Guía del producto Revisión A McAfee Advanced Threat Defense 3.4.2 COPYRIGHT Copyright © 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com ATRIBUCIONES DE MARCAS COMERCIALES Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Advanced Threat Defense 3.4.2 Guía del producto Contenido Prefacio 9 Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10 1 ® Detección de malware y McAfee Advanced Threat Defense 11 El escenario de amenaza de malware . . . . . . . . . . . . . . . . . . . . . . . . . . La solución McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . Opciones de despliegue de McAfee Advanced Threat Defense . . . . . . . . . . . . . Ventajas de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . 2 Configuración de McAfee Advanced Threat Defense Appliance 19 Acerca del dispositivo McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . Funciones del dispositivo McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . Antes de instalar McAfee Advanced Threat Defense Appliance . . . . . . . . . . . . . . . . Advertencias y precauciones . . . . . . . . . . . . . . . . . . . . . . . . . . Restricciones de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desempaquete el envío . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compruebe el paquete . . . . . . . . . . . . . . . . . . . . . . . . . . . . Especificaciones de hardware y requisitos de entorno . . . . . . . . . . . . . . . . . . . Números de puerto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . Instalar o quitar las asas del bastidor . . . . . . . . . . . . . . . . . . . . . . Instalar o quitar el dispositivo del bastidor . . . . . . . . . . . . . . . . . . . . Encienda McAfee Advanced Threat Defense Appliance . . . . . . . . . . . . . . . . Manipulación del bisel frontal . . . . . . . . . . . . . . . . . . . . . . . . . . Conecte el cable de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la información de red para McAfee Advanced Threat Defense Appliance . . 3 Acceso a la aplicación web McAfee Advanced Threat Defense Administración de Advanced Threat Defense 35 36 37 Administración de usuarios de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . Ver perfiles de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . Agregar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Editar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eliminación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . Supervisar el rendimiento de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . Amplíe McAfee Advanced Threat Defense y la máquina virtual Android . . . . . . . . . . . . Ampliación del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx . . . . . Amplié el software McAfee Advanced Threat Defense de 3.0.2.36 a 3.2.0.xx . . . . . . . Amplíe el software McAfee Advanced Threat Defense de 3.0.4.xx a 3.2.0.xx . . . . . . . McAfee Advanced Threat Defense 3.4.2 19 19 20 21 21 22 22 25 27 27 28 28 31 31 32 32 35 Requisitos del cliente McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . Acceso a la aplicación web McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . 4 11 12 14 17 37 38 40 43 43 43 44 45 48 51 Guía del producto 3 Contenido 5 Amplíe el software ATD de 3.2.0.xx a 3.2.2.xx . . . . . . . . . . . . . . . . . . . Ampliar la máquina virtual analizadora de Android . . . . . . . . . . . . . . . . . Troubleshooting (Solución de problemas) . . . . . . . . . . . . . . . . . . . . . . . . Exportación de registros de McAfee Advanced Threat Defense . . . . . . . . . . . . . Volver a crear las máquinas virtuales analizadoras . . . . . . . . . . . . . . . . . Eliminación de los resultados del análisis . . . . . . . . . . . . . . . . . . . . . Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense . . . . . . Planificar una copia de seguridad de base de datos . . . . . . . . . . . . . . . . . Restaurar una copia de seguridad de base de datos: archivo de copia de seguridad específico archivo de copia de seguridad anterior . . . . . . . . . . . . . . . . . . . . . . 53 55 58 59 60 61 61 62 y 65 Creación de una máquina virtual analizadora 71 Creación de un archivo VMDK para Windows XP . . . . . . . . . . . . . . . . . . . . . Creación de un archivo VMDK para Windows 2003 Server . . . . . . . . . . . . . . . . . Creación de un archivo VMDK para Windows 7 . . . . . . . . . . . . . . . . . . . . . Creación de un archivo VMDK para Windows 2008 Server . . . . . . . . . . . . . . . . . Creación de un archivo VMDK para Windows 8 . . . . . . . . . . . . . . . . . . . . . Importación de un archivo VMDK en McAfee Advanced Threat Defense . . . . . . . . . . . Convierta el archivo VMDK en un archivo de imagen . . . . . . . . . . . . . . . . . . . Administración de perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . Ver perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . . Crear perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . Editar perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . Eliminación de perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . Ver el registro de creación de máquina virtual . . . . . . . . . . . . . . . . . . . . . . 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pasos de alto nivel para configurar el análisis de malware . . . . . . . . . . . . . . . . . ¿Cómo analiza el malware McAfee Advanced Threat Defense? . . . . . . . . . . . . . . . Acceso por Internet a archivos de muestra . . . . . . . . . . . . . . . . . . . . Administrar perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . . Ver perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . . Editar perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . . Eliminación de perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . Integración con McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurar la integración con McAfee ePO . . . . . . . . . . . . . . . . . . . . Integración con Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de la integración con Data Exchange Layer . . . . . . . . . . . . . . Integración con McAfee Next Generation Firewall . . . . . . . . . . . . . . . . . . . . Especificar servidor proxy para conectividad de Internet . . . . . . . . . . . . . . . . . Especificación de configuración de proxy para tráfico de Global Threat Intelligence . . . . Especificar la configuración del proxy de sitio de malware para el tráfico de malware . . . Configuración del parámetro Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de los ajustes de fecha y hora . . . . . . . . . . . . . . . . . . . . . . Defina reglas YARA personalizadas para identificar malware . . . . . . . . . . . . . . . . Creación del archivo de reglas YARA personalizadas . . . . . . . . . . . . . . . . Importación del archivo de reglas YARA personalizadas . . . . . . . . . . . . . . . Activación y desactivación de reglas YARA personalizadas . . . . . . . . . . . . . . Modificar reglas YARA personalizadas . . . . . . . . . . . . . . . . . . . . . . 7 Análisis de malware McAfee Advanced Threat Defense 3.4.2 241 241 245 246 246 249 250 251 254 254 254 256 257 258 259 259 260 261 262 266 266 270 273 276 276 277 279 Analizar archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 73 104 137 162 188 228 228 231 232 233 238 239 239 279 Guía del producto Contenido Cargue archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Cargar archivos para su análisis mediante SFTP . . . . . . . . . . . . . . . . . . 286 Analizar URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 ¿Cómo analiza Advanced Threat Defense las direcciones URL? . . . . . . . . . . . . 287 Cargue URL para su análisis mediante la aplicación web Advanced Threat Defense . . . . 288 Configurar la página Analysis Status (Estado de análisis) . . . . . . . . . . . . . . . . . 290 Ver los resultados del análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 Ver el informe Analysis Summary (Resumen del análisis) . . . . . . . . . . . . . . 296 Informe Dropped Files (Archivos depositados) . . . . . . . . . . . . . . . . . . 303 Disassembly Results (Resultados de desensamblaje) . . . . . . . . . . . . . . . . 303 Logic Path Graph (Gráfico de ruta lógica) . . . . . . . . . . . . . . . . . . . . 304 User API Log (Registro de las API de usuario) . . . . . . . . . . . . . . . . . . . 309 Descarga de resultados completos en un archivo .zip . . . . . . . . . . . . . . . . 309 Descargue la muestra original . . . . . . . . . . . . . . . . . . . . . . . . . 311 Trabajar con el panel McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . 311 Monitores de análisis de malware . . . . . . . . . . . . . . . . . . . . . . . . 312 Monitor de estado de creación de máquina virtual . . . . . . . . . . . . . . . . . 317 Monitores de rendimiento de McAfee Advanced Threat Defense . . . . . . . . . . . . 317 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances El clúster de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . Requisitos previos y consideraciones . . . . . . . . . . . . . . . . . . . . . . . . . Conexiones de red para un clúster de Advanced Threat Defense . . . . . . . . . . . . . . ¿Cómo funciona el clúster Advanced Threat Defense? . . . . . . . . . . . . . . . . . . . Flujo de proceso para Network Security Platform . . . . . . . . . . . . . . . . . Flujo de proceso para McAfee Web Gateway . . . . . . . . . . . . . . . . . . . Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense . . . . . . . . Creación del clúster de McAfee Advanced Threat Defense . . . . . . . . . . . . . . Supervisar el estado de un clúster de Advanced Threat Defense . . . . . . . . . . . Envío de muestras a un clúster de Advanced Threat Defense . . . . . . . . . . . . . Supervisar el estado del análisis de un clúster de Advanced Threat Defense . . . . . . . Supervisar los resultados del análisis de un clúster de Advanced Threat Defense . . . . . Modificación de las configuraciones de un clúster de McAfee Advanced Threat Defense . . 9 Comandos CLI para McAfee Advanced Threat Defense 319 320 321 323 327 329 330 331 335 340 340 341 342 345 Emisión de comandos CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cómo emitir un comando a través de la consola . . . . . . . . . . . . . . . . . . Emisión de comandos mediante SSH . . . . . . . . . . . . . . . . . . . . . . Iniciar sesión en McAfee Advanced Threat Defense Appliance mediante un cliente SSH . . Autocompletar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sintaxis para CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comandos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inicie sesión en la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Significado de “?” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Administración de los discos de McAfee Advanced Threat Defense Appliance . . . . . . . . . Lista de comandos CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . amas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . atdcounter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . informes de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . backup reports date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista negra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . clearstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cluster withdraw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . createDefaultVms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . db_repair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee Advanced Threat Defense 3.4.2 319 345 345 346 346 346 346 347 347 347 347 348 348 348 348 349 349 350 350 350 350 Guía del producto 5 Contenido deleteblacklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . deletesamplereport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . diskcleanup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dxlstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . docfilterstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . factorydefaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ftptest USER_NAME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . gti-restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . heuristic_analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . install msu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . lbstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . lowseveritystatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . quit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . resetuiadminpasswd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . resetusertimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . restart network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . route add/delete network . . . . . . . . . . . . . . . . . . . . . . . . . . . samplefilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set appliance dns A.B.C.D E.F.G.H WORD . . . . . . . . . . . . . . . . . . . . set intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set intfport auto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set intfport ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set intfport speed duplex . . . . . . . . . . . . . . . . . . . . . . . . . . . set malware-intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set mgmtport auto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set mgmtport speed and duplex . . . . . . . . . . . . . . . . . . . . . . . . set filesizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set fips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set heuristic_analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . set appliance gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . set appliance ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set appliance name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set uilog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set ui-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set waittime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show epo-stats nsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show filesizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show fips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show history . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show heuristic_analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . show intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show msu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show nsp scandetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show ui-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 McAfee Advanced Threat Defense 3.4.2 351 351 351 351 351 352 352 353 353 353 353 356 356 356 356 357 357 357 358 358 358 358 359 359 359 360 360 360 360 360 361 361 361 362 363 363 363 363 364 364 364 364 365 365 365 366 366 367 367 367 367 367 368 368 369 369 Guía del producto Contenido show uilog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . show waittime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . update_avdat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vmlist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . watchdog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . set malware-intfport mgmt . . . . . . . . . . . . . . . . . . . . . . . . . . whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Índice McAfee Advanced Threat Defense 3.4.2 369 369 370 370 370 370 371 371 371 371 372 373 Guía del producto 7 Contenido 8 McAfee Advanced Threat Defense 3.4.2 Guía del producto Prefacio Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va destinada. La información de esta guía está dirigida principalmente a: • Administradores: personas que implementan y aplican el programa de seguridad de la empresa. • Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden acceder a todas o algunas de sus funciones. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Título de libro, término o énfasis Título de un libro, capítulo o tema; introducción de un nuevo término; énfasis. Negrita Texto que se enfatiza particularmente. Datos introducidos por el usuario, código, mensajes Comandos u otro texto que escribe el usuario; un ejemplo de código; un mensaje que aparece en pantalla. Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones, menús, botones y cuadros de diálogo. Azul hipertexto Un vínculo a un tema o a un sitio web externo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Prefacio Búsqueda de documentación de productos Nota: Información adicional, como un método alternativo de acceso a una opción. Sugerencia: Sugerencias y recomendaciones. Importante/atención: Consejo importante para proteger el sistema, la instalación del software, la red, la empresa o los datos. Advertencia: Consejo especialmente importante para prevenir daños físicos cuando se usa un producto de hardware. Búsqueda de documentación de productos Una vez que se lanza un producto, la información del producto se introduce en el Centro de conocimiento online de McAfee. Procedimiento 10 1 Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com. 2 En el panel Contenido de soporte: • Haga clic en Documentación de productos para localizar documentación de usuario. • Haga clic en Artículos técnicos para localizar artículos de la Base de conocimiento. 3 Seleccione No borrar mis filtros. 4 Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una lista con documentos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 1 Detección de malware y McAfee Advanced Threat Defense ® Año tras año, el malware ha evolucionado hasta convertirse en una herramienta muy sofisticada para actividades dañinas tales como el robo de información valiosa, el acceso a los recursos de equipos privados sin conocimiento del propietario y la alteración de las operaciones de empresas. Al mismo tiempo, los avances tecnológicos proporcionan opciones ilimitadas de enviar archivos maliciosos a usuarios desprevenidos. Cada día aparecen centenares de miles de nuevas variantes de malware que hacen la detección de malware un trabajo cada vez más complejo. Las técnicas tradicionales antimalware ya no son suficientes para proteger su red. La respuesta de McAfee a este desafío es la solución McAfee Advanced Threat Defense. Se trata de un appliance local que facilita la detección y prevención del malware. McAfee Advanced Threat Defense proporciona protección frente a malware conocido, de tipo zero-day (día cero) y casi zero-day, todo ello sin sacrificar ni un ápice de calidad en el servicio que ofrece a los usuarios de su red. McAfee Advanced Threat Defense ofrece la ventaja adicional de ser una solución integrada. Además de sus capacidades de detección de amenazas en múltiples niveles, su habilidad para integrarse perfectamente con otros productos de seguridad McAfee le asegura que su red está protegida contra malware y otras amenazas persistentes avanzadas (APTs en inglés). Contenido El escenario de amenaza de malware La solución McAfee Advanced Threat Defense El escenario de amenaza de malware Denominamos malware a cualquier software capaz de verse envuelto en actividades hostiles a un equipo, aplicación o red. McAfee Advanced Threat Defense está diseñado para detectar malware basado en archivos. Antiguamente, los usuarios solían recibir malware en forma de archivos adjuntos a correos electrónicos. Con el aumento de aplicaciones de Internet, los usuarios solo han de hacer clic en un vínculo para descargar un archivo. Hoy en día existen muchas opciones para el envío de estos McAfee Advanced Threat Defense 3.4.2 Guía del producto 11 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® archivos: blogs, sitios de redes sociales, sitios web, mensajes de chat, correo electrónico web, paneles de mensajes y muchos más. Los principales desafíos al intentar controlar este problema radican en detectar el malware en el menor tiempo posible y evitar que se extienda a otros equipos. Hay cuatro aspectos principales en una estrategia antimalware: • Detección de la descarga de archivos: Cuando un usuario intenta descargar un archivo de un recurso externo, el producto de seguridad debe ser capaz de detectarlo. • Análisis del archivo en busca de malware: Debe ser capaz de verificar si el archivo contiene algún malware conocido. • Bloquear futuras descargas del mismo archivo: A continuación, si el archivo resulta ser malicioso, la protección antimalware debe evitar futuras descargas del mismo archivo o alguna de sus variantes. • Identificar y solucionar los hosts afectados: El sistema de seguridad debe ser capaz de identificar el host que ha ejecutado el malware y también los hosts a los que se haya extendido. A continuación, debe ser capaz de poner en cuarentena los hosts afectados hasta que vuelvan a estar limpios. La solución McAfee Advanced Threat Defense Una solución de seguridad que dependa de un solo método o proceso no es adecuada para proporcionar una protección completa y fiable contra los ataques de malware. Puede necesitar una solución a varios niveles que ponga en juego varias técnicas y productos. La solución puede incluir coincidencia con patrones, reputación global, emulación de programas, análisis estático y análisis dinámico. Todos estos niveles deben estar perfectamente integrados para proporcionarle un único punto de control para que pueda configurarlos y administrarlos fácilmente. Por ejemplo, la coincidencia con patrones puede no ser capaz de detectar ataques de tipo zero-day (día cero). De forma similar, el análisis estático consume menos tiempo que el análisis dinámico. Sin embargo, el malware puede evitar el análisis estático mediante la ocultación de código. El malware también puede evitar el análisis dinámico, retrasando su ejecución o usando una ruta de ejecución alternativa si detecta que se está ejecutando en un recinto aislado. Por ello, es importante que la protección antimalware use un enfoque en varios niveles. Existen otros productos antimalware deMcAfee, líderes en su sector, para la Web, redes y endpoints. Sin embargo, McAfee reconoce que una solución antimalware robusta requiere un enfoque en varios niveles. El resultado de esta convicción es McAfee Advanced Threat Defense. La solución McAfee Advanced Threat Defense consta principalmente de McAfee Advanced Threat Defense Appliance y el software preinstalado. McAfee Advanced Threat Defense Appliance está disponible en dos modelos. El modelo estándar es el ATD-3000. El modelo de gama alta es el ATD-6000. McAfee Advanced Threat Defense integra sus capacidades nativas con otros productos McAfee para proporcionarle una defensa en varios niveles contra el malware: 12 • Su mecanismo preliminar de detección consta de una lista negra local que detecta rápidamente el malware conocido. • Se integra con McAfee® Global Threat Intelligence™ (McAfee GTI) a fin de buscar en la nube y detectar malware que ya han identificado organizaciones de todo el mundo. • Tiene integrado el motor Gateway Anti-Malware Engine de McAfee por sus capacidades de emulación. McAfee Advanced Threat Defense 3.4.2 Guía del producto Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® • Tiene el motor Anti-Malware Engine de McAfee integrado por sus funciones de detección basadas en firmas. • Analiza dinámicamente el archivo, ejecutándolo en un recinto aislado virtual. Basándose en el comportamiento del archivo, McAfee Advanced Threat Defense determina si es malicioso o no. 1 Figura 1-1 Componentes para el análisis de malware McAfee Advanced Threat Defense 3.4.2 Guía del producto 13 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® Opciones de despliegue de McAfee Advanced Threat Defense Puede desplegar McAfee Advanced Threat Defense de las siguientes maneras: • Despliegue autónomo: esta es la manera más sencilla de desplegar McAfee Advanced Threat Defense. En este caso, no está integrado con otros productos externos de McAfee. Cuando el appliance se despliega autónomamente, usted puede enviar manualmente los archivos sospechosos mediante la aplicación web McAfee Advanced Threat Defense. Alternativamente, puede enviar las muestras mediante un cliente FTP. Esta opción de despliegue se puede usar, por ejemplo, durante la fase de comprobación y evaluación, para ajustar la configuración y analizar los archivos sospechosos en un segmento aislado de la red. Además, los ingenieros de investigación podrían usar la opción de despliegue autónomo para un análisis detallado del malware. Figura 1-2 Un escenario de despliegue autónomo 14 McAfee Advanced Threat Defense 3.4.2 Guía del producto Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® • 1 Integración con Network Security Platform: este despliegue implica integrar McAfee Advanced Threat Defense con Network Security Platform Sensor y Manager. Dependiendo de la forma en que haya configurado la correspondiente directiva avanzada de malware, un Sensor en línea detectará la descarga de un archivo y enviará una copia del mismo a McAfee Advanced Threat Defense para su análisis. Si McAfee Advanced Threat Defense detecta malware en un plazo de pocos segundos, Sensor puede bloquear la descarga. Manager muestra los resultados del análisis de McAfee Advanced Threat Defense. Si McAfee Advanced Threat Defense necesita más tiempo para completar el análisis, Sensor permitirá la descarga completa del archivo. Si McAfee Advanced Threat Defense detecta malware tras la descarga del archivo, informará a Network Security Platform y podrá usar Sensor para poner el host en cuarentena hasta que esté limpio y solucionado. Puede configurar Manager para que actualice todos los Sensors acerca de este archivo malicioso. Por tanto, si este archivo vuelve a descargarse en cualquier punto de su red, los Sensors lo bloquearán automáticamente. Para más información sobre cómo integrar Network Security Platform y McAfee Advanced Threat Defense, consulte la Network Security PlatformGuía de integración más reciente. Figura 1-3 Integración con Network Security Platform y McAfee ePO McAfee Advanced Threat Defense 3.4.2 Guía del producto 15 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® • Integración con McAfee® Web Gateway: puede configurar McAfee Advanced Threat Defense como un motor adicional para la protección antimalware. Cuando un usuario de su red descarga un archivo, el motor nativo McAfee Gateway Anti-Malware Engine en McAfee® Web Gateway analiza el archivo y le asigna una calificación de malware. Basándose en esa calificación y en el tipo de archivo, McAfee® Web Gateway envía una copia del mismo a McAfee Advanced Threat Defense para realizar una inspección en profundidad y un análisis dinámico. Una página de progreso informa a sus usuarios de que el archivo solicitado se está analizando en busca de malware. Basándose en el nivel de gravedad del malware asignado por McAfee Advanced Threat Defense, McAfee® Web Gateway decide si se debe bloquear el archivo o no. Si se bloquea, las razones se mostrarán a sus usuarios. Puede consultar los detalles del malware detectado en el archivo de registro. Figura 1-4 Integración con McAfee® Web Gateway Este diseño garantiza que solo se envían a McAfee Advanced Threat Defense aquellos archivos que realmente requieren un análisis en profundidad. Así se logra un buen equilibrio entre seguridad y velocidad de descarga, lo que redunda en una mejor experiencia para sus usuarios. Para más información sobre cómo integrar McAfee Advanced Threat Defense y McAfee® Web Gateway, consulte la McAfee® Web Gateway Guía del producto, versión 7.4. 16 • Integración con McAfee® ePolicy Orchestrator (McAfee ePO): esta integración permite que McAfee Advanced Threat Defense recupere la información acerca del host de destino. Conociendo el sistema operativo del host de destino, puede seleccionar un entorno virtual similar para el análisis dinámico. • Integración con McAfee Next Generation Firewall (McAfee NGFW): McAfee Next Generation Firewall integra funciones de seguridad de alta disponibilidad y capacidad de gestión. Integra funciones de control de aplicaciones, sistema de prevención de intrusiones (IPS) y prevención de evasiones en ® McAfee Advanced Threat Defense 3.4.2 Guía del producto 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® una única solución asequible. El cliente de McAfee Next Generation Firewall debe seguir los pasos siguientes para integrar McAfee Next Generation Firewall con McAfee Advanced Threat Defense: 1 Crear un usuario denominado “ngfw” en Advanced Threat Defense después de iniciar sesión en Advanced Threat Defense como "admin". Este usuario tiene los mismos privilegios que el usuario "nsp". 2 Reiniciar amas desde la CLI. 3 Utilizar el usuario "ngfw" en SCM para llamadas de API REST. No hay cambios en el protocolo SOFA existente para el envío de archivos. Dado que existe un usuario “ngfw”, se presupone que todos los envíos de archivos a través del canal SOFA proceden de appliances McAfee NGFW. Advanced Threat Defense no es capaz de admitir McAfee Network Security Platform y McAfee Next Generation Firewall en el mismo entorno. Cómo las opciones de despliegue afrontan los cuatro aspectos principales del ciclo de proceso antimalware: • Detección de la descarga de archivos: en cuanto un usuario accede a un archivo, el Sensor en línea Network Security Platform o McAfee® Web Gateway lo detecta y envía una copia del archivo a McAfee Advanced Threat Defense para su análisis. • Análisis del archivo en busca de malware: incluso antes de que el usuario acabe de descargar el archivo, McAfee Advanced Threat Defense puede detectar malware conocido mediante fuentes locales o en la nube. • Bloqueo de futuras descargas del mismo archivo: cada vez que McAfee Advanced Threat Defense detecta un malware de gravedad media, alta o muy alta, actualiza su lista negra local. • Identificación y solución de los hosts afectados: la integración con Network Security Platform permite poner el host en cuarentena hasta que se pueda limpiar y arreglar. Ventajas de McAfee Advanced Threat Defense Le presentamos algunas de las ventajas que le proporciona McAfee Advanced Threat Defense: • Es una solución local que tiene acceso a GTI en la nube. Además, puede integrarla con otros productos de seguridad de McAfee. • McAfee Advanced Threat Defense no rastrea ni controla el tráfico de red. Analiza los archivos que envía para análisis de malware. Esto significa que puede colocar McAfee Advanced Threat Defense Appliance en cualquier punto de su red, siempre y cuando esté al alcance de los productos McAfee integrados. También resulta posible para un McAfee Advanced Threat Defense Appliance dar servicio a todos esos productos integrados (suponiendo que el número de archivos enviados quede dentro de los niveles admitidos). Este diseño lo convierte en una solución antimalware escalable y efectiva en costes. • McAfee Advanced Threat Defense no es un dispositivo en línea. Puede recibir archivos desde Sensors IPS para analizarlos en busca de malware. Así que es posible desplegar McAfee Advanced Threat Defense de manera que tenga todas las ventajas de una solución antimalware en línea, pero sin ninguno de los inconvenientes. • Android es actualmente uno de los principales objetivos de los desarrolladores de malware. Con esa integración, los dispositivos de bolsillo basados en Android de su red también están protegidos. Puede analizar dinámicamente los archivos descargados por sus dispositivos Android como teléfonos inteligentes y tabletas. McAfee Advanced Threat Defense 3.4.2 Guía del producto 17 1 18 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense ® • Los archivos son analizados simultáneamente por varios motores. De esta forma, es posible bloquear el malware conocido prácticamente en tiempo real. • Cuando McAfee Advanced Threat Defense analiza dinámicamente un archivo, selecciona la máquina virtual analizadora que use el mismo sistema operativo y aplicaciones que el host de destino. Esto es posible gracias a la integración con McAfee ePO o a través de una función pasiva de perfiles de dispositivo de Network Security Platform. Esto le permite identificar el impacto exacto que tendría en el host de destino, para que pueda tomar las medidas necesarias para remediarlo. También significa que McAfee Advanced Threat Defense ejecuta el archivo tan solo en la máquina virtual necesaria, reservando sus recursos para otros archivos. • Supongamos que un host ha descargado un malware de tipo zero-day (día cero), pero el Sensor que ha detectado este archivo lo ha enviado a McAfee Advanced Threat Defense. Tras el análisis dinámico, McAfee Advanced Threat Defense determina que el archivo es malicioso. Basándose en su configuración de directiva avanzada de malware, Manager puede agregar este malware a la lista negra de los Sensors en la red de su organización. Esta también podría estar en la lista negra de McAfee Advanced Threat Defense. Así, las posibilidades de que el mismo archivo vuelva a entrar en su red se ven disminuidas. • Podrá contener un malware de tipo zero-day (día cero) incluso si es la primera vez que se descarga, poniendo a los hosts afectados en cuarentena hasta que se limpien y solucionen. • El empaquetamiento puede cambiar la composición del código o permitir que el malware evada la ingeniería inversa. Por ello, es muy importante que el desempaquetamiento se realice correctamente para poder obtener el código de malware para su análisis. McAfee Advanced Threat Defense es capaz de desempaquetar el código de tal modo que el código original esté seguro para el análisis estático. McAfee Advanced Threat Defense 3.4.2 Guía del producto 2 Configuración de McAfee Advanced Threat Defense Appliance Consulte este capítulo para obtener información acerca de McAfee Advanced Threat Defense Appliance y su configuración. Contenido Acerca del dispositivo McAfee Advanced Threat Defense Funciones del dispositivo McAfee Advanced Threat Defense Antes de instalar McAfee Advanced Threat Defense Appliance Especificaciones de hardware y requisitos de entorno Configuración de McAfee Advanced Threat Defense Acerca del dispositivo McAfee Advanced Threat Defense Dependiendo del modelo, el dispositivo McAfee Advanced Threat Defense es un chasis de 1 U o 2 U de bastidor con un procesador de la familia de productos Intel® Xeon® E5-2600. El dispositivo McAfee Advanced Threat Defense se ejecuta en un kernel Linux 3.6.0 preinstalado y reforzado, que viene ya cargado con el software McAfee Advanced Threat Defense. El dispositivo McAfee Advanced Threat Defense está disponible en los siguientes modelos: • ATD-3000: este modelo estándar usa un chasis 1U. • ATD-6000: este modelo de gama alta usa un chasis 2U. Funciones del dispositivo McAfee Advanced Threat Defense Los dispositivos McAfee Advanced Threat Defense son servidores de alto rendimiento flexibles, escalables y diseñados específicamente para analizar archivos sospechosos en busca de malware. McAfee Advanced Threat Defense 3.4.2 Guía del producto 19 2 Configuración de McAfee Advanced Threat Defense Appliance Antes de instalar McAfee Advanced Threat Defense Appliance A continuación se detallan las funciones principales del dispositivo McAfee Advanced Threat Defense: • Alojar el software McAfee Advanced Threat Defense que analiza los archivos en busca de malware. • Alojar la aplicación web McAfee Advanced Threat Defense. • Alojar las máquinas virtuales que se usan para el análisis dinámico de los archivos sospechosos. Para consultar las cifras de rendimiento de ATD-3000 y ATD-6000, póngase en contacto con el soporte de McAfee. Antes de instalar McAfee Advanced Threat Defense Appliance Esta sección describe las tareas que se deben completar antes de empezar a instalar McAfee Advanced Threat Defense. 20 • Lea toda la documentación que se suministra antes de la instalación. • Asegúrese de que ha elegido una ubicación adecuada para instalar McAfee Advanced Threat Defense Appliance. • Compruebe que dispone de todo el equipo y los componentes necesarios descritos en este documento. • Familiarícese con los puertos y conectores de la tarjeta de acceso a la red (NIC) de McAfee Advanced Threat Defense Appliance, tal y como se describen en este documento. • Le recomendamos que tenga la siguiente información cuando configure McAfee Advanced Threat Defense Appliance: • Dirección IPv4 a la que quiere asignar el Appliance. • Máscara de red. • Dirección de gateway predeterminada. McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense Appliance Antes de instalar McAfee Advanced Threat Defense Appliance 2 Advertencias y precauciones Lea y siga estas advertencias de seguridad cuando instale el dispositivo McAfee Advanced Threat Defense. La no observación de las mismas podría resultar en serios daños personales. Encendido/apagado del dispositivo McAfee Advanced Threat Defense: el botón de encendido/apagado del panel frontal del dispositivo McAfee Advanced Threat Defense no corta la corriente CA. Para cortar la corriente CA en el dispositivo McAfee Advanced Threat Defense, deberá desenchufar el cable de alimentación CA de la fuente de alimentación o de la toma de la pared. Las fuentes de alimentación del sistema pueden producir altos voltajes y riesgo de descarga eléctrica que podrían causar daños personales. Solo los técnicos de servicio especializados están autorizados a retirar las cubiertas y acceder a los componentes internos del sistema. Situaciones de riesgo relacionadas con dispositivos y cables: Es posible que existan situaciones de riesgo eléctrico en los cables de alimentación, de teléfono y de comunicación. Apague el dispositivo McAfee Advanced Threat Defense y desconecte los sistemas de telecomunicaciones, las redes, los módems y ambos cables de alimentación conectados al dispositivo McAfee Advanced Threat Defense antes de abrirlo. De lo contrario, podrían producirse daños personales o materiales. Evite lesiones: levantar y fijar el dispositivo McAfee Advanced Threat Defense al bastidor es una tarea para dos personas. Este equipo está diseñado para usarse con una toma de tierra. Asegúrese de que el host está conectado a una toma de tierra durante su uso. No debe retirar la carcasa exterior del dispositivo McAfee Advanced Threat Defense. Hacerlo invalidaría la garantía. No opere el sistema a no ser que todas las tarjetas, cubiertas, paneles frontales y paneles posteriores estén en su lugar. Los paneles y cubiertas evitan la exposición a los voltajes y corrientes peligrosas del interior del chasis, contienen las interferencias electromagnéticas que podrían interferir con otro equipo y dirigen el flujo de aire de ventilación a través del chasis. Para evitar descargas eléctricas, no conecte circuitos de voltaje muy bajo (SELV) a los circuitos de voltaje de red telefónica (TNV). Los puertos LAN contienen circuitos SELV, y los puertos WAN contienen circuitos TNV. Algunos puertos LAN y WAN usan conectores RJ-45. Tenga cuidado al conectar los cables. Restricciones de uso Las siguientes restricciones se aplican al uso y operación del dispositivo McAfee Advanced Threat Defense: • No debe retirar la carcasa exterior del dispositivo McAfee Advanced Threat Defense. Hacerlo invalidaría la garantía. • El dispositivo McAfee Advanced Threat Defense no es un servidor de uso general. • McAfee prohíbe el uso del dispositivo McAfee Advanced Threat Defense para cualquier otros propósito que no sea el de operar la solución McAfee Advanced Threat Defense. • McAfee prohíbe la modificación o instalación de cualquier hardware o software en el dispositivo McAfee Advanced Threat Defense que no sea parte de la operativa normal de McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 21 2 Configuración de McAfee Advanced Threat Defense Appliance Antes de instalar McAfee Advanced Threat Defense Appliance Desempaquete el envío 1 Abra la caja. 2 Saque la primera caja de accesorios. 3 Compruebe que ha recibido todas las partes que aparecen listadas en Compruebe el paquete en la página 22. 4 Extraiga el dispositivo McAfee Advanced Threat Defense. 5 Coloque el dispositivo McAfee Advanced Threat Defense tan cerca del lugar de instalación como le sea posible. 6 Coloque la caja de forma que el texto esté en la posición correcta. 7 Abra las solapas superiores de la caja. 8 Saque la caja de accesorios que contiene la caja del dispositivo McAfee Advanced Threat Defense. 9 Extraiga el kit de railes deslizantes. 10 Saque el material de relleno que rodea el dispositivo McAfee Advanced Threat Defense. 11 Extraiga el dispositivo McAfee Advanced Threat Defense de la bolsa antiestática. 12 Guarde la caja y materiales de relleno para su posterior uso en caso de que necesitara trasladar o enviar el dispositivo McAfee Advanced Threat Defense. Compruebe el paquete Los siguientes accesorios se envían en el paquete de McAfee Advanced Threat Defense Appliance: 22 • McAfee Advanced Threat Defense Appliance • Accesorios detallados en la Hoja de contenido • Juego de raíles deslizantes sin herramientas • Bisel frontal con llave McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense Appliance Antes de instalar McAfee Advanced Threat Defense Appliance 2 Paneles frontales y posteriores de McAfee Advanced Threat Defense Appliance Figura 2-1 Vista frontal de ATD-3000 con bisel Figura 2-2 Vista lateral de ATD-3000 sin bisel Figura 2-3 Panel frontal de ATD-3000 y de ATD-6000 Etiqueta Descripción 1 Botón ID de sistema con luz indicadora de actividad integrada 2 Botón NMI (hundido, use una herramienta para pulsarlo) 3 Luz indicadora de actividad de NIC 1 4 • ATD-3000: luz indicadora de actividad de NIC 3 • ATD-6000: sin utilizar 5 Botón de reinicio de sistema 6 Luz indicadora de estado del sistema 7 Botón de encendido con luz indicadora integrada 8 Luz indicadora de actividad del disco duro 9 • ATD-3000: luz indicadora de actividad de NIC 4 • ATD-6000: sin utilizar 10 Luz indicadora de actividad de NIC 2 Se incluye un bisel opcional bloqueable con McAfee Advanced Threat Defense Appliance, que puede instalar para cubrir el panel frontal. Figura 2-4 Panel posterior del appliance ATD-3000 McAfee Advanced Threat Defense 3.4.2 Guía del producto 23 2 Configuración de McAfee Advanced Threat Defense Appliance Antes de instalar McAfee Advanced Threat Defense Appliance Etiqueta Descripción 1 Módulo de fuente de alimentación 1 2 Módulo de fuente de alimentación 2 3 Puerto de administración (NIC 1). Esta es la interfaz eth-0. Los comandos set appliance y set mgmtport se aplican a esta interfaz. Por ejemplo, al usar el comando set appliance ip, la dirección IP correspondiente se asigna a esta interfaz. 4 NIC 2. Esta es la interfaz eth-1. Esta interfaz está desactivada de forma predeterminada. • Para activar o desactivar esta interfaz, utilice el comando set intfport. Por ejemplo, set intfport 1 enable • Para asignar la información de IP a esta interfaz, utilice set intfport <eth 1, 2, or 3> ip <IPv4 address> <subnet mask> Por ejemplo, set intfport 1 ip 10.10.10.10 255.255.255.0 • No es posible asignar la gateway predeterminada a este puerto. Sin embargo, puede configurar una ruta en esta interfaz para dirigir el tráfico a la gateway deseada. Para configurar una ruta, utilice route add network <IPv4 subnet> netmask <netmask> gateway <IPv4 address> intfport 1 Por ejemplo, route add network 10.10.10.0 netmask 255.255.255.0 gateway 10.10.10.1 intfport 1. Este comando dirige todo tráfico del comando 10.10.10.0 a 10.10.10.1 a través de NIC 2 (eth-1). 5 NIC 3. Esta es la interfaz eth-2. La nota descrita para NIC 2 también se aplica a esta interfaz. 6 NIC 4. Esta es la interfaz eth-3. La nota descrita para NIC 2 también se aplica a esta interfaz. 7 Conector de vídeo 8 Puerto A de serie RJ45 9 Puertos USB 10 Puerto RMM4 NIC 11 Puertos/conectores del módulo I/O (no se usan) 12 Ranuras adaptadoras para complementos de la tarjeta riser número 1 y 2 Figura 2-5 Panel posterior del appliance ATD-6000 Etiqueta Descripción 24 1 Puertos USB 2 Puertos USB 3 Puerto de administración. Esta es la interfaz eth-0. Los comandos set appliance y set mgmtport se aplican a esta interfaz. Por ejemplo, al usar el comando set appliance ip, la dirección IP correspondiente se asigna a esta interfaz. McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense Appliance Especificaciones de hardware y requisitos de entorno 2 Etiqueta Descripción 4 Puertos/conectores adicionales del módulo I/O. Estas son las interfaces eth-1, eth-2 y eth-3 respectivamente. Estas interfaces están desactivadas de manera predeterminada. • Para activar o desactivar una interfaz, utilice el comando set intfport. Por ejemplo, use set intfport 1 enable para activar eth-1. • Para asignar la información de IP a una interfaz, utilice set intfport <eth 1, 2, or 3> ip <IPv4 address> <subnet mask> Por ejemplo, set intfport 1 ip 10.10.10.10 255.255.255.0 • No es posible asignar la gateway predeterminada a este puerto. Sin embargo, puede configurar una ruta en esta interfaz para dirigir el tráfico a la gateway deseada. Para configurar una ruta, utilice route add network <IPv4 subnet> netmask <netmask> gateway <IPv4 address> intfport 1 Por ejemplo, route add network 10.10.10.0 netmask 255.255.255.0 gateway 10.10.10.1 intfport 1. Este comando dirige todo tráfico del comando 10.10.10.0 a 10.10.10.1 a través de eth-1. 5 Conector de vídeo 6 NIC 1 (actualmente no se usa) 7 NIC 2 (actualmente no se usa) 8 Puerto A de serie RJ45 9 Puertos/conectores del módulo I/O (no se usan) 10 Ranuras adaptadoras para complementos de la tarjeta riser 11 Puerto RMM4 NIC 12 Módulo de fuente de alimentación 2 13 Módulo de fuente de alimentación 1 14 Ranuras adaptadoras para complementos de la tarjeta riser Especificaciones de hardware y requisitos de entorno Especificaciones ATD-3000 ATD-6000 Dimensiones • 734,66 de largo x 438 de ancho x • 712 de largo x 438 de ancho x 87,3 43,2 de alto (en milímetros) de alto (en milímetros) • 29 de largo x 17,25 de ancho x 1,70 de alto (en pulgadas) • 28 de largo x 17,24 de ancho x 3,43 de alto (en pulgadas) Factor de forma 1U montable en bastidor, encaja en un bastidor de 19 pulgadas 2U montable en bastidor, encaja en un bastidor de 19 pulgadas Peso 15 kg 22,7 kg Almacenamiento • Espacio en disco duro: 2 x 4 TB • Espacio en disco duro: 4 x 4 TB • SSD: 2 x 400 GB • SSD: 2 x 800 GB Máximo consumo eléctrico 2 x 750 W 2 x 1600 W Fuente de alimentación redundante Corriente alterna, conmutable en funcionamiento Corriente alterna, conmutable en funcionamiento Voltaje de CA 100 - 240 V a 50 - 60 Hz. 5,8 A 100 - 240 V. 50 - 60 Hz. 8,5 A McAfee Advanced Threat Defense 3.4.2 Guía del producto 25 2 Configuración de McAfee Advanced Threat Defense Appliance Especificaciones de hardware y requisitos de entorno Especificaciones ATD-3000 ATD-6000 Temperatura de operación De +10 °C a +35 °C (+50 °F a + 95 °F), con una tasa máxima de cambio de temperatura no superior a 10°C por hora De +10 °C a +35 °C (+50 °F a + 95 °F), con una tasa máxima de cambio de temperatura no superior a 10°C por hora Temperatura no operativa De -40 °C a +70 °C (-40 °F a +158 De -40 °C a +70 °C (-40 °F a +158 °F) °F) Humedad relativa (sin condensación) • Operativa: de 10% a 90% • Operativa: de 10% a 90% • No operativa: de 90% a 35°C • No operativa: 50% a 90% con una temperatura húmeda máxima de 28°C (a temperaturas de 25°C a 35°C) Altitud Operativo hasta 3050 metros (10.000 pies) Operativo hasta 3050 metros (10.000 pies) Certificaciones de seguridad UL 1950, CSA-C22.2, No. 950, EN-60950, IEC 950, EN 60825, 21CFR1040 CB licencias e informes cubren todas las variantes nacionales UL 1950, CSA-C22.2, No. 950, EN-60950, IEC 950, EN 60825, 21CFR1040 CB licencias e informes cubren todas las variantes nacionales Certificación EMI FCC Part 15, Class A (CFR 47) (USA) ICES-003 Class A (Canadá), EN55022 Class A (Europa), CISPR22 Class A (Internacional) FCC Part 15, Class A (CFR 47) (USA) ICES-003 Class A (Canadá), EN55022 Class A (Europa), CISPR22 Class A (Internacional) Ruido acústico Potencia acústica: 7,0 BA en condiciones operativas a temperatura ambiente típica de oficina (23 +/- 2 °C). Potencia acústica: 7,0 BA en condiciones operativas a temperatura ambiente típica de oficina (23 +/- 2 °C). Resistencia a choques, en operativa Semiseno, pico de 2 G, 11 milisegundos Semiseno, pico de 2 G, 11 milisegundos Resistencia a choques, desempaquetado Trapezoidal, 25 G, cambio de Trapezoidal, 25 G, el cambio de velocidad de 136 pulgadas/segundo velocidad se basa en el peso del (de 40 a 80 libras) paquete Resistencia a choques, empaquetado Caída libre sin paquete desde una altura de 24 pulgadas (de 40 a 80 libras) • Peso del producto: de 40 a 80 • Altura de caída libre sin paquete = 18 pulgadas • Altura de caída libre con paquete (un solo producto) = N/A Vibración Desempaquetado: Aleatoria, de 5 Hz a 500 Hz, con una media cuadrática de 2,20 G Desempaquetado: Aleatoria, de 5 Hz a 500 Hz, con una media cuadrática de 2,20 G Empaquetado: Aleatoria, de 5 Hz a 500 Hz, con una media cuadrática de 1,09 G ESD (Descarga electrostática) 26 +/-12 KV (excepto el puerto I/O: +/- 8 KV), según las especificaciones del test Intel® Environmental McAfee Advanced Threat Defense 3.4.2 Descarga en aire: 12,0 kV Descarga al contacto: 8,0 kV Guía del producto Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense Especificaciones ATD-3000 ATD-6000 Requisitos de refrigeración del sistema, en BTU/ hora • Máximo 460 W: 1570 BTU/hora • Máximo 460 W: 1570 BTU/hora • Máximo 750 W: 2560 BTU/hora • Máximo 750 W: 2560 BTU/hora Memoria 192 GB 256 GB 2 Números de puerto Tabla 2-1 Números de puerto Cliente Servidor Puerto predeterminado Configurable Descripción Cualquiera (equipo de sobremesa) McAfee Advanced Threat Defense TCP 443 (HTTPS) No Acceso a la aplicación web McAfee Advanced Threat Defense Cualquiera (cliente FTP) McAfee Advanced Threat Defense TCP 22 (SFTP) No Acceso al servidor FTP en McAfee Advanced Threat Defense Sensor McAfee Advanced Threat Defense TCP 8505 No Canal de comunicación entre Sensor y McAfee Advanced Threat Defense Manager McAfee Advanced Threat Defense TCP 443 (HTTPS) No Comunicación entre Manager y McAfee Advanced Threat Defense a través de las API RESTful. McAfee McAfee ePO Advanced Threat Defense TCP 8443 Sí Consultas de información de host. tunnel.message McAfee .trustedsource Advanced Threat Defense .org TCP 443 (HTTPS) No Consultas de reputación de archivos. List.smartfilter McAfee .com Advanced Threat Defense TCP 80 (HTTP) No Actualizaciones de URL. Cualquiera (cliente SSH) TCP 2222 (SSH) No Acceso a CLI TCP 443 (HTTPS) No Actualizaciones del motor Gateway Anti-Malware Engine de McAfee y el motor Anti-Malware Engine de McAfee. McAfee Advanced Threat Defense wpm.webwasher.com McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense En este capítulo se describe cómo preparar McAfee Advanced Threat Defense Appliance para que lo configure. Contenido Instalar o quitar las asas del bastidor Instalar o quitar el dispositivo del bastidor McAfee Advanced Threat Defense 3.4.2 Guía del producto 27 2 Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense Encienda McAfee Advanced Threat Defense Appliance Manipulación del bisel frontal Conecte el cable de red Configuración de la información de red para McAfee Advanced Threat Defense Appliance Instalar o quitar las asas del bastidor • Para instalar un asa de bastidor, debe alinearla con los dos orificios en el lateral del dispositivo McAfee Advanced Threat Defense y sujetar el asa del bastidor al dispositivo mediante dos tornillos, como se muestra en la imagen. Figura 2-6 Instalar las asas del bastidor • Para quitar una de las asas del bastidor, quite los dos tornillos que sujetan el asa del bastidor, y después retire el asa del sistema del servidor, como se muestra en la imagen. Figura 2-7 Quitar las asas del bastidor Instalar o quitar el dispositivo del bastidor Use el kit de montaje en bastidor incluido con el dispositivo McAfee Advanced Threat Defense para instalar la unidad en un bastidor de cuatro postes de 19 pulgadas. El kit puede usarse con la mayoría de los bastidores estándar del sector. Use las abrazaderas para fijar los cables del dispositivo McAfee Advanced Threat Defense al bastidor. 28 McAfee Advanced Threat Defense 3.4.2 Guía del producto 2 Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense Procedimiento 1 En la parte frontal del bastidor, coloque el rail de montaje izquierdo o derecho en el lado correspondiente, de manera que su soporte de montaje esté alineado con los orificios del bastidor. Asegúrese de seguir las advertencias de seguridad. Cuando decida dónde quiere colocar el dispositivo McAfee Advanced Threat Defense dentro del bastidor, recuerde que siempre debe cargar el bastidor de abajo arriba. Si está instalando múltiples dispositivos McAfee Advanced Threat Defense, empiece usando primero la posición inferior. Figura 2-8 Instalación de los railes deslizantes 2 En la parte posterior del bastidor, tire del soporte de montaje (extendiendo el rail de montaje) de forma que quede alineado con los orificios del bastidor. Asegúrese de que los railes están al mismo nivel en ambos lados del bastidor. Figura 2-9 Instalar el rail en el bastidor 3 Encaje el rail en el bastidor y fíjelo. 4 Repita estos pasos para fijar el segundo rail de montaje al bastidor. McAfee Advanced Threat Defense 3.4.2 Guía del producto 29 2 Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense 5 Tire de ambos railes hasta su máxima extensión. Figura 2-10 Railes completamente extendidos 6 Con la ayuda de otra persona, levante el dispositivo McAfee Advanced Threat Defense e instale el chasis en ambos lados del rail simultáneamente. Figura 2-11 Instale el dispositivo en el raíl Suelte primero la ruedecilla posterior, después la del medio y finalmente la frontal. Levantar y fijar el dispositivo McAfee Advanced Threat Defense al bastidor es una tarea para dos personas. 7 Si es necesario, puede unir el bisel bloqueable a la parte frontal del dispositivo a fin de protegerlo. 8 Levante y libere la lengüeta de desbloqueo y empuje el dispositivo dentro del bastidor. Figura 2-12 Levante y libere la lengüeta de desbloqueo y empuje el dispositivo dentro del bastidor 9 Para extraer el dispositivo McAfee Advanced Threat Defense del bastidor, levante y libere la lengüeta de desbloqueo junto a la ruedecilla frontal del chasis y sáquelo de los railes. Esto debe hacerse simultáneamente en ambos lados y por tanto requiere dos personas. 30 McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense 2 Encienda McAfee Advanced Threat Defense Appliance McAfee Advanced Threat Defense Appliance tiene preinstaladas fuentes de alimentación redundantes. McAfee Advanced Threat Defense Appliance se suministra con dos cables de alimentación específicos para su país o región. Procedimiento 1 Enchufe un extremo del cable de CA al primer módulo de alimentación en el panel de la parte posterior y, a continuación, el otro extremo del cable a un módulo de fuente de alimentación adecuado. 2 Enchufe un extremo del cable de CA al segundo módulo de alimentación en el panel de la parte posterior y, a continuación, el otro extremo del cable a una toma de corriente adecuada. McAfee Advanced Threat Defense se enciende sin pulsar el botón de encendido en el panel frontal. El botón de encendido en el panel frontal no enciende/apaga la alimentación de corriente alterna. Para desconectar McAfee Advanced Threat Defense Appliance de la alimentación CA, debe desenchufar ambos cables de alimentación CA del módulo de alimentación o de la toma de corriente de la pared. Manipulación del bisel frontal Puede quitar el bisel frontal si es necesario, y después volver a colocarlo. Sin embargo, antes de colocar el bisel frontal deberá instalar las asas del bastidor. Procedimiento 1 Siga estos pasos para quitar el bisel frontal. a Desbloquee el bisel si está bloqueado. b Saque el extremo izquierdo del bisel frontal del asa del bastidor. c Gire el bisel frontal en sentido contrario al de las agujas del reloj para soltar las pestañas del extremo derecho del asa del bastidor. Figura 2-13 Retirada del bisel frontal McAfee Advanced Threat Defense 3.4.2 Guía del producto 31 2 Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense 2 Siga estos pasos para volver a colocar el bisel frontal. a Bloquee el extremo derecho del bisel frontal en el asa del bastidor b Gire el bisel frontal en el sentido de las agujas del reloj hasta que el extremo izquierdo encaje con un clic c Bloquee el bisel, si fuera necesario. Figura 2-14 Instalación del bisel frontal Conecte el cable de red Procedimiento 1 Conecte un cable Ethernet de categoría 5e o 6 en el puerto de administración, que se encuentra en el panel posterior. 2 Conecte el otro extremo del cable al dispositivo de red correspondiente. Configuración de la información de red para McAfee Advanced Threat Defense Appliance Una vez completada la instalación y la configuración iniciales, puede gestionar McAfee Advanced Threat Defense Appliance desde un equipo remoto o servidor de terminal. Para hacerlo, debe configurar McAfee Advanced Threat Defense Appliance con la información de red requerida. Procedimiento 1 Conecte un cable de consola (número de serie RJ45 a DB9) al puerto de consola (puerto A de serie RJ45) en el panel posterior de McAfee Advanced Threat Defense Appliance. Figura 2-15 Conecte el puerto de consola 32 McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense 2 2 Conecte el otro extremo del cable directamente al puerto COM del equipo o puerto del servidor de terminal que esté usando para configurar McAfee Advanced Threat Defense Appliance. 3 Ejecute HyperTerminal desde un equipo con Microsoft Windows con la siguiente configuración. 4 Nombre Configuración Tasa de baudios 115200 Número de bits 8 Paridad Ninguna Bit de señal de detención 1 Flujo de control Ninguna Cuando se le pida que inicie sesión, inicie sesión en McAfee Advanced Threat Defense Appliance usando el nombre de usuario predeterminado cliadmin y la contraseña atdadmin. Puede escribir help o ? para obtener instrucciones sobre el funcionamiento de la sintaxis integrada de comandos. Para obtener una lista de todos los comandos, escriba list. 5 En el símbolo del sistema, escriba set appliance name <Name> para establecer el nombre de McAfee Advanced Threat Defense Appliance. Debe introducir los valores que se muestran entre los caracteres <>, excluyendo los caracteres <>. Ejemplo: set appliance name matd_appliance_1 El nombre de McAfee Advanced Threat Defense Appliance puede ser una serie de hasta 25 caracteres alfanuméricos. Esta serie debe empezar por una letra y puede incluir guiones, guiones bajos y puntos, pero no espacios. 6 Para configurar la dirección IP del puerto de administración y la máscara de subred de McAfee Advanced Threat Defense Appliance, escriba set appliance ip <A.B.C.D><E.F.G.H> Especifique una dirección de 32 bits, escrita como cuatro series de números de 8 bits, separados por puntos, de la forma <A.B.C.D>, donde A, B, C y D son números de ocho bits entre 0 y 255. <E.F.G.H> representa la máscara de subred. Por ejemplo: set appliance ip 192.34.2.8 255.255.255.0 Cuando establezca la dirección IP por primera vez o cuando la modifique, debe reiniciar McAfee Advanced Threat Defense Appliance. 7 Establezca la dirección de la gateway predeterminada. set appliance gateway <A.B.C.D> Use la misma convención que para el comando set appliance ip (establecer IP de Appliance). Por ejemplo: set appliance gateway 192.34.2.1 8 9 Configure la velocidad del puerto y la configuración de dúplex para el puerto de administración mediante uno de los comandos siguientes: • set mgmtport auto: configura el puerto de administración en modo automático para velocidad y dúplex. • set mgmtport speed (10|100) duplex (full|half): fija la velocidad en 10 o 100 Mbps en dúplex medio o completo. Para comprobar la configuración, escriba show. Esto muestra los detalles de la configuración actual. McAfee Advanced Threat Defense 3.4.2 Guía del producto 33 2 Configuración de McAfee Advanced Threat Defense Appliance Configuración de McAfee Advanced Threat Defense 10 Para comprobar la conectividad de la red, haga ping a otros hosts de la red. Cuando se le pida, escriba ping <IP address> Aparecerá el mensaje host <ip address> is alive (el host <dirección IP> está conectado), que indica que la operación se ha realizado correctamente. Si no se ha podido acceder al host, aparecerá el mensaje failed to talk to <ip address> (error de comunicación con <dirección IP>). 11 Cambie la contraseña de McAfee Advanced Threat Defense Appliance mediante el comando passwd. La contraseña debe tener entre 8 y 25 caracteres, reconoce entre mayúsculas y minúsculas, y puede incluir caracteres alfanuméricos o símbolos. McAfee le recomienda encarecidamente que elija una contraseña con una combinación de caracteres que sea fácil de recordar para usted pero difícil de adivinar para otra persona. 34 McAfee Advanced Threat Defense 3.4.2 Guía del producto 3 Acceso a la aplicación web McAfee Advanced Threat Defense La aplicación web McAfee Advanced Threat Defense está alojada en el dispositivo McAfee Advanced Threat Defense. Si es un usuario de McAfee Advanced Threat Defense con acceso web, puede acceder a la aplicación web McAfee Advanced Threat Defense desde un equipo remoto mediante el navegador compatible. Mediante la aplicación web McAfee Advanced Threat Defense, puede: • Supervisar el estado y rendimiento del dispositivo McAfee Advanced Threat Defense. • Administrar McAfee Advanced Threat Defense usuarios y sus permisos. • Configurar McAfee Advanced Threat Defense para análisis de malware. • Cargar archivos manualmente para su análisis. • Supervisar el progreso del análisis y ver los resultados del mismo. Contenido Requisitos del cliente McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Requisitos del cliente McAfee Advanced Threat Defense A continuación presentamos los requisitos del sistema para los sistemas cliente conectados a la aplicación web McAfee Advanced Threat Defense. • Sistema operativo del cliente: Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows 7 y Microsoft Windows 8.0 • Navegadores: Internet Explorer 9 y posterior, Firefox y Chrome. McAfee Advanced Threat Defense 3.4.2 Guía del producto 35 3 Acceso a la aplicación web McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Procedimiento 1 Desde el equipo cliente, abra una sesión con uno de los navegadores compatibles. 2 Use lo siguiente para acceder a la aplicación web McAfee Advanced Threat Defense: 3 36 • URL: https://<nombre del host o dirección IP de McAfee Advanced Threat Defense Appliance> • Nombre de usuario predeterminado: admin • Contraseña: admin Haga clic en Log In (Inicio de sesión). McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Puede usar la aplicación web McAfee Advanced Threat Defense para administrar configuraciones como las cuentas de usuario y para supervisar el mantenimiento del sistema de McAfee Advanced Threat Defense Appliance. Contenido Administración de usuarios de McAfee Advanced Threat Defense Supervisar el rendimiento de McAfee Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android Troubleshooting (Solución de problemas) Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense Administración de usuarios de McAfee Advanced Threat Defense Puede crear cuentas de usuario para McAfee Advanced Threat Defense con diferentes permisos y opciones de configuración. Estos permisos y configuraciones dependen de la función del usuario respecto al análisis de malware con McAfee Advanced Threat Defense. Mediante la aplicación web McAfee Advanced Threat Defense, puede crear cuentas de usuario para: • Usuarios que usan la aplicación web McAfee Advanced Threat Defense para enviar archivos para su análisis y para ver los resultados del análisis. • Usuarios que cargan archivos al servidor FTP alojado en McAfee Advanced Threat Defense Appliance. • Usuarios que usan directamente las API RESTful para enviar archivos. Para más información, consulte la Guía de referencia de las API RESTful de McAfee Advanced Threat Defense. En el registro de usuario, especifique también el perfil de analizador predeterminado. Si está usando la aplicación web McAfee Advanced Threat Defense para cargar, puede omitir esta selección cuando cargue un archivo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 37 4 Administración de Advanced Threat Defense Administración de usuarios de McAfee Advanced Threat Defense Para cada usuario, también puede configurar los detalles del servidor FTP al que desee que McAfee Advanced Threat Defense cargue los resultados del análisis. • Hay cinco registros de usuario predeterminados. • Default Admin (Administrador predeterminado): esta es la cuenta de superusuario predeterminada. Puede usar esta cuenta para la configuración inicial de la aplicación web McAfee Advanced Threat Defense. El nombre de inicio de sesión es admin y la contraseña predeterminada es admin. • Network Security Platform: el nombre de inicio de sesión es nsp y la contraseña predeterminada es admin. Network Security Platform utiliza este registro de usuario para la integración con McAfee Advanced Threat Defense. • ATD upload Admin (Administrador de carga de ATD): es la cuenta de usuario predeterminada para acceder al servidor FTP en McAfee Advanced Threat Defense. El nombre de usuario es atdadmin y la contraseña es atdadmin. • McAfee Web Gateway: este es para la integración entre McAfee Web Gateway y McAfee Advanced Threat Defense. • McAfee Email Gateway: este es para la integración entre McAfee Email Gateway y McAfee Advanced Threat Defense. Como precaución, asegúrese de que cambia las contraseñas predeterminadas. • Para acceder a la CLI de McAfee Advanced Threat Defense, debe usar cliadmin como nombre de inicio de sesión y atdadmin como contraseña. No puede acceder a este registro de usuario. No puede crear ningún otro usuario con acceso a la CLI. Puede acceder a la CLI desde SSH por el puerto 2222. Consulte Inicie sesión en la CLI en la página 347. • Si no es un usuario administrador, puede ver solo su propio registro de usuario y modificarlo. Para modificar las asignaciones de su función, debe contactar con el usuario administrador. Ver perfiles de usuario Si es un usuario con función de administrador, puede ver la lista de usuarios de McAfee Advanced Threat Defense. Si no tiene función de administrador, solo podrá ver su propio registro de usuario. 38 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Administración de usuarios de McAfee Advanced Threat Defense 4 Procedimiento 1 Seleccione Manage (Administrar) | User Management (Administración de usuarios). Se muestra la lista actual de usuarios (según su función). Figura 4-1 Ver la lista de usuarios 2 Nombre de la columna Definición Select (Seleccionar) Seleccione para editar o eliminar el correspondiente registro de usuario. Name (Nombre) Nombre completo del usuario, tal cual se introdujo en los detalles de usuario. Login ID (ID de inicio de sesión) El nombre de usuario para acceder a McAfee Advanced Threat Defense. Default Analyzer Profile (Perfil predeterminado del analizador) El perfil de analizador que McAfee Advanced Threat Defense usa cuando el usuario envía una muestra para su análisis. Sin embargo, el usuario puede omitirlo en el momento de enviar la muestra. Oculte las columnas que no desee ver. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b Seleccione Columns (Columnas). c Seleccione de la lista solo los nombres de columna que desee. Figura 4-2 Seleccione los nombres de columna requeridos 3 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 39 4 Administración de Advanced Threat Defense Administración de usuarios de McAfee Advanced Threat Defense 4 Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga clic en View (Ver). Agregar usuarios Si tiene función de administrador, puede crear los siguientes tipos de usuarios: • Usuarios con funciones de administrador en la aplicación web McAfee Advanced Threat Defense • Usuarios que no son administradores en la aplicación web McAfee Advanced Threat Defense • Usuarios con acceso al servidor FTP alojado en McAfee Advanced Threat Defense Appliance. • Acceso a las API RESTful para la aplicación web McAfee Advanced Threat Defense Procedimiento 1 Seleccione Manage (Administrar) | User Management (Administración de usuarios) | New (Nuevo). Se muestra la página User Management (Administración de usuarios). Figura 4-3 Agregar usuarios 2 40 Introduzca la información adecuada en los respectivos campos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Administración de usuarios de McAfee Advanced Threat Defense Nombre de la opción Definición Username (Nombre de usuario) El nombre de usuario para acceder a la aplicación web McAfee Advanced Threat Defense, el servidor FTP o las API RESTful. Password (Contraseña) La contraseña predeterminada que quiera proporcionar al usuario. Debe reunir los siguientes requisitos: • Debe tener un mínimo de 8 caracteres. • Al menos uno de los caracteres alfabéticos debe estar escrito en mayúscula. • Debe contener como mínimo un número. • Debe contener al menos uno de estos caracteres especiales ` ~ ! @ # $ %^&* • El nombre de usuario y la contraseña no pueden coincidir. Allow Multiple Logins (Permitir múltiples inicios de sesión) Anule la selección si desea restringir las sesiones simultáneas con el mismo nombre de usuario a solo una. Seleccione si desea permitir múltiples sesiones simultáneas con el mismo nombre de usuario. First and Last Name (Nombre y apellidos) Introduzca el nombre completo del usuario. La contraseña debe tener al menos seis caracteres. Email (Correo electrónico) Opcionalmente, introduzca la dirección de correo electrónico del usuario. Company (Empresa) Opcionalmente, introduzca la organización a la que pertenece el usuario. Phone (Teléfono) Opcionalmente, introduzca el número de teléfono del usuario. Address (Dirección) Opcionalmente, introduzca la dirección del usuario para comunicación. State (Estado) Opcionalmente, introduzca el estado correspondiente para la dirección introducida. Country (País) Opcionalmente, introduzca el país correspondiente para la dirección introducida. Default Analyzer Profile Seleccione el perfil de analizador que deba usarse para los archivos (Perfil predeterminado enviados por el usuario. del analizador) Los usuarios que envíen archivos manualmente pueden omitir esta configuración seleccionando un perfil de analizador diferente en el momento de enviar los archivos. User Type (Tipo de usuario) McAfee Advanced Threat Defense 3.4.2 Seleccione un tipo en la lista desplegable. Por ejemplo, seleccione NSP si desea enviar muestras mediante Network Security Platform Sensor. Guía del producto 41 4 Administración de Advanced Threat Defense Administración de usuarios de McAfee Advanced Threat Defense Nombre de la opción Definición Roles (Funciones) • Admin User (Usuario Administrador): seleccione para asignar derechos de superusuario en la aplicación web McAfee Advanced Threat Defense. Los usuarios con esta función pueden acceder a todos los menús y crear nuevos usuarios. • Web Access (Acceso web): esta función permite a un usuario enviar archivos mediante la aplicación web McAfee Advanced Threat Defense y ver los resultados. Los usuarios con esta función pueden acceder a todas las funciones pero solo pueden ver su propio perfil. También, al enviar archivos, pueden asignar solo los perfiles de analizador que han creado. • FTP Access (Acceso a FTP): seleccione para asignar acceso al servidor FTP alojado en McAfee Advanced Threat Defense Appliance para enviar archivos para su análisis y cargar archivos VMDK. • Log User Activities (Registrar actividades del usuario): seleccione si desea registrar los cambios realizados por el usuario en la aplicación web McAfee Advanced Threat Defense. • Restful Access (Acceso RESTful): seleccione para asignar acceso a las API RESTful de la aplicación web McAfee Advanced Threat Defense para enviar archivos para su análisis. La función Restful Access (Acceso RESTful) debe estar seleccionada para los productos McAfee integrados que usan las API RESTful. Si quita esta selección, la integración podría no funcionar. • Sample Download Access (Acceso a la descarga de muestras): esta función permite a un usuario descargar muestras enviadas. FTP Result Output (Salida Especifique los detalles del servidor FTP al que McAfee Advanced Threat Defense debe proporcionar los resultados del análisis de malware. resultante de FTP) Una vez configurados los detalles del servidor FTP, McAfee Advanced Threat Defense envía los resultados al servidor FTP especificado además de almacenarlos en su disco de datos. Si el disco de datos alcanza el 75 % de su capacidad, se borran los resultados de mayor antigüedad. Si desea que los resultados permanezcan más tiempo, puede configurarlo en FTP Result Output (Salida resultante de FTP). • Remote IP (IP remota): la dirección IPv4 del servidor FTP. • Protocol (Protocolo): especifique si debe usarse FTP o SFTP. McAfee recomienda usar SFTP. • Path (Ruta de acceso): la ruta de acceso completa a la carpeta donde se guardarán los resultados. • User Name (Nombre de usuario): el nombre de usuario que McAfee Advanced Threat Defense debe usar para acceder al servidor FTP. • Password (Contraseña): la contraseña para acceder al servidor FTP. • Test (Prueba): para verificar si McAfee Advanced Threat Defense puede comunicarse con el servidor FTP especificado mediante el protocolo especificado (FTP o SFTP). 42 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Supervisar el rendimiento de McAfee Advanced Threat Defense Nombre de la opción Definición Save (Guardar) Crea el registro de usuario con la información que usted ha proporcionado. Si establece un servidor FTP como salida resultante, asegúrese de que la prueba de conexión se realiza con éxito antes de hacer clic en Save (Guardar). Cancel (Cancelar Cierra la página User Management (Administración de usuarios) sin guardar los cambios. 4 Editar usuarios Si tiene la función de usuario administrador, podrá eliminar registros de usuario. Si desea modificar los campos obligatorios, una buena práctica es asegurarse primero de que el usuario correspondiente no ha iniciado sesión. Si solo tiene asignadas funciones de acceso web o acceso RESTful, solo podrá modificar su perfil de usuario. Procedimiento 1 Seleccione Manage (Administrar) | User Management (Administración de usuarios). Se muestra la lista actual de usuarios. 2 Seleccione el registro del usuario en cuestión y haga clic en Edit (Editar). Se muestra la página User Management (Administración de usuarios). 3 Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar). Para obtener más información sobre los campos, consulte Agregar usuarios en la página 40. Eliminación de usuarios Si tiene la función de usuario administrador, podrá eliminar registros de usuario. Asegúrese de que el usuario en cuestión no ha iniciado sesión. No puede eliminar los registros de cualquier usuario predefinido, es decir: el registro de usuario administrador, el registro de usuario para Network Security Platform y el registro de usuario para McAfee Web Gateway. Procedimiento 1 Seleccione Manage (Administrar) | User Management (Administración de usuarios). Se muestra la lista actual de usuarios. 2 Seleccione el registro del usuario en cuestión y haga clic en Delete (Eliminar). 3 Haga clic en Yes (Sí) para confirmar la eliminación. Supervisar el rendimiento de McAfee Advanced Threat Defense Puede utilizar las siguientes opciones para supervisar el rendimiento de McAfee Advanced Threat Defense. • Use los monitores del panel McAfee Advanced Threat Defense para supervisar continuamente el rendimiento. Consulte Monitores de rendimiento de McAfee Advanced Threat Defense en la página 317. • Use el comando status en la CLI de McAfee Advanced Threat Defense Appliance. Consulte Comandos CLI para McAfee Advanced Threat Defense en la página 5. McAfee Advanced Threat Defense 3.4.2 Guía del producto 43 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android Amplíe McAfee Advanced Threat Defense y la máquina virtual Android En esta sección se proporciona información sobre cómo ampliar la versión de McAfee Advanced Threat Defense además de la versión de Android para la máquina virtual analizadora de Android predeterminada. A continuación se indican las rutas de ampliación para ampliar el software McAfee Advanced Threat Defense a 3.2.0.xx: • Si la versión actual es 3.0.2.xx y no es 3.0.2.36, no se admite la ampliación directa a 3.2.0.xx. Por ejemplo, si la versión actual es 3.0.2.51, amplíe primero a 3.0.4.56 y, a continuación, a 3.2.0.xx. La ampliación de 3.0.2.xx a 3.0.4.56 es un proceso que consta de dos pasos. Consulte Ampliación del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx en la página 45. • Si la versión actual es la 3.0.2.36 y desea ampliar a la 3.2.0.xx, la ampliación de la interfaz de usuario de McAfee Advanced Threat Defense y del software del sistema McAfee Advanced Threat Defense se realizan por separado. Es decir, se admite la ampliación directa a 3.2.0 pero es un proceso que consta de dos pasos. Consulte Amplié el software McAfee Advanced Threat Defense de 3.0.2.36 a 3.2.0.xx en la página 48. • Si la versión actual es la 3.0.4.56, 3.0.4.75 o 3.0.4.94, puede ampliar directamente a la 3.2.0.xx ampliando solo el software del sistema McAfee Advanced Threat Defense. ConsulteAmplíe el software McAfee Advanced Threat Defense de 3.0.4.xx a 3.2.0.xx en la página 51. Cuando haya ampliado a 3.2.0.xx, ya no podrá revertir a 3.0.2.xx o 3.0.4.xx cargando la imagen de copia de seguridad mediante el comando reboot backup. • Si la versión actual es la 3.2.0.xx, puede ampliar directamente a la 3.2.2.xx ampliando únicamente el software del sistema de McAfee Advanced Threat Defense. Consulte Amplíe el software ATD de 3.2.0.xx a 3.2.2.xx en la página 53. Cuando haya ampliado a 3.2.2.xx, ya no podrá revertir a 3.0.2.xx, 3.0.4.xx o 3.2.0.xx cargando la imagen de copia de seguridad mediante el comando reboot backup. La versión de Android en la máquina virtual analizadora Android predeterminada es la 2.3. Después de ampliar el software McAfee Advanced Threat Defense a 3.2.0.xx, podrá ampliar la versión de Android a 4.3. Consulte Ampliar la máquina virtual analizadora de Android en la página 55. 44 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 4 Ampliación del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx Antes de empezar • Solo puede ampliar a la versión 3.2.0 si la versión actual de McAfee Advanced Threat Defense es la 3.0.2.36. Para todas las demás versiones 3.0.2.xx, amplíe primero a 3.0.4.56 para actualizar a 3.2.0.xx. • Asegúrese de que el software McAfee Advanced Threat Defense3.0.4.xx que desea usar se extrae y de que puede acceder a él desde el equipo cliente. La ampliación a McAfee Advanced Threat Defense 3.0.4.56 es un proceso que consta de dos pasos. La ampliación a la interfaz de usuario de McAfee Advanced Threat Defense y el software del sistema McAfee Advanced Threat Defense se realizan por separado. Por tanto, asegúrese de que puede acceder a los archivos ui-3.0.4.X.msu y system-3.0.4.x.msu desde el equipo cliente. Este procedimiento de ampliación en dos pasos se aplica solo al ampliar de la versión 3.0.2.x a la 3.0.4.56. Para la ampliación a 3.0.4.75, primero debe ampliar a 3.0.4.56. A continuación, para ampliar de 3.0.4.56 a 3.0.4.75, lo único que tiene que hacer es ampliar la interfaz de usuario de la aplicación web McAfee Advanced Threat Defense (Software MATD). • Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación web McAfee Advanced Threat Defense. • Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense mediante SSH. • Tiene las credenciales para acceder por SFTP al McAfee Advanced Threat Defense Appliance. • Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios de sesión) en la página User Management (Administración de usuarios). Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software McAfee Advanced Threat Defense a la que desee ampliar. Como precaución adicional, reinicie el dispositivo desde el disco activo y use el comando copytobackup para copiar la versión de software desde el disco activo al disco de copia de seguridad. Con una copia de seguridad, puede restaurar el software a la versión actual, de ser necesario. Procedimiento 1 Amplíe la interfaz de usuario de la aplicación web McAfee Advanced Threat Defense. a Seleccione Manage (Administrar) | Software Management (Administración de software) Figura 4-4 Ampliación de aplicación web McAfee Advanced Threat Defense McAfee Advanced Threat Defense 3.4.2 Guía del producto 45 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android b Haga clic en Browse (Examinar) y seleccione el archivo ui-<version number>.msu desde el equipo cliente. Para una ampliación, asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada. Esta opción solo se selecciona si se desea que se cree una base de datos nueva como parte de la ampliación. Si selecciona esta opción, un mensaje de advertencia le indicará que se perderán todos los datos de la base de datos existente. Haga clic en OK (Aceptar) para confirmar. 2 c Haga clic en Install (Instalar). d Cuando se haya ampliado la aplicación web McAfee Advanced Threat Defense, cierre sesión y borre la caché del navegador correspondiente. e Inicie sesión en la aplicación web McAfee Advanced Threat Defense y haga lo siguiente. • Verifique la versión que se muestra en la interfaz de usuario. • Seleccione Manage (Administrar) | Software Management (Administración de software) y verifique que Software Management (Administración de software) consta de dos secciones: MATD Software (Software MATD) y System Software (Software del sistema). • Verifique que se conserven los datos y las configuraciones de la versión anterior. Amplíe el software del sistema McAfee Advanced Threat Defense. a Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla. Inicie sesión como usuario atdadmin. b Mediante SFTP, cargue el archivo system-<version number>.msu al directorio raíz de McAfee Advanced Threat Defense. Asegúrese de que el modo de transferencia es binario. c Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración de software). d En System Software (Software del sistema), seleccione el archivo system-<version number>.msu. e Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en caso de ampliaciones y haga clic en Install (Instalar). Figura 4-5 Ampliación de aplicación web McAfee Advanced Threat Defense 46 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android f 4 Se muestra un mensaje de confirmación; haga clic en OK (Aceptar). El software del sistema se instala, y el estado se muestra en el navegador. La instalación del software del sistema tarda un mínimo de 20 minutos en completarse. g Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se muestra un mensaje relevante. El Appliance se reinicia por sí mismo. El mensaje mostrado es meramente informativo. Si no puede ver estos mensajes, borre la caché del navegador. h Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y verifique la versión del software. i Verifique la versión en la aplicación web McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 47 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android j Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que se haya invocado la tarea vmcreator. Al ampliar a McAfee Advanced Threat Defense 3.0.4, se vuelven a crear automáticamente todas las máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse según el número de máquinas virtuales analizadoras. k Verifique que se conserven los datos y las configuraciones de la versión anterior. La versión de software a la que ha ampliado se almacena ahora en el disco activo de lMcAfee Advanced Threat Defense Appliance. Amplié el software McAfee Advanced Threat Defense de 3.0.2.36 a 3.2.0.xx Antes de empezar • Solo puede ampliar a la versión 3.2.0 si la versión actual de McAfee Advanced Threat Defense es la 3.0.2.36. Para todas las demás versiones 3.0.2.xx, amplíe primero a 3.0.4.56 para actualizar a 3.2.0.xx. • Asegúrese de que el software McAfee Advanced Threat Defense 3.2.0.xx que desea usar se extrae y de que puede acceder a él desde el equipo cliente. La ampliación a McAfee Advanced Threat Defense 3.2.0.xx es un proceso que consta de dos pasos. La ampliación de la interfaz de usuario de McAfee Advanced Threat Defense y del software del sistema McAfee Advanced Threat Defense se realizan por separado. Por tanto, asegúrese de que puede acceder a los archivos ui-3.2.0.X.msu y system-3.2.0.x.msu desde el equipo cliente. • Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación web McAfee Advanced Threat Defense. • Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense mediante SSH. • Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense Appliance. • Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios de sesión) en la página User Management (Administración de usuarios). Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software McAfee Advanced Threat Defense a la que desee ampliar. Procedimiento 1 Amplíe la interfaz de usuario de la aplicación web McAfee Advanced Threat Defense. a Seleccione Manage (Administrar) | Software Management (Administración de software) b Haga clic en Browse (Examinar) y seleccione el archivo ui-3.2.0.X.msu desde el equipo cliente. Para una ampliación, asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada. Esta opción solo se selecciona si se desea que se cree una base de datos nueva como parte de la ampliación. Si selecciona esta opción, un mensaje de advertencia le indicará que se perderán todos los datos de la base de datos existente. Haga clic en OK (Aceptar) para confirmar. c 48 Haga clic en Install (Instalar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 2 d Cuando se haya ampliado la aplicación web McAfee Advanced Threat Defense, cierre sesión y borre la caché del navegador correspondiente. e Inicie sesión en la aplicación web McAfee Advanced Threat Defense y haga lo siguiente. • Verifique la versión que se muestra en la interfaz de usuario. • Seleccione Manage (Administrar) | Software Management (Administración de software) y verifique que Software Management (Administración de software) consta de dos secciones: MATD Software (Software MATD) y System Software (Software del sistema). • Verifique que se conserven los datos y las configuraciones de la versión anterior. Amplíe el software del sistema McAfee Advanced Threat Defense. a Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla. Inicie sesión como usuario atdadmin. b Mediante SFTP, cargue el archivo system-3.2.0.x.msu al directoriio raíz de McAfee Advanced Threat Defense. Asegúrese de que el modo de transferencia es binario. c Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración de software). d EnSystem Software (Software del sistema), seleccione el archivo 3.2.0.x.msu. e Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en caso de ampliaciones y haga clic en Install (Instalar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 49 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android f Se muestra un mensaje de confirmación; haga clic en OK (Aceptar). El software del sistema se instala, y el estado se muestra en el navegador. La instalación del software del sistema tarda un mínimo de 20 minutos en completarse. g Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se muestra un mensaje relevante. El Appliance se reinicia por sí mismo. El mensaje que se muestra es meramente informativo. Si no puede ver estos mensajes, borre la caché del navegador. 50 h Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y verifique la versión del software. i Verifique la versión en la aplicación web McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android j Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que se haya invocado la tarea vmcreator. Al ampliar a McAfee Advanced Threat Defense 3.2.0, se vuelven a crear automáticamente todas las máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse según el número de máquinas virtuales analizadoras. k Verifique que se conserven los datos y las configuraciones de la versión anterior. La versión de software a la que ha ampliado se almacena ahora en el disco activo de McAfee Advanced Threat Defense Appliance. Amplíe el software McAfee Advanced Threat Defense de 3.0.4.xx a 3.2.0.xx Antes de empezar • Asegúrese de que la versión actual de McAfee Advanced Threat Defense es la 3.0.4.56, 3.0.4.75 o 3.0.4.94. Si la versión actual es la 3.0.2.xx, consulte la sección correspondiente para obtener información de ampliación. • Asegúrese de que el software McAfee Advanced Threat Defensesystem-3.2.0.x.msu que desea usar se extrae y de que puede acceder a él desde el equipo cliente. • Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación web McAfee Advanced Threat Defense. • Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense mediante SSH. • Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense Appliance. • Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios de sesión) en la página User Management (Administración de usuarios). Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software McAfee Advanced Threat Defense a la que desee ampliar. Procedimiento 1 Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla. Inicie sesión como usuario atdadmin. 2 Mediante SFTP, cargue el archivo system-<version number>.msu al directorio raíz de McAfee Advanced Threat Defense. Asegúrese de que el modo de transferencia es binario. 3 Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración de software). 4 En System Software (Software del sistema), seleccione el archivo system-<version number>.msu. 5 Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en caso de ampliaciones y haga clic en Install (Instalar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 51 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 6 Se muestra un mensaje de confirmación; haga clic en OK (Aceptar). El software del sistema se instala, y el estado se muestra en el navegador. La instalación del software del sistema tarda un mínimo de 20 minutos en completarse. 7 Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se muestra un mensaje relevante. El Appliance se reinicia por sí mismo. El mensaje que se muestra es meramente informativo. Si no puede ver estos mensajes, borre la caché del navegador. 52 8 Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y verifique la versión del software. 9 Verifique la versión en la aplicación web McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 10 Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que se haya invocado la tarea vmcreator. Al ampliar a McAfee Advanced Threat Defense 3.2.0, se vuelven a crear automáticamente todas las máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse según el número de máquinas virtuales analizadoras. 11 Verifique que se conserven los datos y las configuraciones de la versión anterior. La versión de software a la que ha ampliado se almacena ahora en el disco activo de la aplicación McAfee Advanced Threat Defense. Amplíe el software ATD de 3.2.0.xx a 3.2.2.xx Antes de empezar • Asegúrese de que la versión actual de McAfee Advanced Threat Defense es la 3.2.0.xx. • Asegúrese de que se extraiga el software system-3.2.2.x.msu de McAfee Advanced Threat Defense que desea usar y de que puede acceder a él desde su equipo cliente. • Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación web McAfee Advanced Threat Defense. • Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense mediante SSH. • Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense Appliance. • Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios de sesión) en la página User Management (Administración de usuarios). Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software McAfee Advanced Threat Defense a la que desee ampliar. Procedimiento 1 Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla. Inicie sesión como usuario atdadmin. 2 Mediante SFTP, cargue el archivo system-<version number>.msu al directorio raíz de McAfee Advanced Threat Defense. Asegúrese de que el modo de transferencia es binario. 3 Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración de software). 4 En System Software (Software del sistema), seleccione el archivo system-<version number>.msu. 5 Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en caso de ampliaciones y haga clic en Install (Instalar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 53 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 6 Se muestra un mensaje de confirmación; haga clic en OK (Aceptar). El software del sistema se instala, y el estado se muestra en el navegador. La instalación del software del sistema tarda un mínimo de 20 minutos en completarse. 7 Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se muestra un mensaje relevante. El Appliance se reinicia por sí mismo. El mensaje que se muestra es meramente informativo. Si no puede ver estos mensajes, borre la caché del navegador. 54 8 Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y verifique la versión del software. 9 Verifique la versión en la aplicación web McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 10 Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que se haya invocado la tarea vmcreator. Al ampliar a McAfee Advanced Threat Defense 3.2.2, se vuelven a crear automáticamente todas las máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse según el número de máquinas virtuales analizadoras. 11 Verifique que se conserven los datos y las configuraciones de la versión anterior. La versión de software a la que ha ampliado se almacena ahora en el disco activo de McAfee Advanced Threat Defense Appliance. Ampliar la máquina virtual analizadora de Android Antes de empezar • Asegúrese de que la versión actual de McAfee Advanced Threat Defense es la 3.2.0.xx • Asegúrese de que android-4.3.msu se extrae y de que puede acceder a él desde el equipo cliente. • Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación web McAfee Advanced Threat Defense. • Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense mediante SSH. • Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense Appliance. • Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios de sesión) en la página User Management (Administración de usuarios). Mediante la aplicación web McAfee Advanced Threat Defense, puede ampliar la máquina virtual analizadora de Android a la versión 4.3. Procedimiento 1 Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla. Inicie sesión como usuario atdadmin. 2 Mediante SFTP, cargue el archivo android-4.3.msu al directorio raíz de McAfee Advanced Threat Defense. Asegúrese de que el modo de transferencia es binario. 3 Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración de software). McAfee Advanced Threat Defense 3.4.2 Guía del producto 55 4 Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 4 En System Software (Software del sistema) seleccione el archivo android-4.3.msu. Figura 4-6 Seleccionar el archivo de Android 5 Asegúrese de que la opción Reset Database no está seleccionada ya que no es relevante para ala ampliación de Android y haga clic en Install (Instalar). El proceso de instalación de Android empieza con la validación de archivos. 6 56 Se muestra un mensaje de confirmación; haga clic en OK (Aceptar). McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Amplíe McAfee Advanced Threat Defense y la máquina virtual Android 4 La aplicación web McAfee Advanced Threat Defense se cierra, cierra la sesión automáticamente y el estado de la instalación se muestra en el navegador. • La instalación del software del sistema tarda un mínimo de 20 minutos en completarse. • Si no puede ver estos mensajes, borre la caché del navegador. • Al ampliar Android, se vuelve a crear automáticamente la máquina virtual analizadora Android. Es probable que este proceso tarde unos minutos en completarse. McAfee Advanced Threat Defense 3.4.2 Guía del producto 57 4 Administración de Advanced Threat Defense Troubleshooting (Solución de problemas) 7 Inicie sesión en la aplicación web y seleccione Manage (Administrar) | System Log (Registro del sistema) 8 En la página System Log (Registro del sistema, verifique que se haya completado correctamente la tarea vmcreator para la máquina virtual analizadora Android. Troubleshooting (Solución de problemas) La página Troubleshooting (Solución de problemas) permite realizar algunas tareas para solucionar problemas con la aplicación web McAfee Advanced Threat Defense. Estas incluyen la exportación de registros desde McAfee Advanced Threat Defense y el borrado de resultados de análisis almacenados en la base de datos de McAfee Advanced Threat Defense. 58 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Troubleshooting (Solución de problemas) 4 Procedimiento • Para acceder a la página Troubleshooting (Solución de problemas), seleccione Manage (Administrar) | Troubleshooting (Solución de problemas). Figura 4-7 Página Troubleshooting (Solución de problemas) Procedimientos • Exportación de registros de McAfee Advanced Threat Defense en la página 59 • Volver a crear las máquinas virtuales analizadoras en la página 60 • Eliminación de los resultados del análisis en la página 61 Exportación de registros de McAfee Advanced Threat Defense Si surgen problemas al usar McAfee Advanced Threat Defense, puede exportar los archivo de registro y enviarlos a al servicio técnico de McAfee para sus análisis y solución de problemas. Puede exportar registros del sistema, de diagnóstico y registros diversos adicionales. Los registros del sistema ayudan a solucionar problemas relacionados con funciones, operaciones, eventos y demás. Los registros de diagnóstico son necesarios para solucionar problemas críticos tales como bloqueos del sistema en McAfee Advanced Threat Defense. No puede leer el contenido de los archivos de registro del sistema o de diagnóstico. Se trata de registros diseñados únicamente para su uso por el servicio técnico de McAfee. McAfee Advanced Threat Defense 3.4.2 Guía del producto 59 4 Administración de Advanced Threat Defense Troubleshooting (Solución de problemas) Procedimiento 1 En la página Troubleshooting (Solución de problemas), haga clic en Log files (Archivos de registro) para descargar los registros del sistema, y en Diagnostic File (Archivo de diagnóstico) para descargar los registros de diagnóstico. 2 Para descargar la información y los registros adicionales, haga clic en Support Bundle (Paquete de soporte), introduzca el número de ficha y haga clic en OK (Aceptar). Figura 4-8 Creación de paquetes de soporte McAfee Advanced Threat Defense recopila la información requerida y se muestra un mensaje en la parte inferior del navegador. Posteriormente se suministra la opción de guardar el archivo <ticket number>.tgz. 3 Proporcione los siguientes archivos a Soporte de McAfee. • Registros del sistema (atdlogs.bin) • Registros de diagnóstico (atdcore.bin) • Registros diversos adicionales (<ticket number>.tgz) Volver a crear las máquinas virtuales analizadoras Durante el análisis dinámico, es posible que las muestras dañen algunas de las máquinas virtuales analizadoras. Por lo tanto, es posible que estas máquinas virtuales analizadoras no estén disponibles para más análisis. En tales circunstancias, puede eliminar todas las máquinas virtuales analizadoras existentes y volver a crearlas. Se eliminan y vuelven a crear todas las máquinas virtuales analizadoras, incluidas la máquina virtual Android predeterminada y las máquinas virtuales no dañadas. Por lo tanto, no será posible analizar ningún archivo hasta que no se hayan vuelto a crear todas las máquinas virtuales analizadoras. El tiempo dedicado a volver a crear las máquinas depende del número de instancias de máquina virtual analizadora y su tamaño. 60 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense 4 Procedimiento 1 En la página Troubleshooting (Solución de problemas), haga clic en Create VMs (Crear máquinas virtuales) y confirme que desea eliminar todas las instancias de máquina virtual analizadora y volver a crearlas. 2 Seleccione Manage (Administrar) | System Log (Registro del sistema) para ver los registros relacionados con la nueva creación de máquinas virtuales. Si desea consultar el progreso de la nueva creación de máquinas virtuales, seleccione Dashboard (Panel) y revise el monitor VM Creation Status (Estado de creación de máquina virtual). El botón Create VMs (Crear máquinas virtuales) de la página Troubleshooting (Solución de problemas) solo volverá a estar disponible una vez que se hayan vuelto a crear todas las instancias de máquina virtual analizadora. Eliminación de los resultados del análisis Procedimiento 1 En la página Troubleshooting (Solución de problemas), haga clic en Remove all Report Analysis Results (Quitar todos los resultados de informe de análisis). 2 Haga clic en Submit (Enviar). Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense Como medida de precaución, puede realizar copias de seguridad de la base de datos de Advanced Threat Defense de manera periódica. Puede restaurar cualquiera de las copias de seguridad cuando lo desee. Por ejemplo, si desea descartar todos los cambios realizados durante un ejercicio de resolución de problemas, puede restaurar la copia de seguridad realizada antes de comenzar la resolución de problemas. Puede programar copias de seguridad automáticas para que se realicen a diario, semanalmente o una vez al mes, y que se guarden en un FTP designado. Para restaurar una copia de seguridad, McAfee Advanced Threat Defense obtiene el archivo de copia de seguridad seleccionado del servidor FTP y sobrescribe su base de datos con el contenido del archivo de copia de seguridad. ¿Qué se recupera? La copia de seguridad incluye los siguientes datos: • Los resultados mostrados en la página Analysis Results (Resultados del análisis) No se realiza una copia de los informes de análisis tales como el resumen del análisis, los resultados completos y los resultados del desensamblaje. Si elimina los informes de la base de datos (desde la página de solución de problemas) y a continuación restaura una copia de seguridad, los detalles de los resultados se muestran en la página Analysis Results (Resultados del análisis) de la copia de seguridad, pero los informes no están disponibles. • Lista negra local (no se realiza una copia de la lista blanca local) McAfee Advanced Threat Defense 3.4.2 Guía del producto 61 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense • Perfiles de máquina virtual No se realiza una copia de la imagen o archivo VMDK de las máquinas virtuales analizadoras. Antes de restaurar una copia de seguridad, asegúrese de que los archivos de imagen especificados en los perfiles de máquina virtual de la copia de seguridad están presentes en McAfee Advanced Threat Defense. • Perfiles de analizador • Registros de usuario • Detalles de la integración de McAfee ePO • Configuración de proxy • Configuración de DNS • Configuración de fecha y hora incluidos los detalles del servidor NTP • Configuración del clúster de equilibrio de cargas que se muestra en la página Load Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas) Esto no incluye los resultados de análisis y la configuración de los demás nodos del clúster • Configuración y reglas YARA personalizadas • Copia de seguridad de los ajustes del planificador • Copia de seguridad de los detalles del archivo tal y como se muestran en la página Restore Management (Restaurar administración) No se realiza una copia de seguridad de los siguientes datos: • Cualquier URL o archivo de muestra que se esté analizando mientras se realiza la copia de seguridad La página Analysis Status (Estado del análisis) solo muestra el archivo que se está analizando. • Los archivos VMDK o de imagen de las máquinas virtuales analizadoras • El software de McAfee Advanced Threat Defense en el disco activo o de copia de seguridad • Los archivos de registro y los archivos de diagnóstico Planificar una copia de seguridad de base de datos Puede planificar copias de seguridad automáticas con una frecuencia diaria, semanal o mensual. Normalmente, el proceso de copia de seguridad tarda unos minutos en completarse. Sin embargo, esto depende del tamaño de los datos. McAfee recomienda elegir un momento en el que la carga de análisis de Advanced Threat Defense sea inferior. Antes de empezar 62 • Debe tener derechos de usuario administrador en la aplicación web McAfee Advanced Threat Defense. • Debe tener un servidor FTP configurado para almacenar las copias de seguridad y saber en qué directorio desea almacenar las copias de seguridad. McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense • Debe tener la dirección IPv4 del servidor FTP, el nombre de usuario y la contraseña para que Advanced Threat Defense pueda acceder a dicho servidor FTP. Además, el nombre de usuario debe tener acceso de escritura al directorio que se va a usar. • Debe poder establecerse comunicación a través de SFTP o FTP entre McAfee Advanced Threat Defense y el servidor FTP. Puesto que la función de copia de seguridad solo se puede configurar para el usuario administrador, la configuración de servidor FTP de las páginas Backup Scheduler Setting (Configuración de planificador de copia de seguridad) page y FTP Result Output (Salida resultante de FTP) de User Management (Administración de usuarios) es la misma para el usuario administrador. Por lo tanto, cuando el usuario administrador modifica los datos de FTP en una de estas páginas, estos se reflejan automáticamente en la otra página. Procedimiento 1 Seleccione Manage (Administrar) | Backup and Restore (Copia de seguridad y restauración) | Backup (Copia de seguridad). Se mostrará la página Backup Scheduler Setting (Configuración de planificador de copia de seguridad). Figura 4-9 Planificación de una copia de seguridad 2 Introduzca la información adecuada en los respectivos campos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 63 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense Nombre de la opción Definición Enable Backup (Activar copia de seguridad) Seleccione esta opción para activar copias de seguridad automáticas en la fecha y hora programadas. Si desea detener las copias de seguridad automáticas, anule la selección de esta casilla. Backup Frequency Especifique la frecuencia con que desea que Advanced Threat Defense cree (Frecuencia de copia copias de seguridad de la base de datos. de seguridad) • Daily (Cada día): seleccione para crear una copia de seguridad a diario. Time (Hora): especifique la hora de la copia de seguridad diaria. Por ejemplo, si selecciona 01:00, Advanced Threat Defense realizará la copia de seguridad a la 01:00 todos los días de acuerdo con la hora de su reloj. Para crear una copia de seguridad de inmediato, puede usar el comando show en la CLI de Advanced Threat Defense para averiguar la hora actual en Advanced Threat Defense. A continuación, con Daily (Cada día) como frecuencia de copia de seguridad, puede especificar una hora cercana a la actual para crear una copia de seguridad de inmediato. • Weekly (Cada semana): seleccione esta opción para crear una copia de seguridad una vez por semana. • Day of the week (Día de la semana): seleccione el día en el que desea crear la copia de seguridad. • Time (Hora): especifique la hora de la copia de seguridad en el día seleccionado. • Monthly (Cada mes): seleccione esta opción para crear una copia de seguridad una vez al mes. • Day of Month (Día del mes): seleccione la fecha en la que desea crear la copia de seguridad. Por ejemplo, si selecciona 5, Advanced Threat Defense creará una copia de seguridad de la base de datos el quinto día de cada mes. Solo puede especificar una fecha de 1 a 28. Esto evita el uso de fechas no válidas como, por ejemplo, 30 de febrero. • Time (Hora): especifique la hora de la copia de seguridad en la fecha seleccionada. 64 Last Backup (Última copia de seguridad) Marca de tiempo de la última copia de seguridad realizada correctamente. Remote IP (IP remota) La dirección IPv4 del servidor FTP. Protocol (Protocolo) Elija si desea que Advanced Threat Defense utilice FTP o SFTP para transferir el archivo de copia de seguridad al servidor FTP. Path (Ruta) El directorio en el que Advanced Threat Defense debe guardar el archivo en el servidor FTP. Por ejemplo, para guardar el archivo en el directorio raíz, introduzca el directorio, enter:/. User Name (Nombre de usuario) El nombre de usuario que Advanced Threat Defense debe usar para acceder al servidor FTP. Asegúrese de que este nombre de usuario tiene acceso de escritura a la carpeta especificada. Password (Contraseña) La contraseña correspondiente. McAfee Advanced Threat Defense 3.4.2 Guía del producto 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense Nombre de la opción Definición Test (Probar) Haga clic en este botón para asegurarse de que Advanced Threat Defense puede acceder al servidor FTP especificado con el protocolo y las credenciales de usuario seleccionados. Solo podrá planificar una copia de seguridad correctamente si la conexión de prueba se realiza con éxito. Submit (Enviar) 3 Haga clic para planificar la copia de seguridad. Para ver los registros relacionados con la copia de seguridad, seleccione Manage (Administrar) | System Log (Registro del sistema) para ver detalles como las marcas de tiempo de inicio y fin. Figura 4-10 Registros relacionados con la copia de seguridad La copia de seguridad se almacena en un archivo .zip protegido por contraseña en el directorio especificado en el servidor FTP. No intente descomprimir ni modificar este archivo. Si se daña el archivo, es posible que no pueda usarlo pueda restaurar la copia de seguridad de la base de datos. Restaurar una copia de seguridad de base de datos: archivo de copia de seguridad específico y archivo de copia de seguridad anterior Antes de empezar • Asegúrese de que ha configurado la dirección IP para FTP, la ruta de directorios y las credenciales de usuario en la página Backup Scheduler Setting (Configuración de planificador de copia de seguridad) y de que la conexión de prueba funciona para la configuración especificada. Solo es posible restaurar copias de seguridad del mismo servidor FTP utilizado para realizar las copias de seguridad. • Asegúrese de que el archivo de copia de seguridad que desea restaurar está disponible en el servidor FTP en el directorio especificado. • Como precaución, asegúrese de que ningún otro usuario inicie sesión en Advanced Threat Defense durante la restauración. Tenga en cuenta la aplicación web Advanced Threat Defense, las API REST y la CLI. • Asegúrese de que Advanced Threat Defense no está analizando ninguna URL ni ningún archivo de muestra a la hora de restaurar. Asimismo, asegúrese de que ningún producto integrado, usuario ni script envíe muestras durante la restauración. • Asegúrese de no restaurar una copia de seguridad durante el proceso de copia de seguridad. • Asegúrese de que no haya ninguna ampliación de software de Advanced Threat Defense en ejecución durante la restauración. McAfee Advanced Threat Defense 3.4.2 Guía del producto 65 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense La opción Specific backup file (Archivo de copia de seguridad específico) le permite restaurar el archivo de copia de seguridad presente en el servidor FTP en cualquier appliance Advanced Threat Defense. Esto resulta útil cuando el appliance Advanced Threat Defense sufre daños. No es posible restaurar una copia de seguridad de una versión anterior o posterior del software Advanced Threat Defense. Todos los números de la versión deben ser exactamente iguales. Por ejemplo, no es posible restaurar una copia de seguridad de 3.0.4.94.39030 en 3.0.4.94.39031. Procedimiento 1 Seleccione Manage (Administrar) | Backup and Restore (Copia de seguridad y restauración) | Restore (Restaurar) Se muestra la página Restore Management (Administración de restauración). Figura 4-11 Archivo de copia de seguridad específico 66 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense 2 4 Seleccione Specific backup file (Archivo de copia de seguridad específico). Introduzca la información adecuada en los respectivos campos. Tabla 4-1 Restaurar un archivo de copia de seguridad específico Nombre de la opción Definición Remote IP (IP remota) La dirección IPv4 del servidor FTP. Protocol (Protocolo) Elija si desea que Advanced Threat Defense utilice FTP o SFTP para transferir el archivo de copia de seguridad al servidor FTP. User Name (Nombre de usuario) El nombre de usuario que Advanced Threat Defense debe usar para acceder al servidor FTP. Asegúrese de que este nombre de usuario tiene acceso de escritura a la carpeta especificada. 3 Password (Contraseña) La contraseña correspondiente. Full Path File Name (Nombre y ruta completa de archivo) Para restaurar la copia de seguridad, deben proporcionarse la ubicación completa del archivo creado anteriormente y el nombre del archivo. Si el archivo de copia de seguridad no está disponible en la ubicación especificada en el servidor de reserva, no se realizará la restauración. Haga clic en Restore (Restaurar). Restaurar una copia de seguridad de base de datos: archivo de copia de seguridad anterior Before you begin Es posible que se realicen cambios relacionados con el servidor FTP utilizado para la copia de seguridad. Por ejemplo, es posible que cambie la dirección IP del servidor de reserva FTP o que desee migrar el servidor de reserva a un nuevo servidor físico o virtual. Si cambia la dirección IP, asegúrese actualizar la configuración correspondiente en la página Backup Scheduler Setting (Configuración de planificador de copia de seguridad). A continuación podrá restaurar desde el archivo de copia de seguridad requerido. Sin embargo, si cambia el servidor, no podrá restaurar las copias de almacenadas en el servidor anterior. Solo podrá restaurar desde los archivos de copia de seguridad del nuevo servidor. • Solo es posible restaurar una copia de seguridad en el mismo Advanced Threat Defense Appliance desde el que se realizó la copia de seguridad de la base de datos. Por ejemplo, no es posible restaurar una copia de seguridad de un Advanced Threat Defense Appliance de prueba en un Advanced Threat Defense Appliance de producción. • No es posible restaurar una copia de seguridad de una versión anterior o posterior del software Advanced Threat Defense. Todos los números de la versión deben ser exactamente iguales. Por ejemplo, no es posible restaurar una copia de seguridad de 3.0.4.94.39030 en 3.0.4.94.39031. • Normalmente, el proceso de restauración de la copia de seguridad tarda unos minutos. Sin embargo, esto depende del tamaño de los datos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 67 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense Task 1 Seleccione Manage (Administrar) | Backup and Restore (Copia de seguridad y restauración) | Restore (Restaurar) Se muestra la página Restore Management (Administración de restauración). Figure 4-12 Lista de archivos de copia de seguridad disponibles Table 4-2 Restaurar archivos de copia de seguridad anteriores Nombre de la opción Definición File Name (Nombre de archivo) El nombre que Advanced Threat Defense asignó al archivo de copia de seguridad. No intente cambiar el nombre del archivo en el servidor FTP. Backup Server IP Address (Dirección IP de servidor de reserva) La dirección IP del servidor FTP en el que se almacenan los archivos de copia de seguridad. Backup Time (Fecha y hora de copia de seguridad) La marca de tiempo del momento en que se realizó la copia de seguridad. Restore (Restaurar) Seleccione el archivo de copia de seguridad requerido y haga clic en Restore (Restaurar) para restaurar los datos de dicho archivo. Si hay más de un archivo de copia de seguridad, podrá seleccionar los archivos de copia de seguridad que desea restaurar con los botones de opción. 68 McAfee Advanced Threat Defense 3.4.2 Guía del producto Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense 2 4 Para ver los registros relacionados con la restauración, seleccione Manage (Administrar) | System Log (Registro del sistema). Figure 4-13 Registros relacionados con restauración de datos Los procesos relacionados con el análisis de muestras se detienen antes del proceso de restauración y se reinician al terminar el proceso. McAfee Advanced Threat Defense 3.4.2 Guía del producto 69 4 Administración de Advanced Threat Defense Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense 70 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Para realizar un análisis dinámico, McAfee Advanced Threat Defense ejecuta los archivos sospechosos en una máquina virtual segura y supervisa su comportamiento en busca de actividades maliciosas. Esta máquina virtual se denomina máquina virtual analizadora. Este capítulo detalla los pasos necesarios para crear una máquina virtual analizadora y su perfil de máquina virtual. Cualquier software de seguridad, herramienta o utilidad de bajo nivel usada en una máquina virtual analizadora puede interferir con el análisis dinámico del archivo de muestra. Puede que incluso provoque que se detenga la ejecución del archivo de muestra durante el análisis dinámico. A raíz de ello, los informes podrían no detallar el comportamiento completo del archivo de muestra. Si necesita averiguar el comportamiento completo del archivo de muestra, no use parches en el sistema operativo de la máquina virtual analizadora ni instale ningún software de seguridad en la misma. Si necesita averiguar el efecto específico del archivo de muestra en su red, use su imagen de COE (Entorno Operativo Común) con su software de seguridad habitual, a fin de crear la máquina virtual analizadora. Los pasos de alto nivel para crear una máquina virtual analizadora y su perfil de máquina virtual son los siguientes: 1 Cree una imagen ISO del sistema operativo correspondiente. También debe tener la clave de licencia para dicho sistema operativo. Por ejemplo, para crear una máquina virtual analizadora de Windows 7, debe tener una imagen ISO de Windows 7 y la clave de licencia. Solo los siguientes sistemas operativos son compatibles para crear las máquinas virtuales analizadoras: • Microsoft Windows XP de 32 bits Service Pack 2 • Microsoft Windows XP de 32 bits Service Pack 3 • Microsoft Windows Server 2003 de 32 bits Service Pack 1 • Microsoft Windows Server 2003 de 32 bits Service Pack 2 • Microsoft Windows Server 2008 R2 Service Pack 1 • Microsoft Windows 7 de 32 bits Service Pack 1 • Microsoft Windows 7 de 64 bits Service Pack 1 • Microsoft Windows 8.0 Pro de 32 bits McAfee Advanced Threat Defense 3.4.2 Guía del producto 71 5 Creación de una máquina virtual analizadora • Microsoft Windows 8.0 Pro de 64 bits • Android 2.3 de forma predeterminada. Puede ampliarlo a Android 4.3. Consulte Ampliar la máquina virtual analizadora de Android en la página 55. Todos los sistemas operativos Windows anteriores pueden estar en inglés, chino simplificado, japonés, alemán o italiano. La única máquina virtual analizadora preinstalada es la máquina virtual Android. 2 Use VMware Workstation 9.0 para crear un archivo VMDK (disco de máquina virtual) de la imagen ISO. Tras crear la máquina virtual, ya puede instalar las aplicaciones necesarias, tales como: • Internet Explorer versiones 6, 7, 8, 9 y 10. • Firefox versiones 11, 12 y13. • Microsoft Office versiones 2003, 2007, 2010 o 2013. • Adobe Reader versiones 8, 9 o 10. Se recomienda la versión 9.0 de VMware Workstation. En caso de usar VMware Workstation 10.0, seleccione Workstation 9.0 en Hardware Compatibility (Compatibilidad de hardware) en New Virtual Machine Wizard (Asistente de nueva máquina virtual), como se muestra a continuación: 72 3 Importe el archivo VMDK a McAfee Advanced Threat Defense Appliance. 4 Convierta el archivo VMDK en un archivo de imagen (.img). 5 Cree la máquina virtual y el perfil de máquina virtual. McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Si ya tiene un archivo VMDK, debe ser un único archivo que contenga todos los archivos necesarios para crear la máquina virtual. En la tabla siguiente se especifica el número máximo de máquinas virtuales que pueden crearse dependiendo del tipo de sistema Windows. Tabla 5-1 Número de máquinas virtuales por sistema operativo SO (plataforma Windows) ATD-3000 (n° de MV) ATD-6000 (n° de MV) WinXP SP2 (5 GB) 29 59 WinXP SP3 (5 GB) 29 59 Windows 2003 SP1 (5 GB) 29 59 Windows 2003 SP2 (5 GB) 29 59 Windows 2008 64 bits SP1 (14 GB) 22 45 Windows 7 32 bits (14 GB) 22 45 Windows 7 64 bits (14 GB) 22 45 Windows 8 32 bits (24 GB) 22 45 Windows 8 64 bits (24 GB) 22 45 La máquina virtual Android es un componente predeterminado de todas las instalaciones ATD. Contenido Creación de un archivo VMDK para Windows XP Creación de un archivo VMDK para Windows 2003 Server Creación de un archivo VMDK para Windows 7 Creación de un archivo VMDK para Windows 2008 Server Creación de un archivo VMDK para Windows 8 Importación de un archivo VMDK en McAfee Advanced Threat Defense Convierta el archivo VMDK en un archivo de imagen Administración de perfiles de máquina virtual Ver el registro de creación de máquina virtual Creación de un archivo VMDK para Windows XP Pasos preliminares • Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/ workstation/workstation-evaluation e instálelo. • Asegúrese de tener la imagen ISO de Windows XP SP2 o SP3 para la que desee crear el archivo VMDK. Solo se admite Windows Professional. • Asegúrese de que tiene la clave de licencia para el sistema operativo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 73 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. Paso Detalles Paso 1: inicie VMware Workstation. Este procedimiento usa VMware Workstation 10 como ejemplo. Paso 2: en la página VMware Workstation, seleccione File (Archivo) | New Virtual Machine (Máquina virtual nueva). Paso 3: en la ventanaNew Virtual Machine Wizard (Asistente de nueva máquina virtual), seleccione Custom (Advanced) (Personalizado, Avanzado) y haga clic en Next (Siguiente). 74 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 4: en la ventana Choose the Virtual Machine Hardware Compatibility (Elija la compatibilidad con hardware de la máquina virtual), seleccione Workstation 9.0 en la lista desplegable Hardware compatibility (Compatibilidad de hardware). En los otros campos, deje los valores predeterminados y haga clic en Next (Siguiente). Paso 5: en la ventana Guest Operating System Installation (Instalación de sistema operativo invitado), seleccione Installer disc (Disco instalador), o bien seleccione Installer disc image file (iso) (Archivo de imagen ISO del disco instalador), busque y seleccione la imagen ISO y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 75 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 6: introduzca la información en la ventana Easy Install Information (Información de instalación sencilla) y haga clic en Next (Siguiente). • Windows product key (Clave del producto de Windows): introduzca la clave de licencia del sistema operativo Windows para el que está creando el archivo VMDK. • Full name (Nombre completo): introduzca administrator en este campo. • Password (Contraseña): escriba cr@cker42 como la contraseña. Esta es la contraseña que McAfee Advanced Threat Defense utiliza para iniciar sesión en la máquina virtual. • Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la contraseña. • Log on automatically (requires a password) (Inicio de sesión automático, requiere contraseña): anule la selección de esta opción. Paso 7: si se muestra el mensaje de VMware Workstation, haga clic en Yes (Sí). 76 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 8: introduzca la información en la ventana Name the Virtual Machine (Asignar nombre a máquina virtual) y haga clic en Next (Siguiente). • Virtual Machine name (Nombre de máquina virtual): debe introducir virtualMachineImage como nombre. • Location (Ubicación): busque y seleccione la carpeta en la que desea crear el archivo VMDK. Paso 9: en la ventana Processor Configuration (Configuración del procesador), deje los valores predeterminados y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 77 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 10: en la ventana Memory for the Virtual Machine (Memoria para la máquina virtual), establezca 1024 MB como valor para la memoria. Paso 11: en la ventana Network Type (Tipo de red), deje los valores predeterminados. 78 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 12: en la ventana Select I/O Controller Types (Selección de tipos de controlador de E/S), deje los valores predeterminados. Paso 13: en la página Select a Disk Type (Seleccione un tipo de disco), seleccione IDE y haga clic en Next (Siguiente). Los discos SCSI no son compatibles con McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 79 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 14: en la ventana Select a Disk (Seleccione un disco), seleccione Create a new virtual disk (Crear disco virtual nuevo) y haga clic en Next (Siguiente). Paso 15: especifique los detalles en la ventana Specify Disk Capacity (Especificar capacidad de disco) y haga clic en Next (Siguiente). • Maximum disk size (GB) (Tamaño máximo de disco en GB): para Windows XP, el tamaño máximo puede ser 30 GB, pero es aconsejable introducir 5 GB para obtener el mejor rendimiento posible. • Seleccione Allocate all disk space now (Asignar todo el espacio de disco ahora). • Seleccione Store virtual disk as a single file (Guardar disco virtual como un solo archivo). 80 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 16: en la ventana Specify Disk file (Especificar archivo de disco), asegúrese de que se muestre virtualMachineImage.vmdk de forma predeterminada y haga clic en Next (Siguiente). Si ha especificado un nombre distinto para Virtual Machine name, ese nombre se mostrará aquí. McAfee Advanced Threat Defense 3.4.2 Guía del producto 81 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 17: en la ventana Ready to • Power on this virtual machine after creation (Encender máquina virtual tras Create Virtual Machine (Listo para crear su creación): seleccione esta opción. máquina virtual), siga estos pasos. • Haga clic en Finish (Finalizar). Este paso puede tardar alrededor de 30 minutos en completarse. Paso 18: si se muestra la ventana Windows empezará a instalarse. Esto puede tardar unos 15 emergente Removable Devices minutos. (Dispositivos extraíbles), seleccione Do not show this hint again (No volver a mostrar esta sugerencia) y haga clic en OK (Aceptar). 82 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 19: haga clic en OK (Aceptar) si se muestra el siguiente mensaje de error: Setup cannot continue until you enter your name. Administrator and Guest are not allowable names to use. (La configuración no puede continuar hasta que introduzca su nombre. “Administrator” y “Guest” no son nombres válidos). Paso 20: introduzca los datos • Name (Nombre): escriba root siguientes en la pantalla Configuración de Windows XP Professional. • Organization (Organización): déjelo en blanco y haga clic en Next (Siguiente). Este paso puede tardar alrededor de 15 minutos en completarse. Paso 21: solo en caso de que se le pida, inicie sesión en virtualMachineImage con las siguientes credenciales. McAfee Advanced Threat Defense 3.4.2 • User (Usuario): administrator • Password (Contraseña): cr@cker42 Guía del producto 83 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 22: detenga la instalación de VMware Tools. VMware Tools no es compatible con McAfee Advanced Threat Defense. Si no detuvo la instalación de VMware Tools, puede continuar con el proceso de creación de archivos VMDK, pero asegúrese de que no esté instalado cuando el archivo VMDK esté listo. Paso 23: en virtualMachineImage, seleccione Inicio | Panel de control | Centro de seguridad | Firewall de Windows | Desactivar. Paso 24: en la máquina virtual virtualMachineImage, haga clic en Inicio y luego clic con el botón derecho en Mi PC. Seleccione Administrar | Servicios y Aplicaciones | Servicios. A continuación haga doble clic en Telnet. 84 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 25: en la ventana Propiedades de Telnet (Equipo local), debe seleccionar Automático en el menú desplegable Tipo de inicio. Seleccione Aplicar | Inicio | Aceptar. Paso 26: active el servidor FTP en la máquina virtual. En virtualMachineImage, seleccione Inicio | Panel de control | Agregar o quitar programas | Agregar o quitar componentes de Windows.. McAfee Advanced Threat Defense 3.4.2 Guía del producto 85 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 27: cuando aparezca el Asistente para Componentes de Windows, haga doble clic en Internet Information Services (IIS). Paso 28: en la ventana emergente Internet Information Services (IIS), siga estos pasos. 1 Seleccione Servicio FTP (Protocolo de transferencia de archivos). 2 Seleccione Archivos comunes. 3 Seleccione Complemento de Internet Information Services, haga clic en Aceptar y luego haga clic en Siguiente. Paso 29: en la ventana emergente Insertar disco, haga clic en Cancelar. 86 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 30: en la ventana emergente Programa de instalación de Windows XP, seleccione Aceptar. Paso 31: en VMware Workstation, haga clic con el botón derecho en la máquina virtual, en este ejemplo: virtualMachineImage. A continuación, seleccione Settings (Configuración). McAfee Advanced Threat Defense 3.4.2 Guía del producto 87 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 32: en la ventana Virtual Machine Settings (Configuración de máquina virtual), seleccione CD/DVD (IDE). Paso 33: en el campo Use ISO image file (Usar archivo de imagen ISO), busque el archivo ISO que usó y haga clic en OK (Aceptar). Paso 34: en la página Bienvenida a Microsoft Windows XP, haga clic en Salir. 88 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 35: en virtualMachineImage, seleccione Inicio | Panel de control | Agregar o quitar programas | Agregar o quitar componentes de Windows.. Paso 36: cuando aparezca el Asistente para Componentes de Windows, haga doble clic en Internet Information Services (IIS). McAfee Advanced Threat Defense 3.4.2 Guía del producto 89 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 37: en la ventana emergente Internet Information Services (IIS), siga estos pasos. 1 Seleccione Servicio FTP (Protocolo de transferencia de archivos). 2 Seleccione Archivos comunes. 3 Seleccione Complemento de Internet Information Services, haga clic en Aceptar y luego haga clic en Siguiente. Paso 38: en el asistente para Componentes de Windows, haga clic en Finalizar para acabar de instalar el FTP. 90 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 39: seleccione Inicio | Panel de control | Cambiar a Vista clásica | Herramientas administrativas y haga doble clic en Internet Information Services. Paso 40: en la ventana Internet Information Services , expanda + bajo Internet Information Services. Paso 41: expanda Sitios FTP. Paso 42: haga clic con el botón derecho en Sitio FTP predeterminado y seleccione Propiedades | Directorio particular . A continuación, haga lo siguiente. 1 Vaya a C:\ 2 Seleccione Read (Leer). 3 Seleccione Write (Escribir). 4 Seleccione Log visits (Registrar visitas), haga clic en Apply (Aplicar) y luego en OK (Aceptar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 91 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 43: establezca el inicio de sesión automático seleccionando Inicio | Ejecutar, introduzca rundll32 netplwiz.dll,UsersRunDll y pulse Intro. Paso 44: en la ventana Cuentas de usuario, anule la selección de Los usuarios deben escribir su nombre y contraseña para usar el equipo. y haga clic en Aplicar. 92 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 45: en la ventana • Nombre de usuario: escriba Administrator emergente Iniciar sesión automáticamente, introduzca los datos • Contraseña: escriba cr@cker42 siguientes y haga clic en Aceptar en • Confirmar contraseña: escriba cr@cker42 los cuadros de mensaje. Paso 46: descargue Sigcheck a su equipo (host nativo) desde http://technet.microsoft.com/ en-us/sysinternals/ bb897441.aspx. La máquina virtual que ha creado tiene desactivado el Firewall de Windows, ya que no hay un programa antivirus instalado. Por lo tanto es aconsejable descargar los programas y componentes en el host nativo en primer lugar y luego copiarlos a la máquina virtual en VMware Workstation. Paso 47: extraiga sigcheck.zip a C:\WINDOWS\system32. Paso 48: en Windows Explorer, vaya a C:\ WINDOWS\system32 y haga doble clic en sigcheck.exe. Paso 49: si se le indica, haga clic en Ejecutar en el mensaje de advertencia. McAfee Advanced Threat Defense 3.4.2 Guía del producto 93 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 50: haga clic en Acepto para aceptar el acuerdo de licencia de Sigcheck. Después de hacer clic en Acepto, no se mostrará ningún mensaje de confirmación. Paso 51: descargue MergeIDE.zip desde https://www.virtualbox.org/ attachment/wiki/ Migrate_Windows/MergeIDE.zip al equipo nativo y luego cópielo a la máquina virtual. Paso 52: extraiga MergeIDE.zip y • Si se le indica, seleccione Ejecutar en el mensaje de advertencia. ejecute el archivo por lotes • Cierre el Explorador de Windows. MergeIDE en la máquina virtual. Paso 53: desactive las actualizaciones de Windows. 1 Seleccione Inicio | Configuración | Panel de control. 2 Abra Sistema. 3 En la ficha Actualizaciones automáticas, anule la selección de Mantenga el equipo actualizado. 4 Haga clic en Aplicar y luego en Aceptar. 94 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 54: para analizar archivos de Microsoft Word, Excel y PowerPoint, instale Microsoft Office 2003 en la máquina virtual. Paso 55: reduzca el nivel de seguridad para ejecutar macros para aplicaciones de Office. • Abra Microsoft Word 2003 y seleccione Herramientas | Macro | Seguridad y luego seleccione el valor Baja y haga clic en Aceptar. • Haga lo mismo para la seguridad de macros en Microsoft Excel y PowerPoint. McAfee Advanced Threat Defense 3.4.2 Guía del producto 95 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 56: necesita el paquete de compatibilidad para abrir archivos de Microsoft Office creados en una versión más reciente de Microsoft Office. Por ejemplo, para abrir un archivo .docx con Office 2003, necesita tener instalado el correspondiente paquete de compatibilidad. Vaya a http://www.microsoft.com/ en-us/download/details.aspx?id=3 y descargue el paquete de compatibilidad de Microsoft Office adecuado para formatos de archivo Word, Excel y PowerPoint. A continuación, realice la instalación en la máquina virtual. Paso 57: en el cuadro de diálogoPaquete de compatibilidad para 2007 Office system, seleccione Haga clic aquí para aceptar los términos de licencia del software de Microsoft y haga clic en Aceptar. 96 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 58: para analizar archivos 1 Instale Adobe Reader 9.0 en la máquina virtual. PDF, descargue Adobe Reader al host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar. virtual. En este ejemplo del procedimiento se usa Adobe Reader 9.0. 3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la selección de Buscar actualizaciones. Paso 59: descargue los siguientes 1 Descargue Microsoft Visual C++ 2005 Redistributable Package elementos al host nativo y luego (x86) desde http://www.microsoft.com/en-us/download/ instálelos en la máquina virtual. details.aspx?id=3387e instálelo. 2 Descargue Microsoft Visual C++ 2008 Redistributable Package (x86) desde http://www.microsoft.com/en-us/download/ details.aspx?id=5582e instálelo. 3 Descargue Microsoft Visual C++ 2010 Redistributable Package (x86) desde http://www.microsoft.com/en-us/download/ details.aspx?id=5555e instálelo. 4 Descargue Microsoft .NET Framework 2.0 Service Pack 2 (versión x86) desde http://www.microsoft.com/en-us/download/ details.aspx?id=1639e instálelo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 97 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 60: para analizar archivos JAR, descargue e instale Java Runtime Environment. En este ejemplo del procedimiento se usa Java 7 Update 25. Paso 61: abra Java en el Panel de control. Paso 62: en la ficha Actualizar, anule la selección de Comprobar Actualizaciones Automáticamente. 98 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP 5 Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 63: en el cuadro de diálogo de advertencia de actualización Java, seleccione No comprobar y haga clic en Aceptar en el Panel de control de Java. Paso 64: en el cuadro de diálogo Ejecutar de Windows, introduzca msconfig. Paso 65: en la utilidad de configuración del sistema, vaya a la ficha Inicio. Anule la selección de reader_sl y jusched, y haga clic en Aceptar. Paso 66: en el cuadro de diálogo Configuración del sistema, haga clic en Reiniciar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 99 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 67: en el cuadro de diálogo Utilidad de configuración del sistema, seleccione No volver a mostrar este mensaje o iniciar la Utilidad de configuración del sistema cuando se inicie Windows y haga clic en Aceptar. 100 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 68: abra el navegador 1 El bloqueador de ventanas emergentes debe estar activado. En predeterminado y configúrelo para Internet Explorer, seleccione Herramientas | Bloqueador de ventanas el análisis de malware. emergentes | Active el Bloqueador de ventanas emergentes. En este ejemplo del procedimiento se usa Internet Explorer. 2 Seleccione Herramientas | Opciones de Internet y para Página principal seleccione Usar página en blanco o Usar nueva pestaña, según su versión de Internet Explorer. 3 Vaya a la ficha Avanzado de Opciones de Internet y localice Seguridad. 4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi equipo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 101 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles 5 Haga clic en Aceptar. 102 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows XP Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles Paso 69: para analizar 1 Vaya a http://get.adobe.com/flashplayer/otherversions/. dinámicamente archivos Flash (SWF), instale la versión requerida 2 Seleccione el sistema operativo y la versión de Flash Player de Adobe Flash. respectivamente según sus requisitos para el Paso 1 y el Paso 2 mostrados en la siguiente imagen. En este ejemplo del procedimiento se usa Flash Player 14. 3 Haga clic en la ficha Descargar ahora. 4 Haga doble clic en el archivo de instalación de Adobe Flash Player (install_flashplayer xxx.exe), en la esquina inferior de la pantalla. 5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar. 6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí. McAfee Advanced Threat Defense 3.4.2 Guía del producto 103 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación) Paso Detalles 7 Seleccione su opción de actualización y haga clic en SIGUIENTE. 8 Haga clic en FINALIZAR para completar la instalación de Adobe Flash Player. Paso 70: cierre virtualMachineImage seleccionando Inicio | Apagar. Paso 71: vaya a la ubicación que ha introducido en el paso 8 para encontrar el archivo VMDK denominadovirtualMachineImage ‑flat.vmdk Creación de un archivo VMDK para Windows 2003 Server Pasos preliminares 104 • Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/ workstation/workstation-evaluation e instálelo. • Asegúrese de tener la imagen ISO de Windows 2003 Server SP1 o SP2 para la que desee crear el archivo VMDK. Solo Windows 2003 Server Enterprise Edition es compatible. • Asegúrese de que tiene la clave de licencia para el sistema operativo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 Paso Detalles Paso 1: inicie VMware Workstation. Este procedimiento usa VMware Workstation 10 como ejemplo. Paso 2: en la página VMware Workstation, seleccione File (Archivo) | New Virtual Machine (Máquina virtual nueva). Paso 3: en la ventanaNew Virtual Machine Wizard (Asistente de nueva máquina virtual), seleccione Custom (Advanced) (Personalizado, Avanzado) y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 105 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 4: en la ventana Choose the Virtual Machine Hardware Compatibility (Elija la compatibilidad con hardware de la máquina virtual), seleccione Workstation 9.0 en la lista desplegable Hardware compatibility (Compatibilidad de hardware). En los otros campos, deje los valores predeterminados y haga clic en Next (Siguiente). Paso 5: en la ventana Guest Operating System Installation (Instalación de sistema operativo invitado), seleccione Installer disc (Disco instalador), o bien seleccione Installer disc image file (iso) (Archivo de imagen ISO del disco instalador), busque y seleccione la imagen ISO y haga clic en Next (Siguiente). 106 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 6: en la ventana Select a Guest Operating System (Selección de sistema operativo invitado), seleccione la versión que corresponda. Paso 7: introduzca la información en la ventana Name the Virtual Machine (Asignar nombre a máquina virtual) y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 • Virtual Machine name (Nombre de máquina virtual): debe introducir virtualMachineImage como nombre. • Location (Ubicación): busque y seleccione la carpeta en la que desea crear el archivo VMDK. Guía del producto 107 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 8: en la ventana Processor Configuration (Configuración del procesador), deje los valores predeterminados y haga clic en Next (Siguiente). Paso 9: en la ventana Memory for the Virtual Machine (Memoria para la máquina virtual), establezca 1024 MB como valor para la memoria. 108 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 10: en la ventana Network Type (Tipo de red), deje los valores predeterminados. Paso 11: en la ventana Select I/O Controller Types (Selección de tipos de controlador de E/S), deje los valores predeterminados. McAfee Advanced Threat Defense 3.4.2 Guía del producto 109 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 12: en la página Select a Disk Type (Seleccione un tipo de disco), seleccione IDE y haga clic en Next (Siguiente). Los discos SCSI no son compatibles con McAfee Advanced Threat Defense. Paso 13: en la ventana Select a Disk (Seleccione un disco), seleccione Create a new virtual disk (Crear disco virtual nuevo) y haga clic en Next (Siguiente). 110 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 14: especifique los detalles en la ventana Specify Disk Capacity (Especificar capacidad de disco) y haga clic en Next (Siguiente). • Maximum disk size (GB) (Tamaño máximo de disco en GB): debe introducir 5 GB. • Seleccione Allocate all disk space now (Asignar todo el espacio de disco ahora). • Seleccione Store virtual disk as a single file (Guardar disco virtual como un solo archivo). Paso 15: en la ventana Specify Disk file (Especificar archivo de disco), asegúrese de que se muestre virtualMachineImage.vmdk de forma predeterminada y haga clic en Next (Siguiente). Si ha especificado un nombre distinto para Virtual Machine name, ese nombre se mostrará aquí. McAfee Advanced Threat Defense 3.4.2 Guía del producto 111 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 16: examine la configuración de creación de máquina virtual y haga clic en Finish (Finalizar). Se crea la máquina virtual y, a continuación, debe instalar el sistema operativo. 112 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 17: en VMware Workstation, inicie la máquina virtual que acaba de crear e instale Windows Server 2003 siguiendo el procedimiento habitual. • Este paso puede tardar alrededor de 30 minutos en completarse. • Puede usar el sistema de archivos NTFS para cambiar el formato de la partición durante la instalación. • No instale VMware Tools. Si no detuvo la instalación de VMware Tools, puede continuar con el proceso de creación de archivos VMDK, pero asegúrese de que no esté instalado cuando el archivo VMDK esté listo. Paso 18: puede personalizar la configuración en la ventana Regional and Language Options (Configuración regional y de idioma). McAfee Advanced Threat Defense 3.4.2 Guía del producto 113 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 19: introduzca estos • Name (Nombre): escriba root detalles en la ventana Windows Setup • Organization (Organización): déjelo en blanco y haga clic en Next (Configuración de Windows). (Siguiente). Paso 20: introduzca una clave de producto válida y haga clic en Next (Siguiente). 114 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 21: seleccione el modo de licencia Per Server (Por servidor) e introduzca un número válido de conexiones simultáneas según su licencia. Paso 22: introduzca estos detalles en la ventana Computer Name and Administrator Password (Nombre de equipo y contraseña de administrador). McAfee Advanced Threat Defense 3.4.2 • Nombre del equipo: deje el valor predeterminado. • Contraseña de administrador: cr@cker42 • Confirmar contraseña: cr@cker42 Guía del producto 115 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 23: haga clic en Next (Siguiente) en la ventana Date and Time Settings (Configuración de fecha y hora). Paso 24: en la ventana Network Settings (Configuración de red), deje los valores predeterminados y haga clic en Next (Siguiente). 116 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 25: deje los valores predeterminados en la ventana Workgroup or Computer Domain (Grupo de trabajo o dominio del equipo) y haga clic en Next (Siguiente). Paso 26: inicie sesión en la máquina virtual con las siguientes credenciales. • User (Usuario): administrator • Password (Contraseña): cr@cker42 Paso 27: si se muestra la página Windows Server Post-Setup Security Updates (Actualizaciones de seguridad posteriores a la configuración de Windows Server), haga clic en Finish (Finalizar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 117 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 28: si se muestra la ventana Manage Your Server (Administre sus servidor), seleccione Don't Display the page at logon (No mostrar la página al iniciar sesión) y ciérrela. Paso 29: realice los siguientes pasos. 1 Seleccione Inicio | Ejecutar e introduzca gpedit.msc. 2 En la ventana Group policy object editor (Editor de objeto directiva de grupo), seleccione Computer Configuration (Configuración de equipo) | Administrative Templates (Plantillas administrativas) | System (Sistema) y haga doble clic en Display Shutdown Event Tracker (Mostrar rastreador de evento de cierre). 3 Seleccione Disabled (Desactivado) y haga clic en OK (Aceptar). 4 Cierre la ventana Group policy object editor (Editor de objeto directiva de grupo). Paso 30: realice los siguientes pasos para Windows Server 2003 SP1 únicamente. No siga estos pasos para Windows Server 2003 SP2. 1 Vaya a http://support.microsoft.com/hotfix/KBHotfix.aspx? kbnum=899260&kbln=en-us e instale el hotfix que corresponda a su versión de Windows Server 2003. 2 Reinicie el equipo. 3 En el símbolo del sistema de Windows, escribatlntsvr /service y pulse Intro. 118 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 31: en virtualMachineImage, seleccione Inicio | Panel de control | Firewall de Windows | Desactivar. Paso 32: haga clic en Inicio y, luego, haga clic con el botón derecho en Equipo. Seleccione Administrar | Servicios y Aplicaciones | Servicios. A continuación, haga doble clic en Telnet. McAfee Advanced Threat Defense 3.4.2 Guía del producto 119 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 33: en la ventana Telnet Properties(Local Computer) (Propiedades de Telnet, Equipo local), debe seleccionar Automatic (Automático) en el menú desplegable Startup type (Tipo de inicio). Seleccione Apply (Aplicar) | Start (Inicio) | OK (Aceptar). Paso 34: active el servidor FTP en 1 En virtualMachineImage, seleccione Inicio | Panel de control | Agregar o la máquina virtual. quitar programas | Agregar o quitar componentes de Windows. 2 Haga doble clic en Servidor de aplicaciones. 3 Haga doble clic en Internet Information Services (IIS) 120 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 35: en la ventana emergente Internet Information Services(IIS), siga estos pasos. 1 Seleccione Archivos comunes. 2 Seleccione Servicio FTP (Protocolo de transferencia de archivos). 3 Seleccione Administrador de Internet Information Services, haga clic en Aceptar y, luego, haga clic en Siguiente en Asistente para componentes de Windows. McAfee Advanced Threat Defense 3.4.2 Guía del producto 121 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 36: en VMware Workstation, haga clic con el botón derecho en la máquina virtual, en este ejemplo: virtualMachineImage. A continuación, seleccione Settings (Configuración). Paso 37: en la ventana Virtual Machine Settings (Configuración de máquina virtual), seleccione CD/DVD (IDE). 122 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 38: en el campo Use ISO image file (Usar archivo de imagen ISO), busque el archivo ISO que usó y haga clic en OK (Aceptar). Si se abre el Explorador de Windows, ciérrelo. Paso 39: en virtualMachineImage, seleccione Inicio | Panel de control | Herramientas administrativas | Administrador de Internet Information Services (IIS). Paso 40: en la ventana Administrador de Internet Information Services (IIS) , expanda + bajo Internet Information Services. McAfee Advanced Threat Defense 3.4.2 Guía del producto 123 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 41: realice los siguientes pasos. 1 Seleccione Sitios FTP y haga clic con el botón derecho en Sitios FTP predeterminados. 2 Seleccione Propiedades | Directorio particular. 3 Vaya a C:\ 4 Seleccione Read (Leer). 5 Seleccione Write (Escribir). 6 Seleccione Log visits (Registrar visitas), haga clic en Apply (Aplicar) y luego en OK (Aceptar) Paso 42: establezca el inicio de sesión automático seleccionando Inicio | Ejecutar, introduzca rundll32 netplwiz.dll,UsersRunDll y pulse Intro. 124 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 43: en la ventana Cuentas de usuario, anule la selección de Los usuarios deben escribir su nombre y contraseña para usar el equipo. y haga clic en Aplicar. Paso 44: en la ventana • Nombre de usuario: escriba Administrator emergente Iniciar sesión automáticamente, introduzca los datos • Contraseña: escriba cr@cker42 siguientes y haga clic en Aceptar en • Confirmar contraseña: escriba cr@cker42 los cuadros de mensaje. Paso 45: descargue Sigcheck a su equipo (host nativo) desde http://technet.microsoft.com/ en-us/sysinternals/ bb897441.aspx. McAfee Advanced Threat Defense 3.4.2 La máquina virtual que ha creado tiene desactivado el Firewall de Windows, ya que no hay un programa antivirus instalado. Por lo tanto es aconsejable descargar los programas y componentes en el host nativo en primer lugar y luego copiarlos a la máquina virtual en VMware Workstation. Guía del producto 125 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 46: extraiga sigcheck.zip a C:\WINDOWS\system32. Paso 47: en Windows Explorer, vaya a C:\ WINDOWS\system32 y haga doble clic en sigcheck.exe. Paso 48: si se le indica, haga clic en Ejecutar en el mensaje de advertencia. Paso 49: haga clic en Acepto para aceptar el acuerdo de licencia de Sigcheck. Después de hacer clic en Acepto, no se mostrará ningún mensaje de confirmación. Paso 50: ejecute el archivo por lotes MergeIDE en la máquina virtual. 1 Descargue MergeIDE.zip desde https://www.virtualbox.org/ attachment/wiki/Migrate_Windows/MergeIDE.zip al equipo nativo y luego cópielo a la máquina virtual. 2 Extraiga MergeIDE.zip y ejecute el archivo por lotes MergeIDE en la máquina virtual. 3 Si se le indica, seleccione Ejecutar en el mensaje de advertencia. 4 Cierre el Explorador de Windows. 126 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 51: desactive las actualizaciones de Windows. 1 Seleccione Inicio | Panel de control | Sistema | Actualizaciones automáticas. 2 En la ventana Propiedades del sistema, seleccioneDesactivar actulizaciones atuomáticas. 3 Haga clic en Aplicar y luego en Aceptar. Paso 52: para analizar archivos de Microsoft Word, Excel y PowerPoint, instale Microsoft Office 2003 en la máquina virtual. McAfee Advanced Threat Defense 3.4.2 Guía del producto 127 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 53: reduzca el nivel de seguridad para ejecutar macros para aplicaciones de Office. • Abra Microsoft Word 2003 y seleccione Herramientas | Macro | Seguridad y luego seleccione el valor Baja y haga clic en Aceptar. • Haga lo mismo para la seguridad de macros en Microsoft Excel y PowerPoint. Paso 54: necesita el paquete de compatibilidad para abrir archivos de Microsoft Office creados en una versión más reciente de Microsoft Office. Por ejemplo, para abrir un archivo .docx con Office 2003, necesita tener instalado el correspondiente paquete de compatibilidad. Vaya a http://www.microsoft.com/ en-us/download/details.aspx?id=3 y descargue el paquete de compatibilidad de Microsoft Office adecuado para formatos de archivo Word, Excel y PowerPoint. A continuación, realice la instalación en la máquina virtual. 128 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 55: en el cuadro de diálogoPaquete de compatibilidad para 2007 Office system, seleccione Haga clic aquí para aceptar los términos de licencia del software de Microsoft y haga clic en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 129 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 56: para analizar archivos 1 Instale Adobe Reader 9.0 en la máquina virtual. PDF, descargue Adobe Reader al host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar. virtual. En este ejemplo del procedimiento se usa Adobe Reader 9.0. 3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la selección de Buscar actualizaciones. Paso 57: descargue los siguientes 1 Descargue Microsoft Visual C++ 2005 Redistributable Package elementos al host nativo y luego (x86) desde http://www.microsoft.com/en-us/download/ instálelos en la máquina virtual. details.aspx?id=3387e instálelo. 2 Descargue Microsoft Visual C++ 2008 Redistributable Package (x86) desde http://www.microsoft.com/en-us/download/ details.aspx?id=5582e instálelo. 3 Descargue Microsoft Visual C++ 2010 Redistributable Package (x86) desde http://www.microsoft.com/en-us/download/ details.aspx?id=5555e instálelo. 4 Descargue Microsoft .NET Framework 2.0 Service Pack 2 (versión x86) desde http://www.microsoft.com/en-us/download/ details.aspx?id=1639e instálelo. 130 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server 5 Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 58: para analizar archivos JAR, descargue e instale Java Runtime Environment. En este ejemplo del procedimiento se usa Java 7 Update 25. Paso 59: abra Java en el Panel de control. Paso 60: en la ficha Actualizar, anule la selección de Comprobar Actualizaciones Automáticamente. Paso 61: en el cuadro de diálogo de advertencia de actualización Java, seleccione No comprobar y haga clic en Aceptar en el Panel de control de Java. McAfee Advanced Threat Defense 3.4.2 Guía del producto 131 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 62: en el cuadro de diálogo Ejecutar de Windows, introduzca msconfig. Paso 63: en la utilidad de configuración del sistema, vaya a la ficha Inicio. Anule la selección de reader_sl y jusched, y haga clic en Aceptar. reader_sl se muestra únicamente si tiene Adobe Reader instalado. Paso 64: en el cuadro de diálogo Configuración del sistema, haga clic en Reiniciar. Paso 65: en el cuadro de diálogo Utilidad de configuración del sistema, seleccione No volver a mostrar este mensaje o iniciar la Utilidad de configuración del sistema cuando se inicie Windows y haga clic en Aceptar. 132 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 66: abra el navegador 1 El bloqueador de ventanas emergentes debe estar desactivado. predeterminado y configúrelo para En Internet Explorer, seleccione Herramientas | Bloqueador de ventanas el análisis de malware. emergentes | Desactivar el bloqueador de ventanas emergentes. En este ejemplo del procedimiento se usa Internet Explorer. 2 Seleccione Herramientas | Opciones de Internet y para Página principal seleccione Usar página en blanco o Usar nueva pestaña, según su versión de Internet Explorer. 3 Vaya a la ficha Avanzado de Opciones de Internet y localice Seguridad. 4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi equipo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 133 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles 5 Haga clic en Aceptar. 134 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles Paso 67: para analizar dinámicamente archivos Flash (SWF), descargue la versión requerida de Adobe Flash. 1 Vaya a http://get.adobe.com/flashplayer/otherversions/. En este ejemplo del procedimiento se usa Flash Player 14. 2 Seleccione el sistema operativo y la versión de Flash Player respectivamente según sus requisitos para el Paso 1 y el Paso 2 mostrados en la siguiente imagen. 3 Haga clic en Descargar ahora. 4 Haga doble clic en el archivo de instalación de Adobe Flash Player (install_flashplayer xxx.exe), en la esquina inferior de la pantalla. 5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar. 6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí. McAfee Advanced Threat Defense 3.4.2 Guía del producto 135 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2003 Server Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o SP2 (continuación) Paso Detalles 7 Seleccione su opción de actualización y haga clic en SIGUIENTE. 8 Haga clic en FINALIZAR para completar la instalación de Adobe Flash Player. Paso 68: cierre virtualMachineImage seleccionando Inicio | Apagar | Apagar | OK (Aceptar). Paso 69: vaya a la ubicación que ha introducido en el paso 7 para encontrar el archivo VMDK denominadovirtualMachineImage ‑flat.vmdk 136 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Creación de un archivo VMDK para Windows 7 Pasos preliminares • Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/ workstation/workstation-evaluation e instálelo. • Asegúrese de tener la imagen ISO de Windows 7 SP1 de 32 o 64 bits para la que desee crear el archivo VMDK. Se admiten las versiones de Windows Enterprise y Professional. • Asegúrese de que tiene la clave de licencia para el sistema operativo. Siga este procedimiento para crear archivos VMDK a partir de imágenes ISO de Windows 7 SP1 de 32 o 64 bits. Paso Detalles Paso 1: inicie VMware Workstation. Este procedimiento usa VMware Workstation 10 como ejemplo. Paso 2: en la página VMware Workstation, seleccione File (Archivo) | New Virtual Machine (Máquina virtual nueva). Paso 3: en la ventanaNew Virtual Machine Wizard (Asistente de nueva máquina virtual), seleccione Custom (Advanced) (Personalizado, Avanzado) y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 137 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 4: en la ventana Choose the Virtual Machine Hardware Compatibility (Elija la compatibilidad con hardware de la máquina virtual), seleccione Workstation 9.0 en la lista desplegable Hardware compatibility (Compatibilidad de hardware). En los otros campos, deje los valores predeterminados y haga clic en Next (Siguiente). Paso 5: en la ventana Guest Operating System Installation (Instalación de sistema operativo invitado), seleccione Installer disc (Disco instalador), o bien seleccione Installer disc image file (iso) (Archivo de imagen ISO del disco instalador), busque y seleccione la imagen ISO y haga clic en Next (Siguiente). 138 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 5 Paso Detalles Paso 6: introduzca la información en la ventana Easy Install Information (Información de instalación sencilla) y haga clic en Next (Siguiente). • Windows product key (Clave del producto de Windows): introduzca la clave de licencia del sistema operativo Windows para el que está creando el archivo VMDK. • Full name (Nombre completo): introduzca administrator en este campo. • Password (Contraseña): escriba cr@cker42 como la contraseña. Esta es la contraseña que McAfee Advanced Threat Defense utiliza para iniciar sesión en la máquina virtual. • Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la contraseña. • Log on automatically (requires a password) (Inicio de sesión automático, requiere contraseña): anule la selección de esta opción. Paso 7: si se muestra el mensaje de VMware Workstation, haga clic en Yes (Sí). McAfee Advanced Threat Defense 3.4.2 Guía del producto 139 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 8: introduzca la información en la ventana Name the Virtual Machine (Asignar nombre a máquina virtual) y haga clic en Next (Siguiente). • Virtual Machine name (Nombre de máquina virtual): debe introducir virtualMachineImage como nombre. • Location (Ubicación): busque y seleccione la carpeta en la que desea crear el archivo VMDK. Paso 9: en la ventana Processor Configuration (Configuración del procesador), deje los valores predeterminados y haga clic en Next (Siguiente). 140 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 10: en la ventana Memory for the Virtual Machine (Memoria para la máquina virtual), establezca 3072 MB como valor para la memoria. Paso 11: en la ventana Network Type (Tipo de red), deje los valores predeterminados. McAfee Advanced Threat Defense 3.4.2 Guía del producto 141 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 12: en la ventana Select I/O Controller Types (Selección de tipos de controlador de E/S), deje los valores predeterminados. Paso 13: en la página Select a Disk Type (Seleccione un tipo de disco), seleccione IDE y haga clic en Next (Siguiente). Los discos SCSI no son compatibles con McAfee Advanced Threat Defense. 142 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 14: en la ventana Select a Disk (Seleccione un disco), seleccione Create a new virtual disk (Crear disco virtual nuevo) y haga clic en Next (Siguiente). Paso 15: especifique los detalles en la ventana Specify Disk Capacity (Especificar capacidad de disco) y haga clic en Next (Siguiente). • Maximum disk size (GB) (Tamaño máximo de disco en GB): para Windows 7 de 64 bits debe introducir 14 GB. Para Windows 7 de 32 bits debe introducir 12 GB. • Seleccione Allocate all disk space now (Asignar todo el espacio de disco ahora). • Seleccione Store virtual disk as a single file (Guardar disco virtual como un solo archivo). McAfee Advanced Threat Defense 3.4.2 Guía del producto 143 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 16: en la ventana Specify Disk file (Especificar archivo de disco), asegúrese de que se muestre virtualMachineImage.vmdk de forma predeterminada y haga clic en Next (Siguiente). Si ha especificado un nombre distinto para Virtual Machine name, ese nombre se mostrará aquí. 144 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 17: en la ventana Ready to • Power on this virtual machine after creation (Encender máquina virtual tras Create Virtual Machine (Listo para crear su creación): seleccione esta opción. máquina virtual), siga estos pasos. • Haga clic en Finish (Finalizar). Este paso puede tardar alrededor de 30 minutos en completarse. Paso 18: si se muestra la ventana Windows empezará a instalarse. Esto puede tardar unos 15 emergente Removable Devices minutos. (Dispositivos extraíbles), seleccione Do not show this hint again (No volver a mostrar esta sugerencia) y haga clic en OK (Aceptar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 145 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 19: si se muestra la ventana Set Network Location (Establecer ubicación de red), seleccione Public Network (Red pública) y, luego, Close (Cerrar). Paso 20: detenga la instalación de VMware Tools. VMware Tools no es compatible con McAfee Advanced Threat Defense. Si no detuvo la instalación de VMware Tools, puede continuar con el proceso de creación de archivos VMDK, pero asegúrese de que no esté instalado cuando el archivo VMDK esté listo. Paso 23: en la máquina virtual, desactive Windows Firewall. 1 Seleccione Inicio | Panel de control | Sistema y seguridad | Firewall de Windows | Activar o desactivar Firewall de Windows 2 Seleccione Desactivar Firewall de Windows (no recomendado) tanto para Configuración de ubicación de red doméstica o del trabajo (privada) como para Configuración de ubicación de red pública y luego haga clic en Aceptar. 146 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 24: seleccione Inicio | Panel de 1 Seleccione Internet Information Services | Servidor FTP y seleccione control | Programas | Programas y Extensibilidad de FTP. características | Activar o desactivar las características de Windows y haga lo 2 Seleccione Internet Information Services | Herramientas de administración web siguiente. y seleccione Servicio de administración de IIS. 3 Seleccione Servidor Telnet y pulse Aceptar. Este paso puede tardar alrededor de 5 minutos en completarse. Paso 25: haga clic en Inicio y, luego, haga clic con el botón derecho en Equipo. Seleccione Administrar | Servicios y Aplicaciones | Servicios. A continuación haga doble clic en Telnet. McAfee Advanced Threat Defense 3.4.2 Guía del producto 147 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 26: en el cuadro de diálogo Telnet Propiedades (Equipo local), seleccione Automático en la lista Tipo de inicio. Seleccione Aplicar | Inicio | Aceptar. 148 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 27: active el servidor FTP en 1 Seleccione Sites (Sitios), haga clic con el botón derecho en Default la máquina virtual. Web Site (Sitio web predeterminado) y quítelo. Haga clic en Yes (Sí) En virtualMachineImage, para confirmar. seleccione Inicio | Panel de control | Sistema y seguridad | Herramientas administrativas. Haga doble clic en Administrador de Internet Information Services (IIS), expanda el árbol bajo Hostname (Nombre de host), y haga lo siguiente: 2 Haga clic con el botón derecho en Sites (Sitios) y seleccione Add FTP Site (Agregar sitio FTP). A continuación, haga lo siguiente. a En FTP site name (Nombre del sitio FTP), escriba root. McAfee Advanced Threat Defense 3.4.2 Guía del producto 149 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles b Physical Path: C:\. c Haga clic en Siguiente. 3 En Bindings and SSL Settings (Enlaces y Configuración de SSL), seleccione No SSL (Sin SSL). Para todos los demás campos, deje los valores predeterminados y haga clic en Next (Siguiente). Figura 5-1 Enlaces y configuración de SSL 4 En Authentication and Authorization Information (Información de autenticación y autorización), haga lo siguiente. a Seleccione Basic (Básica). 150 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles b En Allow access to (Permitir acceso a), seleccione All Users (Todos los usuarios). c En Permissions (Permisos), seleccione tanto Read (Lectura) como Write (Escritura), y luego haga clic en Finish (Finalizar). d Cierre el administrador de Internet Information Services (IIS). Paso 28: seleccione Inicio | Ejecutar, escriba netplwiz y haga clic en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 151 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 29: en la ventana Cuentas de usuario, anule la selección de Los usuarios deben escribir su nombre y contraseña para usar el equipo. y haga clic en Aplicar. Paso 30: en la ventana • Nombre de usuario: escriba Administrator emergente Iniciar sesión automáticamente, introduzca los datos • Contraseña: escriba cr@cker42 siguientes y haga clic en Aceptar en • Confirmar contraseña: escriba cr@cker42 los cuadros de mensaje. Paso 31: descargue Sigcheck a su equipo (host nativo) desde http://technet.microsoft.com/ en-us/sysinternals/ bb897441.aspx. La máquina virtual que ha creado tiene desactivado el Firewall de Windows, ya que no hay un programa antivirus instalado. Por lo tanto es aconsejable descargar los programas y componentes en el host nativo en primer lugar y luego copiarlos a la máquina virtual en VMware Workstation. Paso 32: extraiga sigcheck.zip a C:\WINDOWS\system32. 152 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 33: en Windows Explorer, vaya a C:\ WINDOWS\system32 y haga doble clic en sigcheck.exe. Paso 34: haga clic en Acepto para aceptar el acuerdo de licencia de Sigcheck. Después de hacer clic en Acepto, no se mostrará ningún mensaje de confirmación. Paso 35: descargue MergeIDE.zip desde https://www.virtualbox.org/ attachment/wiki/ Migrate_Windows/MergeIDE.zip al equipo nativo y luego cópielo a la máquina virtual. Paso 36: extraiga MergeIDE.zip y • Si se le indica, seleccione Ejecutar en el mensaje de advertencia. ejecute el archivo por lotes • Cierre el Explorador de Windows. MergeIDE en la máquina virtual. McAfee Advanced Threat Defense 3.4.2 Guía del producto 153 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 37: desactive las actualizaciones de Windows. 1 Seleccione Inicio | Panel de control | Windows Update | Cambiar configuración. 2 En la página Cambiar configuración, haga lo siguiente. a En Actualizaciones importantes seleccione No buscar actualizaciones (no recomendado). b Anule la selección de las casillas en Actualizaciones recomendadas, Quién puede instalar actualizaciones, Microsoft Update, Notificaciones de software. 3 Haga clic en Aceptar. Paso 38: para analizar archivos de Microsoft Word, Excel y PowerPoint, instale Microsoft Office 2003 en la máquina virtual. 154 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 39: reduzca el nivel de seguridad para ejecutar macros para aplicaciones de Office. • Abra Microsoft Word 2003 y seleccione Herramientas | Macro | Seguridad y luego seleccione el valor Baja y haga clic en Aceptar. 5 • Haga lo mismo para la seguridad de macros en Microsoft Excel y PowerPoint. Paso 40: necesita el paquete de compatibilidad para abrir archivos de Microsoft Office creados en una versión más reciente de Microsoft Office. Por ejemplo, para abrir un archivo .docx con Office 2003, necesita tener instalado el correspondiente paquete de compatibilidad. Vaya a http://www.microsoft.com/ en-us/download/details.aspx?id=3 y descargue el paquete de compatibilidad de Microsoft Office adecuado para formatos de archivo Word, Excel y PowerPoint. A continuación, realice la instalación en la máquina virtual. Tras descargar el paquete de compatibilidad, instálelo en la máquina virtual. Para abrir archivos creados por una versión posterior de aplicaciones de Microsoft Office, debe instalar el , McAfee Advanced Threat Defense 3.4.2 Guía del producto 155 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 41: en el cuadro de diálogoPaquete de compatibilidad para 2007 Office system, seleccione Haga clic aquí para aceptar los términos de licencia del software de Microsoft y haga clic en Continuar. 156 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso 5 Detalles Paso 42: para analizar archivos 1 Instale Adobe Reader 9.0 en la máquina virtual. PDF, descargue Adobe Reader al host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar. virtual. En este ejemplo del procedimiento se usa Adobe Reader 9.0. 3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la selección de Buscar actualizaciones. McAfee Advanced Threat Defense 3.4.2 Guía del producto 157 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 43: para analizar archivos JAR, descargue e instale Java Runtime Environment. En este ejemplo del procedimiento se usa Java 7 Update 25. Paso 44: abra Java en el Panel de control. Paso 45: en la ficha Actualizar, anule la selección de Comprobar Actualizaciones Automáticamente. 158 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 46: en el cuadro de diálogo de advertencia de actualización Java, seleccione No comprobar y haga clic en Aceptar en el Panel de control de Java. Paso 47: en el cuadro de diálogo Ejecutar de Windows, escriba msconfig. Paso 48: en la utilidad de configuración del sistema, vaya a la ficha Inicio. Anule la selección de reader_sl y jusched, y haga clic en Aceptar. Paso 49:: en el cuadro de diálogo Configuración del sistema, haga clic en Reiniciar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 159 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 50: abra el navegador 1 El bloqueador de ventanas emergentes debe estar activado. En predeterminado y configúrelo para Internet Explorer, seleccione Herramientas | Bloqueador de ventanas el análisis de malware. emergentes | Active el Bloqueador de ventanas emergentes. En este ejemplo del procedimiento se usa Internet Explorer. 2 Seleccione Herramientas | Opciones de Internet y para Página principal seleccione Usar página en blanco o Usar nueva pestaña, según su versión de Internet Explorer. 3 Vaya a la ficha Avanzado de Opciones de Internet y localice Seguridad. 4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi equipo. 5 Haga clic en Aceptar. 160 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 7 Paso Detalles Paso 51: para analizar 1 Vaya a http://get.adobe.com/flashplayer/otherversions/. dinámicamente archivos Flash (SWF), instale la versión requerida 2 Seleccione el sistema operativo y la versión de Flash Player de Adobe Flash. respectivamente según sus requisitos para el Paso 1 y el Paso 2 mostrados en la siguiente imagen. En este ejemplo del procedimiento se usa Flash Player 14. 3 Haga clic en la ficha Descargar ahora. 4 Haga doble clic en el archivo de instalación de Adobe Flash Player (install_flashplayer xxx.exe), en la esquina inferior de la pantalla. 5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar. 6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí. McAfee Advanced Threat Defense 3.4.2 Guía del producto 161 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles 7 Seleccione su opción de actualización y haga clic en SIGUIENTE. 8 Haga clic en FINALIZAR para completar la instalación de Adobe Flash Player. Paso 52: cierre virtualMachineImage seleccionando Inicio | Apagar. Paso 53: vaya a la ubicación que ha introducido en el paso 8 para encontrar el archivo VMDK denominadovirtualMachineImage ‑flat.vmdk Creación de un archivo VMDK para Windows 2008 Server Pasos preliminares 162 • Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/ workstation/workstation-evaluation e instálelo. • Asegúrese de tener la imagen ISO de Windows 2008 R2 SP1 para la que desee crear el archivo VMDK. Solo se admite Windows 2008 Professional. • Asegúrese de que tiene la clave de licencia para el sistema operativo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Siga este procedimiento para crear archivos VMDK a partir de imágenes ISO de Windows 2008 R2 SP1. Paso Detalles Paso 1: inicie VMware Workstation. Este procedimiento usa VMware Workstation 10 como ejemplo. Paso 2: en la página VMware Workstation, seleccione File (Archivo) | New Virtual Machine (Máquina virtual nueva). Paso 3: en la ventanaNew Virtual Machine Wizard (Asistente de nueva máquina virtual), seleccione Custom (Advanced) (Personalizado, Avanzado) y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 163 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 4: en la ventana Choose the Virtual Machine Hardware Compatibility (Elija la compatibilidad con hardware de la máquina virtual), seleccione Workstation 9.0 en la lista desplegable Hardware compatibility (Compatibilidad de hardware). En los otros campos, deje los valores predeterminados y haga clic en Next (Siguiente). Paso 5: en la ventana Guest Operating System Installation (Instalación de sistema operativo invitado), seleccione Installer disc (Disco instalador), o bien seleccione Installer disc image file (iso) (Archivo de imagen ISO del disco instalador), busque y seleccione la imagen ISO y haga clic en Next (Siguiente). 164 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server 5 Paso Detalles Paso 6: introduzca la información en la ventana Easy Install Information (Información de instalación sencilla) y haga clic en Next (Siguiente). • Windows product key (Clave del producto de Windows): introduzca la clave de licencia del sistema operativo Windows para el que está creando el archivo VMDK. • Version of Windows to install (Versión de Windows a instalar): seleccione la versión Standard o Enterprise version. • Full name (Nombre completo): introduzca administrator en este campo. • Password (Contraseña): escriba cr@cker42 como la contraseña. Esta es la contraseña que McAfee Advanced Threat Defense utiliza para iniciar sesión en la máquina virtual. • Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la contraseña. • Log on automatically (requires a password) (Inicio de sesión automático, requiere contraseña): anule la selección de esta opción. Paso 7: si se muestra el mensaje de VMware Workstation, haga clic en Yes (Sí). McAfee Advanced Threat Defense 3.4.2 Guía del producto 165 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 8: introduzca la información en la ventana Name the Virtual Machine (Asignar nombre a máquina virtual) y haga clic en Next (Siguiente). • Virtual Machine name (Nombre de máquina virtual): debe introducir virtualMachineImage como nombre. • Location (Ubicación): busque y seleccione la carpeta en la que desea crear el archivo VMDK. Paso 9: en la ventana Processor Configuration (Configuración del procesador), deje los valores predeterminados y haga clic en Next (Siguiente). 166 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 10: en la ventana Memory for the Virtual Machine (Memoria para la máquina virtual), establezca 3072 MB como valor para la memoria. Paso 11: en la ventana Network Type (Tipo de red), deje los valores predeterminados. McAfee Advanced Threat Defense 3.4.2 Guía del producto 167 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 12: en la ventana Select I/O Controller Types (Selección de tipos de controlador de E/S), deje los valores predeterminados. Paso 13: en la página Select a Disk Type (Seleccione un tipo de disco), seleccione IDE y haga clic en Next (Siguiente). Los discos SCSI no son compatibles con McAfee Advanced Threat Defense. 168 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 14: en la ventana Select a Disk (Seleccione un disco), seleccione Create a new virtual disk (Crear disco virtual nuevo) y haga clic en Next (Siguiente). Paso 15: especifique los detalles en la ventana Specify Disk Capacity (Especificar capacidad de disco) y haga clic en Next (Siguiente). • Maximum disk size (GB) (Tamaño máximo de disco en GB): debe introducir 14 GB. • Seleccione Allocate all disk space now (Asignar todo el espacio de disco ahora). • Seleccione Store virtual disk as a single file (Guardar disco virtual como un solo archivo). McAfee Advanced Threat Defense 3.4.2 Guía del producto 169 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 16: en la ventana Specify Disk file (Especificar archivo de disco), asegúrese de que se muestre virtualMachineImage.vmdk de forma predeterminada y haga clic en Next (Siguiente). Si ha especificado un nombre distinto para Virtual Machine name, ese nombre se mostrará aquí. 170 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 17: en la ventana Ready to • Power on this virtual machine after creation (Encender máquina virtual tras Create Virtual Machine (Listo para crear su creación): seleccione esta opción. máquina virtual), siga estos pasos. • Haga clic en Finish (Finalizar). Este paso puede tardar alrededor de 30 minutos en completarse. Paso 18: si se muestra la ventana Windows empezará a instalarse. Esto puede tardar unos 15 emergente Removable Devices minutos. (Dispositivos extraíbles), seleccione Do not show this hint again (No volver a mostrar esta sugerencia) y haga clic en OK (Aceptar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 171 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 19: si se muestra la ventana Initial Configuration Tasks (Tareas de configuración inicial), seleccione Do not show this window at logon (No mostrar esta ventana al iniciar sesión) y haga clic en Close (Cerrar). Paso 20: detenga la instalación de VMware Tools. VMware Tools no es compatible con McAfee Advanced Threat Defense. Si no detuvo la instalación de VMware Tools, puede continuar con el proceso de creación de archivos VMDK, pero asegúrese de que no esté instalado cuando el archivo VMDK esté listo. Paso 21: si se muestra la ventana Administrador del servidor, seleccione No mostrar esta consola al iniciar sesión y ciérrela. 172 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 22: realice los siguientes pasos. 1 En la ventana Ejecutar de Windows, escriba gpedit.msc y pulse Intro. 2 En la ventana Local Group Policy Editor (Editor de directivas de grupo local), seleccione Computer Configuration (Configuración de equipo) | Administrative Templates (Plantillas administrativas) | System (Sistema) y haga doble clic en Display Shutdown Event Tracker (Mostrar rastreador de evento de cierre). 3 En el cuadro de diálogo Display Shutdown Event Tracker Properties (Propiedades de Mostrar rastreador de evento de cierre), seleccione Disabled (Desactivado) y haga clic en OK (Aceptar). Paso 23: en la máquina virtual, desactive Windows Firewall. 1 Seleccione Inicio | Panel de control | Firewall de Windows | Activar o desactivar Firewall de Windows 2 Seleccione Desactivar y haga clic en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 173 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 24: active la función Telnet. 1 En virtualMachineImage, seleccione Inicio | Herramientas administrativas | Administrador del servidor. 2 En la ventana Administrador del servidor, haga clic con el botón derecho en Características y seleccione Agregar características. 3 En el Asistente para agregar características, seleccione Servidor Telnet. 4 Haga clic en Siguiente y, luego, en Instalar. 5 Haga clic en Cerrar cuando la instalación se haya realizado correctamente. 174 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 25: seleccione Inicio | Herramientas administrativas | Servicios. A continuación haga doble clic en Telnet. Paso 26: en el cuadro de diálogo Telnet Propiedades (Equipo local), seleccione Automático en la lista Tipo de inicio. Seleccione Aplicar | Inicio | Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 175 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 27: active el servidor FTP en 1 En virtualMachineImage, seleccione Inicio | Herramientas administrativas la máquina virtual. | Administrador del servidor. 2 En la ventana Administrador del servidor, seleccione Administrador del servidor (nombre de máquina virtual) | Funciones | Servidor web (IIS). 3 Haga clic con el botón derecho en Servidor web (IIS) y seleccione Agregar servicios de función. 4 En el asistente para Agregar servicios de función, seleccione Servicio de publicación FTP. Esto instala el Servidor FTP y la Consola de administración de FTP. 5 Haga clic en Siguiente y, luego, en Instalar. 6 Haga clic en Cerrar cuando la instalación se haya realizado correctamente. 176 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 28: seleccione Inicio | Ejecutar, escriba netplwiz y haga clic en Aceptar. Paso 29: en la ventana Cuentas de usuario, anule la selección de Los usuarios deben escribir su nombre y contraseña para usar el equipo. y haga clic en Aplicar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 177 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 30: en la ventana • Nombre de usuario: escriba Administrator emergente Iniciar sesión automáticamente, introduzca los datos • Contraseña: escriba cr@cker42 siguientes y haga clic en Aceptar en • Confirmar contraseña: escriba cr@cker42 los cuadros de mensaje. Paso 31: descargue Sigcheck a su equipo (host nativo) desde http://technet.microsoft.com/ en-us/sysinternals/ bb897441.aspx. La máquina virtual que ha creado tiene desactivado el Firewall de Windows, ya que no hay un programa antivirus instalado. Por lo tanto es aconsejable descargar los programas y componentes en el host nativo en primer lugar y luego copiarlos a la máquina virtual en VMware Workstation. Paso 32: extraiga sigcheck.zip a C:\WINDOWS\system32. Paso 33: en Windows Explorer, vaya a C:\ WINDOWS\system32 y haga doble clic en sigcheck.exe. Paso 34: haga clic en Acepto para aceptar el acuerdo de licencia de Sigcheck. Después de hacer clic en Acepto, no se mostrará ningún mensaje de confirmación. 178 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 35: descargue MergeIDE.zip desde https://www.virtualbox.org/ attachment/wiki/ Migrate_Windows/MergeIDE.zip al equipo nativo y luego cópielo a la máquina virtual. Paso 36: extraiga MergeIDE.zip y • Si se le indica, seleccione Ejecutar en el mensaje de advertencia. ejecute el archivo por lotes • Cierre el Explorador de Windows. MergeIDE en la máquina virtual. Paso 37: desactive las actualizaciones de Windows. 1 Seleccione Inicio | Panel de control | Windows Update | Cambiar configuración. 2 En la página Cambiar configuración, haga lo siguiente. a Seleccione No buscar actualizaciones (no recomendado). b Anule la casilla de verificación de Actualizaciones recomendadas. 3 Haga clic en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 179 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 38: para analizar archivos de Microsoft Word, Excel y PowerPoint, instale Microsoft Office 2003 en la máquina virtual. Paso 39: reduzca el nivel de seguridad para ejecutar macros para aplicaciones de Office. • Abra Microsoft Word 2003 y seleccione Herramientas | Macro | Seguridad y luego seleccione el valor Baja y haga clic en Aceptar. • Haga lo mismo para la seguridad de macros en Microsoft Excel y PowerPoint. 180 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 40: necesita el paquete de compatibilidad para abrir archivos de Microsoft Office creados en una versión más reciente de Microsoft Office. Por ejemplo, para abrir un archivo .docx con Office 2003, necesita tener instalado el correspondiente paquete de compatibilidad. Vaya a http://www.microsoft.com/ en-us/download/details.aspx?id=3 y descargue el paquete de compatibilidad de Microsoft Office adecuado para formatos de archivo Word, Excel y PowerPoint. A continuación, realice la instalación en la máquina virtual. Paso 41: en el cuadro de diálogoPaquete de compatibilidad para 2007 Office system, seleccione Haga clic aquí para aceptar los términos de licencia del software de Microsoft y haga clic en Continuar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 181 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 42: para analizar archivos 1 Instale Adobe Reader 9.0 en la máquina virtual. PDF, descargue Adobe Reader al host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar. virtual. En este ejemplo del procedimiento se usa Adobe Reader 9.0. 3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la selección de Buscar actualizaciones. 182 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso 5 Detalles Paso 43: para analizar archivos JAR, descargue e instale Java Runtime Environment. En este ejemplo del procedimiento se usa Java 7 Update 25. Paso 44: abra Java en el Panel de control. Paso 45: en la ficha Actualizar, anule la selección de Comprobar Actualizaciones Automáticamente. McAfee Advanced Threat Defense 3.4.2 Guía del producto 183 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 46: en el cuadro de diálogo de advertencia de actualización Java, seleccione No comprobar y haga clic en Aceptar en el Panel de control de Java. Paso 47: en el cuadro de diálogo Ejecutar de Windows, escriba msconfig. Paso 48: en la utilidad de configuración del sistema, vaya a la ficha Inicio. Anular todas las selecciones y haga clic en Aceptar. Paso 49: en el cuadro de diálogo Configuración del sistema, seleccione No volver a mostrar este mensaje y haga clic en Reiniciar. 184 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 50: abra el navegador 1 El bloqueador de ventanas emergentes debe estar desactivado. predeterminado y configúrelo para En Internet Explorer, seleccione Herramientas | Bloqueador de ventanas el análisis de malware. emergentes | Desactivar el bloqueador de ventanas emergentes. En este ejemplo del procedimiento se usa Internet Explorer. 2 Seleccione Herramientas | Opciones de Internet y para Página principal seleccione Usar página en blanco o Usar nueva pestaña, según su versión de Internet Explorer. 3 Vaya a la ficha Avanzado de Opciones de Internet y localice Seguridad. 4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi equipo. 5 Haga clic en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 185 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles Paso 51: para analizar 1 Vaya a http://get.adobe.com/flashplayer/otherversions/. dinámicamente archivos Flash (SWF), instale la versión requerida 2 Seleccione el sistema operativo y la versión de Flash Player de Adobe Flash. respectivamente según sus requisitos para el Paso 1 y el Paso 2 mostrados en la siguiente imagen. En este ejemplo del procedimiento se usa Flash Player 14. 3 Haga clic en la ficha Descargar ahora. 4 Haga doble clic en el archivo de instalación de Adobe Flash Player (install_flashplayer xxx.exe), en la esquina inferior de la pantalla. 5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar. 6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí. 186 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 2008 Server Paso Detalles 7 Seleccione su opción de actualización y haga clic en SIGUIENTE. 8 Haga clic en FINALIZAR para completar la instalación de Adobe Flash Player. Paso 52: cierre virtualMachineImage seleccionando Inicio | Apagar. Paso 53: vaya a la ubicación que ha introducido en el paso 8 para encontrar el archivo VMDK denominadovirtualMachineImage ‑flat.vmdk McAfee Advanced Threat Defense 3.4.2 Guía del producto 187 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Creación de un archivo VMDK para Windows 8 Pasos preliminares • Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/ workstation/workstation-evaluation e instálelo. McAfee recomienda la versión 9 o 10. • Asegúrese de tener la imagen ISO de Windows 8 de 32 o 64 bits para la que desee crear el archivo VMDK. Solo se admite Windows 8 Pro. Este procedimiento usa la versión inglesa de Windows 8 Pro como ejemplo. • Asegúrese de que dispone de los detalles para activar el sistema operativo según el tipo de licencia que posea. Debe activar el sistema operativo antes de importar el archivo VMDK en McAfee Advanced Threat Defense. Siga este procedimiento para crear archivos VMDK a partir de una imagen ISO de Windows 8 de 32 o 64 bits. Paso Detalles Paso 1: inicie VMware Workstation. Este procedimiento usa VMware Workstation 10 como ejemplo. Paso 2: en la página VMware Workstation, seleccione File (Archivo) | New Virtual Machine. (Máquina virtual nueva) 188 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles Paso 3: en la ventanaNew Virtual Machine Wizard (Asistente de nueva máquina virtual), seleccione Custom (Advanced) (Personalizado, Avanzado) y haga clic en Next (Siguiente). Paso 4: en la ventana Choose the Virtual Machine Hardware Compatibility (Elija la compatibilidad con hardware de la máquina virtual), seleccione Workstation 9.0 en la lista desplegable Hardware compatibility (Compatibilidad de hardware). En los otros campos, deje los valores predeterminados y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 189 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 5: en la ventana Guest Operating System Installation (Instalación de sistema operativo invitado), seleccione Installer disc (Disco instalador), o bien seleccione Installer disc image file (iso) (Archivo de imagen ISO del disco instalador), busque y seleccione la imagen ISO y haga clic en Next (Siguiente). 190 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 6: introduzca la información en la ventana Easy Install Information (Información de instalación sencilla) y haga clic en Next (Siguiente). • Windows product key (Clave del producto de Windows): introduzca la clave de licencia del sistema operativo Windows para el que está creando el archivo VMDK. Para licencia de volumen, puede dejarlo vacío. Haga clic en Yes (Sí) si a continuación se muestra el siguiente mensaje. • Full name (Nombre completo): introduzca administrator en este campo. • Password (Contraseña): escriba cr@cker42 como la contraseña. McAfee Advanced Threat Defense usa esta contraseña para iniciar sesión en la máquina virtual. • Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la contraseña. • Log on automatically (requires a password) (Inicio de sesión automático, requiere contraseña): anule la selección de esta opción. McAfee Advanced Threat Defense 3.4.2 Guía del producto 191 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 7: si se muestra el mensaje de VMware Workstation, haga clic en Yes (Sí). Paso 8: introduzca la • Virtual Machine name (Nombre de máquina virtual): debe introducir información en la ventana virtualMachineImage como nombre. Name the Virtual Machine (Asignar nombre a máquina • Location (Ubicación): busque y seleccione la carpeta en la que desea virtual) y haga clic en Next crear el archivo VMDK. (Siguiente). 192 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles Paso 9: en la ventana Processor Configuration (Configuración del procesador), deje los valores predeterminados y haga clic en Next (Siguiente). Paso 10: en la ventana Memory for the Virtual Machine (Memoria para la máquina virtual), establezca 2048 MB como valor para la memoria. McAfee Advanced Threat Defense 3.4.2 Guía del producto 193 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 11: en la ventana Network Type (Tipo de red), deje los valores predeterminados. Paso 12: en la ventana Select I/O Controller Types (Selección de tipos de controlador de E/S), deje los valores predeterminados. 194 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles Paso 13: en la página Select a Disk Type (Seleccione un tipo de disco), seleccione IDE y haga clic en Next (Siguiente). Los discos SCSI no son compatibles con McAfee Advanced Threat Defense. Paso 14: en la ventana Select a Disk (Seleccione un disco), seleccione Create a new virtual disk (Crear disco virtual nuevo) y haga clic en Next (Siguiente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 195 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 15: especifique los detalles en la ventana Specify Disk Capacity (Especificar capacidad de disco) y haga clic en Next (Siguiente). • Maximum disk size (GB) (Tamaño máximo de disco en GB): para Windows 8 de 64 y 32-bits, el tamaño de disco puede ser de 30 GB, sin embargo debe introducir 24 GB para obtener el mejor rendimiento posible. • Seleccione Allocate all disk space now (Asignar todo el espacio de disco ahora). • Seleccione Store virtual disk as a single file (Guardar disco virtual como un solo archivo). Paso 16: en la ventana Specify Disk file (Especificar archivo de disco), asegúrese de que se muestre virtualMachineImage.vmdk de forma predeterminada y haga clic en Next (Siguiente). Si ha especificado un nombre distinto para Virtual Machine name, ese nombre se mostrará aquí. 196 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 17: en la ventana Ready to Create Virtual Machine (Listo para crear máquina virtual), siga estos pasos. • Power on this virtual machine after creation (Encender máquina virtual tras su creación): seleccione esta opción. • Haga clic en Finish (Finalizar). Este paso puede tardar alrededor de 30 minutos en completarse. McAfee Advanced Threat Defense 3.4.2 Guía del producto 197 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 18: si se muestra la Windows empezará a instalarse. Esto puede tardar unos 15 minutos. ventana emergente Removable Devices (Dispositivos extraíbles), seleccione Do not show this hint again (No volver a mostrar esta sugerencia) y haga clic en OK (Aceptar). Paso 19: inicie sesión en virtualMachineImage con las siguientes credenciales: • Administrator • cr@cker42 Paso 20: la máquina virtual predeterminada se ve en modo de interfaz Metro. Haga clic en el mosaico Escritorio para activar ese modo. 198 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 5 Paso Detalles Paso 21: configure Windows 8 para usarlo en modo Escritorio en lugar del modo Metro predeterminado para el inicio. 1 Pulse simultáneamente las teclas Windows y R para abrir el cuadro de diálogo Run (Ejecutar). 2 En el cuadro de diálogo Run (Ejecutar), escriba regedit y pulse Intro . Se abrirá el Registry Editor (Editor del Registro). 3 Seleccione HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows NT | CurrentVersion | Winlogon y haga doble clic en Shell. 4 Cambie el dato de Value data (Información del valor) a explorer.exe, explorer.exe en lugar del predeterminado explorer.exe y haga clic en OK (Aceptar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 199 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 22: en la máquina 1 Pulse simultáneamente las teclas Windows y X y seleccione Panel de virtual, desactive el Firewall control | Sistema y seguridad | Firewall de Windows | Activar o desactivar Firewall de de Windows. Windows. 2 Seleccione Desactivar Firewall de Windows (no recomendado) tanto para Configuración de ubicación de red doméstica o del trabajo (privada) como para Configuración de ubicación de red pública y luego haga clic en Aceptar. 200 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 23: desactive Windows Defender. 1 Abra el Panel de control y, en la lista desplegable Ver por, seleccione Iconos pequeños. 5 2 Haga clic en Windows Defender. 3 En Windows Defender, seleccione Configuración | Administradores y anule la selección de Activar Windows Defender. A continuación, haga clic en Guardar cambios. 4 Cierre el cuadro de mensaje de Windows Defender. McAfee Advanced Threat Defense 3.4.2 Guía del producto 201 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 24: desactive la animación del primer inicio de sesión. 1 Pulse simultáneamente las teclas Windows y R para abrir el cuadro de diálogo Ejecutar. 2 En el cuadro de diálogo Ejecutar, escriba gpedit.msc y pulse Intro. Se abrirá el Editor de directivas de grupo local. 3 Seleccione Configuración del equipo | Plantillas administrativas | Sistema | Iniciar sesión y abra Mostrar animación de primer inicio de sesión. 4 Seleccione Deshabilitada y haga clic en Aceptar 202 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso McAfee Advanced Threat Defense 3.4.2 5 Detalles Guía del producto 203 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 25: pulse simultáneamente las teclas Windows y X y seleccione Panel de control | Programas | Programas y características | Activar o desactivar las características de Windows y haga lo siguiente. 1 Seleccione Internet Information Services | Servidor FTP y seleccione Extensibilidad de FTP. 2 Seleccione Internet Information Services | Herramientas de administración web y luego seleccione Consola de administración de IIS y Servicio de administración de IIS. 3 Seleccione Telnet Server. 4 Seleccione .NET Framework 3.5 (incluye .NET 2.0 y 3.0) y, a continuación, Activación HTTP de Windows Communication Foundation y Activación no HTTP de Windows Communication Foundation. 204 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles 5 Pulse Aceptar. 6 Si ve el mensaje de abajo, seleccione Descargar archivos desde Windows Update. Este paso puede tardar alrededor de 5 minutos en completarse. Al completarse la operación se muestra un mensaje de confirmación. McAfee Advanced Threat Defense 3.4.2 Guía del producto 205 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 26: edite las opciones de energía. 1 Abra el Panel de control y, en la lista desplegable Ver por, seleccione Iconos pequeños. 2 Haga clic en Opciones de energía. 3 Haga clic en Elegir cuándo se apaga la pantalla. 4 Seleccione Nunca para Apagar la pantalla y Poner al equipo en estado de suspensión, y haga clic en Guardar cambios. 206 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles Paso 27: pulse simultáneamente las teclas Windows y X y seleccione Administración de equipos | Servicios y Aplicaciones | Servicios. Haga doble clic en Telnet. McAfee Advanced Threat Defense 3.4.2 Guía del producto 207 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 28: en el cuadro de diálogo Telnet Propiedades (Equipo local), seleccione Automático en la lista Tipo de inicio. Seleccione Aplicar | Inicio | Aceptar. 208 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 29: active el servidor FTP en Windows 8. 1 Pulse simultáneamente las teclas Windows y X y seleccione Panel de control | Sistema y seguridad | Herramientas administrativas. 2 Haga doble clic en Administrador de Internet Information Services (IIS) y expanda el árbol bajo Nombre de host. 3 Si aparece el mensaje mostrado abajo, seleccione No volver a mostrar este mensaje y haga clic en Cancelar. 4 Seleccione Sitios , haga clic con el botón derecho en Sitio web predeterminado y seleccione Quitar. Haga clic en Sí para confirmar la acción. McAfee Advanced Threat Defense 3.4.2 Guía del producto 209 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles 5 Haga clic con el botón derecho en Sitios y seleccione Agregar sitio FTP. A continuación, haga lo siguiente. a En Nombre del sitio FTP, escriba rootRemove. b Ruta de acceso física: C:\. c Haga clic en Siguiente. 6 En Configuración de enlaces y SSL, seleccione Sin SSL. Para todos los demás campos, deje los valores predeterminados y haga clic en Siguiente. 210 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles 7 En Información de autenticación y autorización, haga lo siguiente. a Seleccione Básica. b En Permitir el acceso a, seleccione Todos los usuarios . c En Permisos, seleccione tanto Leer como Escribir y haga clic en Finalizar. d Cierre el administrador de Internet Information Services (IIS). McAfee Advanced Threat Defense 3.4.2 Guía del producto 211 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 30: desactive la configuración automática para Windows. 1 Pulse simultáneamente las teclas Windows y X y seleccione Panel de control | Windows Update | Cambiar. 2 Seleccione No buscar actualizaciones (no recomendado) y haga clic en Aceptar. 212 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 5 Paso Detalles Paso 31: realice los siguientes pasos: 1 Seleccione Administración del equipo (local) | Herramientas del sistema | Usuarios y grupos locales | Grupos 1 Abra el Panel de control y, en la lista desplegable Ver por, seleccione Iconos pequeños. 2 Seleccione Herramientas del administrador | Administración de equipos y complete los pasos en la siguiente columna. 2 Haga doble clic en TelnetClients. 3 Haga clic en Agregar y escriba Administrator. 4 Haga clic enComprobar nombres y luego en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 213 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 32: pulse simultáneamente las teclas Windows y R para abrir el cuadro de diálogo Ejecutar. Escriba netplwiz y haga clic en Aceptar. Paso 33: en la ventana Cuentas de usuario, anule la selección de Los usuarios deben escribir su nombre y contraseña para usar el equipo. y haga clic en Aplicar. 214 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 5 Paso Detalles Paso 34: en la ventana emergente Iniciar sesión automáticamente, introduzca los datos siguientes y haga clic en Aceptar en los cuadros de mensaje. • Nombre de usuario: escriba Administrator Paso 35: descargue Sigcheck a su equipo (host nativo) desde http:// technet.microsoft.com/ en-us/sysinternals/ bb897441.aspx. La máquina virtual que ha creado tiene desactivado el Firewall de Windows, ya que no hay un programa antivirus instalado. Por lo tanto es aconsejable descargar los programas y componentes en el host nativo en primer lugar y luego copiarlos a la máquina virtual en VMware Workstation. • Contraseña: escriba cr@cker42 • Confirmar contraseña: escriba cr@cker42 Paso 36: extraiga sigcheck.zip a C:\WINDOWS \system32. Paso 37: en Windows Explorer, vaya a C:\ WINDOWS\system32 y haga doble clic en sigcheck.exe. McAfee Advanced Threat Defense 3.4.2 Guía del producto 215 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 38: haga clic en Acepto para aceptar el acuerdo de licencia de Sigcheck. Después de hacer clic en Acepto, no se mostrará ningún mensaje de confirmación. Paso 39: descargue MergeIDE.zip desde https:// www.virtualbox.org/ attachment/wiki/ Migrate_Windows/ MergeIDE.zip al equipo nativo y luego cópielo a la máquina virtual. Paso 40: extraiga MergeIDE.zip y ejecute el archivo por lotes MergeIDE en la máquina virtual. • Si se le indica, seleccione Ejecutar en el mensaje de advertencia. • Cierre el Explorador de Windows. 216 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles Paso 41: para analizar archivos de Microsoft Word, Excel y PowerPoint, instale Microsoft Office 2003 en la máquina virtual. Paso 42: reduzca el nivel de seguridad para ejecutar macros para aplicaciones de Office. • Abra Microsoft Word 2003 y seleccione Herramientas | Macro | Seguridad y luego seleccione el valor Baja y haga clic en Aceptar. • Haga lo mismo para la seguridad de macros en Microsoft Excel y PowerPoint. McAfee Advanced Threat Defense 3.4.2 Guía del producto 217 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 43: necesita el En el cuadro de diálogoPaquete de compatibilidad para 2007 Office system, paquete de compatibilidad seleccione Haga clic aquí para aceptar los términos de licencia del software de Microsoft para abrir archivos de y haga clic en Continuar. Microsoft Office creados en una versión más reciente de Microsoft Office. Por ejemplo, para abrir un archivo .docx con Office 2003, necesita tener instalado el correspondiente paquete de compatibilidad. Vaya a http:// www.microsoft.com/en-us/ download/details.aspx?id=3 y descargue el paquete de compatibilidad de Microsoft Office adecuado para formatos de archivo Word, Excel y PowerPoint. A continuación, realice la instalación en la máquina virtual. 218 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 44: para analizar archivos PDF, descargue Adobe Reader al host nativo y cópielo a la máquina virtual. 1 Instale Adobe Reader 9.0 en la máquina virtual. 5 2 Abra Adobe Reader y haga clic en Aceptar. En este ejemplo del procedimiento se usa Adobe Reader 9.0. 3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la selección de Buscar actualizaciones. McAfee Advanced Threat Defense 3.4.2 Guía del producto 219 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 45: configure Adobe Reader 9 como aplicación predeterminada para abrir archivos PDF. 1 En el Panel de control (vista de iconos), seleccione Programas predeterminados. 2 Seleccione Asociar un tipo de archivo o protocolo con un programa 3 Haga doble clic en .pdf. Seleccione Adobe Reader 9.0 como lector de PDF predeterminado. 220 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles Paso 46: para analizar archivos JAR, descargue e instale Java Runtime Environment. En este ejemplo del procedimiento se usa Java 7 Update 25. Paso 47: abra Java en el Panel de control. Paso 48: en la ficha Actualizar, anule la selección de Comprobar Actualizaciones Automáticamente. McAfee Advanced Threat Defense 3.4.2 Guía del producto 221 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 49: en el cuadro de diálogo de advertencia de actualización de Java, seleccione No comprobar y haga clic en Aceptar en el Panel de control de Java. 222 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 5 Paso Detalles Paso 50: desactivejusched y reader_sl. 1 Pulse simultáneamente las teclas Windows y R para abrir el cuadro de diálogo Ejecutar. En el cuadro de diálogo Ejecutar de Windows, escriba msconfig y haga clic en Aceptar. 2 En la utilidad Configuración del sistema, vaya a la ficha Inicio. 3 Haga clic en Abrir el Administrador de tareas. 4 Si Java(TM) Update Scheduler (jusched) aparece en la lista, selecciónelo y haga clic en Desactivar. 5 Si Adobe Acrobat SpeedLauncher (reader_sl) aparece en la lista, selecciónelo y haga clic en Desactivar. 6 En el cuadro de diálogo Configuración del sistema, seleccione No volver a mostrar este mensaje y haga clic en Reiniciar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 223 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 224 Detalles McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 51: abra el navegador predeterminado y configúrelo para el análisis de malware. 1 El bloqueador de ventanas emergentes debe estar desactivado. En Internet Explorer, seleccione Herramientas | Bloqueador de ventanas emergentes | Desactivar el bloqueador de ventanas emergentes. En este ejemplo del procedimiento se usa Internet Explorer. 2 Seleccione Herramientas | Opciones de Internet y para Página principal escriba about:blank. 3 Vaya a la ficha Avanzado de Opciones de Internet y localice Seguridad. 4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi equipo. 5 Haga clic en Aceptar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 225 5 Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso Detalles Paso 52: para analizar 1 Vaya a http://get.adobe.com/flashplayer/otherversions/. dinámicamente archivos 2 Seleccione el sistema operativo y la versión de Flash Player Flash (SWF), instale la versión requerida de Adobe respectivamente según sus requisitos para el Paso 1 y el Paso 2 Flash. mostrados en la siguiente imagen. En este ejemplo del procedimiento se usa Flash Player 14. 3 Haga clic en la ficha Descargar ahora. 4 Haga doble clic en el archivo de instalación de Adobe Flash Player (install_flashplayer xxx.exe), en la esquina inferior de la pantalla. 5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar. 6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí. 226 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Creación de un archivo VMDK para Windows 8 Paso 5 Detalles 7 Seleccione su opción de actualización y haga clic en SIGUIENTE. 8 Haga clic en FINALIZAR para completar la instalación de Adobe Flash Player. Paso 53: apague la máquina virtual. Paso 54: vaya a la ubicación que ha introducido en el paso 8 para encontrar el archivo VMDK denominado virtualMachineImage ‑flat.vmdk McAfee Advanced Threat Defense 3.4.2 Si es necesario, puede cambiar el nombre del archivo VMDK a Windows 8 x64-flat.vmdk o Windows 8 x32-flat.vmdk. Guía del producto 227 5 Creación de una máquina virtual analizadora Importación de un archivo VMDK en McAfee Advanced Threat Defense Importación de un archivo VMDK en McAfee Advanced Threat Defense Antes de empezar • Tiene a mano el archivo VMDK. • El sistema operativo de la máquina virtual está activado y tiene todas las aplicaciones requeridas (por ejemplo, aplicaciones de Microsoft Office, Adobe PDF Reader, etc.). • El nombre del archivo VMDK no contiene espacios. Si hay espacios en el nombre, fallará la conversión del VMDK a archivo de imagen. Para crear una máquina virtual analizadora, antes debe importar el correspondiente archivo VMDK en McAfee Advanced Threat Defense. De forma predeterminada, debe usar SFTP para importar el archivo VMDK. Para usar FTP, debe activarlo mediante el comando CLI set ftp. Consulte set ftp en la página 363. Por lo general, la transferencia con FTP es más rápida per menos segura que con SFTP. Si Advanced Threat Defense Appliance se encuentra en una red sin seguridad (por ejemplo, una red externa), McAfee recomienda usar SFTP. Procedimiento 1 Abra un cliente FTP. Por ejemplo, puede usar WinSCP o FileZilla. 2 3 Conéctese al servidor FTP en McAfee Advanced Threat Defense usando las credenciales citadas a continuación. • Host: dirección IP de McAfee Advanced Threat Defense. • Username (Nombre de usuario): atdadmin • Password (Contraseña): atdadmin • Port (Puerto): el número de puerto correspondiente según el protocolo que utilice. Cargue el archivo VMDK desde el equipo local a McAfee Advanced Threat Defense. Convierta el archivo VMDK en un archivo de imagen Antes de empezar • Ha cargado el archivo VMDK a McAfee Advanced Threat Defense. • Tiene permisos de administrador en McAfee Advanced Threat Defense. Procedimiento 228 1 En la aplicación web McAfee Advanced Threat Defense, seleccione Manage (Administrar) | Image Management (Administración de imágenes). 2 En la página Image Management (Administración de imágenes), seleccione el archivo VMDK que ha importado desde el menú desplegable VMDK Image (Imagen VMDK). McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Convierta el archivo VMDK en un archivo de imagen 3 Especifique un nombre para el archivo de imagen. El nombre que proporcione debe tener entre 1 y 20 caracteres y no puede contener espacios. Si el nombre de la imagen contiene un espacio, se producirá un error en la conversión del archivo de imagen. Para el análisis de malware, tal vez necesite varias máquinas virtuales analizadoras que se ejecuten en el mismo sistema operativo pero con aplicaciones diferentes. Por ejemplo, podría necesitar una máquina virtual analizadora con Windows 7 SP1 que tenga Internet Explorer 10 y otra que tenga Internet Explorer 11. Si piensa crear varias máquinas virtuales analizadoras con el mismo sistema operativo, es obligatorio especificar un Image Name (Nombre de imagen). Si piensa crear solo una máquina virtual analizadora para un sistema operativo específico, indicar el Image Name (Nombre de imagen) es opcional. Si no especifica un nombre, se asignará un nombre predeterminado al archivo de imagen, que usa para ver los registros, crear el perfil de máquina virtual, etc. Los nombres predeterminados de los archivos de imagen son los siguientes: • winXPsp2: corresponde a Microsoft Windows XP de 32 bits Service Pack 2 • winXPsp3: corresponde a Microsoft Windows XP de 32 bits Service Pack 3 • win7sp1: corresponde a Microsoft Windows 7 de 32 bits Service Pack 1 • win7x64sp1: corresponde a Microsoft Windows 7 de 64 bits Service Pack 1 • win2k3sp1: corresponde a Microsoft Windows Server 2003 de 32 bits Service Pack 1 • win2k3sp2: corresponde a Microsoft Windows Server 2003 de 32 bits Service Pack 2 • win2k8sp1: corresponde a Microsoft Windows Server 2008 R2 Service Pack 1 • win8p0x32: corresponde a Microsoft Windows 8 de 32 bits • win8p0x64: corresponde a Microsoft Windows 8 de 64 bits El nombre que especifique se agrega al nombre predeterminado. Supongamos que usa con_PDF como Image Name (Nombre de imagen) y el sistema operativo es Windows Server 2003 de 32 bits Service Pack 1. El nombre del archivo de imagen será win2k3sp1_con_PDF. Si intenta crear varias máquinas virtuales analizadoras con el mismo sistema operativo, se usará el nombre predeterminado del sistema operativo cada vez que se dé un nombre al archivo de imagen. Por lo tanto, en lugar de crearse una máquina virtual analizadora nueva con el mismo sistema operativo, se sobrescribe el mismo archivo de imagen. Es por esto que especificar el Image Name (Nombre de imagen) es obligatorio cuando se crean varias máquinas virtuales analizadoras con el mismo sistema operativo. 4 Seleccione el sistema operativo correspondiente en el menú desplegable Operating System (Sistema operativo). McAfee Advanced Threat Defense 3.4.2 Guía del producto 229 5 Creación de una máquina virtual analizadora Convierta el archivo VMDK en un archivo de imagen 5 Haga clic en Convert (Convertir). El tiempo requerido para completar la conversión depende del tamaño del archivo VMDK. Para un archivo de 15 GB, un ATD-3000 puede tardar unos cinco minutos. Figura 5-2 Conversión de VMDK a archivo de imagen Una vez se complete la conversión, se mostrará un mensaje. Figura 5-3 Mensaje de confirmación 6 Para ver los registros relativos a la conversión de imágenes, seleccione el nombre de imagen en la lista Select Log (Seleccionar registro) y haga clic en View (Ver). Figura 5-4 Seleccione el archivo de imagen para ver los registros 230 McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual Si no ha proporcionado el Image Name (Nombre de imagen), se asignará al archivo de imagen el nombre predeterminado en función del sistema operativo. Si ha especificado un Image Name (Nombre de imagen), este se agrega al nombre predeterminado. Figura 5-5 Entradas del registro de conversión de imágenes Administración de perfiles de máquina virtual Tras convertir el archivo importado VMDK a un archivo de imagen, ha de crear un perfil de máquina virtual para ese archivo de imagen. No puede asociar este perfil de máquina virtual con ningún otro archivo de imagen. De la misma manera, una vez asociado, no puede cambiar el perfil de máquina virtual para un determinado archivo de imagen. Los perfiles de máquina virtual contienen el sistema operativo y las aplicaciones de un archivo de imagen. Esto le permite identificar las imágenes que quiere cargar a McAfee Advanced Threat Defense y después usar la imagen apropiada para analizar dinámicamente un archivo. También puede especificar el número de licencias que posee para el sistema operativo y las aplicaciones. McAfee Advanced Threat Defense tendrá este dato en cuenta cuando cree máquinas virtuales simultáneas desde el correspondiente archivo de imagen. McAfee Advanced Threat Defense 3.4.2 Guía del producto 231 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual Puede usar la aplicación web McAfee Advanced Threat Defense para administrar los perfiles de máquina virtual. Figura 5-6 Configuraciones de un perfil de máquina virtual Ver perfiles de máquina virtual Puede ver los perfiles de máquina virtual existentes en la aplicación web McAfee Advanced Threat Defense. Procedimiento 1 Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual). Se mostrarán los perfiles disponibles de máquina virtual. Nombre de la columna Definición 232 Select (Seleccionar) Seleccione para editar o eliminar el correspondiente perfil de máquina virtual. Name (Nombre) Nombre que ha asignado al perfil de máquina virtual. Licenses (Licencias) El número de licencias que posee para el sistema operativo y las aplicaciones. Este es uno de los factores que determinan el número de máquinas virtuales analizadoras simultáneas en McAfee Advanced Threat Defense. Default (Predeterminado) Indica si se trata de un perfil de máquina virtual predeterminado. Size (Tamaño) El tamaño del archivo de imagen en megabytes. Hash El valor de hash MD5 para el archivo de imagen. McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual 2 Oculte las columnas innecesarias. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b Seleccione Columns (Columnas). c Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 3 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). 4 Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga clic en View (Ver). Crear perfiles de máquina virtual Después de convertir el archivo VMDK a formato de imagen, puede empezar a crear la máquina virtual y el perfil de máquina virtual correspondiente. Cada archivo de imagen que convierta debe estar asociado con un único perfil de máquina virtual. Es decir, necesita un archivo de imagen no usado para cada perfil de máquina virtual que quiera crear. No obstante puede convertir varias veces los mismos archivos de imagen VMDK. Esto significa que podrá crear múltiples archivos de imagen a partir de un mismo VMDK. Procedimiento 1 Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual) | New (Nuevo).. Se muestra la página VM Profile (Perfil de máquina virtual). Figura 5-7 Selección del archivo de imagen 2 En el menú desplegable Image (Imagen), seleccione aquella para la que desee crear el perfil de máquina virtual. McAfee Advanced Threat Defense 3.4.2 Guía del producto 233 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual 3 Haga clic en Activate (Activar) para crear la máquina virtual a partir del archivo de imagen seleccionado. • Al hacer clic en Activate (Activar), la máquina virtual se abrirá en una ventana emergente. Por tanto, asegúrese de que el bloqueo de ventanas emergentes de su navegador está desactivado. • Esto no está relacionado con la activación de Windows con Microsoft. Debe completar la activación de Windows antes de importar el archivo VMDK a McAfee Advanced Threat Defense mediante FTP o SFTP. Una barra de progreso indica el avance de la creación de la máquina virtual. Figura 5-8 Progreso de la creación de la máquina virtual Según la configuración de su navegador, pueden aparecer mensajes de advertencia antes de que se inicie la máquina virtual. Figura 5-9 Mensaje de advertencia Figura 5-10 Mensaje de advertencia 234 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual 5 Una vez haga clic en OK en los mensajes de advertencia, se iniciará la máquina virtual. Figura 5-11 Máquina virtual presentada en una ventana emergente 4 Cuando aparezca la máquina virtual, apáguela de la forma correcta y cierre la ventana emergente. Figura 5-12 Apagado de máquina virtual Figura 5-13 Cierre de ventana emergente McAfee Advanced Threat Defense 3.4.2 Guía del producto 235 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual 5 Haga clic en Validate (Validar). Figura 5-14 Validación del archivo de imagen McAfee Advanced Threat Defense asegura que la máquina virtual se adapte al hardware de McAfee Advanced Threat Defense Appliance. También comprueba si el funcionamiento de la máquina es correcto, configura los datos de red necesarios, comprueba las aplicaciones instaladas, etc. Si todo funciona bien en la máquina virtual, la validación es satisfactoria. Haga clic enCheck Status (Comprobar estado) para ver el registro de validación de imagen. Es imprescindible que la validación sea satisfactoria antes de empezar a crear el perfil de máquina virtual. Si la validación falla, examine el registro de validación para averiguar el motivo. A continuación, cree un VMDK con la configuración correcta y repita el proceso de creación de máquina virtual analizadora. Figura 5-15 Registro de validación de imagen 6 Introduzca la información adecuada en los respectivos campos para crear el perfil de máquina virtual para la máquina virtual que ha creado previamente. Tabla 5-4 Definiciones de las opciones 236 Nombre de la opción Definición Name (Nombre) El nombre del archivo de imagen se mostrará automáticamente como nombre del perfil de la máquina virtual. No podrá modificarlo. Description (Descripción) Opcionalmente, puede introducir una descripción detallada del perfil de máquina virtual. McAfee Advanced Threat Defense 3.4.2 Guía del producto 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual Tabla 5-4 Definiciones de las opciones (continuación) Nombre de la opción Definición Default Profile (Perfil predeterminado) La primera vez, deberá seleccionarlo para hacer que sea el perfil de máquina predeterminado; posteriormente, podrá seleccionarlo o ignorarlo. Para un archivo, si el entorno del host de destino o la máquina virtual analizadora requerida no están disponibles, McAfee Advanced Threat Defense usa esta máquina virtual para analizar dinámicamente el archivo. Maximum Licenses (Licencias máximas) Introduzca el número de licencias simultáneas de usuario que posee. Debe tener en cuenta el sistema operativo, así como las aplicaciones en el archivo de imagen. Tenga en cuenta que el archivo de imagen es una máquina Windows 7 con Microsoft Office instalado. Tiene tres licencias simultáneas para Windows 7 y dos para Microsoft Office. En este caso, debe introducir 2 como el número máximo de licencias. Es uno de los factores que determinan el número de máquinas virtuales analizadoras simultáneas que McAfee Advanced Threat Defense crea desde el archivo de imagen. El número máximo de máquina virtuales analizadoras admitido en ATD-3000 es 30; en ATD-6000 el máximo es 60. Es decir, el valor acumulativo de Maximum Licenses (Licencias máximas) en todos los perfiles de máquina virtual no debe exceder 30 para ATD-3000 o 60 para ATD-6000, incluidas las maquinas virtuales analizadoras Android predeterminadas. Por lo tanto, puede tener 29 licencias para máquinas virtuales analizadoras Windows en ATD-3000 y 59 en ATD-6000. El máximo de máquinas virtuales analizadoras que puede cargar a un McAfee Advanced Threat Defense Appliance depende del tipo de sistema operativo Windows, así como del tipo de Appliance. • Windows Server 2008, Windows Server 2003 SP1/SP2, Windows 7 SP1 de 64 bits y Windows 7 SP1 de 32 bits: hasta 20 máquinas virtuales analizadoras en ATD-3000 y 40 en ATD-6000. • Windows XP SP2/SP3: hasta 30 máquinas virtuales analizadoras en ATD-3000 y 60 en ATD-6000. Save (Guardar) Crea el registro de perfil de máquina virtual con la información que ha proporcionado. Cuando haga clic en Save (Guardar), la creación de la máquina virtual empezará en segundo plano, ejecutándose como un daemon, y el perfil de máquina virtual aparecerá en la página de perfil de máquina virtual. Incluso si el perfil de máquina virtual recién creado aparece en la página VM Profile (Perfil de máquina virtual), pueden pasar 10 o 15 minutos antes de que la máquina virtual analizadora y el perfil de máquina virtual estén listos para su uso. Cancel (Cancelar) 7 Cierra la página VM Profile (Perfil de máquina virtual) sin guardar los cambios. Supervise el progreso de creación de la máquina virtual. Aparece un mensaje sobre la creación de la máquina virtual. McAfee Advanced Threat Defense 3.4.2 Guía del producto 237 5 Creación de una máquina virtual analizadora Administración de perfiles de máquina virtual Para supervisar el progreso puede utilizar uno de estos métodos: • Seleccione Dashboard (Panel) y examine el monitor VM Creation Status (Estado de creación de máquina virtual). • Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual) para ver el estado con relación al perfil de máquina virtual correspondiente. Para ver los registros de sistema relacionados con la creación de máquinas virtuales, seleccione Manage (Administrar) | System Log (Registro del sistema) 8 Para confirmar la creación correcta del perfil de máquina virtual, seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador) y compruebe que el perfil de máquina virtual que ha creado aparece listado en el menú desplegable VM Profile (Perfil de máquina virtual). Editar perfiles de máquina virtual Antes de empezar Para editar un perfil de máquina virtual, debe haberla creado o tener la función de usuario-administrador. 238 McAfee Advanced Threat Defense 3.4.2 Guía del producto Creación de una máquina virtual analizadora Ver el registro de creación de máquina virtual 5 Procedimiento 1 Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual). Se mostrarán los perfiles disponibles de máquina virtual. 2 Seleccione el registro deseado y haga clic en Edit (Editar). Se muestra la página VM Profile (Perfil de máquina virtual). 3 Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar). Eliminación de perfiles de máquina virtual Antes de empezar • Para eliminar el perfil de una máquina virtual, debe haberla creado o tener función de usuario-administrador. • Asegúrese de que el perfil de máquina virtual que quiere eliminar no está especificado en los perfiles de analizador. Procedimiento 1 Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual). Se mostrarán los perfiles de máquina virtual disponibles actualmente. 2 Seleccione el registro deseado y haga clic en Delete (Eliminar). 3 Haga clic en Yes (Sí) para confirmar la eliminación. Ver el registro de creación de máquina virtual Cuando crea un perfil de máquina virtual mediante la página VM Profile (Perfil de máquina virtual), McAfee Advanced Threat Defense crea una máquina virtual analizadora a partir del archivo de imagen que ha seleccionado en el registro de perfil de máquina virtual. Simultáneamente, muestra los registros relacionados, que puede ver en la aplicación web McAfee Advanced Threat Defense. A través de estas entradas del registro puede ver qué está sucediendo mientras se crea la máquina virtual analizadora. Puede utilizar esta información para ayudarle a solucionar problemas. Procedimiento • Después de hacer clic en Save (Guardar) en le página VM Profile (Perfil de máquina virtual), seleccione Manage (Administrar) | VM Creation Log (Registro de creación de máquina virtual) para ver las entradas del registro. No puede imprimir o exportar las entradas del registro. McAfee Advanced Threat Defense 3.4.2 Guía del producto 239 5 Creación de una máquina virtual analizadora Ver el registro de creación de máquina virtual 240 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Tras instalar McAfee Advanced Threat Defense Appliance en su red, puede configurarlo para analizar malware. Para ello, puede usar la aplicación web McAfee Advanced Threat Defense. Debe tener al menos la función de acceso web para configurar el análisis de malware. Esta sección le ofrece una introducción a la terminología relacionada y explica los procedimientos necesarios para configurar McAfee Advanced Threat Defense para analizar malware. Contenido Terminología Pasos de alto nivel para configurar el análisis de malware ¿Cómo analiza el malware McAfee Advanced Threat Defense? Administrar perfiles de analizador Integración con McAfee ePO Integración con Data Exchange Layer Integración con McAfee Next Generation Firewall Especificar servidor proxy para conectividad de Internet Configuración del parámetro Syslog Configuración de DNS Configuración de los ajustes de fecha y hora Defina reglas YARA personalizadas para identificar malware Terminología Familiarizarse con la siguiente terminología le facilitará el análisis de malware con McAfee Advanced Threat Defense. • Análisis estático: cuando McAfee Advanced Threat Defense recibe un archivo compatible para análisis, primero realiza un análisis estático. El objetivo es comprobar en el menor tiempo posible si se trata de un malware conocido, y también ahorrar recursos de McAfee Advanced Threat Defense para el McAfee Advanced Threat Defense 3.4.2 Guía del producto 241 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Terminología análisis dinámico. Para el análisis estático, McAfee Advanced Threat Defense usa los siguientes recursos: La secuencia del análisis estático es la siguiente. 1. Lista blanca local > 2. Lista negra local >3. McAfee GTI / McAfee Gateway Anti-Malware Engine / McAfee Anti-Malware Engine (estos tres recursos e procesan conjuntamente). • Lista blanca local: es la lista de valores hash de MD5 de los archivos de confianza, que no es necesario analizar. Esta lista blanca se basa en la base de datos de McAfee® Application Control que emplean otras soluciones en la suite McAfee. Tiene más de 230 millones de entradas. La lista blanca está activada de forma predeterminada. Para desactivarla, use el comando setwhitelist. Existen comandos capaces de administrar las entradas en la lista blanca. La base de datos estática de McAfee® Application Control no puede modificarse. Sin embargo, puede agregar o eliminar entradas basándose en el valor hash del archivo. También puede realizar consulta a la lista blanca mediante el valor de hash de un determinado archivo, para comprobar si se ha agregado a la base de datos. Las entradas de la oliste blanca predeterminada no se actualizan periódicamente. Sin embargo, puede que se actualicen al ampliar el software McAfee Advanced Threat Defense. Los productos de McAfee que envían archivos a McAfee Advanced Threat Defense tienen la capacidad de agregar a la lista blanca de manera personalizada. Esto incluye a McAfee Web Gateway y McAfee Network Security Platform Consulte whitelist en la página 372 para ver los comandos. • Lista negra local: es la lista de los valores hash de MD5 de los archivos de malware conocidos almacenados en la base de datos de McAfee Advanced Threat Defense. Cuando McAfee Advanced Threat Defense detecta un malware a través de su motor heurístico Gateway Anti-Malware Engine de McAfee, o mediante análisis dinámico, actualiza esta lista negra local con el valor de hash de MD5 del archivo. Un determinado archivo se agrega a esta lista automáticamente solo cuando su calificación de gravedad de malware (determinada por McAfee Advanced Threat Defense) sea media, alta o muy alta. Existen comandos para administrar las entradas a la lista negra. Consulte Lista negra en la página 349. • McAfee GTI: este es un motor global de correlación de amenazas, así como una base de inteligencia global sobre comportamiento de comunicación y mensajería, que permite proteger a los usuarios contra amenazas electrónicas tanto conocidas como emergentes, en todas las áreas susceptibles. El comportamiento de comunicación incluye la reputación, el volumen y los patrones de tráfico de red. McAfee Advanced Threat Defense usa tanto la función de reputación de la IP como la función de reputación de archivos de GTI. Para que las consultas de reputación de archivos funcionen correctam,ente, asegúrese de que McAfee Advanced Threat Defense puede comunicarse con tunnel.message.trustedsource.org a través de HTTPS (TCP/443). McAfee Advanced Threat Defense recupera las actualizaciones de URL de List.smartfilter.com a través de HTTP (TCP/80). 242 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Terminología • Gateway Anti-Malware: el motor Gateway Anti-Malware Engine de McAfee analiza en tiempo real el comportamiento de los sitios web, el código de sitio web y los contenidos de la Web 2.0 descargados, para detectar y bloquear preventivamente los ataques web maliciosos. Protege a las empresas de los ataques combinados modernos, incluidos virus, gusanos, adwarare, spyware, y otras amenazas de crimeware, sin tener que fiarse de las firmas de virus. El motor Gateway Anti-Malware Engine de McAfee está integrado en McAfee Advanced Threat Defense para proporcionarle detección de malware en tiempo real. • Anti-Malware : el motor Anti-Malware Engine de McAfee está integrado en McAfee Advanced Threat Defense. El DAT se actualiza manual o automáticamente, basándose en la conectividad de red de McAfee Advanced Threat Defense. El análisis estático también implica el análisis a través de la ingeniería inversa del código malicioso. Esto incluye analizar todas las instrucciones y propiedades para identificar los comportamientos previstos, que podrían no aparecer inmediatamente. Esto también proporciona información de clasificación de malware detallada, amplía la cobertura de seguridad y puede identificar malware asociado que aprovecha la reutilización de código. De forma predeterminada, McAfee Advanced Threat Defense descarga las actualizaciones para McAfee Gateway Anti-Malware Engine y McAfee Anti-Malware Engine cada 90 minutos. Para actualizar inmediatamente, use el comando CLI update_avdat en la página 371. Para que estas actualizaciones funcionen correctamente, asegúrese de que McAfee Advanced Threat Defense pueda contactar con wpm.webwasher.com a través de HTTPS (TCP/443). • Análisis dinámico: en este caso, McAfee Advanced Threat Defense ejecuta el archivo en una máquina virtual segura y supervisar su comportamiento para comprobar si es malicioso. Al finalizar el análisis, proporciona un informe detallado tal y como lo pida el usuario. McAfee Advanced Threat Defense realiza el análisis dinámico una vez completado el análisis estático. De forma predeterminada, si el análisis estático identifica el malware, McAfee Advanced Threat Defense no realizará un análisis dinámico. Sin embargo, puede configurar McAfee Advanced Threat Defense para que realice un análisis dinámico sin importar el resultado del análisis estático. También puede configurarlo para que realice análisis dinámico sin análisis estático previo. El análisis dinámico incluye también la función de listado de elementos resultantes del desensamblaje de McAfee Advanced Threat Defense. Esta función genera el código de desensamblaje de los archivos ejecutables portátiles para que se pueda analizar la muestra en profundidad. • Máquina virtual analizadora: es la máquina virtual del McAfee Advanced Threat Defense que se usa para el análisis dinámico. Para crear las máquinas virtuales analizadoras, necesita crear el archivo VMDK con el sistema operativo y aplicaciones requeridos. A continuación, use SFTP para importar este archivo en McAfee Advanced Threat Defense Appliance. Solo los siguientes sistemas operativos son compatibles para crear las máquinas virtuales analizadoras: • Microsoft Windows XP de 32 bits Service Pack 2 • Microsoft Windows XP de 32 bits Service Pack 3 • Microsoft Windows Server 2003 de 32 bits Service Pack 1 • Microsoft Windows Server 2003 de 32 bits Service Pack 2 • Microsoft Windows Server 2008 R2 Service Pack 1 • Microsoft Windows 7 de 32 bits Service Pack 1 • Microsoft Windows 7 de 64 bits Service Pack 1 • Microsoft Windows 8.0 Pro de 32 bits McAfee Advanced Threat Defense 3.4.2 Guía del producto 243 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Terminología • Microsoft Windows 8.0 Pro de 64 bits • Android 2.3 de forma predeterminada. Puede ampliarlo a Android 4.3. Consulte Ampliar la máquina virtual analizadora de Android en la página 55. Todos los sistemas operativos Windows anteriores pueden estar en inglés, chino simplificado, japonés, alemán o italiano. La única máquina virtual analizadora preinstalada es la máquina virtual Android. Para Windows, deberá crear las máquinas virtuales analizadoras. También puede crear distintas máquinas virtuales para que se adapten a sus necesidades. El número de máquinas virtuales analizadoras que puede crear está limitado únicamente por el espacio en disco de McAfee Advanced Threat Defense Appliance. Sin embargo, sí hay un límite al número de máquinas virtuales que pueden usarse simultáneamente en el análisis. El número de licencias simultáneas que especifique también afecta al número de instancias de máquinas virtuales analizadoras que podrá usar. • Perfil de máquina virtual: una vez cargue la imagen de la máquina virtual (el archivo .vmdk) en McAfee Advanced Threat Defense, asociará cada una de ellas a un perfil distinto de máquina virtual. Un perfil de máquina virtual indica qué hay instalado en la imagen de máquina virtual y el número de licencias simultáneas asociadas a esa imagen de máquina virtual. Al usar la imagen de máquina virtual y la información del perfil de máquina virtual, McAfee Advanced Threat Defense crea el número correspondiente de máquinas virtuales analizadoras. Por ejemplo, si especifica que posee 10 licencias para Windows XP SP2 de 32 bits, entonces McAfee Advanced Threat Defense entiende que puede crear hasta 10 máquinas virtuales simultáneas a partir del correspondiente archivo .vmdk. • Perfil de analizador: define como analizar un archivo y qué incluir en el informe. En un perfil de analizador, puede configurar lo siguiente: • El perfil de máquina virtual • Opciones de análisis • Los informes que desee ver tras el análisis • Contraseña para los archivos de muestra comprimidos • Tiempo mínimo y máximo de ejecución para el análisis dinámico Puede crear múltiples perfiles de analizador según sus necesidades. Para cada usuario de McAfee Advanced Threat Defense debe especificar un perfil analizador predeterminado. Este es el perfil de analizador que se usa para todos los archivos cargados por el usuario. Los usuarios que usen la aplicación web McAfee Advanced Threat Defense para enviar manualmente archivos a analizar pueden elegir un perfil de analizador distinto en el momento de cargar el archivo. El perfil de analizador seleccionado para un archivo en concreto siempre tiene precedencia sobre el perfil predeterminado del usuario. 244 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Pasos de alto nivel para configurar el análisis de malware Para analizar dinámicamente un archivo, el usuario correspondiente debe tener especificado el perfil de la máquina virtual en el perfil de analizador del usuario. Así es como el usuario indica el entorno en el que McAfee Advanced Threat Defense debe ejecutar el archivo. También puede especificar un perfil de máquina virtual predeterminado para Windows de 32 y de 64 bits. • User (Usuario): un usuario de McAfee Advanced Threat Defense es aquel que tiene los permisos necesarios para enviar archivos a McAfee Advanced Threat Defense para su análisis y ver los resultados. En caso de envío manual, el usuario puede usar la aplicación web McAfee Advanced Threat Defense o un cliente de FTP. En caso de envío automático, puede integrar productos McAfee tales como McAfee Network Security Platform o McAfee Web Gateway con McAfee Advanced Threat Defense. En tal caso, cuando estos productos detecten una descarga de archivos, enviarán automáticamente el archivo a McAfee Advanced Threat Defense antes de permitir que la descarga se complete. Por tanto, los perfiles de usuario predeterminados para estos productos están disponibles en McAfee Advanced Threat Defense. Puede definir un perfil de analizador para cada usuario, que a su vez puede contener perfiles de máquina virtual. Si usa McAfee Advanced Threat Defense para enviar archivos a analizar, puede omitir este perfil predeterminado en el momento del envío. Para otros usuarios, McAfee Advanced Threat Defense usa los perfiles predeterminados. Pasos de alto nivel para configurar el análisis de malware Este sección proporciona los pasos de alto nivel para configurar McAfee Advanced Threat Defense para el análisis de malware y la generación de informes: Figura 6-1 Resumen de pasos para configurar el análisis de malware 1 Configure McAfee Advanced Threat Defense Appliance y compruebe que funciona correctamente. • Según su opción de despliegue, compruebe que McAfee Advanced Threat Defense Appliance dispone de las conexiones de red necesarias. Por ejemplo, si lo integra con Network Security Platform, asegúrese de que Sensor, Manager y McAfee Advanced Threat Defense Appliance pueden comunicarse entre sí. • Asegúrese de que los módulos de análisis estático (tales como el motor Gateway Anti-Malware Engine de McAfee) están actualizados. 2 Crear la máquina virtual analizadora y los perfiles de máquina virtual. Consulte Creación de una máquina virtual analizadora en la página 4. 3 Cree los perfiles de analizador que necesite. Consulte Administrar perfiles de analizador en la página 249. 4 Si desea que McAfee Advanced Threat Defense cargue los resultados a un servidor FTP, configúrelo y asegúrese de tener todos los detalles que necesite antes de crear los perfiles para los usuarios correspondientes. 5 Cree los perfiles de usuario requeridos. Consulte Agregar usuarios en la página 40. McAfee Advanced Threat Defense 3.4.2 Guía del producto 245 6 Configuración de McAfee Advanced Threat Defense para análisis de malware ¿Cómo analiza el malware McAfee Advanced Threat Defense? 6 Inicie sesión en la aplicación web de McAfee Advanced Threat Defense usando las credenciales de un usuario que ya haya creado y cargue un archivo de muestra para su análisis. Esto es para comprobar que ha configurado correctamente McAfee Advanced Threat Defense. Consulte Cargue archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense en la página 280. 7 En la página Analysis Status (Estado del análisis), supervise el estado del análisis. Consulte Configurar la página Analysis Status (Estado de análisis) en la página 290 8 Una vez acabado el análisis, consulte el informe en la página Analysis Results (Resultados del análisis). Consulte Ver los resultados del análisis en la página 294. ¿Cómo analiza el malware McAfee Advanced Threat Defense? Esta sección explica el flujo de trabajo típico de McAfee Advanced Threat Defense al analizar archivos en busca de malware. Supongamos que ha cargado un archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense: 1 Suponiendo que el formato de archivo es compatible, McAfee Advanced Threat Defense descomprime el archivo y calcula el valor de hash del MD5. 2 McAfee Advanced Threat Defense aplica el perfil de analizador que haya especificado al cargar el archivo. 3 Basándose en la configuración del perfil de analizador, determina los módulos a usar para el análisis estático y analiza el archivo mediante esos módulos. 4 Si durante el análisis estático el archivo resulta ser malicioso, McAfee Advanced Threat Defense detiene el análisis y genera los informes requeridos. Sin embargo, esto depende de cómo haya configurado el perfil de analizador. 5 Si el análisis estático no encuentra malware, o si ha configurado McAfee Advanced Threat Defense para que realice análisis dinámicos sea cual sea el resultado del análisis estático, McAfee Advanced Threat Defense inicia el análisis dinámico del archivo. 6 A continuación ejecuta el archivo en la correspondiente máquina virtual analizadora y registra cada uno de sus comportamientos. La máquina virtual analizadora se determina basándose en el perfil de la máquina virtual en el perfil de analizador. 7 Si el archivo se ha ejecutado completamente, o si el periodo máximo de ejecución se ha agotado, McAfee Advanced Threat Defense prepara los informes requeridos. 8 Tras finalizar el análisis dinámico, devolverá la máquina virtual analizadora a su versión de base para que pueda usarla para analizar el siguiente archivo de la cola. Acceso por Internet a archivos de muestra Cuando se analiza de forma dinámica, una muestra podría acceder a un recurso en Internet. Por ejemplo, podría intentar descargar código malicioso adicional o cargar información recopilada en el equipo host (en este caso, la máquina virtual analizadora). Puede configurar McAfee Advanced Threat Defense para que proporcione servicios de red a máquinas virtuales analizadoras, para poder analizar actividades de red de un archivo de muestra. 246 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware ¿Cómo analiza el malware McAfee Advanced Threat Defense? Con acceso a Internet para las muestras, McAfee Advanced Threat Defense puede analizar el comportamiento de red de una muestra y determinar el impacto de los archivos adicionales descargados de Internet. Algunos tipos de malware podrían intentar determinar si están siendo ejecutados en un recinto aislado solicitando acceso a Internet para luego alterar su comportamiento según proceda. Cuando se crea una máquina virtual analizadora, McAfee Advanced Threat Defense se asegura de que esta tenga las configuraciones requeridas para la comunicación en una red cuando sea necesario. El permiso de acceso a red real para una máquina virtual analizadora se puede controlar mediante un parámetro en los perfiles de analizador. Se suministran servicios de red sea cual sea el método usado para enviar la muestra. Por ejemplo, se suministran a muestras enviadas manualmente usando la aplicación web McAfee Advanced Threat Defense y también a muestras enviadas por los productos integrados. A continuación se detalla el flujo de proceso de alto nivel cuando una muestra accede a un recurso en Internet. 1 Una muestra intenta acceder a un recurso en Internet. 2 McAfee Advanced Threat Defense comprueba si la conectividad a Internet está activada en el perfil de analizador correspondiente usado para este análisis. 3 Dependiendo de si la conectividad a Internet está activada o no, McAfee Advanced Threat Defense determina el modo en que se suministran los servicios de red. • Modo simulador: se usa si la conectividad a Internet no está activada en el perfil de analizador. McAfee Advanced Threat Defense se puede representar a sí mismo como recurso objetivo. Por ejemplo, si la muestra intenta descargar un archivo a través de FTP, McAfee Advanced Threat Defense simula esta conexión para la máquina virtual analizadora. • Modo de Internet real: este modo requiere acceso a Internet para el puerto de administración (eth-0), eth-1, eth-2 o eth-3. Si la conectividad a Internet está activada en el perfil de analizador, McAfee Advanced Threat Defense usa este modo. McAfee Advanced Threat Defense proporciona conexión a Internet real a través del puerto de administración de forma predeterminada, con enrutamiento público o dirigido hacia el firewall de la empresa, según la configuración de red vigente. Debido a que el tráfico de una máquina virtual analizadora podría ser malicioso, es posible que desee segregar este tráfico de la red de producción. En este caso, puede usar los puertos eth-1, eth-2 o eth-3 de McAfee Advanced Threat Defense para proporcionar acceso a Internet a la máquina virtual analizadora. McAfee Advanced Threat Defense 3.4.2 Guía del producto 247 6 Configuración de McAfee Advanced Threat Defense para análisis de malware ¿Cómo analiza el malware McAfee Advanced Threat Defense? 4 Sea cual sea el modo usado, McAfee Advanced Threat Defense registra todas las actividades de red. Pero los tipos de informes generados pueden variar según el modo. • Las actividades de red se presentan en el informe de resumen. Encontrará las consultas de DNS y las actividades de socket bajo las operaciones de red. Todas las actividades de red se encuentran en la sección Network Simulator (Simulador de red) del informe. • El informe dns.log también contiene las consultas DNS realizadas por la muestra. • La captura de paquete de las actividades de red se encuentra en la carpeta NetLog, dentro del archivo Complete Results zip. Figura 6-2 Acceso por Internet a archivos de muestra - flujo de proceso Recordemos que McAfee Advanced Threat Defense usa su puerto de administración (eth-0) de forma predeterminada para permitir el acceso a Internet para muestras. También puede configurar otro puerto para ese propósito. Para activar otro puerto Ethernet para acceso de malware a red, siga el procedimiento detallado a continuación: 248 1 Inicie sesión en la CLI de McAfee Advanced Threat Defense y active el puerto requerido. Por ejemplo, set intfport 1 enable para activar el puerto eth-1. 2 Establezca la dirección IP y la máscara de subred para el puerto. Por ejemplo, set intfport 1 10.10.10.10 255.255.255.0 McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador 6 3 Para el puerto Ethernet, establezca la gateway por la que enrutar el acceso a Internet. Por ejemplo, set malware-intfport 1 gateway 10.10.10.252 4 Ejecute el comando show intfport <port number> para que el puerto compruebe si está configurado para acceso de malware a Internet. Por ejemplo, show intfport 1. Verifique las entradas Malware Interface Port (Puerto de interfaz de malware) y Malware Gateway (Gateway de malware). • Para volver a usar al puerto de administración (eth-0) para acceso de malware a Internet, ejecute set malware-intfport mgmt en la CLI. McAfee Advanced Threat Defense usa su IP de puerto de administración y la gateway predeterminada correspondiente para proporcionar acceso a Internet. • Supongamos que ha configurado eth-1 para acceso de malware a Internet pero no quiere usar eth-2. En ese caso debe seguir el procedimiento detallado anteriormente para eth-2. Eth-2 está establecido como puerto para acceso de malware a Internet. • Supongamos que ha configurado eth-1 para acceso a Internet pero ahora quiere usar dicho puerto con otra gateway o dirección de IP. En ese caso, repita el procedimiento pero use la nueva gateway o dirección IP. • El comandoroute add network es para tráfico general de Advanced Threat Defense. Mientras que set malware-intfport es para tráfico de Internet procedente de una máquina virtual analizadora. Por lo tanto, los comandos route add network y set malware-intfport no se afectan mutuamente. Administrar perfiles de analizador Cuando un archivo se envía automática o manualmente a McAfee Advanced Threat Defense para su análisis, se usa el perfil de analizador correspondiente para determinar cómo debe analizarse el archivo y de qué debe informarse en los resultados del análisis. Debe especificar el perfil de máquina virtual en el perfil de analizador. También debe definir cómo debe analizarse el archivo en busca de malware y los informes que deben publicarse. Por tanto, un perfil de analizador contiene la configuración de usuario completa sobre la manera de analizar un archivo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 249 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador Puede usar la aplicación web McAfee Advanced Threat Defense para administrar perfiles de analizador. Figura 6-3 Contenido de un perfil de analizador Ver perfiles de analizador Dependiendo de su función de usuario, podrá ver los perfiles de analizador existentes en la aplicación web McAfee Advanced Threat Defense. Procedimiento 1 Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador). Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de administrador, podrá ver todos los perfiles de analizador de la base de datos. 2 Nombre de la columna Definición Select (Seleccionar) Seleccione para editar o eliminar el correspondiente perfil de analizador. Name (Nombre) Nombre que ha asignado al perfil de analizador. Description (Descripción) La descripción de la características del perfil de analizador. OS Name (Nombre de sistema operativo) Corresponde al nombre del perfil de máquina virtual especificado en el perfil de analizador. Automatically Select OS (Seleccionar sistema operativo automáticamente) Indica si ha seleccionado la opción Automatically Select OS en el perfil de analizador. Oculte las columnas innecesarias. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b Seleccione Columns (Columnas). c Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 3 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). 4 250 Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga clic en View (Ver). McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador 6 Crear perfiles de analizador Antes de empezar • Si desea seleccionar la opción de análisis dinámico en el perfil del analizador, asegúrese de que ha creado previamente el perfil de máquina virtual. También necesitará un perfil de máquina virtual para usar la opción Automatically Select OS (Seleccionar sistema operativo automáticamente). • Si desea activar el acceso a Internet para las muestras, necesita privilegios de administrador. Procedimiento 1 Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador) | New (Nuevo). Se muestra la página Analyzer Profile (Perfil de analizador). McAfee Advanced Threat Defense 3.4.2 Guía del producto 251 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador 2 Introduzca la información adecuada en los respectivos campos. Nombre de la opción Definición Nombre Introduzca el nombre del perfil de analizador. Este debería permitirle identificar fácilmente las características del perfil de analizador. Description (Descripción) Opcionalmente, puede introducir una descripción detallada del perfil de analizador. VM Profile (Perfil de máquina virtual) Seleccione el perfil de máquina virtual que McAfee Advanced Threat Defense debe usar para analizar dinámicamente un archivo. Automatically Select OS (Seleccionar sistema operativo automáticamente) Si desea que McAfee Advanced Threat Defense seleccione automáticamente el perfil de máquina virtual para Windows de 32 bits y Windows de 64 bits, seleccione Enable (Activar) y después seleccione los perfiles de máquina virtual desde Windows 32-bit VM Profile (Perfil de máquina virtual de Windows de 32 bits) y Windows 64-bit VM Profile (Perfil de máquina virtual de Windows de 64 bits). Supongamos que ha seleccionado Android como VM Profile (Perfil de máquina virtual). Ha activado la opción Automatically Select OS (Seleccionar sistema operativo automáticamente). Para Windows 32-bit VM Profile (Perfil de máquina virtual de Windows de 32 bits), ha seleccionado Windows XP SP3 y para Windows 64-bit VM Profile (Perfil de máquina virtual de Windows de 64 bits), Windows 7 SP1 de 64 bits. Ahora, cuando se detecte un archivo .apk, se usará la máquina virtual analizadora de Android para analizar el archivo dinámicamente. De igual modo, se usará Windows XP SP3 para archivos PE32. Para archivos PE64, se usará la máquina virtual analizadora Windows 7 SP1 de 64 bits. Si McAfee Advanced Threat Defense no puede determinar el sistema operativo para este perfil analizador o si la máquina virtual analizadora determinada no está disponible, usará la máquina virtual mencionada en el campo VM Profile (Perfil de máquina virtual). Archive Password (Contraseña del archivo) Introduzca la contraseña de McAfee Advanced Threat Defense para descomprimir una muestra de malware protegida por contraseña. Confirmar contraseña Vuelva a escribirla para confirmarla. Minimum Run Time (sec) (Tiempo mínimo de ejecución en segundos) Especifique el tiempo mínimo de duración durante el cual McAfee Advanced Threat Defense debe analizar dinámicamente la muestra. El valor predeterminado son 5 segundos. El máximo permitido son 600 segundos. Si el archivo deja de ejecutarse antes de este periodo de tiempo, el análisis dinámico se detiene. Maximum Run Time (sec) (Tiempo máximo de ejecución en segundos) Especifica el tiempo máximo durante el cual McAfee Advanced Threat Defense debe analizar dinámicamente la muestra. El valor predeterminado son 180 segundos. El máximo permitido son 600 segundos. Si el archivo no deja de ejecutarse antes de que transcurra este tiempo, el análisis dinámico se detendrá. Analysis Summary (Resumen del análisis) Seleccione para incluir el informe de Resumen de análisis en los resultados del análisis. Consulte Ver el informe Analysis Summary (Resumen del análisis) en la página 296. Packet captures (Capturas de Seleccione la captura de los paquetes de red si el archivo intenta comunicarse durante el análisis dinámico. El archivo pcap se incluye paquetes) en el archivo ZIP Complete Results (Resultados completos). Dropped Files (Archivos depositados) 252 Seleccione para generar el informe Files Created in Sandbox (Archivos creados en el recinto aislado). Consulte Informe Dropped Files (Archivos depositados) en la página 303. McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador Nombre de la opción Definición Disassembly Results (Resultados de desensamblaje) Seleccione si desea que McAfee Advanced Threat Defense genere el código de desensamblaje de los archivos ejecutables portátiles. Consulte Disassembly Results (Resultados de desensamblaje) en la página 303. Logic Path Graph (Gráfico de ruta lógica) Seleccione esta opción para generar el informe de gráfico de ruta lógica. Consulte Logic Path Graph (Gráfico de ruta lógica) en la página 304. User API Log (Registro de las API de usuario) Este informe detalla las llamadas realizadas por el malware a las API DLL de nivel de usuario de Windows durante el análisis dinámico. Consulte User API Log (Registro de las API de usuario) en la página 309. Local Black List (Lista negra local) Seleccione si desea que McAfee Advanced Threat Defense compruebe el valor de hash de MD5 con los valores de hash de los MD5 en la lista negra de la base de datos local. Anti-Malware (Antimalware) Seleccione si desea que McAfee Advanced Threat Defense analice el archivo mediante el motor McAfee Anti-Malware Engine. GTI File Reputation (Reputación de los archivos GTI) Seleccione si desea que McAfee Advanced Threat Defense compruebe el valor hash MD5 del archivo con McAfee GTI. Asegúrese de que McAfee Advanced Threat Defense puede comunicarse con McAfee GTI, que está en la nube. Gateway Anti-Malware (Gateway Antimalware) Seleccione si desea que McAfee Advanced Threat Defense analice el archivo mediante el motor McAfee Gateway Anti-Malware Engine. Sandbox (Recinto aislado) Seleccione si desea que el archivo se analice dinámicamente. Un archivo no se analizará dinámicamente si alguno de los métodos estáticos lo clasifica como malware o un elemento de la lista blanca. Si, a pesar de los resultados del análisis estático, desea analizar dinámicamente el archivo, seleccione tambiénRun All Selected (Ejecutar todos los seleccionados). Asegúrese de que ha seleccionado el perfil de máquina virtual y los Runtime Parameters (Parámetros de ejecución). Run All Selected (Ejecutar todos los seleccionados) Seleccione si desea que McAfee Advanced Threat Defense analice el archivo usando todas las opciones de análisis seleccionadas, independientemente de los resultados de cada método específico. Enable Malware Internet Access (Activar acceso de malware a Internet) Seleccione esta opción para proporcionar acceso a Internet a las muestras cuando intenten acceder a un recurso en Internet. Para activar esta opción, debe estar activada la opción Sandbox (Recinto aislado) de Analyzer Options (Opciones de analizador). Además, debe tener privilegios de administrador para seleccionar o anular la selección de Enable Malware Internet Access (Activar acceso de malware a Internet). Ya que la muestra analizada podría ser un malware, seleccionar la opción Enable Malware Internet Access (Activar acceso de malware a Internet) conlleva el riesgo de que el tráfico malicioso se propague fuera de su red. Se muestra un mensaje de renuncia de responsabilidad al seleccionar esta opción, y debe hacer clic en OK (Aceptar) para continuar. Los administradores también pueden establecer la configuración de proxy para malware si hubiera un servidor proxy en su red. McAfee Advanced Threat Defense 3.4.2 Guía del producto 253 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Integración con McAfee ePO Nombre de la opción Definición Save (Guardar) Crea el registro de perfil de analizador con la información que ha proporcionado. Cancel (Cancelar) Cierra la página Analyzer Profile (Perfil de analizador) sin guardar los cambios. Editar perfiles de analizador Procedimiento 1 Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador). Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de administrador, podrá ver todos los perfiles de analizador de la base de datos. 2 Seleccione el registro deseado y haga clic en Edit (Editar). Se muestra la página Analyzer Profile (Perfil de analizador). 3 Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar). Los cambios realizados afectarán a los correspondientes usuarios incluso si no han iniciado sesión en el momento de realizarlos. Eliminación de perfiles de analizador Antes de empezar Asegúrese de que los usuarios a los que ha asignado este perfil de analizador no han iniciado sesión en McAfee Advanced Threat Defense. Procedimiento 1 Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador). Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de administrador, podrá ver todos los perfiles de analizador de la base de datos. 2 Seleccione el registro deseado y haga clic en Delete (Eliminar). 3 Haga clic en Yes (Sí) para confirmar la eliminación. Integración con McAfee ePO La integración de McAfee Advanced Threat Defense y McAfee ePO permite que McAfee Advanced Threat Defense identifique correctamente el entorno del host de destino y use la correspondiente máquina virtual analizadora para el análisis dinámico. 254 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Integración con McAfee ePO Para determinar si la máquina virtual analizadora de un archivo enviado por Network Security Platform o McAfee Web Gateway, McAfee Advanced Threat Defense usa las siguientes fuentes de información en el mismo orden de prioridad: 1 McAfee Advanced Threat Defense realiza una consulta a McAfee ePO acerca del sistema operativo de un host, basándose en su dirección IP. Si no hay información disponible de esta fuente o si la correspondiente máquina virtual analizadora no está disponible, pasa a la siguiente fuente. 2 Si Device Profiling (Perfiles de dispositivo) está activado, Sensor proporcionará los detalles de sistema operativo y aplicación al enviar un archivo para su análisis. Si no hay información disponible de esta fuente o si la correspondiente máquina virtual analizadora no está disponible, pasa a la siguiente fuente. 3 Basándose en el perfil de analizador en el correspondiente registro de usuario, McAfee Advanced Threat Defense determinará el perfil de máquina virtual. Si no hay información disponible de esta fuente o si la correspondiente máquina virtual analizadora no está disponible, pasa a la siguiente fuente. 4 El perfil de máquina virtual que ha seleccionado como predeterminado. Desde los perfiles de máquina virtual de su configuración, puede seleccionar uno de ellos como perfil predeterminado. Cuando McAfee Advanced Threat Defense recibe la información de host de una dirección IP concreta desde McAfee ePO, guarda estos detalles en la caché. • La dirección IP en caché de datos de información de host tiene un tiempo de vida (TTL en inglés) de 48 horas. • Durante las primeras 24 horas, McAfee Advanced Threat Defense usa solo la información de host de la caché. • Durante las siguientes 24 horas (es decir, de 24 a 48 horas), McAfee Advanced Threat Defense usa la información de host de la caché pero también realiza consultas a McAfee ePO y actualiza la caché. Esta información actualizada es válida durante las siguientes 48 horas. • Si la información en caché tiene más de 48 horas, la tratará como si no hubiera información en caché para la correspondiente dirección IP. Es decir, intentará encontrar información de otras fuentes y también realizará consultas a McAfee ePO. A continuación se explica cómo McAfee Advanced Threat Defense colabora con McAfee ePO. 1 Network Security Platform o McAfee Web Gateway envía un archivo a McAfee Advanced Threat Defense para su análisis. Cuando Network Security Platform envía un archivo, también envía la dirección IP del host de destino. 2 McAfee Advanced Threat Defense comprueba su caché para ver si existe un sistema operativo válido asignado a esa dirección IP. 3 Si es la primera vez que se analiza un archivo de esa dirección IP, no habrá información en la caché. Por tanto, determinará la máquina virtual analizadora a partir de la información de perfiles de dispositivo, en el caso de Network Security Platform, y del registro de usuario, en el caso de McAfee Web Gateway. Simultáneamente, enviará una consulta a McAfee ePO pidiendo información del host basada en la dirección IP. 4 A continuación, McAfee ePO envía la información del host a McAfee Advanced Threat Defense, y esta se guarda en la caché para su uso futuro. McAfee Advanced Threat Defense 3.4.2 Guía del producto 255 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Integración con McAfee ePO Configurar la integración con McAfee ePO La integración con McAfee ePO permite a McAfee ePO recopilar información como el sistema operativo y navegadores instalados en el host de destino. McAfee Advanced Threat Defense usa esta información para seleccionar la mejor máquina virtual analizadora para el análisis dinámico. Procedimiento 1 Seleccione Manage (Administrar) | ePO login/DXL Setting (Inicio de sesión en ePo/Configuración de DLX). Se muestra la página ePO login/DXL Setting (Inicio de sesión en ePo/Configuración de DLX). Figura 6-4 McAfee ePO Integración con 256 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Integración con Data Exchange Layer 2 Introduzca los detalles en los campos apropiados. Nombre de la opción Definición Login ID (ID de inicio de sesión) Introduzca el nombre de inicio de sesión de McAfee ePO que McAfee Advanced Threat Defense debe usar para acceder al servidor McAfee ePO. McAfee le recomienda que cree una cuenta de usuario de McAfee ePO con los permisos de solo lectura necesarios para la integración. Contraseña Introduzca la contraseña correspondiente al Login ID (ID de inicio de sesión) que ha introducido. IP Address (Dirección IP) Introduzca la dirección IPv4 del servidor de McAfee ePO. Contacte con su administrador de McAfee ePO para obtener la dirección IP. Port Number (Número de puerto) Especifique el puerto de escucha HTTPS en el servidor de McAfee ePO que se usará para la comunicación entre McAfee Advanced Threat Defense yMcAfee ePO. Contacte con su administrador de McAfee ePO para obtener el número de puerto. Test ePO Login (Probar inicio de sesión de ePO) Haga clic en esta opción para comprobar si McAfee Advanced Threat Defense puede acceder al servidor de McAfee ePO configurado a través del puerto especificado. Submit (Enviar) Haga clic para guardar la configuración y activar la integración entre McAfee Advanced Threat Defense y McAfee ePO. Asegúrese de que la prueba de conexión se realiza con éxito antes de hacer clic en Submit (Enviar). Disable (Desactivar) Haga clic en esta opción para desactivar la integración entre McAfee Advanced Threat Defense y McAfee ePO. Integración con Data Exchange Layer McAfee Data Exchange Layer (DXL) incluye un software cliente así como uno o varios agentes que permiten una comunicación bidireccional entre los endpoints de una red. El cliente de McAfee DXL se instala en todos los endpoints administrados para que la información sobre amenazas pueda compartirse de inmediato con todos los otros servicios y dispositivos y reducir la propagación de amenazas. Al integrar Advanced Threat Defense con McAfee DXL, permite que Advanced Threat Defense envíe el informe de análisis de las muestras analizadas en Advanced Threat Defense al agente de McAfee DXL. Las muestras de Advanced Threat Defense se publican en un tema ubicado en /mcafee/event/atd/file/ report en el agente de McAfee DXL. Los clientes de información de seguridad y administración de eventos (SIEM) suscritos a este tema (/mcafee/event/atd/file/report) pueden obtener informes de análisis del agente de McAfee DXL para elaborar una base de datos de reputación de seguridad sólida. Los clientes suscritos pueden consultar esta base de datos y tratar los archivos que entren en su red de acuerdo con los informes de análisis de dichos archivos. A continuación se explica el modo en el que Advanced Threat Defense publica los informes de análisis en el canal de McAfee DXL: 1 Advanced Threat Defense obtiene los archivos de muestra para su análisis de diferentes canales como McAfee Network Security Platform, McAfee Web Gateway y demás. 2 El resumen del análisis se envía al agente de McAfee DXL para su distribución bajo demanda a los clientes suscritos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 257 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Integración con Data Exchange Layer El siguiente diagrama muestra la integración de Advanced Threat Defense y McAfee DXL. Figura 6-5 Integración de Advanced Threat Defense y Data Exchance Layer Configuración de la integración con Data Exchange Layer Procedimiento 258 1 Seleccione Manage (Administrar) | ePO login/DXL Setting (Inicio de sesión en ePo/Configuración de DLX). Se muestra la página McAfee ePO. 2 Introduzca los detalles en los campos apropiados. Consulte Configurar la integración con McAfee ePO en la página 256 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Integración con McAfee Next Generation Firewall 3 Haga clic en Test Connection (Comprobar conexión). Cuando aparezca el mensaje Test connection is successful (Prueba de conexión realizada correctamente), haga clic en OK (Aceptar). 4 En el área DXL Setting (Configuración de DXL): 5 • Seleccione Enable DXL communication (Activar comunicación con DXL). • En la lista desplegable Security Level (Nivel de seguridad), seleccione un nivel de gravedad en función de sus requisitos. • El campo DXL Status (Estado de DXL) muestra el estado de la conectividad de DXL. Haga clic en Apply (Aplicar). Cuando aparezca el mensaje Test DXL connection successful (Prueba de conexión de DXL realizada correctamente), haga clic en OK (Aceptar). Integración con McAfee Next Generation Firewall McAfee Next Generation Firewall integra funciones de seguridad de alta disponibilidad y capacidad de gestión. Integra funciones de control de aplicaciones, sistema de prevención de intrusiones (IPS) y prevención de evasiones en una única solución asequible. El cliente de McAfee Next Generation Firewall debe seguir los pasos detallados a continuación para integrar McAfee Next Generation Firewall con McAfee Advanced Threat Defense: 1 Crear un usuario denominado “ngfw” en Advanced Threat Defense después de iniciar sesión en Advanced Threat Defense como "admin". Este usuario tiene los mismos privilegios que el usuario "nsp". 2 Reiniciar amas desde la CLI. 3 Utilizar el usuario "ngfw" en SCM para llamadas de API REST. No hay cambios en el protocolo SOFA existente para el envío de archivos. Dado que existe un usuario “ngfw”, se presupone que todos los envíos de archivos a través del canal SOFA proceden de appliances McAfee NGFW. Especificar servidor proxy para conectividad de Internet Advanced Threat Defense se conecta a diversos servidores proxy para la conectividad de Internet. Según el origen del tráfico, Advanced Threat Defense determina el servidor proxy por el que se deben dirigir las solicitudes de acceso a Internet del tráfico. Estos servidores proxy se pueden configurar en Advanced Threat Defense para gestionar las solicitudes de acceso a Internet: • GTI HTTP Proxy (Proxy HTTP de GTI): este valor es relevante para aquellos perfiles de analizador que tengan activada GTI Reputation (Reputación GTI) en opciones de análisis. McAfee Advanced Threat Defense envía una consulta a un servidor de McAfee GTI para obtener la calificación de McAfee GTI para el archivo sospechoso que se está analizando. Si la red del cliente está protegida bajo proxy, especifique aquí los detalles del servidor proxy para que se puedan enviar fuera las consultas de McAfee GTI. • Malware Site Proxy (Proxy de sitio de malware): este valor es aplicable cuando las muestras que se están analizando en las máquinas virtuales analizadoras solicitan acceso a Internet. El servidor proxy especificado en Malware Site Proxy (Proxy de sitio de malware) gestiona la solicitud. Debido a que el tráfico de una máquina virtual analizadora podría ser malicioso, es posible que desee segregar este tráfico de la red de producción. McAfee Advanced Threat Defense 3.4.2 Guía del producto 259 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Especificar servidor proxy para conectividad de Internet Procedimientos • Especificación de configuración de proxy para tráfico de Global Threat Intelligence en la página 260 • Especificar la configuración del proxy de sitio de malware para el tráfico de malware en la página 261 Especificación de configuración de proxy para tráfico de Global Threat Intelligence Procedimiento 1 Seleccione Manage (Administrar) | Proxy Settings (Configuración de proxy). En la página Proxy Settings (Configuración de proxy), se mostrará la sección GTI HTTP Proxy (Proxy HTTP de GTI). Figura 6-6 Página Proxy Settings (Configuración de proxy) Para activar esta opción, debe estar activada la opción GTI File Reputation (Reputación de los archivos GTI) bajo Analyze Options (Opciones de análisis). 260 McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense para análisis de malware Especificar servidor proxy para conectividad de Internet 2 6 En la sección GTI HTTP Proxy (Proxy HTTP de GTI), introduzca la información adecuada en los campos respectivos. Nombre de la opción Definición Enable Proxy (Activar proxy) Seleccione para conectar McAfee Advanced Threat Defense al servidor proxy para conectividad de Internet. User Name (Nombre de usuario) Introduzca el nombre de usuario que McAfee Advanced Threat Defense usa para la conexión a Internet. Password (Contraseña) Introduzca la contraseña correspondiente. Proxy IP Address (Dirección IP del proxy) Introduzca la dirección IPv4 del servidor proxy. Port Number (Número de puerto) Introduzca el número de puerto de escucha del servidor proxy para conexiones entrantes. Test (Probar) Haga clic para comprobar si McAfee Advanced Threat Defense puede acceder al servidor proxy HTTP configurado a través del puerto especificado. Submit (Enviar) Haga clic para guardar la configuración de proxy en la base de datos. Asegúrese de que la prueba de conexión se realiza con éxito antes de hacer clic en Submit (Enviar). Especificar la configuración del proxy de sitio de malware para el tráfico de malware Procedimiento 1 Seleccione Manage (Administrar) | Proxy Settings (Configuración de proxy). En la página Proxy Settings (Configuración de proxy), se mostrará la sección Malware Site Proxy (Proxy de sitio de malware). Figura 6-7 Página Proxy Settings (Configuración de proxy) McAfee Advanced Threat Defense 3.4.2 Guía del producto 261 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración del parámetro Syslog 2 En la sección Malware Site Proxy (Proxy de sitio de malware), introduzca la información adecuada en los campos respectivos. Nombre de la opción Definición Enable Proxy (Activar proxy) Seleccione para conectar McAfee Advanced Threat Defense al servidor proxy para conectividad de Internet. User Name (Nombre de usuario) Introduzca el nombre de usuario que McAfee Advanced Threat Defense usa para la conexión a Internet. Password (Contraseña) Introduzca la contraseña correspondiente. Proxy IP Address (Dirección IP del proxy) Introduzca la dirección IPv4 del servidor proxy. Port Number (Número de puerto) Introduzca el número de puerto de escucha del servidor proxy para conexiones entrantes. Copy above settings (Copiar configuración anterior) Seleccione esta opción para replicar la configuración de proxy en la sección GTI HTTP Proxy Settings (Configuración de proxy HTTP de GTI). Test (Probar) Haga clic para comprobar si McAfee Advanced Threat Defense puede acceder al servidor proxy HTTP configurado a través del puerto especificado. Submit (Enviar) Haga clic para guardar la configuración de proxy en la base de datos. Asegúrese de que la prueba de conexión se realiza correctamente antes de hacer clic en Submit (Enviar). Configuración del parámetro Syslog El mecanismo Syslog transfiere los eventos de resultados de análisis por el canal Syslog a información de seguridad y administración de eventos (SIEM) como McAfee Enterprise Security Manager (McAfee ESM). Esto se lleva a cabo para todos los archivos analizados por Advanced Threat Defense. Puede configurar un servidor Syslog externo al que se enviará la siguiente información: • Resultados de análisis • Información de inicio y cierre de sesión de usuario Los resultados de análisis y los eventos de inicio o cierre de sesión se envían al receptor SIEM, donde la información se analiza y se envía a ESM. A continuación, el resumen se muestra en la interfaz de usuario de ESM y se puede usar como un repositorio de datos históricos. El receptor SIEM y ESM pueden estar en appliances diferentes o juntos en un entorno virtual 262 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración del parámetro Syslog Procedimiento 1 Seleccione Manage (Administrar) | Syslog Setting (Configuración de Syslog). 2 En el área Off-box system log (Registro del sistema remoto), realice estas selecciones y entradas. • Seleccione Enabled (Activado). • IP Address (Dirección IP): dirección IP del servidor Syslog • Port (Puerto): número de puerto de escucha del servidor Syslog (el predeterminado es el 514) • Transport (Transporte): seleccione un protocolo en la lista desplegable 3 Haga clic en Test (Probar). Cuando aparezca un mensaje que indica que la operación se ha realizado correctamente, haga clic en OK (Aceptar). 4 En el área Logging Features (Funciones de registro), haga estas selecciones y entradas. • Seleccione Analysis Results (Resultados del análisis). • En la lista desplegable Severity Level (Nivel de gravedad), seleccione un nivel. • Si desea almacenar la información de inicio y cierre de sesión con una marca de tiempo, seleccione User Login/Logout (Inicio/Cierre de sesión de usuario). McAfee Advanced Threat Defense 3.4.2 Guía del producto 263 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración del parámetro Syslog 264 McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración del parámetro Syslog 5 6 Haga clic en Submit (Enviar). Se muestra el mensaje Off-box syslog setting was submitted successfully (Configuración Syslog remota enviada correctamente). Muestra de eventos de registro de análisis mostrados en ESM: <182>Aug 19 22:49:05 ATD-3000 ATD2ESM[4278]: {"Summary": { "Event_Type": "ATD File Report","MISversion": "3.2.2.2.40833","SUMversion": "3.2.2.2.40833","OSversion": "win7sp1","field": "54fa_00ca_5575b4f8_d5e2_421c_80d0_3daa4d67ff89","Parent MD5": "Not Available","ATD IP": "10.213.248.14","TaskId": "50128","JobId": "50127","JSONversion": "1.001.0718","hasDynamicAnalysis": "true","Subject": {"Name": "v_upx200w.exe","Type": "PE32 executable (console) Intel 80386","md5": "65B48733E50FD44009C6566B8C1F4393","sha-1": "F3B0901F44A0079431592011C6757BAC19EEAD3C","size": "19456","Timestamp": "2014-08-19 22:48:28","parent_archive": "Not Available"},"Selectors": [{"Engine": "CustomYara","MalwareName": "---","Severity": "5"},{"Engine": "Sandbox","MalwareName": "---","Severity": "5"}],"Verdict": {"Severity": "5","Description": "Subject is malicious"},"Stats": [{"ID": "0","Category": "Persistence, Installation Boot Survival","Severity": "5"},{"ID": "1","Category": "Hiding, Camouflage, Stealthiness, Detection and Removal Protection","Severity": "1"},{"ID": "2","Category": "Security Solution / Mechanism bypass, termination and removal, Anti Debugging, VM Detection","Severity": "5"},{"ID": "3","Category": "Spreading","Severity": "2"},{"ID": "4","Category": "Exploiting, Shellcode","Severity": "0"},{"ID": "5","Category": "Networking","Severity": "5"}, {"ID": "6","Category": "Data spying, Sniffing, Keylogging, Ebanking Fraud","Severity": "4"}],"Behavior": [" CUSTOM yara test: create/remove directory [custom_1]"," CUSTOM yara test: run key, delete value [custom_2]","Created content under Windows system directory","Deleted AV auto-run registry key","Created a socket bound to a specific service provider and listen to an open port","Changed McAfee Advanced Threat Defense 3.4.2 Guía del producto 265 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración de DNS the protection attribute of the process","Installed low level keyboard hook procedure","Deleted a key from auto-run registry entry","Altered auto-run registry entry that executed at next Windows boot"]}} Muestra de eventos de inicio o cierre de sesión de usuario mostrados en ESM: <181>Aug 20 00:33:42 ATD-3000 MATD-LOG[6902]: {"Action": "Successful user login", "User": "meg", "UserID": "5", "Timestamp": "2014-08-20 07:33:42", "Client": "10.213.248.120"} Configuración de DNS Al ejecutarse, algunos archivos pueden enviar consultas de DNS para resolver nombres. A menudo dichas consultas son intentos por parte de un malware de determinar si se están ejecutando en un recinto aislado. Si la consulta de DNS falla, el archivo puede intentar usar una ruta de acceso alternativa. Cuando McAfee Advanced Threat Defense analiza dinámicamente este archivo, puede que desee proporcionar un servicio de DNS proxy para averiguar el comportamiento real del archivo. Procedimiento 1 Seleccione Manage (Administrar) | DNS Setting (Configuración de DNS). Se mostrará la página DNS Setting (Configuración de DNS). 2 Introduzca la información adecuada en los respectivos campos. Nombre de la opción Definición Domain (Dominio) Introduzca el nombre del dominio de Active Directory; por ejemplo, McAfee.com. Preferred DNS Server (Servidor DNS preferido) Introduzca la dirección IPv4 del servidor proxy DNS principal. Las consultas de DNS procedentes de la máquina virtual analizadora llegan a este servidor DNS. Alternate DNS Server (Servidor DNS alternativo) Introduzca la dirección IPv4 del servidor proxy DNS secundario. Si la máquina virtual analizadora no logra contactar con el servidor DNS principal, las consultas de DNS llegarán a este servidor DNS secundario. Test (Probar) Haga clic en esta opción para comprobar si McAfee Advanced Threat Defense puede acceder al servidor DNS preferido o al alternativo. Submit (Enviar) Haga clic aquí para guardar la configuración en la base de datos. Asegúrese de que la prueba de conexión se realiza correctamente antes de hacer clic en Submit (Enviar). Configuración de los ajustes de fecha y hora Antes de empezar • Necesita privilegios de administrador para ver o ajustar la configuración de fecha y hora. • Si va a utilizar nombres de dominios de servidores de protocolo de seguridad de la red, asegúrese de haber configurado correctamente los servidores DNS en McAfee Advanced Threat Defense. Puede establecer la fecha y hora requeridas en McAfee Advanced Threat Defense Appliance en la página Date and Time Settings (Configuración de fecha y hora). McAfee Advanced Threat Defense utiliza la fecha y hora que haya configurado en todos los casos, tanto de apariencia como de funcionalidad. La 266 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración de los ajustes de fecha y hora fecha y hora en las interfaces de usuario, los informes, los archivos de registro y CLI de la aplicación web McAfee Advanced Threat Defense se corresponderán con las que haya especificado. Por ejemplo, la marca de tiempo de las páginas Analysis Status (Estado del análisis) y Analysis Results (Resultados del análisis) tendrá la fecha y la hora que usted haya configurado. Puede especificar la fecha y hora manualmente o configurar los servidores de protocolo de hora de la red (NTP, o Network Time Protocol) como el fuente de tiempo para McAfee Advanced Threat Defense. Si elige usar los servidores NTP, puede configurar hasta tres de ellos. En este caso, McAfee Advanced Threat Defense actúa como cliente NTP y se sincroniza con el servidor NTP de mayor prioridad disponible. • En McAfee Advanced Threat Defense, la sincronización con los servidores NTP está activada de forma predeterminada. Además, pool.ntp.org está configurado como el servidor NTP predeterminado. La zona horaria predeterminada es la Hora del Pacífico (UTC-8). • Al ampliar a partir de una versión anterior sin seleccionar la opción Reset Database (Restablecer base de datos), se conserva la configuración de fecha y hora de la versión instalada. Si la opción Reset Database (Restablecer base de datos) está seleccionada al ampliar, se establece la configuración de fecha y hora predeterminada descrita anteriormente. • Siempre debe haber al menos un servidor NTP válido especificado en la página Date and Time Settings (Configuración de fecha y hora) de McAfee Advanced Threat Defense. Puede agregar, editar o eliminar la lista de servidores NTP especificados en McAfee Advanced Threat Defense. • En función del acceso del que disponga McAfee Advanced Threat Defense, puede especificar servidores NTP públicos o locales de su red. • Puede especificar el nombre de dominio o la dirección IPv4 de los servidores NTP. Si especifica los nombres de dominio, debe establecer la configuración DNS en McAfee Advanced Threat Defense. Si especifica servidores NTP públicos, se recomienda usar nombres de dominio en lugar de direcciones IP. El dominio de un servidor NTP público podría resolver direcciones IP diferentes en función de distintos factores. • Ya sea que active la sincronización con servidores NTP o que establezca fecha y hora manualmente, debe seleccionar la zona horaria deseada en la página Date and Time Settings (Configuración de fecha y hora). Si configura un servidor NTP, McAfee Advanced Threat Defenseconsidera la fecha y hora del servidor NTP únicamente. Pero usa la zona horaria especificada en la página de configuración de fecha y hora. • • La fecha y hora en un cliente de McAfee Advanced Threat Defense no tiene efecto alguno en las marcas de tiempo mostradas. Supongamos que McAfee Advanced Threat Defense Appliance marca como hora actual las 10 a.m. PST (UTC-8). Independientemente de la zona horaria desde la que acceda a McAfee Advanced Threat Defense Appliance, todas las marcas de tiempo se mostrarán en PST únicamente. Esto significa que las marcas de tiempo no se convierten en función de la configuración de fecha y hora del cliente. • Cuando se cambia la configuración de fecha y hora actual, también se cambia según corresponda la marca de tiempo de todos los registros antiguos. Suponga que la zona horaria actual es PST (UTC-8) y usted la cambia a la Hora Estándar de Japón (UTC+9). La marca de tiempo de los registros antiguos se convertirá a la Hora Estándar de Japón (JST). Por ejemplo, suponga que la marca de tiempo en un registro de la página Analysis Status (Estado del análisis) mostraba la 01:00 PST antes de cambiar la zona horaria. Después de cambiarla a JST, la marca de tiempo del mismo registro mostrará las 18:00 JST. • La configuración de fecha y hora de las máquinas virtuales analizadoras se sincroniza inmediatamente con la fecha y hora de McAfee Advanced Threat Defense Appliance. McAfee Advanced Threat Defense 3.4.2 Guía del producto 267 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración de los ajustes de fecha y hora Procedimiento 1 Seleccione Manage (Administrar) | Date and Time Settings (Configuración de fecha y hora). Se muestra la página Date and Time Settings (Configuración de fecha y hora). 268 McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense para análisis de malware Configuración de los ajustes de fecha y hora 2 6 Introduzca la información adecuada en los respectivos campos y haga clic en Submit (Enviar) en las secciones afectadas por separado. Nombre de la opción Definición Enable Network Time Protocol (Activar protocolo de tiempo de la red) Seleccione esta opción si desea que McAfee Advanced Threat Defense actúe como cliente NTP. De forma predeterminada, está seleccionada. Priority (Prioridad) Este es el orden de prioridad asignado a los servidores NTP. Durante el intervalo programado, McAfee Advanced Threat Defense intentará sincronizar con el primer servidor NTP. Si no estuviera disponible, intentará sincronizar con el segundo y, luego, con el tercero. NTP Server Name (Nombre del servidor NTP) Especifique el nombre de dominio o las direcciones IPv4 de los servidores NTP en el orden de prioridad en el que McAfee Advanced Threat Defense debería sincronizar con ellos. Si introduce nombres de dominio, asegúrese de haber establecido la configuración DNS correctamente. Para establecer la hora manualmente en McAfee Advanced Threat Defense, anule la selección. Siempre debe haber al menos un servidor NTP disponible configurado. Delete (Eliminar) Seleccione esta opción si desea eliminar un servidor NTP de la lista. Status (Estado) Indica si un servidor NTP concreto está disponible o no. Verde significa que el servidor está disponible y rojo, que no lo está. McAfee Advanced Threat Defense 3.4.2 Guía del producto 269 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware Nombre de la opción Definición Date/Time (Fecha/Hora) Para especificar fecha y hora manualmente en McAfee Advanced Threat Defense, anule la selección de Enable Network Time Protocol (Activar protocolo de tiempo de la red) y haga clic en Submit (Enviar) en Network Time Protocol (Protocolo de tiempo de la red). Especifique la fecha y hora en los campos correspondientes y, luego, haga clic en Submit (Enviar) en Date and Time Settings (Configuración de fecha y hora). Select Time-zone (Seleccionar zona horaria) Seleccione la zona horaria deseada en la lista y haga clic en Submit (Enviar) en Time-zone Setting (Configuración de zona horaria). La zona horaria predeterminada es la Hora del Pacífico. Submit (Enviar) Implementa los cambios realizados en las secciones correspondientes de la página Date and Time Settings (Configuración de fecha y hora) y los guarda en la base de datos. Cuando haga clic en Submit (Enviar) para el protocolo de tiempo de la red, se mostrará un mensaje que indica que la operación se ha realizado correctamente. Si hace clic en OK (Aceptar) en el cuadro del mensaje, McAfee Advanced Threat Defense comprueba si puede conectarse a los servidores NTP especificados y actualiza el Status (Estado) según corresponda para cada servidor NTP. Debe hacer clic en Submit (Enviar) por separado para cada sección afectada. Por ejemplo, si realiza cambios en la lista de servidores NTP y, además, cambia la zona horaria, debe hacer clic en Submit (Enviar) en Network Time Protocol (Protocolo de tiempo de la red) y en Time-zone Setting (Configuración de zona horaria) por separado. Defina reglas YARA personalizadas para identificar malware YARA es una herramienta basada en reglas para identificar y clasificar malware. McAfee Advanced Threat Defense le permite usar sus propias reglas YARA para identificar y clasificar malware. Puede importar sus propias descripciones de malware a McAfee Advanced Threat Defense. Las reglas YARA 270 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware también le permiten personalizar las funciones de detección de McAfee Advanced Threat Defense según sus requisitos. Por ejemplo, puede usar reglas YARA si quiere que ciertas operaciones del registro se notifiquen en informes con un determinado nivel de gravedad, en lugar del nivel predeterminado asignado por McAfee Advanced Threat Defense. También puede definir reglas YARA para malware de día cero o casi cero. Puede escribir sus reglas YARA o usar reglas YARA de otros. En esta sección, la palabra muestra se aplica tanto a archivos como a URL que se envíen aMcAfee Advanced Threat Defense para análisis de malware. Las reglas YARA personalizadas pueden guardarse en un archivo de texto. Se puede asignar a ese archivo un nombre que facilite el rastreo de modificaciones a su conjunto de reglas YARA. Debe importar el archivo de texto a McAfee Advanced Threat Defense a través de la interfaz de usuario de aplicación web. Internamente, estas reglas se guardan en un archivo denominado custom.yara. Si ha activado todas las opciones de análisis con reglas YARA personalizadas, McAfee Advanced Threat Defense procesa los archivos de muestra y las URL en el siguiente orden de prioridad: 1 Lista blanca local 2 Lista negra local 3 McAfee GTI 4 McAfee Gateway Anti-Malware Engine 5 McAfee Anti-Malware Engine 6 Análisis dinámico McAfee Advanced Threat Defense 3.4.2 Guía del producto 271 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware 7 Reglas YARA personalizadas: son reglas YARA administradas por el usuario. 8 Reglas YARA internas: son reglas YARA definidas por McAfee y actualizadas únicamente durante ampliaciones del software McAfee Advanced Threat Defense, si es necesario. Usted no puede ver ni descargar estas reglas. McAfee Advanced Threat Defense comprueba una muestra con las reglas YARA solo si la muestra se analiza dinámicamente. Figura 6-8 Una regla YARA de muestra Después de importar sus reglas YARA a McAfee Advanced Threat Defense, la detección y la clasificación de malware también se basarán en estas reglas. El resultado de gravedad final de un análisis de muestra se determina como valor máximo de métodos de análisis mencionados anteriormente, incluidas las reglas YARA personalizadas. Figura 6-9 Calificación final influida por la calificación de reglas YARA personalizadas Consideraciones 272 • McAfee Advanced Threat Defense admite reglas YARA personalizadas solo desde la versión McAfee Advanced Threat Defense 3.2.0. • McAfee Advanced Threat Defense 3.2.0 es compatible únicamente con YARA 1.0. Por lo tanto se admiten todas las funciones YARA documentadas en el manual del usuario para la versión 1.0 de YARA. McAfee Advanced Threat Defense 3.4.2 Guía del producto Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware 6 • En una configuración de clúster de McAfee Advanced Threat Defense, cada nodo mantendrá su propio conjunto de reglas YARA personalizadas. Es decir, las reglas YARA personalizadas que defina en el nodo principal no se enviarán automáticamente a los nodos secundarios. • No existe límite del número de reglas que puede incluir en su archivo de reglas YARA personalizadas. Tampoco existe un límite para el tamaño de este archivo. Pero tenga en cuenta que el número de reglas y su complejidad podría afectar al rendimiento de McAfee Advanced Threat Defense. Creación del archivo de reglas YARA personalizadas Antes de empezar • Conoce las funciones de YARA actualmente compatibles con McAfee Advanced Threat Defense. • Ha identificado el registro de API de usuario de la muestra que quiere usar como referencia para crear sus propias reglas YARA. McAfee Advanced Threat Defense aplica las reglas YARA personalizadas al registro de API de usuario de una muestra analizada. Por lo tanto, para crear reglas YARA personalizadas con las que detectar un comportamiento específico, puede usar el registro de API de usuario de una muestra que haya causado el mismo comportamiento. Puede usar reglas YARA para detectar DLL de tiempo de ejecución, operaciones de archivo, operaciones del registro, operaciones de proceso y otras operaciones notificadas en un informe de resumen para una muestra. Por ejemplo, para detectar una DLL de tiempo de ejecución específica, examine un registro de API de usuario de una muestra y escriba una regla YARA para esa DLL. Procedimiento 1 Cree un archivo de texto y ábralo en un editor de texto como, por ejemplo, Windows Notepad. 2 Introduzca los comentarios en el archivo de texto para rastrear las API o los datos que sean recursos de sus reglas YARA. Figura 6-10 Comentarios para el archivo de reglas YARA personalizadas 3 Escriba la primera regla y asígnele un nombre. 4 Introduzca los metadatos de la regla. Los metadatos son obligatorios para reglas estándar y opcionales para reglas de aplicación auxiliar. En lo que respecta a reglas YARA personalizadas, los metadatos pueden contener valores declasificación, descripción y gravedad. Use un formato [nombre de campo de metadatos] = McAfee Advanced Threat Defense 3.4.2 Guía del producto 273 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware [cadena/valor] para definir estos tres campos de metadatos. Estos campos no distinguen entre mayúsculas y minúsculas. Figura 6-11 Metadatos para una regla YARA personalizada a (Opcional) Introduzca el valor de clasificación para la regla YARA. La clasificación hace referencia a la categoría de clasificación de malware a la que pertenece la regla de comportamiento. Use los datos citados a continuación para calcular el valor de clasificación. Clasificación Valor Persistence, Installation Boot Survival (Persistencia, Supervivencia a reinicio) 1 Hiding, Camouflage, Stealthiness, Detection and Removal Protection (Ocultación, Camuflaje, Sigilo y Protección contra la detección y eliminación)) 2 Security Solution / Mechanism bypass, termination and removal, Anti Debugging, VM Detection (Solución de seguridad / Omisión de mecanismos, terminación y eliminación, Anti-depuración, Detección de máquina virtual) 4 Spreading (Diseminación) 8 Exploiting, Shellcode (Explotación, Código shell) 16 Networking (Comportamiento en la red) 32 Data spying, Sniffing, Keylogging, Ebanking Fraud (Espionaje de datos, Rastreo, Captura de pulsaciones del teclado, Fraude bancario) 64 Por ejemplo, si una regla YARA describe un malware que ha mostrado comportamientos de diseminación (valor 8), supervivencia a reinicio (valor 1) y comportamiento en la red (valor 32), el resultado total de la clasificación es 8+1+32 = 41. b Introduzca la descripción de la regla, que se muestra en los informes de análisis. Figura 6-12 Nombre y descripción de la regla YARA en los informes 274 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware c Introduzca un valor de gravedad para el comportamiento descrito por la regla YARA. El valor de gravedad debe ser un número entero de 1 a 5, donde 5 corresponde al comportamiento más malicioso. Los valores de gravedad son irrelevantes para las reglas de aplicación auxiliar. 5 En la página Analysis Results (Resultados del análisis), abra el informe de registro de API de usuario para la muestra, que usará como referencia para crear las reglas YARA. Figura 6-13 Registro de API de usuario como referencia para reglas YARA personalizadas 6 Introduzca las cadenas y condiciones usando la sintaxis de YARA. Figura 6-14 Una regla YARA personalizada 7 Agregue reglas según se requieran en el mismo archivo de texto YARA personalizado y guárdelo. El siguiente paso consiste en importar este archivo a McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 275 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware Importación del archivo de reglas YARA personalizadas Antes de empezar Ha definido sus reglas YARA en un archivo de texto como se describe en Creación del archivo de reglas YARA personalizadas en la página 273. Después de crear sus reglas YARA en un archivo de texto, debe importar ese archivo a McAfee Advanced Threat Defense mediante la aplicación web McAfee Advanced Threat Defense. Después de importar los archivos de reglas YARA personalizadas, si las ha activado, McAfee Advanced Threat Defense incluye esas reglas en su mecanismo de detección de malware. Procedimiento 1 Seleccione Manage (Administrar) | Custom YARA Rules (Reglas YARA personalizadas). 2 Seleccione la casilla Enable YARA Rules (Activar reglas YARA). Seleccione esta casilla si importa un archivo de texto YARA personalizado. Si es preciso, posteriormente puede desactivar sus reglas YARA personalizadas. 3 Haga clic en Browse (Examinar) y localice el archivo de texto YARA personalizado que ha creado. 4 Haga clic en Submit (Enviar) para importar el archivo. Si el archivo se importa correctamente, aparece un mensaje. Si hay errores de sintaxis en las reglas YARA, las reglas no se importarán. Verá un mensaje de error y podrá comprobar los detalles correspondientes en el registro del sistema. Supongamos que falta una barra diagonal inversa de cierre en una cadena de regla de expresión regular. Al importar el archivo YARA que contenga la regla personalizada, aparecerá un mensaje de error. Figura 6-15 Mensaje indicador de un error de sintaxis Seleccione Manage (Administrar) | System Log (Registro del sistema) para abrir el registro del sistema, donde encontrará detalles de los errores. Figura 6-16 Detalles del error Activación y desactivación de reglas YARA personalizadas Antes de empezar Ha importado el archivo de texto YARA personalizado a McAfee Advanced Threat Defense. 276 McAfee Advanced Threat Defense 3.4.2 Guía del producto 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware Después de importar las reglas YARA personalizadas, puede desactivarlas cuando no se necesiten, por ejemplo, para realizar tareas de solución de problemas. Pero tenga en cuenta que la desactivación de las reglas YARA personalizadas es aplicable a todas las muestras analizadas por McAfee Advanced Threat Defense. Posteriormente podrá activar las reglas YARA personalizadas. Procedimiento 1 Seleccione Manage (Administrar) | Custom YARA Rules (Reglas YARA personalizadas). 2 Seleccione o anule la selección de la casilla Enable YARA Rules (Activar reglas YARA). Si desea activar las reglas YARA actualmente presentes en la base de datos de McAfee Advanced Threat Defense, seleccione la casilla Enable YARA Rules (Activar reglas YARA) y haga clic en Submit (Enviar). No hace falta volver a importar el archivo de texto de reglas YARA personalizadas. Modificar reglas YARA personalizadas Antes de empezar Ha importado el archivo de texto YARA personalizado a McAfee Advanced Threat Defense. Después de importar las reglas YARA personalizadas, es posible que desee agregar más reglas o modificar algunas de las reglas existentes. Por ejemplo, es posible que desee cambiar el valor de gravedad de una regla. Procedimiento 1 Seleccione Manage (Administrar) | Custom YARA Rules (Reglas YARA personalizadas). 2 Haga clic en Download YARA Rule File (Descargar archivo de reglas YARA) para descargar el archivo custom.yara de la base de datos de McAfee Advanced Threat Defense a su cliente. Como referencia, se proporciona la marca de tiempo de la última importación del archivo custom .yara a McAfee Advanced Threat Defense. 3 Abra el archivo custom.yara descargado en un editor de texto y haga los cambios necesarios, como añadir nuevas reglas, eliminar una regla existente o modificar una regla existente. Cuando termine, guarde el archivo. Puede cambiar el nombre de este archivo según sus requisitos. 4 Importe el archivo de reglas YARA personalizadas modificado a McAfee Advanced Threat Defense. Consulte Importación del archivo de reglas YARA personalizadas en la página 276. McAfee Advanced Threat Defense 3.4.2 Guía del producto 277 6 Configuración de McAfee Advanced Threat Defense para análisis de malware Defina reglas YARA personalizadas para identificar malware 278 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Tras configurar McAfee Advanced Threat Defense, podrá cargar archivos y localizadores universales de recursos (URL) para su análisis. Puede supervisar el estado del análisis de malware mediante la aplicación web McAfee Advanced Threat Defense y luego ver los resultados. Contenido Analizar archivos Analizar URL Configurar la página Analysis Status (Estado de análisis) Ver los resultados del análisis Trabajar con el panel McAfee Advanced Threat Defense Analizar archivos • Puede seguir los métodos siguientes para enviar archivos: • Cargue el archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense. • Cargue el archivo al servidor FTP alojado en McAfee Advanced Threat Defense Appliance. • Use las API RESTful de la aplicación web McAfee Advanced Threat Defense para cargar el archivo. Consulte la Guía de referencia de las API RESTful de McAfee Advanced Threat Defense. • Integrar McAfee Advanced Threat Defense con Network Security Platform y McAfee Web Gateway. A continuación, estas aplicaciones envían muestras automáticamente a McAfee Advanced Threat Defense. Consulte la documentación correspondiente. • El tamaño de archivo máximo permitido es de 128 MB si utiliza la aplicación web McAfee Advanced Threat Defense, sus API RESTful o McAfee Web Gateway. En el caso de archivos comprimidos y archivos APK, el tamaño máximo admitido es de 25 MB. • Si utiliza Network Security Platform, el tamaño de archivo máximo permitido es de 25 MB. • McAfee Advanced Threat Defense admite Unicode para los nombres de los archivos de las muestras. Así pues, los nombres de los archivos pueden contener caracteres no ingleses y algunos caracteres especiales exceptuando \'"`<>|; ()[]*?#$&: • El nombre de archivo puede tener hasta 200 bytes. McAfee Advanced Threat Defense 3.4.2 Guía del producto 279 7 Análisis de malware Analizar archivos Tabla 7-1 Tipos de archivos compatibles Tipos de archivo Análisis estático Análisis dinámico Archivos ejecutables (PE) de 32 bits (.exe, .dll, .scr, .ocx, .sys, .com, .drv, .cpl) (.exe, .dll, .scr, .ocx, .sys, .com, .drv, .cpl) Documentos del conjunto de programas de Microsoft Office (.doc, .docx, .xls, .xlsx .ppt, .pptx y .rtf) (.doc, .docx, .xls, .xlsx .ppt, .pptx y .rtf) Adobe Archivos PDF, archivos de Adobe Flash (SWF) Archivos PDF, archivos de Adobe Flash (SWF) Archivos (.zip, .rar) comprimidos (el tamaño de archivo máximo permitido es de 25 MB) (.zip) Paquete de aplicaciones de Android (.apk) (.apk) Java Archivos Java (JAR), CLASS Archivos Java (JAR), CLASS Archivos de imagen (JPEG, PNG y GIF) No se admiten Cargue archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense Antes de empezar El perfil de analizador requerido está disponible. Cuando use la aplicación web McAfee Advanced Threat Defense para enviar un archivo para su análisis, debe seleccionar un perfil de analizador. Este perfil de analizador tiene prioridad sobre el perfil de analizador predeterminado asociado a su cuenta de usuario. Procedimiento 280 1 Seleccione Analysis (Análisis) | Manual Upload (Carga manual) 2 En la página Manual Upload (Carga manual), especifique los detalles requeridos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Analizar archivos Tabla 7-2 Definiciones de las opciones Opción Definición File (Archivo) Seleccione y arrastre el archivo de malware desde el Explorador de Windows, o haga clic en Browse (Examinar) y selecciónelo. Si desea enviar múltiples archivos, cárguelos en un archivo Zip. • Si desea cargar un archivo Zip protegido por contraseña, asegúrese de que ha introducido la contraseña en el perfil de analizador que desea usar para el análisis. • Si se requiere un análisis dinámico, los archivos del Zip se ejecutarán en diferentes instancias de la máquina virtual analizadora. Si no hay suficientes máquinas virtuales analizadoras disponibles, algunos de los archivos se quedarán en la cola hasta que haya una máquina virtual analizadora disponible. • Dado que cada uno de los archivos dentro del Zip se analiza separadamente, se crearán informes distintos para cada archivo. • McAfee Advanced Threat Defense admite Unicode para los nombres de los archivos de las muestras. Así pues, los nombres de los archivos pueden contener caracteres no ingleses y algunos caracteres especiales exceptuando \'"`<>|; ()[]*?#$&: • El nombre de archivo puede tener hasta 200 bytes. Analyzer Profile (Perfil de analizador) Seleccione el perfil de analizador deseado para la muestra. Advanced (Avanzado) Haga clic para especificar parámetros adicionales para analizar la muestra. Las opciones Advanced (Avanzado) están disponibles solo si envía el archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense. • User Interactive Mode (Modo usuario interactivo): tras la ejecución, algún malware requiere la intervención del usuario. El motivo habitual es el intento por parte del malware de comprobar si está siendo analizado en un recinto aislado. En ausencia de intervenciones del usuario, el malware podría tomar una ruta de ejecución alternativa o incluso suspender completamente su ejecución. Si selecciona esta opción, podrá acceder a la propia máquina virtual analizadora en la que se esté ejecutando el malware y realizar las intervenciones requeridas. Consulte Cargar URL para su análisis en modo usuario interactivo en la página 281. Una vez haya realizado las selecciones necesarias, haga clic en OK (Aceptar). Submit (Enviar) Haga clic para enviar el archivo a McAfee Advanced Threat Defense para su análisis. Procedimientos • Cargar URL para su análisis en modo usuario interactivo en la página 281 Cargar URL para su análisis en modo usuario interactivo Antes de empezar El perfil de analizador requerido está disponible con las opciones de acceso a Internet, malware y recinto aislado seleccionadas. McAfee Advanced Threat Defense 3.4.2 Guía del producto 281 7 Análisis de malware Analizar archivos Para ejecutar completamente algún malware, puede ser necesaria la intervención del usuario. Por ejemplo, una configuración predeterminada en la máquina virtual analizadora podría pausar la ejecución a menos que esa opción se sustituya manualmente. Es posible que algunos archivos muestren cuadros de diálogo, en los que deberá seleccionar o confirmar. El malware presenta dicho comportamiento al intentar determinar si está siendo ejecutado en un recinto aislado. El comportamiento del malware puede variar según la intervención del usuario. Cuando se envían archivos en modo usuario interactivo, la máquina virtual analizadora se abre en una ventana emergente en su equipo cliente y puede proporcionar la información que se le solicite. Puede cargar archivos para su análisis en el modo usuario interactivo. Esta opción solo está disponible cuando carga archivos manualmente desde la aplicación web McAfee Advanced Threat Defense. Para archivos enviados mediante otros métodos, como la carga mediante FTP y los archivos enviados por Network Security Platform, no se respetarán las solicitudes de intervención del usuario que realice el malware. Sin embargo, en la sección Screenshots (Capturas de pantalla) en el informe Analysis Summary (Resumen del análisis) podrá encontrar capturas de pantalla de dichas peticiones. A continuación podrá volver a enviar dichos archivos manualmente en el modo de usuario interactivo, a fin de conocer el comportamiento real del archivo. Dado que la máquina virtual analizadora se abre en una ventana emergente, debe asegurarse de haber desactivado el bloqueador de mensajes emergentes en el navegador. Procedimiento 1 Seleccione Analysis (Análisis) | Manual Upload (Carga manual) 2 En el campo File (Archivo), haga clic en Browse (Examinar) y seleccione el archivo que desea enviar para su análisis o arrastre y coloque el archivo en el cuadro especificado. Figura 7-1 Envíe el archivo 3 282 En el campo Analyzer Profile (Perfil de analizador), seleccione el perfil de analizador requerido de la lista desplegable. McAfee Advanced Threat Defense 3.4.2 Guía del producto Análisis de malware Analizar archivos 4 7 Haga clic en Advanced (Avanzado) y selecciones User Interactive Mode (XMode) (Modo usuario interactivo) (XMode)). Figura 7-2 Selecciones User Interactive Mode (XMode) (Modo usuario interactivo) (XMode)) 5 Haga clic en OK (Aceptar) y luego en Submit (Enviar). La muestra se carga a McAfee Advanced Threat Defense y se muestra un mensaje de operación realizada correctamente con los detalles. Figura 7-3 Mensaje de archivo cargado correctamente 6 Haga clic en OK (Aceptar) en el cuadro de diálogo Uploaded File Successfully (Archivo cargado correctamente). McAfee Advanced Threat Defense 3.4.2 Guía del producto 283 7 Análisis de malware Analizar archivos 7 Debe ir a la página Analysis Status (Estado del análisis) para interactuar con la muestra. Por tanto, haga clic en OK (Aceptar) en el cuadro de mensaje User Interactive Mode (Modo usuario interactivo) y seleccione Analysis (Análisis) | Analysis Status (Estado del análisis) Figura 7-4 Mensaje de modo de usuario interactivo En la página Analysis Status (Estado del análisis), se muestra el botón X-Mode (Modo X) en la columna Status (Estado) para el registro correspondiente. Figura 7-5 X-Mode (Modo X) en la página Analysis Status (Estado del análisis) 8 Haga clic en X-Mode (Modo X) para el registro correspondiente en la página Analysis Status (Estado del análisis). Se abrirá una ventana emergente en su equipo. Según la configuración de seguridad de su navegador y de Java, podrían mostrarse advertencias de seguridad. Tras confirmar las advertencias de seguridad, la máquina virtual analizadora se muestra en la ventana emergente y aparecerán los 284 McAfee Advanced Threat Defense 3.4.2 Guía del producto Análisis de malware Analizar archivos 7 cuadros de diálogo abiertos por la muestra. Puede usar el ratón y el teclado para introducir información. Figura 7-6 Máquina virtual analizadora accesible en una ventana emergente La ejecución del archivo se inicia tan pronto como envíe el archivo. No espera a que abra la máquina virtual analizadora. Es posible que algunos mensajes agoten el tiempo de espera en segundo plano. Para ver la ejecución completa, debe hacer clic en X-Mode (Modo X) en la página Analysis Status (Estado del análisis) sin retrasos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 285 7 Análisis de malware Analizar archivos Cuando se completa la ejecución del archivo, la máquina virtual analizadora cierra sesión automáticamente y puede cerrar la ventana emergente. Figura 7-7 La máquina virtual analizadora cierra sesión Cargar archivos para su análisis mediante SFTP Antes de empezar • Su nombre de usuario tiene privilegios de Acceso FTP. Esto es necesario para acceder al servidor FTP alojado en McAfee Advanced Threat Defense. • Ha creado el perfil de analizador que desea usar. • Ha instalado el cliente FTP en su equipo. Mediante SFTP, puede cargar tipos de archivos compatibles al servidor FTP en McAfee Advanced Threat Defense. De forma predeterminada, FTP no es un protocolo compatible para el envío de muestras. Para usar FTP para cargar archivos, debe activarlo mediante el comando CLI set ftp CLI command. Consulte set ftp en la página 363. Procedimiento 1 286 Abra su cliente de FTP y conecte a McAfee Advanced Threat Defense mediante la siguiente información. • Host (Host): introduzca la dirección IP de McAfee Advanced Threat Defense. • User Name (Nombre de usuario): introduzca su nombre de usuario de McAfee Advanced Threat Defense. • Password (Contraseña): introduzca su contraseña de McAfee Advanced Threat Defense. • Port (Puerto): introduzca 22, que es el puerto estándar para SFTP. Para FTP, introduzca 21. 2 Cargue los archivos desde el sitio local al sitio remoto, ubicado en McAfee Advanced Threat Defense. 3 En la aplicación web McAfee Advanced Threat Defense, seleccione Analysis (Análisis) | Analysis Status (Estado del análisis) para supervisar el estado de los archivos cargados. McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Analizar URL Analizar URL Esta versión permite enviar una URL a Advanced Threat Defense para su análisis de manera similar al envío de archivos para análisis. Advanced Threat Defense analiza la URL en una máquina virtual analizadora determinada por el perfil de usuario e informa de los resultados del análisis del archivo. Advanced Threat Defense solo utiliza la lista negra local y el análisis dinámico para el archivo descargado. Además, informa de la reputación McAfee GTI de la URL. También se analiza el comportamiento del navegador al abrir la URL para detectar actividades maliciosas. Puede enviar URL mediante uno de los siguientes métodos: • Cargue la URL manualmente mediante la aplicación web Advanced Threat Defense. • Use las API RESTful de la aplicación web Advanced Threat Defense para cargar la URL. Consulte la Guía de referencia de las API RESTful de Advanced Threat Defense. Los sitios web maliciosos suelen contener varios tipos de malware. Cuando la víctima visita el sitio web, se descarga malware según las vulnerabilidades del endpoint. Puede crear varias máquinas virtuales analizadoras, cada una con diferentes sistemas operativos, aplicaciones, navegadores y complementos adecuados para su red. Además, si los navegadores y sistemas operativos no están parcheados, puede permitirle analizar el comportamiento de los sitios web. La ventaja de usar Advanced Threat Defense es que puede obtener un informe detallado tanto del comportamiento de los dominios, sitios web y direcciones IP maliciosos conocidos como de los que desconocía. Incluso puede obtener un informe de análisis detallado de sitios no dañinos que se hayan visto comprometidos recientemente. Advanced Threat Defense no analiza URL contenidas en archivos enviados para su análisis. Por ejemplo, cuando Network Security Sensor envía un archivo de Microsoft Word, Advanced Threat Defense analiza el archivo en busca de malware pero no analiza las URL que pueda contener el archivo. ¿Cómo analiza Advanced Threat Defense las direcciones URL? Para analizar las direcciones URL, seleccione un perfil de analizador que tenga activado el acceso tanto a Internet como a un recinto aislado. A continuación se detalla el procedimiento de envío de una dirección URL para su análisis a Advanced Threat Defense: 1 Advanced Threat Defense usa un proceso único para calcular el valor de hash de MD5 de la dirección URL. A continuación, comprueba dicho MD5 con la lista negra local. La lista blanca local no se aplica para las direcciones URL. 2 Se asume que el archivo al que se refiere la dirección URL es de uno de los tipos compatibles. A continuación, Advanced Threat Defense analiza dinámicamente dicho archivo mediante la correspondiente máquina virtual analizadora. Se asume que el MD5 de la dirección URL no se encuentra en la lista negra, o que la opción Run All Selected (Ejecutar todos los seleccionados) se ha seleccionado en el perfil de analizador correspondiente. Las opciones de análisis GTI File Reputation (Reputación de los archivos GTI), Anti-Malware (Antimalware) y Gateway Anti-Malware (Gateway Antimalware) no son relevantes para direcciones URL. McAfee Advanced Threat Defense 3.4.2 Guía del producto 287 7 Análisis de malware Analizar URL 3 Los análisis e informes dinámicos de URL son similares a los de archivos. Se registran todas las actividades en la máquina virtual analizadora, incluidas operaciones del registro, operaciones de proceso, operaciones de archivo, DLL de tiempo de ejecución y operaciones de red. Si la página web descarga archivos dropper, Advanced Threat Defense analiza de forma dinámica estos archivos e incluye los resultados en el mismo informe, en la sección de contenido incrustado/depositado. 4 Si un archivo depositado tiene conexión con otras URL, se comprueba con TrustedSource la reputación y clasificación de URL de todas ellas. Los únicos protocolos admitidos para análisis de URL son HTTP, HTTPS y FTP. Cargue URL para su análisis mediante la aplicación web Advanced Threat Defense Antes de empezar Asegúrese de que el perfil de analizador requerido está disponible con las opciones de acceso a Internet, malware y recinto aislado seleccionadas. Puede cargar las URL mediante dos opciones diferentes según sus requisitos, mediante al aplicación web Advanced Threat Defense. Para cargar URL manualmente, hay disponibles estas opciones: • URL: la URL seleccionada se envía a la máquina virtual analizadora, y el archivo al que lleva la URL se descarga a la máquina virtual analizadora para su análisis. Por ejemplo, cuando un usuario envía la URL http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe, la URL se envía a la máquina virtual analizadora y, a continuación, se descarga el archivo putty.exe la máquina virtual analizadora. • URL Download (Descarga de URL): la URL seleccionada se descarga a Advanced Threat Defense Appliance, a continuación se envía a la máquina virtual analizadora. Por ejemplo, cuando un usuario envía la URL http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe, el archivo putty.exe se descarga a Advanced Threat Defense Appliance y, a continuación, se envía a la máquina virtual analizadora. Cuando use la aplicación web Advanced Threat Defense para enviar una URL para su análisis, seleccione un perfil de analizador. Este perfil de analizador tiene prioridad sobre el perfil de analizador predeterminado asociado a su cuenta de usuario. 288 McAfee Advanced Threat Defense 3.4.2 Guía del producto Análisis de malware Analizar URL 7 Carga manual con la opción URL Procedimiento 1 Seleccione Analysis (Análisis) | Manual Upload (Carga manual). 2 En la página Manual Upload (Carga manual), especifique los detalles requeridos. Figura 7-8 Enviar una URL para análisis de malware Tabla 7-3 Definiciones de las opciones Opción Definición Método de carga de URL Seleccione un método de carga en la lista desplegable: • URL: la URL se analiza directamente en el analizador de máquina virtual. • URL Download (Descarga de URL): el archivo al que hace referencia la URL se descarga a Advanced Threat Defense Appliance, y el archivo descargado se envía al analizador de máquina virtual para su análisis. Solo se admiten HTTP, HTTPS y FTP, por lo que debe especificar el identificador de protocolo en la URL. Se recomienda introducir la URL completa. Cuando Advanced Threat Defense analice dinámicamente la URL, es posible que el navegador añada los elementos que faltan. Por ejemplo, si escribe http://google.com, es posible que el navegador de la máquina virtual analizadora lo cambie a http://www.google .com Analyzer Profile (Perfil de analizador) Seleccione el perfil de analizador deseado para la muestra. McAfee Advanced Threat Defense 3.4.2 Solo se muestran los perfiles de analizador que tienen acceso a Internet de malware y recinto aislado. Guía del producto 289 7 Análisis de malware Configurar la página Analysis Status (Estado de análisis) Tabla 7-3 Definiciones de las opciones (continuación) Opción Definición Advanced (Avanzado) Haga clic para especificar el modo de usuario interactivo para analizar la URL. La opción Advanced (Avanzado) está disponible solo si envía el archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense. Ciertos tipos de malware piden la intervención del usuario durante su ejecución. El motivo habitual es el intento por parte del malware de comprobar si está siendo analizado en un recinto aislado. En ausencia de intervenciones del usuario, el malware podría tomar una ruta de ejecución alternativa o incluso suspender completamente su ejecución. Si selecciona esta opción, podrá acceder a la propia máquina virtual analizadora en la que se esté ejecutando el malware y realizar las intervenciones requeridas. Esto es similar a la ejecución de archivos en el modo usuario interactivo. Consulte Cargar URL para su análisis en modo usuario interactivo en la página 281. Submit (Enviar) Haga clic para enviar la URL a McAfee Advanced Threat Defense para su análisis. Una vez que la URL se ha cargado correctamente, aparece un mensaje. • Nombre de archivo: la URL enviada • Tamaño de archivo: tamaño de la muestra • MD5: el valor de hash de MD5 calculado por Advanced Threat Defense • Tipo MIME 3 Haga clic en Submit (Enviar). Configurar la página Analysis Status (Estado de análisis) Procedimiento 1 Seleccione Analysis (Análisis) | Analysis Status (Estado de análisis). La página Analysis Status (Estado del análisis) lista los estados para los archivos enviados. Figura 7-9 Estado de los archivos enviados para su análisis Si no tiene permisos de administrador, solo podrá ver aquellos archivos que usted haya enviado. Un usuario con permiso de administrador puede ver las muestras enviadas por cualquier usuario. 290 McAfee Advanced Threat Defense 3.4.2 Guía del producto Análisis de malware Configurar la página Analysis Status (Estado de análisis) 2 7 En las listas desplegables, seleccione los criterios para ver y actualizar los estados de los archivos analizados. • Establezca los criterios para mostrar registros en la página Analysis Status (Estado de análisis). El intervalo de actualización predeterminado es 1 minuto. • Establezca la frecuencia con la que la página Analysis Status (Estado de análisis) debe actualizarse. De forma predeterminada, se muestran los resultados de las últimas 24 horas. Puede especificar este criterio basado tanto en el tiempo como en el número de muestras. Por ejemplo, puede elegir ver el estado de los archivos enviados en los últimos 5 minutos o las últimas 100 muestras. Para actualizar la página Analysis Status (Estado de análisis), haga clic en 3 Filtre los registros mostrados para localizar los que desee ver. McAfee Advanced Threat Defense 3.4.2 Guía del producto 291 7 Análisis de malware Configurar la página Analysis Status (Estado de análisis) Tabla 7-4 Opciones de filtrado Opción Definición Search (Buscar) Especifique el parámetro que desea usar para filtrar los registros. Haga clic en Search (Buscar) y seleccione uno o más de los parámetros siguientes: • Establezca los criterios para mostrar registros en la página Analysis Status (Estado de análisis). • File Name (Nombre de archivo): seleccione si desea filtrar según los caracteres iniciales del nombre de archivo. Por ejemplo, si selecciona esta opción y escribe cal como término de búsqueda, se listarán los archivos cuyo estado empiece por cal. • MD5: seleccione si desea filtrar basándose en los caracteres iniciales del valor de hash de MD5. • VM Profile (Perfil de máquina virtual): seleccione esta opción si desea filtrar basándose en los perfiles de máquina virtual disponibles. • File Type (Tipo de archivo): el tipo de formato de archivo enviado para el análisis. • Analyzer Profile: (Perfil de analizador): el perfil del analizador usado para el análisis. Si el archivo solo se ha analizado mediante análisis estático, se mostrará esto. • User (Usuario): el nombre de inicio de sesión del usuario que envió el archivo para su análisis. • Source IP (IP de origen): la dirección IP del host que envió el archivo analizado. Esto solo es relevante para archivos enviados automáticamente por otros productos McAfee como Network Security Platform. • Destination IP (IP de destino): la dirección IP del host de destino. Como en el caso de la IP de origen, esto no es relevante para archivos enviados manualmente. • Job ID (ID de trabajo): número exclusivo asignado a todos los archivos. • Task ID (ID de tarea): número exclusivo asignado a todos los archivos. Los valores de Task ID (ID de tarea) y Job ID (ID de trabajo) son diferentes para los archivos comprimidos, e iguales para los archivos sin comprimir. • URL: lista de URL enviadas para el análisis. Introduzca el término de búsqueda en el cuadro de texto adyacente. Case Sensitive (Distinguir mayúsculas y minúsculas) Seleccione esta opción si desea que la búsqueda distinga entre mayúsculas y minúsculas. Supongamos que ha seleccionado File Name (Nombre de archivo) y Status (Estado) como criterios, y que luego ha seleccionado Case Sensitive (Distinguir entre mayúsculas y minúsculas), y escrito Com. Se listarán todos los registros con el estado completado y los archivos cuyo nombre empiece con los caracteres Com. 292 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Configurar la página Analysis Status (Estado de análisis) Tabla 7-5 Definiciones de las columnas Columna Definición Submitted Time (Hora de envío) La marca de tiempo del momento en que se envió el archivo para su análisis. Status (Estado) El estado actual del análisis. • Waiting (En espera): esto suele indicar que McAfee Advanced Threat Defense está esperando a que una máquina virtual analice dinámicamente el archivo. • Analyzing (En análisis): indica que el análisis aún está en curso. • Completed (Completado): indica que el análisis del archivo ha finalizado. Haga doble clic en el registro para ver el informe completo. 4 File Name (Nombre de archivo) El nombre del archivo que ha enviado para su análisis. VM Profile (Perfil de máquina virtual) El perfil de la máquina virtual usada para el análisis dinámico. Si el archivo solo se ha analizado mediante análisis estático, se mostrará esto. MD5 El valor de hash MD5 para el archivo, calculado por McAfee Advanced Threat Defense. Analyzer Profile (Perfil de analizador) El perfil del analizador usado para el análisis. Si el archivo solo se ha analizado mediante análisis estático, se mostrará esto. User (Usuario) El nombre de inicio de sesión del usuario que envió el archivo para su análisis. Source IP (IP de origen) La dirección IP del host que envió el archivo analizado. Esto solo es relevante para archivos enviados automáticamente por otros productos McAfee como Network Security Platform. Destination IP (IP de destino) La dirección IP del host de destino. Como en el caso de la IP de origen, esto no es relevante para archivos enviados manualmente. Oculte las columnas que no desee ver. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b Seleccione Columns (Columnas). c Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 5 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). De forma predeterminada, los registros se muestran en orden descendente de acuerdo con los valores de la columna Submitted Time (Hora de envío). 6 Para guardar la configuración de la página Analysis Status (Estado de análisis), haga clic en McAfee Advanced Threat Defense 3.4.2 Guía del producto 293 7 Análisis de malware Ver los resultados del análisis Ver los resultados del análisis Tras enviar un archivo para su análisis, puede ver los resultados en la página Analysis Results (Resultados del análisis). Los informes antiguos se borran cuando el disco da datos de McAfee Advanced Threat Defense alcanza el 75 % de su capacidad. El espacio actual disponible en el disco de datos se puede ver en el monitor System Health (Mantenimiento del sistema) del Dashboard (Panel). Si configura las opciones en FTP Result Output (Salida resultante de FTP) en la página User Management (Administración de usuarios), entonces McAfee Advanced Threat Defense guarda los resultados localmente además de mandarlos al servidor FTP configurado para uso a largo plazo. Procedimiento 1 Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). La página Analysis Results (Resultados del análisis) lista los estados para los archivos completados. Figura 7-10 Estado de los archivos enviados para su análisis Si no tiene permisos de administrador, solo podrá ver aquellos archivos que haya enviado usted mismo. Un usuario con permiso de administrador puede ver las muestras enviadas por cualquier usuario. Haga clic en Export CSV (Exportar CSV) para exportar localmente el estado de los archivos completados en formato CSV. 2 Especifique los criterios para ver y actualizar los registros de la página Analysis Results (Resultados del análisis). a Establezca los criterios para mostrar registros en la página Analysis Status (Estado del análisis). De forma predeterminada, se mostrará el estado de los archivos completados en las últimas 24 horas. Puede especificar este criterio basado tanto en el tiempo como en el número de muestras. Por ejemplo, puede elegir ver el estado de los archivos cuyo análisis se completó en los últimos 5 minutos o los últimos 100 archivos completados. b Establezca la frecuencia con la que la página Analysis Status debe actualizarse. El intervalo de actualización predeterminado es 1 minuto. c 294 Para actualizar la página Analysis Status (Estado del análisis), haga clic en McAfee Advanced Threat Defense 3.4.2 . Guía del producto 7 Análisis de malware Ver los resultados del análisis Tabla 7-6 Definiciones de las columnas Columna Reports (Informes) Definición Haga clic en muestra. para mostrar los tipos de informes disponibles para la Haga clic en cualquiera de los informes disponibles para ver los detalles correspondientes. Un determinado informe estará disponible solo si es relevante en el caso del archivo analizado y se ha seleccionado en el correspondiente perfil de analizador. • Analysis Summary (HTML) (Resumen del análisis (HTML)): este informe está disponible para todos los tipos de archivo. Este informe también se mostrará cuando haga doble clic en un registro. • Analysis Summary (PDF) (Resumen del análisis (PDF)): selecciónelo para ver el informe en PDF. • Dropped Files (Archivos depositados): seleccione este informe para ver los archivos creados por la muestra durante el análisis dinámico. • Disassembly Results (Resultados del desensamblaje): selecciónelo para ver el código en lenguaje ensamblador obtenido del archivo mediante ingeniería inversa. Este informe solo es relevante para muestras de tipo .exe y .dll. • Logic Path Graph (Gráfico de ruta lógica): selecciónelo para ver una representación gráfica de qué subrutinas se han ejecutado durante el análisis dinámico y cuáles no. • Dynamic Execution Logs (Registros de ejecución dinámica): selecciónelo para ver las llamadas de nivel de usuario de Windows a las API DLL realizadas directamente por la muestra durante el análisis dinámico. • Complete Results (Resultados completos): haga clic para descargar al equipo local el archivo Zip que contiene todos los tipos de informe. • Original Sample (Muestra original): haga clic para descargar la muestra que se envió originalmente. Submitted Time (Hora La marca de tiempo del momento en que se envió el archivo para su análisis. de envío) McAfee Advanced Threat Defense 3.4.2 Guía del producto 295 7 Análisis de malware Ver los resultados del análisis Tabla 7-6 Definiciones de las columnas (continuación) Columna Definición Severity (Gravedad) La gravedad del archivo enviado. File Name (Nombre del archivo) El nombre del archivo que ha enviado para su análisis. User (Usuario) El nombre de inicio de sesión del usuario que envió el archivo para su análisis. Analyzer Profile (Perfil El perfil del analizador usado para el análisis. de analizador) VM Profile (Perfil de máquina virtual) El perfil de la máquina virtual usada para el análisis dinámico. Si solo se realizó análisis estático, esto es lo que se mostrará. Hash El valor de hash MD5 para el archivo, calculado por McAfee Advanced Threat Defense. File Size (Tamaño de El tamaño del archivo analizado en KB. archivo) 3 Source IP (IP de origen) La dirección IP del host que envió el archivo analizado. Esto solo es relevante para archivos enviados automáticamente por otros productos McAfee como Network Security Platform. Destination IP (IP de destino) La dirección IP del host de destino. Como en el caso de la IP de origen, esto no es relevante para archivos enviados manualmente. Elija las columnas que desee ocultar. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b Seleccione Columns (Columnas). c Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 4 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). De forma predeterminada, los archivos de muy alta gravedad se muestran en la parte superior de la lista. 5 Para guardar la configuración de la página Analysis Results (Estado del análisis), haga clic en Ver el informe Analysis Summary (Resumen del análisis) El informe Analysis Summary (Resumen del análisis) es un sumario ejecutivo que detalla los comportamientos clave del archivo de muestra. Este informe está disponible en formatos HTML, de texto, PDF, XML, JSON, Open Indicators of Compromise (OpenIOC), y Structured Threat Information eXpression (STIX). Los formatos HTML, de texto y PDF están pensados para permitir la revisión del informe de análisis. Puede acceder a los formatos HTML y PDF desde la aplicación web McAfee Advanced Threat Defense. Los formatos HTML y de texto también están disponibles en el archivo reports.zip de la muestra, que puede descargar a su equipo cliente. 296 McAfee Advanced Threat Defense 3.4.2 Guía del producto Análisis de malware Ver los resultados del análisis 7 Los archivos XML y JSON proporcionan etiquetas para comportamientos conocidos de malware, que permiten que un script de alto nivel extraiga información clave. Network Security Platform y McAfee Web Gateway usan el formato JSON para mostrar los detalles del informe en sus interfaces de usuario. Si la calificación de gravedad es de 3 o superior, entonces el informe Analysis Summary (Resumen del análisis) está disponible en formatos OpenIOC (.ioc) y STIX (.stix.xml). Los formatos OpenIOC y STIX son formatos reconocidos universalmente para compartir información sobre amenazas. Estos formatos hacen posible compartir eficazmente los informes Analysis Summary (Resumen del análisis) con otras aplicaciones de seguridad para comprender, detectar y contener mejor el malware. Por ejemplo, puede enviar manualmente los informes OpenIOC y STIX a una aplicación, que puede consultar a los hosts por los indicadores del informe. De esta forma, puede detectar los hosts infectados y, a continuación, realizar las acciones necesarias para contener y quitar el malware. Para obtener información genérica sobre OpenIOC, consulte http://www.openioc.org/. Por lo que respecta a STIX, puede consultar https://stix.mitre.org/. El informe Analysis Summary (Resumen del análisis) en formatos OpenIOC y STIX está disponible en el archivo zip Complete Results (Resultados completos) para la muestra. Procedimiento 1 Use lo siguiente para acceder al informe Analysis Summary (Resumen del análisis) en la aplicación web McAfee Advanced Threat Defense: a Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). b Para ver el informe en formato HTML, haga clic en Summary (HTML) (Resumen del análisis (HTML)). y, a continuación, seleccione Analysis También puede hacer doble clic en el registro deseado. c 2 Para ver el informe en formato PDF, haga clic en (Resumen del análisis (PDF)). y, a continuación en Analysis Summary (PDF) Para acceder al informe Analysis Summary (Resumen del análisis) desde el archivo reports.zip, haga lo siguiente: a Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). b Haga clic en c Guarde los informes comprimidos en su equipo local. y seleccione Complete Results (Resultados completos). El nombre del archivo Zip depende del nombre del archivo de muestra. d Extraiga los contenidos del archivo Zip. La carpeta AnalysisLog contiene el informe de análisis en los formatos HTML, texto, XML y JSON. Si la calificación de gravedad es de 3 o superior, entonces también contendrá los formatos OpenIOC y STIX. Puede identificar estos archivos por el nombre de archivo del malware. El nombre de archivo del malware se agrega a _summary.html, _summary.json, _summary.txt, _summary.xml, _summary.ioc y _summary.stix.xml. McAfee Advanced Threat Defense 3.4.2 Guía del producto 297 7 Análisis de malware Ver los resultados del análisis Las diferentes secciones del formato HTML del informe de resumen de análisis aparecen reseñadas a continuación. Figura 7-11 Informe Analysis Summary (Resumen del análisis) 298 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Ver los resultados del análisis Tabla 7-7 Secciones del informe Analysis Summary Elemento Descripción 1 Esta sección muestra los detalles del archivo de muestra. Incluye el nombre, valor de hash y tamaño de archivo en bytes. 2 Sección Sección Analysis Results (Resultados del análisis) en la página 300 (Resultados del análisis). Esta sección proporciona los resultados de los métodos usados para el archivo. Esta sección también muestra el nivel de gravedad del archivo. 3 Sección Sección Analysis Environment (Entorno de análisis) en la página 301 (Entorno de análisis). Esta sección incluye detalles acerca de la máquina virtual analizadora, las propiedades del archivo y demás. 4 Procesos analizados en esta muestra. Esta sección lista todos los archivos que se ejecutaron durante el análisis dinámico del archivo de muestra. También proporciona la razón de ejecución de cada archivo, así como su calificación de gravedad. La columna Reason (Razón) indica qué otros archivos o procesos han creado o abierto este archivo. Si solo hay un archivo en la muestra, la razón mostrada será loaded by MATD Analyzer (cargado por el analizador MATD). Si el archivo de muestra es un Zip que contiene múltiples archivos o si un archivo abre otros archivos, la razón para el primer archivos será created by <file name> & loaded by MATD Analyzer (creado por <nombre de archivo> y enviado por analizador MATD). Para los siguientes archivos, la columna Reason (Razón) indica todos los archivos o procesos que lo han creado o abierto. La columna Level (Nivel) indica el nivel de gravedad basándose en el análisis dinámico de cada archivo. • : indica una calificación de gravedad de 0 y un nivel de amenaza meramente informativo. Esta es la gravedad para los archivos de la lista blanca. • : indica una calificación de gravedad de 1 y un nivel de amenaza muy bajo. • : indica una calificación de gravedad de 2 y un nivel de amenaza bajo. • : indica una calificación de gravedad de 3 y un nivel de amenaza medio. • : indica una calificación de gravedad de 4 y un nivel de amenaza alto. • : indica una calificación de gravedad de 5 y un nivel de amenaza muy alto. Haga clic en un nombre de archivo para navegar hasta la sección del informe que proporciona detalles sobre el comportamiento de ese archivo. De esta manera, cuando haga clic en un nombre de archivo, se le llevará a la sección indicada como 7 en la ilustración anterior. 5 Sección Sección Classification / threat score (Clasificación / calificación de amenaza) en la página 301 (Clasificación/calificación de gravedad). Esta sección proporciona las calificaciones de seguridad individuales para varias características de un malware típico. McAfee Advanced Threat Defense 3.4.2 Guía del producto 299 7 Análisis de malware Ver los resultados del análisis Tabla 7-7 Secciones del informe Analysis Summary (continuación) Elemento Descripción 6 Sección análisis dinámico. Esta sección muestra el porcentaje del código del archivo que se ejecutó. Por ejemplo, un archivo puede haber tomado una ruta alternativa durante su ejecución debido a que parte del código no se ha ejecutado. Esta sección también proporciona un breve resumen ejecutivo del comportamiento del archivo, con sus correspondientes niveles de gravedad. indica un comportamiento de gravedad muy baja. indica un comportamiento de gravedad baja. indica un comportamiento de gravedad media. indica un comportamiento de gravedad alta. indica un comportamiento de gravedad muy alta. 7 Sección detalles de operación. Esta sección proporciona información detallada acerca de todas las operaciones realizadas por la muestra durante el análisis dinámico. Estas operaciones aparecen agrupadas bajo los grupos correspondientes. Expanda cada grupo para ver las operaciones específicas. Por ejemplo, expanda Files Operations (Operaciones de archivos) para ver los archivos o directorios creados, quitados, modificados o leídos y demás. 8 GTI File Reputation (Reputación de los archivos GTI). Proporciona la reputación McAfee GTI y gravedad para la URL. 9 Actividad de red. Esta sección proporciona los detalles de cada operación de red realizada por un archivo durante el análisis dinámico. 10 Sección capturas de pantalla. Esta sección muestra todas las ventanas emergentes aparecidas durante el análisis dinámico. Viendo estas capturas de pantalla, puede determinar si se requiere la intervención del usuario durante el análisis dinámico para conocer el verdadero comportamiento del archivo. Si se requiere dicha intervención, puede enviar el archivo manualmente en el modo usuario interactivo. Sección Analysis Results (Resultados del análisis) Esta es una sección del informe Analysis Summary (Resumen del análisis). En esta sección puede ver qué métodos han informado de que un archivo de muestra contiene malware. Tabla 7-8 Selecciones de análisis Etiqueta Descripción Engine (Motor) Estos son los métodos posibles que McAfee Advanced Threat Defense usa para analizar un archivo. • GTI File Reputation (Reputación de los archivos GTI): Indica McAfee GTI que está en la nube. • Gateway Anti_Malware: Indica motor McAfee Gateway Anti-Malware Engine. • Anti-Malware: Indica motor McAfee Anti-Malware Engine. • Sandbox (recinto aislado): Indica que el archivo se ha ejecutado en una máquina virtual analizadora. Consulte la sección Analysis Environment (Entorno de Análisis) dentro del informe para ver los detalles de esa máquina virtual. Threat Name (Nombre Indica el nombre del malware conocido en McAfee GTI, motor Gateway Anti-Malware Engine McAfee y motor Anti-Malware EngineMcAfee. de la amenaza) Severity (Gravedad) 300 Indica la calificación de gravedad según varios métodos. La calificación de gravedad final que se asigna a la muestra será igual a la mayor calificación obtenida por los diferentes métodos. McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Ver los resultados del análisis Sección Analysis Environment (Entorno de análisis) Esta es una sección del informe Analysis Summary (Resumen del análisis). En esta sección puede encontrar los siguientes detalles: • Detalles de la correspondiente máquina virtual analizadora, como el sistema operativo, el navegador y la versión, así como las aplicaciones instaladas en la máquina virtual analizadora y sus versiones. Figura 7-12 Sección Analysis Environment (Entorno de análisis) • La hora a la que se envió la muestra según el reloj del dispositivo McAfee Advanced Threat Defense. • El tiempo que se tarda en analizar el archivo y generar los informes. • La tabla de la derecha muestra las propiedades del archivo. Incluye información como: • • Firmados o no firmados para la firma digital del archivo. • Nombre del editor, si está disponible. • Información de la versión • Nombre original del archivo, para que pueda buscar en otras fuentes, como por ejemplo Internet. Baitexe: proceso infectado o no. Al final de cada análisis McAfee Advanced Threat Defense crea un proceso adicional llamado Baitexe. Este programa Baitexe realiza llamadas únicamente a dos API continuamente (beep y sleep). Si el proceso Baitexe se ve infectado por la muestra previamente ejecutada, su comportamiento cambia. En tal caso, se mostrará el mensaje Baitexe activated and infected (Baitexe activado e infectado). Si el proceso Baitexe no se ve infectado, se mostrará el mensaje Baitexe activated but not infected (Baitexe activado pero no infectado). Sección Classification / threat score (Clasificación / calificación de amenaza) Esta es una sección del informe Analysis Summary (Resumen del análisis), que proporciona las calificaciones de gravedad para varias características del malware. Tabla 7-9 Sección Classification / threat score (Clasificación / calificación de amenaza) Etiqueta Descripción Persistence, Installation Boot Survival (Persistencia, Supervivencia a reinicio) Ciertos tipos de malware tiene la capacidad de permanecer en el host infectado. Esto se conoce como persistencia. La supervivencia al reinicio se refiere a la capacidad del malware para permanecer en el equipo incluso tras un reinicio. Hiding, Camouflage, Stealthness, Detection and Removal Protection (Ocultación, Camuflaje, Sigilo, y Protección contra la detección y eliminación) Se refiere a la capacidad del malware para evitar que se detecte y elimine. McAfee Advanced Threat Defense 3.4.2 Guía del producto 301 7 Análisis de malware Ver los resultados del análisis Tabla 7-9 Sección Classification / threat score (Clasificación / calificación de amenaza) (continuación) Etiqueta Descripción Security Solution / Mechanism bypass, termination and removal, Anti Debugging, VM Detection (Solución de seguridad / Omisión de mecanismos, terminación y eliminación, Anti-depuración, Detección de máquina virtual) Se refiere a la capacidad del malware para omitir o burlar a los métodos y motores de detección. Ciertos tipos de malware están dotados de código anti-desensamblaje capaz de confundir o retrasar el análisis de malware. Algunos tipos de malware intentan determinar si están siendo ejecutados en un recinto aislado. Si lo detectan, pueden tratar de hallar una diferente ruta de acceso en la que ejecutarse. Esta calificación indica la presencia de estos tipos de código en el malware. Spreading (Diseminación) Indica la capacidad del malware para esparcirse a través de la red. Exploiting, Shellcode (Explotación, Código shell) Indica la presencia de código shell, que es capaz de explotar un programa en ejecución. Networking (Comportamiento en la red) Indica el comportamiento en la red del malware durante el análisis dinámico. Por ejemplo, el malware puede haber realizado consultas de DNS o haber creado sockets. Si se da una calificación de gravedad para esta característica, compárela con los detalles de Network Operations (Operaciones de red) para los archivos de la muestra. Data spying, Sniffing, Keylogging, Ebanking Indica si el malware es capaz de alguno de estos Fraud (Espionaje de datos, Rastreo, comportamientos. Captura de pulsaciones del teclado, Fraude bancario) Sección Operations details (Detalles de operación) Esta sección proporciona los detalles de cada operación realizada por un archivo durante el análisis dinámico. Se proporcionan secciones separadas para cada archivo que se haya ejecutado como parte de la muestra. 302 • Run-time DLLs (Archivos DLL de tiempo de ejecución): Lista todas las DLL y las rutas de acceso a las que el archivo realizara llamadas durante el tiempo de ejecución. • File operations (Operaciones del archivo): Lista las actividades del archivo, incluidas las operaciones de creación, apertura, consulta, modificación, copia, cambio de ubicación, eliminación y creación/borrado de directorios. Esta sección también lista los atributos de archivo y los valores de hash MD5 de los archivos. • Registry operations: (Operaciones de registro): Proporciona los detalles de las operaciones de registro de Windows, como crear/abrir, eliminar, modificar y realizar consultas en subclaves de registro y puntos de entrada clave. • Process operations (Operaciones de proceso): Detalla las operaciones de proceso, como la creación o terminación de procesos, creación de servicios y la inserción de código en otros procesos. • Networking operations: (Operaciones de red): Detalla las operaciones de red, tales como las consultas DNS, actividades de socket TCP y la descarga de archivos HTTP. • Other operations (Otras operaciones:): Proporciona detalles acerca de las operaciones que no pertenezcan a estas categorías. Algunos ejemplos son los objetos de exclusión mutua, o la obtención de las medidas del sistema y datos de configuración de la máquina virtual analizadora. McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Ver los resultados del análisis Informe Dropped Files (Archivos depositados) Puede descargarse un archivo .zip que contiene todos los archivos que la muestra ha creado o manipulado durante el análisis dinámico. Puede descargar esos archivos mediante uno de los métodos siguientes. • • En la página Analysis Results (Análisis de resultados) (Analysis | Analysis Results), haga clic en y seleccione Dropped Files (Archivos depositados). Descargue el archivo dropfiles.zip, que contiene los archivos que la muestra ha creado en el recinto aislado. Para poder usar esta opción, debe tener activada la opción Dropped Files en el perfil de analizador correspondiente. Después de hacer clic en , seleccione Complete Results (Resultados completos). Descargue el archivo <sample_name>Zip. Este archivo .zip contiene el mismo dropfiles.zip dentro de la carpeta AnalysisLog. Complete Results (Resultados completos) contiene el archivo dropfiles.zip tanto si tiene activada la función Dropped Files (Archivos depositados) en el perfil de analizador correspondiente como si no. Disassembly Results (Resultados de desensamblaje) El informe Disassembly Results (Resultados de desensamblaje) proporciona la lista de salida de desensamblaje para archivos ejecutables portátiles (PE). Este informe se basa en el archivo de muestra una vez que se ha completado el proceso de desempaquetado. Proporciona información detallada acerca del archivo de malware, como por ejemplo la información de encabezado del archivo ejecutable portátil. El informe Disassembly Results incluye la siguiente información: • Fecha y hora de creación del archivo de muestra • Información de ejecutable portátil y encabezado opcional • Información de diversos encabezados de sección • El listado de desensamblaje de Intel Puede ver el informe Disassembly Results en la aplicación web McAfee Advanced Threat Defense o descargarlo como un archivo en el equipo cliente. El contenido del informe es igual con ambos métodos. • Para ver el informe Disassembly Results en la aplicación web McAfee Advanced Threat Defense, seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). En la página Analysis Results (Resultados del análisis), haga clic en y seleccione Disassembly Results (Resultados de desensamblaje). Para usar esta opción, debe tener activada la opción Disassembly Results en el perfil de analizador correspondiente. • Para descargar el informe como archivo, haga clic en la página Analysis Results (Resultados del análisis) y seleccione Complete Results (Resultados completos). Descargue el archivo <sample_name>Zip. Este archivo .zip contiene un archivo denominado <file name>_detail.asm en la carpeta AnalysisLog. Zip Report (Informe comprimido) contiene este archivo .asm tanto si tiene activada la opción Disassembly Results (Resultados de desemsamblaje) en el correspondiente perfil de analizador como si no. El informe Disassembly Results proporciona las instrucciones de ensamblador junto con cualquier nombre de llamada estática estándar, como por ejemplo printf o los nombres de llamada de DLL API de Windows incrustados en el listado. Si en el código se referencian las variables globales como texto de cadena, estos textos de cadena también se mostrarán. McAfee Advanced Threat Defense 3.4.2 Guía del producto 303 7 Análisis de malware Ver los resultados del análisis Tabla 7-10 Una sección de un informe Disassembly Results de muestra Columna 1 Columna 2 Columna 3 :00401010 e8 1f2c0000 call 00403c34 ;;call URLDownloadToFileA La columna 1 muestra la dirección virtual de la instrucción, la columna 2 presenta la instrucción binaria, y la columna 3 muestra la instrucción de ensamblaje con sus comentarios. En el ejemplo anterior, la instrucción call 00403c34 en la ubicación de memoria 00401010 está realizando una llamada funcional a la ubicación de memoria 0x403c34, determinada por la función de llamada a la DLL API del sistema determinada como URLDownloadToFileA(). El comentario mostrado con el ;; en este listado proporciona el nombre de la función de biblioteca. Logic Path Graph (Gráfico de ruta lógica) Este informe es una representación gráfica de las referencias cruzadas de llamadas de función descubiertas durante el análisis dinámico. Este informe permite ver las subrutinas del archivo analizado que se ejecutaron durante el análisis dinámico, así como aquellas potencialmente no ejecutadas. Esta funciones no ejecutadas podrían ser posibles bombas de relojería, esperando a activarse cuando se den las condiciones adecuadas. El informe Logic Path Graph (Gráfico de ruta lógica) está disponible como un archivo GML (Graph Modeling Language). Este archivo está en formato de texto simple ASCII que contiene una representación gráfica de las rutas lógicas de ejecución de la muestra en el formato GML. No puede ver este archivo directamente desde la aplicación web McAfee Advanced Threat Defense, pero puede descargarlo a su equipo cliente. A continuación, use un editor de diseño gráfico compatible con el formato GML, como yWorks yEd Graph Editor. Puede usar el editor para mostrar las referencias cruzadas de todas las funciones, usando el archivo como entrada. Puede descargar el archivo Logic Path Graph mediante uno de los métodos siguientes. • • 304 y En la página Analysis Results (Análisis de resultados) (Analysis | Analysis Results), haga clic en seleccione Logic Path Graph (Gráfico de ruta lógica). A continuación, descargue el archivo <file name>_logicpath.gml. Para usar esta opción, debe tener activada la opción Logic Path Graph (Gráfico de ruta lógica) en el correspondiente perfil de analizador. Después de hacer clic en , seleccione Complete Results (Resultados completos). Descargue el archivo <sample_name>Zip. Este archivo .zip file contiene el mismo archivo <file name>_logicpath.gml en la carpeta AnalysisLog. Zip Report (Informe comprimido) contiene el archivo <file name>_logicpath.gml tanto si tiene activada como si no la opción Logic Path Graph (Gráfico de ruta lógica) en el correspondiente perfil de analizador. McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Ver los resultados del análisis Esta sección usa yWorks yEd Graph Editor para explicar cómo usar el archivo Logic Path Graph GML. En el editor yEd Graph Editor, debe configurar primero Routing Style (Estilo de enrutamiento). Solo necesita hacerlo la primera vez, ya que esta configuración se guarda para posteriores usos. 1 En yEd Graph Editor, seleccione Layout (Diseño) | Hierarchical (Jerárquico). 2 En el cuadro de diálogo Incremental Hierarchic Layout (Diseño jerárquico incremental), seleccione la ficha Edges (Bordes) y seleccione Polyline (Polilínea) en la lista desplegable Routing Style (Estilo de enrutamiento). Figura 7-13 Configuración de estilo de enrutamiento en yEd Graph Editor 3 Haga clic en OK (Aceptar). McAfee Advanced Threat Defense 3.4.2 Guía del producto 305 7 Análisis de malware Ver los resultados del análisis Al abrir el archivo <file name>_logicpath.gml en yEd Graph Editor, se pueden ver múltiples cajas rectangulares superpuestas o una sola caja rectangular, tal y como se muestra en el siguiente ejemplo. Figura 7-14 Abra el archivo <file name>_logicpath.gml 306 McAfee Advanced Threat Defense 3.4.2 Guía del producto Análisis de malware Ver los resultados del análisis 7 En yEd Graph Editor, seleccione Layout (Diseño) | Hierarchical (Jerárquico). Figura 7-15 Cuadro de diálogo Incremental Hierarchic Layout McAfee Advanced Threat Defense 3.4.2 Guía del producto 307 7 Análisis de malware Ver los resultados del análisis En el cuadro de diálogo Incremental Hierarchic Layout (Diseño jerárquico incremental), haga clic en Ok (Aceptar) sin cambiar ninguno de los valores predeterminados. El siguiente ejemplo muestra el esquema completo de la relación entre todas las subrutinas detectadas durante el proceso de desensamblaje estático. Figura 7-16 Esquema de relación de subrutinas El gráfico muestra una vista general de la complejidad de la muestra, según las referencias cruzadas de llamadas de función. A continuación se muestran más detalles de los nombres de las funciones y sus direcciones, al hacer zoom. Figura 7-17 Acercar zoom al esquema 308 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Ver los resultados del análisis Se usan dos colores para indicar la ruta ejecutada. Las líneas rojas discontinuas muestran las rutas no ejecutadas, y las líneas continuas azules muestras las rutas ejecutadas. Según el anterior gráfico de control, la subrutina (Sub_004017A0) en la dirección virtual 0x004017A0 se ha ejecutado y se muestra por tanto apuntando con una línea continua azul hacia la caja Sub_004017A0. Sin embargo, no se ha llamado a la subrutina (GetVersion]), ya que hay una línea roja discontinua que apunta hacia ella. La subrutina Sub_004017A0 ha realizado 11 llamadas, ya que hay 11 líneas que salen de la misma. Siete de esas 11 llamadas se realizaron durante el análisis dinámico. Una de ellas llama a Sub_00401780, dado que hay una línea continua azul que apunta a Sub_004017A0 desde Sub_00401780. Las llamadas a Sub_00401410, printf, Sub_00401882, y Sub_00401320 no se ejecutaron y por ello se muestran con líneas discontinuas rojas. La subrutina Sub_00401780 solo ha realizado una única llamada, ya que solo hay una línea que salga de la misma. Esta llamada se ha ejecutado durante el análisis dinámico. User API Log (Registro de las API de usuario) Los registros de las API de usuario se encuentran almacenados en varios archivos. • El archivo .log contiene las llamadas de nivel de usuario de Windows realizadas directamente por el archivo analizado durante el análisis dinámico. Para ver este archivo en la aplicación web McAfee Advanced Threat Defense, seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). A continuación, seleccione y seleccione User API Log (Registro de las API de usuario). (Resultados completos).Después de hacer clic en , seleccione Complete Results (Resultados completos). Descargue el archivo <sample_name>Zip. Este archivo Zip contiene la misma información que el archivo <sample name>.log de la carpeta AnalysisLog. El contenido del archivo .log incluye lo siguiente: • • Un registro de toda la secuencia de llamadas a las API DLL del sistema. • Una dirección que indica la dirección aproximada desde la que se efectuó la llamada a las API DLL. • Parámetros opcionales de entrada y salida, y código de retorno para las llamadas a las DLL API de sistemas clave. Lo siguiente son los demás archivos que contienen los registros de ejecución dinámica. Todos estos archivos están contenidos dentro del archivo <sample name>Zip. • Archivo <sample name>ntv.txt. Este archivo contiene la versión Windows Zw de la secuencia de llamadas realizadas durante el análisis dinámico a las API de servicios de sistemas nativos. El nombre de la API suele empezar con Zw, como en ZwCreateFile. • log.zip • dump.zip • dropfiles.zip • networkdrive.zip Descarga de resultados completos en un archivo .zip McAfee Advanced Threat Defense crea un análisis detallado para cada muestra enviada. Todos los informes disponibles para una determinada muestra analizada se recopilan en un archivo .zip que puede descargarse desde la aplicación web McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.4.2 Guía del producto 309 7 Análisis de malware Ver los resultados del análisis Procedimiento 1 2 Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). En la página Analysis Results (Resultados del análisis), haga clic en (Resultados completos). y seleccione Complete Results Descargue el archivo <sample_name>.zip a la ubicación que desee. El archivo .zip contiene los informes de cada análisis. Los archivos en este .zip se han creado y recopilado usando una convención estándar. Supongamos que la muestra enviada se llama vtest32.exe. En ese caso el archivo .zip contendrá los siguientes resultados: • vtest32_summary.html (.json, .txt, .xml): igual que el informe Analysis Summary (Resumen del análisis). En el archivo .zip habrá cuatro formatos de archivo para el mismo resumen de informe. Los archivos html y txt sirven principalmente para que los usuarios finales revisen el informe de análisis. Los archivos .json y .xml proporcionan etiquetas para comportamientos conocidos de malware, que permiten que un script de alto nivel extraiga información clave. Si la calificación de gravedad es de 3 o superior, contendrá el informe de Resumen de análisis para la muestra en formato .ioc y .stix.xml. • vtest32.log: este archivo captura las actividades de llamada a las API DLL de nivel de usuario de Windows realizadas durante el análisis dinámico. Debe examinar cuidadosamente este archivo para comprender la secuencia completa de llamadas API, así como los parámetros de entrada y salida. Es el mismo que el informe User API Log (Registro de las API de usuario). • vtest32ntv.txt: este archivo captura las llamadas realizadas durante el análisis dinámico a las API de servicios nativos de Windows. • vtest32.txt: este archivo muestra la información de encabezado de los archivos ejecutables portátiles. • vtest32_detail.asm: este es el mismo que el informe Disassembly Results (Resultados de desensamblaje). Este archivo contiene el listado de desensamblaje mediante ingeniería inversa de la muestra, una vez desempaquetada o descifrada. • vtest32_logicpath.gml: este archivo es una representación gráfica de las referencias cruzadas de llamadas de función descubiertas durante el análisis dinámico. Es el mismo que en el informe Logic Path Graph (Gráfico de ruta lógica). • log.zip: este archivo contiene todos los archivos de registro de tiempo de ejecución para todos los procesos afectados por la muestra durante el análisis dinámico. Si la muestra genera algún texto de salida de consola, este mensaje de texto se captura en el archivo ConsoleOutput.log, que puede encontrar en el archivo log.zip. Use cualquier utilidad normal para descomprimir el archivo log.zip y ver los archivo contenidos en el mismo. • dump.zip: este archivo contiene el volcado de memoria (dump.bin) de código binario de la muestra durante el análisis dinámico. El archivo está protegido mediante contraseña. La contraseña es virus. • dropfiles.zip: es igual que el informe Dropped Files (Archivos depositados) en la página Analysis Results (Resultados del análisis). El archivo dropfiles.zip contiene todos los archivos creados o manipulados por la muestra durante el análisis dinámico. También está protegida con contraseña. La contraseña es virus. McAfee Advanced Threat Defense no le permite acceder a los archivos de muestra originales que ha analizado. Si Network Security Platform está integrada, puede usar la opción Save File (Guardar archivo) en Advanced Malware Policy (Directiva avanzada de malware) para archivar muestras. Sin embargo, tenga en cuenta que la capacidad de Sensor para analizar simultáneamente se ve reducida si la opción Save File (Guardar archivo) está activada. Consulte la versión más reciente de Network Security Platform IPS Administration Guide (Guía de administración de IPS) para ver los detalles. 310 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense Descargue la muestra original McAfee Advanced Threat Defense permite al usuario descargar los archivos enviados originalmente. Todas las muestras enviadas están disponibles en un archivo .zip, que puede descargar siguiendo los pasos detallados a continuación. Procedimiento 1 Seleccione Manage (Administrar) | User Management (Administración de usuarios). 2 En la página User Management (Administración de usuarios), seleccione su perfil de usuario. 3 Active la opción Sample Download (Descarga de muestras). 4 Seleccione Analysis Results (Resultados del análisis), haga clic en el icono Reports (Informes) y seleccione Original Sample (Muestra original). 5 Guarde el archivo comprimido atd_sample.zip en su equipo local. 6 Extraiga el contenido de atd_sample.zip usando como contraseña la palabrainfected. Trabajar con el panel McAfee Advanced Threat Defense Al acceder a McAfee Advanced Threat Defense desde un navegador cliente se mostrará el panel McAfee Advanced Threat Defense. Puede ver los siguientes monitores en el panel McAfee Advanced Threat Defense: • Estado de creación de máquina virtual: muestra el estado de las máquinas virtuales analizadoras creadas. • File counters (Contadores de archivos): proporciona el estado de los archivos que se están analizando. • Top 5 URLs Analyzed by GTI (5 URL principales analizadas por GTI): muestra las cinco URL más graves que está analizando GTI. • Top 5 URLs (5 URL principales): muestra las cinco URL más graves que se están analizando. • Profile Usage (Uso de perfiles): muestra el número de archivos que se están analizando en diferentes perfiles de analizador. • (Archivos analizados por motor): proporciona la gravedad y el número de archivos analizados por GAM, GTI y Sandbox (Recinto aislado). • Top 10 File Types by Volume (Los 10 tipos principales de archivo por volumen): proporciona una vista de los diez mayores números de archivos de tipos diferentes que se están analizando. • Top 5 Recent Malware by Filename (Los cinco archivos de malware principales más recientes por nombre de archivo): muestra los cinco archivos de malware más graves en la red por nombre de archivo. • Top 10 Malware by Threat Name (Los diez archivos de malware principales por nombre de amenaza): muestra los diez archivos de malware más graves en la red por nombre de amenaza. • System Health (Mantenimiento del sistema): proporciona los detalles sobre mantenimiento del sistema de McAfee Advanced Threat Defense Appliance. • System Information (Información del sistema): proporciona los números de versión para los componentes de software de McAfee Advanced Threat Defense Appliance. McAfee Advanced Threat Defense 3.4.2 Guía del producto 311 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense Procedimiento 1 Haga clic en Dashboard (Panel) para ver los monitores. 2 Especifique los criterios según los cuales se mostrará la información en los monitores. a Especifique el periodo de tiempo para el que desea que se muestre la información en los monitores. Por ejemplo, puede elegir ver información para la última hora. De forma predeterminada, se mostrarán los datos para los últimos 14 días. Este campo no afecta a los monitores de mantenimiento del sistema e información del sistema. b Para actualizar los monitores, haga clic en c Para editar la configuración del panel, haga clic en . . Tabla 7-11 Configuración del panel Opción Definición Monitors (Monitores) Seleccione los monitores que desea ver en el panel. Automatic Refresh (Actualización automática) Establece la frecuencia con la que el panel se actualizará automáticamente. Si desea actualizar el panel de forma exclusivamente manual, seleccione Disabled (Desactivado). Cuando desee actualizar el panel, haga clic en . Esto permite ver una instantánea del panel en un momento determinado del tiempo. d 3 Layout (Diseño) Especifique el número de columnas en las que desea organizar el panel. OK (Aceptar) Haga clic para guardar y aplicar la configuración del panel. Cancel (Cancelar) Haga clic para restablecer la última configuración guardada. Haga clic en para guardar la configuración del panel. Opcionalmente, puede establecer la configuración de pantalla para cada monitor. • Para contraer un monitor, haga clic en • Para ocultar un monitor, haga clic en • Para cambiar el formato de presentación de un monitor, haga clic en Monitores de análisis de malware A continuación se listan los monitores relacionados con el análisis de malware. 312 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense File Counters (Contadores de archivos) Este monitor muestra el estado de análisis para los archivos enviados durante el periodo de tiempo especificado. Por ejemplo, si establece el periodo de tiempo para los datos del panel como los últimos 5 minutos, este monitor muestra el recuento de archivos en estado completado, analizado y en espera durante los últimos 5 minutos. Si examina este monitor en formato de gráfico de barras apiladas, también se muestra el nivel de gravedad de los archivos. Figura 7-18 Monitor de contadores de archivos • Los niveles de gravedad se muestran mediante un código de colores. • Para ocultar los archivos que tengan un determinado nivel de gravedad, haga clic en el correspondiente nivel en la leyenda. Por ejemplo, si desea centrarse solo en los archivos maliciosos, haga clic en Not Malicious (No maliciosos) y en Not Rated (No calificados) en la leyenda. Ahora el gráfico muestra solo el malware de alto nivel de gravedad que se encuentre en estado de espera, en ejecución o completado. Haga clic de nuevo en Not Malicious (No maliciosos) y en Not Rated (No calificados) para ver el gráfico completo. • Pase el cursor sobre un determinado bloque del gráfico para ver el número de archivos que lo conforman. Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto, Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran los registros ordenados por el bloque seleccionado. McAfee Advanced Threat Defense 3.4.2 Guía del producto 313 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense Top 10 File Types by Volume (Los 10 tipos principales de archivo por volumen) Este monitor muestra el recuento (basado en volumen) de los 10 tipos principales de archivo. En formato de tabla, muestra el porcentaje de cada tipo. En formato de gráfico, también se muestra el recuento de archivos maliciosos, no maliciosos y no calificados. Figura 7-19 Monitor de 10 principales tipos de archivo por volumen • Los recuentos de archivos maliciosos, no maliciosos y no calificados se indican mediante un código de colores. • Para ocultar los archivos maliciosos o no maliciosos, haga clic en el correspondiente nivel de gravedad en la leyenda. • Pase el cursor sobre un determinado bloque del gráfico para ver el número de archivos que lo conforman. Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto, Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran los registros ordenados por el bloque seleccionado. Profile Usage (Uso de perfiles) Este monitor muestra el número de veces que se ha usado cada perfil de analizador para analizar archivos. Figura 7-20 Monitor de uso de perfiles de análisis 314 McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense Top 5 Recent Malware by File Name (Los 5 tipos principales de malware por nombre de archivo) En este monitor puede ver los nombres de cinco archivos maliciosos detectados en su red, con los de mayor gravedad en la parte superior. Esta información puede permitir ulteriores investigaciones, tales como buscar más información acerca de dichos archivos en Internet. • Los archivos de malware de la lista aparecen ordenados según su nivel de gravedad, en orden descendente. • La primera columna muestra el nombre de los archivos. La segunda columna muestra el nivel de gravedad. Figura 7-21 Monitor de 5 tipos principales de malware por nombre de archivo Top 10 Malware by Threat Name (Los 10 tipos principales de malware por nombre de amenaza) En este monitor puede ver los nombres de los diez archivos de malware de mayor gravedad en su red, organizados por nombre de amenaza. Figura 7-22 Top 10 Malware by Threat Name (Los 10 tipos principales de malware por nombre de amenaza) Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto, Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran los registros ordenados por el bloque seleccionado. McAfee Advanced Threat Defense 3.4.2 Guía del producto 315 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense Files Analyzed by Engine (Archivos analizados por motor) En este monitor puede ver la gravedad y el número de archivos analizados por GAM, GTI y Sandbox (Recinto aislado). Figura 7-23 Files Analyzed by Engine (Archivos analizados por motor) Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto, Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran los registros ordenados por el bloque seleccionado. Top 5 URLs Analyzed by GTI (Las 5 URL principales analizadas por GTI) En este monitor puede ver los nombres de las cinco URL de mayor gravedad analizadas por GTI. Esta información puede permitir ulteriores investigaciones, tales como buscar más información acerca de dichos archivos en Internet. • Los archivos de malware de la lista aparecen ordenados según su nivel de gravedad, en orden descendente. • La primera columna muestra el nombre de los archivos. La segunda columna muestra el nivel de gravedad. Figura 7-24 Top 5 URLs Analyzed by GTI (Las 5 URL principales analizadas por GTI) 5 URL principales En este monitor puede ver los nombres de cinco archivos maliciosos detectados en su red, con los de mayor gravedad en la parte superior. Esta información puede permitir ulteriores investigaciones, tales como buscar más información acerca de dichos archivos en Internet. • Los archivos de malware de la lista aparecen ordenados según su nivel de gravedad, en orden descendente. • La primera columna muestra el nombre de los archivos. La segunda columna muestra el nivel de gravedad. Figura 7-25 316 5 URL principales McAfee Advanced Threat Defense 3.4.2 Guía del producto 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense Monitor de estado de creación de máquina virtual Este monitor muestra distintos colores para indicar el estado de la creación de máquinas virtuales. A continuación se muestra el código de colores utilizado: En curso: amarillo Error: rojo Operación finalizada correctamente: verde A continuación se muestra un ejemplo del monitor VM Creation Status (Estado de creación de máquina virtual) cuando el estado de creación de máquina virtual es "Operación finalizada correctamente": Figura 7-26 Monitor de estado de creación de máquina virtual Monitores de rendimiento de McAfee Advanced Threat Defense A continuación se listan los monitores relacionados con el rendimiento de McAfee Advanced Threat Defense Appliance. System Health (Mantenimiento del sistema) Este monitor muestra el estado de mantenimiento de McAfee Advanced Threat Defense Appliance en una tabla. • System Health (Mantenimiento del sistema): indica si el sistema se encuentra en buen estado. El color "verde" indica un buen estado, mientras que el color "rojo" indica un mal estado. • DNS Status (Estado de DNS): indica el estado de la conexión entre Advanced Threat Defense y los servidores DNS configurados. Si Advanced Threat Defense puede establecer conexión con el servidor DNS preferido y el alternativo, el estado de DNS será Healthy (Correcto) y se mostrará el color verde. Si Advanced Threat Defense no puede establecer conexión con el servidor DNS preferido, el estado de DNS será Critical (Crítico) y se mostrará el color rojo. Si Advanced Threat Defense no está conectado a ningún servidor DNS preferido, el estado de DNS será Not Configured (No configurado) y se mostrará el color rojo. • Uptime (Tiempo de actividad): el número de horas que el appliance ha estado en ejecución de forma continua. • CPU Load (Carga de CPU): la carga del sistema. Por ejemplo, una carga de CPU de 100% indica que la CPU está completamente cargada; 125% indica que la CPU está completamente cargada y queda por procesar un 25% de la carga. • Memory Utilization (Utilización de memoria): el porcentaje de la memoria del appliance que está actualmente en uso. • Data Disk Space (Espacio del disco de datos): la capacidad del disco del appliance (en terabytes) para almacenamiento de datos de muestra, como las muestras en sí y sus archivos de informes. McAfee Advanced Threat Defense 3.4.2 Guía del producto 317 7 Análisis de malware Trabajar con el panel McAfee Advanced Threat Defense • Data Disk Available (Disponibilidad de disco de datos): el espacio actualmente disponible (en terabytes) para el almacenamiento de datos de muestra. Figura 7-27 Monitor de mantenimiento del sistema • System Disk Space (Espacio del disco del sistema): la capacidad del disco del appliance para almacenar los datos de software del sistema McAfee Advanced Threat Defense. • System Disk Available (Disco disponible del sistema): espacio de disco disponible actualmente para almacenar los datos de software del sistema McAfee Advanced Threat Defense. System Information (Información del sistema) Este monitor muestra los números de versión de los componentes de software relacionados con McAfee Advanced Threat Defense. Figura 7-28 Monitor de información del sistema 318 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Si desea analizar un número de archivos de gran tamaño en busca de contenido malicioso, puede agrupar en clústeres uno o varios McAfee Advanced Threat Defense Appliances. De este modo, la carga de análisis se equilibra de manera eficiente entre los McAfee Advanced Threat Defense Appliances (nodos) del clúster. Supongamos que varios sensores en línea envían cientos de archivos por segundo a un McAfee Advanced Threat Defense Appliance. En el modo de bloqueo, el sensor espera hasta 6 segundos para que McAfee Advanced Threat Defense analice un archivo. Tras dichos segundos, el Sensor envía el archivo al endpoint de destino. McAfee Advanced Threat Defense podría responder con más rapidez si se agrupan los clústeres de McAfee Advanced Threat Defense Appliances para equilibrar la carga. Contenido El clúster de McAfee Advanced Threat Defense Requisitos previos y consideraciones Conexiones de red para un clúster de Advanced Threat Defense ¿Cómo funciona el clúster Advanced Threat Defense? Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense El clúster de McAfee Advanced Threat Defense La agrupación en clústeres de McAfee Advanced Threat Defense Appliances es una función que está disponible a partir de la versión 3.2.0. Para crear un clúster de McAfee Advanced Threat Defense Appliances, necesita dos o más McAfee Advanced Threat Defense Appliances en funcionamiento. Entre estos McAfee Advanced Threat Defense Appliances, identifique el McAfee Advanced Threat Defense Appliance principal. Los demás McAfee Advanced Threat Defense Appliances funcionan como secundarios. Con la versión 3.4.2, un nodo que esté en misma red L2 como McAfee Advanced Threat Defense Appliance principal se agregará directamente como nodo de copia de seguridad. Este nodo pasará a funcionar como nodo principal en caso de que el nodo principal original no funcione. No es posible promover un nodo secundario a nodo de copia de seguridad. La aplicación web del nodo principal se usa para integrar estos McAfee Advanced Threat Defense Appliances para formar el clúster. Cada uno de los McAfee Advanced Threat Defense Appliances en un clúster se denomina nodo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 319 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Requisitos previos y consideraciones El nodo principal o el McAfee Advanced Threat Defense Appliance principal funciona como la interfaz externa del clúster. Es decir, el nodo principal se asocia virtualmente a la dirección IP del clúster desde el punto de vista de la configuración y el envío de archivos. Los productos integrados y los usuarios acceden al nodo principal para enviar archivos para análisis y recuperan los resultados y los informes. El nodo principal es también la plantilla y el centro de control para el clúster. Es responsable del equilibrio de cargas de archivos entre los nodos y de recuperar los informes de los archivos analizados. Si en un clúster hay un nodo de copia de seguridad, entonces es necesario configurar estos productos integrados con la dirección IP del clúster. Tal y como se mencionó anteriormente, la agrupación de McAfee Advanced Threat Defense Appliances sirve para equilibrar las cargas de archivos y proporciona una alta disponibilidad de los nodos secundarios. Si por algún motivo el nodo principal no funciona, el nodo de copia de seguridad se hace cargo de las responsabilidades del nodo principal y se convierte en activo y toma la dirección IP del clúster del nodo principal. Cuando vuelva a funcionar, el nodo principal espera como nodo de copia de seguridad hasta que el nodo de seguridad deje de funcionar. En cualquier momento, el nodo de copia de seguridad también recibe y analiza las muestras como cualquier otro nodo. Requisitos previos y consideraciones • Un clúster puede contener un máximo de 10 nodos, incluido el nodo principal. • Se recomienda usar las interfaces eth-0 (puertos de administración) de los McAfee Advanced Threat Defense Appliances para la comunicación de los clústeres. Además, para un rendimiento óptimo, las interfaces eth-0 de todos los nodos deben estar en la misma red de 2 niveles. Para ubicar las interfaces eth-0 en su appliance, consulte Compruebe el paquete en la página 22. • Los aspectos siguientes de los nodos deben ser homogéneos: • Versión del software McAfee Advanced Threat Defense. Las versiones de software de todos los nodos deben ser exactamente iguales. • Máquinas virtuales analizadoras. Todos los nodos deben tener las mismas máquinas virtuales analizadoras. Antes de configurar el clúster, asegúrese de que los perfiles de máquina virtual son exactamente los mismos en todos los nodos del clúster. Todos los parámetros de los perfiles de máquina virtual, incluido el nombre de perfil de máquina virtual, deben ser los mismos para todos los nodos. Al crear un nuevo perfil de máquina virtual o modificar uno existente después de crear un clúster, recuerde que los cambios relacionados con perfiles de máquina virtual no se propagan a todos los nodos de manera automática. Primero, debe desmontar el clúster. A continuación, realice exactamente el mismo cambio en cada nodo de manera manual. Si crea un nuevo perfil de máquina virtual, asegúrese de crear este perfil de máquina virtual en todos los nodos antes de seleccionar el nuevo perfil en cualquiera de los perfiles de analizador. Si necesita modificar un perfil de máquina virtual existente, asegúrese de realizar la misma modificación en todos los nodos de inmediato. Por último, vuelva a crear el clúster. • 320 Los perfiles de máquina virtual de todos los nodos deben ser exactamente iguales. McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Conexiones de red para un clúster de Advanced Threat Defense • • • Se recomienda que las versiones DAT y del motor de McAfee Anti-Malware Engine sean las mismas en todos los nodos. • Se recomienda que las versiones DAT y del motor de McAfee Gateway Anti-Malware Engine sean las mismas en todos los nodos. Los aspectos siguientes de los nodos pueden ser heterogéneos: • Hardware. Puede crear un clúster que combine appliances ATD-3000 y ATD-6000. • Conformidad con FIPS. Ya se trate del nodo principal o los secundarios, algunos nodos pueden estar en modo FIPS y otros en modo no FIPS. Utilice la dirección IP del nodo principal para enviar archivos y para integrar con otros productos como Network Security Platform y Web Gateway. El nodo principal o el McAfee Advanced Threat Defense Appliance principal funciona como la interfaz externa del clúster. Es decir, el nodo principal se asocia virtualmente a la dirección IP del clúster desde el punto de vista de la configuración y el envío de archivos. Si integra Network Security Platform, Web Gateway y Email Gateway con los nodos secundarios, estos nodos funcionarán como McAfee Advanced Threat Defense Appliances autónomos. Si en un clúster hay un nodo de copia de seguridad, entonces es necesario configurar estos productos integrados con la dirección IP del clúster. La integración de un clúster deMcAfee Advanced Threat Defense con Email Gateway se admite en la versión 3.4.2. • Si el nodo principal no funciona, el nodo de copia de seguridad funciona como nodo principal. El nodo de copia de seguridad debe estar en la misma red de dos niveles que el nodo principal. • El usuario puede ver el estado y los resultados de análisis de todos los nodos de un clúster desde el nodo activo, es decir, el nodo principal o el nodo de copia de seguridad. Conexiones de red para un clúster de Advanced Threat Defense Figura 8-1 Ejemplo de despliegue de clúster de Advanced Threat Defense McAfee Advanced Threat Defense 3.4.2 Guía del producto 321 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Conexiones de red para un clúster de Advanced Threat Defense En el ejemplo anterior, la interfaces eth-0 de todos los nodos están conectadas al mismo conmutador (red L2). La interfaz eth-0 del nodo principal actúa como interfaz de administración del clúster, mientras que las interfaces eth-0 de los nodos secundario y de copia de seguridad se utilizan para intercambiar información con el nodo principal. El nodo de copia de seguridad actúa como nodo secundario hasta que el nodo principal deja de funcionar por cualquier razón, en cuyo caso el nodo de copia de seguridad asume la función de nodo principal activo. El nodo principal equilibra la carga de los archivos recibidos en la interfaz eth-0 entre los nodos secundarios por turnos. Transfiere los archivos que debe analizar el nodo secundario a través de la interfaz eth-0 y la utiliza también para recuperar resultados. Cuando se usa el nodo principal para realizar cambios de configuración de clúster, estos se sincronizan en todos los nodos secundarios y el nodo de copia de seguridad a través de la interfaz eth-0. En este ejemplo, eth-1 se utiliza para proporcionar acceso a la red al malware ejecutado en las máquinas virtuales analizadoras. De este modo, se aísla el tráfico de red generado por el malware de la red de producción a la que están conectadas las interfaces eth-0. 322 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? ¿Cómo funciona el clúster Advanced Threat Defense? Recuerde que cuando agrupa en clúster instancias de Advanced Threat Defense Appliance, el nodo principal actúa como plantilla y centro de control de todo el clúster. Una vez definido el clúster, use el nodo principal para administrar la configuración del clúster. El nodo de copia de seguridad actúa como secundario para todos los procesos de configuración. A efectos de explicación, la configuración completa de Advanced Threat Defense puede clasificarse de la siguiente forma: • Configuración sincronizada: ciertas configuraciones solo pueden realizarse mediante este nodo principal. Al guardar estas configuraciones, el nodo principal envía una instantánea de su configuración actual como archivo a todos los nodos secundarios. Los secundarios guardan esta configuración en su base de datos. Este proceso de sincronización no afecta a las funciones de análisis de archivos de Advanced Threat Defense Appliance. El nodo principal tiene la versión más reciente del archivo de configuración. Si la versión del archivo de configuración no coincide para el archivo principal y uno secundario, el principal inserta automáticamente el archivo de configuración en el secundario. Las siguientes configuraciones se sincronizan automáticamente entre todos los nodos: • Perfiles de analizador • Administración de usuarios • Detalles de integración McAfee ePO/DXL • Configuración de proxy • Configuración de DNS • Hora del sistema basada en la configuración existente en la página Date and Time Settings (Configuración de fecha y hora). Si modifica manualmente la hora, se configura lo mismo en todos los nodos. Si configura los servidores NTP, se utilizarán los mismos servidores NTP para todos los nodos. Sin embargo la zona horaria no se sincronizará. Las páginas web de aplicación para las configuraciones que se muestran más arriba estarán desactivadas tanto en el nodo secundario como en el de copia de seguridad. McAfee Advanced Threat Defense 3.4.2 Guía del producto 323 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? • Configuración sin sincronización: las siguientes no se sincronizarán automáticamente. Use los nodos individuales para configurarlas. • Versión del software Advanced Threat Defense. • Máquinas virtuales analizadoras. Antes de configurar el clúster, asegúrese de que los perfiles de máquina virtual son exactamente los mismos en todos los nodos del clúster. Todos los parámetros de los perfiles de máquina virtual, incluido el nombre de perfil de máquina virtual, deben ser los mismos para todos los nodos. Al crear un nuevo perfil de máquina virtual o modificar uno existente después de crear un clúster, recuerde que los cambios relacionados con perfiles de máquina virtual no se propagan a todos los nodos de manera automática. Primero, debe desmontar el clúster. A continuación, realice exactamente el mismo cambio en cada nodo de manera manual. Si crea un nuevo perfil de máquina virtual, asegúrese de crear este perfil de máquina virtual en todos los nodos antes de seleccionar el nuevo perfil en cualquiera de los perfiles de analizador. Si necesita modificar un perfil de máquina virtual existente, asegúrese de realizar la misma modificación en todos los nodos de inmediato. Por último, vuelva a crear el clúster. • Perfiles de máquina virtual. • Versiones DAT y del motor de McAfee Anti-Malware Engine. • Versiones DAT y del motor de McAfee Gateway Anti-Malware Engine. • Entradas en las listas blancas y negras. • Zona horaria. • En una configuración de clúster de Advanced Threat Defense, cada nodo mantendrá su conjunto de reglas YARA personalizadas. Es decir, las reglas YARA personalizadas que defina en el nodo principal no se enviarán automáticamente a los nodos secundarios. Los cambios realizados a la configuración mediante el CLI no se cambiarán. Realice los mismos cambios en cada nodo de forma individual. 324 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? Cuando se tratan como parte de un clúster, los nodos secundarios son totalmente transparentes a los usuarios y productos integrados. • Si lo desea, puede usar una instancia de Advanced Threat Defense secundaria directamente para envío de archivos y recuperación de informes. Pero no podrá modificar ninguna de las configuraciones sincronizadas. • Tanto los archivos como las URL enviadas para análisis se distribuyen con fines de equilibrio de cargas. Figura 8-2 Advanced Threat Defense Appliances en un clúster Número de nota informativa Leyenda Descripción 1 Acceda a la aplicación web del nodo principal para modificar las configuraciones sincronizadas. 2 Una vez haya guardado los cambios de configuración, el nodo principal inserta dicha configuración en todos los nodos secundarios. Así, todos los nodos tendrán la misma configuración sincronizada. En la versión 3.4.2., los usuarios pueden acceder a la interfaz de IP de clúster para realizar cambios de configuración. La interfaz de IP de clúster siempre es la interfaz del nodo Activo. McAfee Advanced Threat Defense 3.4.2 Guía del producto 325 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? Número de nota informativa 3 Leyenda Descripción El envío de archivos al clúster se realiza mediante los métodos siguientes: • Usted envía archivos para su análisis mediante la aplicación web del nodo principal. • Envío de archivos al nodo principal mediante las API REST. • Los productos de McAfee integrados con el Advanced Threat Defense envían archivos para su análisis. 4 El nodo principal distribuye los archivos entre los nodos (incluido el propio nodo principal). 5 Los productos integrados de McAfee como Network Security Manager solicitan informes de análisis al nodo principal. Adicionalmente, el nodo principal muestra el estado y resultados de todos los archivos analizados por el clúster. Por dichas razones, el nodo principal obtiene los resultados del análisis de los nodos secundarios. 6 El nodo principal proporciona estos informes a los productos de McAfee integrados. 7 Puede ver el estado de análisis y los resultados de todos los archivos analizados por el clúster desde el nodo principal. En el nodo principal también puede ver los informes de análisis de cualquier archivo que haya enviado directamente a un nodo secundario. 8 A intervalos regulares, los nodos secundarios envían una señal de latido al nodo principal, para indicar el estado y el mantenimiento de los secundarios. 9 La copia de seguridad de Advanced Threat Defense asumiría la función de Advanced Threat Defense principal si el Advanced Threat Defense principal estuviera fuera de servicio. ¿Cómo analiza un clúster de Advanced Threat Defense archivos individuales de un archivo .zip? Cuando usted envía un archivo o una URL, Advanced Threat Defense le asigna un ID de trabajo y un ID de tarea exclusivos. Estos ID son números enteros en sucesión incremental. Cuando usted envía un archivo .zip, los archivos que incluye se extraen y analizan por separado. El ID de trabajo para todos los archivos incluidos en un .zip es el mismo que el ID de trabajo del archivo .zip. Pero el ID de tarea es distinto para cada uno de los archivos integrantes. Cuando envía un archivo .zip file a un clúster de Advanced Threat Defense, el nodo principal identifica el nodo al que se debería distribuir el siguiente archivo y envía a dicho nodo todo el archivo .zip. El nodo que recibe el archivo .zip extrae los archivos integrantes y los analiza. Esto también es aplicable a archivos .zip incluidos dentro de otro .zip. • Si un Sensor envía el archivo .zip, Advanced Threat Defense genera un informe acumulativo para todo el archivo .zip. Es decir, cuando Manager lo solicita, se le envía un informe para un archivo .zip. Con Web Gateway no se admiten archivos .zip. • Si usted envía un archivo .zip al nodo principal mediante, por ejemplo, su aplicación web, se generan informes individuales para los archivos incluidos en el archivo .zip. A continuación, el nodo principal extrae los archivos integrantes del .zip y los distribuye al mismo nodo para su análisis. El nodo principal sondea el estado y los resultados de los secundarios usando los ID exclusivos de tarea. 326 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? ¿Cómo se amplía el software Advanced Threat Defense para los nodos de un clúster? A continuación se detalla el procedimiento recomendado para ampliar el software Advanced Threat Defense para los nodos de un clúster: 1 Si amplía primero el principal, se romperá todo el clúster. Por lo tanto puede empezar por ampliar los secundarios. Cuando se amplía la versión de software de un nodo secundario, el principal no distribuye archivos a ese secundario. 2 Cuando haya ampliado más de la mitad de los nodos secundarios, amplíe el principal. El principal no distribuirá archivos a los secundarios de la versión previa. 3 Amplíe el resto de nodos secundarios. El nodo de copia de seguridad actúa como secundario para todos los procesos de ampliación de software. No seleccione Reset Database (Restablecer base de datos) al ampliar cualquiera de los nodos. Si esa opción estuviera seleccionada para el nodo principal, el clúster dejaría de funcionar tras la ampliación. Si la opción Reset Database (Restablecer base de datos) está seleccionada para un nodo secundario, este se separará del clúster tras la ampliación. Flujo de proceso para Network Security Platform Imagine un escenario en el que un Sensor está en línea entre los endpoints de su red y la Web. Este Sensor está integrado con un clúster de Advanced Threat Defense formado por tres Advanced Threat Defense Appliances. Figura 8-3 Network Security Platform integrado con un clúster de Advanced Threat Defense McAfee Advanced Threat Defense 3.4.2 Guía del producto 327 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? Número Descripción 1 Los endpoints intentan descargar archivos de la Web. Los puertos de supervisión en línea detectan esta actividad. 2 Para un archivo determinado, el Sensor evita que se envíe el último paquete al endpoint y, simultáneamente, transmite los paquetes del archivo al Advanced Threat Defense principal para su análisis. Para esta operación, el Sensor y el Advanced Threat Defense principal utilizan sus puertos de administración. 3 Una vez que todo el archivo se ha transmitido al Advanced Threat Defense Appliance principal, este lo distribuye a uno de los appliances del clúster. Asumamos que el archivo se envía a uno de los Advanced Threat Defense Appliance secundarios. Para todas las comunicaciones, los miembros del clúster utilizan sus puertos de administración. 4 El Advanced Threat Defense secundario correspondiente responde al principal con un ID de trabajo y empieza a analizar el archivo de acuerdo con el perfil de usuario. Si el análisis estático detecta el archivo, el Advanced Threat Defense secundario envía el resultado de malware (gravedad) al Advanced Threat Defense principal. 5 • Si el análisis estático detecta el archivo, el Advanced Threat Defense principal envía el resultado de malware recibido del Advanced Threat Defense secundario al puerto de administración del Sensor. • Si el archivo se analiza dinámicamente, el Sensor muestra una alerta informativa en Threat Analyzer en tiempo real. Esta alerta informativa se acepta automáticamente de forma predeterminada, aunque puede desactivar esta función si es necesario. 328 6 El Sensor envía el ID de trabajo al Manager. El Manager realiza una consulta en el puerto de administración de Advanced Threat Defense Appliance para obtener los informes de análisis. El Advanced Threat Defense principal extrae los informes del Advanced Threat Defense Appliance correspondiente basándose en el ID de trabajo. A continuación, envía los informes al Manager. Además, si el análisis dinámico determina que el archivo es malicioso, la alerta en Threat Analyzer en tiempo real se actualiza para indicarlo. 7 La copia de seguridad de Advanced Threat Defense asumiría la función de Advanced Threat Defense principal si el Advanced Threat Defense principal estuviera fuera de servicio. McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances ¿Cómo funciona el clúster Advanced Threat Defense? Flujo de proceso para McAfee Web Gateway Imagine un escenario en el que Web Gateway está en línea entre los endpoints de su red y la Web. Este Web Gateway Appliance está integrado con un clúster de Advanced Threat Defense formado por tres Advanced Threat Defense Appliances. Figura 8-4 Web Gateway integrado con un clúster de Advanced Threat Defense Número Descripción 1 Los endpoints intentan descargar objetos web. 2 Web Gateway envía estas solicitudes. 3 Cuando se descarga un archivo, el motor nativo McAfee Gateway Anti-Malware Engine en Web Gateway analiza el archivo y le asigna una calificación de malware. 4 Según el tipo de archivo y la calificación de malware, Web Gateway determina si el archivo debe enviarse a Advanced Threat Defense para su análisis y, si es necesario, envía el archivo al puerto de administración del Advanced Threat Defense principal. 5 El Advanced Threat Defense principal distribuye estos archivos entre los miembros por turnos. Todas las comunicaciones entre los miembros de un clúster se realizan a través de sus puertos de administración. Asumamos que el archivo se envía a uno de los Advanced Threat Defense secundarios para su análisis. El Advanced Threat Defense secundario devuelve el ID de trabajo y el ID de tarea al nodo principal y empieza a analizar el archivo. El nodo principal, a su vez, devuelve el ID de trabajo y el ID de tarea a Web Gateway. 6 Para los informes de análisis, Web Gateway realiza una consulta en el nodo principal con el ID de tarea. El nodo principal utiliza el ID de tarea para identificar el Advanced Threat Defense que analizó el archivo y extrae los informes de este archivo. 7 En respuesta a la consulta de Web Gateway, el Advanced Threat Defense principal envía los informes. 8 Según los resultados del informe de Advanced Threat Defense, Web Gateway decide si bloquear el archivo. 9 La copia de seguridad de Advanced Threat Defense asumiría la función de Advanced Threat Defense principal si el Advanced Threat Defense principal estuviera fuera de servicio. McAfee Advanced Threat Defense 3.4.2 Guía del producto 329 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Notas: • Cuando Web Gateway realiza una consulta para un valor de hash MD5 con periodo de tiempo (sin el ID de trabajo ni de tarea), el nodo principal busca el hash MD5 en su base de datos. Si no hay ningún registro coincidente, el nodo principal comprueba los nodos secundarios donde se analiza el archivo y envía el informe a Web Gateway sin volver a analizar el archivo correspondiente. • Cuando Web Gateway realiza una consulta para un valor de hash MD5 para una tarea en ejecución (sin el ID de trabajo ni de tarea), el nodo principal busca el hash MD5 con estado (en espera o analizando) en su base de datos. Si no hay ningún registro coincidente, el nodo principal comprueba los nodos secundarios donde se está analizando el archivo o la cola. A continuación, el nodo principal envía los detalles de la tarea a Web Gateway sin volver a analizar el archivo correspondiente. Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Siga estos pasos de nivel elevado para configurar un clúster de Advanced Threat Defense. 1 Identifique los Advanced Threat Defense Appliances que desee usar para crear el clúster. Puede agregar nodos secundarios adicionales a un clúster de Advanced Threat Defense existente. 2 Asegúrese de que los Advanced Threat Defense Appliances cumplan con los requisitos que se indican en Requisitos previos y consideraciones en la página 320. 3 De los Advanced Threat Defense Appliances, identifique cuál desea usar como nodo principal. Todos los demás Advanced Threat Defense Appliances serán nodos secundarios. Una vez que defina el clúster no podrá cambiar el nodo principal sin redefinir el clúster. De igual modo, una vez agregado el nodo de copia de seguridad no se lo puede cambiar sin quitarlo del clúster. Tenga en cuenta lo siguiente al decidir qué nodo elegir como principal. • Use la dirección IP del nodo principal para enviar archivos y para administrar la configuración. • Los productos como Network Security Platform, Web Gateway y Email Gateway deben estar integrados con la dirección IP del nodo principal. Dado que la recuperación de resultados e informes se realiza a través del nodo principal, la conexión entre los productos integrados y los nodos secundarios no es obligatoria. En la versión 3.4.2, la dirección IP del clúster es el punto de contacto de estos productos integrados si el usuario elige configurar un nodo de copia de seguridad. • Compruebe que las máquinas virtuales analizadoras y los perfiles de máquina virtual sean idénticos en todos los nodos. Si necesita agregar una máquina virtual analizadora o si necesita agregar, modificar o eliminar un perfil de máquina virtual, desmonte el clúster, realice los cambios necesarios en todos los nodos y vuelva a crearlo. • 330 Las configuraciones sincronizadas del nodo secundario se sobrescriben con las del principal. Tras la creación del clúster, use el nodo principal para administrar estas configuraciones. Para obtener información sobre configuraciones sincronizadas, consulte ¿Cómo funciona el clúster Advanced Threat Defense? en la página 323. 4 Asegúrese de que el nodo principal y los secundarios puedan comunicarse entre sí usando sus puertos de administración. 5 Se recomienda crear una copia de seguridad de la configuración de todos los nodos, en especial los secundarios, antes de configurar el clúster. McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense 6 Asegúrese de que los productos integrados estén configurados para usar el nodo principal. Esto incluye los productos de McAfee integrados así como toda aplicación o script de terceros que use las API REST de Advanced Threat Defense. En la versión 3.4.2, la dirección IP del clúster es el punto de contacto de estos productos integrados si el usuario elige configurar un nodo de copia de seguridad. 7 Creación del clúster de McAfee Advanced Threat Defense en la página 331. 8 Envíe archivos y URL al clúster de Advanced Threat Defense. 9 Consulte los resultados del análisis de un clúster de Advanced Threat Defense. 10 Administre las configuraciones del clúster. Creación del clúster de McAfee Advanced Threat Defense Antes de empezar • Ha leído Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense en la página 330. • Tiene derechos de administrador para la aplicación web de nodo principal. • Los nodos principal y secundarios no son parte de ningún clúster. • La versión del software (versión activa) es la misma para todos los nodos que va a usar. Procedimiento 1 Identifique un Advanced Threat Defense Appliance como nodo principal e inicie sesión en la aplicación web de dicho nodo. Utilice un nombre de usuario con derechos de administrador. 2 Seleccione Manage (Administrar) | Load Balancing (Equilibrio de cargas). Se abre la páginaLoad Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas). 3 En el campo Node IP address (Dirección IP de nodo), introduzca la dirección IP del puerto de administración del nodo principal, seleccione Primary (Principal) en la lista desplegable y haga clic en Add Node (Agregar nodo). 4 Confirme si quiere crear el clúster. Advanced Threat Defense se autoestablece como nodo principal del clúster. 5 En el campo Node IP address (Dirección IP de nodo), introduzca la dirección IP del puerto de un nodo secundario, seleccione Secondary (Secundario) y haga clic en Add Node (Agregar nodo). 6 Haga clic en Yes (Sí) para agregar el nodo secundario. Al hacer clic en Yes en el cuadro de mensaje de confirmación, el nodo principal guarda su configuración en un archivo y la envía al nodo secundario. Este archivo contiene estas configuraciones, a las que se hace referencia en este documento como configuración sincronizada. En ¿Cómo funciona el clúster Advanced Threat Defense? en la página 323 encontrará información sobre la configuración sincronizada. Esta configuración tiene un uso secundario que consisten en sobrescribir la configuración correspondiente en su base de datos. Por esa razón es importante asegurarse de hacer una copia de seguridad de la configuración secundaria antes de continuar. Al quitar la configuración secundaria del clúster, se conserva la configuración del nodo principal. 7 Utilice un procedimiento similar para agregar otros nodos secundarios. McAfee Advanced Threat Defense 3.4.2 Guía del producto 331 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense 8 En el campo Cluster IP address (Dirección IP del clúster), introduzca dicho dato y haga clic en Save (Guardar). Seleccione Backup (Copia de seguridad) en la lista desplegable e introduzca la dirección IP del puerto de administración en el campo Node IP address (Dirección IP de nodo) del nodo de copia de seguridad. Haga clic en Add Node (Agregar nodo) para agregar el nodo de copia de seguridad. 9 Se muestran en una tabla los detalles de todos los nodos del clúster. Al igual que en otras tablas de las interfaces de usuario de aplicación web Advanced Threat Defense, puede ordenar las columnas y ocultar o mostrar las que quiera. Figura 8-5 Creación del clúster de Advanced Threat Defense ATD ID (ID de ATD), IP Address (Dirección IP), Role (Función) y Withdraw From Cluster (Retirar del clúster) son las únicas opciones disponibles en la página Load Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas) para los nodos secundarios. Tabla 8-1 Definiciones de las opciones Opción Node IP address (Dirección IP de nodo) Definición Introduzca la dirección IP del puerto de administración de Advanced Threat Defense Appliance que quiera agregar al clúster. Drop - Down (Lista) Seleccione Primary (Principal)/ Backup (Copia de seguridad)/ Secondary (Secundario) según se requiera. Add Node (Agregar nodo) Haga clic para agregar al clúster el nodo principal, secundario y de copia de seguridad. La dirección IP de nodo principal o el nodo secundario es la que usted utiliza para acceder a la aplicación web Advanced Threat Defense. Cluster IP address Introduzca la dirección IP del clúster que debe usar el nodo activo (el principal (Dirección IP del o el de copia de seguridad). clúster) Save (Guardar) 332 Haga clic para guardar la dirección IP del clúster antes de agregar el nodo de copia de seguridad. McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Tabla 8-1 Definiciones de las opciones (continuación) Opción Definición Indica el estado de un nodo. • : indica que el nodo está listo. Si se trata de un nodo secundario, también significa que el principal recibe la señal de latido del secundario. • : indica que el nodo está disponible pero requiere su atención. Por ejemplo, puede que la configuración no esté sincronizada con la del nodo principal. • : indica que el nodo principal recibe la señal de latido del secundario. El nodo principal distribuye archivos únicamente a nodos con estado verde. Si el estado de un nodo secundario se vuelve ámbar o rojo durante la transferencia de un archivo, el nodo principal asigna el archivo al siguiente nodo de la cola. ATD ID (ID de ATD) Este valor es un número entero generado por el sistema para identificar los nodos de un clúster. El nodo principal genera este valor exclusivo y lo asigna a los nodos del clúster. Este ID se muestra a la izquierda de la estructura del árbol del nodo principal en Analysis Status (Estado del análisis) y Analysis Results (Resultados del análisis). Permite identificar el nodo que ha analizado una muestra concreta. El ID de ATD es exclusivo y se basa en la dirección IP de un nodo guardada en la base de datos del nodo principal. Supongamos que tiene 3 nodos en el clúster. Si quita del clúster el nodo secundario con ID 2 de ATD y lo vuelve a agregar al clúster, se asigna a este nodo secundario el mismo ID 2 de ATD si se cumplen las siguientes condiciones: • No ha cambiado la dirección IP de la interfaz eth-0 del nodo (puerto de administración). • La base de datos del nodo principal conserva un registro de la dirección IP del nodo secundario. IP Address (Dirección IP) La dirección IP de administración del nodo. Model (Modelo) El tipo de modelo de appliance de Advanced Threat Defense. Podría ser ATD 3000 o ATD - 600 Role (Función) Indica si un nodo es principal, secundario o de copia de seguridad. Config Version (Versión de configuración) Al cambiar cualquier configuración sincronizada, el nodo principal envía su archivo de configuración a los nodos secundarios, y además crea una versión de este archivo de configuración como referencia. Para cada nodo se muestra el número de versión del archivo de configuración correspondiente más reciente. Si el número de versión de un nodo secundario no coincide con el del principal, indica una posible diferencia en el modo en que está configurado el secundario. El color de estado del nodo secundario cambia a ámbar. El motivo se indica en la columnaState (Estado). Además, el nodo principal inserta automáticamente su configuración en ese nodo. Así se asegura que todos los nodos están configurado de modo similar con respecto a la configuración sincronizada. S/W Version (Versión de software) Indica la versión del software de Advanced Threat Defense de los nodos. La versión completa del software debe ser idéntica para todos los nodos. De lo contrario, el estado de los nodos afectados será ámbar. McAfee Advanced Threat Defense 3.4.2 Guía del producto 333 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Tabla 8-1 Definiciones de las opciones (continuación) Opción Estado Definición Indica el estado del nodo y cualquier dato de importancia crítica con relación a ese nodo. Entre los estados posibles están: • Listo • Latido no recibido. • Nodo con distinta versión de configuración. Remove Node (Quitar nodo) Seleccione un nodo y haga clic para quitarlo del clúster. La configuración del nodo principal se conserva aunque se quite un nodo secundario del clúster. No puede quitar un nodo principal sin antes haber quitado todos los secundarios. Esta opción no está disponible para un nodo secundario. 334 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Tabla 8-1 Definiciones de las opciones (continuación) Opción Definición Sync All Nodes Haga clic en Sync All (Sincronizar todos) para activar la sincronización de (Sincronizar configuración para todos los nodos secundarios del clúster. todos los nodos) Al agregar un nodo secundario o al guardar cualquiera de las configuraciones sincronizadas en el nodo principal, este hace que la sincronización se aplique a todos los secundarios que tengan estado verde o ámbar. Los detalles de la sincronización se muestran para cada nodo según el éxito o el fracaso de la sincronización. Figura 8-6 Sincronización de configuración realizada Figura 8-7 Error de sincronización de configuración Withdraw from Cluster (Retirar del clúster) Este botón es relevante solo para nodos secundarios. Haga clic para retirar del clúster un segundo nodo y use el nodo secundario como Advanced Threat Defense Appliance independiente. Recuerde que si el nodo principal no funciona, tampoco funciona el equilibrio de cargas del clúster. De ser así, haga clic en Withdraw from Cluster (Retirar del clúster) en los nodos secundarios que quiera quitar, para retirarlos y usarlo como appliances independientes. Supervisar el estado de un clúster de Advanced Threat Defense Antes de empezar Ha creado correctamente un clúster de equilibrio de cargas, como se explica en Creación del clúster de McAfee Advanced Threat Defense en la página 331. McAfee Advanced Threat Defense 3.4.2 Guía del producto 335 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Puede supervisar el estado de un clúster de Advanced Threat Defense en la página Load Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas) o mediante el comando lbstats. Después de configurar la dirección IP del clúster, podemos usarla para iniciar sesión y acceder a la interfaz de Advanced Threat Defense. 336 McAfee Advanced Threat Defense 3.4.2 Guía del producto Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense 8 Procedimiento 1 Inicie sesión en la CLI del nodo principal o un nodo secundario. 2 Ejecute el comando lbstats. Se muestran secciones independientes para cada nodo. Figura 8-8 Salida de lbstats del nodo principal Arriba se muestra la salida de lbstats de un nodo principal. A continuación se muestra la salida de lbstats del nodo principal. McAfee Advanced Threat Defense 3.4.2 Guía del producto 337 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Figura 8-9 Salida de lbstats de un nodo secundario 338 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Arriba se muestra la salida de lbstats de un nodo secundario. Figura 8-10 Salida de lbstats de un nodo de copia de seguridad Arriba se muestra la salida de lbstats de un nodo de copia de seguridad. Tabla 8-2 Detalles del comando lbstats Entrada de salida Descripción System Mode (Modo de sistema) Indica si el Advanced Threat Defense Appliance es el nodo principal o un nodo secundario. ATD ID (ID de ATD) El ID exclusivo asignado al nodo. IP La dirección IP del puerto de administración de Advanced Threat Defense Appliance. ATD Version (Versión de ATD) Versión del software Advanced Threat Defense instalada actualmente en el nodo. Config Version (Versión de configuración) La versión del archivo de configuración del nodo. System Status (Estado del sistema) Indica si el nodo está en ejecución. McAfee Advanced Threat Defense 3.4.2 Guía del producto 339 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Tabla 8-2 Detalles del comando lbstats (continuación) Entrada de salida Descripción System Health (Mantenimiento del sistema) Si el nodo está en buen estado o sin inicializar. Sample Files Distributed Count (Número de archivos de muestra distribuidos) El número total de muestras distribuidas entre los nodos, incluido el nodo principal. Este nodo incluye tanto archivos como direcciones URL. Estos datos solo se muestran si se ejecuta lbstats en el nodo principal. Envío de muestras a un clúster de Advanced Threat Defense Para enviar muestras a un clúster de Advanced Threat Defense se usa el nodo principal. Es proceso es similar al uso de un Advanced Threat Defense Appliance individual. • Asegúrese de que los productos integrados se comunican con el nodo principal. Al configurar la integración, asegúrese de usar las contraseñas tal y como se configuraron en el nodo principal. Por ejemplo, para Web Gateway, use el nombre de usuario mwg y su contraseña como se configuró en el nodo principal. Si se ha configurado el nodo de copia de seguridad, la dirección IP del clúster debe ser el punto de contacto para esos productos integrados. • Para enviar manualmente archivos y direcciones URL, inicie sesión en el nodo principal con derechos de administrador y envíe los archivos como lo haría a un Advanced Threat Defense Appliance independiente. Consulte Cargue archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense en la página 280 para obtener información paso a paso. • Para enviar archivos y direcciones URL, también puede usar las API REST del nodo principal. Consulte la Guía de referencia de las API de McAfee Advanced Threat Defense para obtener información. • También puede enviar archivos al nodo principal mediante FTP o SFTP. Consulte Cargar archivos para su análisis mediante SFTP en la página 286 Si se configura la dirección IP del clúster, es necesario iniciar sesión / enviar archivos mediante la dirección IP del clúster. . Supervisar el estado del análisis de un clúster de Advanced Threat Defense La página Analysis Status (Estado de análisis) del nodo principal muestra el estado de análisis para los archivos analizados por cada nodo. En un nodo secundario, solo se muestran los archivos analizados por dicho nodo secundario. De modo similar que con un Advanced Threat Defense autónomo, puede ver el estado de las muestras enviadas por usted. Si tiene derechos de administrador, podrá ver el estado de las muestras enviadas por todos los usuarios. 340 McAfee Advanced Threat Defense 3.4.2 Guía del producto 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense Procedimiento 1 Inicie sesión en la aplicación web del nodo principal. 2 Seleccione Analysis (Análisis) | Analysis Status(Estado de análisis). La opción Analysis Status (Estado de análisis) se expande para mostrar los nodos secundarios del clúster. Analysis Status (Estado de análisis) corresponde al nodo principal. Los nodos secundarios se muestran bajo Analysis Status (Estado de análisis) con su ID de ATD y su dirección IP del puerto de administración. 3 Para ver el estado de los archivos analizados por el nodo principal, haga clic en Analysis Status (Estado de análisis). 4 Para ver el estado de los archivos analizados por un nodo secundario específico, haga clic en el ID de ATD correspondiente. Para obtener información detallada de las opciones de la página Analysis Status (Estado de análisis), consulte Configurar la página Analysis Status (Estado de análisis) en la página 290. Supervisar los resultados del análisis de un clúster de Advanced Threat Defense La página Analysis Results (Resultados de análisis) del nodo principal muestra los resultados de análisis para los archivos analizados por cada nodo. En un nodo secundario, solo se muestran los archivos analizados por dicho nodo secundario. De modo similar que con un Advanced Threat Defense autónomo, puede ver los resultados de las muestras enviadas por usted. Si tiene derechos de administrador, podrá ver los resultados para las muestras enviadas por todos los usuarios. Procedimiento 1 Inicie sesión como usuario admin en uno de los nodos del clúster de Advanced Threat Defense. 2 Seleccione Analysis (Análisis) | Analysis Results. (Resultados de análisis) La opción Analysis Results (Resultados de análisis) se expande para mostrar los nodos secundarios del clúster. Analysis Results (Resultados de análisis) corresponde al nodo principal. Los nodos secundarios se muestran bajo Analysis Results (Resultados de análisis) con su ID de ATD y su dirección IP del puerto de administración. McAfee Advanced Threat Defense 3.4.2 Guía del producto 341 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense 3 Para ver los resultados de los archivos analizados por el nodo principal, haga clic en Analysis Results (Resultados de análisis). 4 Para ver los resultados de los archivos analizados por un nodo secundario específico, haga clic en el ID de ATD correspondiente. Para obtener información detallada sobre las opciones de la página Analysis Results (Resultados de análisis), consulte Ver los resultados del análisis en la página 294. Modificación de las configuraciones de un clúster de McAfee Advanced Threat Defense Las configuraciones de los clústeres de McAfee Advanced Threat Defense pueden clasificarse en dos tipos: • Parámetros que solo se configuran desde el nodo principal. A efectos de explicación, estos parámetros se denominan configuración sincronizada en este documento. • Parámetros que se configuran individualmente en cada nodo de un clúster de McAfee Advanced Threat Defense. Estos parámetros se denominan configuración sin sincronización. Configuración sincronizada: esta categoría incluye los parámetros siguientes: • Administrar perfiles de analizador en la página 249 • Especificar servidor proxy para conectividad de Internet en la página 259 • Administración de usuarios de McAfee Advanced Threat Defense en la página 37 • Configuración de DNS en la página 266 • Integración con McAfee ePO en la página 254 • Configuración de los ajustes de fecha y hora en la página 266 Inicie sesión en el nodo principal con derechos de administrador para configurar los parámetros anteriores. Al hacer clic en Save (Guardar) en las páginas correspondientes, el nodo principal agrupa toda la configuración sincronizada en un archivo y la envía a todos los nodos secundarios disponibles. Los nodos secundarios guardan esta configuración en sus bases de datos y la utilizan posteriormente. Este archivo de configuración recibe un número de versión. Este número de versión se muestra en la sección Config Version (Versión de configuración) de la páginaLoad Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas). El nodo principal envía el archivo de configuración a los nodos secundarios a través de un canal de comunicación seguro. Si desea comprobar si el archivo de configuración se ha aplicado correctamente a un nodo secundario, consulte la columna State (Estado) de la página Load Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas). O si lo prefiere, puede hacer clic en Sync All Nodes (Sincronizar todos los nodos) en la página Load Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas) para hacer que el nodo principal envíe el archivo de configuración a todos los nodos disponibles. Si algún nodo secundario no funciona, se indicará en la columna State (Estado). Cuando el nodo principal sincroniza la configuración para el clúster, envía todos los datos sincronizados a todos los nodos disponibles del clúster. Es decir, no es posible seleccionar los nodos secundarios que sincronizar. Tampoco es posible seleccionar qué configuraciones se envían a los nodos secundarios. Sin embargo, el proceso de sincronización de configuración no afecta a los procesos de equilibro de cargas ni de análisis de archivos de McAfee Advanced Threat Defense Appliance. Configuración sin sincronización: esta categoría incluye los parámetros siguientes: 342 • Ampliación del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx en la página 45. • Creación de una máquina virtual analizadora en la página 4 • Administración de perfiles de máquina virtual en la página 231 McAfee Advanced Threat Defense 3.4.2 Guía del producto Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense • Versiones DAT y del motor de McAfee Anti-Malware Engine. • Versiones DAT y del motor de McAfee Gateway Anti-Malware Engine. • Entradas en las listas blancas y negras. • Reglas YARA personalizadas • Configuraciones de copia de seguridad y restauración de base de datos. • Cualquier configuración realizada con la CLI. 8 Inicie sesión en cada nodo del clúster para cambiar estas configuraciones. Asegúrese de que estas configuraciones son las mismas para todos los nodos del clúster. McAfee Advanced Threat Defense 3.4.2 Guía del producto 343 8 Agrupación en clústeres de McAfee Advanced Threat Defense Appliances Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense 344 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense El dispositivo McAfee Advanced Threat Defense es compatible con una interfaz de línea de comandos (CLI) para tareas tales como configuración de red, reinicio del dispositivo y restablecer los valores predeterminados de fábrica del dispositivo. Contenido Emisión de comandos CLI Sintaxis para CLI Inicie sesión en la CLI Significado de “?” Administración de los discos de McAfee Advanced Threat Defense Appliance Lista de comandos CLI Emisión de comandos CLI Puede emitir comandos CLI localmente, desde la consola de McAfee Advanced Threat Defense Appliance, o remotamente a través de SSH. Cómo emitir un comando a través de la consola Para más información sobre cómo configurar la consola para el dispositivo McAfee Advanced Threat Defense, consulte Configuración de la información de red para McAfee Advanced Threat Defense Appliance en la página 32 (Configurar el dispositivo mediante la CLI). Cuando la documentación indica que debe realizar una operación “en el dispositivo”, esto significa que debe realizar dicha operación desde la línea de comandos del host de una consola conectada al dispositivo McAfee Advanced Threat Defense. Por ejemplo, cuando configure por primera vez los detalles de red de un dispositivo McAfee Advanced Threat Defense, debe hacerlo desde la consola. Cuando esté correctamente conectado al dispositivo McAfee Advanced Threat Defense, se le pedirá que inicie sesión. McAfee Advanced Threat Defense 3.4.2 Guía del producto 345 9 Comandos CLI para McAfee Advanced Threat Defense Sintaxis para CLI Emisión de comandos mediante SSH Puede administrar remotamente el dispositivo McAfee Advanced Threat Defense desde un símbolo del sistema a través de ssh. Solo puede abrirse un máximo de 5 sesiones de SSHD CLI simultáneas en un mismo dispositivo McAfee Advanced Threat Defense. Iniciar sesión en McAfee Advanced Threat Defense Appliance mediante un cliente SSH Procedimiento 1 Abra una sesión de cliente SSH. 2 Introduzca la dirección IPv4 de McAfee Advanced Threat Defense Appliance e introduzca 2222 como el número de puerto SSH. 3 Cuando se le pida que inicie sesión, introduzca el nombre de usuario predeterminado cliadmin y la contraseña atdadmin. El número máximo de intentos de inicio de sesión en McAfee Advanced Threat Defense Appliance desde un mismo cliente y conexión es de 3, tras los cuales la conexión se cortará. El número máximo de intentos de inicio de sesión en McAfee Advanced Threat Defense Appliance puede variar según el cliente ssh que esté usando. Puede que sean tres intentos con ciertos clientes (por ejemplo, Putty versión 0.54 o Putty 0.56) o puede que sean cuatro con otros clientes (por ejemplo, con Putty 0.58 o clientes ssh de Linux). Autocompletar La CLI incluye una función de autocompletar. Para autocompletar un comando, pulse Tabulador tras escribir los primeros caracteres de un comando válido y luego pulse Intro. Por ejemplo, si escribe pas y pulsa Tabulador, la CLI autocompletará el comando passwd. Si el texto que ha introducido coincide con el principio de varios comandos, la CLI mostrará todos los comandos posibles que encajen con el texto. Sintaxis para CLI Introduzca los comandos en el símbolo del sistema de la manera que se muestra. <command> <value> • Los valores que introduzca deben ir entre paréntesis angulares (< >). • Los argumentos o valores opcionales se ponen entre corchetes ([ ]). • Las opciones se muestran separadas mediante una línea (|). • Las variables se indican mediante cursiva. No escriba los símbolos < o [ ]. 346 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Inicie sesión en la CLI Comandos obligatorios Ciertos comandos deben ejecutarse obligatoriamente en McAfee Advanced Threat Defense Appliance antes de que este esté completamente operativo. El resto de los comandos en este capítulo son opcionales y asumirán valores predeterminados para sus parámetros a no ser que se ejecuten con otros valores de parámetro específicos. Estos son los comandos requeridos: • set appliance name • set appliance ip • set appliance gateway también es obligatorio si se da cualquiera de los siguientes casos: • Si McAfee Advanced Threat Defense Appliance está en una red diferente a la de los demás productos McAfee que desea integrar • Si piensa acceder a McAfee Advanced Threat Defense desde una red distinta, ya sea usando un cliente SSH o un navegador para acceder a la aplicación web McAfee Advanced Threat Defense Inicie sesión en la CLI Antes de poder introducir comandos CLI, debe iniciar sesión en McAfee Advanced Threat Defense Appliance con un nombre de usuario y contraseña válidos. El nombre de usuario predeterminado es cliadmin y la contraseña predeterminada es atdadmin. Para cerrar sesión, escriba exit. McAfee le recomienda encarecidamente que cambie esta contraseña mediante el comando passwd durante su primera interacción con McAfee Advanced Threat Defense Appliance. Significado de “?” ? muestra todos los posibles comandos que puede introducir. Sintaxis ? Si usa ? junto con otro comando, le muestra la siguiente palabra que puede escribir. Si ejecuta el comando ? junto con el comando set, por ejemplo, se mostrará una lista de todas las opciones disponibles con el comando set. Administración de los discos de McAfee Advanced Threat Defense Appliance McAfee Advanced Threat Defense Appliance viene con dos discos llamados disco A y disco B. El disco A es el disco activo y el disco B es la copia de seguridad. Incluso si no se arranca el disco A, nos referiremos a él como el disco activo. De la misma manera, incluso si se arranca desde el disco B, nos referiremos a él como la copia de seguridad. De forma predeterminada, ambos discos contienen la versión de software preinstalado. Puede ampliar el software del disco activo, es decir el disco A, y usar el disco B como copia de seguridad con una versión estable a la que puede volver siempre que lo necesite. McAfee Advanced Threat Defense 3.4.2 Guía del producto 347 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Use el comando show para ver la versión del software almacenada en los discos activo y de copia de seguridad. Tabla 9-1 Comandos CLI para administrar los discos Comando Descripción copyto backup Copia la versión de software del disco activo al disco de copia de seguridad. Por ejemplo, si la versión actual del software resulta ser estable, puede hacer una copia de seguridad del mismo en el disco de copia de seguridad. Este comando solo funciona si el appliance ha arrancado desde el disco activo. copyto active Copia la versión de software desde el disco de copia de seguridad al disco activo. Sin embargo, tendrá que reiniciar el McAfee Advanced Threat Defense Appliance para cargar esta nueva imagen desde el disco activo. Este comando funciona solo si el appliance se ha arrancado desde el disco de copia de seguridad. reboot backup Reinicia el appliance con la versión de software del disco de copia de seguridad. reboot active Reinicia el appliance con la versión de software del disco activo. Lista de comandos CLI Esta sección lista los comandos CLI de McAfee Advanced Threat Defense en orden alfabético. amas Utilice este comando para reiniciar/iniciar/detener los servicios amas. Sintaxis: amas <word> Parámetro Descripción <WORD> El servicio amas que desea detener. Por ejemplo: amas start/stop/restart atdcounter Muestra el contador específico del motor, como por ejemplo archivos enviados y procesados por GTI, MAV, GAM, Amas, etc. Sintaxis: atdcounter Este comando no tiene parámetros. informes de copia de seguridad Utilice este comando para crear una copia de seguridad de los informes de McAfee Advanced Threat Defense en un servidor FTP/SFTP externo establecido para el usuario en los puertos de interfaz de la configuración de salidas resultantes de FTP. Sintaxis backup reports 348 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Este comando no tiene parámetros. backup reports date Utilice este comando para crear una copia de seguridad de los informes de McAfee Advanced Threat Defense en un servidor FTP/SFTP externo establecido para el usuario en los puertos de interfaz de la configuración de salidas resultantes de FTP. Sintaxis: backup reports date <yyyy-mm-dd> Parámetro Descripción yyyy-mm-dd yyyy-mm-dd El intervalo de fechas para el que desea crear una copia de seguridad de informes. Por ejemplo: 2014-07-10 2014-07-12 Lista negra Utilice los comandos siguientes para administrar la lista negra de McAfee Advanced Threat Defense. Sintaxis: • Para agregar un MD5 a la lista negra, use blacklist add <md5> <calificación> <nombre_del_archivo> <nombre_del_malware> <Eng-ID> <OS-ID> Parámetro Descripción <md5> El valor hash del malware que desea agregar a la lista negra. <calificación> La calificación de gravedad del malware. Los valores válidos van de 3 a 5. <nombre_de_archivo> El nombre de archivo del MD5. <nombre_del_malware> El nombre del malware del MD5. <Eng-ID> El ID numérico para el motor correspondiente. <OS-ID> El ID numérico para el sistema operativo que se usó para analizar dinámicamente el malware. Ejemplo: blacklist add 254A40A56A6E28636E1465AF7C42B71F 3 NombreDeArchivoDeEjemplo NombreDeMalwareDeEjemplo 3 3 • Para quitar un MD5 de la lista negra, use blacklist delete <md5> Parámetro Descripción <md5> El valor hash del malware que desea eliminar de la lista negra. Ejemplo: blacklist delete 254A40A56A6E28636E1465AF7C42B71F • Para comprobar que un determinado MD5 está en la lista negra, use blacklist query <md5> Parámetro Descripción <md5> El valor hash del malware que desea comprobar que se encuentra en la lista negra. Ejemplo: blacklist query 254A40A56A6E28636E1465AF7C42B71F Si el MD5 está en la lista, se mostrarán sus detalles, tales como ID de motor, calificación de gravedad de malware y demás. McAfee Advanced Threat Defense 3.4.2 Guía del producto 349 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI • Para actualizar los detalles de una determinada entrada de la lista negra, use blacklist update <md5> <calificación> <nombre_de_archivo> <nombre_de_malware> <Eng-ID> <OS-ID> Parámetro Descripción <md5> El valor hash del MD5 de un malware que desea actualizar. Este valor debe existir en la lista negra para que pueda actualizar el registro. <calificación> La nueva calificación de gravedad a la que desea actualizar el registro. Los valores válidos van de 3 a 5. <nombre_de_archivo> El nuevo nombre de archivo del MD5. <nombre_del_malware> El nuevo nombre del malware para el MD5. <Eng-ID> El nuevo ID de motor al que quiere cambiar. <OS-ID> El nuevo valor para el sistema operativo que se usó para analizar dinámicamente el malware. Ejemplo: blacklist update 254A40A56A6E28636E1465AF7C42B71F 4 ArchivoDeEjemplo MalwareDeEjemplo 3 4 clearstats Restablece todas las estadísticas de McAfee Advanced Threat Defense a cero. Sintaxis: clearstats Este comando no tiene parámetros. cluster withdraw Este comando se usa para destruir clústeres mediante CLI. Se permite ejecutar a todos los nodos (principal, de copia de seguridad y secundario). Elimina todas las configuraciones relacionadas con los clústeres del nodo y lo convierte en una caja independiente. Este comando permite eliminar un nodo del clúster en caso de que no pueda realizarse mediante los procedimientos habituales (eliminar nodo/retirar nodo del clúster). Sintaxis: cluster withdraw Este comando no tiene parámetros. createDefaultVms Utilice este comando para crear una máquina virtual analizadora predeterminada. Sintaxis: createDefaultVms Este comando no tiene parámetros. db_repair Repara la base de datos de ATD si se daña. Sintaxis: db_repair Este comando no tiene parámetros. 350 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI deleteblacklist Use este comando para quitar todas las entradas de la lista negra de McAfee Advanced Threat Defense. Sintaxis: deleteblacklist Este comando no tiene parámetros. deletesamplereport Elimina todos los informes de análisis para un archivo. Sintaxis: deletesamplereport <md5> Parámetro Descripción <md5> El valor MD5 para el archivo del que desea eliminar todos los informes en McAfee Advanced Threat Defense. Ejemplo: deletesamplereport c0850299723819570b793f6e81ce0495 diskcleanup Utilice este comando para eliminar algunos de los informes de análisis viejos si empieza a quedarse sin espacio de disco en McAfee Advanced Threat Defense. Sintaxis: diskcleanup Este comando no tiene parámetros. dxlstatus Use este comando para averiguar el estado de DXL. Sintaxis: dxlstatus Este comando no tiene ningún parámetro. La información mostrada con este comando es la siguiente: <=== DXL STATUS ===> Status : DISABLED DXL Channel Status : DOWN Sample Files Received Count : 0 Sample Files Published Count : 0 Sample Files Queued Count : 0 docfilterstatus El comando docfilterstatus se ha introducido para evitar cargas de recinto aislado innecesarias con archivos Word y Excel de MS Office 2007+ que no contienen nada sospechoso. Este comando también permite activar o desactivar el filtro heurístico para archivos Word y Excel de MS Office 2007+. Use el comando show para averiguar el estado actual. De forma predeterminada, el análisis heurístico está activado. Sintaxis: set docfilterstatus <enable> McAfee Advanced Threat Defense 3.4.2 Guía del producto 351 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI set docfilterstatus <disable> docfilterstatus<enable><disable> Parámetro Descripción enable Activa los filtros de muestras. disable Desactiva los filtros de muestras. Sintaxis: show docfilterstatus Esta es una función de McAfee Advanced Threat Defense. Al activarse, McAfee Advanced Threat Defense realiza un análisis heurístico de los archivos de Word o Excel de MS Office 2007 enviados por Network Security Sensor. Es decir, examina la estructura del archivo de Office en busca de contenidos maliciosos tales como contenido incrustado activo, macros o hipervínculos sospechosos. El análisis en busca de malware según el perfil de analizador correspondiente solo se realizaría si se observaran anomalías heurísticas en el archivo. Si no hay anomalías, el archivo se considerará limpio. Es decir, se le asignará una calificación de gravedad de cero (información). En las redes que presenten un elevado tráfico de archivos de Word y Excel de Office 2007+, el filtro heurístico puede reducir la carga de trabajo de McAfee Advanced Threat Defense, al filtrar aquellos archivos que no contengan ningún contenido sospechoso. Cuando el análisis heurístico esté activado, la configuración será esta: • Filtro heurístico ACTIVADO. La activación del análisis heurístico pone el filtro heurístico en ACTIVADO. De esta forma, McAfee Advanced Threat Defense comprobará la estructura de archivos de Word o Excel de Office 2007+ en busca de anomalías. Si no hubieran anomalías, el archivo se considerará limpio y no se realizará ningún otro análisis. Si se diera alguna anomalía heurística, dicho archivo de Word o Excel de Office 2007+ se analizará dinámica y estadísticamente según el correspondiente perfil de analizador. Cuando el análisis heurístico esté desactivado, la configuración será esta: • Filtro heurístico DESACTIVADO. Al desactivar el análisis heurístico se desactiva el filtro heurístico. En tal caso, McAfee Advanced Threat Defense no comprobará los archivos de Word y Excel de Office 2007+ en busca de anomalías heurísticas. Dichos archivos de Word y Excel serán analizados dinámica y estadísticamente según el correspondiente perfil de analizador. Exit Salir de CLI. Este comando no tiene parámetros. Sintaxis: exit factorydefaults Elimina todas las muestras, resultados, registros e imágenes de máquina virtual analizadora, y restablece las direcciones IP antes de reiniciar el dispositivo. Este comando no aparece cuando escribe ?, ni tampoco la función autocompletar le sugerirá este comando. Debe escribir el comando completo para ejecutarlo. 352 McAfee Advanced Threat Defense 3.4.2 Guía del producto Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI 9 Este comando no tiene parámetros. • Se le advertirá de que el uso de este comando eliminará toda esta información de McAfee Advanced Threat Defense Appliance, y se le pedirá que confirme la acción. Dicha advertencia se debe a que McAfee Advanced Threat Defense Appliance recupera su estado limpio antes de la configuración, por lo que su uso implica perder todas las configuraciones actuales tanto en el disco activo como en la copia de seguridad. Una vez lo confirme, este comando limpiará inmediatamente todos sus ajustes de configuración, incluyendo las muestras, resultados, registros e imágenes de máquina virtual analizadora, tanto en el disco activo como en la copia de seguridad. • La versión actual de software en el disco de copia de seguridad se aplica en el disco activo. Sintaxis: factorydefaults ftptest USER_NAME Use este comando para probar la configuración de FTP guardada bajo MANAGE (GESTIONAR) > USER MANAGEMENT (ADMINISTRACIÓN DE USUARIOS) > FTP Results (RESULTADO DE FTP) para un usuario concreto. Sintaxis: ftptest USER_NAME Parámetro Descripción USER_NAME El nombre de usuario para el que probar la configuración de FTP Ejemplo: NSPuser gti-restart Reinicia el McAfee GTI motor de McAfee Advanced Threat Defense. Sintaxis: gti-restart Este comando no tiene parámetros. help Proporciona una descripción del sistema de ayuda interactiva. Este comando no tiene parámetros. Sintaxis: help heuristic_analysis Imaginemos una situación en la que hay un gran volumen de archivos enviados por un Network Security Sensor. Queremos que McAfee Advanced Threat Defense clasifique dichos archivos basándose en la necesidad de realizar un análisis de malware más detallado. El objeto de dicha selección es mejorar el rendimiento sin tener que realizar concesiones con la seguridad. El comando heuristic_analysis se ha introducido para satisfacer dicho requisito. • Active el filtro heurístico para archivos PDF. • Especifique el tamaño mínimo para archivos PDF para que se realice el análisis de malware. • Desactive la opción de volver a analizar para todos los archivos compatibles. McAfee Advanced Threat Defense 3.4.2 Guía del producto 353 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Use el comando show para conocer el estado actual. De forma predeterminada, el análisis heurístico está desactivado. Sintaxis: show heuristic_analysis Cuando el análisis heurístico esté desactivado, la configuración será esta: Configuración Descripción Heuristic filtering is OFF (Filtro heurístico DESACTIVADO) Esta es una función de McAfee Advanced Threat Defense. Si está activado, McAfee Advanced Threat Defense realiza un análisis heurístico de un archivo PDF enviado por Network Security Sensor. Esto es, examina la estructura del archivo PDF en busca de contenidos maliciosos como por ejemplo scripts incrustados de Java, archivos .exe incrustados o cualquier redireccionamiento. El análisis en busca de malware según el perfil de analizador correspondiente solo se realizaría si se observaran anomalías heurísticas en el archivo. Si no hay anomalías, el archivo se considerará limpio. Es decir, se le asignará una calificación de gravedad de cero (información). En las redes que presenten un elevado tráfico de archivos PDF, el filtro heurístico puede reducir la carga de trabajo de McAfee Advanced Threat Defense filtrando aquellos archivos sin contenido sospechoso. configuration setting: re-analysis: ON (parámetro de configuración: reanálisis: ACTIVADO) De forma predeterminada, McAfee Advanced Threat Defense analiza todos los archivos compatibles enviados por un Sensor, incluso si dichos archivos ya han sido analizados. Cuando el reanálisis está DESACTIVADO, McAfee Advanced Threat Defense comprueba si los resultados del análisis ya están disponibles, basándose en su valor de hash MD5. De ser así, proporciona dichos resultados a Network Security Manager en vez de volver a analizar el archivo. El mismo resultado se mostrará en McAfee Advanced Threat Defense. configuration setting: min file size: 2048 (parámetro de configuración: tamaño mín. archivo 2048) Para los archivos PDF enviados por algún Sensor, puede especificar un tamaño mínimo de archivo. Los archivos de tamaño menor no se analizarán con McAfee Advanced Threat Defense. Este reduce la carga de trabajo de McAfee Advanced Threat Defense al filtrar los archivos PDF más pequeños. El tamaño de archivo predeterminado para archivos PDF enviados por un Sensor es de 2 KB. La función de volver a analizar se aplica a todos los tipos de archivos compatibles con Sensor, mientras que el filtro heurístico y el tamaño mínimo de archivo se aplica únicamente a los archivos PDF enviados por Sensor. Use el comando set para activar o desactivar el análisis heurístico para los archivos enviados por un Sensor. Sintaxis: set heuristic_analysis <enable> <PDF minimum file size in bytes> Sintaxis: set heuristic_analysis <disable> El comando set heuristic_analysis no se ejecutará cuando la creación de la máquina virtual analizadora está en curso. 354 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Ejemplo sin tamaño de archivo mínimo: set heuristic_analysis enable Si ejecuta este ejemplo, se aplicará la siguiente configuración en el mismo orden para los archivos PDF enviados por un Sensor: 1 Ya que no ha especificado ningún tamaño mínimo de archivo, este se establece en 2 KB. Así que McAfee Advanced Threat Defense tendrá en cuenta para ulteriores análisis únicamente aquellos archivos PDF de tamaño igual o superior a 2 KB. 2 Al activar el análisis heurístico se desactiva el reanálisis. Así que McAfee Advanced Threat Defense comprobará si el resultado del análisis ya está disponible. Si es así, dicho resultado se enviará al Manager sin más análisis. Si el resultado no estuviera disponible para dicho valor de hash MD5, el análisis procedería al siguiente paso. 3 Activar el análisis heurístico pone el filtro heurístico en ACTIVADO. De esta forma, McAfee Advanced Threat Defense comprobará la estructura de archivos PDF en busca de anomalías. Si no hubieran anomalías, el archivo se considerará limpio y no se realizará ningún otro análisis. Si se diera alguna anomalía heurística, dicho archivo PDF se analizará dinámica y estadísticamente según el correspondiente perfil de analizador. Para archivos que no sean PDF, solo se considerará la opción de reanálisis (paso 2 arriba). Ejemplo con tamaño de archivo mínimo: set heuristic_analysis enable 5000 Si ejecuta este ejemplo, se aplicará la siguiente configuración en el mismo orden para los archivos PDF enviados por un Sensor: 1 El tamaño mínimo de archivo se establece en 5000 bytes. Así que McAfee Advanced Threat Defense tendrá en cuenta para ulteriores análisis únicamente aquellos archivos PDF de tamaño igual o superior a 5000 bytes. 2 Al activar el análisis heurístico se desactiva el reanálisis. Así que McAfee Advanced Threat Defense comprobará si el resultado del análisis ya está disponible. Si es así, dicho resultado se enviará al Manager sin más análisis. Si el resultado no estuviera disponible para dicho valor de hash MD5, el análisis procedería al siguiente paso. 3 Activar el análisis heurístico pone el filtro heurístico en ACTIVADO. De esta forma, McAfee Advanced Threat Defense comprobará la estructura de archivos PDF en busca de anormalidades. Si no hubieran anomalías, el archivo se considerará limpio y no se realizará ningún otro análisis. Si se diera alguna anomalía heurística, dicho archivo PDF se analizará dinámica y estadísticamente según el correspondiente perfil de analizador. Para archivos que no sean PDF, solo se considerará la opción de reanálisis (paso 2 arriba). Ejemplo para desactivar el análisis heurístico: set heuristic_analysis disable Si ejecuta este ejemplo, se aplicará la siguiente configuración: 1 El tamaño mínimo de archivo se establece de forma predeterminada en 2048 bytes. 2 Al desactivarse el análisis heurístico se activa el reanálisis. Por lo tanto, McAfee Advanced Threat Defense analizará todos los archivos admitidos por Sensors, tanto si hay resultados para ese archivo como si no. 3 Al desactivar el análisis heurístico se desactiva el filtro heurístico. Por lo tanto, McAfee Advanced Threat Defense no comprueba si existen anomalías heurísticas en los archivos PDF. Dichos archivos PDF serán analizados dinámica y estadísticamente según el correspondiente perfil de analizador. McAfee Advanced Threat Defense 3.4.2 Guía del producto 355 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI install msu Instala uno de los dos archivos msu siguientes: • amas-3.x.x.x.x.msu • system-3.x.x.x.x.msu Sintaxis: install msu Parámetro Descripción <SWNAME> nombre de archivo msu que el usuario quiere instalar. Puede ser amas-3.x.x.x.x.msu o system-3.x.x.x.x.msu. <RESET_DB> Este parámetro acepta dos valores (0/1). '0' indica que se instale el archivo msu sin restablecer la base de datos. '1' indica que se instale el archivo msu además de restablecer la base de datos. Ejemplo: install msu amas-3.3.0.25.42303.msu 1 lbstats Muestra las estadísticas para el nodo principal, el de copia de seguridad y el secundario en un clúster de equilibrio de cargas. Este comando no tiene parámetros. No se muestra nada si Advanced Threat Defense no forma parte de un clúster. Sintaxis: lbstats Encontrará información detallada en Supervisar el estado de un clúster de Advanced Threat Defense en la página 335. list Lista todos los comandos CLI disponibles para el usuario. Sintaxis: list Este comando no tiene parámetros. lowseveritystatus Advanced Threat Defense trata las muestras con gravedad 1 y 2 como gravedad baja, y la gravedad 3, 4 y 5 como maliciosa. De forma predeterminada, si configura análisis dinámicos, la calificación de análisis dinámico se muestra en el informe de resumen para todas las muestras. Esta calificación también afecta a la calificación final de esa muestra. Si es necesario, puede usar el comando lowseveritystatus para modificar este comportamiento. Por ejemplo para muestras cuya gravedad es baja y se analizan de forma dinámica, Advanced Threat Defense no muestra la calificación de análisis dinámico en el informe de resumen, ni tiene en cuenta esa calificación para calcular la calificación final. El comando lowseveritystatus se aplica solo a muestras no PE (por ejemplo, documentos de Microsoft Word y archivos PDF). 356 McAfee Advanced Threat Defense 3.4.2 Guía del producto Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI 9 Sintaxis: lowseveritystatus <show><hide> Ejemplo: lowseveritystatus hide Parámetro Descripción show Este es el comportamiento predeterminado. Si una muestra se analiza de forma dinámica, Advanced Threat Defense muestra la calificación de análisis dinámico en el informe. Y además tiene en cuenta esta calificación para calcular la calificación final. hide Se presupone que la muestra es un archivo no PE que se ha sometido a un análisis dinámico. Si Advanced Threat Defense detecta una gravedad de archivo baja, no muestra la calificación de análisis dinámico en el informe (bajo Sandbox (Recinto aislado) en la sección Down Selector's Analysis (Selecciones de análisis)). Advanced Threat Defense tampoco tiene en cuenta la calificación de análisis dinámico para el cálculo de la calificación final. Pero se incluyen en el informe los detalles del análisis dinámico, por ejemplo, archivos abiertos y archivos creados. El comando lowseveritystatus hide solo afecta a la calificación mostrada en el informe, no influye en la presentación de los resultados en la página Analysis Results (Resultados del análisis). nslookup Muestra los resultados de la consulta nslookup para un determinado nombre de dominio. Puede usarlo para verificar que McAfee Advanced Threat Defense es capaz de realizar consultas nslookup correctamente. Sintaxis: nslookup <WORD> Parámetro Descripción <PALABRA> El nombre del dominio para el que quiere realizar una consulta de nslookup. Ejemplo: nslookup mcafee.com passwd Cambia la contraseña para el usuario de CLI (cliadmin). La contraseña debe tener entre 8 y 25 caracteres y puede incluir caracteres alfanuméricos o símbolos. Se le pedirá que introduzca la contraseña actual antes de cambiar a la nueva contraseña. Sintaxis: passwd ping Hace ping a un host de red o nombre de dominio. Si desea hacer ping a un nombre de dominio, puede especificar una dirección IPv4 para hacer ping al host de red y el nombre de dominio. Sintaxis: ping <A.B.C.D> McAfee Advanced Threat Defense 3.4.2 Guía del producto 357 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Parámetro Descripción <A.B.C.D> Denota una dirección IP de host de red de 32 bits escrita como cuatro números de ocho bits, separados por espacios. Cada número (A, B, C o D) representa un número de ocho bits entre 0 y 255. <WORD> El nombre del dominio al que desea hacer ping. quit Salir de CLI. Este comando no tiene parámetros. Sintaxis: quit reboot Reinicia McAfee Advanced Threat Defense Appliance con la imagen en el disco actual. Confirme que desea reiniciar. Sintaxis: reboot Parámetro Descripción reboot active Reinicia el appliance con la versión de software del disco activo. reboot backup Reinicia el appliance con la versión de software del disco de copia de seguridad. reboot vmcreator Vuelve a crear las máquinas virtuales analizadoras configuradas en la aplicación web McAfee Advanced Threat Defense, a la vez que reinicia el appliance. resetuiadminpasswd Utilice este comando para restablecer la contraseña del usuario admin de la aplicación web McAfee Advanced Threat Defense. Al ejecutar este comando, se restablece el valor predeterminado de la contraseña (admin). Tenga en cuenta que las sesiones activas no se verán afectadas. El cambio de contraseña solo afecta a los nuevos intentos de inicio de sesión. Sintaxis: resetuiadminpasswd Pulse Y para confirmar o N para cancelar. resetusertimeout Permite a los usuarios iniciar sesión en la aplicación web McAfee Advanced Threat Defense sin tener que esperar a que expire el temporizador. Sintaxis: resetusertimeout <PALABRA> Parámetro Descripción <PALABRA> El nombre de usuario de la aplicación web McAfee Advanced Threat Defense para el que desee quitar el temporizador de inicio de sesión. Si esta acción tiene éxito, se mostrará el mensaje Reset done! (¡Restablecido con éxito!). Ejemplo: resetusertimeout admin 358 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI restart network Utilice este comando para reiniciar la red en McAfee Advanced Threat Defense. Reinicie amas después de usar este comando. Sintaxis: restart network Este comando no tiene parámetros. route add/delete network Hay comandos CLI disponibles para agregar y eliminar rutas estáticas a McAfee Advanced Threat Defense. Para agregar un puerto route add network <IP de red> netmask <máscara de red> gateway <IP de gateway> intfport <puerto número 1><puerto número 2><puerto número 3> Ejemplo: route add network 1.1.1.0 netmask 255.255.255.0 gateway 1.1.1.1 intfport 1 Para eliminar un puerto route delete network <IP de red> netmask <máscara de red> gateway <IP de gateway> intfport <puerto número 1><puerto número 2><puerto número 3> Ejemplo: route delete network 1.1.1.0 netmask 255.255.255.0 gateway 1.1.1.1 intfport 1 samplefilter Este comando es específico de los Sensors de Network Security Platform. Utilice este comando para evitar que los Sensors envíen tipos de archivos no admitidos a McAfee Advanced Threat Defense para su análisis. Sintaxis: samplefilter <status><enable><disable> Parámetro Descripción status Indica si la función de filtrado de muestras está activada o desactivada. Está activada de forma predeterminada. enable Activa el filtrado de muestras. Cuando esta función está activada, McAfee Advanced Threat Defense solo considera los tipos de archivo admitidos de Network Security Platform para el análisis. Consulte Análisis de malware en la página 4 para ver la lista de archivos admitidos. McAfee Advanced Threat Defense omite el resto de tipos de archivo e informa a Network Security Platform si alguna muestra tiene un tipo de archivo no admitido. Esto evita la utilización de recursos para tipos de archivo no admitidos tanto en McAfee Advanced Threat Defense como Network Security Platform. disable Desactiva el filtrado de muestras. Si se desactiva esta función, McAfee Advanced Threat Defense considera todos los archivos enviados por Network Security Platform para el análisis, aunque solo se analizan los tipos de archivo admitidos. El resto de archivos se muestran como no compatibles en las páginas Analysis Status (Estado de análisis) y Analysis Results (Resultados de análisis). Ejemplo: samplefilter status McAfee Advanced Threat Defense 3.4.2 Guía del producto 359 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI set appliance dns A.B.C.D E.F.G.H WORD Define las direcciones DNS preferida y alternativa de Advanced Threat Defense Appliance. Sintaxis: set appliance dns A.B.C.D E.F.G.H WORD Parámetro Descripción <A.B.C.D> Dirección DNS preferida <E.F.G.H> Dirección DNS alternativa <WORD> Nombre de dominio de appliance Ejemplo: ATD-6000> set appliance dns 1.1.1.2 10.11.10.4 nai.com DNS setting had been configured set intfport Utilice este comando para activar o desactivar los puertos de interfaz McAfee Advanced Threat Defense. Sintaxis set intfport <1><2><3> <enable><disable> Ejemplo: set intfport 1 enable set intfport auto Establece un puerto de interfaz para negociar automáticamente la conexión con el dispositivo de red inmediato. Sintaxis: set intfport <1><2><3> auto Ejemplo: set intfport 1 auto set intfport ip Establece una dirección IP para un puerto de interfaz. Sintaxis: set intfport <1><2><3> ip A.B.C.D E.F.G.H Ejemplo: set intfport 1 10.10.10.10 255.255.255.0 set intfport speed duplex Establece la velocidad y configuración de dúplex en el puerto de interfaz. Sintaxis: set intfport <1><2><3> speed <10 | 100> duplex <half | full> 360 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Parámetro Descripción <1> <2> <3> Introduzca un ID de puerto de interfaz para la que desee establecer la velocidad y dúplex. <10 | 100> Establece la velocidad del puerto de interfaz. El valor de velocidad puede ser 10 o 100 <half | full> Establece la configuración de dúplex en el puerto de interfaz. Establece el valor “half” dúplex medio y “full” para dúplex completo. Ejemplo: set intfport 1 speed 100 duplex full set malware-intfport Configura el puerto requerido para dirigir el tráfico de Internet desde una máquina virtual analizadora. Antes de ejecutar este comando, asegúrese de que el puerto requerido está activado y configurado con una dirección IP. Sintaxis: set malware-intfport <1><2><3> gateway A.B.C.D Ejemplo: set malware-intfport 1 10.10.10.252 Ejecute show intfport 1 y verifique las entradas de Malware Interface Port (Puerto de interfaz de malware) y Malware Gateway (Gateway de malware). McAfee Advanced Threat Defense usa el puerto configurado para proporcionar acceso a Internet a las máquinas virtuales analizadoras. Consulte Acceso por Internet a archivos de muestra en la página 246. set mgmtport auto Configura el puerto de red para que negocie automáticamente la conexión entre el dispositivo McAfee Advanced Threat Defense y el dispositivo de red inmediato. Este comando no tiene parámetros. Sintaxis: set mgmtport auto Valor predeterminado: El puerto de red está configurado de forma predeterminada como auto (negociar automáticamente). set mgmtport speed and duplex Configura el puerto de red para que iguale la velocidad del dispositivo de red conectado al dispositivo McAfee Advanced Threat Defense, y permite ejecutarlo en modo de dúplex medio o dúplex completo. Sintaxis: set mgmtport <velocidad <10 | 100> duplex <full | half>> McAfee Advanced Threat Defense 3.4.2 Guía del producto 361 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Parámetro Descripción <10|100> establece la velocidad del puerto de red Ethernet. El valor de velocidad puede ser 10 o 100 Mbps. Para establecer la velocidad en 1000 Mbps, use el comando set mgmtport auto. <half|full> establece la configuración de dúplex en el puerto de red Ethernet. Establece el valor half para dúplex medio y full para dúplex completo. Valor predeterminado: El puerto de red está configurado de forma predeterminada como auto (negociar automáticamente). set filesizes Permite al usuario de McAfee Advanced Threat Defense cambiar los tamaños de archivo mínimo y máximo de acuerdo con sus requisitos. Sintaxis: set filesizes <type number> <minimum size> <maximum size> <restart engine> Parámetro Descripción type number Tipo de archivo enviado para su análisis. minimum size Tamaño de archivo mínimo. maximum size Tamaño de archivo máximo. restart engine Utiliza un valor de 1 o 0. 1: reinicia el servicio AMAS; esto es necesario para la integración de NSP y NGFW. 0: mantiene el servicio AMAS en ejecución; utilice esta opción cuando el envío sea a través de GUI/RestAPI. La tabla siguiente describe los distintos tipos de archivo y sus respectivos parámetros de Type number, (Número de tipo) Minimum File size (Tamaño de archivo mínimo) y Maximum File size (Tamaño de archivo máximo): 362 Número de tipo Descripción del archivo Tamaño mínimo Tamaño máximo 1 Archivo exe portable ejecutable (PE), dll o archivo del sistema de Windows 1024 10000000 2 Archivo de documento PDF con extensión .pdf 2048 25000000 3 Archivo de datos de clase de Java con la extensión .class 1024 5000000 4 Archivos de Microsoft Office antiguos con la extensión .doc, .ppt o .xls 5120 10000000 5 Archivo con formato de texto enriquecido de Microsoft con la extensión .rtf 1024 10000000 6 Archivo Zip, archivo APK o archivo nuevo de Microsoft Office con la extensión .docx, .pptx o .xlsx 200 20000000 7 Archivo de imagen JPEG 5120 1000000 8 Archivo de imagen PNG 5120 1000000 9 Archivo de imagen/mapa de bits GIF 5120 1000000 10 Archivo ejecutable de Microsoft DOS con la extensión .com 1024 5000000 McAfee Advanced Threat Defense 3.4.2 Guía del producto Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Número de tipo Descripción del archivo Tamaño mínimo Tamaño máximo 11 Archivo Flash con la extensión .swf 1024 5000000 12 Archivo comprimido de 7-zip con la extensión .7z 200 10000000 13 Archivo comprimido RAR con la extensión .rar 200 10000000 14 Archivo CAB comprimido de Microsoft con la extensión .cab 200 10000000 9 Por ejemplo, si un usuario desea cambiar el tamaño de archivo mínimo del archivo de imagen JPEG a 300 bytes, el comando set filesizes 7 300 1000000 0 cambia el tamaño de tamaño de archivo mínimo del archivo de imagen JPEG a 300 bytes. set fips Activa o desactiva el modo FIPS. Este comando no tiene parámetros. Reinicie McAfee Advanced Threat Defense Appliance cuando active o desactive el modo FIPS. Sintaxis: set fips <enable> <disable> set ftp Al cargar archivos para su análisis a través de un cliente FTP o al importar un archivo VMDK en McAfee Advanced Threat Defense para crear una máquina virtual analizadora, se utiliza SFTP, ya que FTP no se admite de modo predeterminado. Sin embargo, si prefiere usar FTP para estas tareas, puede activar FTP. Sintaxis: set ftp <enable><disable> De forma predeterminada, FTP está desactivado. Ejemplo: set ftp enable Consulte también: show ftp en la página 367. set heuristic_analysis Consulte heuristic_analysis en la página 353. set appliance gateway Especifica la dirección IPv4 para la gateway para el dispositivo McAfee Advanced Threat Defense. Sintaxis: set appliance gateway <A.B.C.D> Parámetro Descripción <A.B.C.D> una dirección de 32 bits escrita como cuatro números de ocho bits, separados por espacios. A, B, C o D representan un número de ocho bits entre 0 y 255. Ejemplo: set appliance gateway 192.34.2.8 McAfee Advanced Threat Defense 3.4.2 Guía del producto 363 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI set appliance ip Especifica la dirección IPv4 y máscara de subred para el dispositivo McAfee Advanced Threat Defense. Cambiar la dirección IP requiere reiniciar para que los cambios surtan efecto. Consulte el comando reboot para ver las instrucciones sobre como reiniciar el dispositivo McAfee Advanced Threat Defense. Sintaxis: set appliance ip <A.B.C.D E.F.G.H> Parámetro Descripción <A.B.C.D E.F.G.H> indica una dirección IPv4 seguida de una máscara de red. La máscara de red quita el ID de host de la dirección IP, dejando solo el ID de red. Cada máscara de red consta de unos binarios (255 decimal) para enmascarar el ID de red, y de ceros binarios (0 decimal) para retener el ID de host de la dirección IP (por ejemplo, la configuración predeterminada de la máscara de red para una dirección de Clase C es 255.255.255.0). Ejemplo: set appliance ip 192.34.2.8 255.255.0.0 set appliance name Establece el nombre del dispositivo McAfee Advanced Threat Defense. Este nombre se usa para identificar el dispositivo McAfee Advanced Threat Defense si lo integra con Network Security Platform. Sintaxis: set appliance name <PALABRA> Parámetro Descripción <PALABRA> indica una serie de hasta 25 caracteres que distingue mayúsculas y minúsculas. La serie puede incluir guiones, guiones bajos y espacios, y debe empezar con una letra. Ejemplo: set appliance name SanJose_MATD1 set uilog Use este comando para establecer la cantidad de información de acceso de la IU que se debe registrar. Los niveles varían de 1 a 7. Sintaxis: set uilog<seconds> Parámetro Descripción <numeric> Establece la cantidad de información de acceso de la IU que se debe registrar. ATD-6000> set uilog 5 new log level is 5 set ui-timeout Especifica el número de minutos de inactividad que pueden transcurrir antes de que la conexión a la aplicación web McAfee Advanced Threat Defense se agote. 364 McAfee Advanced Threat Defense 3.4.2 Guía del producto Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI 9 Sintaxis: set ui-timeout <60 - 86400> Parámetro Descripción <60 - 86400> Puede establecer un periodo de 60 a 86400 segundos. Ejemplo: set ui-timeout 600 Valor predeterminado: 15 minutos set waittime Use este comando para configurar el tiempo de espera máximo para analizar muestras de McAfee Email Gateway. Si el tiempo medio de análisis de muestras enAdvanced Threat Defense es superior al umbral establecido por este comando, se rechazan las muestras enviadas porMcAfee Email Gateway. Sintaxis: set waittime <seconds> Parámetro Descripción <seconds> Establece el número de segundos como valor máximo de espera. Ejemplo set waittime 20 set whitelist Use este comamndo para configurar la comprobación de la lista blanca por parte de McAfee Advanced Threat Defense. Está activada de forma predeterminada. Sintaxis: set whitelist <enable><disable> Ejemplo: set whitelist enable show Muestra todas las opciones de configuración actuales de McAfee Advanced Threat Defense Appliance. Este comando no tiene parámetros. Sintaxis: show La información mostrada por el comando show incluye: [Información de Sensor] • Nombre del sistema • Versión del software • Fecha • Versión activa • Tiempo de actividad • Versión de copia de seguridad • Tipo de sistema • Puerto Ethernet MGMT • Número de serie McAfee Advanced Threat Defense 3.4.2 Guía del producto 365 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI [Configuración de red de Sensor] • Dirección IP • Máscara de red • Gateway predeterminada • Dirección DNS show epo-stats nsp Muestra el recuento de peticiones enviadas a McAfee ePO, el recuento de respuestas recibidas de McAfee ePO y el recuento de peticiones fallidas. Sintaxis: show epo-stats nsp Este comando no tiene parámetros. show filesizes Muestra todos los tipos de archivo admitidos por McAfee Advanced Threat Defense con detalles como tipo, número, tamaño de archivo mínimo y máximo en bytes, y descripción breve. Este comando no tiene parámetros. Sintaxis: show filesizes A continuación se ofrece la información mostrada por el comando show filesizes: 366 Número de tipo Descripción del archivo Tamaño mínimo Tamaño máximo 1 Archivo exe portable ejecutable (PE), dll o archivo del sistema de Windows 1024 10000000 2 Archivo de documento PDF con extensión .pdf 2048 25000000 3 Archivo de datos de clase de Java con la extensión .class 1024 5000000 4 Archivos de Microsoft Office antiguos con la extensión .doc, .ppt o .xls 5120 10000000 5 Archivo con formato de texto enriquecido de Microsoft con la extensión .rtf 1024 10000000 6 Archivo Zip, archivo APK o archivo nuevo de Microsoft Office con la extensión .docx, .pptx o .xlsx 200 20000000 7 Archivo de imagen JPEG 5120 1000000 8 Archivo de imagen PNG 5120 1000000 9 Archivo de imagen/mapa de bits GIF 5120 1000000 10 Archivo ejecutable de Microsoft DOS con la extensión .com 1024 5000000 11 Archivo Flash con la extensión .swf 1024 5000000 12 Archivo comprimido de 7-zip con la extensión .7z 200 10000000 McAfee Advanced Threat Defense 3.4.2 Guía del producto Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Número de tipo Descripción del archivo Tamaño mínimo Tamaño máximo 13 Archivo comprimido RAR con la extensión .rar 200 10000000 14 Archivo CAB comprimido de Microsoft con la extensión .cab 200 10000000 9 show fips Muestra si en ese momento FIPS está activado o desactivado. Este comando no tiene parámetros. Sintaxis: show fips show ftp Use este comando para saber si en ese momento FTP está activado o desactivado. De forma predeterminada, FTP está desactivado. Sintaxis: show ftp Consulte también set ftp en la página 363. show history Muestra la lista de comandos CLI emitidos durante esta sesión. Sintaxis: show history Este comando no tiene parámetros. show heuristic_analysis Consulte heuristic_analysis en la página 353. show intfport Muestra el estado del puerto de interfaz especificado o del puerto de administración de McAfee Advanced Threat Defense. Sintaxis: show intfport <mgmt><1><2><3> La información mostrada por el comando show intfport incluye: • Si el estado administrativo del puerto está activado o desactivado. • El estado de vínculo del puerto. • La velocidad del puerto. • Si el puerto está configurado para dúplex completo o medio. • Paquetes recibidos totales. • Paquetes enviados totales. • Errores de CRC recibidos totales. • Otros errores recibidos totales. • Errores de CRC enviados totales. McAfee Advanced Threat Defense 3.4.2 Guía del producto 367 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI • Otros errores enviados totales. • Dirección IP del puerto. • Dirección MAC del puerto. • Si el puerto se usa para proporcionar acceso a Internet a las máquinas virtuales analizadoras. • Si se configura para que proporcione acceso a Internet a las máquinas virtuales analizadoras, se abre la correspondiente puerta de enlace para este tráfico. show msu Muestra los archivos msu copiados a Advanced Threat Defense a través de SFTP. Sintaxis: show msu show nsp scandetails Muestra los detalles del análisis del archivo concernientes a los Sensors IPS integrados. Sintaxis: show nsp scandetails <Dirección IP de Sensor> Si no especifica la dirección IP de un Sensor en concreto, se mostrarán los detalles de todos los Sensors integrados con el dispositivo McAfee Advanced Threat Defense. La información mostrada por el comando show nsp scandetails incluye: 368 • La dirección IP del Sensor IPS. • El número total de paquetes recibidos del Sensor. • El número total de paquetes enviados al Sensor. • La marca de tiempo en la que se recibió y envió el último paquete desde y hacia el Sensor. • El método de cifrado usado para la comunicación con el Sensor. • Recuentos nulos de identificador de sesión. • Recuento de errores internos. • Recuento de comandos desconocidos recibidos de Sensor. • Cadena vacía de archivos. • Datos de archivo vacíos. • Recuento de archivos desconocidos. • Recuento de paquetes fuera del orden establecido. • Recuento de discrepancias MD5 entre lo enviado por Sensor y lo calculado por McAfee Advanced Threat Defense. • Recuento de fallos de asignación de memoria. • Tiempo de espera de transferencia de archivos. • Recuento de nuevos archivos. • Recuento de fallos de asignación de memoria compartida. • Recuento del número de respuestas de análisis estático enviadas. McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI • Recuento del número de respuesta de análisis dinámico enviadas. • Recuento de peticiones de análisis recibidas. • MD5 del último archivo transmitido por el Sensor. show route Este comando se usa para mostrar las rutas que ha configurado mediante el comando route add, así como mediante la tabla de enrutamiento IP del sistema. Sintaxis: show route En la siguiente tabla presentamos un ejemplo de la información que este comando proporciona. Tabla 9-2 Tabla de enrutamiento IP del sistema Destino Gateway Máscara de subred Marcas Métrica Ref Uso Iface 10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 mgmt 11.11.11.0 0.0.0.0 255.255.255.0 U 0 0 0 mgmt 12.12.0.0 0.0.0.0 255.255.0.0 U 0 0 0 mgmt 13.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 mgmt 0.0.0.0 10.10.10.253 0.0.0.0 UG 0 0 0 mgmt show ui-timeout Muestra el tiempo de espera del cliente de la aplicación web de McAfee Advanced Threat Defenseen segundos. Sintaxis: show ui-timeout Ejemplo de salida: Current timeout value: 600 show uilog Use este comando para comprobar el nivel actual de uilog. Este comando no tiene parámetros. Sintaxis: show uilog A continuación se ofrece la información mostrada por el comando show uilog: ATD-6000> show uilog Current log level is 7 show version Muestra la versión de Zebra de McAfee Advanced Threat Defense. Este comando no tiene parámetros. Sintaxis: show version McAfee Advanced Threat Defense 3.4.2 Guía del producto 369 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI A continuación se ofrece la información mostrada por el comando show uilog: Zebra 0.95a (). Copyright 1996-2004, Kunihiro Ishiguro. ATD-3000> show waittime Muestra el umbral de tiempo de espera establecido para McAfee Email Gateway. Sintaxis: show waittime Ejemplo de salida: Current MEG wait time threshold=780 seconds shutdown Detiene el dispositivo McAfee Advanced Threat Defense para que pueda apagarlo. A continuación, al cabo de aproximadamente un minuto, puede apagar el dispositivo McAfee Advanced Threat Defense manualmente y desenchufar ambas fuentes de alimentación. El dispositivo McAfee Advanced Threat Defense no se apaga automáticamente. Debe confirmar que desea apagarlo. Este comando no tiene parámetros. Sintaxis: shutdown status Muestra el estado del sistema de McAfee Advanced Threat Defense, incluyendo el mantenimiento del sistema y el número de archivos enviados a los diversos motores. Este comando no tiene parámetros. Sintaxis: status Ejemplo de salida: System Health Status : good Sample files received count: 300 Sample files submitted count: 300 GTI Scanner files submitted count: 50 GAM Scanner files submitted count: 100 MAV Scanner files submitted count: 200 Sandbox files submitted count: 25 Sandbox files finished count: 25 Sample files finished count: 300 Sample files error count: 0 terminal Establecer el número de líneas que se deben mostrar en la pantalla de McAfee Advanced Threat Defense 370 McAfee Advanced Threat Defense 3.4.2 Guía del producto 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI Sintaxis: terminal <length>¦no Parámetro Descripción <length> Establece el número de líneas que mostrar en pantalla. El valor oscila entre 0 - 512. no Niega el comando anterior o establece el valor predeterminado. update_avdat De forma predeterminada, McAfee Advanced Threat Defense actualiza los archivos DAT para McAfee Gateway Anti-Malware Engine y McAfee Anti-Malware Engine cada 90 minutos. Para actualizar estos archivos inmediatamente, use el comando update_avdat. Este comando no tiene parámetros. Sintaxis: update_avdat Vmlist Muestra la lista de todas las máquinas virtuales configuradas en McAfee Advanced Threat Defense Sintaxis: vmlist watchdog El proceso watchdog reinicia el dispositivo McAfee Advanced Threat Defense cuando se detecta un fallo irrecuperable. Sintaxis: watchdog <on | off | status> Parámetro Descripción <on> Activa watchdog. <off> Desactiva watchdog. Úselo si el dispositivo se reinicia continuamente debido a reiterados fallos del sistema. <status> Muestra el estado del proceso watchdog. set malware-intfport mgmt De forma predeterminada, el acceso a Internet de las máquinas virtuales analizadoras es a través del puerto de administración (eth-0) deMcAfee Advanced Threat Defense. Utilice este comando si había configurado otro puerto para dirigir el tráfico de red y desea volver a usar el puerto de administración. Sintaxis: set malware-intfport mgmt Ejecute show intfport mgmt y verifique las entradas de Malware Interface Port (Puerto de interfaz de malware) y Malware Gateway (Gateway de malware). McAfee Advanced Threat Defense usa el puerto de administración para proporcionar acceso a Internet a las máquinas virtuales analizadoras. Consulte Acceso por Internet a archivos de muestra en la página 246. McAfee Advanced Threat Defense 3.4.2 Guía del producto 371 9 Comandos CLI para McAfee Advanced Threat Defense Lista de comandos CLI whitelist Utilice los comandos siguientes para administrar la lista blanca de McAfee Advanced Threat Defense. Sintaxis: • Para agregar un MD5 a la lista blanca, use whitelist add <md5> Ejemplo: whitelist add 254A40A56A6E68636E1465AF7C42B71F • Para eliminar un MD5 de la lista blanca, use whitelist delete <md5> Ejemplo: whitelist delete 254A40A56A6E28836E1465AF7C42B71F • Para comprobar que un determinado MD5 está en la lista blanca, use whitelist query <md5> Ejemplo: whitelist query 254A40A56A6E28636E1465AF7C42B71F • 372 Para comprobar que la lista blanca está activada, use whiteliststatus McAfee Advanced Threat Defense 3.4.2 Guía del producto Índice A acceso a Internet 246 acerca de esta guía 9 Advertencias 21 análisis de malware 279 flujo del proceso 246, 279, 287 análisis de malware, configuración descripción general 241 análisis de muestras 279 análisis dinámico 241 análisis estático 241 analyzer profile (perfil de analizador) modificación 254 Anti-Malware Engine 241 Archivo VMDK conversión de imágenes 228 archivos de diagnóstico 59 archivos de registro 59 B base de datos copia de seguridad y restauración 61 C cargar archivos aplicación web 280 manual 280 SFTP 286 cargar muestras aplicación web 280 manual 280 SFTP 286 cargar URL aplicación web 288 manual 288 modo usuario interactivo 281 CLI, comandos lista 348 procedimientos 345 CLI, inicio de sesión 347 comandos CLI comandos obligatorios 347 McAfee Advanced Threat Defense 3.4.2 configuración de análisis de malware pasos de alto nivel 245 convenciones tipográficas e iconos utilizados en esta guía 9 copia de seguridad y restauración 61 D descripción general 11 disco A 347 disco activo 347 disco B 347 disco de copia de seguridad 347 DNS, configuración 262, 266 documentación convenciones tipográficas e iconos 9 destinatarios de esta guía 9 específica de producto, buscar 10 E Emisión de comandos CLI autocompletar 346 consola 345 ssh 346 ePO, integración con servidor 254 estado de análisis clúster 340 supervisar 290 exportar registros 59 F fecha y hora 266, 273, 276, 277 flujo del proceso 254 G Gateway Anti-Malware Engine 241 I informes archivos depositados 303 logic path graph (gráfico de ruta lógica) 304 resultados de desemsamblaje 303 resumen del análisis 296 inicio de sesión de Sensor; ssh 346 Guía del producto 373 Índice J JSON 296 L lista blanca local 241 lista negra local 241 M máquina virtual analizadora 241 crear 71 McAfee Advanced Threat Defense acceso a la aplicación web 36 administración de usuarios 37, 259 ampliación 45, 51, 53 copia de seguridad y restauración 61 descripción de solución 12 discos 347 importación de software 45, 51, 53 monitores de rendimiento 317 opciones de despliegue 14 panel 311 supervisar rendimiento 43 ventajas 17 McAfee Advanced Threat Defense Appliance configuración 19, 27 especificaciones de hardware 25 información importante 20 McAfee ServicePortal, acceso 10 modo de Internet real 246 modo simulación 246 modo usuario interactivo 281 monitores análisis de malware 312 estado de creación de máquina virtual 317 N R reglas YARA personalizadas 270 requisitos del sistema cliente 35 resultados de análisis clúster 341 resultados del análisis ver 294 S ServicePortal, buscar documentación del producto 10 servidor de ePO, configuración 256, 258 servidor proxy de Internet 259–261 simulador de red 246 solución de problemas 58 soporte técnico, encontrar información de productos 10 STIX 296 T terminología 241 U user API Log (Registro de las API de usuario) 309 usuario 241 V números de puerto usados 27 O OpenIOC 296 P ver los resultados del análisis 294 VM creation log registro de creación de máquina virtual 239 VMDK, archivo importar 228 X panel 311 paquete de soporte 59 para comandos CLI Sintaxis 346 perfil de analizador 241 administración 249 agregar 251 eliminación 254 374 perfil de analizador 241 ver 250 perfil de máquina virtual 241 administración 231 agregar 233 crear 233 editar 238 eliminar 239 ver 232 McAfee Advanced Threat Defense 3.4.2 X-Mode 281 XML 296 XMode 281 Y YARA, reglas 270 Guía del producto 0A02