf Grundlage des Benutzerprofils Wenn die Datei durch statische Analyse erkannt wird sendet die sekund re Advanced Threat Defense das Malware Ergebnis Schweregrad an die prim re Advanced Threat Defense gt e Wenn die Datei durch statische Analyse erkannt wird sendet die prim re Advanced Threat Defense das Malware Ergebnis das sie von der sekund ren Advanced Threat Defense erhalten hat an den Verwaltungsport des Sensors e Wenn die Datei dynamisch analysiert wird erstellt der Sensor einen Informationshinweis im Echtzeit Threat Analyzer Dieser Informationshinweis wird standardm ig auf automatische Best tigung eingestellt die Sie bei Bedarf deaktivieren k nnen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 329 8 Clustering von McAfee Advanced Threat Defense Appliances Funktionsweise des Advanced Threat Defense Clusters Nummer Beschreibung 6 Der Sensor leitet die Auftrags ID an den Manager weiter Der Manager fragt beim Verwaltungsport der prim ren Advanced Threat Defense Appliance die Analyseberichte an Die prim re Advanced Threat Defense extrahiert die Berichte aus der korrespondierenden Advanced Threat Defense Appliance auf Grundlage der Auftrags ID Anschlie e
211. die Telefonnetzspannung TNV f hren LAN Anschl sse enthalten SELV Stromkreise und WAN Anschl sse TNV Kreise Einige LAN und WAN Anschl sse verwenden RJ 45 Stecker Seien Sie beim Anschlie en der Kabel vorsichtig Nutzungsbeschr nkungen Folgende Beschr nkungen gelten f r die Nutzung und den Betrieb der McAfee Advanced Threat Defense Appliance e Entfernen Sie nicht die Au enh lle der McAfee Advanced Threat Defense Appliance Ein solches Vorgehen f hrt zum Erl schen Ihrer Garantie e Die McAfee Advanced Threat Defense Appliance ist kein Allzweck Server e McAfee untersagt die Nutzung der McAfee Advanced Threat Defense Appliance f r andere Zwecke als den Betrieb der McAfee Advanced Threat Defense L sung e McAfee untersagt die nderung oder Installation von Hardware oder Software in bzw auf der McAfee Advanced Threat Defense Appliance sofern dies nicht im Rahmen des normalen Betriebs von McAfee Advanced Threat Defense passiert McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 21 22 Einrichten der McAfee Advanced Threat Defense Appliance Vor dem Installieren der McAfee Advanced Threat Defense Appliance Auspacken der Lieferung 1 2 3 Offnen Sie die Kiste Entnehmen Sie die erste Zubeh rschachtel Uberpriifen Sie dass Sie alle unter Uberpr fen der Lieferung auf Seite 22 aufgef hrten Teile erhalten haben Entnehmen Sie die McAfee Advanced Threat Defense Appliance Platzieren Sie die McAfee Advan
212. die bekannte Malware schnell erkennt e Zum Nachschlagen von Malware in der Cloud die bereits von anderen Unternehmen weltweit erkannt wurde ist eine Integration in McAfee Global Threat Intelligence McAfee GTI m glich e F r Emulationen ist die McAfee Gateway Anti Malware Engine eingebettet McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Malware Erkennung und McAfee Advanced Threat Defense 1 Die McAfee Advanced Threat Defense L sung e Fur die signaturbasierte Erkennung ist McAfee Anti Malware Engine eingebettet e Dateien werden durch Ausf hrung in einer virtuellen Sandkastenumgebung dynamisch analysiert McAfee Advanced Threat Defense bestimmt aufgrund des Verhaltens der Datei ob die Datei b sartig ist McAfee Advanced Threat Defense Komponenten der statischen Analyse Whitelist Blacklist McAfee GAM McAfee Anti Malware Modul Komponenten der dynamischen Analyse Hypervisor Vordefinierte Android Tl Benutzerdefinlerte Wiindows VM 1 Ernutzerdefinierte Windows Whi n Abbildung 1 1 Komponenten f r die Malware Analyse McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 13 14 Malware Erkennung und McAfee Advanced Threat Defense Die McAfee Advanced Threat Defense L sung McAfee Advanced Threat Defense Bereitstellungsoptionen Sie k nnen McAfee Advanced Threat Defense wie folgt bereitstellen e Standalone Bereitstellung Dies ist eine einfache M glichkeit der Bereitstellung v
213. direkt von der Malware Probe ausgef hrt werden Siehe User API Protokoll auf Seite 310 Local Black List Lokale Blacklist W hlen Sie diese Option wenn McAfee Advanced Threat Defense den MD5 Hashwert der Datei mit den MD5 Hashwerten auf der Blacklist der lokalen Datenbank abgleichen soll Anti Malware Malware Schutz W hlen Sie diese Option wenn McAfee Advanced Threat Defense die Datei mithilfe der McAfee Anti Malware Engine berpr fen soll GTI File Reputation GTI Datei Reputation W hlen Sie diese Option wenn McAfee Advanced Threat Defense den MD5 Hashwert der Datei mit McAfee GTI abgleichen soll Stellen Sie sicher dass McAfee Advanced Threat Defense mit McAfee GTI in der Cloud kommunizieren kann Gateway Anti Malware Wahlen Sie diese Option wenn McAfee Advanced Threat Defense die Datei mithilfe der McAfee Gateway Anti Malware Engine berpr fen soll Sandbox Sandkasten Run All Selected Gesamte Auswahl ausfuhren Wahlen Sie diese Option wenn die Datei dynamisch analysiert werden soll Eine Datei wird nicht dynamisch analysiert wenn eine der statischen Methoden sie als Malware oder sichere Datei meldet Wenn Sie die Datei unabhangig vom Ergebnis der statischen Analyse dynamisch analysieren m chten w hlen Sie auch Run All Selected Gesamte Auswahl ausf hren aus Stellen Sie sicher dass Sie das VM Profil und die Runtime Parameters Laufzeitparameter ausgew hlt haben W hlen
214. dows Server 2003 32 Bit Service Pack 1 Die Image Datei erh lt dann den Namen win2k3sp1_with_PDF Wenn Sie versuchen mehrere Analyse VMs mit demselben Betriebssystem zu erstellen wird die Image Datei jedes Mal mit der Standardbezeichnung fur das Betriebssystem benannt Daher wird diese Image Datei jedes Mal berschrieben anstatt eine neue Analyse VM mit demselben Betriebssystem zu erstellen Aus diesem Grund ist es obligatorisch bei der Erstellung mehrerer Analyse VMs mit demselben Betriebssystem einen Image Namen anzugeben 4 W hlen Sie das entsprechende Betriebssystem aus dem Dropdown Men Operating System Betriebssystem aus McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 231 5 Erstellen einer Analyse VM Konvertieren der VMDK Datei in eine Image Datei 5 Klicken Sie auf Konvertieren Die ben tigte Zeit f r die Konvertierung h ngt von der Gr e der VMDK Datei ab F r eine 15 GB gro e Datei ben tigt ATD 3000 etwa f nf Minuten Image Management VMDK Image wrualMachinelmage flat_test vmdk we Image Name WithPDF Operating System Windows 2003 SP1 2 Convert Image Conversion Logs Select Log w View Abbildung 5 2 Konvertierung einer VMDK in eine Image Datei Nach Abschluss der Konvertierung wird eine Meldung angezeigt _WITMRLIF SP1 Info x 1 j Image conversion is done OK Abbildung 5 3 Bestatigungsmeldung 6 Um die Protokolle fur die Image Konvertierung anzuzeigen wahlen Sie d
215. dows warts ee hs pk pela allan ce air ZENE aia CASITA the message to be displayed and the ity to run every bme Windows shar Choose the Normal Startup mode on the General Lab bo shart Windows normal and unde the changes you made wang the System Configursbon Ubiety Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Schritt 66 ffnen Sie den Standard Browser und richten Sie ihn f r Malware Analysen ein In diesem Beispiel wird Internet Explorer verwendet 1 Stellen Sie sicher dass der Popupblocker ausgeschaltet ist W hlen Sie in Internet Explorer Extras Popupblocker Popupblocker ausschalten Parontes Mia Hep le Mad and Meas x Pop up Blocker 2 Turn Off Pop up Blocker Manage Addons Pop up Blocker Settings Synchronize Windows Update EE com mbar when you link yi Windows Messenger Disgnose Connection Problems Md E Internet Options 2 Wahlen Sie Extras Internetoptionen und w hlen Sie abh ngig von der Version von Internet Explorer unter Startseite entweder Leere Seite oder Neue Registerkarte aus Internet Options General Secuntp Privacy Content Connections Programs Advanced Home page T A You can change which page bo use lo your home page Address ab
216. dukthandbuch Inhaltsverzeichnis Upgrade der McAfee Advanced Threat Defense Software von 3 0 4 xx auf 3 2 0 xx 51 Upgrade der ATD Software von 3 2 0 xx auf 3 2 2 xx nn a m ee ee ee ee ee 53 Upgrade der Android Analyse VM 1 1 nn nn nn D55 Fehlerbehebung e oa C 8 See a Oe ok ee wy ee ee G Exportieren von McAfee Magancea Threat Bee Bestseller re re ee ee A gt Neuerstellen der Analyse VMS 2 ww ee a a ee eee ee ee 60 L schen der Analyseergebnisse ue a a E w e a ee ye S ee a OL Sichern und Wiederherstellen der Advanced Threat E E a ee Ol Planen einer Datenbanksicherung ma P se E 62 Wiederherstellen einer Datenbanksicherung Spezifische sima und o erachande Sicherungsdatel 2 a o or nda 26 ds a sa ss 65 Erstellen einer Analyse VM 71 Erstellen einer VMDK Datei f r Windows XP we nenn 73 Erstellen einer VMDK Datei f r Windows 2003 Server 2 m m m ee ee ee ee 105 Erstellen einer VMDK Datei f r Windows 7 1 nenn 137 Erstellen einer VMDK Datei f r Windows 2008 Server m m m m ew ee ee ee ees 163 Erstellen einer VMDK Datei f r Windows 8 A E ee we aos Importieren einer VMDK Datei in McAfee Advanced Threat Defense a a m m m a a nn 230 Konvertieren der VMDK Datei in eine Image Datei a a a a a nn a 2 4 4 4 4 230 Verwalten von VM Profilen 2 mon 233 Anzeigen von VM Profilen innen 234 Erstellen von VM Profilen mon
217. e Anschlussgeschwindigkeit und Duplexeinstellungen f r den Verwaltungsport mithilfe eines der folgenden Befehle fest e set mgmtport auto Stellt den Auto Modus f r Geschwindigkeit und Duplex des Verwaltungsports ein e set mgmtport speed 10 100 duplex full half Stellt die Geschwindigkeit auf 10 oder 100 Mbit s bei Voll oder Halb Duplex ein 9 Geben Sie zum Best tigen der Konfiguration show ein Dies zeigt die derzeitigen Konfigurationsdetails an 10 Senden Sie Ping Befehle an andere Netzwerk Hosts um die Netzwerkverbindung zu berpr fen Geben Sie auf die Aufforderung hin ping lt IP address gt ein Bei erfolgreichem Vorgang wird die Meldung host lt ip address gt is alive Host lt IP Adresse gt ist aktiv angezeigt Ist der Host nicht erreichbar wird die Meldung failed to talk to lt ip address gt Verbindung mit lt IP Adresse gt fehlgeschlagen angezeigt 11 ndern Sie das Kennwort f r die McAfee Advanced Threat Defense Appliance mit dem Befehl passwd Das Kennwort muss zwischen 8 und 25 Zeichen umfassen und darf jedes alphanumerische Zeichen bzw Symbol enthalten Die Gro und Kleinschreibung muss beachtet werden D Es wird von McAfee dringend empfohlen dass Sie ein Kennwort mit einer Zeichenkombination w hlen an die Sie sich einfach erinnern k nnen die jedoch f r andere schwer zu erraten ist McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 33 34 Einrichten der McAfee Advanced Threat Defense Appl
218. e Dateien in der ZIP Datei werden unter einem Standardnamen erstellt und gespeichert Beachten Sie dass die gesendete Probe im Format vtest32 exe ist Die ZIP Datei enthalt die folgenden Ergebnisse vtest32_summary html json txt xml Diese ist identisch mit dem Ubersichtsbericht der Analyse In der ZIP Datei sind vier Dateiformate fiir den gleichen Ubersichtsbericht vorhanden Die HTML und TXT Dateien sind haupts chlich f r Endbenutzer zur berpr fung des Analyseberichts bestimmt Die JSON und XML Dateien enthalten Verhaltenstags bekannter Malware fur Programmierungsskripte sodass Schlusselinformationen extrahiert werden k nnen Ab einem Malware Schweregrad von 3 sind IOC und STIX XML Formate des Ubersichtsberichts fur die Analyse der Probe enthalten vtest32 log Diese Datei erfasst die DLL API Aufrufvorgange auf Windows Benutzerebene wahrend der dynamischen Analyse Sie mussen diese Datei sehr genau lesen um die vollstandige API Aufrufsequenz sowie die Eingabe und Ausgabeparameter zu verstehen Sie ist mit dem User API Protokoll identisch vtest32ntv txt Diese Datei erfasst native API Dienst Aufrufvorgange fur Windows w hrend der dynamischen Analyse vtest32 txt Diese Datei zeigt die PE Header Informationen der gesendeten Probe an vtest32_detail asm Diese Datei ist mit dem Bericht Disassembly Results identisch Sie enthalt eine Reverse Engineering Disassembly Liste der Probe nachdem sie entpackt oder entschlusse
219. e Uhrzeit des NTP Servers Die Zeitzone basiert allerdings auf den Angaben auf der Seite Date and Time Settings Datums und Uhrzeiteinstellungen e Das Datum und die Uhrzeit eines McAfee Advanced Threat Defense Clients wirken sich nicht auf die angezeigten Zeitstempel aus Die aktuelle Zeiteinstellung der McAfee Advanced Threat Defense Appliance ist beispielsweise 10 Uhr morgens PST UTC 8 Alle Zeitstempel werden grundsatzlich in PST angezeigt unabh ngig davon von welcher Zeitzone aus Sie auf die McAfee Advanced Threat Defense Appliance zugreifen Das hei t also dass die Zeitstempel nicht basierend auf den Datums und Uhrzeiteinstellungen des Clients konvertiert werden 268 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Konfigurieren der Datums und Uhrzeiteinstellungen e Wenn die aktuellen Datums und Uhrzeiteinstellungen ge ndert werden wird auch der Zeitstempel von alteren Datens tzen entsprechend ge ndert Die aktuelle Zeitzone ist beispielsweise PST UTC 8 und Sie andern diese in Japan Standard Time UTC 9 Daraufhin wird der Zeitstempel aller alteren Datens tze in Japan Standard Time JST konvertiert Der angezeigte Zeitstempel eines Datensatzes auf der Seite Analysis Status Analysestatus war beispielsweise 01 00 Uhr PST 1 Uhr morgens bevor die Zeitzone ge ndert wurde Nach der Anderung der Zeitzone in JST zeigt der Zeitstempel desselbe
220. e auf Um das Anzeigeformat eines Monitors zu ndern klicken Sie auf Malware Analysemonitore Nachfolgend sind die Monitore fur die Malware Analyse beschrieben File Counters Dieser Monitor zeigt den Analysestatus der wahrend des festgelegten Zeitraums bermittelten Dateien an Beispiel Wenn Sie im Dashboard fur die Daten beim Zeitraum die letzten 5 Minuten festgelegt haben wird im Monitor fur diesen Zeitraum angezeigt fur wie viele Dateien die Analyse abgeschlossen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 313 7 Analysieren von Malware Arbeiten mit dem McAfee Advanced Threat Defense Dashboard wurde wie viele gerade analysiert werden und bei wie vielen die Analyse noch aussteht Falls Sie fur diesen Monitor die Anzeige als gestapeltes Balkendiagramm aktiviert haben wird auch der Schweregrad der Dateien angegeben File Counters waiting WM Malicious ES Not Malicious Not Rated Running Completed 0 50 100 150 200 250 300 Abbildung 7 18 Monitor File Counters e Der Schweregrad wird anhand verschiedener Farben angegeben e Um die Dateien mit einem bestimmten Schweregrad auszublenden klicken Sie in der Legende auf den entsprechenden Schweregrad Wenn Sie sich zum Beispiel auf b sartige Dateien konzentrieren m chten klicken Sie in der Legende auf Not Malicious Nicht b sartig und Not Rated Nicht bewertet Daraufhin wird im Diagramm nur Malware mit hohem Schweregrad mit ausstehendem akti
221. e empfiehlt die Verwendung von SFTP Path Pfad Dies ist der vollst ndige Pfad zu dem Ordner in dem die Ergebnisse gespeichert werden sollen User Name Benutzername Dies ist der Benutzername den McAfee Advanced Threat Defense verwenden soll um auf den FTP Server zuzugreifen Kennwort Dies ist das Kennwort f r den Zugriff auf den FTP Server e Test Damit k nnen Sie berpr fen ob McAfee Advanced Threat Defense mithilfe des angegebenen Protokolls FTP bzw SFTP mit dem angegebenen FTP Server kommunizieren kann Speichern Mit diesem Befehl wird der Benutzerdatensatz mit den angegebenen Informationen erstellt Stellen Sie sicher dass bei der Konfiguration des FTP Servers f r die Ergebnisausgabe die Testverbindung erfolgreich hergestellt werden konnte bevor Sie aufSpeichern klicken Abbrechen Mit diesem Befehl wird die Seite Benutzerverwaltung ohne Speichern der Anderungen geschlossen Bearbeiten von Benutzern Wenn Ihnen die Administratorbenutzerrolle zugewiesen ist k nnen Sie die Benutzerprofile bearbeiten Falls Sie die Pflichtfelder ndern m chten sollten Sie sicherstellen dass der entsprechende Benutzer nicht angemeldet ist Wenn Ihnen nur die Web Zugriffs oder REST Zugriffsrolle zugewiesen ist k nnen Sie nur Ihr eigenes Benutzerprofil bearbeiten Vorgehensweise 1 Wahlen Sie Verwalten Benutzerverwaltung Die aktuelle Liste der Benutzer wird angezeigt 2 Wahlen Sie den gew ns
222. e festlegen ob w hrend der dynamischen Analyse ein Eingreifen seitens des Benutzers erforderlich ist um das tats chliche Verhalten der Datei zu bestimmen Falls ein Benutzereingreifen erforderlich ist k nnen Sie die Datei im interaktiven Benutzermodus manuell versenden Abschnitt Analysis results Analyseergebnisse Dies ist ein Abschnitt im bersichtsbericht der Analyse Darin k nnen Sie anzeigen durch welche Methoden berichtet wurde dass die Beispieldatei Malware enth lt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 301 7 Analysieren von Malware Anzeigen der Analyseergebnisse Tabelle 7 8 Analyseauswahl Beschriftung Beschreibung Engine Modul Dies sind die verschiedenen Methoden die McAfee Advanced Threat Defense zur Dateianalyse verwendet e GTI File Reputation bezieht sich auf das McAfee GTI Modul das sich in der Cloud befindet e Gateway Anti Malware steht fur McAfee Gateway Anti Malware Engine e Anti Malware Verweist auf McAfee Anti Malware Engine e Sandbox zeigt an dass die Datei auf einer Analyse VM ausgef hrt wurde Details zu dieser VM finden Sie im Analysis Environment Abschnitt Analyseumgebung des Berichts Threat Name Dies zeigt den Namen bekannter Malware inMcAfee GTI McAfee Gateway Bedrohungsname Anti Malware Engine und McAfee Anti Malware Engine an Severity Schweregrad Diese Beschriftung zeigt den von verschiedenen Methoden angegebenen Schweregradfaktor
223. e in auf oder absteigender Reihenfolge sortieren Alternativ k nnen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift bewegen und auf den Dropdown Pfeil klicken W hlen Sie dann Sort Ascending Aufsteigend sortieren oder Sort Descending Absteigend sortieren In der Standardeinstellung werden die Datens tze in absteigender Reihenfolge der Spalte Submitted Time Ubermittlungszeit sortiert Klicken Sie auf cal um die Einstellungen der Seite Analysis Results Analyseergebnisse zu speichern McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 293 7 Analysieren von Malware Anzeigen der Analyseergebnisse Anzeigen der Analyseergebnisse Nachdem Sie eine Datei zur Analyse eingesendet haben k nnen Sie die Ergebnisse auf der Seite Analysis Results Analyseergebnisse anzeigen Altere Berichte werden gel scht sobald der Datenspeicher von McAfee Advanced Threat Defense zu 75 voll ist Sie k nnen den aktuell verfugbaren Datenspeicherplatz auf dem Monitor System Health D Systemzustand des Dashboards anzeigen Wenn Sie die Optionen unter FTP Result Output FTP Ergebnisausgabe auf der Seite Benutzerverwaltung konfigurieren speichert McAfee Advanced Threat Defense die Ergebnisse lokal und sendet sie zur langfristigen Nutzung an den konfigurierten FTP Server Vorgehensweise 1 Wahlen Sie Analyse Analysis Results Analyseergebnisse aus Auf der Seite Analysis Results wird der Status der abgeschlossenen Dateien angez
224. e name of a program folder document or Internet resource and Windows will open it for you Open regel Wy The task well be created with administrate prrvileges Browse Der Registrierungs Editor wird geoffnet 3 Wahlen Sie HKEY_LOCAL MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon und doppelklicken Sie anschlieBend auf Shell 4 Andern Sie den Wert vom Standardwert explorer exe in explorer exe explorer exe und klicken Sie auf OK a Fargrid y Ech tca A Sera rira aes T CA oT iS E de irradian EE Loros FP b de a ar FEG Bern H parari RE AAI A T a Weekes a Peek Ei i de Perea al Prados HG ALLA EPG dl diia rh Le Bigger enh EB na I de ee u u r FG Elo picid de Wien A FIN TPA FRE N a WLER ee REG o d pri en A RDG Sz da pe AA E d E d Coe LA ee TA EN ee MAS aa McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 199 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 22 Deaktivieren Sie 1 Dr cken Sie gleichzeitig die Windows und die X Taste und w hlen auf der VM die Sie dann Systemsteuerung System und Sicherheit Windows Firewall Windows Firewall Windows Firewall ein oder ausschalten 2 Wahlen Sie Windows Firewall deaktivieren nicht empfohlen fur sowohl Standorteinstellungen fur das Heim oder Arbeitsplatznetzwerk privat als auch Standorteinstellungen f r das ffentliche Net
225. e nebak s kastiga Home network Y ale computes on hb aah are dl pou heme aad you i recog ie Tam thes ba trusted home network Don choose the f ar publi plese uch a coffes shop cr apo Work netek F il Se open on Cin Sethe bet Dl pou EE rl pee i iten the it won dorada Dont ches rare bd plane ql des cofres shop or apo Public network F poa don recono al ihe compiten 0 The er he Wau re i Eee hop ep o yoi hra mobile reden fe 6 5 ph rebwos tnd m rani eier Treat all future netsearka that connect tom publ and don mk ma agan Hep me chopar Cancel Schritt 20 Halten Sie die Installation von VMware Tools an Die VMware Tools sind mit McAfee Advanced Threat Defense nicht kompatibel Wenn Sie die Installation von VMware Tools nicht angehalten haben k nnen Sie dennoch mit der VMDK Dateierstellung fortfahren Das Programm muss aber deinstalliert sein sobald die VMDK Datei bereit ist isl VMware Tools Setup Schritt 23 Deaktivieren Sie auf der VM die Windows Firewall 1 Wahlen Sie Start Systemsteuerung System und Sicherheit Windows Firewall Windows Firewall ein oder ausschalten 2 Wahlen Sie Windows Firewall deaktivieren nicht empfohlen fur sowohl Standorteinstellungen f r das Heim oder Arbeitsplatznetzwerk privat als auch Standorteinstellungen f r das ffentliche Netzwerk und klicken Sie anschlieBend auf OK McAfee Advanced Threat Defense 3 4 2 Produkth
226. eben Wird ausgef hrt Gelb Fehlgeschlagen Rot Erfolgreich Gr n Im Folgenden finden Sie ein Beispiel f r den Monitors VM Creation Status wenn der Status der VM Erstellung Erfolgreich ist VM Creation Status Abbildung 7 26 Monitor VM Creation Status McAfee Advanced Threat Defense Leistungsmonitore Folgende Monitore stehen fiir die Uberwachung der McAfee Advanced Threat Defense Appliance Leistung zur Verf gung McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 317 7 Analysieren von Malware Arbeiten mit dem McAfee Advanced Threat Defense Dashboard System Health Systemzustand Dieser Monitor zeigt den Status der McAfee Advanced Threat Defense Appliance in einer Tabelle an System Health Systemzustand Zeigt an ob sich das System in einem guten Status befindet Gr n steht f r einen guten Status und Rot f r einen schlechten DNS Status DNS Status Gibt den Verbindungsstatus zwischen Advanced Threat Defense und den konfigurierten DNS Servern an Wenn Advanced Threat Defense eine Verbindung zum bevorzugten und alternativen DNS Server herstellen kann wird der DNS Status Fehlerfrei in Gr n angezeigt Kann Advanced Threat Defense keine Verbindung zum bevorzugten DNS Server herstellen wird der DNS Status Kritisch in Rot angezeigt Wenn die Advanced Threat Defense mit keinem bevorzugten DNS Server verbunden ist dann wird der DNS Status Nicht konfiguriert in Rot angezeigt Uptime Betriebszeit Die Anzah
227. eboot active Der Befehl startet die Appliance neu mit der Softwareversion auf der aktiven Festplatte reboot backup Der Befehl startet die Appliance neu mit der Softwareversion auf der Sicherungsfestplatte reboot vmcreator Dieser Befehl erstellt die in der McAfee Advanced Threat Defense Web Anwendung konfigurierten Analyse VMs neu w hrend die Appliance neu gestartet wird resetuiadminpasswd Verwenden Sie diesen Befehl zum Zur cksetzen des Kennworts f r die admin Benutzer der McAfee Advanced Threat Defense Web Anwendung Wenn Sie diesen Befehl ausf hren wird das Kennwort auf den Standardwert zur ckgesetzt der admin lautet Beachten Sie dass die aktuell angemeldeten Sitzungen nicht betroffen sind Eine nderung des Kennworts betrifft nur neue Anmeldeversuche Syntax resetuiadminpasswd Dr cken Sie J zum Best tigen oder N zum Abbrechen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 359 360 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle resetusertimeout Der Befehl erm glicht Benutzern sich bei der McAfee Advanced Threat Defense Web Anwendung anzumelden ohne darauf zu warten bis der Timer ablauft Syntax resetusertimeout lt WORD gt Parameter Beschreibung lt WORD gt Der Benutzername fur die McAfee Advanced Threat Defense Web Anwendung f r den Sie den Anmeldungszeitgeber entfernen m chten Wenn die Aktion erfolgreich ist wird die Nachricht Reset done Zu
228. eciurs pid sei B m gein Kequrermentc b Asugn a default deman forie A ie oe At legs Wirdoss Serer IE de Este maient payee El Diver trestamation Mirco E cr Windows AT E Do net roca tha legacy run E Baty Lan tl cie El Do nat process the nun once E J Enhanced sge Thi policy setting alos you to Tem off ape nc fession on FE Fie Clan control whether umm ron the fort 9 Tem of Ward Sarlup 5044 3 Ale She Shadow run ge arimen when sigan las D Do net mument comected D hepten bo tha PE for the fit bre E Pokia Eminin F yi mabir thn poky niir L Erare local uwiers on der E Group Policy ner sal qee the ami 1 Hide entry points Tor Part Ups mimrer Communi Alb wie die gan E acu F pru dra ble the poleo Aira i ete er will oe Bee ihe Breen bL Go mst a play He Costing She T E Ren hee prograra ot ver lo rn E yai dont Ge the per Alwar mt for the network al l ma a e oe A fe har ia retar bwin how E Legen 2 animation when completira i 4 W hlen Sie Deaktiviert und klicken Sie anschlie end auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details or Show fest sign in animation Previous C Not Configured Comment 05 Enabled E Disabled Supported ont Ap least Windows Server 2012 Windows McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 203 204 Erstellen ei
229. ed Threat Defense f r die Malware Analyse 6 Konfigurieren von DNS Einstellungen the protection attribute of the process Installed low level keyboard hook procedure Deleted a key from auto run registry entry Altered auto run registry entry that executed at next Windows boot Beispiel fur Ereignisse der Benutzeranmeldung abmeldung das in ESM angezeigt wird lt l8l gt Aug 20 00 33 42 ATD 3000 MATD L0OG 6902 Action Successful user login User meg Userip EN timest mp s 014 08 20 0233142 Client 10 213 248 120 Konfigurieren von DNS Einstellungen Bei der Ausf hrung senden einige Dateien m glicherweise DNS Abfragen zur Aufl sung von Namen Meist versuchen Malware Programme durch solche Abfragen festzustellen ob sie in einer Sandkastenumgebung ausgef hrt werden Schl gt die DNS Abfrage fehl w hlt die Datei unter Umst nden einen Alternativpfad Wenn McAfee Advanced Threat Defense eine solche Datei dynamisch analysiert k nnen Sie einen Proxy DNS Dienst verwenden um das tats chliche Verhalten der Datei aufzudecken Vorgehensweise 1 W hlen Sie Verwalten DNS Setting DNS Einstellung Die Seite DNS Setting DNS Einstellung wird angezeigt 2 Geben Sie die entsprechenden Informationen in die jeweiligen Felder ein Optionsname Beschreibung Domain Dom ne Geben Sie den Namen f r die Active Directory Dom ne an beispielsweise McAfee com Preferred DNS Server Geben S
230. ee re terminal a de a e Se He ww a woe Be oe oh Se ee ee we ow a Update avdal ia mu u ee wo a ek Se aa eee eo ee we ke 4 78 VIE e s amp masas eo oe eh ek we aw a ee we ee ee oe we we we we oe B78 WONO e 2 4 Vd da as ee ee eee ee ee ee ee ee BO set malware intfport mgmt 1 nn nenn 373 Whltelist s s e s e esa 2 amp amp amp he ke ee oe ea ee amp ww O78 Index 375 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Inhaltsverzeichnis McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einleitung In diesem Handbuch finden Sie die erforderlichen Informationen fur die Arbeit mit Ihrem McAfee Produkt Inhalt gt Informationen zu diesem Handbuch gt Quellen fur Produktinformationen Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben Zielgruppe Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe verfasst Die Informationen in diesem Handbuch richten sich in erster Linie an e Administratoren Personen die f r die Implementierung und Durchsetzung des Sicherheitsprogramms eines Unternehmens verantwortlich sind e Benutzer Personen die den Computer nutzen auf dem die Software ausgef hrt wird und die auf einige oder alle Funktionen zugreifen k nnen Konventionen In diesem Handbuch werden fo
231. efehle fur McAfee Advanced Threat Defense 345 Ausgabe von CLI Befehlen A ae E O Be Ausgeben eines Befehls ber die Konsole 2 a ee ss e BAD Ausgeben eines Befehls ber SSH co 346 Anmeldung bei der McAfee Advanced Threat pease Aar ane els SSH Client co 346 Auto Vervollst ndigung 2 we a ek ee ee ee 346 CLI Syntax eee oe eae ee a a ee ee ew So we ee Obigatorisdhe Befehle be ae i ER A Asa S47 Anmelden ber die Befehlszeilenschnittstelle CLD inte eae E ae E E ee E E E Bedeutung von E EEE a pr oe a a ee we oe ae we a aa 317 Verwalten der Festplatten der McAfee Advanced Trea Defense AE ko ma ee ae Day Liste der CLI Befehle 2 a a a a a a ee ee ee 348 1 ae s a amp we ee ee oe ew ew Ke Ee E ee wa we e a me 848 StGCOUNLGr 2 a e O ae ee oe ee tb ee Be be e a w BAS backup reports 2 ee ee 348 backup reports date 2 we ee 349 Blacklist nk 2 Sie e Se a ok ok ie Sk GE Gr ok ws oe SS A ok we OH ee PR oe ow amp we amp wD CleaisialS jae mee Re he eke ee eh ek ee ae ee we OO cluster withdraw 4 ao a a em eS ew ee A Is we He we we Bw eo 350 createDefaultVms o 30 Gb FED a s s a we ss A E ss E a a O McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Inhaltsverzeichnis geleteblacklise 2 x 4 a u e eee eee ewe sa BSL deletesamplereport a a a a a a bl diskcleanup ooa a a a ee ee 31 dxlstatus y a ao oao ae ee ee o O docfilterstatuS
232. ei maximum size Maximalgr e Maximale Dateigr e restart engine Modul neu Verwendet den Wert 1 oder 0 starten 1 AMAS Dienst neu starten dies ist f r die NSP und NGFW Integration erforderlich O AMAS Dienst l uft weiter verwenden Sie diese Option wenn die Einsendung ber GUI Rest API erfolgt In der folgenden Tabelle werden die verschiedenen Dateitypen und ihre jeweilige Typnummer Mindestdateigr e und maximale Dateigr e beschrieben McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 363 9 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Typnummer Dateibeschreibung MindestgroBe Maximalgr e 1 Portierbare ausfuhrbare EXE DLL oder SYS Datei 1024 10000000 Windows PDF Dokumentdatei mit der Erweiterung pdf 2048 25000000 Java Klassendatei mit der Erweiterung class 1024 5000000 4 Altere Microsoft Office Dateien mit der 5120 10000000 Erweiterung doc ppt oder xls 5 Microsoft Rich Text Format Datei mit der 1024 10000000 Erweiterung rtf 6 ZIP Datei APK Datei oder neuere Microsoft 200 20000000 Office Datei mit der Erweiterung docx pptx oder xlsx JPEG Bilddatei 5120 1000000 PNG Bilddatei 5120 1000000 GIF Bild Bitmap Datei 5120 1000000 10 Ausfuhrbare Datei mit der Erweiterung com 1024 5000000 Microsoft DOS 11 Flash Datei mit der Erweiterung swf 1024 5000000 12 Komprimierte 7 Zip Archivdatei mit der 200 1000
233. eigt Last 24 hours Refresh every 1 minute Show All Results Case Sensitive Search By Search Export CSV VM Profile Hash File Size Source IP Destination IP StaticAnalysis FDF6EED594E448398EC46516D01 37 d42 KB 10 40 243 78 96 17 202 67 StaticAnalysis FOFSEED594E448395ECA46516D137 442 KB 161 69 7 20 96 17 202 67 winXPsp3 BF2Z65D1E5955685C78219B2321156A 15 KB 161 69 7 20 65 68 53 81 winXPsp3 BF2601 598568C78219B23211564 15 KB 10 40 247 45 65 68 53 81 winxXPsp3 CCEIDOELOPCKSAS35 7269 5FF7 44400 425 KB 161 69 7 20 152 66 252 1 winXPsp3 CCE1DD0E107C7343372695FF744A00 425 KB 10 40 246 189 152 66 252 1 wing Psp SFS20F6EADAI1B65E140120564466 178 KB 161 69 7 20 172 233 12 1 winXPsp3 5F320F6EADA41B65E140 120564466 178 KB 10 40 246 189 172 233 12 1 winXPsp3 75D0458G 798B113CB45CDE3D9197 103 KB 161 69 7 20 50 56 241 141 Abbildung 7 10 Status der zur Analyse eingesendeten Dateien Wenn Sie keine Administratorberechtigungen haben werden nur die von Ihnen eingesendeten D Dateien angezeigt Ein Benutzer mit Administratorberechtigungen kann von allen Benutzern eingesendete Dateien sehen Klicken Sie auf Export CSV CSV exportieren um den Status der abgeschlossenen Dateien im CSV Format lokal zu exportieren 2 Legen Sie die Kriterien zum Anzeigen und Aktualisieren der Datens tze auf der Seite Analysis Results fest a Legen Sie die Kriterien zur Datensatzanzeige auf der Seite Analysis Results fest Standardm ig w
234. eine Textdatei und ffnen Sie sie in einem Texteditor wie z B Windows Editor 2 Geben Sie die Kommentare in die Textdatei ein um die APIs oder Daten zu verfolgen die die Quellen f r Ihre YARA Regeln sind a custom yara Notepad File Edit Format View Help FCreateDirectoryA 4B17FC ciitest dir ret 1 RemoveDirectoryA 48186F c test_ dir ret 1 FAGetProc ddress 401845 756486566 Regbreatekeyn Abbildung 6 10 Kommentare fur die benutzerdefinierte YARA Regeldatei 3 Schreiben Sie die erste Regel und geben Sie ihr einen Namen 4 Geben Sie die Metadaten fur die Regel ein Metadaten sind fur Standardregeln obligatorisch und fur Hilfsregeln optional Im Falle von benutzerdefinierten YARA Regeln k nnen Metadaten eine Klassifizierung eine Beschreibung und einen Schweregrad enthalten Verwenden Sie zum Definieren dieser drei Metadatenfelder das 274 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung Format Name des Metadatenfeldes Zeichenfolge Wert Bei diesen Feldern wird die Gro Kleinschreibung nicht beachtet Ej custom yara Notepad File Edit Format View Help ffCreateDirectoryA S 17FC c test_dir ret t ffRemoveDirectoryA S6186F c test_dir ret t FAGetProc ddress 401845 784868088 Regbreatekeyf rule custom YARA G1
235. eispiel Sie ben tigen m glicherweise eine Analyse VM unter Windows 7 SP1 mit Internet Explorer 10 und eine weitere Analyse VM unter Windows 7 SP1 mit Internet Explorer 11 Wenn Sie mehrere Analyse VMs mit demselben Betriebssystem erstellen m chten ist die Angabe eines Image Namens obligatorisch M chten Sie nur eine Analyse VM f r ein bestimmtes Betriebssystem erstellen ist die Angabe des Image Namens optional Wenn Sie keinen Namen angeben wird der Image Datei ein Standardname zugewiesen mit dem Sie u a die Protokolle anzeigen und VM Profile erstellen k nnen Im Folgenden werden die Standardnamen f r Image Dateien aufgef hrt e winXPsp2 bezieht sich auf Microsoft Windows XP 32 Bit Service Pack 2 e winXPsp3 bezieht sich auf Microsoft Windows XP 32 Bit Service Pack 3 e win7sp1 bezieht sich auf Microsoft Windows 7 32 Bit Service Pack 1 e win7x64sp1 bezieht sich auf Microsoft Windows 7 64 Bit Service Pack 1 e win2k3spibezieht sich auf Microsoft Windows Server 2003 32 Bit Service Pack 1 e win2k3sp2bezieht sich auf Microsoft Windows Server 2003 32 Bit Service Pack 2 e win2k8sp1bezieht sich auf Microsoft Windows Server 2008 R2 Service Pack 1 e win8p0x32 bezieht sich auf Microsoft Windows 8 32 Bit e win8p0x64 bezieht sich auf Microsoft Windows 8 64 Bit Der von Ihnen angegebene Name wird an den Standardnamen angeh ngt Sie geben beispielsweise als Image Namen die Bezeichnung with_PDF an und das Betriebssystem ist Win
236. eispiel blacklist update 254A40A56A6E28636E1465AF7C42B71F 4 ExampleFileName ExampleMalwareName 3 4 clearstats Dieser Befehl setzt alle McAfee Advanced Threat Defense Statistiken auf null zur ck Syntax clearstats Dieser Befehl hat keine Parameter cluster withdraw Mit diesem Befehl werden Cluster mithilfe von CLI gel scht Er kann f r alle Knoten ausgef hrt werden prim r sekund r Sicherungsknoten Der Befehl l scht alle clusterspezifischen Konfigurationen aus diesem Knoten und richtet ihn als eigenst ndiges Ger t ein Dieser Befehl kann f r Szenarien verwendet werden in denen der Knoten mit den blichen Entfernungsmethoden wie Remove Node Knoten entfernen oder Withdraw from Cluster Aus Cluster entfernen nicht gel scht werden kann Syntax cluster withdraw Dieser Befehl hat keine Parameter createDefaultVms Mit diesem Befehl erstellen Sie Standardanalyse VMs Syntax createDefaultVms Dieser Befehl hat keine Parameter McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle db_repair Repariert die ATD Datenbank falls die Datenbank beschadigt wurde Syntax db repair Dieser Befehl hat keine Parameter deleteblacklist Verwenden Sie diesen Befehl um alle Eintrage aus der McAfee Advanced Threat Defense Blacklist zu entfernen Syntax deleteblacklist Dieser Befehl hat keine Parameter deletesamplereport Dieser Befehl
237. eke ee hae E ee eek ae ee ee S03 SELTDS 1 ae eee tee ee eee ae eh asas ss ee ok Sl e gos amp Rk amp oe a ee GO Re ee eee Ee Fe ee me Ee ae set heuristic_analysis 1 en 365 set appliance gateway nun 365 set appliance ip 2 2 nme 36 set appliance name mm een 36 SSCUNOG 2 wo oe we amp bw e we et ee ee a ek ww ee 6 E OOO SOC UIRUMGEOUL s d ws wi wr ee ew we a ee ROE Re a oe ewe Oe Om er DO set waittime ke 366 set whitelist men 367 SHOW e e aw ae ee ee oe a as ee sa 00 show epo statSnsp aoa a a a ee 36 show filesizes aw we ee ee we ee we Re Ee Bw ee ee ee we ss BOT SHOW MDS 2 7 a s wae te eee a as ee ee OS SHOW RUD e r o a a oe mie he Ge eo ae ee me te a A a ee a a OG Show history 1 6 we ee a 368 show heuristic_analysis ke ee ee ew BBO SHOW INTIDOFE i a ww aoe 2 a ew eA eG oe oe mo eek eb eee oe ss OS SHOW MSU s 2 0 amp oa e amp a we be ee Ear Ee ee ee ee oe N show nsp scandetailS Hu nenn 369 SHOW TOWLE a a eo oa e bre a aw 2 m a eo amp sa amp a oe amp O70 Show ui timeout 2 Honor 3771 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Inhaltsverzeichnis SHOW UNOG 4 e eee ewe eae ek ee ee ee ee a eee e BZ SHOW VErSION s s w amp ee ee ee we ee a Sl show waittime moon 3 1 Shutdown dm a Be w eRe Rw we he em Rew we ee me Re eR Ae we Ree e BZ Slate s 2 2 oe ot we oe o Oe Oe a ee ke a Ass
238. elbe Datei noch einmal in Ihr Netzwerk gelangt begrenzt e Eine Zero Day Malware kann sogar beim ersten Herunterladen einged mmt werden indem die betroffenen Hosts isoliert werden bis sie ges ubert sind und das Problem behoben wurde e Durch Packen kann die Zusammensetzung des Codes ver ndert oder der Malware Reverse Engineering erm glicht werden Daher ist das richtige Entpacken sehr wichtig um den tats chlichen Malware Code f r die Analyse zu erhalten McAfee Advanced Threat Defense ist in der Lage den Code so zu entpacken dass der Originalcode f r die statische Analyse gesichert wird McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance In diesem Kapitel erhalten Sie Informationen zur McAfee Advanced Threat Defense Appliance und deren Einrichtung Inhalt Uber die McAfee Advanced Threat Defense Appliance gt Funktionen einer McAfee Advanced Threat Defense Appliance Vor dem Installieren der McAfee Advanced Threat Defense Appliance gt Hardware Spezifikationen und Umgebungsanforderungen gt Einrichten der McAfee Advanced Threat Defense Uber die McAfee Advanced Threat Defense Appliance Die McAfee Advanced Threat Defense Appliance ist je nach Modell ein kompaktes 1 HE oder 2 HE Rackchassis mit einem Prozessor der Produktfamilie Intel Xeon E5 2600 Sie l uft mit einem vorinstallierten stabilen Kernel von Linux 3 6 0 und wird mit der McAfee Advanced
239. en Schritt Details Schritt 1 Starten Sie VMware In diesem Beispiel wird VMware Workstation 10 verwendet Workstation Schritt 2 W hlen Sie auf der VMware Workstation Seite Datei New Virtual Machine Neuer virtueller E Edit View VM labs Help Computer New Virtual Machine Ctrl N z New Window Open Ctri 0 Close Tab Ctrl W Connect to Server Cirl L Virtualize a Physical Machine Export to OVF Map Virtual Disks le F Exit Schritt 3 W hlen Sie im Fenster New Virtual Machine Wizard Assistent f r neue virtuelle Computer die Option Custom Advanced Benutzerdefiniert erweitert und klicken Sie auf Next Weiter Nes Virtual Machine Wizard Welcome to the New Virtual Machine Wizard hat type of configuration do you want Typical recommended Create a Workstation 10 0 virtual machine ina few easy steps Custom advanced Create a virtual machine with advanced opbons such as a SCS controller type virtual disk type and comoathilty vith vmware ia atea Workstation Heat gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 163 164 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 4 Wahlen Sie im Fenster Choose the Virtual Machine Hardware Compatibility Wahlen der Hardwarekompatibilitat des virtuellen Computers Workstation 9 0 aus der Dropdown Liste Hardware com
240. en Befehl um die maximale Wartezeit f r die Analyse der Proben von McAfee Email Gateway zu konfigurieren Liegt die durchschnittliche Analysezeit der Proben in Advanced Threat Defense ber der durch diesen Befehl festgelegten Schwelle werden die von McAfee Email Gateway eingesendeten Proben abgewiesen Syntax set waittime lt seconds gt Parameter Beschreibung lt seconds gt Legt die Anzahl an Sekunden der maximalen Wartezeit fest Beispiel set waittime 20 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle set whitelist Verwenden Sie diesen Befehl um die Uberpriifung der Whitelist durch McAfee Advanced Threat Defense zu konfigurieren Dieser ist standardmaBig aktiviert Syntax set whitelist lt enable gt lt disable gt Beispiel set whitelist enable show Mit diesem Befehl werden die aktuellen Konfigurationseinstellungen der McAfee Advanced Threat Defense Appliance angezeigt Dieser Befehl hat keine Parameter Syntax show Zu den Informationen die durch den Befehl show angezeigt werden zahlen Sensor Info e Systemname e Softwareversion e Datum e Aktive Version e Systembetriebszeit e Sicherungsversion e Systemtyp e MGMT Ethernet Anschluss e Seriennummer Sensor Network Config e IP Adresse e Netzwerkmaske e Standard Gateway e DNS Adresse show epo stats nsp Dieser Befehl zeigt die Anzahl de
241. en Datentr ger Select a Desk erstellen und klicken Sie auf Which disk do you want to use Next Weiter Disk virtual disk s composed of one or more fies on the host fle system whidh wall appear as a single hard disk to the quest operabing system Virtual disks can easly be copied or moved on he same host or between hosts Bi Create anew virtual disk Lie an Sieg vir bual dk Cheese thie option to reuge a pressously configured disk Use a physical dese for advanced users Choose this option bo give the virtual machine direct access to a local hard disk e Schritt 15 Geben Sie die e Maximum disk size GB Maximale Datentr gergr e in GB Geben Details im Fenster Angeben der Sie 14 GB ein Speicherkapazit t an und klicken Sie auf Next Weiter e Wahlen Sie Allocate all disk space now Samtlichen Speicherplatz jetzt zuweisen e Wahlen Sie Store virtual disk as a single file Virtuellen Datentr ger als einzelne Datei speichern Mew Virtual Machine Wizard Specify Disk Capacity Hvar large de you want thet disk Lo be Mandi disk gine GE Allocate all disk space nove Alocating the ful capacity can enhance performance but requires all of the Phyracal disk space to be availabe nohi now IF you do not allocate all the space now Ge virtual disk starts small and grows amp you add data to it Spt virtual disk into multiple files Salting She disk makes it ea
242. en Image Namen aus der Liste Select Log Protokoll auswahlen aus und klicken Sie auf Anzeigen Image Conversion Logs Select Log win2k3sp2_WithPDF w View Abbildung 5 4 Auswahlen der Image Datei zum Anzeigen der Protokolle 232 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Verwalten von VM Profilen Wenn kein Image Name angegeben wurde wird der Image Datei ein auf dem Betriebssystem basierender Standardname zugewiesen Wurde ein Image Name angegeben wird der angegebene Name an den Standardnamen angeh ngt Image Conversion Log 2014 06 11 08 19 50 657 INFO File conversion from raw wmdk to img In proaress 2014 06 11 08 20 42 507 INFO img file created successfully win2k3sp2_WithPDF img 2014 06 11 08 20 42 670 INFO Moving of image file done successfully Abbildung 5 5 Protokolleintr ge zur Image Konvertierung Verwalten von VM Profilen Nach dem Konvertieren der importierten VMDK Datei in eine Image Datei erstellen Sie fur diese Image Datei ein VM Profil 67 Sie k nnen dieses VM Profil nicht mit einer anderen Image Datei verkn pfen Gleichfalls k nnen bereits mit einem VM Profil verkn pfte Image Dateien nicht nachtr glich ge ndert werden Die Image Dateien enthalten das Betriebssystem und die Anwendungen fur das VM Profil Sie k nnen mit ihrer Hilfe die in McAfee Advanced Threat Defense hochgeladenen Images identifizieren und das jeweils zutreffende Image zur dynamischen D
243. en Sie diese Option um den bersichtsbericht der Analyse in die Analyseergebnisse aufzunehmen Siehe Anzeigen des Berichts Analysis Summary Analyse bersicht auf Seite 297 Packet captures Paketaufzeichnungen W hlen Sie diese Option zum Aufzeichnen der Netzwerkpakete falls die Datei w hrend der dynamischen Analyse versucht eine Kommunikation herzustellen Die PCAP Datei finden Sie in der Complete Results Vollst ndige Ergebnisse Dropped Files Betroffene Dateien W hlen Sie diese Option um den Bericht Files Created in Sandbox In Sandkastenumgebung erstellte Dateien zu generieren Siehe Bericht zu betroffenen Dateien auf Seite 304 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse Verwalten von Analyseprofilen 6 Optionsname Beschreibung Disassembly Results Disassembly Ergebnisse Logic Path Graph Logisches Pfaddiagramm Wahlen Sie diese Option wenn McAfee Advanced Threat Defense den Disassembly Code fur PE Dateien generieren soll Siehe Disassembly Ergebnisse auf Seite 304 Wahlen Sie diese Option um den Bericht Logic Path Graph Logisches Pfaddiagramm zu generieren Siehe Bericht Logic Path Graph Logisches Pfaddiagramm auf Seite 305 User API Log User API Protokoll Dieser Bericht stellt Windows DLL API Aufrufe auf Benutzerebene zur Verfugung die wahrend der dynamischen Analyse
244. en Sie im virtualMachineImage die Optionen Start Systemsteuerung Software Windows Komponenten hinzufugen oder entfernen Details Windows Components Wizard Windows Componerds You can add or pernos components of Winden SP To add 01 remove a component click Fe checkbow haded bow means thes only ST E To ree what s included na component cick ela Componente Fe irere Explorer OME A O MY intenet information Services 15 125 MB O Ga Management and Moritoring Took 20 MB O BE Message Queuing 000 MB EN Fand rn Qeccephor Includes windows coronas and Uhl for pour compubal Total disk pace required EHE Space malobi on dak 2274 3 MB Schritt 36 Doppelklicken Sie im Assistenten fur Windows Komponenten auf Internetinformationsdienste IIS McAfee Advanced Threat Defense 3 4 2 Windows Components Wizard lt Internet Information Services 115 To add of remorse a component cick the check bos A shaded bow means that only par ol de comporent Walle naled To cee was included in a component cick Detail subcomponent of banal Information Serna ME O Fie Tensile Protocol FTP Service FrontPage 2000 Gere Exteraions O Y intere infomation Gersices Snagein O EHTE Sei OB World wide wab Savice Desorption Instat Required 115 pogan Meas Total disk apace egued 554 HE Space avadable on dek 239 5 HB Produkthandbuch 89 90 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Wi
245. en in Anspruch nehmen e Sie k nnen w hrend der Installation die Partition mit dem NTFS Dateisystem formatieren e Installieren Sie nicht VMware Tools Wenn Sie die Installation von VMware Tools nicht angehalten haben k nnen Sie dennoch mit der VMDK Dateierstellung fortfahren Das Programm muss aber deinstalliert sein sobald die VMDK Datei bereit ist Details virtualMachineName VMware Workstation File Edit View WM Tabs Help gt bodiment o mi sl PA x E vrtualMaciinelmage 1 Type here to search w ME ar 5 Mell My Computer CH virtualMachineName PD virtualklachinelmage ES virtualMachinelmage Fa wirtualhMlachinetamne 0 Shared VMs Foser on this virtual rm e a h mi L Ej Upgrade thes virtual mia aching Sings hi e Schritt 18 Im Fenster Regions und Sprachoptionen k nnen Sie die Einstellungen anpassen Windows Collecting o ed edo ee Lihat e Pinar igi ms AO oct Mur res hip wll rima ap cb X minutes lagna and Larus Opl arn Vibe Cant Grane a ai oe ee ar se charge 4 pa Rapra anc Language p oro alee pou do charge Ea vege rare deter Tha Sec aed erat potting hi eet Lo Esprit listed State al the kecak ar rmi da Liria Ta charge ber aros cod Canton Tad pai Largos aer ba ero Bed ra Ha EPA ung see eh red rl Nour del sol bed rpa lapa ered mathe e
246. en sind jedoch im Abschnitt Screenshots des Berichts Analysis Summary Analyseubersicht verfugbar Sie k nnen dann diese Dateien manuell im interaktiven Benutzermodus erneut senden um das tatsachliche Verhalten der Datei zu ermitteln Da die Analyse VM in einem Pop Up ge ffnet wird muss der Popupblocker in Ihrem Browser deaktiviert sein Vorgehensweise 1 Wahlen Sie Analyse Manual Upload Manuelles Hochladen aus 2 Klicken Sie im Feld File Datei auf Browse Durchsuchen und w hlen Sie die Datei die Sie zur Analyse senden mochten Alternativ k nnen Sie die Datei in das angegebene Feld ziehen und dort ablegen Manual Upload File oe Browse Analyzer Profile WINXP we Submit Advanced Abbildung 7 1 Senden der Datei 3 W hlen Sie im Feld Analyzer Profile Analyseprofil das gew nschte Analyseprofil aus der Dropdown Liste McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Analysieren von Dateien 4 Klicken Sie auf Advanced Erweitert und wahlen Sie User Interactive Mode XMode Interaktiver Benutzermodus XMode aus Advanced Control V User Interactive Mode XMode OK Cancel Abbildung 7 2 Ausw hlen des interaktiven Benutzermodus User Interactive Mode XMode 5 Klicken Sie auf OK und dann auf Submit Senden Die Probe wird in McAfee Advanced Threat Defense hochgeladen und eine Erfolgsmeldung mit den Details wird angezeigt Uploaded File Successfully File Name P
247. ense L sung e Dabei werden Dateien von mehreren Modulen gleichzeitig analysiert Dadurch wird bekannte Malware beinahe in Echtzeit blockiert e Wenn McAfee Advanced Threat Defense eine Datei dynamisch analysiert w hlt das Programm den virtuellen Analysecomputer aus auf dem dasselbe Betriebssystem und die gleichen sonstigen Anwendungen wie auf dem Zielhost installiert sind Dies geschieht durch die Integration in McAfee ePO oder durch die Funktion zur passiven Ger teprofilerstellung in Network Security Platform Dadurch k nnen Sie die genauen Auswirkungen auf den Zielhost ermitteln und die erforderlichen Abhilfema nahmen ergreifen Eine weitere Folge dieser Vorgehensweise ist dass McAfee Advanced Threat Defense die Datei nur auf dem erforderlichen virtuellen Computer ausf hrt und Ressourcen f r andere Dateien geschont werden e Stellen Sie sich folgende Situation vor Ein Host l dt eine Zero Day Malware herunter die jedoch von einem Sensor erkannt wird Der Sensor leitet die heruntergeladene Datei an McAfee Advanced Threat Defense weiter Die dynamische Analyse durch McAfee Advanced Threat Defense ergibt dass die Datei b sartig ist Je nach Ihren Einstellungen f r die erweiterte Malware Richtlinie kann der Manager diese Malware der Blacklist f r alle Sensoren im Netzwerk Ihres Unternehmens hinzuf gen Die Datei befindet sich m glicherweise auch in der Blacklist von McAfee Advanced Threat Defense Dadurch wird die M glichkeit dass dies
248. ensor gesendete PDF Dateien angewendet 1 Die Mindestdateigr e wird auf 5 000 Byte festgelegt Daher werden von der McAfee Advanced Threat Defense nur PDF Dateien mit einer Gr e von mindestens 5 000 Byte f r eine weitere Analyse ber cksichtigt Durch die Aktivierung der heuristischen Analyse wird Re Analyze Erneut analysieren DEAKTIVIERT Daher berpr ft McAfee Advanced Threat Defense ob bereits ein Analyseergebnis vorliegt Wenn ja wird dieses Ergebnis ohne weitere Analyse an den Manager weitergeleitet Ist das Ergebnis nicht f r denselben MD5 Hashwert verf gbar folgt der n chste Analyseschritt Durch das Aktivieren der heuristischen Analyse wird der heuristische Filter ebenfalls AKTIVIERT sodass McAfee Advanced Threat Defense die PDF Dateistruktur auf Unregelm igkeiten untersucht Wenn keine Unregelm igkeiten vorliegen wird die Datei als sauber behandelt und es wird keine weitere Analyse durchgef hrt Wenn heuristische Unregelm igkeiten vorliegen wird die PDF Datei gem dem entsprechenden Analyseprofil statisch und dynamisch analysiert Fur Dateien die nicht im PDF Format vorliegen wird nur die Option Re Analyze Erneut analysieren siehe Schritt 2 oben ber cksichtigt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Beispiel fur das Deaktivieren der heuristischen Analyse set heuristic analysis disable Wenn Sie dieses Bei
249. ept the Microsoft Software License Terms McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 129 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 56 Um PDF Dateien zu analysieren laden Sie Adobe Reader auf den nativen Host herunter und kopieren Sie ihn auf die VM In diesem Beispiel wird Adobe Reader 9 0 verwendet Details 1 Installieren Sie Adobe Reader 9 0 auf der VM 2 ffnen Sie Adobe Reader und klicken Sie auf Akzeptieren Adobe Reader License Apreemeni Press Ihe Accept Button bo agree tc thet License Agus and condi ADORE SYSTEMS INCORPORATED Wamani Disclaimer and Sarar License Agrerment THIS DOCUMENT INCLUDES WARRANTY INFORMATION PART 0 AHD A LICENSE ADREEM M THE USE UF ADOBE SOFTWARE PART H PART L WARRANTY DISCLAIMER 3 Wahlen Sie in Adobe Reader Bearbeiten Voreinstellungen Allgemein und deaktivieren Sie Nach Updates suchen Choris Ex 125 Dacre like agi ee earn Crean inks Fear UPL M Miaka Hard Sc ode tact i T biai Haril osa re arde SD heran Hae Hoard Sond une mg Masha Salar boa ca a imag Pare oes Piece re de Fe Sa HL te benir Mie mad en di er Fikk jr pi lt Tem pap trr n Brake ten Sook sti eri secas Krane Tier Epc cet Tinka DJi cah ceti pirr beth tor es Schritt 57 La
250. er involvierten Daten McAfee empfiehlt dass Sie eine Zeit w hlen in der der Umfang der Analysen auf der Advanced Threat Defense wahrscheinlich geringer ist Bevor Sie beginnen e Sie m ssen der Administratorbenutzer in der McAfee Advanced Threat Defense Web Anwendung sein e Sie m ssen ber einen konfigurierten FTP Server zum Speichern der Sicherungen verf gen und wissen in welchem Verzeichnis die Sicherungen gespeichert werden sollen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Sichern und Wiederherstellen der Advanced Threat Defense Datenbank e Sie m ssen Uber die IPv4 Adresse des FTP Servers den Benutzernamen und das Kennwort fur Advanced Threat Defense verfugen um auf diesen FTP Server zuzugreifen Der Benutzername muss auBerdem Schreibzugriff auf das Verzeichnis haben das Sie verwenden m chten e Zwischen McAfee Advanced Threat Defense und dem FTP Server muss die Kommunikation ber SFTP oder FTP m glich sein Da die Sicherungsfunktion nur f r den Administratorbenutzer konfigurierbar ist sind die FTP Server Einstellungen auf der Seite Backup Scheduler Setting Zeitplaneinstellung zur Datensicherung E und die Einstellungen f r FTP Result Output FTP Ergebnisausgabe auf der Seite Benutzerverwaltung f r den Administratorbenutzer identisch Wenn der Administratorbenutzer die FTP Details auf einer dieser Seiten ndert spiegelt sich dies daher automat
251. er Beschreibung status zeigt an ob die Probenfilterungsfunktion derzeit aktiviert oder deaktiviert ist Sie ist standardm ig aktiviert enable setzt das Filtern der Proben auf Aktiviert Bei Aktivierung ber cksichtigt McAfee Advanced Threat Defense nur die unterstutzten Dateitypen von Network Security Platform fur die Analyse Eine Liste der unterstutzten Dateien finden Sie unter Analysieren von Malware auf Seite 4 McAfee Advanced Threat Defense ignoriert alle anderen Dateitypen und informiert Network Security Platformdaruber dass eine Probe einen nicht unterstutzten Dateityp hat Dadurch wird verhindert dass Ressourcen fur nicht unterstutzte Dateitypen auf McAfee Advanced Threat Defense und Network Security Platform verwendet werden disable setzt das Filtern der Proben auf Deaktiviert Bei Deaktivierung ber cksichtigt McAfee Advanced Threat Defense alle von Network Security Platform eingesendeten Dateien aber nur die unterst tzten Dateitypen werden analysiert Die brigen werden auf den Seiten Analysis Status Analysestatus und Analysis Results Analyseergebnisse als nicht unterst tzt gemeldet Beispiel samplefilter status set appliance dns A B C D E F G H WORD Mit diesem Befehl wird die bevorzugte und alternative DNS Adresse von Advanced Threat Defense Appliance festgelegt Syntax set appliance dns A B C D E F G H WORD Parameter Beschreibung lt A B C D gt Bevorzugte DNS Adresse
252. er Dom nenname f r den Sie die nslookup Abfrage durchf hren m chten Beispiel nslookup mcafee com passwd Dieser Befehl ndert das Kennwort des CLI Benutzers cliadmin Das Kennwort muss zwischen 8 und 25 Zeichen umfassen und darf jedes alphanumerische Zeichen bzw Symbol enthalten Vor dem Festlegen eines neuen Kennworts werden Sie aufgefordert das aktuelle Kennwort einzugeben Syntax McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle passwd ping Damit wird ein Ping Befehl an einen Netzwerkhost oder Domanennamen gesendet Sie k nnen eine IPv4 Adresse zum Senden eines Ping Befehls an Netzwerkhost und Dom nennamen angeben wenn Sie einen Ping Befehl an einen Dom nennamen senden m chten Syntax Ding lt A Ba Ca D gt Parameter Beschreibung lt A B C D gt Dieser Befehl steht fur eine 32 Bit IP Adresse eines Netzwerkhosts dargestellt als vier durch Punkte getrennte 8 Bit Nummern Jede Nummer A B C und D ist eine 8 Bit Nummer von 0 255 lt WORD gt Der Domanenname an den Sie einen Ping Befehl senden mochten quit Dieser Befehl beendet CLI Dieser Befehl hat keine Parameter Syntax quit reboot Dieser Befehl startet die McAfee Advanced Threat Defense Appliance mit dem Image auf der aktuellen Festplatte neu Sie m ssen den Neustart best tigen Syntax reboot Parameter Beschreibung r
253. erden die Ergebnisse der in den letzten 24 Stunden abgeschlossenen Dateien angezeigt Sie k nnen diese Kriterien basierend auf Zeit oder Anzahl festlegen Beispielsweise k nnen Sie Dateien anzeigen deren Analyse in den letzten 5 Minuten abgeschlossen wurde oder die letzten 100 abgeschlossenen Dateien b Legen Sie das Zeitintervall f r die automatische Aktualisierung der Seite Analysis Results fest Das Standardintervall f r die Aktualisierung betr gt 1 Minute c Um die Seite Analysis Results jetzt zu aktualisieren klicken Sie auf W 294 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse Tabelle 7 6 Spaltendefinitionen Spalte Beschreibung Reports Berichte pete Klicken Sie auf damit die f r die Probe verf gbaren Berichtarten angezeigt werden Reports Submitted Time 344 4A SE AAS AA MAT Analysis Summary HTML Analysis Summary PDF Dropped Files Logic Path Graph user API Log Complete Results Original Sample 2014 10 25 01 42 02 MDI Klicken Sie auf einen beliebigen aktivierten Bericht um die zugeh rigen Details anzuzeigen Ein spezieller Bericht wird nur aktiviert wenn er f r die analysierte Datei relevant und au erdem im zugeh rigen Analyseprofil ausgew hlt ist e Analysis Summary HTML Analyse bersicht HTML Dabei handelt es sich um einen umfassenden Bericht der f r alle Dateitypen verf gbar ist Di
254. eren von Malware Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Dieser Monitor zeigt die Versionsnummern der Softwarekomponenten von McAfee Advanced Threat Defense an System Information MATD Version McAfee AV DAT Version McAfee AV Engine Version McAfee GAM DAT Version McAfee GAM Engine Version 3 0 1 130621 04 177 5600 2122 7001 1202 1796 Abbildung 7 28 Monitor System Information McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 319 7 Analysieren von Malware Arbeiten mit dem McAfee Advanced Threat Defense Dashboard 320 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances Wenn Sie in groBem Umfang Dateien auf schadliche Inhalte analysieren m ssen k nnen Sie zwei oder mehrere McAfee Advanced Threat Defense Appliances zu einem Cluster zusammenfassen Auf diese Weise wird die Analyselast effizient auf die McAfee Advanced Threat Defense Appliances Knoten im Cluster aufgeteilt Mehrere Inline Sensoren k nnen Hunderte von Dateien pro Sekunde an eine McAfee Advanced Threat Defense Appliance senden Im Blockiermodus wartet ein Sensor bis zu 6 Sekunden bis McAfee Advanced Threat Defense eine Datei analysiert hat Danach leitet der Sensor die Datei zum Zielendpunkt weiter Durch das Clustering von McAfee Advanced Threat Defense Appliances zum Lastenausgleich kann eine deutlich schnellere Reaktionszeit von McAfee Advanced Threat Defense
255. eren von Malware Nach der Konfigurierung von McAfee Advanced Threat Defense k nnen Sie Dateien und Uniform Resource Locators URLs zur Analyse hochladen Sie k nnen den Status der Malware Analyse uber die McAfee Advanced Threat Defense Web Anwendung Uberwachen und dann die Ergebnisse anzeigen Inhalt Analysieren von Dateien Analysieren von URLs Konfigurieren der Seite Analysis Status Analysestatus Anzeigen der Analyseergebnisse Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Analysieren von Dateien F r die Datei bermittlung k nnen Sie folgende Methoden verwenden e Laden Sie die Datei manuell ber die McAfee Advanced Threat Defense Web Anwendung hoch e Ver ffentlichen Sie die Datei auf dem FTP Server der auf der McAfee Advanced Threat Defense Appliance gehostet wird e Verwenden Sie die REST APIs der McAfee Advanced Threat Defense Web Anwendung zum Hochladen der Datei Siehe McAfee Advanced Threat Defense RESTful APIs Reference Guide Referenzhandbuch zu McAfee Advanced Threat Defense REST APIs e Integrieren Sie McAfee Advanced Threat Defense in Network Security Platform und McAfee Web Gateway Dann senden diese Anwendungen Proben automatisch an McAfee Advanced Threat Defense Weitere Informationen finden Sie in der entsprechenden Dokumentation Bei Verwendung der McAfee Advanced Threat Defense Web Anwendung der Rest APIs oder McAfee Web Gateway werden Dateien mit einer Gr e von bis zu 128 MB unters
256. erforderliche Analyseprofil ist verf gbar Wenn Sie mithilfe der McAfee Advanced Threat Defense Web Anwendung Dateien zur Analyse hochladen m ssen Sie ein Analyseprofil ausw hlen Dieses Analyseprofil setzt das mit Ihrem Benutzerkonto verkn pfte Standard Analyseprofil au er Kraft Vorgehensweise 1 Wahlen Sie Analyse Manual Upload Manuelles Hochladen aus 2 Auf der Seite Manual Upload Manuelles Hochladen legen Sie die Details gem Ihren Anforderungen fest McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Analysieren von Dateien Tabelle 7 2 Optionsbeschreibungen Option Beschreibung Datei Ziehen Sie entweder die Malware Datei aus dem Windows Explorer und legen Sie sie ab oder klicken Sie zum Auswahlen der Datei auf Browse Durchsuchen Falls Sie mehrere Dateien senden m chten laden Sie diese als ZIP Datei hoch e Wenn Sie eine mit einem Kennwort geschutzte ZIP Datei hochladen vergewissern Sie sich dass Sie das Kennwort im gewunschten Analyseprofil angegeben haben Sollte eine dynamische Analyse erforderlich sein werden die Dateien in der ZIP Datei auf verschiedenen Instanzen der Analyse VM ausgefuhrt Wenn nicht genugend Analyse VMs zur Verfugung stehen bleiben einige Dateien in der Warteschlange bis wieder Analyse VMs verf gbar sind e Da die Dateien in der ZIP Datei separat analysiert werden werden fur jede Datei separate Berichte erstellt e Bei Dateiname
257. ert werden Schritt 49 Klicken Sie im Sigcheck License Agreement SieCheck License Agreement Ed Internet based services and a im McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Schritt 50 F hren Sie die MergeIDE Batchdatei auf der VM aus 1 Laden Sie die ZIP Datei MergeIDE zip von der Seite https www virtualbox org attachment wiki Migrate_Windows MergelDE zip auf den nativen Computer herunter und kopieren Sie sie auf die VM 2 Extrahieren Sie die MergelDE zip und f hren Sie die MergelDE Batchdatei auf der VM aus 3 Klicken Sie in der Warnmeldung auf Ausf hren wenn Sie dazu aufgefordert werden 4 Schlie en Sie Windows Explorer Schritt 51 Deaktivieren Sie Windows Updates 1 W hlen Sie Start Systemsteuerung System Automatische Updates 2 Aktivieren Sie im Fenster Systemeigenschaften die Option Automatische Updates deaktivieren System Properties l l 3 xj General Computer Name Hardware Advanced Automatic Updates Remate i Helo pobeci por PC y pp OLE Windows can regularly check for important updates and install then hor you Turing on Automate Updates may automatically update Windows Update sollwere Arel before any other updates
258. erteilt sie zur Analyse an denselben Knoten Der primare Knoten fragt mithilfe der eindeutigen Task ID beim entsprechenden sekund ren Knoten den Analysestatus und die Analyseergebnisse ab Durchfuhren eines Upgrades der Advanced Threat Defense Software fur die Knoten in einem Cluster Im Folgenden finden Sie die empfohlene Vorgehensweise fur ein Upgrade der Advanced Threat Defense Software fur die Knoten in einem Cluster 1 Wenn Sie zun chst ein Upgrade des prim ren Knotens durchf hren bricht das gesamte Cluster zusammen Daher sollten Sie mit dem Upgrade der sekund ren Knoten beginnen Wenn die Softwareversion eines sekundaren Knotens aktualisiert wird verteilt der primare Knoten keine Dateien an diesen sekund ren Knoten 2 Nachdem Sie ein Upgrade f r mehr als 50 der sekund ren Knoten durchgef hrt haben k nnen Sie den prim ren Knoten ebenfalls aktualisieren Der prim re Knoten verteilt keine Dateien an die sekund ren Knoten die sich noch auf dem Stand der fr heren Version befinden 3 F hren Sie dann ein Upgrade der verbleibenden sekund ren Knoten durch D Der Sicherungsknoten verh lt sich wie ein sekund rer Knoten f r alle Software Upgrade Prozesse W hlen Sie Datenbank zur cksetzen nicht aus wenn Sie ein Upgrade f r einen Knoten durchf hren Wird O diese Option f r den prim ren Knoten ausgew hlt bricht das Cluster nach dem Upgrade zusammen Wenn die Option Datenbank zur cksetzen f r einen sekund ren Knoten
259. erten YARA Textdatei Bei Bedarf k nnen Sie die benutzerdefinierten YARA Regeln sp ter deaktivieren 3 Klicken Sie auf Durchsuchen und suchen Sie die von Ihnen erstellte benutzerdefinierte YARA Textdatei 4 Klicken Sie auf Senden um die Datei zu importieren Wenn die Datei erfolgreich importiert wurde wird eine Meldung angezeigt Liegen in den YARA Regeln Syntaxfehler vor werden die Regeln nicht importiert Eine Fehlermeldung wird angezeigt Details zur Art des Fehlers finden Sie im Systemprotokoll Nehmen wir an dass in einer regul ren Zeichenfolge einer Regel am Ende ein umgekehrter Schr gstrich fehlt Wenn Sie die benutzerdefinierte YARA Datei die diese Regel enth lt importieren wird eine Fehlermeldung angezeigt Upload file contains invalid Yara rule Please check x system log for more details OK Abbildung 6 15 Meldung die auf einen Syntaxfehler hinweist W hlen Sie Verwalten Systemprotokoll aus um das Systemprotokoll zu ffnen das Details zu den Fehlern enthalt 2014 06 03 13 32 00 Updating YA database A 1014 06 03 12 01 Amas Database Check Ok 1 19 1 Tc lr de Site ae ota Elio 01 05 03 Litio VOY SUCCESS 2014 06 03 02 04 06 yara error in your yara rule hle at lme 1 syntax error unexpected IDENTIFIER_ expecting Send or RULE or PRIVATE or GLOBAl _ 1 A E 13 4 1 cd ur Se wr E r Yara Fl le F le aT af Nerina FEO lar ae F J I ae Late 1 s saca de Sime RIA 7 Yara emor in vour
260. erver Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 62 Geben Sie im Windows Dialogfeld Ausf hren msconfig ein Details Run SE a y Type the name of a program Folder document or PT Internet resource and Windows will open far you Schritt 63 Navigieren Sie im Systemkonfigurationsprogramm zur Registerkarte Start aa Sater Configuracion Miliy Gare STEMI IMIR BOIOT IHI Sarim Sato took er eT ond CATA Pl FE PT WARE er eat arier Facer H Tihega Fiml de UMEDE TARE ra ince r BETS iaa FH Corr HELA TAARE irasi Conrerdiver an 5 Parrot ige CRRA MO Conan Startup Deaktivieren Sie reader_s und jusched und klicken Sie dann auf OK Der Eintrag reader_sl wird nur angezeigt wenn Adobe Reader installiert ist Schritt 64 Klicken Sie in der Systemkonfiguration auf Neu starten System Configuration You must restart your computer for some of the changes made by System Configuration to take effect Exit Without Restart Schritt 65 Aktivieren Sie im Dialogfeld Systemkonfigurationsprogramm das Kontrollkastchen Meldung nicht mehr anzeigen und dieses Programm beim Windows Start nicht mehr starten und klicken Sie auf OK McAfee Advanced Threat Defense 3 4 2 Spelern Configuration Utility You have used the System Configuration Utility ho maka changed bo the may Win
261. es 3 Save Cancel Abbildung 5 14 Validieren der Image Datei McAfee Advanced Threat Defense stellt sicher dass die VM an die Hardware der McAfee Advanced Threat Defense Appliance angepasst ist Das Programm berpr ft auch die Funktionst chtigkeit der VM und die installierten Anwendungen konfiguriert die Netzwerkdetails usw Wenn die VM ordnungsgemaB funktioniert war die Validierung erfolgreich Klicken Sie auf Status berpr fen um das Image Validierungsprotokoll anzuzeigen Sie k nnen die Erstellung des VM Profils nur fortsetzen wenn die Validierung erfolgreich war Ist die Validierung fehlgeschlagen finden Sie die Ursache im Validierungsprotokoll Erstellen Sie anschlie end eine neue VMDK mit den richtigen Einstellungen und wiederholen Sie den Prozess der Analyse VM Erstellung 5m Java exist OK Sn flash not exist OK 50 Scan Complete 6 Host verification PASS 2014 06 12 07 55 12 533 INFO Validating the VM host is done successfully 2014 06 12 07 2 55 12 534 INFO The image has been validated successfully Abbildung 5 15 Image Validierungsprotokoll 6 Erstellen Sie das VM Profil f r die erstellte VM indem Sie die entsprechenden Informationen in die jeweiligen Felder eingeben Tabelle 5 4 Optionsbeschreibungen Optionsname Beschreibung Name Der Name der Image Datei wird automatisch als Name f r das VM Profil angezeigt Sie k nnen ihn nicht ndern Beschreibung Geben Sie optional eine au
262. eser Bericht wird auch angezeigt wenn Sie auf einen Datensatz doppelklicken Analysis Summary PDF Analyse bersicht PDF W hlen Sie diese Option um den Bericht im PDF Format anzuzeigen Dropped Files Betroffene Dateien W hlen Sie diesen Bericht um die Dateien anzuzeigen die w hrend der dynamischen Analyse von der analysierten Probe erstellt wurden Disassembly Results Disassembly Ergebnisse W hlen Sie diese Option um den von der Datei per Reverse Engineering erstellten Assembly Sprachcode anzuzeigen Dieser Bericht eignet sich nur f r Probedateien wie exe und dll Logic Path Graph Logisches Pfaddiagramm Wahlen Sie diese Option um eine grafische Darstellung der wahrend der dynamischen Analyse ausgefuhrten Subroutinen anzuzeigen Dynamic Execution Logs Dynamische Ausfuhrungsprotokolle W hlen Sie diese Option um die w hrend der dynamischen Analyse direkt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 295 7 Analysieren von Malware Anzeigen der Analyseergebnisse Tabelle 7 6 Spaltendefinitionen Fortsetzung Spalte Beschreibung uber die Probe ausgef hrten Windows DLL API Aufrufe auf Benutzerebene anzuzeigen e Complete Results Vollst ndige Ergebnisse Klicken Sie hier um eine ZIP Datei mit allen Berichtsarten auf Ihren lokalen Computer herunterzuladen e Original Sample Originalprobe Klicken Sie hier um die gesendete Originalprobe herunterzuladen Submi
263. essor Configuration auf Next Weiter Specify the number of processors for this virtual machine Processors Number of processors i Number of pones per processor 1 Total procersor cores i Hep lt Back Next gt Cancel 140 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 als Speicher fest Schritt Details Schritt 10 Legen Sie im Fenster Memory for the Virtual New Virtual Machine Wizard a Machine Speicher fur den virtuellen Computer 3 072 MB Memory for the Virtual Machine How much memory would you kike to use for this virtual machine Speofy the amount of memory alloca must be a multiple of 4 MB B GE Memory for this virtual machine 3072 gt MB Schritt 11 Ubernehmen Sie im Fenster Network Type Netzwerktyp die Standardauswahl F New Virtual Machine Wizard Metwork Type What type of network do you want to add Use bodged networking neiwark The guest must have its own IP address on the extemal netreork Gve the guest operating system access to the host computer s dalup or external Ethernel network cormection using the hosts IP addresa Use host oniy networking Connect the guest operating system to a private virtual network on the host Do no use a network connection McAfee Advanced Threat Defense 3 4 2 Produkthandbuch
264. f gt Die Details zu allen Knoten im Cluster werden in einer Tabelle angezeigt hnlich wie bei anderen Tabellen in den Benutzeroberfl chen der Advanced Threat Defense Web Anwendung k nnen Sie die Spalten sortieren sowie die erforderlichen Spalten ausblenden oder anzeigen Load Balancing Cluster Setting Configure LB Node IP address Backup w Add Node Cluster IP address 77 tm 749 949 Save LE Cluster LB Cluster Nodes ATD ID IP Address Model Role Config Version S W Version State EN 1 1 S ATD 3000 Primary Active 1540606796 3 4 2 4 42567 Up and Ready eo 2 ee ATD 3000 Backup 1540606796 3 4 2 4 42567 Up and Ready EM 5 3 ATD 3000 Secandary 1540606796 3 4 3 4 43567 Up and Ready Abbildung 8 5 Erstellung eines Advanced Threat Defense Clusters Mit Ausnahme von ATDID ATD ID IP Address IP Adresse Role Rolle und Withdraw From Cluster Aus Cluster entfernen ist keine der Optionen auf der Seite Load Balancing Cluster Setting Einstellungen fur Lastenausgleichscluster fur sekund re Knoten verf gbar McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 333 334 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Tabelle 8 1 Optionsbeschreibungen Option Node IP address Knoten IP Adresse Beschreibung Geben Sie die Verwaltungsport IP Adresse der Advanced Threat Defense Appliance ein die Sie dem Cluster hinzuf gen m chten
265. f Seite 281 Hochladen von URLs zur Analyse im interaktiven Benutzermodus Bevor Sie beginnen F r das erforderliche Analyseprofil wurden die Internetzugriffsoptionen Sandbox Sandkasten und Malware ausgew hlt Einige Malware kann ggf nur mit Benutzereingriff ausgef hrt werden Beispiel Eine Standardeinstellung in der Analyse VM kann die Ausf hrung anhalten bis die Einstellung manuell berschrieben wird Einige Dateien zeigen m glicherweise Dialogfelder an in denen Sie eine Auswahl treffen oder eine Best tigung vornehmen m ssen Durch solches Verhalten versuchen Malware Programme festzustellen ob sie in einer Sandkastenumgebung ausgef hrt werden Das McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 281 282 Analysieren von Malware Analysieren von Dateien Verhalten von Malware kann gemaB Ihrer Reaktion variieren Wenn Sie im interaktiven Benutzermodus Dateien senden wird die Analyse VM in einem Popupfenster auf Ihrem Client Computer ge ffnet sodass Sie bei Aufforderung Ihre Eingabe machen k nnen Sie k nnen Dateien hochladen damit sie im interaktiven Benutzermodus ausgef hrt werden Diese Option ist nur verf gbar wenn Sie eine Datei manuell Uber die McAfee Advanced Threat Defense Web Anwendung hochladen Bei Dateien die auf anderem Weg gesendet werden wie ber FTP Upload oder uber Network Security Platform werden Malware Anfragen zu Benutzereingriffen ignoriert Die Screenshots aller Anforderung
266. f einem bestimmten Spaltennamen klicken Sie auf die Spalten berschrift Sie k nnen die Datens tze in auf oder absteigender Reihenfolge sortieren Alternativ k nnen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift bewegen und auf den Dropdown Pfeil klicken W hlen Sie dann Sort Ascending Aufsteigend sortieren oder Sort Descending Absteigend sortieren Standardm ig werden die Dateien mit hohem Schweregrad oben in der Liste angezeigt Klicken Sie auf wal um die Einstellungen der Seite Analysis Results Analyseergebnisse zu speichern 296 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse Anzeigen des Berichts Analysis Summary Analyseubersicht Im Ubersichtsbericht der Analyse werden die zentralen Verhaltensweisen der Probedatei beschrieben Dieser Bericht ist in den Formaten HTML Text PDF XML JSON OpenIOC Open Indicators of Compromise und STIX Structured Threat Information eXpression erhaltlich Die HTML Text und PDF Formate dienen hauptsachlich zum Lesen und Pr fen des Analyseberichts Auf die HTML und PDF Formate k nnen Sie uber die McAfee Advanced Threat Defense Web Anwendung zugreifen Die HTML und Textformate sind auBerdem in der ZIP Berichtedatei f r die Probe verf gbar die Sie auf Ihren Client Computer herunterladen k nnen Die XML und JSON Formate enthalten Verhaltenstags bekannter Malware f r Programmierungsskripte
267. fee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 54 Um Microsoft Word Excel und PowerPoint Dateien zu analysieren installieren Sie Microsoft Office 2003 auf dem virtuellen Computer Details i Microsoft Office XP Setu gi Fcrosolt Office XF Professional with FrontPage Choose which applcstions For sebup to ieta Select the Office XP applications you would Wke installed A C Merosot Access EN O bucrosoft FrontPage Micresalt Excel Microsoft PowerPoint install appkceabiors mith the bppical options Choose detaded iretalsbon options for each application pass Regal onc 157 PB pee Avalabla onc 1537 HB Ce e Schritt 55 Senken Sie die Sicherheitsstufe um Makros f r Office Anwendungen auszufuhren e ffnen Sie Microsoft Word 2003 und w hlen Sie Extras Makro Sicherheit und dann Niedrig und klicken Sie auf OK Micros Security r ree i Security Level Trusted Sources sl ES IO 3 C High Gay signed macros from trusted sources wall be allowed Ti bo run Unsigned macros are automaticaly disabled te iE CF um C Medium You can choose whether or mat ka run potentially MEE unzafe marc a gt ES o gt a Low not recommended Tou ans not protected From po
268. ffice XP applications you would like installed Me Micromet Word Macr erie Chu tiers e 7 Microsoft Excel E Microsoft Access EE Momo Homer for D o rmt mage install sookeabons with the typcal opore Cheese detailed ires balian options for each ankam Cet Fred aC IE Space Analable on E BET ve Je Dem McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 219 220 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 42 Senken Sie die Sicherheitsstufe um Makros fur Office Anwendungen auszufuhren e Offnen Sie Microsoft Word 2003 und wahlen Sie Extras Makro Sicherheit und dann Niedrig und klicken Sie auf OK Mord Security Formal Security Level Trusted Sources is C High Only signed macros from trusted sources wil be allowed E to run Unsigned macros are suinmascaly desabled l Hef You can chocee whether or rol bo run pobermial y unsafe Macros Low nat recommended You are not protected from pobentialy unsafe macros Lise this setting only if you have mmus Scanning sofware mstaled or you are sure all e Setzen Sie genauso die Makrosicherheit f r Microsoft Excel und PowerPoint herab Schritt 43 Sie ben tigen das Compatibility Pack um Microsoft Office Dateien ffnen zu k nnen die mit einer neueren Version von Microsoft Office erstellt wurden Beispiel Zum Offnen einer DOCX Datei mit Office 2003 muss das
269. for updates not recommended 8 Klicken Sie auf FERTIGSTELLEN um die Adobe Flash Player Installation abzuschlieBen i Adobe Flash Player Installer A o ra o o ne F Adobe Flash Player FINISH Schritt 70 Fahren Sie das virtualMachineImage herunter indem Sie folgende Optionen auswahlen Start Herunterfahren Schritt 71 Navigieren Sie zu dem Speicherort den Sie in Schritt 8 angegeben haben um die VMDK Datei mit dem Namen virtualMachinelmage flat vmdk aufzurufen 104 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Erstellen einer VMDK Datei fur Windows 2003 Server Bevor Sie beginnen e Laden Sie VMware Workstation 9 0 oder h her von der Seite http www vmware com products workstation workstation evaluation herunter und installieren Sie das Programm e Stellen Sie sicher dass Sie ber ein ISO Image von Windows 2003 SP1 bzw SP2 verf gen f r das Sie die VMDK Datei erstellen Nur Windows 2003 Server Enterprise Edition wird unterst tzt e Stellen Sie sicher dass Sie ber den Lizenzschl ssel f r das Betriebssystem verf gen Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Schritt Details Schritt 1 Starten Sie VMware Workstation In diesem Beispiel wird VMware Workstation 10 verwendet Schritt 2 W hlen Sie auf der
270. fur einen bestimmen Zeitraum auf einem externen FTP SFTP Server erstellt der fur einen Benutzer unter den Einstellungen der FTP Ergebnisausgabe konfiguriert ist Syntax backup reports date lt yyyy mm dd gt Parameter Beschreibung yyyy mm dd yyyy mm dd Der Zeitraum fur den eine Sicherung von Berichten erstellt werden soll Beispiel 2014 07 10 2014 07 12 Blacklist Verwenden Sie folgende Befehle um die McAfee Advanced Threat Defense Blacklist zu verwalten Syntax e Verwenden Sie blacklist add lt md5 gt lt score gt lt file name gt lt malware name gt lt Eng ID gt lt OS ID gt um der Blacklist einen MD5 Werthinzuzuf gen Parameter Beschreibung lt md5 gt Der MD5 Hashwert einer Malware den Sie der Blacklist hinzuf gen m chten lt score gt Der Malware Schweregrad gultige Werte sind 3 bis 5 lt file_name gt Der Dateiname fur den MD5 Wert lt malware_name gt Der Malware Name fur den MD5 Wert lt Eng ID gt Die numerische ID fur das entsprechende Modul lt OS ID gt Die numerische ID des Betriebssystems das fur die dynamische Analyse der Malware verwendet wurde Beispiel blacklist add 254A40A56A6E28636E1465AF7C42B71F 3 ExampleFileName ExampleMalwareName 3 3 e Verwenden Sie blacklist delete lt md5 gt um einen MD5 Wert von der Blacklist zu l schen Parameter Beschreibung lt md5 gt Der MD5 Hashwert einer Malware den Sie von der Blacklist l schen m
271. g wird angezeigt Previous backup file Backup Time Filename Backup Server IP Address 2014 08 11 19 24 01 matd_3 2 1 29 40655_2014_08_11_07_24 10 71 119 123 2014 08 11 12 37 01 matd_3 2 1 28 40648_ 2014 08 11 12 37 10 71 119 123 Restore Figure 4 12 Liste der verfugbaren Sicherungsdateien Table 4 2 Wiederherstellen vorheriger Sicherungsdateien Optionsname Beschreibung File Name Dateiname Der Name den Advanced Threat Defense der Sicherungsdatei zugewiesen hat Versuchen Sie nicht den Dateinamen auf dem FTP Server zu andern Backup Server IP Address Die IP Adresse des FTP Servers auf dem die Sicherungsdateien IP Adresse des gespeichert werden Backup Servers Backup Time Sicherungszeit Zeitstempel fur die Erstellung der Sicherung Wiederherstellen Wahlen Sie die erforderliche Sicherungsdatei aus und klicken Sie auf Wiederherstellen um die Daten aus der Sicherungsdatei wiederherzustellen Wenn Sie mehr als eine Sicherungsdatei haben k nnen Sie mit den Optionsfeldern die Sicherungsdateien auswahlen die Sie wiederherstellen m chten McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 2 Um die Protokolle in Zusammenhang mit der Wiederherstellung anzuzeigen wahlen Sie Verwalten Systemprotokoll Verwalten von Advanced Threat Defense Sichern und Wiederherstellen der Advanced Threat Defense Datenbank 2014 06 06 15 12 45 starting wmerestor db 2014 06 06 15 13 00 Amas Database
272. gebnisse aus der McAfee Advanced Threat Defense Datenbank McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Fehlerbehebung Vorgehensweise e Um auf die Seite Troubleshooting Fehlerbehebung zuzugreifen w hlen Sie Verwalten Troubleshooting Fehlerbehebung Troubleshooting File Download Log Files Diagnostic File Support Bundle Wi Creation Create VMs Reset Report Analysis Results A Remove all Report Analysis Results WARNING This will remove all existing report Analysis Results fre Submit Abbildung 4 7 Seite Troubleshooting Fehlerbehebung Aufgaben e Exportieren von McAfee Advanced Threat Defense Protokollen auf Seite 59 e Neuerstellen der Analyse VMs auf Seite 60 e L schen der Analyseergebnisse auf Seite 61 Exportieren von McAfee Advanced Threat Defense Protokollen Wenn Probleme mit McAfee Advanced Threat Defense auftreten k nnen Sie die Protokolldateien exportieren und zur Analyse und Fehlerbehebung an den McAfee Support senden Sie k nnen Systemprotokolle Diagnoseprotokolle und sonstige Protokolltypen exportieren Die Systemprotokolle helfen bei der Behebung von Fehlern die im Zusammenhang mit Funktionen Vorg ngen Ereignissen und so weiter stehen Die Diagnoseprotokolle werden zur Behebung kritischer Probleme wie Systemabst rze in McAfee Advanced Threat Defense ben tigt Die Inhalte dieser System oder Diagnoseprotokolldateien k nnen nicht gelesen
273. gen von der Rolle ab die ein Benutzer bei der Malware Analyse mit McAfee Advanced Threat Defense spielt Mithilfe der McAfee Advanced Threat Defense Web Anwendung k nnen Sie Konten f r folgende Benutzertypen erstellen e Benutzer die die McAfee Advanced Threat Defense Web Anwendung zum Senden von Dateien zur Analyse und zum Anzeigen der Analyseergebnisse verwenden e Benutzer die die Dateien auf den FTP Server hochladen der auf der McAfee Advanced Threat Defense Appliance gehostet wird e Benutzer die zum Hochladen von Dateien direkt die REST APIs benutzen Weitere Informationen hierzu finden Sie im McAfee Advanced Threat Defense RESTful APIs Reference Guide Referenzhandbuch zu McAfee Advanced Threat Defense REST APIs Sie k nnen im Benutzerdatensatz auch das Standard Analyseprofil festlegen Wenn Sie f r das Hochladen die McAfee Advanced Threat Defense Web Anwendung benutzen k nnen Sie diese Auswahl beim Datei Upload au er Kraft setzen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 37 38 Verwalten von Advanced Threat Defense Verwalten von McAfee Advanced Threat Defense Benutzern Sie k nnen auch fur jeden Benutzer die Details fur den FTP Server festlegen auf den McAfee Advanced Threat Defense die Analyseergebnisse hochladen soll e Es stehen funf Standard Benutzerdatensatze zur Wahl e Default Admin Standard Admin Dies ist das Standardbenutzerkonto fur den Superuser Mit diesem Konto k nnen Sie anf nglich die
274. ger to move the virtual machine to another NON lt Back _pext gt cme McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 169 170 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 16 Vergewissern Sie sich dass im Fenster Specify Disk file Datentragerdatei angeben standardm ig virtualMachinelmage vmdk angezeigt wird und klicken Sie auf Next Weiter Wenn Sie unter Virtual Machine name Name des virtuellen Computers einen anderen Namen angegeben haben wird dieser hier angezeigt Mew Virtual Machine Wizard specify Disk File Where would you ike to store the disk fle Cesk File One 14 GB disk file wil be created using te file name provided here vrtualMachmneimage smack Browse McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 17 Fuhren Sie folgende Schritte im Fenster Ready to Create Virtual Machine Bereit zur Erstellung des virtuellen Computers aus e Power on this virtual machine after creation Diesen virtuellen Computer nach der Erstellung einschalten Wahlen Sie diese Option e Klicken Sie auf Finish Fertig stellen Dieser Schritt kann etwa 30 Minuten in Anspruch nehmen New Virtual Machine Wizard Ready to Create Virtual Mac
275. grate_Windows MergelDE zip MJ Desktop 0718 206 auf den nativen Computer herunter und kopieren Sie sie Downloads E LIZENZ auf die VM Recent Places E MergelDE MergelDE Schritt 36 Extrahieren Sie MergelDE zip und fuhren Sie die MergeIDE Batchdatei auf der VM aus e Klicken Sie in der Warnmeldung auf Ausf hren wenn Sie dazu aufgefordert werden e SchlieBen Sie Windows Explorer Schritt 37 Deaktivieren Sie Windows Updates 1 Wahlen Sie Start Systemsteuerung Windows Update Einstellungen andern 2 Fuhren Sie auf der Seite Einstellungen andern die folgenden Schritte durch a W hlen Sie Nie nach Updates suchen nicht empfohlen b Deaktivieren Sie das Kontrollkastchen unter Empfohlene Updates i E Grin Para rara La Cur EE GO Pim Edi Mar Toda Pin hue hi Hiedra Con sal plates Pan ur rar bra ina nn de A i ET AE EA MEH TET Ero TH era he re deen the T 2 Dar iral hek for pert ia WOR Car ia aia iss na z Fern iy ya y D parta a pda tes aiena ica by recommeded 3 Klicken Sie auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 179 180 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 38 Um Microsoft Word Excel und PowerPoint Dateien zu analysieren installieren Sie Microsoft Office 2003 auf dem virtuellen Computer Chace whch apple for setup ls miial Selec
276. gsdatei k nnen Sie die Sicherungsdatei auf dem FTP Server in jeder Advanced Threat Defense Appliance wiederherstellen Dies ist hilfreich wenn die Advanced Threat Defense Appliance besch digt wird Sie k nnen keine Sicherung einer lteren oder neueren Version der Advanced Threat Defense Software wiederherstellen Alle Zahlen in der Version m ssen genau bereinstimmen Sie k nnen beispielsweise keine Sicherung von 3 0 4 94 39030 auf 3 0 4 94 39031 wiederherstellen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 65 66 Verwalten von Advanced Threat Defense Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Vorgehensweise 1 Wahlen Sie Verwalten Sichern und wiederherstellen Wiederherstellen aus Die Seite Restore Management Wiederherstellungsverwaltung wird angezeigt Restore Management e select a backup file using either the Specific backup file settings ur remote FTP server To restore Advanced Threat Defense s configuration pleas or select from a list of previously backed files hosted on yo Specific backup file Remote IP bs 718 18 it Protocol fp User Mame Password e Full Path File Name T Previous backup file Restore Abbildung 4 11 Spezifische Sicherungsdatei 2 Wahlen Sie Specific backup file Spezifische Sicherungsdatei aus Geben Sie die entsprechenden Informationen in die jeweiligen Felder ein Tabelle 4 1 Wiederherstellen einer s
277. gsgeschwindigkeit maximal 10 C pro Stunde betragt Lagerungstemperatur 40 C bis 70 C 40 C bis 70 C Relative Feuchtigkeit nicht kondensierend e In Betrieb 10 bis 90 Prozent e AuBer Betrieb 90 Prozent bei 35 C e In Betrieb 10 bis 90 Prozent e AuBer Betrieb 50 bis 90 Prozent bei einer maximalen Feuchttemperatur von 28 C bei Temperaturen zwischen 25 C und 35 C Hohe Betrieb wird in einer Hohe von bis zu 3 050 Metern unterstutzt Betrieb wird in einer Hohe von bis zu 3 050 Metern unterstutzt Sicherheitszertifizierung UL 1950 CSA C22 2 Nr 950 EN 60950 IEC 950 EN 60825 21CFR1040 CB Lizenz und Report zur Abdeckung aller nationalen Abweichungen UL 1950 CSA C22 2 Nr 950 EN 60950 IEC 950 EN 60825 21CFR1040 CB Lizenz und Report zur Abdeckung aller nationalen Abweichungen EMI Zertifizierung FCC Teil 15 Klasse A CFR 47 USA ICES 003 Klasse A Kanada EN55022 Klasse A Europa CISPR22 Klasse A International FCC Teil 15 Klasse A CFR 47 USA ICES 003 Klasse A Kanada EN55022 Klasse A Europa CISPR22 Klasse A International Akustik Schallleistung 7 0 BA bei einer typischen Umgebungstemperatur in Buros 23 2 C Schallleistung 7 0 BA bei einer typischen Umgebungstemperatur in Buros 23 2 C Erschutterung im Halbsinus 2 g H chstwert Halbsinus 2 g H chstwert Betrieb 11 Millisekunden 11 Millisekunden Er
278. h a blank hard disk Help Aa Mew Virtual Machine Wizard os Hardware Compatibility Wahlen der _ Hardwarekompatibilitat des Choose the Virtual Machine Hardware Compatibility virtuellen Com pute rs Workstation Which hardware features are needed for this virtual machine 9 0 aus der Dropdown Liste Hardware compatibility bine gd ep ee DE E Hardwarekompatibilit t aus Hardware compatibility Workstation 9 0 T Akzeptieren Sie bei den Compatible with X Server anderen Feldern die Standardwerte und klicken Sie nn on auf Next Weiter Ze ie Fusion 6 0 W network adapters Workstation 10 0 2 TE disk sue Workstation 9 0 Mo SATA devices e Helo lt Beck Wert Cancel Schritt 5 W hlen Sie im Fenster Guest Operating System New Virtual Machine Wizard Ez Installation Installation eines Gast Betriebssystems AA OO entweder Installer disc ttn api u Installationsdatentr ger oder Installer disc image file iso Image Datei des Installer disc Installationsdatentr gers navigieren Sie zum ISO Image tin dc E wahlen Sie es aus und klicken Sie anschlieBend auf Next Weiter 8 retailer disc mpage file ina T aiie ir ze F cak Next gt Cmi McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 75 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von
279. halten m ssen Sie beide Netzkabel von der Stromversorgung oder den Steckdosen trennen Umgang mit der Frontblende Sie k nnen bei Bedarf die Frontblende entfernen und sp ter wieder anbringen Vor dem Anbringen m ssen Sie jedoch die Rackgriffe montieren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Einrichten der McAfee Advanced Threat Defense Vorgehensweise 1 F hren Sie folgende Schritte aus um die Frontblende zu entfernen a L sen Sie gegebenenfalls die Verriegelung b Entfernen Sie das linke Ende der Frontblende vom Rackgriff c Drehen Sie die Frontblende gegen den Uhrzeigersinn um die Klemmen rechts vom Rackgriff freizugeben Abbildung 2 13 Entfernen der Frontblende 2 F hren Sie folgende Schritte aus um die Frontblende anzubringen a Lassen Sie das rechte Ende der Frontblende im Rackgriff einrasten b Drehen Sie die Frontblende im Uhrzeigersinn bis das linke Ende einrastet c Verriegeln Sie die Blende bei Bedarf Abbildung 2 14 Anbringen der Frontblende Verbinden des Netzwerkkabels Vorgehensweise 1 Schlie en Sie ein Ethernet Kabel der Kategorie 5e oder 6 an den Verwaltungsport auf der R ckseite an 2 Schlie en Sie das andere Ende des Kabels an das entsprechende Netzwerkger t an Konfigurieren der Netzwerkinformationen f r die McAfee Advanced Threat Defense Appliance Nach Abschluss der erstmaligen Installation und Konfigurati
280. hine Chek Finch to create the virtual machine and start netaling Windows The virtual machine will be created wath the following settings Name Vir fualachine image Location C 01_Work is Version Workstation 9 0 Operabro System Windows Server 2006 1054 Hard Disk 1468 Pre allocated Memory 3072 MB Network Adapter MAT Other Devices COD USB Controller Printer Sound Card J Power on this virtual machine after creation lt k Fr Mew Virtual Machine Wizard Ready to Create Virtual Machine Check Finch to create the virtual machine and start rar Windows Saver 2008 64 and then VMware Took The virtual machine dl be oreabed with the follosing settings Name vriualMachineimage Vibware Workstation Bowser on this virtual machine after creation Schritt 18 Wenn das Die Installation von Windows beginnt Dies kann etwa 15 Minuten Popupfenster Removable Devices dauern Wechselgerate angezeigt wird wahlen Sie Do not show this hint again Diesen Hinweis nicht mehr anzeigen und klicken Sie auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 171 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 19 Wenn das Fenster Aufgaben zur Erstkonfiguration Er oo Qe E angezeigt wird wahlen Sie i Perton the Sorang Backs to incl cor ue tha server ET Winders Server sun Dieses Fenster bei der Anmeldung
281. hlen Sie im Fenster Guest Operating System Installation Installation eines Gast Betriebssystems die Option Installer disc image file iso Image Datei des Installationsdatentr gers navigieren Sie zum ISO Image w hlen Sie es aus und klicken Sie anschlie end auf Next Weiter Mew Virtual Machine Wizard Guest Operating System Installation A virtual machine is like a physical computer it needs an operating stem Hee vall you metal the guest operating syabas Install from eld DVD RW Drive E Installer dec mage He fe Se Wir ISO SA DN i Windows 8 054 detected This operating system vell use Easy Install Whats this wil ingtall the operating system later The virtual machine wil be created with a blank hard disk lt pack net gt cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 6 Geben Sie die Informationen im Fenster Easy Install Information Informationen zur einfachen Installation ein und klicken Sie auf Next Weiter e Windows product key Windows Produktschlussel Geben Sie den Lizenzschlussel des Windows Betriebssystems ein fur das Sie die VMDK Datei erstellen Bei einer Volumenlizenz k nnen Sie das Feld leer lassen Klicken Sie auf Ja wenn die folgende Meldung anschlie end angezeigt wird You dd not en
282. hreat Defense Appliance zum ersten Mal konfigurieren m ssen Sie dies ber die Konsole tun Wenn die Verbindung mit der McAfee Advanced Threat Defense Appliance erfolgreich hergestellt wurde sehen Sie die Anmeldeaufforderung McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 345 9 CLI Befehle fur McAfee Advanced Threat Defense CLI Syntax Ausgeben eines Befehls uber SSH Sie k nnen eine McAfee Advanced Threat Defense Appliance standortfern mittels Eingabeaufforderung uber SSH verwalten Es k nnen nur 5 SSHD CLI Sitzungen gleichzeitig auf einer McAfee Advanced Threat Defense Appliance aktiv sein Anmeldung bei der McAfee Advanced Threat Defense Appliance mittels SSH Client Vorgehensweise 1 ffnen Sie eine SSH Clientsitzung 2 Geben Sie die IPv4 Adresse der McAfee Advanced Threat Defense Appliance und bei der Portnummer 2222 ein 3 Geben Sie im Anmeldebildschirm den Standardbenutzernamen cliadmin und das Standardkennwort atdadmin ein Die H chstanzahl von Anmeldeversuchen bei der McAfee Advanced Threat Defense Appliance ist auf drei festgelegt Danach wird die Verbindung beendet Die H chstanzahl der Anmeldeversuche bei der McAfee Advanced Threat Defense Appliance kann je nach verwendetem SSH Client variieren Bei manchen Clients z B Putty Version 0 54 und 0 56 liegt sie bei drei bei anderen z B Putty Version 0 58 und Linux SSH Clients betr gt sie vier Auto Vervollst ndigung Die Befehlszeilenschnitts
283. hritt 28 Wahlen Sie im Dialogfeld Eigenschaften von Telnet Lokaler Computer aus der Liste Starttyp die Option Automatisch aus Wahlen Sie dann Ubernehmen Start OK a bles a remote user to log on ta this computer and a i programs and supports various TCP IP Telnet Path to executable C Windows System 2 dintevr esos Startup type Automatic hal me configure service Startup options Start Stop Pause Aesma You can specify the start parameters that apply when you start the service from hara Lat paramete Sence name TintSwr Telnet Enables a remote user to log on to this computer and a run programs and supports vanous TCP IP Telnet Path to executable Co itindowe System Ile ee Pause Resume 6 start parameters that apply when you start the service McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 209 210 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 29 Aktivieren Sie FTP unter Windows 8 1 Drucken Sie gleichzeitig die Windows und die X Taste und wahlen Sie dann Systemsteuerung System und Sicherheit Verwaltung Home Share View T sc All Control Panel tems Administrative Tools a Name FF Computer Management aer I BE Desktop fi Defragment and Optimize Drives Downloads Disk Cleanup i Fy E Geh E Wi J Scere pla 1 ver 3 T a Internet Informat
284. ht im HTML Format anzuzeigen klicken Sie auf und w hlen Sie Analysis Summary HTML Analyse bersicht HTML Alternativ k nnen Sie auf den gew nschten Datensatz doppelklicken c Um den Bericht im PDF Format anzuzeigen klicken Sie auf und w hlen Sie Analysis Summary PDF Analyseubersicht PDF 2 F hren Sie folgende Schritte aus um den Ubersichtsbericht der Analyse ber die ZIP Berichtedatei zu Offnen a Wahlen Sie Analyse Analysis Results Analyseergebnisse aus g Klicken sie auf und w hlen Sie Complete Results Vollst ndige Ergebnisse aus c Speichern Sie die komprimierten Berichte auf Ihrem lokalen Computer Die ZIP Datei wird nach der Probedatei benannt d Extrahieren Sie die Inhalte der ZIP Datei Der AnalysisLog Ordner enth lt den Analysebericht im HTML Text XML und JSON Format Ab einem Malware Schweregrad von 3 sind auch OpenIOC und STIX Formate enthalten Sie k nnen diese Dateien anhand des Namens der Malware Datei identifizieren Der Name der McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 297 7 Analysieren von Malware Anzeigen der Analyseergebnisse Malware Datei wird hinzugef gt zu _summary html _summary json _Summary txt _summary xml _summary ioc und _summary stix xml 298 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware Anzeigen der Analyseergebnisse Im Folgenden sind die verschiedenen Abschnitte der HTML Version des Ubersichtsberichts der
285. i F 3 Windows 7 x64 detected This operating system vell use Easy Install Whats hig I vall ingtal the operating system later The virtual machine wall be created with a blank hard disk Help lt Back Next gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 6 Geben Sie die Informationen im Fenster Easy Install Information Informationen zur einfachen Installation ein und klicken Sie auf Next Weiter e Windows product key Windows Produktschlussel Geben Sie den Lizenzschlussel des Windows Betriebssystems ein fur das Sie die VMDK Datei erstellen name ein Password Kennwort Geben Sie crecker42 als Kennwort ein Full name Vollst ndiger Name Geben Sie administrator als Full Dies ist das Kennwort das McAfee Advanced Threat Defense f r die Anmeldung bei der VM verwendet Confirm Best tigen Geben Sie cr cker42 zur Best tigung erneut ein e Log on automatically requires a password Automatisch anmelden Kennwort erforderlich Deaktivieren Sie dieses Kontrollk stchen El bed Mea Virtual Machine Wizard Easy Install Information This is used to install Windows 7 164 Windows product key Version of Windows to install Windows Professonal Personaliza Windows Full name admirustrabor Password TTT TTT lophonal Confirm
286. i fur Adobe Flash Player install_flashplayer xxx exe OOOO install_flashplayerl x exe 5 Klicken Sie im Dialogfeld Sicherheitswarnung auf Ausf hren Open File Security Warning Do you wani lo nun this fle cH Mame inglal_flashplayer1d32_ 116503 2d_avec_aih 1 exe Publisher Adobe Systems Incorporated Imme Application From C3 Users MilabhiDownloads install flashpleyerl aun Cam FF Always aak befara opening this fila While fies from the Inemet can be useful this file type can potentially ham your computer Cindy run sofan from publishers you trust What s the nak 6 Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Ja McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 161 162 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details a User Account Control 5 Do you want to allow the following program to make Le y n Y changes to this computer Program name Adobe Flash Player Installer Verified publisher Adobe Systems Incorporated File origin Hard drive on this computer V Show details No Change when these notifications appear 7 Wahlen Sie Ihre Aktualisierungsoption und klicken Sie auf WEITER Adobe Flash Player Installer nn _ X Update Flash Player Preferences Security updates and enhancements are periodically released for Adobe Flash Player that can be downloaded and instal
287. i sigir Win Fre be eed Ieee ur rar Cod erie eel wer all rems pees rr p o ary cer ae a cr thie AT 4 SchlieBen Sie das Windows Defender Meldungsfeld Windows Defender has been turned off and isn t monitoring your computer Tf youre using another app ba check for malicoue or urrwanbed sofware use Acton Center to check that apps status McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 201 202 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 24 Deaktivieren Sie die Animation zur ersten Anmeldung 1 Drucken Sie gleichzeitig die Windows und die R Taste um das Dialogfeld Ausf hren zu ffnen 2 Geben Sie im Dialogfeld Ausf hren den Befehl gpedit msc ein und dr cken Sie die Eingabetaste Der Editor f r lokale Gruppenrichtlinien wird ge ffnet Fe L ormin oop O biep p O Firion ie D hirina Ta Be Lorgadh Leti da al the Coria E ler corn ES or Sai D Wrote ei ET im hree ee alae Site eli Ta Felle lar y 3 Wahlen Sie Computerkonfiguration Administrative Vorlagen System Anmelden und ffnen Sie dann Show first sign in animation Animation zur ersten Anmeldung anzeigen Fin Acton Yes Hide q gt sal A mi TY al Sand ry m Arema Dereed Asi Cruda Dega i ap i Letty E Device installation Siara Mal id in animalien O Devnet bres E m a E lem ga PIM sgrin 3 Bee t palic milang E Tem of p
288. i und HITE Gran j Era ds reiterate Lo eg de Da D computar anc run programa anc By Sore Sunn ware TORTA Tenet chant E ii LA bar al tre hmd orate bh src A Ana manos sr Bets Lo programa might ba ureaksi F thn parda abad re eras Da me m won dpi ee en ae Manage Secunity sad inde f eraa Sal prodeci pour compu han rara ona Eo o Oran de a On recomasrded The si binds al puede e cranpeten att a ap cd I rl Lies BH E Beki ig shen you canaries Bikra ah ds ti T Firassall blocks pogar Sal graj ODM reat ee Seed aig the tr Tuer Cope moss ware do vu all Hara smion By Security Ces Morahan 5 Gp irae Saas Id fey Sal Hardksars Dei Providenni et Cond ALAS MICH Decor Ser Enable ds Murten Evert Mifi Tracks apt Berta Restore Se Beime s db mb En a Toa Eiri a Ar Peak Ha Enie mz aoh Prades T derma Tara Skea ret Way Tore Prades u range Por Managed a y oe McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 25 Wahlen Sie im Fenster Eigenschaften von Telnet Lokaler Computer aus der Dropdown Liste Starttyp die Option Automatisch Wahlen Sie dann Anwenden Start OK Details Telnet Properties General Log On DECE PATE Dispis purni
289. iance Einrichten der McAfee Advanced Threat Defense McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Zugreifen auf die McAfee Advanced Threat Defense Web Anwendung Die McAfee Advanced Threat Defense Web Anwendung wird auf der McAfee Advanced Threat Defense Appliance gehostet Wenn Sie ein McAfee Advanced Threat Defense Benutzer mit Web Zugriff sind k nnen Sie von einem Remotecomputer mit einem unterstutzten Browser auf die McAfee Advanced Threat Defense Web Anwendung zugreifen Die McAfee Advanced Threat Defense Web Anwendung bietet folgende M glichkeiten e Uberwachen von Zustand und Leistung derMcAfee Advanced Threat Defense Appliance e Verwalten der McAfee Advanced Threat Defense Benutzer und ihrer Berechtigungen e Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse e Manuelles Hochladen von Dateien zur Analyse e Verfolgen des Analysefortschritts und anschlieBendes Anzeigen der Ergebnisse Inhalt gt McAfee Advanced Threat Defense Client Anforderungen Zugreifen auf die McAfee Advanced Threat Defense Web Anwendung McAfee Advanced Threat Defense Client Anforderungen Fur Client Systeme die auf die McAfee Advanced Threat Defense Web Anwendung zugreifen gelten folgende Systemanforderungen e Client Betriebssystem Microsoft Windows XP Microsoft Windows Server 2003 Microsoft Windows Server 2008 Microsoft Windows 7 und Microsoft Windows 8 0 e Browser Internet Explorer 9 oder h her
290. iance fest Syntax set appliance gateway lt A B C D gt Parameter Beschreibung lt A B C D gt Eine 32 Bit Adresse die als vier 8 Bit Zahlen geschrieben ist die vier Zahlen sind durch Punkte voneinander getrennt A B C oder D stehen fur eine 8 Bit Zahl zwischen O und 255 Beispiel set appliance gateway 192 34 2 8 set appliance ip Dieser Befehl legt die IPv4 Adresse und die Subnetzmaske fur die McAfee Advanced Threat Defense Appliance fest Damit die Anderung der IP Adresse aktiviert wird ist ein Neustart erforderlich Im Abschnitt zum Befehl reboot erhalten Sie Anweisungen zum Neustarten der McAfee Advanced Threat Defense Appliance Syntax set appliance ip lt A B C D E F G H gt Parameter Beschreibung lt A B C D Diese Zeichenfolge gibt die IPv4 Adresse gefolgt von einer Netzmaske an Bei der E F G H gt Netzmaske wird die Host ID Adresse aus der IP Adresse entfernt sodass nur die Netzwerk ID brig bleibt Jede Netzmaske besteht aus Bin r Einsern Dezimal 255 zur Darstellung der Netzwerk ID und aus Bin r Nullen Dezimal Nullen dank der die Host ID der IP Adresse beibehalten wird Beispiel Die standardm ige Netzmaskenkeinstellung f r eine Adresse der Klasse C lautet 255 255 255 0 Beispiel set appliance ip 192 34 2 8 255 255 0 0 set appliance name Dieser Befehl legt den Namen der McAfee Advanced Threat Defense Appliance fest Der Name dient zur Identifizierung der M
291. iance schaltet sich nicht automatisch aus Sie m ssen das Ausschalten best tigen Dieser Befehl hat keine Parameter Syntax shutdown status Der Befehl zeigt den Systemstatus von McAfee Advanced Threat Defense an beispielsweise den Zustand und die Anzahl von Dateien die an verschiedene Module gesendet wurden Dieser Befehl hat keine Parameter Syntax status Ausgabebeispiel System Health Status good Sample files received count 300 Sample files submitted count 300 GTI Scanner files submitted count 50 GAM Scanner files submitted count 100 MAV Scanner files submitted count 200 Sandbox files submitted count 25 Sandbox files finished count 25 Sample files finished count 300 Sample files error count o0 terminal Mit diesem Befehl wird die Anzahl von Zeilen zur Anzeige auf dem Bildschirm der McAfee Advanced Threat Defense festgelegt Syntax terminal lt length gt no Parameter Beschreibung lt length gt Legt die Anzahl von Zeilen zur Anzeige auf dem Bildschirm fest Der Wert reicht von O bis 512 no Negiert den vorherigen Befehl oder legt den Standardwert fest McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle update_avdat McAfee Advanced Threat Defense aktualisiert standardmabig alle 90 Minuten die DAT Dateien fur McAfee Gateway Anti Malware Engine und McAfee Anti Malware Engine Verwenden Sie den Befeh
292. icher dass Sie die Konfiguration auf der Seite Backup Scheduler Setting Zeitplaneinstellung zur Datensicherung entsprechend ndern Sie k nnen anschlie end die Wiederherstellung der erforderlichen Sicherungsdatei durchf hren Wurde jedoch der Server selbst ge ndert k nnen Sie die Sicherungen auf dem alten Server nicht wiederherstellen Sie k nnen nur aus den Dateien die auf dem neuen Server gesichert wurden wiederherstellen e Sie k nnen eine Sicherung nur auf der Advanced Threat Defense Appliance wiederherstellen aus der die Datenbank gesichert wurde Sie k nnen beispielsweise keine Sicherung einer Test Advanced Threat Defense Appliance auf einer Produktions Advanced Threat Defense Appliance wiederherstellen e Sie k nnen keine Sicherung einer lteren oder neueren Version der Advanced Threat Defense Software wiederherstellen Alle Zahlen in der Version m ssen genau bereinstimmen Sie k nnen beispielsweise keine Sicherung von 3 0 4 94 39030 auf 3 0 4 94 39031 wiederherstellen e Der Prozess zur Wiederherstellung der Sicherungen dauert normalerweise einige Minuten Er variiert je nach Gr e der involvierten Daten McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 67 Verwalten von Advanced Threat Defense Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Task 1 Wahlen Sie Verwalten Sichern und wiederherstellen Wiederherstellen aus Die Seite Restore Management Wiederherstellungsverwaltun
293. ie Datei bertragung zum prim ren Knoten erfolgt ber dessen REST APIs e Die in Advanced Threat Defense integrierten McAfee Produkte senden Dateien zur Analyse 4 Der primare Knoten verteilt die Dateien unter den Mitgliedsknoten einschlie lich dem prim ren Knoten 5 Integrierte McAfee Produkte wie der Network Security Manager fragen den prim ren Knoten nach Analyseberichten ab Dar ber hinaus zeigt der prim re Knoten den Status und die Ergebnisse aller vom Cluster analysierten Dateien an Daher ruft der prim re Knoten die Analyseergebnisse von den sekund ren Knoten ab 6 Der prim re Knoten stellt den integrierten McAfee Produkten die Berichte zur Verf gung 7 Sie k nnen den Status und die Ergebnisse aller vom Cluster analysierten Dateien ber den prim ren Knoten anzeigen Ebenfalls ber den prim ren Knoten k nnen Sie die Analyseberichte von direkt an einen sekund ren Knoten gesendeten Dateien anzeigen 8 In regelm igen Abst nden senden die sekund ren Knoten ein Heartbeat Signal mit Informationen zum Zustand und Status des jeweiligen sekund ren Knotens an den prim ren Knoten 9 Die Sicherungs Advanced Threat Defense bernimmt die Rolle der amass prim ren Advanced Threat Defense wenn die eigentliche prim re Advanced Threat Defense ausf llt Wie werden die in einer ZIP Datei enthaltenen Dateien von einem Advanced Threat Defense Cluster analysiert Wenn Sie eine Datei oder URL se
294. ie Details in die entsprechenden Felder ein Optionsname Beschreibung Anmelde ID Geben Sie den McAfee ePO Anmeldenamen ein den McAfee Advanced Threat Defense f r den Zugriff auf den McAfee ePO Server verwenden soll McAfee empfiehlt ein McAfee ePO Benutzerkonto mit Leseberechtigung zu erstellen das f r die Integration ben tigt wird Kennwort Geben Sie das zur eingegebenen Anmelde ID geh rige Kennwort ein IP Adresse Geben Sie die IPv4 Adresse des McAfee ePO Servers ein Wenden Sie sich an Ihren McAfee ePO Administrator um die IP Adresse zu erhalten Portnummer Legen Sie den HTTPS Abh rport auf dem McAfee ePO Server fest der f r die Kommunikation zwischen McAfee Advanced Threat Defense und McAfee ePO verwendet werden soll Wenden Sie sich an Ihren McAfee ePO Administrator um die Portnummer zu erhalten Test ePO Login Klicken Sie auf diese Schaltfl che um zu berpr fen ob McAfee Advanced ePO Anmeldung Threat Defense den konfigurierten McAfee ePO Server ber den testen angegebenen Port erreichen kann Senden Klicken Sie auf diese Schaltfl che um die Konfiguration zu speichern und die Integration von McAfee Advanced Threat Defense inMcAfee ePOzu aktivieren Stellen Sie sicher dass die Testverbindung erfolgreich hergestellt werden konnte bevor Sie auf Senden klicken Deaktivieren Klicken Sie darauf um die Integration von McAfee Advanced Threat Defense in McAfee ePOzu deaktivieren
295. ie Proben jederzeit wie alle anderen Knoten Voraussetzungen und Anmerkungen In einem Cluster k nnen sich maximal 10 Knoten befinden einschlie lich des prim ren Knotens Es wird empfohlen dass Sie die ETH O Schnittstellen Verwaltungsports der McAfee Advanced Threat Defense Appliances f r die Cluster Kommunikation verwenden F r eine optimale Leistung m ssen sich die ETH 0 Schnittstellen aller Knoten au erdem in demselben Schicht 2 Netzwerk befinden Informationen zum Auffinden der ETH O Schnittstellen in Ihrer Appliance finden Sie unter berpr fen der Lieferung auf Seite 22 Die Knoten m ssen in Bezug auf folgende Aspekte homogen sein e McAfee Advanced Threat Defense Softwareversion Die Softwareversionen aller Knoten m ssen genau bereinstimmen e Analyse VMs Alle Knoten m ssen dieselben Analyse VMs haben Stellen Sie vor dem Konfigurieren des Clusters sicher dass die VM Profile aller Knoten des Clusters bereinstimmen S mtliche Einstellungen der VM Profile einschlie lich des VM Profilnamens m ssen bei allen Knoten identisch sein Wenn Sie ein neues VM Profil erstellen oder ein vorhandenes nach der Erstellung des Clusters ndern bedenken Sie dass nderungen an einem VM Profil nicht automatisch auf alle Knoten angewendet werden L sen Sie zun chst das Cluster auf Nehmen Sie dann manuell die Anderungen f r jeden Knoten einzeln vor Wenn Sie ein neues VM Profil erstellen m ssen Sie es zun chst f r
296. ie auf der Seite Benutzerverwaltung die Option Allow Multiple Logins Mehrere Anmeldungen zulassen aus Mithilfe der McAfee Advanced Threat Defense Web Anwendung k nnen Sie das McAfee Advanced Threat Defense Software Image auf das Sie aktualisieren m chten importieren Starten Sie das Ger t vorsichtshalber von der aktiven Festplatte aus neu und benutzen Sie den copyto backup Befehl zum Kopieren der Softwareversion von der aktiven Festplatte auf die Sicherungsfestplatte Dank der Sicherung k nnen Sie bei Bedarf zur aktuellen Softwareversion zuruckkehren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 45 Verwalten von Advanced Threat Defense Upgrade von McAfee Advanced Threat Defense und Android VM Vorgehensweise 1 F hren Sie ein Upgrade der Benutzeroberflache der McAfee Advanced Threat Defense Web Anwendung durch a Wahlen Sie Verwalten Software Verwaltung aus Software Management MATD Software File C fakepath ul 3 0 4 MSU Browse El Reset Database Install Abbildung 4 4 Upgrade der McAfee Advanced Threat Defense Web Anwendung Klicken Sie auf Durchsuchen und w hlen Sie die Datei ui lt version number gt msu auf Ihrem Client Computer aus Wenn Sie ein Upgrade durchf hren m chten stellen Sie sicher dass Datenbank zur cksetzen nicht O ausgew hlt ist Sie w hlen diese Option nur aus wenn Sie im Laufe des Upgrades eine neue Datenbank erstellen m chten Bei Auswahl dieser Opt
297. ie die IPv4 Adresse des prim ren DNS Proxy Servers an Die Bevorzugter DNS Abfragen von Analyse VMs gehen zu diesem DNS Server DNS Server Alternate DNS Server Geben Sie die IPv4 Adresse des sekund ren DNS Proxy Servers an Alternativer Wenn die Analyse VM den prim ren DNS Server nicht erreichen kann DNS Server gehen die DNS Abfragen an den sekund ren DNS Server Testen Klicken Sie auf diese Schaltfl che um zu berpr fen ob McAfee Advanced Threat Defense den bevorzugten oder den alternativen DNS Server erreichen kann Submit Senden Klicken Sie auf diese Schaltfl che um die Konfiguration in der Datenbank zu speichern Stellen Sie sicher dass die Testverbindung erfolgreich hergestellt werden konnte bevor Sie auf Senden klicken Konfigurieren der Datums und Uhrzeiteinstellungen Bevor Sie beginnen e Sie m ssen ber Administratorbenutzer Berechtigungen verf gen um die Einstellungen von Datum und Uhrzeit anzuzeigen oder zu ndern e Wenn Sie Dom nennamen von Network Security Protocol Servern verwenden m chten stellen Sie sicher dass die DNS Server in McAfee Advanced Threat Defense ordnungsgem konfiguriert sind McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 267 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Konfigurieren der Datums und Uhrzeiteinstellungen Sie k nnen Datum und Uhrzeit in der McAfee Advanced Threat Defense Appliance Ihren W
298. ie folgt vor e Wahlen Sie Enable DXL communication DXL Kommunikation aktivieren e Wahlen Sie in der Dropdown Liste Schweregrad den Ihren Anforderungen entsprechenden Schweregrad aus e Im Feld DXL Status DXL Status wird der DXL Verbindungsstatus angezeigt Klicken Sie auf bernehmen Wird die Meldung Test DXL connection successful DXL Testverbindung erfolgreich angezeigt klicken Sie auf OK Integration in McAfee Next Generation Firewall McAfee Next Generation Firewall integriert Sicherheitsfunktionen mit hoher Verf gbarkeit und Verwaltbarkeit Sie integriert Application Control Intrusion Prevention System IPS und Umgehungspr vention in eine einzige preiswerte L sung Folgende Schritte sollten von McAfee Next Generation Firewall Kunden durchgef hrt werden um McAfee Next Generation Firewall in McAfee Advanced Threat Defense zu integrieren 1 Erstellen Sie einen Advanced Threat Defense Benutzer mit dem Namen ngfw nachdem Sie sich als Administrator bei Advanced Threat Defense angemeldet haben Dieser Benutzer verf gt ber dieselben Berechtigungen wie der Benutzer nsp Starten Sie amas von der CLI aus neu Verwenden Sie im SCM den Benutzer ngfw um REST API Aufrufe auszuf hren Es werden keine nderungen am bestehenden SOFA Protokoll zur Datei bertragung vorgenommen Da ein Benutzer mit dem Namen ngfw existiert wird davon ausgegangen dass alle Daten bertragungen ber den SOFA Kanal von McAfee NGFW App
299. ie k nnen ein Upgrade auf Android 4 3 durchf hren Siehe Upgrade der Android Analyse VM auf Seite 55 Die oben genannten Windows Betriebssysteme k nnen auf Deutsch Englisch Chinesisch vereinfacht Japanisch oder Italienisch vorliegen Die einzige vorinstallierte Analyse VM ist die Android VM F r Windows m ssen Sie selbst Analyse VMs erstellen Sie k nnen verschiedene VMs abh ngig von den jeweiligen Anforderungen erstellen Die Anzahl der Analyse VMs die Sie erstellen k nnen wird nur vom Festplattenspeicher auf der McAfee Advanced Threat Defense Appliance begrenzt Es gibt jedoch eine Beschr nkung wie viele VMs gleichzeitig f r die Analyse verwendet werden k nnen Auch die Anzahl der gleichzeitig nutzbaren Lizenzen die Sie festlegen hat Auswirkungen auf die Anzahl der gleichzeitigen Instanzen f r eine Analyse VM VM Profile VM Profil Nachdem Sie die VM Laufwerksdatei VMDK Datei auf McAfee Advanced Threat Defense hochgeladen haben k nnen Sie jede davon mit einem separaten VM Profil verkn pfen Ein VM Profil gibt den installierten Inhalt einer VM Laufwerksdatei und die Anzahl der gleichzeitigen Lizenzen die mit der Datei verkn pft sind an Mithilfe der VM Laufwerksdatei und der Informationen im VM Profil erstellt McAfee Advanced Threat Defense die entsprechende Anzahl an Analyse VMs Wenn Sie beispielsweise angeben dass Sie ber 10 Lizenzen f r Windows XP SP2 32 Bit verf gen versteht McAfee Advanced Threat Defe
300. ieren Schritt 47 Extrahieren Sie sigcheck zip an folgendem Speicherort C WINDOWS system32 gt system32 Fe Edt iw Fesses Toth Help Q nae F Search ea Folders Esi Di CAIDOS lepstem232 Folders x Aires dl Sje moded Alborea mi anrea J ore eer ney Network Diagnostic STPV Elnscompst E Cembir STP career al A COMNFINT E Offline Web Pages Aa Piirit E pchaakh Sj TPVMMorgpn dl ZI FNTLACHE Ea Prerhiet ATRA onL il m ERTE 3 Prefstch JE TEVE dl cid PNF E Provisioning E TP PHON dl atog E G Regitrabion TR WPFOndeu di eco ES recat Aj TPWPhanfra ch Ed perfhoos E E Resources miga Fbear injik 2 a nork Sj LpgradearshutdomniWPd Schritt 48 Navigieren Sie in Windows Explorer zu C WINDOWS system32 und doppelklicken Sie auf sigcheck exe Schritt 49 Klicken Sie in der Warnmeldung auf Ausf hren wenn Sie dazu aufgefordert werden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 93 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 50 Klicken Sie im Sigcheck License Agreement Sigcheck Lizenzvertrag auf Agree Ich stimme zu Nach dem Klicken auf Agree Ich stimme zu wird keine Bestatigungsmeldung angezeigt Details SieCheck License Agreement You can also une the acceplevda commandire patch lo accep the E
301. iff auf das Internet zu erlauben Sie k nnen f r diesen Zweck auch einen anderen Port konfigurieren Um einen anderen Ethernet Port f r den Malware Netzwerkzugriff zu aktivieren f hren Sie die unten beschriebenen Schritte aus 1 Melden Sie sich bei der McAfee Advanced Threat Defense CLI an und aktivieren Sie den gew nschten Port Zum Beispiel aktivieren Sie den ETH 1 Port mit set intfport 1 enable 2 Legen Sie die gew nschte IP Adresse und Subnetzmaske f r den Port fest Beispiel set intfport i 10 20 10 20 25552554255 0 250 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Verwalten von Analyseprofilen 3 Legen Sie f r den Ethernet Port das Gateway fest wor ber der Internetzugriff geleitet werden soll Beispiel set malware intfport 1 gateway 10 10 10 252 4 F hren Sie den Befehl show intfport lt port number gt f r den Port aus um zu berpr fen ob er f r den Malware Internetzugriff konfiguriert ist Beispiel show intfport 1 berpr fen Sie die Eintr ge f r Malware Interface Port und Malware Gateway Ei 3 3 3 Fo Fg ir ot da m M j L E E mn g ft to F Ei Fa rf Ka Mm cu e Um fur den Malware Internetzugriff wieder den Verwaltungsport ETH 0 zu verwenden fuhren Sie in der CLI den Befehl set malware intfport mgmt aus McAfee Advanced Threat Defense verwendet die Verwaltungsport IP u
302. igen Dateien auszublenden klicken Sie in der Legende auf den entsprechenden Schweregrad e Bewegen Sie den Mauszeiger ber einen Balken im Diagramm um zu sehen aus wie vielen Dateien der Balken besteht Dieser Monitor verf gt ber eine Drilldown Funktion Wenn Sie mit dem Mauszeiger auf einen bestimmten Balken klicken ffnet Advanced Threat Defense die Seite Analysis Results Analyseergebnisse auf der die Datens tze nach dem gew hlten Balken sortiert angezeigt werden Profile Usage Dieser Monitor stellt dar wie oft jedes Analyseprofil f r die Dateianalyse benutzt wurde Profile Usage Analyzer Profile No of Files File type not supported 5 StaticAnalysis 10 android 1 win sp1x64 1 winXPsp3 70 Abbildung 7 20 Monitor Analyzer Profile Usage Top 5 Recent Malware by File Name In diesem Monitor sehen Sie die Namen der f nf b sartigsten in Ihrem Netzwerk erkannten Dateien Die sch dlichsten sind oben in der Liste aufgef hrt Aufgrund dieser Informationen k nnen Sie beispielsweise im Web weitere Recherchen zu diesen Dateien durchfuhren e Die Malware Dateien sind in absteigender Reihenfolge nach ihrem Schweregrad sortiert e Inder ersten Spalte werden die Dateinamen angezeigt In der zweiten Spalte wird der Schweregrad angezeigt Top 5 Recent Malware by Filename A X File Name Severity mal_sample exe HAE pdf MS09 072_MSWordRecordParsing Buf rect pdf EAE pdf Abbildung 7 21 Monitor Top 5 Recent Malware
303. igieren Sie in Windows Explorer zu C WINDOWS system32 und doppelklicken Sie auf sigcheck exe HUA Li gt Computer Local Disk C Windows System32 Organize z Open Burn New folder r Fani Name Desktop sigcheck 5 Downloads sen Schritt 34 Klicken Sie im Sigcheck License Agreement Sigcheck Lizenzvertrag auf Agree Ich stimme zu Nach dem Klicken auf Agree Ich stimme zu wird keine Best tigungsmeldung angezeigt de Severn Dug herke SigCheck License Agreement oy Gan o nee fhe oL corri alin do Boose e ULA SYSINTERNALS SOFTWARE LICENSE TERMS These cence ierms ars an agrement betasen Syaintemal a wholly oe dar re Corporation ard you Pease rend therm They apply bo the softerare you ore downloading from Systintemals com Ahihi includes hs media on Which you aha E E ey Th berries also apy ha ang Syanlernals idas SLIP HTS Mernet besed saraces and Print Schritt 35 Laden Sie die ZIP Datei MergeIDE zip von der Seite https www virtualbox org attachment wiki Migrate_Windows MergelDE zip auf den nativen Computer herunter und kopieren Sie sie auf die VM Irgan ze Include in library Share with ur Favorites Name BE Desktop _ 0218 206 m Downloads E LIZENZ Recent Places Ea MergelDE A MergelDE Schritt 36 Extrahieren Sie MergelDE zip und f hren Sie die MergeIDE Batchdatei auf der VM aus e Klicken Sie in der Warnmeldung auf Ausf
304. ildung 6 1 Zusammenfassung der Schritte zum Konfigurieren der Malware Analyse 1 Richten Sie die McAfee Advanced Threat Defense Appliance ein und vergewissern Sie sich dass Sie ordnungsgem l uft e Stellen Sie sicher dass die McAfee Advanced Threat Defense Appliance ber die erforderlichen Netzwerkverbindungen f r Ihre Bereitstellungsoption verf gt Beispiel Wenn Sie eine Integration in Network Security Platform durchf hren vergewissern Sie sich dass Sensor Manager und McAfee Advanced Threat Defense Appliance miteinander kommunizieren k nnen e Vergewissern Sie sich dass die erforderlichen Module f r die statische Analyse beispielsweise McAfee Gateway Anti Malware Engine auf dem aktuellen Stand sind Erstellen Sie die Analyse VMs und die VM Profile Siehe Erstellen einer Analyse VM auf Seite 4 Erstellen Sie die ben tigten Analyseprofile Siehe Verwalten von Analyseprofilen auf Seite 251 Falls Sie m chten dass McAfee Advanced Threat Defense die Ergebnisse auf einen FTP Server hochl dt konfigurieren Sie diese Option und halten Sie die Details dazu bereit bevor Sie die Profile f r die entsprechenden Benutzer erstellen Erstellen Sie die erforderlichen Benutzerprofile Siehe Hinzuf gen von Benutzern auf Seite 40 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 247 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Wie analysiert McAfee Advanced Threat Defense Malware 6 Melden Sie si
305. iner VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 39 Wahlen Sie Start Systemsteuerung Zur klassischen Ansicht wechseln Verwaltung und doppelklicken Sie auf Internetinformationsdienste Address y Administrative Tools File and Folder Tasks oF Component Services gt E Computer Management al e HE Rename this He Mawe this File Py Copy this file 8 Publish this File to the Web 3 E mail this file gt t Delete this fie HH Other Places G Control Panel EJ My Documents i a l E Schritt 40 Erweitern Sie im Fenster Internetinformationsdienste den Eintrag Internetinformationsdienste amp Internet Information Services Fie Action View Help AMM smi 73 Internet Information Services 8 ROOT DCACEC4633 local computer Compuber lrooT 0 Schritt 41 Erweitern Sie das Fenster FTP Sites E Internet Information Services File Action e im ee Ss gt oi Compute View Help Internet Information Services E ROOT DCACEC4633 local computer Broor 2 FTF Sites McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 91 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung
306. ing Windows Help LLLE e ak NAARAAN IE dai Sal Sub OSC DHE pri dejo Sub e amp 000040608 Sub 00906112 0x00406112 Sub Sub 00406 3EF FB ONDAS EF Sub 0006456 g 000405455 Sub 1 AAA oa COSSIO BETT Sub OD Ewige ER rom Sub_OOSD65F0 000406 F0 Sub_00206680 E 000405560 Sub DOS 730 E 000006730 Sub OOS067DA E Ox004067DA os PSCC eee eee TEES SESS Abbildung 7 14 Geoffnete Datei lt file name gt _logicpath gml McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 307 7 Analysieren von Malware Anzeigen der Analyseergebnisse Wahlen Sie im yEd Graph Editor Layout Hierarchical Hierarchisch aus 3 Incremental Hierarchic Layout 2s beeen Beret guet Qee tee Abbildung 7 15 Dialogfeld Incremental Hierarchic Layout 308 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Anzeigen der Analyseergebnisse Klicken Sie im Dialogfeld Incremental Hierarchic Layout Inkrementell hierarchisches Layout auf OK ohne die Standardeinstellungen zu andern Im folgenden Beispiel sehen Sie das vollstandige Layout der Beziehung aller Subroutinen die wahrend des statischen Disassembly Vorgangs erkannt wurden Fie Edi Mar Law Tesh sup Wind Hop Hild AA OA 4114141225095 tP0 beach Text Gb MSC Boeke a e Sub HADH HE e Sub AA AA o O E 6 2008112 8 2200008 117 Zu Sub 2008503 Der 113
307. ing system Virtual disks can easily be copied or moved on She same host or between hosts Lie an Being virtual dk Choose this apiion bo reuse a preioualy configured disk Lise a physical disk for advanced users Choose this apiion ba give the virtual machine direct access bo a local hard sk Help Back Met cancel Schritt 15 Geben Sie die e Maximum disk size GB Maximale Datentr gergr e GB F r Details im Fenster Angeben der Windows XP betr gt die maximale Datentr gergr e 30 GB Speicherkapazit t an und klicken Sie auf Next Weiter Geben Sie jedoch 5 GB ein um eine optimale Leistung zu gew hrleisten e Wahlen Sie Allocate all disk space now S mtlichen Speicherplatz jetzt zuweisen e Wahlen Sie Store virtual disk as a single file Virtuellen Datentr ger als einzelne Datei speichern Mew Virtual Machine Wizard 24 How large do you want this disk to be Masimu desk gure GE 5 Recommended size for Windows XP Professional 40 GA Alocate al disk space mos Allocating the full capacity can enhance performance but requires all of the physical disk apace to be awallable right now If you do not allocate all the space now the virtual disk starts small and grows 38 you add data lo it Y Store virtual disk as a angle file Spit virtual disk into multioke files Smithing the disk makes it easier fo move the virtual machine fo another computer but may reduce performance
308. ion Services 118 Manage Sal Libraries al Panza in ras BEY Inriator 2 Doppelklicken Sie auf Internetinformationsdienste Manager und erweitern Sie die Baumstruktur unter Hostname 3 Sollte folgendes Meldungsfeld angezeigt werden wahlen Sie Do not show this message Diese Meldung nicht anzeigen und klicken Sie auf Abbrechen 4 Wahlen Sie Sites Do pou want te get started with Microsoft Web Plati cera to stay connected wath latest Web Platform Components Do not show this message Yes klicken Sie mit der rechten Maustaste auf Standardwebsite und w hlen Sie anschlie end Entfernen Best tigen Sie den Vorgang indem Sie auf Ja klicken Produkthandbuch McAfee Advanced Threat Defense 3 4 2 Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Conmec tions Default Wet ni Application Pools a Suites ASP INET Explore Edit Permissions P Add Application 1 Add Virtual Directory Edit Bindings Manage Website b Refresh Remove x E McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 211 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 8 Schritt Details 5 Klicken Sie mit der rechten Maustaste auf Sites und wahlen Sie FTP Site hinzuf gen F hren Sie dann folgende Schritte aus Cor mectior 15 pa ey a LE WIN FUK9J 7E6605 WIN FUK a Applica
309. ion wird eine Warnung angezeigt dass alle Daten der vorhandenen Datenbank verloren gehen Klicken Sie zur Bestatigung auf OK Klicken Sie auf Installieren Melden Sie sich nach dem Upgrade der McAfee Advanced Threat Defense Web Anwendung ab und l schen Sie den Cache des verwendeten Browsers Melden Sie sich bei der McAfee Advanced Threat Defense Web Anwendung an und f hren Sie folgende Schritte aus e berpr fen Sie die in der Benutzeroberfl che angezeigte Version e Wahlen Sie Verwalten Software Verwaltung aus und berpr fen Sie ob sich die Software Verwaltung aus zwei Abschnitten MATD Software und Systemsoftware zusammensetzt e Stellen Sie sicher dass die Daten und Konfigurationen Ihrer fr heren Version bernommen wurden 2 F hren Sie ein Upgrade der McAfee Advanced Threat Defense Systemsoftware durch a Melden Sie sich mithilfe eines FTP Clients wie FileZilla bei der McAfee Advanced Threat Defense Appliance an Melden Sie sich als der Benutzer atdadmin an Laden Sie die Datei system lt version number gt msu ber SFTP in das Stammverzeichnis von McAfee Advanced Threat Defense hoch Stellen Sie sicher dass die bertragung im Bin rmodus erfolgt Melden Sie sich nach dem Hochladen der Datei als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung an und w hlen Sie Verwalten Software Verwaltung McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced
310. isch auf der anderen Seite wider Vorgehensweise 1 W hlen Sie Verwalten Sichern und wiederherstellen Sichern Die Seite Backup Scheduler Setting Zeitplaneinstellung zur Datensicherung wird angezeigt Backup Scheduler Setting Automatic Backup Setting if Enable Backup Backup Frequency Weekly ne Day of Week Sunday we Tin 01 00 AM y Last Backup 2014 06 06 21 10 02 Admin FTP Seting Path ATD_Backups ATD_Backup_2014 02 User Mame admin Password Test Submit Abbildung 4 9 Planen einer Sicherung 2 Geben Sie die entsprechenden Informationen in die jeweiligen Felder ein McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 63 4 Verwalten von Advanced Threat Defense Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Optionsname Beschreibung Enable Backup Sicherung aktivieren Sicherungsintervall Wahlen Sie diese Option um die automatische Sicherung zur geplanten Zeit zu aktivieren Wenn Sie die keine automatische Sicherung w nschen deaktivieren Sie dieses Kontrollk stchen Geben Sie an wie haufig Advanced Threat Defense eine Sicherung der Datenbank erstellen soll e Daily T glich W hlen Sie diese Option fur eine t gliche Sicherung Time Uhrzeit Geben Sie die Uhrzeit fur die t gliche Sicherung an Wenn Sie z B 1 00 Uhr ausw hlen f hrt Advanced Threat Defense die Sicherung t glich um 1 00 Uhr gem der integrierten Uhr durch F r eine sof
311. ispielsweise folgte die Datei vielleicht w hrend der Ausf hrung einem alternativen Pfad weswegen ein Teil des Codes berhaupt nicht ausgef hrt wurde In diesem Abschnitt finden Sie auch eine kurze bersicht ber das Verhalten zusammen mit den entsprechenden Schweregraden gt gibt ein Verhalten mit sehr niedrigem Schweregrad an gibt ein Verhalten mit niedrigem Schweregrad an gibt ein Verhalten mit mittlerem Schweregrad an O gibt ein Verhalten mit hohem Schweregrad an e gibt ein Verhalten mit sehr hohem Schweregrad an 7 Abschnitt Operations details Vorgangsdetails Dieser Abschnitt enth lt detaillierte Informationen zu allen Vorg ngen die die Probedatei w hrend der dynamischen Analyse ausgef hrt hat Diese Vorg nge sind in sinnvolle Gruppen unterteilt Erweitern Sie die Gruppen um die einzelnen Vorg nge anzuzeigen Erweitern Sie zum Beispiel Files Operations Dateivorg nge um die erstellten gel schten ge nderten und gelesenen Dateien sowie erstellte ge ffnete oder entfernte Verzeichnisse usw anzuzeigen 8 GTI URL Reputation Gibt dieMcAfee GTI Reputation und den Schweregrad f r die URL an 9 Network activity Netzwerkaktivit t Dieser Abschnitt enth lt Details zu jedem Netzwerkvorgang w hrend der dynamischen Analyse der Probe 10 Abschnitt Screenshots Dieser Abschnitt enth lt alle w hrend der dynamischen Analyse angezeigten Popupfenster Mithilfe dieser Screenshots k nnen Si
312. it den von Ihnen bereitgestellten Informationen Abbrechen SchlieBt die Seite Analyseprofil ohne die Anderungen zu speichern Bearbeiten von Analyseprofilen Vorgehensweise 1 Wahlen Sie Richtlinie Analyseprofil Beim Web Zugriff k nnen Sie nur die von Ihnen erstellten Analyseprofile anzeigen Wenn Sie uber Administratorzugriff verfugen k nnen Sie alle Analyseprofile in der Datenbank anzeigen 2 Wahlen Sie den gewunschten Datensatz aus und klicken Sie auf Bearbeiten Die Seite Analyseprofil wird angezeigt 3 Nehmen Sie die nderungen an den gew nschten Feldern vor und klicken Sie auf Speichern Die nderungen haben Auswirkungen auf die entsprechenden Benutzer selbst wenn sie derzeit nicht angemeldet sind L schen von Analyseprofilen Bevor Sie beginnen Stellen Sie sicher dass Benutzer denen Sie dieses Analyseprofil zugewiesen haben derzeit nicht bei McAfee Advanced Threat Defense angemeldet sind Vorgehensweise 1 Wahlen Sie Richtlinie Analyseprofil Beim Web Zugriff k nnen Sie nur die von Ihnen erstellten Analyseprofile anzeigen Wenn Sie ber Administratorzugriff verf gen k nnen Sie alle Analyseprofile in der Datenbank anzeigen 2 W hlen Sie den gew nschten Datensatz aus und klicken Sie auf L schen 3 Klicken Sie auf Ja um das L schen zu best tigen Integration in McAfee ePO Durch die Integration von McAfee Advanced Threat Defense in McAfee ePO kann McAfee Advanced
313. itt kann etwa 30 Minuten in Anspruch nehmen New Virtual Machine Wizard Ready to Create Virtual Machine Click Finish to create the virtual machine and start instaling Windows XP Professional and then VMware Tools The virtual machine wil be created with the following settings dame wir tuaiMachine image if Location Cl we ar o i Versai Workstaten 9 0 Operatne System Windows xP Professional ard Disk 5 GE Pre allocated i Wee vi 1024 M8 i Network Adapter HAT Other Devices COJO USE Controller Printer Sound Card E Customize Hardware Flower on this virtual machine after creation 0 tk fre cancel Mew Virtual Machine Wizard EA Ready to Create Virtual Machine hide Finish to create the virtual machine and start installing Windows XP Professional and then VMware Took The virtual machine val be created with the folowing setings Nemes vwirtualkachinelmage VMware Workstation Creating Disk Customos Hardware J Bower on this virtual machine after creation Schritt 18 Wenn das Popupfenster Removable Devices Wechselgerate angezeigt wird wahlen Sie Do not show this hint again Diesen Hinweis nicht mehr anzeigen und klicken Sie auf OK Die Installation von Windows beginnt Dies kann etwa 15 Minuten dauern McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fu
314. klicken Sie auf OK E Type the name of a program folder document or Internet resource and Windows will open it for you Open netphwiz J Ay This task wall be created with administrative privileges Schritt 33 Deaktivieren Sie im Fenster Benutzerkonten die Option Benutzer mussen Benutzernamen und Kennwort eingeben und klicken Sie auf Wie the list below to grant or deny users access to your computer Ubernehmen and te change passwords and other settings Users must enter a user name and password to use this computer Users for this computer User Marne Group a 1 Cer righ rate Add Remove Properties Password for Administrator To change your password press Ctrl Alt Del and select Change E Password Reset Password Goa Dres 216 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 34 Fuhren Sie im e Benutzername Geben Sie Administrator ein Popupfenster Automatische Anmeldung die folgenden e Kennwort Geben Sie cr cker42 ein Schritte aus und klicken Sie dann auf OK e Kennwort best tigen Geben Sie cr cker42 erneut ein User Accounts q You can sel up pour computer so that users do not have to type a user F name and password to sign in To do this specify a user that wall be automatecally signed in below User name Adminestrator Prag gy rd A A
315. l update avdat um diese Dateien umgehend zu aktualisieren Dieser Befehl hat keine Parameter Syntax update avdat Vmlist Zeigt eine Liste aller auf der McAfee Advanced Threat Defense konfigurierten VMs an Syntax vmlist watchdog Der Watchdog Vorgang startet die McAfee Advanced Threat Defense Appliance neu wenn ein nicht behebbarer Fehler erkannt wird Syntax watchdog lt on off status gt Parameter Beschreibung lt on gt Damit aktivieren Sie die Watchdog Funktion lt off gt Damit deaktivieren Sie die Watchdog Funktion Verwenden Sie diesen Befehl wenn die Appliance aufgrund wiederholter Systemfehler immer wieder neu startet lt status gt Dies zeigt den Status des Watchdog Vorgangs an set malware intfport mgmt Standardm ig erfolgt der Internetzugriff f r Analyse VMs ber den Verwaltungsport von McAfee Advanced Threat Defense ETH 0 Verwenden Sie diesen Befehl wenn Sie einen anderen Port zum Routen des Internet Datenverkehrs konfiguriert haben und zum Verwaltungsport zuruckkehren m chten Syntax set malware intfport mgmt F hren Sie show intfport mgmt aus und pr fen Sie die Eintr ge f r Malware Interface Port und Malware Gateway McAfee Advanced Threat Defense verwendet den Verwaltungsport um Analyse VMs den Zugriff auf das Internet zu erlauben Siehe Internetzugriff f r Probedateien auf Seite 248 whitelist Verwenden Sie folgende Befehle um die Whitelist vo
316. l Machine Wiari Choose the Virtual Machine Hardware Compatibility Which hardware features are needed for this virtual machine Virtual machine hardware compatibility Hardware compatibility Workstation 9 0 Compatible with ESX Server Compatible products Limitations ESXi 5 1 2 64 GB memory Fusion 5 0 8 processors Fusion 6 0 10 network adapters Workstation 10 0 2 TB disk size Workstation 9 0 No SATA devices 3 Importieren Sie die VMDK Datei in die McAfee Advanced Threat Defense Appliance 4 Konvertieren Sie die VMDK Datei in eine Image Datei IMG 5 Erstellen Sie die VM und das VM Profil 72 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows XP Wenn bereits eine VMDK Datei vorhanden ist muss sie eine einzelne Datei sein die alle zur VM Erstellung ben tigten Dateien enth lt In der nachstehenden Tabelle wird die maximale Anzahl von VMs angegeben die abh ngig von der jeweiligen Windows Version erstellt werden k nnen Tabelle 5 1 VM Anzahl nach Betriebssystem Windows Betriebssystem ATD 3000 VM Anzahl ATD 6000 VM Anzahl WinXP SP2 5 GB 29 59 WinXP SP3 5 GB 29 59 Windows 2003 SP1 5 GB 29 59 Windows 2003 SP2 5 GB 29 59 Windows 2008 64 Bit SP1 14 GB 22 45 Windows 7 32 Bit 14 GB 22 45 Windows 7 64 Bit 14 GB 22 45 Windows 8 32 Bit 24 GB 22 45 Windows 8 64 Bit 24 GB 22 45 D Die
317. l Pro Server und geben Sie die g ltige Anzahl gleichzeitiger Verbindungen pro Lizenz ein Details Licensing Modes Wires Sera TE tuppods ho Kaning modes Select the beer mode pou wan bo use e Each connection must have a own Chen Acoes License O Per Device or Per Upu Each deske or wa maet have de oem ben Aces Liner me To od molabor of the Lansa Agena ute Liceneng which ls pesad in Adela Tool do record he numia of Clerk Access Liceras parche Back Has gt Schritt 22 Geben Sie die folgenden Details im Fenster Computername und Administratorkennwort ein e Computername Akzeptieren Sie den Standardwert e Administratorkennwort cr cker42 e Kennwort best tigen cr cker42 Knie Setup Computer Name and Admam st stor Password Tou must poide a name and an Adrinisisior password for your compute yy Setup has suggested a names fo pos computer F yow compudes is ona nebak yaa malek administrator can bell you wheel mame lo une AQOTF LSD Setup Create a ua econ called netto oa use the account when ou need hull access lo pos compuber Tepe an Admirai passar Skiita password A x Back McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 115 116 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung
318. l Upload 342 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte 3 Um die Ergebnisse der durch den prim ren Knoten analysierten Dateien anzuzeigen klicken Sie auf Analysis Results Analyseergebnisse 4 Um die Ergebnisse der durch einen bestimmten sekund ren Knoten analysierten Dateien anzuzeigen klicken Sie auf die entsprechende ATD ID Details zu den Optionen auf der Seite Analysis Results Analyseergebnisse finden Sie unter Anzeigen der Analyseergebnisse auf Seite 294 ndern der Konfigurationen f r einMcAfee Advanced Threat Defense Cluster In Bezug auf ein McAfee Advanced Threat Defense Cluster k nnen Konfigurationen in zwei Typen klassifiziert werden e Einstellungen die nur ber den prim ren Knoten konfiguriert werden Zu Erkl rungszwecken werden diese Einstellungen in diesem Dokument als synchronisierte Konfiguration bezeichnet e Einstellungen die in jedem Knoten eines McAfee Advanced Threat Defense Clusters individuell konfiguriert werden Diese Einstellungen werden als nicht synchronisierte Konfiguration bezeichnet Synchronisierte Konfiguration Die folgenden Einstellungen fallen in diese Kategorie e Verwalten von Analyseprofilen auf Seite e Konfigurieren des Proxy Servers f r die 251 Internetverbindung auf Seite 261 e Verwalten von McAfee Advanced Threat e Konfigurieren
319. l der Stunden die die Appliance durchg ngig in Betrieb ist CPU Load CPU Auslastung Die tats chliche Systemauslastung Beispiel Eine CPU Auslastung von 100 gibt an dass die CPU vollst ndig ausgelastet ist und eine CPU Auslastung von 125 gibt an dass die CPU vollst ndig ausgelastet ist und noch 25 verarbeitet werden m ssen Memory Utilization Speichernutzung Der Prozentsatz der derzeit genutzten Appliance Speicherkapazit t Data Disk Space Datenspeicherplatz Die Speicherkapazit t der Appliance in Terabyte f r die Speicherung von Probedaten z B die Proben selbst und deren Berichtsdateien Data Disk Available Verf gbarer Datenspeicher Der derzeit verf gbare Speicherplatz in Terabyte f r die Speicherung von Probedaten System Health System Health cod DNS Status Uptime 17 06 CPU Load 4 25 Memory Utilization 3 76 Data Disk Space 3 027 Data Disk Available 2 037 System Disk Space 62 876 System Disk Available 51 526 Abbildung 7 27 Monitor System Health System Disk Space Systemspeicherplatz Die Datentr gerkapazit t der Appliance fur die Speicherung der Systemsoftwaredaten von McAfee Advanced Threat Defense System Disk Available Verfugbarer Systemspeicher Der derzeit verf gbare Speicherplatz fur die Speicherung der Systemsoftwaredaten von McAfee Advanced Threat Defense 318 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch System Information Systeminformationen Analysi
320. latte und Disk B ist die Sicherungsfestplatte Auch wenn Disk A nicht gestartet wird wird sie dennoch als die aktive Festplatte bezeichnet Gleichfalls wird Disk B als die Sicherungsfestplatte bezeichnet auch wenn sie nicht gestartet wird Standardm ig enthalten beide Festplatten die vorinstallierte Softwareversion Sie k nnen die Software auf der aktiven Festplatte also Disk A aktualisieren und Disk B verwenden um eine Sicherungskopie einer stabilen Version zu erstellen die Sie immer wiederherstellen k nnen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 347 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Verwenden Sie den Befehl show um die gespeicherte Softwareversion auf der aktiven bzw der Sicherungsfestplatte anzuzeigen Tabelle 9 1 CLI Befehle zur Festplattenverwaltung Befehl Beschreibung copyto backup Der Befehl kopiert die Softwareversion von der aktiven Festplatte auf die Sicherungsfestplatte Wenn beispielsweise die aktuelle aktive Softwareversion stabil ist k nnen Sie sie auf die Sicherungsfestplatte kopieren Der Befehl funktioniert nur wenn die Appliance von der aktiven Festplatte gestartet wurde copyto active Der Befehl kopiert die Softwareversion von der Sicherungsfestplatte auf die aktive Festplatte Sie mussen jedoch die McAfee Advanced Threat Defense Appliance neu starten damit das neue Image von der aktiven Festplatte geladen wird Der Befehl funktionier
321. layer xxx exe OOOO install_flashplayerl4x exe 5 Klicken Sie im Dialogfeld Sicherheitswarnung auf Ausf hren Open File Security Warning i i Ds you wani lo nn this fle CH 9131 Mashplaperid2_ 650 av aih 1 exe Publisher Adobe Systems Incorporated Tyoe Application from Eslisersiilabh Downloads install flashplayert An ona F Always ask before opaning thia He While files from the hiema can be useful this file type can potentialy hara your computer Onby run software from publishers you trust What s the mesic 6 Klicken Sie im Dialogfeld Benutzerkontensteuerung auf Ja McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 135 136 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Py User Account Control 5 Do you want to allow the following program to make Y changes to this computer Program name Adobe Flash Player Installer Verified publisher Adobe Systems Incorporated File origin Hard drive on this computer v Show details No Change when these notifications appear 7 Wahlen Sie Ihre Aktualisierungsoption und klicken Sie auf WEITER Adobe Flash Player Installer LT A _ EoD X Update Flash Player Preferences Security updates and enhancements are periodically released for Adobe Flash Player that can be do
322. led automatically IMPORTANT Your update options have recently changed Choose your update option O Allow Adobe to install updates recommended Notify me to install updates Never check for updates not recommended 8 Klicken Sie auf FERTIGSTELLEN um die Adobe Flash Player Installation abzuschlieBen Adobe Flash Player Installer F Adobe Flash Player FINISH Schritt 52 Fahren Sie das virtualMachineImage herunter indem Sie folgende Optionen auswahlen Start Herunterfahren Schritt 53 Navigieren Sie zu dem Speicherort den Sie in Schritt 8 angegeben haben um die VMDK Datei mit dem Namen virtualMachinelmage flat vmdk aufzurufen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Erstellen einer VMDK Datei fur Windows 2008 Server Bevor Sie beginnen e Laden Sie VMware Workstation 9 0 oder h her von der Seite http www vmware com products workstation workstation evaluation herunter und installieren Sie das Programm e Stellen Sie sicher dass Sie ber ein ISO Image von Windows 2008 R2 SP1 verf gen f r das Sie die VMDK Datei erstellen Nur Windows 2008 Professional wird unterst tzt e Stellen Sie sicher dass Sie ber den Lizenzschl ssel f r das Betriebssystem verf gen Gehen Sie wie nachfolgend beschrieben vor um VMDK Dateien von ISO Images von Windows 2008 R2 SP1 zu erstell
323. lgende typografische Konventionen und Symbole verwendet Buchtitel Begriff Titel eines Buchs Kapitels oder Themas ein neuer Begriff eine Hervorhebung Hervorhebung Fett Text der stark hervorgehoben wird Benutzereingabe Code Befehle oder andere Texte die vom Benutzer eingegeben werden ein Meldung Code Beispiel eine angezeigte Meldung Benutzeroberfl chentext W rter aus der Benutzeroberfl che des Produkts z B Optionen Men s Schaltfl chen und Dialogfelder McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 9 Einleitung Quellen fur Produktinformationen Hypertext Blau wD O A Ein Link auf ein Thema oder eine externe Website Hinweis Zus tzliche Informationen beispielsweise eine alternative Methode f r den Zugriff auf eine Option Tipp Vorschl ge und Empfehlungen Wichtig Vorsicht Wichtige Ratschl ge zum Schutz Ihres Computersystems der Software Installation des Netzwerks Ihres Unternehmens oder Ihrer Daten Warnung Wichtige Ratschl ge um k rperliche Verletzungen bei der Nutzung eines Hardware Produkts zu vermeiden Quellen fur Produktinformationen Nach der Ver ffentlichung eines Produkts werden Informationen zu dem Produkt im Online Knowledge Center von McAfee eingegeben 10 Vorgehensweise 1 Rufen Sie McAfee ServicePortal unter http support mcafee com auf und ffnen Sie die Registerkarte Knowledge Center 2 Folgende Optionen stehen im Abschnitt Support Inhalte zur Verf
324. liances erfolgen Konfigurieren des Proxy Servers f r die Internetverbindung Advanced Threat Defense stellt f r die Internetverbindung Verbindungen zu verschiedenen Proxy Servern her Je nach Herkunft des Datenverkehrs ermittelt Advanced Threat Defense den Proxy Server ber den Internetzugriffsanfragen vom Datenverkehr geleitet werden m ssen Diese Proxy Server k nnen in Advanced Threat Defense f r die Bearbeitung von Internetzugriffsanfragen konfiguriert werden GTI HTTP Proxy Diese Einstellung ist f r die Analyseprofile relevant bei denen GTI Reputation aktiviert ist McAfee Advanced Threat Defense sendet eine Anfrage an einen McAfee GTI Server um den McAfee GTI Faktor f r die verd chtige Datei abzurufen die analysiert wird Wenn das Kundennetzwerk unter dem Proxy gesch tzt ist geben Sie die Details des Proxy Servers hier an damit die McAfee GTI Anfragen gesendet werden k nnen Malware Site Proxy Die Einstellung ist anzuwenden wenn die von Analyse VMs analysierten Proben Internetzugriff anfordern Der unter Malware Site Proxy angegebene Proxy Server bearbeitet die Anfrage Da der Datenverkehr von einer Analyse VM b sartig sein kann sollten Sie diesen Datenverkehr eventuell von Ihrem Produktionsnetzwerk trennen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 261 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Konfigurieren des Proxy Servers fur die Internetverbindung Aufgaben
325. ller Types Mew Virtual Machine Wizard pr Auswahlen der I O Controller Typen die Select 1 0 Controller Types Standardauswahi Which SCSI controler type would you lke to use LO controler types SCS Controller 3 Busiogi Recommended LSI Logic LSI Logic 5AS i i l l Hn emk esta conce Schritt 13 Wahlen Sie auf der Seite Ausw hlen eines Datentragertyps yew Virtual Machine Wizard Be die Option IDE und klicken Sie l auf Next Weiter Select a Disk Type What land of disk do wou want to ganie SCSI Datentr ger sind mit McAfee Advanced lt Threat Defense nicht IDE kompatibel SCSI Recommended ATA Not supported on Workstation 9 0 Ws McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 79 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 14 Wahlen Sie im Fenster Ausw hlen eines Datentr gers sye virtual Machine Wizard a die Option Create a new virtual disk aa Neuen virtuellen Datentr ger Select a Deck erstellen und klicken Sie auf Which disk do you want to use Next Weiter Create anew wrtual disk A virtual disk i composed of one or mare Ges on the host fle system whch will appear a5 a single hard disk to the guest operat
326. lnet Funktion McAfee Advanced Threat Defense 3 4 2 1 Wahlen Sie im virtualMachineImage die Optionen Start Verwaltung Server Manager 2 Klicken Sie im Fenster Server Manager mit der rechten Maustaste auf Features und w hlen Sie Features hinzuf gen gt 15 B Ta Server Manager VIN XYFRHJ 10 Diagnostics E FE Roles Event Viewer GaP Re ability and Performance e Device Manager 3 Wahlen Sie im Assistenten Features hinzuf gen die Option Telnet Server Select one or more features to install on this server Features Quality Windows Audio Video Experience Remote Assistance Remote Differential Compression Remote Server Administration Tools Installed Removable Storage Manager RPC over HTTP Proxy Simple TOE IP Services SMTP Server SV Seryoes Storage Manager for SANs Subsystem for UNIX besed Applications Telnet Client E QODOMO allem TFTP Client Windows Internal Database Windows PowerShel Windows Process Activation Service insta 4 Klicken Sie auf Weiter und dann auf Installieren 5 Klicken Sie auf Schlie en nachdem die Installation erfolgreich durchgef hrt wurde Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 25 Wahlen Sie Start Verwaltung Dienste Doppelklicken Sie anschlieBend auf Telnet MAA EA 28 a er Local C Srreioe
327. lt wurde vtest32_logicpath gml Diese Datei ist eine grafische Darstellung der Querverweise von Funktionsaufrufen die w hrend der dynamischen Analyse entdeckt wurden Sie ist mit dem Bericht Logic Path Graph identisch log zip Diese Datei enth lt alle Laufzeit Protokolldateien f r alle Prozesse die von der Probe w hrend der dynamischen Analyse ausgef hrt wurden Wenn die Probe einen Ausgabetext f r die Konsole generiert wird dieser in der Datei ConsoleOutput log erfasst die in die ZIP Datei log zip gepackt wird Verwenden Sie ein herk mmliches Dienstprogramm zum Entpacken um den Inhalt aller Dateien innerhalb der ZIP Datei log zip anzuzeigen dump zip Diese Datei enth lt das Speicherabbild dump bin des Bin rcodes der Probe w hrend der dynamischen Analyse Die Datei ist kennwortgesch tzt Das Kennwort lautet virus dropfiles zip Dies ist identisch mit dem Bericht Dropped Files auf der Seite Analysis Results Die ZIP Datei dropfiles zip enth lt alle Dateien die von der Probe w hrend der dynamischen Analyse erstellt oder ge ffnet wurden Sie ist ebenfalls kennwortgesch tzt Das Kennwort lautet virus McAfee Advanced Threat Defense gew hrt Ihnen keinen Zugriff auf die Original Probedateien die analysiert wurden Bei einer Integration in Network Security Platform k nnen Sie die Option Save File Datei speichern in der erweiterten Malware Richtlinie verwenden um Proben zu archivieren Beachten Sie jedoch da
328. lyse VMs werden gel scht und neu erstellt Es ist also keine Dateianalyse m glich bis alle Analyse VMs erneut erstellt werden Die Zeit f r die Neuerstellung variiert je nach Anzahl der Analyse VM Instanzen und deren Gr e 60 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Vorgehensweise 1 Klicken Sie auf der Seite Troubleshooting Fehlerbehebung auf Create VMs VMs erstellen und best tigen Sie dass Sie alle bestehenden Analyse VM Instanzen l schen und neu erstellen m chten 2 Wahlen Sie Verwalten Systemprotokoll um die Protokolle in Zusammenhang mit der Neuerstellung der VMs anzuzeigen Sie k nnen Dashboard ausw hlen und den Monitor VM Creation Status VM Erstellungsstatus anzeigen um den Fortschritt der VM Neuerstellung zu sehen Die Schaltfl che Create VMs VMs erstellen auf der Seite Troubleshooting Fehlerbehebung ist erst wieder verf gbar nachdem die Analyse VM Instanzen neu erstellt wurden L schen der Analyseergebnisse Vorgehensweise 1 Klicken Sie auf der Seite Fehlerbehebung auf Remove all Report Analysis Results Alle Berichtanalyseergebnisse entfernen 2 Klicken Sie auf Senden Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Als Vorsichtsma nahme k nnen Sie die Advanced Threat Defense Datenbank regelm ig sichern Bei Bedarf kann dann die gew nschte Da
329. mazing Jawa content From business solutions to helplul utes and entertainment Java makes POUT inkemei expenence Come to he Hole Mo personal mormaedon is gather Bo as pa of our insted process Jick here tor more len on whet we do collect Click inetal to ecceptthe license agreement and install Jena now Change destination hobie Cancel Inziell gt Schritt 59 Offnen Sie Java in der Systemsteuerung at ater options we My Computer Ei Fonts g Game Controllers af Internet Options E C0 fi bi i Paral ij Administrative Tools Ea Keyboard Md k a Printers and Favas Schritt 60 Deaktivieren Sie auf der Registerkarte Update die Option Automatisch nach Updates suchen Java Control Panel The Java Update mechanism ensures y version of the Java platform The optic updates are obtained and applied Before do Notify Me Schritt 61 Wahlen Sie im Dialogfeld Java Update Warnung die Option Nicht berpr fen und klicken Sie dann in der Java Systemsteuerung auf OK You have chosen to stop automatically checking for updates and will miss future security updates We strongly recommend letting Jara pripi aiy check for newer versa to ensure wou heres the most seus and Fashest Jaws euperience Pick Pidal McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 131 132 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 S
330. men ngfw existiert wird davon ausgegangen dass alle Daten bertragungen ber den SOFA Kanal von McAfee NGFW Appliances erfolgen O Die Advanced Threat Defense kann McAfee Network Security Platform und McAfee Next Generation Firewall nicht in derselben Umgebung unterst tzen Die Bereitstellungsoptionen behandeln die vier Hauptaspekte des Malware Schutz Prozesszyklus wie folgt Erkennen eines Datei Downloads Sobald ein Benutzer auf eine Datei zugreift erkennt der Network Security Platform Inline Sensor oder McAfee Web Gateway dies und sendet eine Kopie der Datei an McAfee Advanced Threat Defense zur Analyse Analyse der Datei auf Malware Bevor der Benutzer die Datei vollstandig heruntergeladen hat kann McAfee Advanced Threat Defense eine bekannte Malware mithilfe von lokalen oder Cloudressourcen erkennen Blockieren zukunftiger Downloads der gleichen Datei Jedes Mal wenn McAfee Advanced Threat Defense Malware mit mittlerem hohem oder sehr hohem Schweregrad erkennt wird die lokale Blacklist aktualisiert Identifizieren betroffener Hosts und Problembehebung Die Integration in Network Security Platform erm glicht die Isolierung des Hosts bis er ges ubert und das Problem behoben ist Vorteile von McAfee Advanced Threat Defense McAfee Advanced Threat Defense bietet unter anderem folgende Vorteile Es handelt sich um eine lokale L sung mit Zugriff auf cloudbasierte GTI Dar ber hinaus kann diese auch in andere Sicherheitspr
331. mpatibilitat des virtuellen Computers Workstation 9 0 aus der Dropdown Liste Hardware compatibility Hardwarekompatibilitat aus Akzeptieren Sie bei den anderen Feldern die Standardwerte und klicken Sie auf Next Weiter New Virtual Machine Wizard Choose the Virtual Machine Hardware Compatibility Which hardware features are needed for this virtual machine Yia machine hardware compa Sbliby Hardware compatiodity Workstation 5 0 Compatible sith Server Compatible products Limitations M51 64 GE memory Fusi n 5 0 3 processors Fusion 6 0 10 nebwork adsobers Workstation 10 0 TB sae Workstation 9 0 Mo SATA devices i Installation Installation eines Gast Betriebssystems entweder Installer disc Installationsdatentrager oder Installer disc image file iso Image Datei des Installationsdatentr gers navigieren Sie zum ISO Image w hlen Sie es aus und klicken Sie anschlie end auf Next Weiter helo Back pext gt Cancel oa Schritt 5 W hlen Sie im Fenster Guest Operating System New Virtual Machine Wizard rie Guest Operating System Installation A virtual machine is ike a physical computer it needs an operating yabem Haw well you install the guest operating system Install from instaler disc AE DVD RW Drive E 8 Installer dec image fle 150 Cod a PA is ie p
332. mten Datei Hash abfragen um festzustellen ob er der Datenbank hinzugef gt wurde Die Standardeintr ge der Whitelist werden nicht regelm ig aktualisiert Sie k nnen jedoch beim Upgrade der McAfee Advanced Threat Defense Software aktualisiert werden Die McAfee Produkte die Dateien an McAfee Advanced Threat Defense senden sind ebenfalls in der Lage Dateien in die Whitelist aufzunehmen Zu diesen Produkten z hlen McAfee Web Gateway und McAfee Network Security Platform Die Befehle finden Sie unter whitelist auf Seite 373 e Local Blacklist Lokale Blacklist Dies ist die Liste der MD5 Hashwerte bekannter Malware die in der McAfee Advanced Threat Defense Datenbank gespeichert sind Wenn McAfee Advanced Threat Defense Malware ber die heuristische McAfee Gateway Anti Malware Engine oder die dynamische Analyse erkennt wird die lokale Blacklist mit dem MD5 Hashwert aktualisiert Eine Datei wird dieser Liste nur automatisch hinzugef gt wenn von McAfee Advanced Threat Defense ein Malware Schweregrad von mittel hoch oder sehr hoch ermittelt wird F r die Verwaltung der Blacklist Eintr ge stehen Befehle zur Verf gung Die Befehle finden Sie unter Blacklist auf Seite 349 e McAfee GTI Dies ist ein globales Korrelationsmodul f r Bedrohungen und die zentrale Wissensdatenbank f r globales Messaging und Kommunikationsverhalten die den Schutz vor bekannten und aufkommenden elektronischen Bedrohungen in allen Bereichen erm glichen
333. n Sie auf OK Schlie en Sie Windows Explorer falls dieser ge ffnet wird Details Conmection Use physical drive Auto Getect i Use 150 image file Col WorkiMATDIMATO 3 0 2 Advanced Schritt 39 W hlen Sie im virtualMachinelmage die Optionen Start Systemsteuerung Verwaltung Internetinformationsdienste IIS Schritt 40 Erweitern Sie im Fenster Internetinformationsdienste IS den Eintrag Internetinformationsdienste F Internet Information Services 11S Manage Ta File Action View Window yo pinternet Information Services Ed ROOT FSLS5043D local c FTP Sites Application Pools web Sites web Service Extensior On Services Help es mB Bl gt n 9 SRO0T FSL550 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 123 124 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 41 F hren Sie die folgenden Schritte aus Details 1 W hlen Sie FTP Sites und klicken Sie dann mit der rechten Maustaste auf Standard FTP Site W hlen Sie Eigenschaften Basisverzeichnis Navigieren Sie zu C W hlen Sie Lesen W hlen Sie Schreiben O a A jw N W hlen Sie Besuche protokollieren und klicken Sie auf bernehmen und anschlie end auf OK
334. n Version bernommen Wenn Sie ein Upgrade durchf hren und die Option Datenbank zur cksetzen aktivieren werden die Standardeinstellungen fur Datum und Uhrzeit wie oben beschrieben festgelegt e Auf der Seite Date and Time Settings Datums und Uhrzeiteinstellungen von McAfee Advanced Threat Defense muss stets mindestens ein g ltiger NTP Server angegeben sein Sie k nnen die Server die in McAfee Advanced Threat Defense in der Liste von NTP Servern angegeben sind erganzen bearbeiten oder l schen e Basierend auf dem verf gbaren Zugriff auf McAfee Advanced Threat Defense k nnen Sie ffentliche NTP Server oder lokale NTP Server in Ihrem Netzwerk angeben e Sie k nnen den Dom nennamen oder die IPv4 Adresse von NTP Servern angeben Bei Angabe von Dom nennamen m ssen die DNS Einstellungen in McAfee Advanced Threat Defense konfiguriert sein Bei Angabe von ffentlichen NTP Servern wird die Verwendung von Dom nennamen statt IP Adressen empfohlen Die Dom ne eines ffentlichen NTP Servers wird basierend auf verschiedenen Faktoren m glicherweise in verschiedene IP Adressen aufgel st e Sowohl bei Aktivierung der Synchronisation mit NTP Servern als auch bei manueller Einstellung von Datum und Uhrzeit muss die erforderliche Zeitzone auf der Seite Date and Time Settings Datums und Uhrzeiteinstellungen ausgew hlt werden Bei Konfiguration eines NTP Servers ber cksichtigt McAfee Advanced Threat Defense ausschlie lich das Datum und di
335. n haben um die VMDK Datei mit dem Namen virtualMachinelmage flat vmdk aufzurufen Falls erforderlich k nnen Sie die VMDK Datei in Windows 8 x64 flat vmdk oder Windows 8 x32 flat vmdk umbenennen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 229 5 Erstellen einer Analyse VM Importieren einer VMDK Datei in McAfee Advanced Threat Defense Importieren einer VMDK Datei in McAfee Advanced Threat Defense Bevor Sie beginnen e Sie haben die VMDK Datei parat e Das Betriebssystem der VM ist aktiv und auf ihr sind alle erforderlichen Anwendungen wie Microsoft Office Anwendungen Adobe PDF Reader usw installiert e Im Dateinamen der VMDK Datei sind keine Leerzeichen enthalten Wenn er Leerzeichen enthalt schlagt die Konvertierung der Image Datei fehl Zum Erstellen einer Analyse VM mussen Sie zun chst die zugehorige VMDK Datei in McAfee Advanced Threat Defense importieren StandardmaBig mussen Sie zum Importieren der VMDK Datei SFTP benutzen Um FTP verwenden zu k nnen m ssen Sie es mit dem CLI Befehl set ftp aktivieren Siehe set ftp auf Seite 364 Im Allgemeinen ist eine FTP Ubertragung schneller als SFTP sie bietet jedoch weniger Sicherheit Wenn sich Ihre Advanced Threat Defense Appliance in einem unsicheren Netzwerk befindet z B in einem externen Netzwerk empfiehlt McAfee die Verwendung von SFTP Vorgehensweise 1 ffnen Sie einen FTP Client Beispielsweise eignen sich WinSCP
336. n Datensatzes 18 00 Uhr JST an e Die Datums und Uhrzeiteinstellungen fur alle Analyse VMs werden umgehend mit dem Datum und der Uhrzeit der McAfee Advanced Threat Defense Appliance synchronisiert Vorgehensweise 1 Wahlen Sie Verwalten Date and Time Settings Datums und Uhrzeiteinstellungen Die Seite Date and Time Settings Datums und Uhrzeiteinstellungen wird angezeigt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 269 270 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Konfigurieren der Datums und Uhrzeiteinstellungen 2 Geben Sie die entsprechenden Informationen in die jeweiligen Felder ein und klicken Sie in den erforderlichen Abschnitten einzeln auf Senden Optionsname Beschreibung Enable Network Time Aktivieren Sie diese Option wenn McAfee Advanced Threat Defense als Protocol Network NTP Client agieren soll Dies ist standardm ig ausgew hlt Time Protocol nn Um die Zeit f r McAfee Advanced Threat Defense manuell einzustellen aktivieren deaktivieren Sie diese Option Priorit t Dies ist die nach Priorit t geordnete Reihenfolge f r die NTP Server In geplanten Intervallen versucht McAfee Advanced Threat Defense eine Synchronisierung mit dem ersten NTP Server Wenn dieser nicht verf gbar ist wird eine Synchronisierung mit dem zweiten und dann mit dem dritten Server angefragt NTP Server Name Geben Sie den Dom nennamen oder die IPv4 Adressen der NTP Server in
337. n McAfee Advanced Threat Defense zu verwalten Syntax e Verwenden Sie whitelist add lt md5 gt um der Whitelist einen MD5 Wert hinzuzuf gen Beispiel whitelist add 254A40A56A6E68636E1465AF7C42B71F e Verwenden Sie whitelist delete lt md5 gt um einen MD5 Wert von der Whitelist zu l schen Beispiel whitelist delete 254A40A56A6E28836E1465AF7C42B71F McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 373 9 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Verwenden Sie whitelist query lt md5 gt um zu berpr fen ob ein MD5 Wert in der Whitelist vorhanden ist Beispiel whitelist query 254A40A56A6E28636E1465AF7C42B71F Verwenden Sie whiteliststatus um zu berpr fen ob der Whitelist Status derzeit aktiviert ist 374 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Index A Aktive Festplatte 347 Analyse VM 243 Erstellen 71 Analyseergebnisse Anzeigen 294 Cluster 342 Analyseprofil 243 Anderung 256 Anzeigen 252 Hinzuf gen 253 L schen 256 Verwaltung 251 Analysestatus Cluster 341 Uberwachen 290 Anti Malware Engine 243 Anzeigen der Analyseergebnisse 294 Begriffe 243 Benutzer 243 Benutzerdefinierte YARA Regeln 271 Berichte Analyse bersicht 297 Betroffene Dateien 304 Disassembly Ergebnisse 304 Logisches Pfaddiagramm 305 C CLI Anmeldung 347 CLI Befehle Liste 348 Obligatorische Befehle 347 Syntax 346 Vorgehensweise 345 CLI Befehlsausgabe Auto Vervollst ndigung 346 Kon
338. n be Maximum disk sine GE 53 Recommended size for Windows XP Professional 40 GB Allocate al disk space nov Allocating the full capacity can enhance performance but requires all of the physical disk space to be available right now If you do not allocate all the space now the virtual disk starts small and grows as you add data to It Y Store virtual dek a a single fle Spit virtual disk into multioke files Siting the disk makes it easier in move the virtual machine to another computer but may reduce performance with very large disks Help lt Back Next gt Cancel Schritt 15 Vergewissern Sie sich dass im Fenster Specify Disk sew virtual Machine Wizard i file Datentragerdatei angeben standardm Big Pe 5 virtualMachineImage vmdk i ae angezeigt wird und klicken Sie auf Next Weiter Disk Fie i One 5 68 disk file will be created using he fle name provided here Wenn Sie unter Virtual Machine name Name des virtuellen Computers einen anderen vrivalMachinelmage wmek _ Browse Namen angegeben haben wird dieser hier angezeigt Hep lt Back Meat gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 111 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2
339. n von Proben unterstutzt McAfee Advanced Threat Defense Unicode Dateinamen k nnen also Zeichen enthalten die nicht zum englischen Zeichensatz geh ren sowie einige Sonderzeichen au er lt gt amp e Die L nge des Dateinamens kann bis zu 200 Byte umfassen Analyseprofil W hlen Sie das f r die Probe erforderliche Analyseprofil Erweitert Klicken Sie zum Festlegen zus tzlicher Parameter f r die Analyse der Probe Die Optionen unter Erweitert stehen nur zur Verf gung wenn Sie die Datei manuell mittels McAfee Advanced Threat Defense Web Anwendung senden User Interactive Mode Interaktiver Benutzermodus Manche Malware erfordert nach der Ausf hrung eine Benutzereingabe Dadurch wird in der Regel berpr ft ob die Malware in einem Sandkasten analysiert wird Falls keine Benutzereingabe erfolgt w hlt die Malware m glicherweise einen anderen Ausf hrungspfad oder h lt die Ausf hrung sogar an Bei Auswahl dieser Option k nnen Sie auf die tats chliche Analyse VM zugreifen auf der die Malware ausgef hrt wird und so die Benutzereingabe durchf hren Siehe Hochladen von URLs zur Analyse im interaktiven Benutzermodus auf Seite 281 Nachdem Sie die gew nschten Optionen ausgew hlt haben klicken Sie auf OK Senden Klicken Sie zum Hochladen der Datei zur Analyse in McAfee Advanced Threat Defense auf diese Schaltfl che Aufgaben e Hochladen von URLs zur Analyse im interaktiven Benutzermodus au
340. n zu kopieren Schritt 32 Extrahieren Sie sigcheck zip an folgendem Speicherort C WINDOWS system32 Schritt 33 Navigieren Sie in Windows Explorer zu C WINDOWS system32 und doppelklicken Sie auf HO rd Computer Local Disk C gt Windows Systema sigcheck exe Organge z Open Burn Mew folder ur Favonte Name ME Desktop sigcheck de Downloads signdre dll Schritt 34 Klicken Sie im Sigcheck License Agreement BI CA Windew Seviemd Page heck ene Sigcheck Lizenzvertrag auf Agree Ich stimme zu Nach dem Klicken auf Agree Ich stimme zu wird D keine Best tigungsmeldung angezeigt F Sgtheck Li u Tr Gan o ae oe corri ech do scan he BULA SYSINTERNALS SOFTWARE LICENSE TERMS These licanse terms are an agreement bote Sysintemak a wholly ad ada of Micros Corporation and you Pease read them They apply bo the software you ere downloading from Systntemals com Aihich includes ha media on which ya rec A E ar The barma ala appi bo any Syanlernais ines supplkementa Imernei besej services and Print McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 35 Laden Sie die ZIP Datei MergeIDE zip von Irgan ze Include in library Share with der Seite https www virtualbox org 5 Name attachment wiki T Favorites Mi
341. naa a ee Portnummern hea eee ee oe eee ee eee ee 4 Einrichten der McAfee Ravanced Threat erence ee a a E ee a ee ce 7 Montieren und Entfernen von Rackgriffen eh oe oe a a e a si Installieren oder Entfernen der Appliance aus dem Rack resda ek ee ef eo pey o Einschalten der McAfee Advanced Threat Defense Appliance 30 Umgang mit der Frontblende nn ne 30 Verbinden des Netzwerkkabels i ur f Lo oa ys e al Konfigurieren der Netzwerkinformationen f r die McAfee Raveneed rt Defense ias 31 3 Zugreifen auf die McAfee Advanced Threat Defense Web Anwendung 35 McAfee Advanced Threat Defense Client Anforderungen TO oe oO Zugreifen auf die McAfee Advanced Threat Defense Web Amwerdund ee ee OO 4 Verwalten von Advanced Threat Defense 37 Verwalten von McAfee Advanced Threat Defense Benutzern nn m m eee ee 37 Anzeigen von Benutzerprofilen ne 38 Hinzuf gen von Benutzern aaa a a a 40 Bearbeiten von Benutzern aoaaa a ee ee ee ee 43 L schen von Benutzern 2 2 2 Chek nee eee ee we eee may 94 Uberwachen der McAfee Advanced Threat Defense en Ea ss ee tee ea ec ee See Upgrade von McAfee Advanced Threat Defense und Android VM co 44 Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 xx auf 3 0 4 xx 45 Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 36 auf 3 2 0 xx 48 McAfee Advanced Threat Defense 3 4 2 Pro
342. nd Konfigurationsdaten der Analyse VM Bericht zu betroffenen Dateien Sie k nnen eine ZIP Datei mit allen Dateien herunterladen die w hrend der dynamischen Analyse von der Probe erstellt oder ge ffnet wurden Sie k nnen diese Dateien mit einer der folgenden Methoden herunterladen Klicken Sie auf der Seite Analysis Results Analyseergebnisse Analyse Analysis Results auf und w hlen Sie Dropped Files Betroffene Dateien aus Laden Sie die ZIP Datei dropfiles zip herunter die die von der Probe in der Sandkastenumgebung erstellten Dateien enthalt Zum Verwenden dieser Option muss Dropped Files im entsprechenden Analyseprofil aktiviert sein Nachdem Sie auf geklickt haben w hlen Sie Complete Results Vollst ndige Ergebnisse aus Laden Sie die ZIP Datei lt sample_name gt herunter Diese ZIP Datei enth lt die gleiche Datei dropfiles zip wie im AnalysisLog Ordner Complete Results enth lt die Datei lt file name gt _logicpath gml ungeachtet dessen ob Sie die Option Dropped Files im entsprechenden Analyseprofil aktiviert haben Disassembly Ergebnisse Der Bericht Disassembly Results Disassembly Ergebnisse listet die Disassembly Ausgabe fur portable ausfuhrbare Dateien PE Dateien auf Er wird auf Grundlage der Probedatei generiert nachdem der Entpackungsvorgang abgeschlossen wurde Darin sind Informationen zur Malware Datei wie etwa der PE Header enthalten Unter anderem enthalt der Bericht Disassembly Results
343. nd das entsprechende Standard Gateway um Proben den Zugriff auf das Internet zu erlauben e Nehmen wir an dass Sie fur den Malware Internetzugriff ETH 1 konfiguriert haben aber nun ETH 2 verwenden mochten F hren Sie dann die oben genannten Schritte fur ETH 2 aus ETH 2 wird als Port fur den Malware Internetzugriff festgelegt e Nehmen wir an dass Sie fur den Malware Internetzugriff ETH 1 konfiguriert haben aber nun ETH 1 mit einer anderen IP Adresse oder einem anderen Gateway verwenden m chten F hren Sie dann die Schritte mit der neuen IP Adresse bzw dem neuen Gateway aus e Der Befehl route add network gilt fur den allgemeinen Datenverkehr von Advanced Threat Defense set malware intfport gilt hingegen fur den Internet Datenverkehr einer Analyse VM Daher wirken sich die Befehle route add network und set malware intfport nicht aufeinander aus Verwalten von Analyseprofilen Wenn eine Datei manuell oder automatisch zur Analyse an McAfee Advanced Threat Defense gesendet wird wird das entsprechende Analyseprofil verwendet um festzustellen wie die Datei analysiert werden muss und welche Ergebnisse im Analysebericht aufgefuhrt werden Das VM Profil wird im Analyseprofil festgelegt AuBerdem legen Sie fest wie die Datei auf Malware analysiert und die Berichte ver ffentlicht werden sollen Somit enth lt ein Analyseprofil alle wichtigen Benutzerkonfigurationen zur Analyse einer Datei McAfee Advanced Threat Defense 3 4 2 Produkthandb
344. nd leitet sie die Berichte zur Anzeige an den Manager weiter Wird aufgrund der dynamischen Analyse festgestellt dass die Datei b sartig ist wird die Warnung im Echtzeit Threat Analyzer entsprechend aktualisiert 7 Die Sicherungs Advanced Threat Defense bernimmt die Rolle der prim ren Advanced Threat Defense wenn die eigentliche prim re Advanced Threat Defense ausf llt Prozessablauf f r McAfee Web Gateway Stellen Sie sich ein Szenario vor in dem sich Web Gateway zwischen den Endpunkten in Ihrem Netzwerk und dem Internet befindet Diese Web Gateway Appliance ist in ein Advanced Threat Defense Cluster integriert das aus drei Advanced Threat Defense Appliances besteht Endpunkte Manager a a Prim re McAfee ATD Sekund re McAfee ATD Sekund re McAfee ATD McAfee ATD Cluster Abbildung 8 4 Web Gateway integriert in ein Advanced Threat Defense Cluster Nummer Beschreibung 1 Die Endpunkte versuchen Web Objekte herunterzuladen Web Gateway leitet diese Anfragen weiter Wenn eine Datei heruntergeladen wird scannt die native McAfee Gateway Anti Malware Engine auf Web Gateway die Datei und ermittelt den Malware Faktor 4 Auf Grundlage des Dateityps und des Malware Faktors ermittelt Web Gateway ob die Datei zur Analyse an Advanced Threat Defense gesendet werden muss und leitet die Datei falls erforderlich an den Verwaltungsport der primaren Advanced Threat Defense weiter 5 Die
345. nd sekund ren Knotens nicht bereinstimmen bertr gt der prim re Knoten die Konfigurationsdatei mithilfe von Push automatisch an den sekund ren Knoten Die folgenden Konfigurationen werden automatisch zwischen allen Knoten synchronisiert e Analyseprofile e Benutzerverwaltung e McAfee ePO DXL Integrationsinformationen e Proxy Einstellungen e DNS Einstellungen e Die Systemzeit basierend auf den Einstellungen auf der Seite Date and Time Settings Datums und Uhrzeiteinstellungen Wenn Sie die Zeit manuell ndern werden alle Knoten auf diese Zeit gesetzt Wenn Sie NTP Server konfigurieren werden dieselben NTP Server f r alle Knoten verwendet Allerdings wird die Zeitzone nicht synchronisiert Die Seiten der Web Anwendung f r die oben genannten Konfigurationen sind sowohl f r sekund re Knoten als auch f r Sicherungsknoten deaktiviert Nicht synchronisierte Konfiguration Folgende Elemente werden nicht automatisch synchronisiert Konfigurieren Sie diese ber die einzelnen Knoten e Advanced Threat Defense Softwareversion e Analyse VMs Stellen Sie vor dem Konfigurieren des Clusters sicher dass die VM Profile aller Knoten des Clusters Ubereinstimmen Samtliche Einstellungen der VM Profile einschlieBlich des VM Profilnamens m ssen bei allen Knoten identisch sein Wenn Sie ein neues VM Profil erstellen oder ein vorhandenes nach der Erstellung des Clusters ndern bedenken Sie dass Anderungen an einem VM Profil nicht
346. nden weist Advanced Threat Defense ihr eine eindeutige Auftrags ID und eine Task ID zu Bei diesen IDs handelt es sich um inkrementelle Ganzzahlen Wenn Sie eine ZIP Datei senden werden die Komponentendateien extrahiert und einzeln analysiert Die Auftrags ID der einzelnen Komponentendateien entspricht der der ZIP Datei Jedoch besitzen die Komponentendateien verschiedene Task IDs McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 327 328 Clustering von McAfee Advanced Threat Defense Appliances Funktionsweise des Advanced Threat Defense Clusters Wenn Sie eine ZIP Datei an ein Advanced Threat Defense Cluster senden identifiziert der prim re Knoten den Knoten an den die nachste Datei verteilt werden soll und sendet dann die gesamte ZIP Datei an diesen Der Knoten der die ZIP Datei erhalten hat extrahiert und analysiert die Komponentendateien Dies gilt auch fur ZIP Dateien innerhalb einer ZIP Datei e Sendet ein Sensor die ZIP Datei generiert Advanced Threat Defense einen kumulativen Bericht fur die gesamte ZIP Datei Das bedeutet dass je ZIP Datei ein Bericht an den Manager gesendet wird wenn dieser den Bericht abfragt Fur Web Gateway werden keine ZIP Dateien unterstutzt e Wenn Sie eine ZIP Datei beispielsweise Uber dessen Web Anwendung an den prim ren Knoten senden werden fur die Komponentendateien innerhalb der ZIP Datei einzelne Berichte generiert Der primare Knoten extrahiert dann die Komponentendateien der ZIP Datei und v
347. ndows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 37 Fuhren Sie im Popupfenster Internetinformationsdienste IIS die folgenden Schritte aus Details 1 Wahlen Sie FTP Dienst File Transfer Protocol 2 Wahlen Sie Gemeinsame Dateien 3 Wahlen Sie Internetinformationsdienste Snap In klicken Sie auf OK und anschlieBend auf Weiter Windows Components Wizard Internet Information Services 115 To add or semowe a component click the check bos A shaded bow means that only peri if the component vall bs inetelled To res what s included n a component chk Daa Sutcomponends of Inkernet Infomation Senices PIS Y gt Common Files 10MB e 25 MB e a Fie Tiare Pioraco F F Senabe gt FrontPage 2000 Seras Extensi n 4 3 MB dd Ey Uva reat Dac lor Sh eras 5 ridge lz 1 3 MB Pee SMTP aro 1 1 MB did Wide eb Serene 23MB Discnpior Fire supper lo dese FTP pier urad bo upload and deveined Mec Total dirk space required 61 8 HE Space sados on cick 23117 HB Schritt 38 Klicken Sie im Assistenten fur Windows Komponenten auf Beenden um die Installation von FTP abzuschlieBen Windows Components Wizard Completing the Windows Components Wizard Tou Five tuoi completed the Arado Lomporards a rad To cope Ihe Prad cek Pira McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen e
348. ner Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 25 Drucken Sie gleichzeitig die Windows und die X Taste und wahlen Sie dann Systemsteuerung Programme Programme und Funktionen Windows Funktionen ein oder ausschalten und fuhren Sie folgende Schritte aus 1 Wahlen Sie Internetinformationsdienste FTP Server und FTP Erweiterbarkeit 2 Wahlen Sie Internetinformationsdienste Webverwaltungstools sowie IIS Verwaltungskonsole und IIS Webverwaltungsdienst Control Panel Home View installed updates Windows features oni Turn Windows features on or off To tum a fesiure on select its check bor To tum af check box A filled box means that only part of the a LIE Hyper V wji Internet Explorer 10 Je intermet information Services 3 Wa FTP Server jo FTP Extensibility de FTP Serice u Web Management Tools ald E Management Compatibility Ak 5 Management Dentale Idi rf Management Scripts and Tools A Management Service 3 Wahlen Sie Telnet Server Turn Windows features on To turn a feature on select its chec check box 4 filled box means that Network Projection I Print and Document Ser Clit RAS Connection Manag 1 Remote Differential Con mr RIP Listener 15 Simple Network Manage IE Simple TCPIP services i Oh Telnet Client Wil Telnet Server 1 TFTP Client Pk Windies Identity Fanns sb
349. nicht erneut importieren m ssen ndern benutzerdefinierter YARA Regeln Bevor Sie beginnen Sie haben die benutzerdefinierte YARA Textdatei in McAfee Advanced Threat Defense importiert Nachdem Sie die benutzerdefinierten YARA Regeln importiert haben m chten Sie eventuell einige zus tzliche Regeln hinzuf gen oder nderungen an den bestehenden Regeln vornehmen Sie k nnten beispielsweise den Schweregrad einer Regel ndern Vorgehensweise 1 Wahlen Sie Verwalten Custom YARA Rules Benutzerdefinierte YARA Regeln aus 2 Klicken Sie auf Download YARA Rule File YARA Regeldatei herunterladen um die Datei custom yara aus der McAfee Advanced Threat Defense Datenbank auf Ihren Client herunterzuladen Der Zeitstempel des letzten Imports der Datei custom yara in McAfee Advanced Threat Defense wird Ihnen zu Informationszwecken bereitgestellt 3 ffnen Sie die von Ihnen heruntergeladene custom yara Datei in einem Texteditor und nehmen Sie die erforderlichen nderungen vor Sie k nnen z B neue Regeln hinzuf gen und bestehende Regeln l schen oder ndern Speichern Sie die Datei wenn Sie damit fertig sind Sie k nnen die Datei gem Ihren Anforderungen umbenennen 4 Importieren Sie die Datei mit den ge nderten benutzerdefinierten YARA Regeln in McAfee Advanced Threat Defense Siehe Importieren der benutzerdefinierten YARA Regeldatei auf Seite 277 278 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysi
350. nicht wenn Sie tippen Auch die Auto Vervollstandigungsfunktion gilt fur diesen Befehl nicht Fur die Ausfuhrung muss er vollstandig eingegeben werden Dieser Befehl hat keine Parameter e Sie erhalten eine Warnung dass durch den Vorgang die Einstellungen der McAfee Advanced Threat Defense Appliance gel scht werden Sie mussen diese Aktion best tigen Der Grund fur die Warnung ist dass die McAfee Advanced Threat Defense Appliance auf ihren sauberen unkonfigurierten Zustand zuruckgesetzt wird wodurch alle derzeitigen Konfigurationseinstellungen sowohl auf der aktiven als auch auf der Sicherungsfestplatte verloren gehen Nachdem Sie den Vorgang bestatigt haben l scht dieser Befehl sowohl auf der aktiven als auch auf der Sicherungsfestplatte sofort alle Ihre Konfigurationseinstellungen einschlieBlich Proben Ergebnisse Protokolle und Analyse VM Laufwerksdateien e Die aktuelle Softwareversion auf der Sicherungsfestplatte wird auf der aktiven Festplatte angewendet Syntax factorydefaults ftptest USER_NAME Verwenden Sie diesen Befehl um die unter Verwalten gt Benutzerverwaltung gt FTP Results FTP Ergebnisse fur einen bestimmten Benutzer gespeicherten FTP Einstellungen zu testen Syntax ftptest USER NAME Parameter Beschreibung USER_NAME Der Benutzername fur den Sie die FTP Einstellungen testen mochten Beispiel NSPuser gti restart Dieser Befehl startet das McAfee GTI Modul von McAfee Advanced Th
351. nicht anwendbar f r URLs 2 Es wird angenommen dass die Datei auf die sich die URL bezieht in einem unterst tzten Dateityp vorliegt Anschlie end analysiert Advanced Threat Defense die Datei dynamisch mithilfe der entsprechenden Analyse VM Es wird angenommen dass der MD5 Wert der URL nicht in der Blacklist enthalten ist oder die Option Run All Selected Gesamte Auswahl ausf hren im entsprechenden Analyseprofil ausgew hlt ist F r URLs sind die Analyseoptionen GTI Datei Reputation Malware Schutz und Gateway Anti Malware irrelevant McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 287 288 Analysieren von Malware Analysieren von URLs Die dynamische Analyse und die Berichterstellung fur URLs erfolgen hnlich der fur Dateien Dabei werden alle Aktivitaten der Analyse VM einschlieBlich Registrierungs Prozess Datei und Netzwerkvorgangen sowie Laufzeit DLLs erfasst Wenn die Webseite Dropper Dateien herunterladt analysiert Advanced Threat Defense diese Dateien ebenfalls Die Ergebnisse dieser Analyse werden in demselben Bericht im Abschnitt zu den eingebetteten betroffenen Inhalten festgehalten Stellt eine betroffene Datei eine Verbindung zu anderen URLs her werden diese mithilfe von TrustedSource auf ihre URL Reputation und Kategorisierung untersucht Bei der URL Analyse werden nur HTTP HTTPS und FTP Protokolle unterst tzt Hochladen von URLs zur Analyse mittels Advanced Threat Defense Web Anwendung
352. nload details aspx id 5582 herunter und installieren Sie das Programm 3 Laden Sie Microsoft Visual C 2010 Redistributable Package x86 von der Seite http www microsoft com en us download details aspx id 5555 herunter und installieren Sie das Programm 4 Laden Sie Microsoft NET Framework 2 0 Service Pack 2 x86 Version von der Seite http www microsoft com en us download details aspx id 1639 herunter und installieren Sie das Programm McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 97 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 60 Laden Sie zum Analysieren von JAR Dateien Java Runtime Environment herunter und installieren Sie die Anwendung In diesem Beispiel wird Java 7 Update 25 verwendet Details Java Setup Welcome E Vd ORACLE Welcome to Java Jaws provides sele and secure access to he word of amazing Java content Fram business solutions to helplul utbbes and entertainment Jena makes SOU intemei expe ence come to be Hole Mo personal rimoion iz gathe rac as par of Our instal process Jick here tor more rmicrmabon on whet we do collect Click Install to ecceoptihe license agreement and install Jena no Change dexination holder Cancel Inziall Schritt 61 ffnen Sie Java in der Systemsteuerung
353. nse dass bis zu 10 gleichzeitige VMs mit der VMDK Datei erstellt werden k nnen Analyzer profile Analyseprofil Dieses legt fest wie eine Datei analysiert wird und welche Informationen im Bericht stehen In einem Analyse Profil konfigurieren Sie Folgendes e VM Profil e Analyseoptionen e Berichte die nach der Analyse angezeigt werden sollen e Kennwort f r Probedateien im ZIP Format e Mindest und H chstausf hrungszeit f r die dynamische Analyse Sie k nnen mehrere Analyseprofile abh ngig von den jeweiligen Anforderungen erstellen F r jeden McAfee Advanced Threat Defense Benutzer m ssen Sie ein Standardanalyseprofil festlegen Dieses Analyseprofil wird f r alle Dateien verwendet die vom Benutzer hochgeladen werden Benutzer die die McAfee Advanced Threat Defense Web Anwendung zum manuellen Hochladen von Dateien f r die Analyse verwenden k nnen f r den Datei Upload ein anderes Analyseprofil w hlen Das f r eine Datei ausgew hlte Analyseprofil hat Vorrang vor dem Standardanalyseprofil des jeweiligen Benutzers McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse 6 Grundlegende Schritte zum Konfigurieren der Malware Analyse Um eine Datei dynamisch zu analysieren muss der Benutzer das VM Profil haben das in seinem Analyseprofil angegeben ist Auf diese Weise legt der Benutzer die Umgebung fest in der McAfee Advanced Threat Defense die Datei ausf
354. nstellungen in dieser Reihenfolge auf von einem Sensor gesendete PDF Dateien angewendet 1 Da Sie keine Mindestdateigr e angegeben haben wird sie auf 2 KB festgelegt Daher werden von McAfee Advanced Threat Defense nur PDF Dateien mit einer Gr e von mindestens 2 KB f r eine weitere Analyse ber cksichtigt Durch die Aktivierung der heuristischen Analyse wird Re Analyze Erneut analysieren DEAKTIVIERT Daher Uberpruft McAfee Advanced Threat Defense ob bereits ein Analyseergebnis vorliegt Wenn ja wird dieses Ergebnis ohne weitere Analyse an den Manager weitergeleitet Ist das Ergebnis nicht fur denselben MD5 Hashwert verfugbar folgt der nachste Analyseschritt Durch das Aktivieren der heuristischen Analyse wird der heuristische Filter ebenfalls AKTIVIERT sodass McAfee Advanced Threat Defense die PDF Dateistruktur auf UnregelmaBigkeiten untersucht Wenn keine Unregelm igkeiten vorliegen wird die Datei als sauber behandelt und es wird keine weitere Analyse durchgef hrt Wenn heuristische Unregelm igkeiten vorliegen wird die PDF Datei gem dem entsprechenden Analyseprofil statisch und dynamisch analysiert Fur Dateien die nicht im PDF Format vorliegen wird nur die Option Re Analyze Erneut analysieren siehe Schritt 2 oben ber cksichtigt Beispiel mit Mindestdateigr e set heuristic analysis enable 5000 Wenn Sie dieses Beispiel ausf hren werden die folgenden Einstellungen in dieser Reihenfolge auf von einem S
355. nwort an Geben Sie die IPv4 Adresse des Proxy Servers ein Portnummer Geben Sie die Portnummer des Proxy Servers f r eingehende Verbindungen ein Copy above settings Obige Einstellungen kopieren Aktivieren Sie dieses Kontrollk stchen um die im Abschnitt GTI HTTP Proxy Settings GTI HTTP Proxy Einstellungen festgelegten Einstellungen zu replizieren Testen Klicken Sie auf diese Schaltfl che um zu berpr fen ob McAfee Advanced Threat Defense den konfigurierten HTTP Proxy Server ber den angegebenen Port erreichen kann Senden Klicken Sie auf diese Schaltfl che um die Proxy Einstellungen in der Datenbank zu speichern Stellen Sie sicher dass die Testverbindung erfolgreich hergestellt werden konnte bevor Sie auf Senden klicken McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 263 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Konfigurieren der Syslog Einstellung Konfigurieren der Syslog Einstellung Mit dem Syslog Mechanismus werden die Analyseergebnis Ereignisse ber den Syslog Kanal an Security Information and Event Management SIEM wie McAfee Enterprise Security Manager McAfee ESM ubertragen Dieser Vorgang betrifft alle Dateien die von Advanced Threat Defense analysiert werden Sie k nnen einen externen Syslog Server konfigurieren an den folgende Informationen gesendet werden e Analyseergebnisse e Informationen zu An und Abmeldungen von Benut
356. oben an ein Advanced Threat Defense Cluster verwenden Sie den prim ren Knoten Der Prozess hnelt der Verwendung einer einzelnen Advanced Threat Defense Appliance e Stellen Sie sicher dass die integrierten Produkte ber Schnittstellen zum prim ren Knoten verf gen Wenn Sie die Integration konfigurieren m ssen Sie die Kennw rter verwenden die im prim ren Knoten konfiguriert sind Nutzen Sie z B f r Web Gateway den mwg Benutzernamen und das im prim ren Knoten konfigurierte Kennwort Ist ein Sicherungsknoten konfiguriert dann sollte die Cluster IP Adresse der Kontakt f r diese integrierten Produkte sein e Melden Sie sich zum manuellen Einsenden von Dateien und URLs mit Administratorrechten beim prim ren Knoten an und senden Sie die Dateien auf dieselbe Weise ein wie bei einer eigenst ndigen Advanced Threat Defense Appliance Eine Schritt f r Schritt Anleitung finden Sie unter Hochladen von Dateien zur Analyse mittels McAfee Advanced Threat Defense Web Anwendung auf Seite 280 e Sie k nnen auch die REST APIs des prim ren Knotens verwenden um Dateien und URLs einzusenden Informationen dazu finden Sie im Referenzhandbuch zu McAfee Advanced Threat Defense APIs e Sie k nnen Dateien auch ber FTP oder SFTP an den prim ren Knoten senden Siehe Hochladen von Dateien zur Analyse ber SFTP auf Seite 286 Wenn eine Cluster IP Adresse konfiguriert ist m ssen Sie sich anmelden und die Dateien unter Verwendung der Cluster IP senden
357. odukte von McAfee integriert werden McAfee Advanced Threat Defense beeintr chtigt nicht den Datenverkehr in Ihrem Netzwerk Die L sung analysiert an sie gesendete Dateien bez glich Malware Das bedeutet dass Sie die McAfee Advanced Threat Defense Appliance an einem beliebigen Ort in Ihrem Netzwerk installieren k nnen auf den alle integrierten McAfee Produkte Zugriff haben Es ist auch moglich dass eine McAfee Advanced Threat Defense Appliance f r alle integrierten Produkte benutzt wird vorausgesetzt dass die Anzahl der gesendeten Dateien innerhalb der Supportstufe liegt Aufgrund dieser Struktur kann die L sung als kosteneffizienter und skalierbarer Malware Schutz eingesetzt werden McAfee Advanced Threat Defense ist kein Inline Ger t Das Programm erh lt von IPS Sensoren Dateien zur Malware Analyse Dadurch kann McAfee Advanced Threat Defense so bereitgestellt werden dass Sie die Vorteile einer Malware Schutz Inline L sung nutzen k nnen ohne die damit verbundenen Nachteile zu haben Android ist derzeit eines der Hauptziele von Malware Entwicklern Dank dieser Integration sind die Android basierten Handheld Ger te in Ihrem Netzwerk ebenfalls gesch tzt Dateien die durch Android Ger te beispielsweise Smartphones und Tablets heruntergeladen werden k nnen dynamisch analysiert werden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 17 Malware Erkennung und McAfee Advanced Threat Defense Die McAfee Advanced Threat Def
358. olgende Status sind z B m glich e Up and Ready Hochgefahren und bereit e Heartbeat not received Kein Heartbeat empfangen e Node is on different config version Knoten besitzt eine andere Config Version Remove Node Knoten entfernen W hlen Sie einen Knoten aus und klicken Sie um den Knoten aus dem Cluster zu entfernen Die Konfiguration des prim ren Knotens wird beibehalten selbst wenn Sie einen sekund ren Knoten aus dem Cluster entfernen Sie k nnen einen prim ren Knoten erst entfernen wenn alle sekund ren Knoten entfernt wurden Diese Option ist f r sekund re Knoten nicht verf gbar McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 335 8 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Tabelle 8 1 Optionsbeschreibungen Fortsetzung Option Beschreibung Sync All Nodes Alle Klicken Sie auf Sync All Alle synchronisieren um die Knoten Konfigurationssynchronisation f r alle sekund ren Knoten im Cluster synchronisieren auszul sen Wenn Sie einen sekund ren Knoten hinzuf gen oder eine der synchronisierten Konfigurationen im prim ren Knoten speichern l st der prim re Knoten automatisch eine Synchronisierung mit allen sekund ren Knoten mit dem Status Gr n und Gelb aus Details der Konfigurationssynchronisation werden f r jeden Knoten basierend auf dem Ergebnis der Synchronisierung e
359. oll ob die 11 vmcreator Task aufgerufen wurde Wenn Sie ein Upgrade auf McAfee Advanced Threat Defense 3 2 0 durchf hren werden alle D Analyse VMs automatisch neu erstellt Dieser Prozess nimmt je nach Anzahl der Analyse VMs etwas Zeit in Anspruch Stellen Sie sicher dass die Daten und Konfigurationen Ihrer fr heren Version bernommen wurden Die aktualisierte Softwareversion ist jetzt auf der aktiven Festplatte der McAfee Advanced Threat Defense Appliance gespeichert Upgrade der ATD Software von 3 2 0 xx auf 3 2 2 xx Bevor Sie beginnen e Stellen Sie sicher dass die aktuelle McAfee Advanced Threat Defense Version 3 2 0 xx lautet e Vergewissern Sie sich dass die system 3 2 2 x msu der McAfee Advanced Threat Defense Software die Sie verwenden mochten extrahiert ist und Sie vom Client Computer aus Zugriff darauf haben e Sie verf gen ber die Anmeldeinformationen um sich als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung anzumelden e Sie verf gen ber die Anmeldeinformationen um sich mit SSH bei der McAfee Advanced Threat Defense CLI anzumelden e Sie verf gen ber die Anmeldeinformationen fur das SFTP der McAfee Advanced Threat Defense Appliance e F r den admin Benutzerdatensatz w hlen Sie auf der Seite Benutzerverwaltung die Option Allow Multiple Logins Mehrere Anmeldungen zulassen aus Mithilfe der McAfee Advanced Threat Defense Web Anwendung k nnen Sie das M
360. ollte ein sekund rer Knoten ausgefallen sein wird dies in der Spalte State Status angezeigt Wenn der prim re Knoten die Konfiguration f r das Cluster synchronisiert sendet er die gesamten synchronisierten Daten an alle verf gbaren Knoten im Cluster Das bedeutet dass Sie sekund re 67 Knoten nicht selektiv synchronisieren k nnen Sie k nnen auch nicht die Konfigurationen ausw hlen die Sie an die sekund ren Knoten senden m chten Der Prozess der Konfigurationssynchronisation hat keinerlei Auswirkungen auf die Lastenausgleichs oder Dateianalyseprozesse einer McAfee Advanced Threat Defense Appliance Nicht synchronisierte Konfiguration Die folgenden Einstellungen fallen in diese Kategorie e Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 xx auf 3 0 4 xx auf Seite 45 e Erstellen einer Analyse VM auf Seite 4 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 343 344 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Verwalten von VM Profilen auf Seite 233 DAT und Scan Modul Versionen der McAfee Anti Malware Engine DAT und Scan Modul Versionen der McAfee Gateway Anti Malware Engine Whitelist und Blacklist Eintrage Benutzerdefinierte YARA Regeln Konfigurationen fur die Datenbanksicherung und wiederherstellung Alle mit der CLI vorgenommenen Konfigurationen Melden Sie sich bei jedem Knoten im Cluster an um diese Konfig
361. on Advanced Threat Defense Upgrade von McAfee Advanced Threat Defense und Android VM 4 Wahlen Sie unter System Software Systemsoftware die Datei android 4 3 msu aus Software Management MATD Software File Browse E Reset Database Install System Software The System Software file must be uploaded to appliance using SFTP fir File E Reset Database Install Abbildung 4 6 Ausw hlen der Android Datei 5 Stellen Sie sicher dass Datenbank zur cksetzen nicht ausgew hlt ist da diese Option f r Android Upgrades nicht relevant ist und klicken Sie auf Installieren Die Android Installation beginnt mit der Dateivalidierung are 1 j Installing A O j droid 4 3 msu abase 6 Eine Best tigungsmeldung wird angezeigt Klicken Sie auf OK 56 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM Die McAfee Advanced Threat Defense Web Anwendung wird automatisch geschlossen und der Status der Installation wird im Browser angezeigt e Die Installation der Systemsoftware dauert mindestens 20 Minuten e Wenn Sie diese Meldungen nicht sehen k nnen l schen Sie den Browser Cache e Wenn Sie ein Android Upgrade durchf hren wird die standardmaBige Android Analyse VM automatisch neu erstellt Dieser Vorgang kann einige Minuten dauern McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 57 Verwal
362. on Malware Anzeigen der Analyseergebnisse Abschnitt zu Vorgangsdetails Dieser Abschnitt enth lt Details zu jedem Vorgang der von einer Datei wahrend der dynamischen Analyse ausgefuhrt wird Fur jede Datei die als Teil der Probe ausgefuhrt wurde gibt es einen separaten Abschnitt e Run time DLLs Laufzeit DLLs Listet alle DLLs und ihre Pfade auf die von einer Datei wahrend der Laufzeit aufgerufen wurden e File operations Dateivorgange Listet Dateivorgangsaktivitaten auf wie Vorgange zum Erstellen ffnen Abfragen ndern Kopieren Verschieben L schen sowie Erstellen L schen von Verzeichnissen Dieser Abschnitt enth lt auch eine Liste der Dateiattribute und der MD5 Hashwerte f r die Dateien e Registry operations Registrierungsvorg nge Gibt die Details zu i Registrierungsvorgangsaktivit ten in Windows an wie Erstellen Offnen L schen Andern sowie Registrierungsabfragen bei Unter und Haupteintrittspunkten e Process operations Prozessvorgange Gibt Details zu Prozessvorg ngen wie die Erstellung neuer Prozesse und Dienste Beendigung und Codeeinschleusung in andere Prozesse an e Networking operations Netzwerkvorg nge Gibt Details zu Netzwerkvorg ngen wie DNS Abfragen TCP Socketaktivitaten und HTTP Datei Downloads an e Other operations Sonstige Vorgange Gibt Details von Vorgangen an die nicht zu den genannten Kategorien geh ren Beispiele daf r sind Mutex Objekte sowie das Abrufen der Systemmetrik u
363. on McAfee Advanced Threat Defense In diesem Fall erfolgt keine Integrierung in andere extern installierte McAfee Produkte Bei einer eigenst ndigen Appliance Standalone k nnen Sie die verd chtigen Dateien manuell ber die McAfee Advanced Threat Defense Web Anwendung senden Alternativ k nnen Sie die Proben ber einen FTP Client senden Diese Bereitstellungsoption wird beispielsweise w hrend der Test und Auswertungsphase verwendet um die Konfiguration zu pr zisieren und verd chtige Dateien in einem isolierten Netzwerksegment zu analysieren Forscher k nnten die Standalone Bereitstellung zudem f r die detaillierte Malware Analyse verwenden Internes Netzwerk Abbildung 1 2 Standalone Bereitstellungsszenario McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Malware Erkennung und McAfee Advanced Threat Defense 1 Die McAfee Advanced Threat Defense L sung Integration in Network Security Platform Diese Bereitstellung beinhaltet die Integration von McAfee Advanced Threat Defense in Network Security Platform Sensor und Manager Abhangig von der Konfiguration der entsprechenden erweiterten Malware Richtlinie erkennt ein Inline Sensor einen Datei Download und sendet eine Kopie der Datei zur Analyse an McAfee Advanced Threat Defense Falls McAfee Advanced Threat Defense innerhalb weniger Sekunden Malware erkennt kann der Sensor den Download blockieren Der Manager zeigt die Ergebnisse der Analyse von McAfee Advanced Threat Defen
364. on k nnen Sie die McAfee Advanced Threat Defense Appliance ber einen Remotecomputer oder Terminalserver verwalten Dazu m ssen Sie die McAfee Advanced Threat Defense Appliance mit den erforderlichen Netzwerkinformationen konfigurieren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 31 2 Einrichten der McAfee Advanced Threat Defense Appliance Einrichten der McAfee Advanced Threat Defense Vorgehensweise 1 Schlie en Sie ein Konsolenkabel RJ 45 auf DB 9 seriell an den Konsolenanschluss RJ 45 seriell auf der R ckseite der McAfee Advanced Threat Defense Appliance an ee Laptop oder Terminal Abbildung 2 15 Verbinden des Konsolenanschlusses 2 SchlieBen Sie das andere Ende des Kabels direkt an den COM Anschluss des PCs oder Terminal Servers an uber den Sie die McAfee Advanced Threat Defense Appliance konfigurieren mochten 3 F hren Sie HyperTerminal auf einem Microsoft Windows Computer mit den folgenden Einstellungen aus Name Einstellung Baud Rate 115200 Bitanzahl 8 Paritat Keine Stopp Bits 1 Ablaufsteuerung Keine 4 Melden Sie sich auf Aufforderung bei der McAfee Advanced Threat Defense Appliance mit dem Standardbenutzernamen cliadmin und dem Kennwort atdadmin an F r Anweisungen zur Verwendung der integrierten Befehlssyntax Hilfe geben Sie help oder ein Geben Sie list ein um eine Liste aller Befehle zu erhalten 5 Geben Sie in der Befehlszeile set appliance name
365. operating system to a private virtual network on the host Do not use a nebak connection Help siak Next gt J Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 167 168 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 12 Ubernehmen Sie unter Select I O Controller Types New Virtual Machine Wizard El Auswahlen der I O Controller Typen die Standardauswahl Select 1 0 Controller Types Which SCSI controller type would you like to use AO controler types SCSI Controller SuslLooic Not avalable for 64 ort quests a LSI Logic GA5 Recommended Help lt Back pext gt Cancel Schritt 13 Wahlen Sie auf der Seite Ausw hlen eines Datentr gertyps ew virtual Machine Wizard die Option IDE und klicken Sie auf Next Weiter Select a Disk Type What land of disk do wou want to ganie SCSI Datentrager sind UEFA mit McAfee Advanced ree ee ee Threat Defense nicht a IDE kompatibel SCSI Recommended SATA Nat supported on Workstation 9 0 We Help Back text gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 14 Wahlen Sie im Fenster Ausw hlen eines Datentragers yoo al Machine Wizard a die Option Create a new virtual disk Neuen virtuell
366. ortige Sicherung k nnen Sie den Befehl show auf der Advanced Threat Defense CLI verwenden um die aktuelle Zeit auf der Advanced Threat Defense zu erfahren Mit dem SicherungsintervallDaily T glich k nnen Sie entsprechend eine Uhrzeit f r eine sofortige Sicherung angeben e Weekly W chentlich W hlen Sie diese Option f r eine einmal pro Woche erstellte Sicherung e Day of the week Wochentag W hlen Sie den Tag aus an dem die Sicherung erstellt werden soll e Time Uhrzeit Geben Sie die Uhrzeit f r die Sicherung an dem ausgew hlten Tag an Monthly Monatlich W hlen Sie diese Option f r eine einmal pro Monat erstellte Sicherung e Day of Month Tag des Monats W hlen Sie den Tag aus an dem die Sicherung erstellt werden soll Wenn Sie z B 5 ausw hlen erstellt Advanced Threat Defense am f nften jedes Monats eine Sicherung der Datenbank Sie k nnen nur ein Datum bis 28 angeben Dadurch werden ung ltige Daten wie 30 Februar vermieden Time Uhrzeit Geben Sie die Uhrzeit f r die Sicherung an dem ausgew hlten Datum an Letzte Sicherung Zeitstempel der letzten erfolgreichen Sicherung Remote IP Remote IP Die IPv4 Adresse des FTP Servers Protokoll W hlen Sie aus ob Advanced Threat Defense FTP oder SFTP zur bertragung der Sicherungsdatei auf den FTP Server verwenden soll Pfad Das Verzeichnis in dem Advanced Threat Defense die Datei auf dem FTP Server speichern mu
367. out blank UseDefauk Use Blank 3 Wechseln Sie zur Registerkarte Erweitert und suchen Sie Sicherheit 4 Wahlen Sie Ausf hrung aktiver Inhalte in Dateien auf dem lokalen Computer zulassen aus McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 133 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Internet Optio ns General Security Privacy Content Connections Programs Advanced Settings O Just display the results in the main eandove a 8 Just goto the most ikel cite Senunly Allow achive content from ODs bo nun on by Computer Allow acie content to mun m files on My Computer low sollware bo pun al install ever if the signature i invalid Check tot publishers certificate revocation Check tor server cerbicabe revocation requires restart Check for signatures on downloaded program Dorat save encryoled pages to disk Empty Temporery Internet Files folder when browser is closed Enable Integrated Windows Authentication requires restart Enable Profle Assistant Use SSL 2 0 w Use SSL 3 0 Use TLS 1 0 ed _Resore Detauts 5 Klicken Sie auf OK 134 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 200
368. ove Services a Diagnostics View EH d Configuration Es Storage Refresh pary Help mts Nor 4 Wahlen Sie im Assistenten Rollendienste hinzuf gen die Option FTP Publishingdienst TL Service El A 115 6 Management Compatibility Installed Mots 5 mia hh ntalo mg mg mn m um 115 6 WMI Compatibility _ 115 6 Seripting Tools C 115 6 Management Console Wi TP Publishing Service FTP Server V FTP Management Console More about role services Dadurch werden der FTP Server und die FTP Verwaltungskonsole installiert 5 Klicken Sie auf Weiter und dann auf Installieren 6 Klicken Sie auf Schlie en nachdem die Installation erfolgreich durchgef hrt wurde 176 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 28 Wahlen Sie Start Ausfuhren geben Sie netplwiz ein und klicken Sie auf OK Type the name of a program folder docurnent or Internet resource and Windows will open it for you AP Thi task will be created with admenistratree privileges ox cancel Bremen Schritt 29 Deaktivieren Sie im Fenster Benutzerkonten die Option Benutzer m ssen Benutzernamen und Kennwort eingeben und klicken Sie auf bernehmen Use the list below to grant or deny users access to your computer and to change p
369. patibility Hardwarekompatibilitat aus Akzeptieren Sie bei den anderen Feldern die Standardwerte und klicken Sie auf Next Weiter EU m New Virtual Machine Wizard e u 4 Choose the Virtual Machine Hardware Compatibility Which hardware features are needed for this virtual machine Yia machine hardware compatiblity Hardware compatiniity workstation 9 0 i Compatible with EGH Server Compatible products Lmitatblans ES 5 1 F 64 GE memory Fusi n 5 0 A proces ors Fusion amp 0 10 network adap bers Workstation 10 0 2 TE disk sue Wortsiatiion 9 0 Mo SATA devices Schritt 5 W hlen Sie im Fenster Guest Operating System Installation Installation eines Gast Betriebssystems entweder Installer disc Installationsdatentr ger oder Installer disc image file iso Image Datei des Installationsdatentr gers navigieren Sie zum ISO Image w hlen Sie es aus und klicken Sie anschlie end auf Next Weiter Mew Virtual Machine Wizard Guest Operating System Installation A shal machine E ike 4 physical computer it needs an ern system How wall you install the guest operating system install from Pee ar eld DVD RW Drive E O retale diac image fe meh CAD Work eo oe 4 Windows Server 2009 x64 detected This operating system wal use Easy install What s this Tel ingtall the operating system later The virtual machine vell be crested wath a blank hard disk Help
370. pezifischen Sicherungsdatei Optionsname Beschreibung Remote IP Remote IP Die IPv4 Adresse des FTP Servers Protokoll W hlen Sie aus ob Advanced Threat Defense FTP oder SFTP zur bertragung der Sicherungsdatei auf den FTP Server verwenden soll Der Benutzername den Advanced Threat Defense verwenden soll Benutzername um auf den FTP Server zuzugreifen Stellen Sie sicher dass dieser Benutzername Schreibzugriff auf den angegebenen Ordner hat Kennwort Das entsprechende Kennwort Full Path File Name Dateiname Der vollst ndige Speicherort der zuvor erstellten Datei sowie der mit vollst ndigem Pfad Dateiname m ssen angegeben werden damit die Sicherung wiederhergestellt werden kann Die Wiederherstellung schl gt fehl wenn die Sicherungsdatei nicht am angegebenen Speicherort auf dem Backup Server verf gbar ist 3 Klicken Sie auf Wiederherstellen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Sichern und Wiederherstellen der Advanced Threat Defense Datenbank Wiederherstellen einer Datenbanksicherung Vorhergehende Sicherungsdatei Before you begin Es kann zu nderungen bez glich des f r die Sicherung verwendeten FTP Servers kommen Beispielsweise kann sich die IP Adresse des FTP Backup Servers ndern oder Sie m chten den FTP Server in einen neuen physischen oder virtuellen Server migrieren Wenn sich die IP Adresse ndert stellen Sie s
371. ppear as a single hard disk to the quest operating system Virtual disks can easily be copied or moved on the same host or between hosts Lie an exieing rue chek Choose thee option bo reuse a previsy configured disk Lise a physical disk for advanced teers Choose this apiion ba give the virtual machine direct access bo a local hard mek Help Back pext gt Cancel Schritt 15 Geben Sie die Details im Fenster Angeben der Speicherkapazitat an und klicken Sie auf Next Weiter e Maximum disk size GB Maximale Datentr gergr e in GB Geben Sie fur Windows 7 64 Bit 14 GB ein Geben Sie fur Windows 7 32 Bit 12 GB ein e Wahlen Sie Allocate all disk space now Samtlichen Speicherplatz jetzt zuweisen e Wahlen Sie Store virtual disk as a single file Virtuellen Datentr ger als einzelne Datei speichern New Virtual Machine Wizard eet Maximum disk size GEN 14 7 Recommended size for Windows 7 x64 50 GE 7 Allocate al disk space now Alocating the ful capacity can enhance performance but requires all of the physical desk space to be available right mow If you do not allocate all the space now the virtual disk starts small and grows as you add data to it Store virtual disk as a single file Spitting the disk makes it easier to mowe he virtual machine to another computer but may reduce performance with very large disks Hep lt Back mext gt cancel McAfee Advance
372. programm zur Registerkarte Start MELE SOP TALR Ferne Cie HELMISOFTAARE Pre indeed aerie HELP TA Mier cet inden Currentivar HAFTET Conon Saba AC Proa Piel Tihem Pile Ade Cibona Pel Corra CUREA Ae AICA 5 prenit toe l rustle A Dale 6d Soe oes Deaktivieren Sie reader_s und jusched und klicken Sie dann auf OK McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 99 100 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Details Schritt 66 Klicken Sie in der Systemkonfiguration auf Neu starten Syst em Lo nfigu ration You must restart your computer for some of the changes made by Sysbem Configuration to take effect Exit Without Restart Schritt 67 Aktivieren Sie im Dialogfeld Systemkonfigurationsprogramm das Sem Contato Litiy Kontrollk stchen Meldung nicht Ol You hawe used the System Configuration Utility to make changes to the way Windows starts mehr anzeigen und dieses Programm The System Configuration Liity s currently in Diagnostic or Selectiva Startup mode causing beim Windows Start nicht mehr starten this message to be displayed and the utiity bo run every bee Windows starts und klicken Sie auf OK Choose the Normal Startup mode on the General tab to start Windows moray and undo the changes wou made using the
373. ptionsbeschreibungen Fortsetzung Option Beschreibung Modell Der Modelltyp der Advanced Threat Defense Appliance Er kann ATD 3000 oder ATD 600 lauten Rolle Gibt an ob ein Knoten ein prim rer ein sekund rer oder ein Sicherungsknoten ist Config Version Config Version Sobald Sie die synchronisierte Konfiguration speichern sendet der prim re Knoten seine Konfigurationsdatei an die sekund ren Knoten und erstellt eine Version dieser Konfigurationsdatei als Referenz F r jeden Knoten wird die Versionsnummer der neuesten Konfigurationsdatei angezeigt Wenn die Versionsnummer eines sekund ren Knotens nicht der des prim ren Knotens entspricht wird ein m glicher Unterschied zur Konfiguration des sekund ren Knotens angezeigt Die Statusfarbe f r diesen sekund ren Knoten wechselt damit zu Gelb Die Ursache wird au erdem in der Spalte Status genannt Der prim re Knoten bertr gt seine Konfigurationsdatei mithilfe von Push automatisch an diesen Knoten Dadurch wird sichergestellt dass alle Knoten eine hnliche synchronisierte Konfiguration aufweisen S W Version Softwareversion Gibt die Advanced Threat Defense Softwareversion der Knoten an Die vollst ndige Softwareversion muss f r alle Knoten exakt bereinstimmen Ist dies nicht der Fall wechselt der Status f r die entsprechenden Knoten zu Gelb Status Gibt den Status von Knoten und alle wichtigen Informationen zu diesem Knoten an F
374. puter angezeigt Je nach Ihren Browser und Java Einstellungen k nnen Sicherheitswarnungen angezeigt werden Nach dem Best tigen der 284 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Analysieren von Dateien Sicherheitswarnungen wird in einem Popupfenster die Analyse VM mit den von der Probe gedffneten Dialogfeldern angezeigt Fur die Eingabe k nnen Sie Maus und Tastatur verwenden C analyzer Console Access Google Chrome Gx bar 2 pni i leprpidisplayMo 4 i fi E B 1 1 Security Warning Phe derer a frying to connect to http com T you trust the bs choose Alos Y you de not trust the ate choose Bock amp enember sy action tor the site Ce 5 Os Abbildung 7 6 Zugriff auf die Analyse VM uber ein Popupfenster Die Ausf hrung der Datei beginnt sobald Sie diese gesendet haben und nicht erst beim Offnen der Analyse VM Bei einigen Meldungen kann es im Hintergrund zu einer Zeituberschreitung kommen Wenn Sie die vollst ndige Ausf hrung anzeigen m chten m ssen Sie auf der Seite Analysis Status Analysestatus ohne Verz gerung auf X Mode klicken McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 285 7 Analysieren von Malware Analysieren von Dateien Nachdem die Dateiausfuhrung abgeschlossen ist meldet sich die Analyse VM automatisch ab und Sie k nnen das Pop Up schlieBen Analyzer Console Access Google Chrome EX bees php console php displayNo 5
375. puters dialup or external Eihernet network conection using the hoata IP addreza i Use pai networking Connect the quest operating system to a private virtual network on the host Do nol use a network connection Mp lt Back Cenel Schritt 11 bernehmen Sie unter Select I O Controller Types Auswahlen der I O Controller Typen die Standardauswahl New Virtual Machine Wizard Sz Select 1 0 Controller Types Which SOSI controller type would you ike to use AO controller types SCSI Controller Buslogc Net available for 64 bit quests Y 5i Logic Recommended LSI Logic SAS rep Jr McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 109 110 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 12 W hlen Sie auf der Seite Ausw hlen eines Datentr gertyps die Option IDE und klicken Sie auf Next Weiter SCSI Datentr ger sind mit McAfee Advanced Threat Defense nicht kompatibel Details New Virtual Machine Wizard a8 Select a Disk Type What land of disk de you want to create Virtual disk type DE SCSI Recon SATA Not supported on Workstation 9 0 vg erstellen und klicken Sie auf Next Weiter Help lt Back text gt Cancel Schritt 13 Wahlen Sie im Fenster Ausw
376. r Softwareversion in Umlauf gebracht wird Die Dienstqualit t f r die Benutzer Ihres Netzwerks wird dabei nicht beeintr chtigt Von zus tzlichem Vorteil ist dass McAfee Advanced Threat Defense eine integrierte L sung ist Neben den mehrschichtig angelegten Funktionen zur Bedrohungserkennung kann Ihr Netzwerk durch die M glichkeit zur Integration mit anderen McAfee Sicherheitsprodukten vor Malware und weiteren hochentwickelten andauernden Bedrohungen Advanced Persistent Threats APTs gesch tzt werden Inhalt gt Das Malware Bedrohungsszenario Die McAfee Advanced Threat Defense L sung Das Malware Bedrohungsszenario Unter den Begriff Malware f llt jede Software mit der F higkeit b sartige Aktionen gegen einen Computer eine Anwendung oder ein Netzwerk auszuf hren McAfee Advanced Threat Defense wurde zur Erkennung dateibasierter Malware entwickelt Fr her erhielten Benutzer Malware in E Mail Anh ngen Mit dem Anstieg an Internetanwendungen m ssen Benutzer nur noch auf einen Link klicken um Dateien herunterzuladen Heute gibt es viele andere Optionen solche Dateien zu ver ffentlichen Blogs Websites Social Networking Websites McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 11 Malware Erkennung und McAfee Advanced Threat Defense Die McAfee Advanced Threat Defense L sung Chat Nachrichten Webmail Diskussionsforen und so weiter Die groBe Herausforderung beim Angehen dieses Problems ist das Erkennen von
377. r IP Adresse k nnen wir uns mit der Cluster IP Adresse anmelden um auf die Advanced Threat Defense Benutzeroberfl che zuzugreifen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 337 8 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Vorgehensweise 1 Melden Sie sich ber die Befehlszeilenschnittstelle CLI des prim ren oder eines sekund ren Knotens an 2 F hren Sie den Befehl lbstats aus Es werden separate Abschnitte f r jeden Knoten angezeigt Abbildung 8 8 Ibstats Ausgabe des prim ren Knotens Oben ist die Ibstats Ausgabe eines prim ren Knotens dargestellt Unten ist die Ibstats Ausgabe des prim ren Knotens dargestellt 338 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Abbildung 8 9 Ibstats Ausgabe eines sekund ren Knotens McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 339 8 Clustering von McAfee Advanced Threat Defense Appliances Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Oben ist die Ibstats Ausgabe eines sekund ren Knotens dargestellt Lu Me En 5 La y 5 tai hj a gu Kr i u Li loa O b oe Oe La oO Abbildung 8 10 Ibstats Ausgabe eines Sicherungsknotens Oben ist die Ibstats Ausgabe eines Siche
378. r Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 19 Klicken Sie auf OK wenn die folgende Fehlermeldung angezeigt wird Setup kann nicht fortgesetzt werden solange Sie Ihren Namen nicht eingegeben haben Administrator und Guest k nnen nicht verwendet werden Details Prandi Yoon Galler Setup Less e miinaan you provide aba poutak lo personakze your Ando Er ee yE Type poa fal rama and fhe nama of poa company or mganzaion Ee hm Sebup carol corra ur enter your rare Amina ar Guest are mol USA i Back Her gt Schritt 20 Geben Sie die folgenden Informationen im Fenster Windows XP Professional Setup Einrichtung f r Windows XP Professional ein e Name Geben Sie root ein e Organisation Lassen Sie dieses Feld leer und klicken Sie auf Weiter Dieser Vorgang kann etwa 15 Minuten in Anspruch nehmen Windows XP Professional Setup Personalize Tou Sollware Sep unset the inlormslion poy provade show yparel Go personaliza pow Winders EP one ae Tppe your full name and the name of Your Company or panic tice Hann Digan zalaor Back Hast gt Schritt 21 Nur wenn Sie dazu aufgefordert werden melden Sie sich mit den folgenden Anmeldeinformationen beim virtualMachinelmage an e User Benutzer administrator e Password Kennwort cr cker42 McAfee
379. r YARA Regel beschriebene Verhalten ein Beim Wert des Schweregrads muss es sich um eine ganze Zahl zwischen 1 und 5 handeln wobei 5 das b sartigste Verhalten angibt Der Wert des Schweregrads ist f r Hilfsregeln irrelevant McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 275 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung 5 ffnen Sie auf der Seite Analysis Results Analyseergebnisse das User API Protokoll der Probe die Sie als Referenz fur die Erstellung Ihrer YARA Regeln verwenden mochten Samples Reports Submitted Time a a ME MA OA Ces A MT al Analysis Summary HTML o Analysis Summary POF Dropped Files Disassembly Results Logic Path Graph User API Log Com plete Results Abbildung 6 13 User API Protokoll als Referenz f r benutzerdefinierte YARA Regeln 6 Geben Sie die Zeichenfolgen und Bedingungen gem der YARA Syntax ein custom yara Notepad gt File Edit Format View Help f CreateDirectoryA S i7FC c test_dir ret 1 RemoveDirectoryA S0188F c test_dir ret 1 ffGetProchddress 8618455 70486000 RegCreateKeyA rule custom YARA_01 meta Classification 32 Description CUSTOM yara test create remove directory Severity 4 strings linei CreateDirectoryA cr test dir RRemoveDirectorya
380. r an McAfee ePOgesendeten Anfragen die Anzahl der von McAfee ePOerhaltenen Antworten sowie die Anzahl von fehlgeschlagenen Anfragen an Syntax show epo stats nsp Dieser Befehl hat keine Parameter show filesizes Mit diesem Befehl werden alle von McAfee Advanced Threat Defense unterst tzten Dateitypen mit Details wie der Typnummer der minimalen und maximalen Dateigr e in Byte sowie einer Kurzbeschreibung angezeigt Dieser Befehl hat keine Parameter McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 367 9 CLI Befehle f r McAfee Advanced Threat Defense Liste der CLI Befehle Syntax show filesizes Im Folgenden werden die Informationen die durch den Befehl show filesizes angezeigt werden dargestellt Typnummer Dateibeschreibung Mindestgr e Maximalgr e 1 Portierbare ausf hrbare EXE DLL oder SYS Datei 1024 10000000 Windows PDF Dokumentdatei mit der Erweiterung pdf 2048 25000000 Java Klassendatei mit der Erweiterung class 1024 5000000 4 ltere Microsoft Office Dateien mit der 5120 10000000 Erweiterung doc ppt oder xls 5 Microsoft Rich Text Format Datei mit der 1024 10000000 Erweiterung rtf 6 ZIP Datei APK Datei oder neuere Microsoft 200 20000000 Office Datei mit der Erweiterung docx pptx oder xlsx JPEG Bilddatei 5120 1000000 PNG Bilddatei 5120 1000000 GIF Bild Bitmap Datei 5120 1000000 10 Ausf hrbare Datei mit der Erweiterung com 10
381. r eine rote Strichlinie darauf zeigt Die Subroutine Sub_004017A0 fuhrte elf Aufrufe aus da elf Linien von diesem Kastchen ausgehen Sieben von diesen elf Aufrufen wurden w hrend der dynamischen Analyse ausgef hrt Ein Aufruf erfolgte f r Sub_00401780 da eine durchg ngig blaue Linie von Sub_004017A0 auf Sub_00401780 zeigt Aufrufe von Sub_00401410 printf Sub_00401882 und Sub_00401320 wurden nicht ausgef hrt und werden mit roten Strichlinien angezeigt die auf sie verweisen Die Subroutine Sub_00401780 f hrte nur einen einzigen Aufruf aus da nur eine Linie von diesem K stchen ausgeht Der Aufruf erfolgte w hrend der dynamischen Analyse User API Protokoll Die User API Protokolle sind in verschiedenen Dateien enthalten e Die LOG Datei enth lt die Windows DLL API Aufrufe auf Benutzerebene durch die analysierte Datei w hrend der dynamischen Analyse W hlen Sie zum Anzeigen dieser Datei in der McAfee Advanced Threat Defense Web Anwendung Analyse Analysis Results Analyseergebnisse aus Klicken Sie anschlie end auf und w hlen Sie User API Protokoll User API Protokoll aus Klicken Sie alternativ auf und w hlen Sie dann Complete Results Vollst ndige Ergebnisse aus Laden Sie die ZIP Datei lt sample_name gt herunter Die ZIP Datei enth lt dieselben Informationen wie die Datei lt sample name gt log im AnalysisLog Ordner Folgendes ist in der LOG Datei enthalten e Ein Datensatz der System DLL API
382. re License Terme McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 44 Um PDF Dateien zu analysieren laden Sie Adobe Reader auf den nativen Host herunter und kopieren Sie ihn auf die VM In diesem Beispiel wird Adobe Reader 9 0 verwendet 1 Installieren Sie Adobe Reader 9 0 auf der VM 2 Offnen Sie Adobe Reader und klicken Sie auf Akzeptieren Warranty Disclaimer and Software License Agreement THIS DOCUMENT INCLUDES WARRANTY INFORMATION PART THE USE OF ADOBE SOFTWARE PART II PART L WARRANTY DISCLAIMER AND ITS SUPPLIERS AND CERTIFICATE AUTHORITIES DO NOT OR RESULTS YOU MAY OBTAIN BY USING THE SOFTWARE CER THIRD PARTY OFFERINGS EXCEPT TO THE EXTENT ANY WARR TERM CANNOT OR MAY NOT BE EXCLUDED OR LIMITED BY LA JURISDICTION ADOBE AND ITS SUPPLIERS AND CERTIFICATE CONDITIONS REPRESENTATIONS OR TERMS EXPRESS OR IMF a po OR OTHERWISE AS TO ANY MATTER INCLUL ENT OF THIRD PARTY RIGHTS MERCHANTABD GS TETE see rr ss le eee eee 3 Wahlen Sie in Adobe Reader Bearbeiten Voreinstellungen Allgemein deaktivieren Sie Nach Updates suchen Categqorne Basis Tools Documents Une single bey ac celerstors lo accede tools Full Green w Create inks from URLs er Melee Hand boai sabe tas Es mages l 7 bbe Hand tool read aeteched 30 A Multmedia Mabe Hard tool wie mouse wheel pomi A
383. reat Defense neu Syntax gti restart Dieser Befehl hat keine Parameter help Dieser Befehl stellt eine Beschreibung des interaktiven Hilfesystems bereit Dieser Befehl hat keine Parameter McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 353 9 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Syntax help heuristic_analysis Stellen Sie sich vor ein Network Security Sensor sendet eine sehr groBe Anzahl von Dateien Sie m chten dass McAfee Advanced Threat Defense diese Dateien f r eine detaillierte Malware Analyse sichtet Der Zweck dieser Sichtung besteht in einer Leistungssteigerung ohne Einbu en bei der Sicherheit Mithilfe des Befehls heuristic_analysis k nnen Sie dies erreichen e Aktivieren Sie den heuristischen Filter f r PDF Dateien e Geben Sie die Mindestdateigr e f r die PDF Dateien an die bei der Malware Analyse ber cksichtigt werden sollen e Deaktivieren Sie die Option Re Analyze Erneut analysieren f r alle unterst tzten Dateitypen Verwenden Sie den Befehl Anzeigen um den aktuellen Status zu bestimmen Die heuristische Analyse ist standardm ig deaktiviert 354 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Syntax show heuristic analysis CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Wenn die heuristische Analyse deaktiviert ist werden folgende Einstellungen verwendet Einstellung Beschreibung Die heuristi
384. rem Client Computer aus Wenn Sie ein Upgrade durchf hren m chten stellen Sie sicher dass Datenbank zur cksetzen nicht O ausgew hlt ist Sie w hlen diese Option nur aus wenn Sie im Laufe des Upgrades eine neue Datenbank erstellen m chten Bei Auswahl dieser Option wird eine Warnung angezeigt dass alle Daten der vorhandenen Datenbank verloren gehen Klicken Sie zur Bestatigung auf OK Klicken Sie auf Installieren Melden Sie sich nach dem Upgrade der McAfee Advanced Threat Defense Web Anwendung ab und l schen Sie den Cache des verwendeten Browsers Melden Sie sich bei der McAfee Advanced Threat Defense Web Anwendung an und fuhren Sie folgende Schritte aus e berpr fen Sie die in der Benutzeroberfl che angezeigte Version e Wahlen Sie Verwalten Software Verwaltung aus und berpr fen Sie ob sich die Software Verwaltung aus zwei Abschnitten MATD Software und Systemsoftware zusammensetzt e Stellen Sie sicher dass die Daten und Konfigurationen Ihrer fr heren Version bernommen wurden 2 F hren Sie ein Upgrade der McAfee Advanced Threat Defense Systemsoftware durch a Melden Sie sich mithilfe eines FTP Clients wie FileZilla bei der McAfee Advanced Threat Defense Appliance an Melden Sie sich als der Benutzer atdadmin an Laden Sie die Datei system 3 2 0 x msu ber SFTP in das Stammverzeichnis von McAfee Advanced Threat Defense hoch Stellen Sie sicher dass die bertragung im Bin rmodus erfolg
385. rfolgreich oder fehlgeschlagen angezeigt Sync All Status 1 18 14 SUCCESS Ly 18 15 SUCCESS Abbildung 8 7 Fehler bei der Konfigurationssynchronisation Withdraw from Cluster Diese Schaltfl che ist nur f r sekund re Knoten relevant Klicken Sie um Aus Cluster einen sekund ren Knoten aus dem Cluster zu entfernen und den entfernen sekund ren Knoten als eigenst ndige Advanced Threat Defense Appliance zu verwenden Beachten Sie Folgendes Wenn der prim re Knoten ausf llt f llt das Lastenausgleichscluster aus Wenn der prim re Knoten ausf llt klicken Sie in den sekund ren Knoten auf Withdraw from Cluster Aus Cluster entfernen um sie aus dem Cluster zu entfernen und die sekund ren Knoten als eigenst ndige Appliance zu verwenden 336 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte berwachen des Status eines Advanced Threat Defense Clusters Bevor Sie beginnen Sie haben erfolgreich ein Lastenausgleichscluster erstellt wie unter Erstellen des McAfee Advanced Threat Defense Clusters auf Seite 332 beschrieben Sie k nnen den Status eines Advanced Threat Defense Clusters auf der Seite Load Balancing Cluster Setting Einstellungen f r Lastenausgleichscluster oder unter Verwendung des Befehls Ipstats berwachen Nach dem Konfigurieren der Cluste
386. rgr e 30 GB Speicherkapazit t an und ME l E E klicken Sie auf Next Weiter Geben Sie jedoch 24 GB ein um eine optimale Leistung zu gewahrleisten e Wahlen Sie Allocate all disk space now Samtlichen Speicherplatz jetzt zuweisen e Wahlen Sie Store virtual disk as a single file Virtuellen Datentrager als einzelne Datei speichern Mew Virtual Machine Wizard Specify Disk Capacity Hea large de you want thet disk to be Madmen disk gine GE 24 7 AdocaGing the ful capacity can enhance performance but requires al of the physical disk space to be available right now If you do not allocate all the space now Ge virtual disk starts small and grows amp you add data to it Store virtusi disk as a single Ae Spit virtual disk into multiple files Saiting Ge disk makes it eager to move the virtual machine to another computer but may reduce performance with very lange disks Tama Gn Schritt 16 Vergewissern Sie sich dass im Fenster New Virtual Machine Wizard Specify Disk file Datentr gerdatei angeben Specify Disk File standardm Big Where would you like to store the disk file virtualMachinelmage vmdk angezeigt wird und klicken Disk File Sie auf Next Weiter Cine 2465 disk file will be created using the fle name provided here Wenn Sie unter Virtual Machine name Name des virtuellen yr tualMachinelmage vmdk Computers einen anderen Namen angegeben haben
387. rh lt wird zuerst eine statische Analyse der Datei ausgef hrt Dabei wird in der k rzestm glichen Zeit berpr ft ob es sich um bekannte Malware handelt wobei die McAfee McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 243 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Begriffe Advanced Threat Defense Ressourcen fur die dynamische Analyse beibehalten werden Fur die statische Analyse verwendet McAfee Advanced Threat Defense die folgenden Ressourcen Die statische Analyse wird in der nachstehenden Reihenfolge durchgef hrt 1 Lokale Whitelist gt 2 Lokale Blacklist gt 3 McAfee GTI McAfee Gateway Anti Malware Engine McAfee Anti Malware Engine Diese drei Ressourcen werden hintereinander bearbeitet e Local Whitelist Lokale Whitelist Dies ist die Liste der MD5 Hashwerte vertrauenswurdiger Dateien die keiner Analyse bed rfen Diese Whitelist basiert auf der McAfee Application Control Datenbank die fur andere L sungen in der McAfee Suite verwendet wird Sie enthalt uber 230 000 000 Eintr ge Die Whitelist Funktion ist standardm ig aktiviert Verwenden Sie zum Deaktivieren den Befehl setwhitelist F r die Verwaltung der Whitelist Eintr ge stehen Befehle zur Verf gung Die statische McAfee Application Control Datenbank kann nicht ge ndert werden Sie k nnen jedoch Eintr ge basierend auf dem Datei Hash hinzuf gen oder l schen Sie k nnen auch die Whitelist nach einem bestim
388. rlauben McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 249 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Wie analysiert McAfee Advanced Threat Defense Malware 4 Unabh ngig vom verwendeten Modus protokolliert McAfee Advanced Threat Defense alle Netzwerkaktivit ten Die generierten Berichttypen k nnen jedoch je nach Modus unterschiedlich ausfallen e Im bersichtsbericht der Analyse werden die Netzwerkaktivit ten zusammengefasst und dargestellt Unter den Netzwerkvorg ngen finden Sie die DNS Abfragen und Socketaktivit ten Alle Netzwerkaktivit ten finden Sie im Abschnitt Network Simulator Netzwerksimulator des Berichts e Der Bericht dns log enth lt ebenfalls die DNS Abfragen der Probe e Die Paketerfassung der Netzwerkaktivit ten finden Sie im Ordner NetLog der ZIP Datei Complete Results Vollst ndige Ergebnisse MATD McAfee Advanced Threat Defense Internetzugriff im Analyseprofil MATD ermittelt den Modus Simulationsmodus Real Internet Modus MATO repr sentiert sich a ternetzugrif MATD stellt Internetzugriff selbst als Zielhost ber den konfigurierten r Ethernet Port bereit MATD protokolliert alle Hoetzwerkaktivit ten Daten werden in den Berichten dargestellt Abbildung 6 2 Internetzugriff f r Proben Prozessablauf Beachten Sie Folgendes McAfee Advanced Threat Defense verwendet standardm ig den Verwaltungsport ETH 0 um Proben den Zugr
389. rmationen um sich als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung anzumelden e Sie verfugen Uber die Anmeldeinformationen um sich mit SSH bei der McAfee Advanced Threat Defense CLI anzumelden e Sie verf gen ber die Anmeldeinformationen f r das SFTP der McAfee Advanced Threat Defense Appliance e Fur den admin Benutzerdatensatz wahlen Sie auf der Seite Benutzerverwaltung die Option Allow Multiple Logins Mehrere Anmeldungen zulassen aus Mithilfe der McAfee Advanced Threat Defense Web Anwendung k nnen Sie das McAfee Advanced Threat Defense Software Image auf das Sie aktualisieren m chten importieren Vorgehensweise 1 Melden Sie sich mithilfe eines FTP Clients wie FileZilla bei der McAfee Advanced Threat Defense Appliance an Melden Sie sich als der Benutzer atdadmin an Laden Sie die Datei system lt version number gt msu ber SFTP in das Stammverzeichnis von McAfee Advanced Threat Defense hoch Stellen Sie sicher dass die Ubertragung im Bin rmodus erfolgt Melden Sie sich nach dem Hochladen der Datei als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung an und wahlen Sie Verwalten Software Verwaltung Wahlen Sie unter System Software Systemsoftware die Datei system lt version number gt msu aus Stellen Sie f r den Fall von Upgrades sicher dass Datenbank zur cksetzen nicht ausgew hlt ist und klicken Sie auf Installieren McAfee
390. rucksetzen ausgefuhrt angezeigt Beispiel resetusertimeout admin restart network Verwenden Sie diesen Befehl zum Neustarten des Netzwerks auf der McAfee Advanced Threat Defense Starten Sie amas nach der Verwendung dieses Befehls neu Syntax restart network Dieser Befehl hat keine Parameter route add delete network Es stehen CLI Befehle zum Hinzuf gen und Entfernen statischer Routen zu McAfee Advanced Threat Defense zur Verf gung So f gen Sie einen Port hinzu route add network lt Netzwerk IP gt netmask lt Netzmaske gt gateway lt Gateway IP gt intfport lt Portnummer 1 gt lt Portnummer 2 gt lt Portnummer 3 gt Beispiel route add network 1 1 1 0 netmask 255 255 255 0 gateway 1 1 1 1 intfport 1 So loschen Sie einen Port route delete network lt Netzwerk IP gt netmask lt Netzmaske gt gateway lt Gateway IP gt intfport lt Portnummer 1 gt lt Portnummer 2 gt lt Portnummer 3 gt Beispiel route delete network 1 1 1 0 netmask 255 255 255 0 gateway 1 1 1 1 intfport 1 samplefilter Dieser Befehl ist spezifisch fur Network Security Platform Sensoren Verwenden Sie diesen Befehl um zu verhindern dass Sensoren nicht unterstutzte Dateitypen zur Analyse an McAfee Advanced Threat Defense senden Syntax samplefilter lt status gt lt enable gt lt disable gt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Paramet
391. rungsknotens dargestellt Tabelle 8 2 Details zum Ibstat Befehl Ausgabeeintrag Beschreibung System Mode Systemmodus Gibt an ob die Advanced Threat Defense Appliance der prim re oder ein sekund rer Knoten ist ATD ID ATD ID Die dem Knoten zugewiesene eindeutige ID IP Die Verwaltungsport IP Adresse der Advanced Threat Defense Appliance ATD Version ATD Version Die aktuell auf dem Knoten installierte Softwareversion von Advanced Threat Defense Config Version Config Version Die aktuell auf dem Knoten vorhandene Version der Konfigurationsdatei System Status Systemstatus Gibt an ob der Knoten hochgefahren und bereit ist 340 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte Tabelle 8 2 Details zum Ibstat Befehl Fortsetzung Ausgabeeintrag Beschreibung System Health Systemzustand Gibt an ob der Knoten sich in einem gutem oder in einem nicht initialisierten Zustand befindet Sample Files Distributed Count Die Gesamtzahl der unter den Knoten einschlie lich des prim ren Anzahl der verteilten Knotens verteilten Proben Dieser Knoten umfasst Dateien und Probedateien URLs Diese Daten werden nur angezeigt wenn Sie lbstats auf dem prim ren Knoten ausf hren Einsenden von Proben an ein Advanced Threat Defense Cluster Zum Einsenden von Pr
392. s McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 205 206 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 26 Bearbeiten Sie die Energieoptionen McAfee Advanced Threat Defense 3 4 2 1 Offnen Sie die Systemsteuerung und wahlen Sie aus dem Dropdown Ment Anzeigen nach die Option Kleine Symbole aus 2 Klicken Sie auf Energieoptionen gt Language E Loc ye Network and Sharing Center Y Noti MM Performance Information and Tools a Pers gt Power Options Proc PP Region ME Rem E Speech Recognition S Stor 3 Klicken Sie auf Zeitpunkt f r das Ausschalten des Bildschirms ausw hlen gt T gt t Control Panel All Cou Control Panel Home Choose Require a password on wakeup A power p manages Choose what the power button does Preferred Create a power plan 7 Bala Choose when to turn off the Aut display Change when the computer Higt sleeps Fave 4 Wahlen Sie sowohl f r Bildschirm ausschalten als auch f r Energiesparmodus nach die Option Nie aus und klicken Sie auf Anderungen speichern t BD Power Options Edit Plan Settings Change settings for the plan High performance Choose the sleep and display settings that you want your compu
393. s s amp Gia e a s s oe Se As o eo oe ee ew SD ER ee hee we ee ee ee ee ee E S ee ek ee Oe eek ee E ee BO faCtOrvdefaultS s dd s s r s ew ee wee ew Ee we ew we ee sa BOD ftptest USER INAME 2 a xx 2 0m 2 nn m nn e amp ow we ko we amp 2 w amp w 353 OLIEFESCAFE un a BE we ee ok eh ee e dr be A ss he ee ewe O Mebane ae ee ee NN A ae a heuristic_analysis 1 a a ee 354 Wera s m a as Rss as sas IT DSC 6 7 eR Skee eee eee eRe ek ee eee eee sea Oe Meco a ee BME eee eee eee Ree eee oe ee ee eee ee ee OO lowseveritystatus a ee ee 358 nslookup a 358 PASSW a e y e m sedas assess Ue DINO 4 4 ae ea ewe de e de e e de e e de Oe e e ss O QUES gt 3 LAIA sas ee ee OOD FEDODE SS a e ee dado a ee ss asas sa 3009 resetuiadminpasswd mn 359 resetusertimeout a e e ee 300 restart network Henn 360 route add delete network on 360 SAMPERE s a a ua Ba a AAA sas DEO set appliance dns A B C D E F G H WORD nn 361 set NUDO e a x amp 2 0 u me ee a e SEL set IntportaUt0O 2 r s e a w i we we Re oe we ee ee eo we A a hw we BEL set NUDO ID w r a e wim we Bw te wee ae Pe wee we ee ee ee we oe a BOOZ set intfport speed duplex Hm ee ee ee ee ee 362 set malware intfport 2 2 nme 3602 set mgmtport auto 2 u B 4 F we we ee a we ee we oe ee ee em hm 3063 set mgmtport speed and duplex nn nenn 363 Set Meer a e w Ewe hee
394. s 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 6 W hlen Sie im Fenster Select a Guest Operating System W hlen des Gast Betriebssystems die entsprechende Version Details New Virtual Machine Wizard Select a Guest Operating System Which operating system ral be metalled on the virtual mache Guest operating system Lira hovel Henare Solaris Weare ESE Other Version Schritt 7 Geben Sie die Informationen im Fenster Name the Virtual Machine Benennen des virtuellen Computers ein und klicken Sie anschlieBend auf Next Weiter e Virtual Machine name Name des virtuellen Computers Geben Sie virtualMachinelmage als Namen ein e Location Speicherort Navigieren Sie zu dem Ordner in dem die VDMK Datei erstellt werden soll und w hlen Sie ihn aus Mew Virtual Machine Wizard Name the Virtual Machine What name would you ike to use for this vrtuel machine Virtual machine name vi tualMachinelmage Location i B p Lo ara bis ia Mig er i i ai ee le The default location can be changed al Edit gt Preferences lt Back ext gt Cancel McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 107 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Details Schritt 8
395. s Benutzer mit Administratorrolle k nnen Sie die vorhandene Liste der McAfee Advanced Threat Defense Benutzer anzeigen Wenn Sie ber keine Administratorrolle verf gen k nnen Sie nur Ihren eigenen Datensatz sehen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Verwalten von McAfee Advanced Threat Defense Benutzern Vorgehensweise 1 W hlen Sie Verwalten Benutzerverwaltung Die aktuelle Liste der Benutzer wird angezeigt abh ngig von Ihrer Rolle User Hanagereent Name Login ID Default Analyzer Profile adminfN sdminLh admin Analyzer Profile 1 NSP User test nap nsp 470 adm n image uplosd user stdadmin Analyzer Profile 1 Micros Web Gateway mag Analyzer Profile 1 Abbildung 4 1 Angezeigte Benutzerliste Spaltenname Beschreibung Ausw hlen Dient zum Bearbeiten oder L schen des Benutzerdatensatzes Name Der vollst ndige Namen des Benutzers wie in den Benutzerdetails angegeben Anmelde ID Der Benutzername f r den Zugriff auf McAfee Advanced Threat Defense Default Analyzer Profile Das von McAfee Advanced Threat Defense verwendete Standard Analyseprofil Analyseprofil wenn ein Benutzer eine Probe zur Analyse sendet Es kann jedoch beim Einsenden der Probe vom Benutzer au er Kraft gesetzt werden 2 Blenden Sie die Spalten aus die Sie nicht sehen m chten a Bewegen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift und klicken Sie
396. s are obtained and applied Notify Me Before do _ Check for Updates Automatically Click the Update Now button below t appear in the system tray if an update over the icon to see the status of the 1 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 223 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 49 Wahlen Sie im Dialogfeld Java Update HS Warnung die Option Nicht berpr fen und klicken Sie You have chosen to stop automatically checking for A dann in der updates and will miss future security updates Java Systemsteuerung auf OK We strongly recommend keting Java periodically for rewer versions bo ere wou have e most secre and fastest leva experience 224 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 50 Deaktivieren Sie jusched und reader_sl 1 Drucken Sie gleichzeitig die Windows und die R Taste um das Dialogfeld Ausf hren zu ffnen Geben Sie im Windows Dialogfeld Ausf hren msconfig ein und klicken Sie auf OK a Type the name of a program folder document or Internet resource and Windows will open it for you Open msconfig u BY This task will be created with administrative privileges Cancel Browse 2 Navigieren Sie im Systemkonfigurationsprogramm zur Registerkarte Start General
397. sche Filterung ist DEAKTIVIERT Dies ist eine Funktion von McAfee Advanced Threat Defense Wenn sie aktiviert ist f hrt McAfee Advanced Threat Defense eine heuristische Analyse f r eine PDF Datei aus die vom Network Security Sensor gesendet wurde Das bedeutet dass sie die Struktur der PDF Datei auf sch dliche Inhalte wie einbettete Javaskripte EXE Dateien oder jegliche Umleitungen untersucht Nur wenn heuristische Unregelm igkeiten in der Datei vorliegen wird sie gem dem entsprechenden Analyseprofil f r eine Malware Analyse ber cksichtigt Wenn keine Unregelm igkeiten vorliegen wird die Datei als sauber behandelt Das bedeutet dass ihr eine Schweregrad von Null Information zugewiesen wird In Netzwerken in denen eine hohe Zahl von PDF Dateien gesendet wird kann mithilfe des heuristischen Filters durch das Herausfiltern von Dateien in denen keine verd chtigen Inhalte vorliegen die Belastung f r McAfee Advanced Threat Defense gesenkt werden Konfigurationseinstellung Re Analyze Erneut analysieren AKTIVIERT Standardm ig analysiert McAfee Advanced Threat Defense alle unterst tzten Dateien die von einem Sensor gesendet wurden selbst wenn sie bereits analysiert wurden Wenn Re Analyze Erneut analysieren DEAKTIVIERT ist berpr ft McAfee Advanced Threat Defense anhand des MD5 Hashwerts einer Datei ob f r sie bereits Analyseergebnisse vorliegen Wenn ja stellt sie dem Network Security Manager die
398. schulte Techniker sind autorisiert die Abdeckungen zu entfernen und Komponenten innerhalb des Systems freizulegen Gefahrensituationen Ger te und Kabel Elektrische Gefahrensituationen k nnen bei Strom Telefon und Kommunikationskabeln entstehen Schalten Sie die McAfee Advanced Threat Defense Appliance aus und trennen Sie alle Telekommunikationssysteme Netzwerke Modems und beide Netzkabel von der McAfee Advanced Threat Defense Appliance bevor sie ge ffnet wird Anderenfalls k nnen Verletzungen bei Personen oder Ger tesch den entstehen Vermeiden Sie Verletzungen Das Anheben der McAfee Advanced Threat Defense Appliance und die Rack Montage ist eine Aufgabe f r zwei Personen Dieses Ger t sollte geerdet werden Stellen Sie sicher dass der Host w hrend des Normalbetriebs geerdet ist Entfernen Sie nicht die Au enh lle der McAfee Advanced Threat Defense Appliance Ein solches Vorgehen f hrt zum Erl schen Ihrer Garantie Nehmen Sie das System nur in Betrieb wenn alle Karten Blenden sowie die vordere und r ckw rtige Abdeckung ordnungsgem angebracht sind Blenden und Abdeckplatten verhindern den Kontakt mit gef hrlichen Spannungen und Stromkreisen im Chassis d mmen elektromagentische Interferenzen ein die zu St rungen bei anderen Ger ten f hren k nnen und leiten einen k hlenden Luftstrom durch das Chassis Um elektrische Schl ge zu vermeiden verbinden Sie keine Schutzkleinspannungen SELV mit Stromkreisen
399. schutterung Trapezoid 25 g Trapezoid 25 g unverpackt Geschwindigkeits nderung 3 45 m Geschwindigkeits nderung basiert auf Sekunde 218 1 kg bis lt 36 3 kg Gewicht mit Verpackung Ersch tterung verpackt Nicht palettierter freier Fall aus einer H he von 0 7 Metern 218 1 kg bis lt 36 3 kg e Produktgewicht gt 18 1 bis lt 36 3 e Nicht palettierter freier Fall aus einer Hohe von 0 5 Metern e Palettiert Einzelprodukt Freifallhohe keine Angabe Vibration Unverpackt 5 Hz bis 500 Hz 2 20 g Unverpackt 5 Hz bis 500 Hz 2 20 g RMS regellos RMS regellos Verpackt 5 Hz bis 500 Hz 1 09 g RMS regellos ESD 12 kV auBer E A Port 8 kV laut Luftentladung 12 0 kV Informationen aus Intel Umwelttests Kontaktentladung 8 0 kV Kuhlbedarf des Systems in BTU Std e 460 Watt Max bis 1 570 BTU Std e 750 Watt Max bis 2 560 BTU Std e 460 Watt Max bis 1 570 BTU Std e 750 Watt Max bis 2 560 BTU Std Arbeitsspeicher 192 GB 256 GB McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Einrichten der McAfee Advanced Threat Defense Portnummern Tabelle 2 1 Portnummern Client Server Standardport Konfigurierbar Beschreibung Beliebig McAfee Advanced TCP 443 Nein Zugriff auf die McAfee Desktop Threat Defense HTTPS Advanced Threat Defense Web Anwendung Beliebig McAfee Advanced TCP 2
400. se Tabelle 7 7 Abschnitte des Ubersichtsberichts der Analyse Element Beschreibung 1 Dieser Abschnitt enth lt Details zur Probedatei Dazu geh ren Name Hash Werte und die Dateigr e in Byte 2 Abschnitt Analysis results Analyseergebnisse auf Seite 301 Dieser Abschnitt enth lt die Ergebnisse der auf die Datei angewendeten Methoden Au erdem wird der Schweregrad f r die Datei angegeben 3 Abschnitt Analysis Environment auf Seite 302 Dieser Abschnitt enth lt Details zu Analyse VM Eigenschaften der Datei usw 4 Processes analyzed in this sample In dieser Probe analysierte Prozesse In diesem Abschnitt werden alle Dateien aufgef hrt die bei der dynamischen Analyse der Probedatei ausgef hrt wurden Des Weiteren wird der Grund f r das Ausf hren jeder Datei angegeben zusammen mit deren Schweregrad In der Spalte Reason Grund wird aufgef hrt welche anderen Dateien oder Prozesse diese Datei erstellt oder ge ffnet haben Enth lt die Probe nur eine Datei wird als Grund oaded by MATD Analyzer geladen von MATD Analyzer angezeigt Wenn es sich bei der Probedatei um eine ZIP Datei mit mehreren Dateien handelt oder wenn eine Datei andere Dateien ffnet lautet der Grund f r die erste Datei created by lt file name gt amp loaded by MATD Analyzer erstellt von lt Dateiname gt und geladen von MATD Analyzer F r die folgenden Dateien werden in der Spalte Reason alle Dateien Prozesse angegeben die sie
401. se Meldungen nicht sehen k nnen l schen Sie den Browser Cache h Warten Sie bis die McAfee Advanced Threat Defense Appliance gestartet wurde Melden Sie sich bei der CLI an und berpr fen Sie die Softwareversion i berpr fen Sie die Version in der McAfee Advanced Threat Defense Web Anwendung j Melden Sie sich bei der Web Anwendung an und berpr fen Sie auf der Seite Systemprotokoll ob die vmcreator Task aufgerufen wurde Wenn Sie ein Upgrade auf McAfee Advanced Threat Defense 3 0 4 durchf hren werden alle D Analyse VMs automatisch neu erstellt Dieser Prozess nimmt je nach Anzahl der Analyse VMs etwas Zeit in Anspruch k Stellen Sie sicher dass die Daten und Konfigurationen Ihrer fr heren Version bernommen wurden Die aktualisierte Softwareversion ist jetzt auf der aktiven Festplatte der McAfee Advanced Threat Defense Appliance gespeichert Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 36 auf 3 2 0 xx Bevor Sie beginnen e Sie k nnen ein Upgrade direkt auf 3 2 0 nur durchf hren wenn McAfee Advanced Threat Defense aktuell die Version 3 0 2 36 hat Bei allen anderen 3 0 2 xx Versionen m ssen Sie bevor Sie sie auf 3 2 0 xx aktualisieren k nnen zun chst ein Upgrade auf 3 0 4 56 durchf hren e Vergewissern Sie sich dass die McAfee Advanced Threat Defense Software der Version 3 2 0 xx die Sie verwenden m chten extrahiert ist und Sie vom Client Computer aus Zugriff darauf haben Das Upgrade
402. se an Wenn McAfee Advanced Threat Defense mehr Zeit zur Analyse benotigt lasst der Sensor den Datei Download zu Wenn McAfee Advanced Threat Defense Malware erkennt nachdem die Datei heruntergeladen wurde wird eine Information anNetwork Security Platform gesendet Sie k nnen den Sensor verwenden um den Host zu isolieren bis er ges ubert und das Problem behoben wurde Sie k nnen den Manager so konfigurieren dass alle Sensoren fur diese b sartige Datei aktualisiert werden Dadurch blockieren Ihre Sensoren diese Datei m glicherweise wieder wenn sie an einer anderen Stelle in Ihrem Netzwerk erneut heruntergeladen wird Informationen zur Integration von Network Security Platform in McAfee Advanced Threat Defense finden Sie im Network Security Platform Integrationshandbuch Internet McAfee GTI An frage wird Datei Download weitergeleitet l uft Sensor Dateikopie zur Analyse Fi i j L er lj l i i i i Analyseergebnisse Advanced Threat 1 gi Defense Anfrage f r Datei Download Download sicherer Dateien Aa pa pa F 8 A 2 pA pa Endpunkte Abbildung 1 3 Integration in Network Security Platform und McAfee ePO McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 15 16 Malware Erkennung und McAfee Advanced Threat Defense Die McAfee Advanced Threat Defense L sung Integration in McAfee Web Gateway Sie k nnen McAfee Advanced Threat Defense als zus tzliches Modul f r den Malware
403. sf hrliche Beschreibung des VM Profils an 238 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Verwalten von VM Profilen Tabelle 5 4 Optionsbeschreibungen Fortsetzung Optionsname Default Profile Standardprofil Beschreibung Beim ersten Mal m ssen Sie das VM Profil ausw hlen um es als Standard festzulegen Danach k nnen Sie es auswahlen oder ignorieren McAfee Advanced Threat Defense verwendet diese VM f r die dynamische Analyse wenn f r eine Datei die Zielhostumgebung oder die ben tigte Analyse VM nicht verf gbar ist Maximum Licenses Maximale Lizenzen Geben Sie die Anzahl der Benutzerlizenzen an ber die Sie verf gen Sie m ssen auch das Betriebssystem und die Anwendungen in der Image Datei ber cksichtigen Beachten Sie dass die Image Datei f r einen Windows 7 Computer ist auf dem Microsoft Office installiert ist Angenommen Sie verf gen ber drei gleichzeitige Lizenzen fur Windows 7 und zwei f r Microsoft Office In diesem Fall m ssen Sie 2 als Anzahl der maximalen Lizenzen eingeben Dies ist einer der Faktoren die die Anzahl der gleichzeitigen Analyse VMs bestimmen die McAfee Advanced Threat Defense von der Image Datei erstellt Auf einer ATD 3000 werden maximal 30 Analyse VMs und auf einer ATD 6000 maximal 60 Analyse VMs unterst tzt Das bedeutet dass der kumulative Wert der Maximum Licenses f r alle VM Profile einschlie lich der Stand
404. sodass Schl sselinformationen extrahiert werden k nnen Network Security Platform und McAfee Web Gateway zeigen die Berichtsdetails mittels JSON Formaten in ihren Benutzeroberfl chen an Ab einem Schweregrad der Probe von 3 ist der bersichtsbericht der Analyse in den Formaten OpenIOC ioc und STIX stix xml verf gbar Die OpenIOC und STIX Formate sind allgemein anerkannte Formate f r die Freigabe von Bedrohungsinformationen Diese Formate machen es m glich bersichtsberichte der Analyse f r andere Sicherheitsanwendungen effizient freizugeben um Malware besser verstehen erkennen und eind mmen zu k nnen Sie k nnen die OpenIOC und STIX Berichte beispielsweise manuell an eine Anwendung senden die Hosts nach Indikatoren im Bericht abfragen kann Auf diese Weise k nnen Sie die infizierten Hosts erkennen und dann die erforderlichen Ma nahmen zur Eind mmung und Entfernung der Malware ergreifen Generische Informationen zu OpenIOC erhalten Sie unter http www openioc org Informationen zu STIX erhalten Sie unter https stix mitre org Der bersichtsbericht der Analyse in den OpenIOC und STIX Formaten ist in der ZIP Datei Complete Results Vollst ndige Ergebnisse f r die Probe verf gbar Vorgehensweise 1 F hren Sie folgende Schritte aus um den bersichtsbericht der Analyse in der McAfee Advanced Threat Defense Web Anwendung anzuzeigen a W hlen Sie Analyse Analysis Results Analyseergebnisse aus b Um den Beric
405. sole 345 SSH 346 McAfee Advanced Threat Defense 3 4 2 D Dashboard 312 Datenbank Sichern und Wiederherstellen 61 Datum und Uhrzeit 267 274 277 278 Diagnosedateien 59 Disk A 347 Disk B 347 Dokumentation Produktspezifisch suchen 10 Typografische Konventionen und Symbole 9 Zielgruppe dieses Handbuchs 9 dynamische Analyse 243 ePO Server Integration 256 ePO Server Konfiguration 258 260 Exportieren von Protokollen 59 F Fehlerbehebung 58 G Gateway Anti Malware Engine 243 H Handbuch Informationen 9 Hochladen von Dateien manuell 280 SFTP 286 Web Anwendung 280 Hochladen von Proben manuell 280 SFTP 286 Web Anwendung 280 Hochladen von URLs interaktiver Benutzermodus 281 manuell 288 Web Anwendung 288 I interaktiver Benutzermodus 281 Produkthandbuch 375 Index Internet Proxy Server 261 263 Internetzugriff 248 J JSON 297 K Konfiguration der Malware Analyse Grundlegende Schritte 247 Uberblick 243 Konfiguration von DNS Einstellungen 264 267 Konventionen und Symbole in diesem Handbuch 9 L lokale Blacklist 243 lokale Whitelist 243 M Malware Analyse 279 Prozessablauf 248 279 287 McAfee Advanced Threat Defense Benutzerverwaltung 37 261 Bereitstellungsoptionen 14 Beschreibung der L sung 12 Dashboard 312 Festplatten 347 Leistungsmonitore 317 Leistungs berwachung 44 Sichern und Wiederherstellen 61 Software Import 45 51 53 Upgrade 45 51 53 Vorteile 17 Zugreifen auf die Web An
406. spiel ausfuhren werden die folgenden Einstellungen angewendet 1 Die Mindestdateigr e wird auf den Standardwert von 2 048 Byte festgelegt 2 Durch das Deaktivieren der heuristischen Analyse wird Re Analyze Erneut analysieren auf AKTIVIERT gesetzt sodass McAfee Advanced Threat Defense alle unterst tzten Dateien die von Sensoren gesendet wurden unabh ngig davon berpr ft ob fur diese Datei bereits Ergebnisse vorliegen oder nicht 3 Durch das Deaktivieren der heuristischen Analyse wird der heuristische Filter ebenfalls DEAKTIVIERT Daher werden PDF Dateien von McAfee Advanced Threat Defense nicht auf heuristische Unregelm igkeiten untersucht Die PDF Dateien werden gem dem entsprechenden Analyseprofil statisch und dynamisch analysiert install msu Mit diesem Befehl wird eine dieser beiden MSU Dateien installiert e amas 3 X X X X MSU e system 3 X X X X MSU Syntax install msu Parameter Beschreibung lt SWNAME gt Der Name der MSU Datei die der Benutzer installieren m chte Er lautet entweder amas 3 x X X x msu oder system 3 Xx x x x msu lt RESET DB gt Von diesem Parameter werden nur zwei Werte 0 1 akzeptiert 0 gibt an dass bei Installation der MSU Datei die Datenbank nicht zur ckgesetzt wird 1 gibt an dass bei Installation der MSU Datei die Datenbank zur ckgesetzt wird Beispiel install msu amas 3 3 0 25 42303 msu 1 Ibstats Zeigt die Statistik f r den prim ren Knoten den
407. ss Um beispielsweise die Datei im Stammverzeichnis zu speichern geben Sie Folgendes ein Benutzername Der Benutzername den Advanced Threat Defense verwenden soll um auf den FTP Server zuzugreifen Stellen Sie sicher dass dieser Benutzername Schreibzugriff auf den angegebenen Ordner hat Kennwort Das entsprechende Kennwort Testen Klicken Sie auf diese Option um sicherzustellen dass Advanced Threat Defense mithilfe des ausgew hlten Protokolls und der Benutzeranmeldedaten auf den angegebenen FTP Server zugreifen kann Sie k nnen eine Sicherung nur erfolgreich planen wenn die Testverbindung funktioniert Senden Klicken Sie auf diese Option um die Sicherung zu planen 64 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Sichern und Wiederherstellen der Advanced Threat Defense Datenbank 3 Zur Anzeige der Protokolle in Zusammenhang mit der Sicherung w hlen Sie Verwalten Systemprotokoll aus So k nnen Details wie der Zeitstempel mit Startzeit und Endzeit angezeigt werden System Log 2014 06 06 09 10 02 Backup starts 2014 06 06 09 10 04 Backup done Abbildung 4 10 Protokolle in Zusammenhang mit der Sicherung Die Sicherung wird in einer kennwortgesch tzten ZIP Datei im angegebenen Verzeichnis auf dem FTP Server gespeichert Versuchen Sie nicht die Datei zu entpacken oder zu manipulieren Wenn die Datei besch digt wird k nnen Sie die Daten
408. ss die Sensor Kapazitat fur den gleichzeitigen Datei Scan bei aktivierter Option Save File reduziert ist Weitere Details finden Sie im aktuellen Network Security PlatformIPS Administration Guide McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 311 Analysieren von Malware Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Download der Originalprobe Mithilfe von McAfee Advanced Threat Defense k nnen Benutzer die gesendeten Originaldateien herunterladen Alle gesendeten Proben sind in einer ZIP Datei enthalten die Sie wie folgt herunterladen k nnen Vorgehensweise 1 2 3 Wahlen Sie Verwalten Benutzerverwaltung Wahlen Sie auf der Seite Benutzerverwaltung Ihr Benutzerprofil aus Aktivieren Sie die Option Sample Download Download von Proben Wahlen Sie Analysis Results Analyseergebnisse aus klicken Sie auf das Symbol Berichte und wahlen Sie dann Original Sample Originalprobe aus Speichern Sie die komprimierte Datei atd_sample zip auf Ihrem lokalen Computer Extrahieren Sie den Inhalt von atd_sample zip unter Verwendung des Kennwortes infected Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Wenn Sie uber einen Client Browser auf McAfee Advanced Threat Defense zugreifen wird das McAfee Advanced Threat Defense Dashboard angezeigt Sie k nnen die folgenden Monitore im McAfee Advanced Threat Defense Dashboard anzeigen 312 VM Creation Status Zeigt den Status f r Analyse VMs an die er
409. ss die von Ihnen im prim ren Knoten definierten YARA Regeln nicht automatisch an die sekund ren Knoten gesendet werden e Die Anzahl der Regeln die Sie f r Ihre benutzerdefinierte YARA Regeldatei festlegen k nnen ist unbegrenzt Ebenfalls gibt es keine Einschr nkung hinsichtlich der Dateigr e Die Anzahl der Regeln und ihre Komplexit t kann sich jedoch auf die Leistung von McAfee Advanced Threat Defense auswirken Erstellen der benutzerdefinierten YARA Regeldatei Bevor Sie beginnen e Sie sind mit allen Funktionen von YARA vertraut die McAfee Advanced Threat Defense derzeit unterst tzt e Sie haben das User API Protokoll der Probe identifiziert die Sie als Referenz f r die Erstellung Ihrer YARA Regeln verwenden m chten McAfee Advanced Threat Defense wendet die benutzerdefinierten YARA Regeln auf das User API Protokoll einer analysierten Probe an Um benutzerdefinierte YARA Regeln zu erstellen die ein bestimmtes Verhalten erfassen k nnen Sie das User API Protokoll einer Probe verwenden die dasselbe Verhalten verursacht hat Sie k nnen YARA Regeln verwenden um Laufzeit DLLs Dateivorg nge Registrierungsvorg nge Prozessvorg nge und andere im bersichtsbericht der Analyse gemeldeten Vorg nge f r eine Probe zu erfassen Um beispielsweise eine bestimmte Laufzeit DLL zu erfassen pr fen Sie das User API Protokoll einer Probe und schreiben Sie eine YARA Regel f r diese DLL Vorgehensweise 1 Erstellen Sie
410. stellen des McAfee Advanced Threat Defense Clusters Bevor Sie beginnen e Sie haben den Abschnitt Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte auf Seite 331 gelesen e Sie besitzen Administratorrechte f r die Web Anwendung des prim ren Knotens e Die prim ren und sekund ren Knoten sind nicht Teil eines Clusters e Die Softwareversion aktive Version aller Knoten die Sie verwenden m chten stimmt exakt berein Vorgehensweise 1 Identifizieren Sie eine Advanced Threat Defense Appliance als primaren Knoten und melden Sie sich bei dieser Web Anwendung an Verwenden Sie den Namen eines Benutzers mit Administratorrechten 2 W hlen Sie Manage Verwalten Load Balancing Lastenausgleich Die Seite Load Balancing Cluster Setting Einstellungen fur Lastenausgleichscluster wird angezeigt 3 Geben Sie im Feld Node IP address Knoten IP Adresse die Verwaltungsport IP Adresse des prim ren Knotens ein und w hlen Sie Primary Prim r aus der Dropdown Liste aus Klicken Sie auf Add Node Knoten hinzuf gen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Konfigurieren eines Advanced Threat Defense Clusters Grundlegende Schritte 4 Best tigen Sie dass Sie das Cluster erstellen m chten Advanced Threat Defense legt sich selbst als prim ren Knoten f r das Cluster fest 5 Geben Sie im Feld Node IP address Knoten I
411. stellt ist Insgesamt erhaltene Pakete Insgesamt gesendete Pakete Insgesamt erhaltene CRC Fehler Insgesamt erhaltene andere Fehler Insgesamt gesendete CRC Fehler Insgesamt gesendete andere Fehler IP Adresse des Ports MAC Adresse des Ports Angabe ob der Port verwendet wird um Analyse VMs den Zugriff auf das Internet zu erlauben Bei Konfiguration mit Bereitstellung von Internetzugriff fur Analyse VMs entsprechendes Gateway fur diesen Datenverkehr show msu Mit diesem Befehl werden alle Uber SFTP auf Advanced Threat Defense kopierten MSU Dateien angezeigt Syntax show msu show nsp scandetails Dieser Befehl zeigt die Dateiscan Details zu den integrierten IPS Sensoren an Syntax show nsp scandetails lt Sensor IP Adresse gt Wenn Sie keine IP Adresse f r den Sensor angeben werden die Details f r alle in der McAfee Advanced Threat Defense Appliance integrierten Sensoren angezeigt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 369 370 CLI Befehle fur McAfee Advanced Threat Defense Liste der CLI Befehle Zu den mittels show nsp scandetails Befehl angezeigten Informationen zahlen IP Adresse des IPS Sensors Gesamtanzahl der vom Sensor empfangenen Pakete Gesamtanzahl der an den Sensor gesendeten Pakete Zeitstempel des letzen an den Sensor gesendeten und von ihm empfangenen Pakets Zur Kommunikation mit dem Sensor benutzte Verschl sselungsmethode Null Anzahl bei Sitzungshandles Anzahl der internen Fehler
412. stellt werden File Counters Zeigt einen Status von analysierten Dateien an Top 5 URLs Analyzed by GTI Listet f nf der schadlichsten URLs auf die durch die GTI analysiert werden Top 5 URLs Listet f nf der schadlichsten URLs auf die analysiert werden Profile Usage F hrt die Anzahl der unter verschiedenen Analyseprofilen analysierten Dateien auf Files Analyzed by Engine Stellt den Schweregrad und die Anzahl der von der GAM der GTI und dem Sandkasten analysierten Dateien bereit Top 10 File Types by Volume Stellt eine Ansicht der zehn h ufigsten Dateien von unterschiedlichen Typen bereit die analysiert werden Top 5 Recent Malware by Filename Listet die f nf gef hrlichsten Malware Dateien in Ihrem Netzwerk auf geordnet nach Dateinamen Top 10 Malware by Threat Name Listet die zehn gef hrlichsten Malware Dateien in Ihrem Netzwerk auf geordnet nach Bedrohungsnamen System Health Gibt Details zum Systemzustand der McAfee Advanced Threat Defense Appliance an System Information Gibt die Versionsnummern f r die Softwarekomponenten der McAfee Advanced Threat Defense Appliance an McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Vorgehensweise 1 Klicken Sie auf Dashboard um die Monitore anzuzeigen 2 Legen Sie die Kriterien f r die auf den Monitoren angezeigten Daten fest a Legen Sie den Zeitraum f r die auf den
413. stufe um Makros f r Sicherheit und dann Niedrig und klicken Sie auf OK Office Anwendungen auszufuhren Micros Security r E Security Level Trusted Sources a g A 100 High ely signed macros From busted sources eal be allowed T bo run Unsigned macros are automaticaly disabled EE CF C Medium You can choose whether or mot bo run potentially Dag unzafe Macros Low not recommended Tou ans rot probscbsd From pobertialy unsafe macros Lise this setting onb F pou hawe wirus scarring Software installed or you Se gure a e Setzen Sie genauso die Makrosicherheit f r Microsoft Excel und PowerPoint herab 128 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 2003 Server Schritt Schritt 54 Sie ben tigen das Compatibility Pack um Microsoft Office Dateien ffnen zu k nnen die mit einer neueren Version von Microsoft Office erstellt wurden Beispiel Zum Offnen einer DOCX Datei mit Office 2003 muss das entsprechende Compatibility Pack installiert sein Rufen Sie http www microsoft com en us download details aspx id 3 auf und laden Sie das erforderliche Microsoft Office Compatibility Pack f r Word Excel und PowerPoint Dateiformate herunter Installieren Sie es anschlie end auf dem virt
414. t Melden Sie sich nach dem Hochladen der Datei als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung an und w hlen Sie Verwalten Software Verwaltung Wahlen Sie unter System Software Systemsoftware die Datei system 3 2 0 x msu aus Stellen Sie f r den Fall von Upgrades sicher dass Datenbank zur cksetzen nicht ausgew hlt ist und klicken Sie auf Installieren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 49 4 Verwalten von Advanced Threat Defense Upgrade von McAfee Advanced Threat Defense und Android VM f Eine Bestatigungsmeldung wird angezeigt Klicken Sie auf OK Status Had st be upload 3 al System Software file was validated successfully Installation will start shortly 104 msu Die Systemsoftware wird installiert und der Status wird im Browser angezeigt Login ID Password Status L j Installation is in progress Please wait D Die Installation der Systemsoftware dauert mindestens 20 Minuten g Nachdem die Software installiert wurde startet die McAfee Advanced Threat Defense Appliance neu Eine entsprechende Meldung wird angezeigt Die Appliance startet eigenst ndig neu Die angezeigte Meldung dient nur zu Ihrer Information Status j J The system is going down for reboot now D Wenn Sie diese Meldungen nicht sehen k nnen l schen Sie den Browser Cache h Warten Sie bis die McAfee Advanced Threat Defense Appliance gestartet wurde
415. t ndigen Ergebnisse als ZIP Datei 310 Download der Originalprobe E E E E Arbeiten mit dem McAfee Advanced Threat Berenice Bachan ten ee ee ee ee a a Malware Analysemonitore 2 a a ee ee ee ee ee BIB Monitor VM Creation Status a nn nn nenn 317 McAfee Advanced Threat Defense Leistungsmonitore nn 317 8 Clustering von McAfee Advanced Threat Defense Appliances 321 Erl uterungen zum McAfee Advanced Threat Defense Cluster 321 Voraussetzungen und Anmerkungen Le e es ke ee A a a Netzwerkverbindungen fur ein Advanced Threat Defense Gaser TA E Funktionsweise des Advanced Threat Defense Clusters 0 0 6 4 w we 325 Prozessablauf f r Network Security Platform nn nn ee 329 Prozessablauf f r McAfee Web Gateway ama as e asas y oO Konfigurieren eines Advanced Threat Defense Clusters rundes Schritte cee ee oe a we E Erstellen des McAfee Advanced Threat Defense Clusters 332 berwachen des Status eines Advanced Threat Defense Clusters 337 Einsenden von Proben an ein Advanced Threat Defense Cluster 341 berwachen des Analysestatus f r ein Advanced Threat Defense Cluster 341 berwachen von Analyseergebnissen f r ein Advanced Threat Defense Cluster 342 ndern der Konfigurationen f r einMcAfee Advanced Threat Defense Cluster 343 9 CLI B
416. t tzt Bei komprimierten Dateien und APK Dateien betr gt die maximal unterst tzte Dateigr e 25 MB Bei Verwendung von Network Security Platform werden Dateien mit einer Gr e von bis zu 25 MB unterst tzt McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 279 280 Analysieren von Malware Analysieren von Dateien e Bei Dateinamen von Proben unterst tzt McAfee Advanced Threat Defense Unicode Dateinamen k nnen also Zeichen enthalten die nicht zum englischen Zeichensatz geh ren sowie einige Sonderzeichen au er lt gt amp e Die L nge des Dateinamens kann bis zu 200 Byte umfassen Tabelle 7 1 Unterst tzte Dateitypen Dateitypen Statische Analyse Dynamische Analyse Portierbare ausfuhrbare exe dll scr OCX SyS com drv cpl 32 Bit Dateien PE Dateien exe dll Scr OCX SyS com drv maximal unterst tzte Dateigr e 25 MB Microsoft doc docx xls xlsx ppt pptx rtf doc docx xls xlSx ppt pptx r Office Suite Dokumente Adobe PDF Dateien Adobe Flash Dateien SWF PDF Dateien Adobe Flash Dateien Komprimierte Dateien zip rar zip Android Anwendungspakete apk apk Java Java Archive JAR CLASS Java Archive JAR CLASS Bilddateien JPEG PNG GIF Nicht unterst tzt Hochladen von Dateien zur Analyse mittels McAfee Advanced Threat Defense Web Anwendung Bevor Sie beginnen Das
417. t 27 Doppelklicken Sie im Assistenten fur Windows Komponenten auf Internetinformationsdienste IIS Details Windows Components Wizard Internet Information Services 115 To add of remove a component click the check bos A shaded bow means that only part ol the component val be naled To ses whai included in a component cick Detak Subcomporents of Intemet naman Senses IS O A Documentation Fis Transler Protocol FTP Senos O FrontPage 2000 Server Extensions O Y Internet intonation Services Snageln O ee SHTP Seriot O 8 World Wide eb Serene Desoption Inelal Required 115 pogan files Total disk space eged 56 5 HA pace malabis on dick 23715 WE Schritt 28 Fuhren Sie im Popupfenster Internetinformationsdienste IIS die folgenden Schritte aus 1 Wahlen Sie FTP Dienst File Transfer Protocol 2 Wahlen Sie Gemeinsame Dateien 3 Wahlen Sie Internetinformationsdienste Snap In klicken Sie auf OK und anschlieBend auf Weiter Windows Components Wizard Internet Information Services IE To add o ma a component clack the check bow chsded bos reae that ony pmi inf the component vall bs nelelled To res what s included ins component chk Daak Subcomponends of imame Infomation Senes 151 10MB A 25 MB O gt FrontPage 2000 Seras Extensi n 43MB E Interne Inicios Sera Snap ln 1 3MB Toma SMTP Sec 1 1 MB T US a Saa 23m Derzip o Fire supper lo dese FTP pier wed bo upload and derer lec Tot
418. t Defense 3 4 2 Produkthandbuch 271 272 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung YARA Regeln die Erkennungsfunktionen von McAfee Advanced Threat Defense ganz nach Ihren Wunschen anzupassen Sie k nnen beispielsweise YARA Regeln verwenden wenn bestimmte Registrierungsvorg nge nicht mit dem von McAfee Advanced Threat Defense zugewiesenen standardm igen Schweregrad sondern mit einem ganz bestimmten Schweregrad gemeldet werden sollen Sie k nnen YARA Regeln auch schreiben um Zero Day und Near Zero Day Malware zu erfassen Sie haben die M glichkeit Ihre eigenen YARA Regeln zu schreiben oder die YARA Regeln von Dritten zu verwenden In diesem Abschnitt bezieht sich das Wort Probe sowohl auf Dateien als auch auf URLs die zur Malware Analyse an McAfee Advanced Threat Defense gesendet wurden Ihre benutzerdefinierten YARA Regeln k nnen Sie in einer Textdatei speichern Sie k nnen diese Datei so benennen dass Sie Anderungen an Ihrem YARA Regelsatz verfolgen k nnen Der Import dieser Textdatei in McAfee Advanced Threat Defense erfolgt uber die Benutzeroberflache der Web Anwendung Die Regeln werden intern in einer Datei mit dem Namen custom yara gespeichert Sofern Sie alle Analyseoptionen fur benutzerdefinierte YARA Regeln aktiviert haben verarbeitet McAfee Advanced Threat Defense die Probedateien und URLs in der folgenden
419. t einem Zeitstempel speichern m chten w hlen SieUser Login Logout Benutzeranmeldung abmeldung aus Syslog Setting Off box system log Enabled IP Address Port 514 Transport TCP ES Test Logging Features Analysis Results Severity Level Fl User Login Logout Malicious Medium to Very High All Submit McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 265 6 Konfigurieren von McAfee Advanced Threat Defense f r die Malware Analyse Konfigurieren der Syslog Einstellung 5 Klicken Sie auf Senden Die Meldung Off box syslog setting was submitted successfully Senden der Off Box Syslog Einstellung erfolgreich wird angezeigt Off box system log T En m cu m LA fs IP Address De eae o Port 14 Transport TCP Test Logging Features Analysis Results Severity Level All bal User Login Logout Submit Success Off box syslog setting was submitted successfully OK Beispiel fur Analyseprotokollereignisse das in ESM angezeigt wird lt Lez gt Aug 19 22749703 ATD 3000 ATDZESM 4273 Summery 1 Event Type TAID File Report MISversi on 3 2 2 2 40823 SUMversion 3 2 2 2 40633 OSVersLon win Spl tielda S4ta 00ca 55755213 d5e2 Jalo 38000 3daadd67tt89 Barent MDS Not Available ATD IP 7710 213 2483 712 Waskia 50128 JobLd 50127 ISONvVersion 1 001 071Ls hasbynem can alysis Crue Sub ecu Names y Upx200
420. t herab Schritt 40 Sie ben tigen das Compatibility Pack um Microsoft Office Dateien ffnen zu k nnen die mit einer neueren Version von Microsoft Office erstellt wurden Beispiel Zum Offnen einer DOCX Datei mit Office 2003 muss das entsprechende Compatibility Pack installiert sein Rufen Sie http www microsoft com en us download details aspx id 3 auf und laden Sie das erforderliche Microsoft Office Compatibility Pack f r Word Excel und PowerPoint Dateiformate herunter Installieren Sie es anschlie end auf dem virtuellen Computer Installieren Sie das Compatibility Pack nach dem Herunterladen auf dem virtuellen Computer Installieren Sie zum ffnen der Dateien die von einer neueren Version von Microsoft Office Anwendungen erstellt wurden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 155 156 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 41 Aktivieren Sie im Dialogfeld Compatibility Pack fiir 2007 Office System die Option Klicken Sie hier um den Microsoft Software Lizenzbedingungen zuzustimmen und klicken Sie auf Weiter You mua accept thee Microsoft Sofware License Terns in onde MICROSOFT SOFTWARE LICENSE TERRA RC ROSOFT OFFICE COMPATIBILITY PACE POE AOR EXCE These hcense terms are an agreement between Microsoft Cor Pieace read hemi They apply bo the pofteere named above v ake apply to
421. t mindestens 20 Minuten 7 Nachdem die Software installiert wurde startet die McAfee Advanced Threat Defense Appliance neu Eine entsprechende Meldung wird angezeigt Die Appliance startet eigenst ndig neu Die angezeigte Meldung dient nur zu Ihrer Information Status E j The system is going down for reboot now D Wenn Sie diese Meldungen nicht sehen k nnen l schen Sie den Browser Cache 8 Warten Sie bis die McAfee Advanced Threat Defense Appliance gestartet wurde Melden Sie sich bei der CLI an und berpr fen Sie die Softwareversion 9 berpr fen Sie die Version in der McAfee Advanced Threat Defense Web Anwendung 54 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM 10 Melden Sie sich bei der Web Anwendung an und berpr fen Sie auf der Seite Systemprotokoll ob die vmcreator Task aufgerufen wurde Wenn Sie ein Upgrade auf McAfee Advanced Threat Defense 3 2 2 durchf hren werden alle Analyse VMs automatisch neu erstellt Dieser Prozess nimmt je nach Anzahl der Analyse VMs etwas Zeit in Anspruch 11 Stellen Sie sicher dass die Daten und Konfigurationen Ihrer fr heren Version bernommen wurden Die aktualisierte Softwareversion ist jetzt auf der aktiven Festplatte der McAfee Advanced Threat Defense Appliance gespeichert Upgrade der Android Analyse VM Bevor Sie beginnen e Stellen Sie sicher dass
422. t nur wenn die Appliance von der Sicherungsfestplatte gestartet wurde reboot backup Der Befehl startet die Appliance neu mit der Softwareversion auf der Sicherungsfestplatte reboot active Der Befehl startet die Appliance neu mit der Softwareversion auf der aktiven Festplatte Liste der CLI Befehle 348 In diesem Abschnitt sind die CLI Befehle fur McAfee Advanced Threat Defense in alphabetischer Reihenfolge aufgef hrt amas Verwenden Sie diesen Befehl um amas Dienste zu starten anzuhalten und erneut zu starten Syntax amas lt word gt Parameter Beschreibung lt WORD gt Dies ist der amas Dienst den Sie anhalten m chten Beispiel amas start stop restart atdcounter Zeigt den modulspezifischen Zahler an z B durch GTI MAV GAM amas usw gesendete und verarbeitete Dateien Syntax atdcounter Dieser Befehl hat keine Parameter backup reports Mit diesem Befehl wird eine Sicherung der McAfee Advanced Threat Defense Berichte auf einem externen FTP SFTP Server erstellt der f r einen Benutzer unter den Schnittstellenports der FTP Ergebnisausgabe Einstellungen konfiguriert ist McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Liste der CLI Befehle Syntax backup reports Dieser Befehl hat keine Parameter backup reports date Mit diesem Befehl wird eine Sicherung der McAfee Advanced Threat Defense Berichte
423. t the Office XP applications you would like installed 7 Memet Word Birs Chu Berk u Feia spplcabons vath the pra op ore Chocoe detailed installation opone for each ankam Coach igured onc IE Space Aralable on E 557 MG ee De Schritt 39 Senken Sie die e ffnen Sie Microsoft Word 2003 und w hlen Sie Extras Makro Sicherheitsstufe um Makros f r Sicherheit und dann Niedrig und klicken Sie auf OK Office Anwendungen auszufuhren High Only signed macros from trusted sources wil be allowed ze to run Unsigned macros are suinmascaly de abled E edium You can choose whether ar not bo run pobervtially po unsafe Macros Low not recommended You are not protected from potertaly unsafe macros Use this setting only if you have parus scanning sofware nstaled or you are sure all Mo virus scanner installed e Setzen Sie genauso die Makrosicherheit f r Microsoft Excel und PowerPoint herab McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 40 Sie ben tigen das Compatibility Pack um Microsoft Office Dateien ffnen zu k nnen die mit einer neueren Version von Microsoft Office erstellt wurden Beispiel Zum Offnen einer DOCX Datei mit Office 2003 muss das entsprechende Compatibility Pack installiert sein Rufen Sie http www microsoft com en us download details
424. tei bertragung und den Berichtsabruf verwenden Sie k nnen jedoch keinerlei synchronisierten Konfigurationen ndern e Zur Analyse gesendete Dateien und URLs werden zwecks Lastenausgleich verteilt Web Anwendung des prim ren Knotens Integrierte McAfee Y Produkte Prim re McAfee ATD Sicherungs McAfee ATD e i e j e j Sekund re McAfee ATD Sekund re McAfee ATD McAfee ATD Cluster Abbildung 8 2 Advanced Threat Defense Appliances in einem Cluster 326 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Clustering von McAfee Advanced Threat Defense Appliances 8 Funktionsweise des Advanced Threat Defense Clusters Positionszahl Legende Beschreibung 1 Sie greifen auf die Web Anwendung des prim ren Knotens zu um die synchronisierten Konfigurationen zu ndern 2 Wenn Sie die Konfigurations nderungen speichern bertr gt der prim re Knoten die aktuelle Konfiguration mithilfe von Push an alle sekund ren Knoten Alle Knoten verf gen demnach ber dieselbe synchronisierte Konfiguration In Version 3 4 2 kann der Benutzer auf die Cluster IP Schnittstelle zugreifen um Konfigurations nderungen vorzunehmen Die Cluster IP Schnittstelle entspricht immer der Schnittstelle des aktiven Knotens 3 Die Datei bertragung zum Cluster erfolgt auf folgenden Wegen e Sie senden die Dateien mithilfe der Web Anwendung des prim ren Knotens zur Analyse e D
425. tei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Schritt Schritt 36 Klicken Sie in VMware Workstation mit der rechten Maustaste auf die VM in diesem Beispiel virtualMachinelmage Wahlen Sie dann Settings Einstellungen aus Details a Type h r L search val My Computer 5E 4 Shared VMs Close Tab Mark as Favorite Rename Remove Power gt J Removable Devices b Pause co Send Ctri Alt Del Grab Input Snapshot Capture Screen Manage Reinstall VMware Tools ul Settings Schritt 37 Wahlen Sie im Fenster Einstellungen des virtuellen Computers den Eintrag CD DVD IDE aus Virtual Machine Settings Hardware Options Device Summary A Memory 1GB J Processors 1 ead Hard Disk IDE 5 GB Preallocated y CD DVD IDE Auto detect f lNetwork Adapter NAT USB Controller Present PN Sound Card Auto detect i Printer Present ll Display Auto detect 122 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 2003 Server Schritt Schritt 38 Navigieren Sie im Feld Use ISO image file ISO Image Datei verwenden zum ISO Image das Sie verwendet haben und klicke
426. telle CLI verf gt ber eine Auto Vervollst ndigungsfunktion Dr cken Sie zur Auto Vervollst ndigung eines Befehls die Tab Taste nachdem Sie einige Zeichen eines g ltigen Befehls eingegeben haben und anschlie end die Enter Taste Beispiel Wenn Sie pas tippen und die Tab Taste dr cken wurde CLI die Eingabe automatisch mit dem Befehl passwd vervollst ndigen Gibt es f r den teilweise eingegebenen Text mehrere Optionen zeigt CLI alle verf gbaren und passenden Befehle an CLI Syntax Geben Sie bei Eingabeaufforderung Befehle wie folgt ein lt command gt lt value gt e Obligatorische Werte stehen in spitzen Klammern lt gt e Optionale Schl sselw rter oder Werte stehen in eckigen Klammern e Optionen werden durch eine Linie getrennt angezeigt e Variablen werden kursiv dargestellt Geben Sie die Symbole lt gt oder nicht ein 346 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense 9 Anmelden ber die Befehlszeilenschnittstelle CLI Obligatorische Befehle Bestimmte Befehle m ssen in der McAfee Advanced Threat Defense Appliance ausgef hrt werden bevor sie voll funktionsf hig ist Die brigen Befehle in diesem Kapitel sind optional und haben Standardwerte als Parameter sofern sie nicht mit anderen spezifischen Parameterwerten ausgef hrt werden Dies sind die erforderlichen Befehle e set appliance name e set appliance ip e set
427. tellungen MA een Oe Konfigurieren der Datums und Unreiteinstelingen oe amp ane oe ae oe te we Zoe Definieren von benutzerdefinierten YARA Regeln zur Malware Taeniad a we ee ek A Erstellen der benutzerdefinierten YARA Regeldatei 274 Importieren der benutzerdefinierten YARA Regeldatei 277 Aktivieren oder Deaktivieren von YARA Regeln m nn m ee ee eee ee 278 ndern benutzerdefinierter YARA Regeln 2 2 mn nn ee ee ee ee 278 Analysieren von Malware 279 Analysieren von Dateien nenn 2 9 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Inhaltsverzeichnis Hochladen von Dateien zur Analyse mittels McAfee Advanced Threat Defense Web Anwendung Hochladen von Dateien zur Analyse ber SFTP 2 2 286 Analysieren von URLs ee ee LO Wie analysiert Advanced Threat peace URLs A a is amp amp oe we ew 2O7 Hochladen von URLs zur Analyse mittels Advanced Threat Dona Web Anwendung 288 Konfigurieren der Seite Analysis Status Analysestatus 2 4 290 Anzeigen der Analyseergebnisse ic ae aa he A ea Anzeigen des Berichts Analysis ma Analyse bersich ee Bericht zu betroffenen Dateien 2 nn nn en 304 Disassembly Ergebnisse ce kk gt Bericht Logic Path Graph oe peddiacanin a ee ee ee E User API Protokoll Laken oS ee eee es ewe Se Se el Herunterladen der volls
428. ten m ssen nahtlos integriert und von einem Ort aus steuerbar sein damit die einfache Konfiguration und Verwaltung gewahrleistet sind Durch Musterabgleich sind beispielsweise Zero Day Angriffe nicht erkennbar Und w hrend statische Analysen weniger Zeit in Anspruch nehmen als dynamische kann Malware diese durch Codeverschleierung umgehen Malware kann auch die Entdeckung durch dynamische Analysen verhindern indem sie die Ausf hrung verz gert oder einen alternativen Ausf hrungspfad benutzt wenn sie erkennt dass sie in einer Sandkastenumgebung ausgef hrt wird Aus diesen Gr nden erfordert ein zuverl ssiger Malware Schutz einen mehrschichtigen Ansatz Es gibt auch andere marktf hrende Malware Schutzprodukte von McAfee f r Web Netzwerk und Endpunkte McAfee hat allerdings erkannt dass eine leistungsstarke Malware Schutzl sung einen mehrschichtigen Ansatz erfordert Das Ergebnis ist McAfee Advanced Threat Defense Die McAfee Advanced Threat Defense L sung besteht im Wesentlichen aus der McAfee Advanced Threat Defense Appliance und der vorinstallierten Software Die McAfee Advanced Threat Defense Appliance ist in zwei Versionen verf gbar Das Standardmodell ist ATD 3000 Das High End Modell ist ATD 6000 McAfee Advanced Threat Defense integriert die eigenen Funktionen nahtlos in andere McAfee Produkte und bietet Ihnen somit eine mehrschichtige Malware Schutzstrategie e Der Ersterkennungsmechanismus besteht aus einer lokalen Blacklist
429. ten von Advanced Threat Defense Fehlerbehebung 7 Melden Sie sich bei der Web Anwendung an und w hlen Sie Verwalten Systemprotokoll aus 8 Pr fen Sie auf der Seite Systemprotokoll ob die vmcreator Task f r die Android Analyse VM erfolgreich abgeschlossen wurde System Log 2014 06 26 05 14 38 starting vmcreator 5 l 2014 06 26 05 2014 06 26 05 2014 06 26 05 2014 06 26 05 2014 06 26 05 2014 06 26 05 2014 06 26 05 2014 06 26 05 2014 06 26 05 14 30 14 38 14 42 14 42 14 42 14 42 14 42 14 42 lhuclean was successful Copying image base to work folder android img Copied 1 496 in 4 seconds 380 36Mbytes second Completed image prep 14 42 creating WM android_sn01 2014 06 26 05 14 59 Checking vm status androld_sn01 2014 06 26 05 15 01 Booting VM android_sn0l 2014 06 26 05 15 31 WM has started android_sn01 2014 06 26 05 15 31 Creating snapshot for android_sn01 2014 06 26 05 15 52 Waiting for Android emulator to come up 2014 06 26 05 19 32 2014 06 26 05 2014 06 26 05 2014 06 26 05 321 Updating VM database a2 Wmcreator success 32 Amas Database Check OK Fehlerbehebung 58 Auf der Seite Troubleshooting Fehlerbehebung k nnen Sie einige Aufgaben zur Fehlerbehebung bei der McAfee Advanced Threat Defense Web Anwendung ausfuhren Dazu zahlen das Exportieren von Protokollen aus McAfee Advanced Threat Defense und das L schen aller gespeicherten Analyseer
430. tensicherung wiederhergestellt werden Wenn Sie beispielsweise alle w hrend einer Fehlerbehebungs bung vorgenommenen nderungen verwerfen m chten k nnen Sie die Datensicherung wiederherstellen die vor Beginn der Fehlerbehebung erstellt wurde Sie k nnen t glich w chentlich oder monatlich automatische Sicherungen auf einem ausgew hlten FTP Server planen Wenn Sie eine Datensicherung wiederherstellen m chten ruft McAfee Advanced Threat Defense die ausgew hlte Sicherungsdatei vom FTP Server ab und berschreibt die Datenbank mit dem Inhalt der Sicherungsdatei Was wird gesichert Folgende Daten werden gesichert e Die auf der Seite Analysis Results Analyseergebnisse angezeigten Ergebnisse Analyseberichte wie die Analyse bersicht die gesamten Ergebnisse und Disassembly Ergebnisse werden nicht gesichert Wenn die Berichte aus der Datenbank von der Seite Troubleshooting D Fehlerbehebung gel scht werden und dann eine Datensicherung wiederhergestellt wird werden die auf der Seite Analysis Results Analyseergebnisse der Datensicherung aufgef hrten Ergebnisdetails wiederhergestellt Die Berichte sind dann jedoch nicht mehr verf gbar e Lokale Blacklist lokale Whitelist wird nicht gesichert e VM Profile Die Image oder VMDK Datei der Analyse VMs wird nicht gesichert Vergewissern sie sich dass die D in den gesicherten VM Profilen angegebenen Image Dateien in McAfee Advanced Threat Defense vorhanden sind bevor Sie eine
431. ter a Windows product key Windows wil instal without one but must be manually activated later Would you like to continue Do not show this message again Full name Vollst ndiger Name Geben Sie administrator als Full name ein Password Kennwort Geben Sie cr cker42 als Kennwort ein McAfee Advanced Threat Defense verwendet dieses Kennwort zur Anmeldung bei der VM Confirm Best tigen Geben Sie cr cker42 zur Best tigung erneut ein Log on automatically requires a password Automatisch anmelden Kennwort erforderlich Deaktivieren Sie dieses Kontrollk stchen New Virtual Machine Wizard Easy Install Information This is weed fo install Windows E wi Windows product key Werson of Windows to install Windows 8 Pro Full name administrator Password PETTETTET fopiianal Confirme EEE Lag on automatically requires a password Help lt Back text conc McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 191 192 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 7 Klicken Sie im Popupfenster VMware ge Workstation auf Yes Ja VMware Workstation e You have entered a Full Name that may conflict with a built in account in the quest operating system F it does conflict you may be asked for a new Full Name by the installer Would you like to continue Do not show this message again vs mo
432. ter a user name and password bo use this computer Users For this computer Liver Name Group Administrator Administrators 4 SR_RAOOT DCADECH33 Guests Password For Administrator i To change your password press Obrl Ab Oel snd select gt Change Password Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows XP Tabelle 5 2 Erstellen Sie eine VMDK Datei aus einem ISO Image von Windows XP SP2 oder SP3 Fortsetzung Schritt Schritt 45 Fuhren Sie im Popupfenster Automatische Anmeldung die folgenden Schritte aus und klicken Sie dann auf OK Details e Benutzername Geben Sie Administrator ein e Kennwort Geben Sie cr cker42 ein e Kennwort best tigen Geben Sie cr cker42 erneut ein Automatically Log Un You can set up Your computer so that users do not have to type a user name and password to log on To do this specify a user that wil be automaticaly logged on below el 5 User name Administrator Password CAI Confirm Password Ca Schritt 46 Laden Sie Sigcheck von der Seite http technet microsoft com en us sysinternals bb897441 aspx auf Ihren Computer den nativen Host herunter Auf der von Ihnen erstellten VM ist die Windows Firewall deaktiviert AuBerdem ist kein Virenschutz installiert Daher wird empfohlen die Programme und Komponenten zuerst auf den nativen Host herunterzuladen und dann auf die VM in VMware Workstation zu kop
433. the virtua machine Specfy the amount of memory allocated to this virtual machine The memory size must be a multiple of 4 MB Memory for this virtual machine 2 MB 4 E Maximum recommended memory 5952 ME al a McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 193 194 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 11 Ubernehmen Sie im Fenster Network Type Netzwerktyp die Standardauswahl New Virtual Machine Wizard Network Type What type of pebwork de you want to add Gie Be guest operabro system direct access to an external Ethernet nebwork The guest must have it oven IP address on the external nebwork Lise network address trarrslabor MAT Give TOT a ar enema rack earn Gal up or external E tnebeorke connection using the host s IF address Lise host only networking Connect the guest aperating system to a private virtual network on the host computer Do not use a network connection Beck ent gt Cancel Schritt 12 Ubernehmen Sie unter Select I O Controller Types Auswahlen der I O Controller Typen die Standardauswahl Mew Virtual Machine Wizard Select 1 0 Controller Types Which SCH controller type vould you ike to use 1 0 controller types SCSI Controller Sustogic Not avaiable for 64 bit guests SI Logic LST Logic SAS Recommended McAfee Advanced Threat Defense 3 4 2 Produkthandbuch
434. timmen Die heuristische Analyse ist standardm ig aktiviert Syntax set docfilterstatus lt enable gt set docfilterstatus lt disable gt docfilterstatus lt enable gt lt disable gt Parameter Beschreibung enable Setzt das Filtern der Proben auf Aktiviert disable Setzt das Filtern der Proben auf Deaktiviert Syntax show docfilterstatus Dies ist eine Funktion von McAfee Advanced Threat Defense Wenn sie aktiviert ist f hrt McAfee Advanced Threat Defense eine heuristische Analyse einer MS Office 2007 Word oder Excel Datei aus die vom Network Security Sensor gesendet wurde Das bedeutet dass sie die Struktur der Office Datei auf sch dliche Inhalte wie einbettete aktive Inhalte Makros oder verd chtige Hyperlinks untersucht Nur wenn heuristische Unregelm igkeiten in der Datei vorliegen wird sie gem dem entsprechenden Analyseprofil f r eine Malware Analyse ber cksichtigt Wenn keine Unregelm igkeiten vorliegen wird die Datei als sauber behandelt Das bedeutet dass ihr eine Schweregrad von Null Information zugewiesen wird In Netzwerken in denen eine hohe Zahl von MS Office 2007 Word und Excel Dateien gesendet wird kann mithilfe des heuristischen Filters durch das Herausfiltern von Dateien in denen keine verd chtigen Inhalte vorliegen die Belastung f r McAfee Advanced Threat Defense gesenkt werden Wenn die heuristische Analyse aktiviert ist werden folgende Einstellungen verwendet e
435. tion Pools al gf Add Website TS Switch to Content View a Geben Sie unter FTP Sitename root ein b Physischer Pfad C c Klicken Sie auf Weiter Site Information FTP site name root Content Directory Physical path cal 6 Wahlen Sie unter Bindungen und SSL Einstellungen die Option Kein SSL Akzeptieren Sie bei allen anderen Feldern die Standardwerte und klicken Sie auf Weiter 212 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 8 Schritt Details les Binding and SSL Settings Eird rag dde Feel J Aj limas reed wr Erie oral Hegi erre J it ET ar en cal Sa Ho So l El Repent L TA ceii fem Mi Larzel 7 F hren Sie unter Authentifizierungs und Autorisierungsinformationen folgende Schritte aus a W hlen Sie Standard b Unter Zugriff zulassen f r w hlen Sie Alle Benutzer c W hlen Sie unter Berechtigungen sowohl Lesen als auch Schreiben und klicken Sie anschlie end auf Fertig stellen d Schlie en Sie das Fenster Internetinformationsdienste Manager bed Authentication and Au Authentication _ Anonymous Basic Authorization Allow access to All users Permissions Read A Write McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 213 214
436. triebssystemen Browsern Anwendungen und Browser Plug Ins erstellen die f r Ihr Netzwerk erforderlich sind AuBerdem k nnen Sie bei Browsern und Betriebssystemen ohne Patch m glicherweise das tats chliche Verhalten von Websites analysieren Der Vorteil von Advanced Threat Defense besteht in einem detaillierten Bericht ber zuvor unbekannte b sartige Dom nen Websites und IP Adressen sowie ber das aktuelle Verhalten bereits bekannter b sartiger Dom nen Websites und IP Adressen Sie k nnen zudem einen detaillierten Analysebericht ber ungef hrliche Websites erhalten die vor Kurzem infiziert wurden Advanced Threat Defense analysiert keine URLs die in Dateien enthalten sind die zur Analyse eingereicht wurden Wenn ein Network Security Sensor beispielsweise eine Microsoft Word Datei sendet analysiert Advanced Threat Defense die Datei hinsichtlich Malware analysiert jedoch keine der darin enthaltenen URLs Wie analysiert Advanced Threat Defense URLs W hlen Sie zum Analysieren von URLs ein Analyseprofil aus f r das der Zugriff sowohl auf den Sandkasten als auch auf das Internet aktiviert ist Im Folgenden finden Sie den Prozessablauf f r den Fall dass Sie eine URL zur Analyse an Advanced Threat Defense senden 1 Advanced Threat Defense wendet eine propriet re Vorgehensweise f r die Berechnung des MD5 Hashwerts der URL an Anschlie end gleicht sie diesen MD5 Wert mit seiner lokalen Blacklist ab D Die lokale Whitelist ist
437. tted Time Ein Zeitstempel der angibt wann die Datei zur Analyse bermittelt Ubermittlungszeit wurde Schweregrad Der Schweregrad der gesendeten Datei File Name Dateiname Der Name der Datei die Sie zur Analyse eingesendet haben Benutzer Der Anmeldename des Benutzers der die Datei zur Analyse eingesendet hat Analyseprofil Das fur die Analyse verwendete Analyseprofil VM Profil Das fur die dynamische Analyse verwendete VM Profil Wenn nur die statische Analyse ausgefuhrt wurde wird dies angezeigt Hash Der MD5 Hash Wert der Datei wie durch McAfee Advanced Threat Defense berechnet Dateigr e Die Gr e der analysierten Datei in KB Source IP Quell IP Die IP Adresse des Hosts der die analysierte Datei gesendet hat Dies ist nur f r Dateien relevant die automatisch von anderen McAfee Produkten wie Network Security Platform eingesendet werden Destination IP Ziel IP Die IP Adresse des Zielhosts hnlich wie die Quell IP ist dies nicht relevant f r manuell eingesendete Dateien 3 Blenden Sie die Spalten aus die Sie nicht ben tigen a Bewegen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift und klicken Sie auf den Dropdown Pfeil b W hlen Sie Columns Spalten c W hlen Sie nur die erforderlichen Spaltennamen aus der Liste Sie k nnen auf eine Spalten berschrift klicken und sie an die gew nschte Position ziehen 4 Zum Sortieren der Datens tze basierend au
438. ttp get adobe com de flashplayer otherversions Flash Datei SWF dynamisch auf zu analysieren installieren Sie die erforderliche Version von 2 W hlen Sie gem Ihren Anforderungen ein Betriebssystem und Adobe Flash eine Flash Player Version in den Dropdown Men s Schritt 1 und iin ehasen ferial wane Schritt2 aus siehe unten Flash Player 14 3 Klicken Sie auf Jetzt herunterladen verwendet Adobe Flash Player Optional offer Terms amp conditions tess 4 Yes want to try the free Lightroom 5 Byclicking the Download now button you Be i a FE trial and learn how to make good shots acknowledge that you have read and agree nr EN us great Add to my download tothe Adobe Software Licensing Agreement PY 7 gt Em en Windows 7 Vista XP 2008 2003 M BS Adobe Photoshop Lightroom Step2 Flash Player 14 for Other Browsers v System requirements Leam more Note Your antivirus software must allow you to install software If your operating system browser combination is not displayed click here for older versions of Adobe Flash Player Total size 18 2 MB 4 Doppelklicken Sie in der unteren Ecke Ihres Bildschirms auf die Installationsdatei fur Adobe Flash Player install_flashplayer xxx exe install_flashplayerldx exe 5 Klicken Sie im Dialogfeld Sicherheitswarnung auf Ausf hren Open File Security Warning FE Da you wani bo nun this fle a 1 Mame install Mashplaperida2_ M5
439. tus in der McAfee Advanced Threat Defense Appliance CLI Siehe CLI Befehle f r McAfee Advanced Threat Defense auf Seite 5 Upgrade von McAfee Advanced Threat Defense und Android VM Dieser Abschnitt enth lt Informationen zum Upgrade der McAfee Advanced Threat Defense Version und der Android Version f r die standardm ige Android Analyse VM Es folgen die Upgrade Pfade f r ein Upgrade der McAfee Advanced Threat Defense Software auf 3 2 0 Xx e Falls die aktuelle Version 3 0 2 xx und nicht 3 0 2 36 ist wird ein direktes Upgrade auf 3 2 0 xx nicht unterstutzt Beispiel Lautet die aktuelle Version 3 0 2 51 so aktualisieren Sie zuerst auf 3 0 4 56 und dann auf 3 2 0 xx Das Upgrade von 3 0 2 xx auf 3 0 4 56 erfolgt als zweistufiger Prozess Siehe Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 xx auf 3 0 4 xx auf Seite 45 e Wenn die aktuelle Version 3 0 2 36 lautet und Sie ein Upgrade auf 3 2 0 xx durchf hren m chten aktualisieren Sie die McAfee Advanced Threat Defense Benutzeroberflache und die McAfee Advanced Threat Defense Sytemsoftware separat Das heiBt das direkte Upgrade auf 3 2 0 wird unterstutzt es erfolgt aber als zweistufiger Prozess Siehe Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 36 auf 3 2 0 xx auf Seite 48 e Lautet die aktuelle Version 3 0 4 56 3 0 4 75 oder 3 0 4 94 k nnen Sie ein direktes Upgrade auf 3 2 0 xx durchfuhren indem Sie nur die McAfee Advanced Threat Defense Systemsoft
440. uch 251 252 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Verwalten von Analyseprofilen Zur Verwaltung von Analyseprofilen verwenden Sie die McAfee Advanced Threat Defense Web Anwendung Analyseprofil VaM Profil Laufzeitparameter a Archivkennwort Mindest und H chstlaufzeit Berichte Protokolle und Elemente Analyseoptionen Abbildung 6 3 Inhalt eines Analyseprofils Anzeigen der Analyseprofile Abhangig von Ihrer Benutzerrolle k nnen Sie die vorhandenen Analyseprofile in der McAfee Advanced Threat Defense Web Anwendung anzeigen Vorgehensweise 1 Wahlen Sie Richtlinie Analyseprofil Beim Web Zugriff k nnen Sie nur die von Ihnen erstellten Analyseprofile anzeigen Wenn Sie uber Administratorzugriff verfugen k nnen Sie alle Analyseprofile in der Datenbank anzeigen Spaltenname Beschreibung Auswahlen Dient zum Bearbeiten oder L schen des entsprechenden Analyseprofils Name Der von Ihnen zugewiesene Name des Analyseprofils Beschreibung Die Beschreibung der Merkmale im Analyseprofil OS Name Betriebssystemname Entspricht dem Namen des VM Profils das im Analyseprofil festgelegt wurde Automatically Select OS Betriebssystem Zeigt an ob Sie die Option Automatically Select OS im automatisch wahlen Analyseprofil ausgew hlt haben 2 Blenden Sie die berfl ssigen Spalten aus a Bewegen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift un
441. uellen Computer Details Schritt 55 Aktivieren Sie im Dialogfeld Compatibility Pack f r 2007 Office System die Option Klicken Sie hier um den Microsoft Software Lizenzbedingungen zuzustimmen und klicken Sie auf OK Compatibility Pack for the 2007 Office system You must accept the Microsoft Software License Terms in order MICROSOFT SOFTWARE LICENSE TERMS MICROSOFT OFFICE COMPATIBILITY PACE FOR WORD EXC These license terms are an agreement between Microsoft Cor them They apply to the software named above which inchuc Updates supplements Internet based services and support services For this software unless other terms accompany those items BY USING THE SOFTWARE YOU ACCEPT THESE TERMS IF Y IF you comply with these license terms you have the rights be 1 INSTALLATION AND USE RIGHTS You may install and use 2 SCOPE OF LICENSE The software is licensed not sold Th other rights Unless applicable law gives you more rights desp agreement In doing so you must comply with any technical Work around any technical limitations in the software reverse engineer decompile or disassemble the software e limitation make more copies of the software than specified in this agre publish the software for others to copy rent lease or lend the software transfer the software or this agreement to any third party use the software for commercial software hosting services Click here to acc
442. ukthandbuch 289 7 Analysieren von Malware Konfigurieren der Seite Analysis Status Analysestatus Tabelle 7 3 Optionsbeschreibungen Fortsetzung Option Beschreibung Erweitert Klicken Sie auf diese Option um den interaktiven Benutzermodus zur Analyse der URL anzugeben Die Option Erweitert steht nur zur Verf gung wenn Sie die Datei manuell mittels McAfee Advanced Threat Defense Web Anwendung senden Manche Malware erfordert nach der Ausfuhrung eine Benutzereingabe Dadurch wird in der Regel uberpruft ob die Malware in einem Sandkasten analysiert wird Falls keine Benutzereingabe erfolgt wahlt die Malware m glicherweise einen anderen Ausfuhrungspfad oder halt die Ausf hrung sogar an Bei Auswahl dieser Option k nnen Sie auf die tats chliche Analyse VM zugreifen auf der die Malware ausgef hrt wird und so die Benutzereingabe durchf hren Dieser Vorgang hnelt dem Ausf hren von Dateien im interaktiven Benutzermodus Siehe Hochladen von URLs zur Analyse im interaktiven Benutzermodus auf Seite 281 Senden Klicken Sie zum Hochladen der URL zur Analyse in McAfee Advanced Threat Defense auf diese Schaltfl che Nachdem die URL erfolgreich hochgeladen wurde wird ein Meldungsfeld angezeigt Dateiname die von Ihnen gesendete URL e Dateigr e die Gr e der Probe e MD5 der MD5 Hashwert wie durch Advanced Threat Defense berechnet e MIME Typ 3 Klicken Sie auf Senden Konfigurieren der Seite
443. um 3 Es Teror Repeating Te akra Es Techn cari e F o rod eo Fiera ri A ee Pl doe i ES Wink Pile Protection rt or ner Din in an Ei Sardin Procedure Ta rsa oat a AR E Pia Activate shuren Er i Se Tee Serve ee ros yo rro d El Crosbie Percaterd Tina Sah hiere Cara Pl cuts bo cokect information Spells ines eee aa SE ralstedea Me you re shutting doen ae erigi i Distributed DOHA de Me toro Wird bey m A ler 4 H a Histesark Ph Renas boat huido Zi Frinn F you anabi thes satire Pa erben cha dl die Configuration hora ee raat Fine Di n Zu aire Setines rra Ss huido Dewt Treader F a E 3 W hlen Sie Deaktiviert und klicken Sie auf OK 4 Schlie en Sie das Fenster Gruppenrichtlinienobjekt Editor Schritt 30 F hren Sie die folgenden Schritte f r Windows Server 2003 SP1 aus F r Windows Server 2003 SP2 f hren Sie diesen Schritt nicht aus 1 Rufen Sie http support microsoft com hotfix KBHotfix aspx kbnum 899260 amp kbln en us auf und installieren Sie den HotFix f r Ihre Version von Windows Server 2003 2 Starten Sie den Computer neu 3 Geben Sie in der Windows Eingabeaufforderung tlntsvr service ein und drucken Sie die Eingabetaste 118 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2 Fortsetzung Erstellen einer Analyse VM Erstellen einer VMDK Datei f r Windows 2003
444. und ren Knoten analysierten Dateien anzuzeigen klicken Sie auf die entsprechende ATD ID Details zu den Optionen auf der Seite Analysis Status Analysestatus finden Sie unter Konfigurieren der Seite Analysis Status Analysestatus auf Seite 290 berwachen von Analyseergebnissen f r ein Advanced Threat Defense Cluster Auf der Seite Analysis Results Analyseergebnisse des prim ren Knotens werden die Analyseergebnisse f r Dateien die von jedem Knoten analysiert werden angezeigt In einem sekund ren Knoten werden nur die Dateien angezeigt die von diesem sekund ren Knoten analysiert wurden hnlich wie bei einer eigenst ndigen Advanced Threat Defense k nnen Sie die Ergebnisse der von Ihnen gesendeten Proben anzeigen Wenn Sie Administratorrechte haben k nnen Sie die Ergebnisse f r Proben anzeigen die von einem beliebigen Benutzer gesendet wurden Vorgehensweise 1 Melden Sie sich als admin Benutzer bei einem der Knoten des Advanced Threat Defense Clusters an 2 W hlen Sie Analyse Analysis Results Analyseergebnisse aus Analysis Results Analyseergebnisse kann erweitert werden damit die sekund ren Knoten des Clusters angezeigt werden Analysis Results Analyseergebnisse bezieht sich auf den prim ren Knoten Die sekund ren Knoten werden unter Analysis Results Analyseergebnisse mit ihrer ATD ID und ihrer Verwaltungsport IP Adresse aufgelistet Analysis Status d Analysis Results ATD Id 2 ATD Id 3 1 Manua
445. upfenster VMware Workstation auf Yes Ja You have entered a Full Name that may conflict with a builtin account in the quest operating system If it does conflict you may be asked for a new Full Name by the installer Would you like to continue Fl Do not show this message again McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 165 5 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2008 Server Schritt Details Schritt 8 Geben Sie die e Virtual Machine name Name des virtuellen Computers Geben Sie Informationen im Fenster Name virtualMachinelmage als Namen ein the Virtual Machine Benennen des virtuellen Computers ein und e Location Speicherort Navigieren Sie zu dem Ordner in dem die klicken Sie anschlie end auf VDMK Datei erstellt werden soll und w hlen Sie ihn aus Next Weiter Mew Virtual Machine Wizard a Name the Virtual Machine hat mame would you ike to use for thee vrtual machine Virtual machine name Vi tral achine mage Location _ gt a ai OE 2 The default location can be changed al Edit gt Preferences lt Gack iert gt Cancel Schritt 9 Ubernehmen Sie im i p Fenster Processor Configuration Mew Virtual Machine Wizard 53 Prozessorkonfiguration die Standardwerte und klicken Sie Processor Configuration auf Next We ite r Specify the number of processors for this virtual machine Processors Number of processors
446. urationen zu ndern Stellen Sie sicher dass die Konfigurationen in allen Knoten des Clusters identisch sind McAfee Advanced Threat Defense 3 4 2 Produkthandbuch CLI Befehle fur McAfee Advanced Threat Defense Die McAfee Advanced Threat Defense Appliance unterstutzt CLI Befehle Command Line Interface Befehlszeilenschnittstelle fur Aufgaben wie Netzwerkkonfiguration Neustarten der Appliance und Zurucksetzen der Appliance auf die Werkseinstellungen Inhalt Ausgabe von CLI Befehlen CLI Syntax gt Anmelden ber die Befehlszeilenschnittstelle CLI gt Bedeutung von gt gt Verwalten der Festplatten der McAfee Advanced Threat Defense Appliance Liste der CLI Befehle Ausgabe von CLI Befehlen Sie k nnen CLI Befehle lokal ber die McAfee Advanced Threat Defense Appliance Konsole oder auch per Fernzugriff mittels SSH ausgeben Ausgeben eines Befehls uber die Konsole Informationen zum Einrichten der Konsole fur eine McAfee Advanced Threat Defense Appliance finden Sie unterKonfigurieren der Netzwerkinformationen f r die McAfee Advanced Threat Defense Appliance auf Seite 31 Falls in der Dokumentation angegeben wird dass Sie einen Vorgang auf der Appliance durchf hren sollen bedeutet das dass Sie den Vorgang ber die Befehlszeile eines Konsolenhosts durchf hren der D mit der McAfee Advanced Threat Defense Appliance verbunden ist Beispiel Wenn Sie die Netzwerkdetails f r eine McAfee Advanced T
447. uthentifizierungs und Autorisierungsinformationen folgende Schritte aus a W hlen Sie Standard b Unter Zugriff zulassen f r w hlen Sie Alle Benutzer McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details c Wahlen Sie unter Berechtigungen sowohl Lesen als auch Schreiben und klicken Sie anschlieBend auf Fertig stellen d SchlieBen Sie das Fenster Internetinformationsdienste Manager ws Authentication and Authorization Information Aten bec atn Anonymus Aihan llos eccess to Al user Schritt 28 W hlen Sie Start Ausf hren geben Sie netplwiz ein und klicken Sie auf OK McAfee Advanced Threat Defense 3 4 2 Type the name of a program folder docurnent or Internet resource and Windows wall open E for you Oper By The task will be created with admenistratree privileges Produkthandbuch 151 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 7 Schritt Details Schritt 29 Deaktivieren Sie im Fenster Benutzerkonten die Option User Accounts a Benutzer mussen Benutzernamen und a Kennwort eingeben und klicken Sie gt Arena auf Ubernehmen Use the list below to grant or dery users access to your computer a and to change passwords and other settings User must enter a user mame and password to use this computer Users for this
448. uzeigen File Name Dateiname Der Name der Datei die Sie zur Analyse eingesendet haben VM Profile VM Profil Das f r die dynamische Analyse verwendete VM Profil Wenn die Datei nur statisch analysiert wurde wird dies angezeigt MD5 Der MD5 Hash Wert der Datei wie durch McAfee Advanced Threat Defense berechnet Analyzer Profile Analyseprofil Das f r die Analyse verwendete Analyseprofil Wenn die Datei nur statisch analysiert wurde wird dies angezeigt User Benutzer Der Anmeldename des Benutzers der die Datei zur Analyse eingesendet hat Source IP Quell IP Die IP Adresse des Hosts der die analysierte Datei gesendet hat Dies ist nur f r Dateien relevant die automatisch von anderen McAfee Produkten wie Network Security Platform eingesendet werden Destination IP Ziel IP Die IP Adresse des Zielhosts hnlich wie die Quell IP ist dies nicht relevant f r manuell eingesendete Dateien 4 Blenden Sie die Spalten aus die Sie nicht ben tigen a Bewegen Sie den Mauszeiger ber die rechte Ecke einer Spalten berschrift und klicken Sie auf den Dropdown Pfeil b W hlen Sie Columns Spalten c W hlen Sie nur die erforderlichen Spaltennamen aus der Liste D Sie k nnen auf eine Spalten berschrift klicken und sie an die gew nschte Position ziehen 5 Zum Sortieren der Datens tze basierend auf einem bestimmten Spaltennamen klicken Sie auf die Spalten berschrift Sie k nnen die Datens tz
449. vara cule file at ne 10 syntax error UMERIT I e E COHESASTRING or REGEXE Abbildung 6 16 Details zum Fehler McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 277 6 Konfigurieren von McAfee Advanced Threat Defense fiir die Malware Analyse Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung Aktivieren oder Deaktivieren von YARA Regeln Bevor Sie beginnen Sie haben die benutzerdefinierte YARA Textdatei in McAfee Advanced Threat Defense importiert Nach dem Importieren der benutzerdefinierten YARA Regeln k nnen Sie sie deaktivieren wenn Sie sie nicht bendtigen Dies kann beispielsweise bei einer Fehlerbehebung der Fall sein Wenn Sie die benutzerdefinierten YARA Regeln deaktivieren gilt dies fur alle von McAfee Advanced Threat Defense analysierten Proben Sie k nnen die benutzerdefinierten YARA Regeln zu einem spateren Zeitpunkt wieder aktivieren Vorgehensweise 1 Wahlen Sie Verwalten Custom YARA Rules Benutzerdefinierte YARA Regeln aus 2 Aktivieren bzw deaktivieren Sie das Kontrollk stchen Enable YARA Rules YARA Regeln aktivieren um benutzerdefinierte YARA Regeln zu aktivieren bzw zu deaktivieren Wenn Sie die YARA Regeln aktivieren m chten die derzeit in der Datenbank von McAfee Advanced Threat Defense vorhanden sind aktivieren Sie das Kontrollk stchen Enable YARA Rules und klicken Sie auf Senden Das bedeutet dass Sie die Textdatei f r die benutzerdefinierten YARA Regeln
450. vem oder abgeschlossenem Status angezeigt Um das gesamte Diagramm erneut anzuzeigen klicken Sie erneut auf Not Malicious und Not Rated e Bewegen Sie den Mauszeiger ber einen Balken im Diagramm um zu sehen aus wie vielen Dateien der Balken besteht Dieser Monitor verf gt ber eine Drilldown Funktion Wenn Sie mit dem Mauszeiger auf einen bestimmten Balken klicken ffnet Advanced Threat Defense die Seite Analysis Results Analyseergebnisse auf der die Datens tze nach dem gew hlten Balken sortiert angezeigt werden Top 10 File Types by Volume Dieser Monitor zeigt die Anzahl der 10 h ufigsten Dateitypen basierend auf ihrem Volumen an Im Tabellenformat wird der Prozentsatz je Dateityp angezeigt Im Diagramm ist auch die Anzahl der b sartigen Malicious nicht b sartigen Not Malicious und der nicht bewerteten Dateien Not Rated zu sehen Top 10 File Types by Volume Al dobe POF HTML Document Image Fila M5 Ofke suie M Malicious Ciber l o E Not Malicious Nat Rated Plain Text RAR Archive Win32 Exe Winb Exe XML Document 2711 TI J 23 30 e 100 125 150 Abbildung 7 19 Monitor Top 10 File Types by Volume 314 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Arbeiten mit dem McAfee Advanced Threat Defense Dashboard e Die b sartigen nicht b sartigen und nicht bewerteten Dateien werden in verschiedenen Farben dargestellt e Um die b sartigen oder nicht b sart
451. verwenden Sie set intfport lt eth 1 2 or 3 gt ip lt IPv4 address gt lt subnet mask gt Beispiel set intfport 1 ip 10 10 10 10 255 255 255 0 e Sie k nnen diesem Port nicht das Standard Gateway zuweisen Sie k nnen jedoch fur diese Schnittstelle ein Routing konfigurieren damit der Datenverkehr zum gewunschten Gateway geleitet wird Um ein Routing zu konfigurieren verwenden Sie route add network lt IPv4 subnet gt netmask lt netmask gt gateway lt IPv4 address gt intfport 1 Beispiel route add network 10 10 10 0 netmask 255 255 255 0 gateway 10 10 10 1 intfport 1 Mit diesem Befehl wird der gesamte Datenverkehr des 10 10 10 0 Befehls ber NIC 2 ETH 1 an 10 10 10 1 geleitet 5 NIC 3 Hierbei handelt es sich um die ETH 2 Schnittstelle Siehe Beschreibung zu NIC 2 6 NIC 4 Hierbei handelt es sich um die ETH 3 Schnittstelle Siehe Beschreibung zu NIC 2 Videoanschluss RJ 45 Anschluss seriell USB Anschl sse 10 RMM4 NIC Anschluss 11 Anschl sse Buchsen f r E A Modul nicht verwendet 12 Add in Adapter Slots von Riser Card 1 und 2 l TEE IE C K ddd dA YA LLL ae NW Lede dd A Abbildung 2 5 R ckseite der ATD 6000 Appliance Beschriftung Beschreibung 1 USB Anschlusse 2 USB Anschlusse McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Einrichten der McAfee Advanced Threat Defense Appliance 2 Hardware Spezifikationen und Umgebungsanforderungen
452. von DNS Einstellungen auf Defense Benutzern auf Seite 37 Seite 267 e Integration in McAfee ePO auf Seite 256 e Konfigurieren der Datums und Uhrzeiteinstellungen auf Seite 267 Melden Sie sich mit Administratorrechten beim prim ren Knoten an um die oben aufgelisteten Einstellungen zu konfigurieren Wenn Sie auf den entsprechenden Seiten auf Save Speichern klicken b ndelt der prim re Knoten die gesamte synchronisierte Konfiguration in einer Datei und sendet sie an alle verf gbaren sekund ren Knoten Die sekund ren Knoten speichern diese Einstellungen in ihrer Datenbank und verwenden sie sp ter Dieser Konfigurationsdatei wird eine Versionsnummer zugewiesen Die Versionsnummer ist die Config Version Config Version die auf der Seite Load Balancing Cluster Setting Einstellungen f r Lastenausgleichscluster aufgelistet ist Der prim re Knoten sendet die Konfigurationsdatei ber einen sicheren Kommunikationskanal an die sekund ren Knoten Sie k nnen die Spalte State Status auf der Seite Load Balancing Cluster Setting Einstellungen f r Lastenausgleichscluster berpr fen um sicherzugehen dass die Konfigurationsdatei erfolgreich auf einen sekund ren Knoten angewendet wurde Alternativ k nnen Sie f r den prim ren Knoten auf der Seite Load Balancing Cluster Setting Einstellungen f r Lastenausgleichscluster auf Sync AllNodes Alle Knoten synchronisieren klicken um die Konfigurationsdatei an alle verf gbaren Knoten zu senden S
453. w exe Type BES2 executable console Intel 60386 mds 65B48733E50FD44009C6566B8C1F4393 sha 1 F3B0901F44A0079431592011C6757BAC19READ3C size 19456 Timestamp 2014 08 19 Zas 48323 y parent archives Not Available selectors Engine Customtar Malware Name e Severity 5 7 1 Engine Sanobox MalwareName Severity o J gt Verdicr Severity Bo Description Sub ect is malicious Stars TID 0 Category Persistence Installation Boot survival Severity Toj ID 1 Category Hiding Camouflage Stealthiness Detection and Removal Protection Severity 1 ID 2 Category Security Solution Mechanism bypass termination and removal Anti Debugging VM Detection Severity S LD 3 Category Spreading Severity 2 gt TID 74 Category Exploiting shelicode Severity TOTI TID 3 Category Networking T Oeveriby 5 1 ID 6 Category Data spying Sniffing Keylogging Ebanking Fraud Severity 4 Behavior CUSTOM yara test create remove directory custom 1 CUSTOM yara test rum key delete value custom 2 Created content under Windows system directory Deleted AV auto run registry key Created a socket bound to a specific service provider and listen to an open port Changed 266 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanc
454. wahlen Sie einen oder mehrere der folgenden Parameter Legen Sie die Kriterien zum Anzeigen von Datensatzen auf der Seite Analysis Status Analysestatus fest File Name Dateiname Wahlen Sie diesen Parameter wenn Sie nach dem Beginn des Dateinamens filtern m chten Wenn Sie beispielsweise diese Option w hlen und cal als Suchbegriff eingeben wird der Status der Dateien aufgef hrt deren Name mit cal beginnt MD5 W hlen Sie diesen Parameter wenn Sie nach dem Beginn des MD5 Hashwerts filtern m chten VM Profile VM Profil W hlen Sie diesen Parameter wenn Sie nach den verf gbaren VM Profilen filtern m chten File Type Dateityp Das zur Analyse eingesendete Dateiformat Analyzer Profile Analyseprofil Das f r die Analyse verwendete Analyseprofil Wenn die Datei nur statisch analysiert wurde wird dies angezeigt User Benutzer Der Anmeldename des Benutzers der die Datei zur Analyse eingesendet hat Source IP Quell IP Die IP Adresse des Hosts der die analysierte Datei gesendet hat Dies ist nur f r Dateien relevant die automatisch von anderen McAfee Produkten wie Network Security Platform eingesendet werden Destination IP Ziel IP Die IP Adresse des Zielhosts hnlich wie die Quell IP ist dies nicht relevant f r manuell eingesendete Dateien Job ID Auftrags ID Dies ist eine allen Dateien zugewiesene eindeutige Nummer Task ID Task ID Dies ist eine allen Dateien zugewiesene eindeutige Nummer
455. ware aktualisieren Siehe Upgrade der McAfee Advanced Threat Defense Software von 3 0 4 xx auf 3 2 0 xx auf Seite 51 O Nach dem Upgrade auf 3 2 0 xx k nnen Sie nicht mehr auf 3 0 2 xx oder auf 3 0 4 xx herunterstufen indem Sie das Sicherungsabbild mit dem Befehl reboot backup laden 44 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Verwalten von Advanced Threat Defense 4 Upgrade von McAfee Advanced Threat Defense und Android VM e Lautet die aktuelle Version 3 2 0 xx k nnen Sie ein direktes Upgrade auf 3 2 2 xx durchf hren indem Sie nur die McAfee Advanced Threat Defense Systemsoftware aktualisieren Siehe Upgrade der ATD Software von 3 2 0 xx auf 3 2 2 xx auf Seite 53 Nach dem Upgrade auf 3 2 2 xx k nnen Sie nicht mehr auf 3 0 2 xx auf 3 0 4 xx oder auf 3 2 0 xx herunterstufen indem Sie das Sicherungsabbild mit dem Befehl reboot backup laden Die Android Version in der standardm igen Android Analyse VM lautet 2 3 Nach dem Upgrade der McAfee Advanced Threat Defense Software auf 3 2 0 xx k nnen Sie die Android Version auf 4 3 aktualisieren Siehe Upgrade der Android Analyse VM auf Seite 55 Upgrade der McAfee Advanced Threat Defense Software von 3 0 2 xx auf 3 0 4 xx Bevor Sie beginnen e Sie k nnen ein Upgrade direkt auf 3 2 0 nur durchfuhren wenn McAfee Advanced Threat Defense aktuell die Version 3 0 2 36 hat Bei allen anderen 3 0 2 xx Versionen m ssen Sie bevor Sie sie auf 3 2 0 xx aktualisieren k nnen
456. wendung 36 McAfee Advanced Threat Defense Appliance Einrichten 19 27 Hardware Spezifikationen 25 Wichtige Informationen 20 McAfee ServicePortal Zugriff 10 Monitore Malware Analyse 313 VM Creation Status 317 Netzwerksimulator 248 O OpenIOC 297 P Probenanalyse 279 376 McAfee Advanced Threat Defense 3 4 2 Protokolldateien 59 Prozessablauf 256 R Real Internet Modus 248 S Sensor Anmeldung SSH 346 ServicePortal Quellen f r Produktinformationen 10 Sichern und Wiederherstellen 61 Sicherungsfestplatte 347 Simulationsmodus 248 statische Analyse 243 STIX 297 Supportpaket 59 Systemanforderungen Client 35 T Technischer Support Produktdokumentation finden 10 U berblick 11 User API Protokoll 310 V verwendete Portnummern 27 VM Erstellungsprotokoll 241 VM Profil 243 Anzeigen 234 Bearbeiten 240 Erstellen 234 Hinzuf gen 234 L schen 241 Verwaltung 233 VMDK Datei Image Konvertierung 230 Importieren 230 W Warnungen 21 X X Mode 281 XML 297 XMode 281 Y YARA Regeln 271 Produkthandbuch intel Security Y dis OA15
457. wnloaded and installed automatically IMPORTANT Your update options have recently changed Choose your update option O Allow Adobe to install updates recommended Notify me to install updates Never check for updates not recommended 8 Klicken Sie auf FERTIGSTELLEN um die Adobe Flash Player Installation abzuschlieBen Adobe Flash Player Installer F Adobe Flash Player FINISH Schritt 68 Fahren Sie das virtualMachineImage herunter indem Sie folgende Optionen auswahlen Start Herunterfahren Herunterfahren OK Schritt 69 Navigieren Sie zu dem Speicherort den Sie in Schritt 7 angegeben haben um die VMDK Datei mit dem Namen virtualMachinelmage flat vmdk aufzurufen McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 7 Erstellen einer VMDK Datei fur Windows 7 Bevor Sie beginnen e Laden Sie VMware Workstation 9 0 oder h her von der Seite http www vmware com products workstation workstation evaluation herunter und installieren Sie das Programm e Stellen Sie sicher dass Sie ber ein ISO Image von Windows 7 SP1 32 oder 64 Bit verf gen f r das Sie die VMDK Datei erstellen m ssen Windows Enterprise Edition und Windows Professional werden unterst tzt e Stellen Sie sicher dass Sie ber den Lizenzschl ssel f r das Betriebssystem verf gen Gehen Sie wie nachfolgend beschrieben vor um V
458. y finden Sie im McAfee Web Gateway Produkthandbuch Version 7 4 Integration in McAfee ePolicy Orchestrator McAfee ePO Erm glicht McAfee Advanced Threat Defense Informationen zum Zielhost abzurufen Wenn das Betriebssystem auf dem Zielhost bekannt ist kann fur die dynamische Analyse eine ahnliche virtuelle Umgebung ausgewahlt werden Integration in McAfee Next Generation Firewall McAfee NGFW McAfee Next Generation Firewall integriert Sicherheitsfunktionen mit hoher Verfugbarkeit und Verwaltbarkeit Sie integriert Application Control Intrusion Prevention System IPS und Umgehungspravention in eine einzige preiswerte L sung Folgende Schritte sollten von McAfee Next Generation Firewall Kunden McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Malware Erkennung und McAfee Advanced Threat Defense 1 Die McAfee Advanced Threat Defense L sung durchgefuhrt werden um McAfee Next Generation Firewall in McAfee Advanced Threat Defense zu integrieren 1 Erstellen Sie einen Advanced Threat Defense Benutzer mit dem Namen ngfw nachdem Sie sich als Administrator bei Advanced Threat Defense angemeldet haben Dieser Benutzer verf gt ber dieselben Berechtigungen wie der Benutzer nsp 2 Starten Sie amas von der CLI aus neu 3 Verwenden Sie im SCM den Benutzer ngfw um REST API Aufrufe auszuf hren Es werden keine nderungen am bestehenden SOFA Protokoll zur Datei bertragung vorgenommen D Da ein Benutzer mit dem Na
459. your computer and to change passwords and other settings Users must enter a user name and password bo use this computer Users for this computer ser Name Group Administrator Adrriristrators ZU ILISR_ROOT bCACEC4633 Guests Password For Administrator To change your password press Ctrl Ak Del snd select ey Change Password e Benutzername Geben Sie Administrator ein e Kennwort Geben Sie cr cker42 ein e Kennwort best tigen Geben Sie cr cker42 erneut ein Automatically Log Un I pr E R Liser name You can set up Your computer so that users do not have to type a user name and password to log on To do this specify a user that wil be automaticaly logged on below Administrator Shhh L Password Confirm Password Schritt 45 Laden Sie Sigcheck von der Seite http technet microsoft com en us sysinternals bb897441 aspx auf Ihren Computer den nativen Host herunter Auf der von Ihnen erstellten VM ist die Windows Firewall deaktiviert Au erdem ist kein Virenschutz installiert Daher wird empfohlen die Programme und Komponenten zuerst auf den nativen Host herunterzuladen und dann auf die VM in VMware Workstation zu kopieren McAfee Advanced Threat Defense 3 4 2 Produkthandbuch 125 126 Erstellen einer Analyse VM Erstellen einer VMDK Datei fur Windows 2003 Server Tabelle 5 3 Erstellen einer VMDK Datei aus einem ISO Image von Windows 2003 Server SP1 oder SP2
460. yse VM Anzeigen des VM Erstellungsprotokolls 242 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse Nach der Installation der McAfee Advanced Threat Defense Appliance in Ihrem Netzwerk k nnen Sie sie fur die Malware Analyse konfigurieren Verwenden Sie dazu die McAfee Advanced Threat Defense Web Anwendung Zum Konfigurieren der Malware Analyse mussen Sie mindestens uber die Webzugriffsrolle verfugen Dieser Abschnitt enthalt die Terminologie und Vorgehensweisen zum Einrichten vonMcAfee Advanced Threat Defense fur die Malware Analyse Inhalt gt Begriffe Grundlegende Schritte zum Konfigurieren der Malware Analyse gt Wie analysiert McAfee Advanced Threat Defense Malware gt Verwalten von Analyseprofilen gt Integration in McAfee ePO Integration in Data Exchange Layer Integration in McAfee Next Generation Firewall gt Konfigurieren des Proxy Servers f r die Internetverbindung gt Konfigurieren der Syslog Einstellung Konfigurieren von DNS Einstellungen gt Konfigurieren der Datums und Uhrzeiteinstellungen gt Definieren von benutzerdefinierten YARA Regeln zur Malware Identifizierung Begriffe Die Malware Analyse mit McAfee Advanced Threat Defense wird erleichtert wenn man die folgenden Begriffe kennt e Static analysis Statische Analyse Wenn McAfee Advanced Threat Defense eine unterst tzte Datei zur Analyse e
461. zeigt werden 316 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Analysieren von Malware 7 Arbeiten mit dem McAfee Advanced Threat Defense Dashboard Top 5 URLs Analyzed by GTI In diesem Monitor sehen Sie die funf schadlichsten von GTI analysierten URLs Aufgrund dieser Informationen k nnen Sie beispielsweise im Web weitere Recherchen zu diesen Dateien durchfuhren e Die Malware Dateien sind in absteigender Reihenfolge nach ihrem Schweregrad sortiert e In der ersten Spalte werden die Dateinamen angezeigt In der zweiten Spalte wird der Schweregrad angezeigt Top 5 URLs Analyzed by GTI URL Total WIWW KEEP NS3 NAME 1 MTNOUTFITTERS COM 1 HTTP FILES OBAKIRI RW DOCS F 1 HTTP FILES OBAKIRI RU DOCSF 1 Abbildung 7 24 Top 5 URLs Analyzed by GTI Top 5 URLs In diesem Monitor sehen Sie die Namen der f nf b sartigsten in Ihrem Netzwerk erkannten Dateien Die schadlichsten sind oben in der Liste aufgef hrt Aufgrund dieser Informationen k nnen Sie beispielsweise im Web weitere Recherchen zu diesen Dateien durchfuhren e Die Malware Dateien sind in absteigender Reihenfolge nach ihrem Schweregrad sortiert e Inder ersten Spalte werden die Dateinamen angezeigt In der zweiten Spalte wird der Schweregrad angezeigt Top 5 URLs URL Severity Abbildung 7 25 Top 5 URLs Monitor VM Creation Status Dieser Monitor zeigt die Farbe auf Grundlage des Status der VM Erstellung an Nachstehend wird der Farbcode angeg
462. zern Die Analyseergebnisse sowie An und Abmeldeereignisse werden an den SIEM Empf nger gesendet Dort werden die Informationen analysiert und an ESM gesendet Die Zusammenfassung wird anschlieBend in der ESM Benutzeroberflache angezeigt und kann als Repository fur Verlaufsdaten behandelt werden Der SIEM Empf nger und ESM k nnen sich auf unterschiedlichen Appliances oder in der gleichen virtuellen Umgebung befinden Vorgehensweise 1 Wahlen Sie Verwalten Syslog Setting Syslog Einstellung Syslog Setting Off box system log Fl Enabled iD Lr Logging Features 2 Nehmen Sie im BereichOff Box Systemprotokollierung folgende Einstellungen und Eintr ge vor e Wahlen Sie Aktiviert aus e IP Adresse IP Adresse des Syslog Servers e Port Portnummer zum Empfangen f r den Syslog Server Standardport ist 514 e Transport W hlen Sie in der Dropdown Liste ein Protokoll aus 3 Klicken Sie auf Test Wenn gemeldet wird dass der Vorgang erfolgreich durchgef hrt wurde klicken Sie auf OK 264 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Konfigurieren von McAfee Advanced Threat Defense fur die Malware Analyse 6 Konfigurieren der Syslog Einstellung 4 Nehmen Sie im BereichLogging Features Protokollierungsfunktionen folgende Einstellungen und Eintrage vor e W hlen Sie Analysis Results Analyseergebnisse e Wahlen Sie in der Dropdown Liste Schweregrad einen Schweregrad aus e Wenn Sie die An und Abmeldedaten mi
463. zun chst ein Upgrade auf 3 0 4 56 durchf hren e Vergewissern Sie sich dass die McAfee Advanced Threat Defense Software der Version 3 0 4 xx die Sie verwenden m chten extrahiert ist und Sie vom Client Computer aus Zugriff darauf haben Das Upgrade auf McAfee Advanced Threat Defense 3 0 4 56 erfolgt als zweistufiger Prozess Sie aktualisieren die McAfee Advanced Threat Defense Benutzeroberfl che und die McAfee Advanced Threat Defense Systemsoftware separat Stellen Sie daher sicher dass Sie von Ihrem Client Computer aus auf die Dateien ui 3 0 4 X msu und system 3 0 4 x msu zugreifen k nnen Dieser zweistufige Upgrade Vorgang ist nur erforderlich wenn Sie ein Upgrade von Version 3 0 2 x auf 3 0 4 56 durchf hren Bevor Sie die Version auf 3 0 4 75 aktualisieren k nnen m ssen Sie zun chst ein Upgrade auf 3 0 4 56 durchf hren Um anschlie end ein Upgrade von 3 0 4 56 auf 3 0 4 75 durchzuf hren m ssen Sie lediglich die Benutzeroberfl che der McAfee Advanced Threat Defense Web Anwendung MATD Software aktualisieren e Sie verf gen ber die Anmeldeinformationen um sich als Administratorbenutzer bei der McAfee Advanced Threat Defense Web Anwendung anzumelden e Sie verf gen ber die Anmeldeinformationen um sich mit SSH bei der McAfee Advanced Threat Defense CLI anzumelden e Sie verf gen ber die Anmeldeinformationen f r das SFTP der McAfee Advanced Threat Defense Appliance e F r den admin Benutzerdatensatz w hlen S
464. zwerk und klicken Sie anschlieBend auf OK Customise settings for each type of network You can modiy the Miel astiinga fer each bpa of network that yis wie P manie reparo pena d Tir or Yared fea Fri al e Ts tal a lm gH Finder Feel in Perrier Publi nestor Seile a Turm en rd Firewall F old ta E Tum a ner Feel in Of ele ered 200 McAfee Advanced Threat Defense 3 4 2 Produkthandbuch Erstellen einer Analyse VM 5 Erstellen einer VMDK Datei fur Windows 8 Schritt Details Schritt 23 Deaktivieren Sie Windows Defender 1 Offnen Sie die Systemsteuerung und wahlen Sie aus dem Dropdown Ment Anzeigen nach die Option Kleine Symbole aus Moe cet Ala Pla 9 Adol pour cor pab erg T irian Trk S debts Tina Ow aio Di ie Eu od biitin il AF Disks are Tess my Celie EA 2 Klicken Sie auf Windows Defender aay ror wpe gt Region dl Speech Recognition Ed System Troubleshooting Wd Windows Defender imj ia Ls Bee en r Dra Paim cardo Eu Freeones ns e E W RemoteApp and G Storage Spaces E Tablet PC Settinc A User Accounts P Windows Firewal 3 W hlen Sie in Windows Defender Einstellungen Administratoren und deaktivieren Sie Windows Defender aktivieren Klicken Sie anschlieBend auf Anderungen speichern Pt matar Peotoctes Fasl brH preter Krise the ad cora Laa file typ kada pee Airihi Pre ii heno Bern Derek Wree lbr heck bem r
Download Pdf Manuals
Related Search