Dépanner APT Blocker
Les fichiers entrants sont traités par les services de sécurité dans l'ordre suivant :
Gateway AntiVirus > APT Blocker > Data Loss Prevention
Les vérifications d'APT Blocker se produisent uniquement lorsque le fichier est autorisé par l'analyse de Gateway AntiVirus. Pour utiliser APT Blocker, vous devez disposer d'une clé de fonctionnalité qui active APT Blocker et Gateway AntiVirus. Les actions de Data Loss Prevention s'appliquent uniquement si Gateway AntiVirus ou APT Blocker a autorisé le fichier.
Dépanner la Soumission de Fichiers d'APT Blocker
Lors du premier examen, le hachage MD5 du fichier est contrôlé. En l'absence de correspondance avec des fichiers précédemment analysés, le fichier doit être soumis au centre de données pour analyse.
Lorsque le fichier est soumis avec succès, une tâche uuid lui est attribuée en guise de référence et est incluse dans le message de journal :
Allow 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 34063 80 msg="ProxyAllow: HTTP File submitted to APT analysis server" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/test/sample.exe" md5="dd0af53fec2267757cd90d633acd549a" task_uuid="35c8ac1aaeee4e5186d584318deb397b" (HTTP-proxy-00)
Lorsque le fichier est soumis au centre de données et qu'il est identifié comme menace, ce journal d'évènements est généré de manière à vous informer que la notification d'APT Blocker a été envoyée.
Menace APT notifiée. Details='Policy Name: HTTPS-proxy-00 Reason: high APT threat detected Task_UUID: d09445005c3f4a9a9bb78c8cb34edc2a Source IP: 10.0.1.2 Source Port: 43130 Destination IP: 67.228.175.200 Destination Port: 443 Proxy Type: HTTP Proxy Host: analysis.lastline.com Path: /docs/apt_sample.exe'
Ce type de message de journal s'affiche lorsqu'APT Blocker détecte une menace. Le message de journal spécifie le niveau de menace, le nom de la menace, la classe de menace, les activités malveillantes, le nom d'hôte de destination et le chemin URI.
Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 48120 80 msg="ProxyDrop: HTTP APT Detected" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/apt_sample.exe" md5="2e77cadb722944a3979571b444ed5183"
Ce type de message de journal s'affiche lorsqu'un fichier est analysé et considéré inoffensif et exempt de programme malveillant (malware) via la vérification de hachage de fichier ou le chargement vers le centre de données :
Allow 2-Internal 0-External tcp 172.16.182.27 172.16.180.32 52816 80 msg="ProxyAllow: HTTP File reported safe from APT hash check" proxy_act="HTTP-Client.Standard.1" host="172.16.180.32" path="/VOD/5k_end.zip" md5="221f11af6a29be878ad54f164304f1f2" task_uuid="d1eb81f2519c466e93db4827167dd935" (HTTP-proxy-00)