Los archivos entrantes son procesados por los servicios de seguridad en este orden:
Gateway AntiVirus > APT Blocker > Data Loss Prevention
Las comprobaciones de APT Blocker ocurren solamente cuando el archivo es permitido por el escaneo de Gateway AntiVirus. Para usar APT Blocker, debe tener una llave de licencia que habilite APT Blocker y Gateway AntiVirus. Las acciones de Data Loss Prevention se aplican solamente si Gateway AntiVirus o APT Blocker permitieron el archivo.
Resolución de Problemas del Envío de Archivos de APT Blocker
Cuando se examina primero, ocurre una comprobación hash MD5 del archivo. Si no hay una coincidencia con ningún archivo previamente analizado, el archivo se debe enviar al centro de datos para el análisis.
Cuando el archivo se envía con éxito, se asigna una task_uuid como referencia y se incluye en el mensaje de registro:
Allow 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 34063 80 msg="ProxyAllow: HTTP File submitted to APT analysis server" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/test/sample.exe" md5="dd0af53fec2267757cd90d633acd549a" task_uuid="35c8ac1aaeee4e5186d584318deb397b" (HTTP-proxy-00)
Cuando el archivo se envía al centro de datos y el archivo se identifica como una amenaza, se genera este registro de evento para informarle que se ha enviado la notificación de APT Blocker.
Amenaza APT notificada. Details='Policy Name: HTTPS-proxy-00 Reason: high APT threat detected Task_UUID: d09445005c3f4a9a9bb78c8cb34edc2a Source IP: 10.0.1.2 Source Port: 43130 Destination IP: 67.228.175.200 Destination Port: 443 Proxy Type: HTTP Proxy Host: analysis.lastline.com Path: /docs/apt_sample.exe'
Este tipo de mensaje de registro aparece cuando APT Blocker detecta una amenaza. El mensaje de registro especifica el nivel de la amenaza, el nombre de la amenaza, la clase de la amenaza, las actividades maliciosas, el nombre de host de destino y la ruta URI.
Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 48120 80 msg="ProxyDrop: HTTP APT Detected" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/apt_sample.exe" md5="2e77cadb722944a3979571b444ed5183"
Este tipo de mensaje de registro aparece cuando se escanea un archivo y se determina que está limpio y libre de malware por la revisión de archivo hash o carga al centro de datos:
Allow 2-Internal 0-External tcp 172.16.182.27 172.16.180.32 52816 80 msg="ProxyAllow: HTTP File reported safe from APT hash check" proxy_act="HTTP-Client.Standard.1" host="172.16.180.32" path="/VOD/5k_end.zip" md5="221f11af6a29be878ad54f164304f1f2" task_uuid="d1eb81f2519c466e93db4827167dd935" (HTTP-proxy-00)