Advanced Threat Defense 3.4.2 Guía del producto

Anuncio
Guía del producto
Revisión A
McAfee Advanced Threat Defense 3.4.2
COPYRIGHT
Copyright © 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
ATRIBUCIONES DE MARCAS COMERCIALES
Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus
empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Contenido
Prefacio
9
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . .
10
1
®
Detección de malware y McAfee Advanced Threat Defense
11
El escenario de amenaza de malware . . . . . . . . . . . . . . . . . . . . . . . . . .
La solución McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . .
Opciones de despliegue de McAfee Advanced Threat Defense . . . . . . . . . . . . .
Ventajas de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . .
2
Configuración de McAfee Advanced Threat Defense Appliance
19
Acerca del dispositivo McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . .
Funciones del dispositivo McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . .
Antes de instalar McAfee Advanced Threat Defense Appliance . . . . . . . . . . . . . . . .
Advertencias y precauciones . . . . . . . . . . . . . . . . . . . . . . . . . .
Restricciones de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Desempaquete el envío . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compruebe el paquete . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificaciones de hardware y requisitos de entorno . . . . . . . . . . . . . . . . . . .
Números de puerto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . .
Instalar o quitar las asas del bastidor . . . . . . . . . . . . . . . . . . . . . .
Instalar o quitar el dispositivo del bastidor . . . . . . . . . . . . . . . . . . . .
Encienda McAfee Advanced Threat Defense Appliance . . . . . . . . . . . . . . . .
Manipulación del bisel frontal . . . . . . . . . . . . . . . . . . . . . . . . . .
Conecte el cable de red . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la información de red para McAfee Advanced Threat Defense Appliance . .
3
Acceso a la aplicación web McAfee Advanced Threat Defense
Administración de Advanced Threat Defense
35
36
37
Administración de usuarios de McAfee Advanced Threat Defense . . . . . . . . . . . . . . .
Ver perfiles de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Agregar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Editar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisar el rendimiento de McAfee Advanced Threat Defense . . . . . . . . . . . . . . .
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android . . . . . . . . . . . .
Ampliación del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx . . . . .
Amplié el software McAfee Advanced Threat Defense de 3.0.2.36 a 3.2.0.xx . . . . . . .
Amplíe el software McAfee Advanced Threat Defense de 3.0.4.xx a 3.2.0.xx . . . . . . .
McAfee Advanced Threat Defense 3.4.2
19
19
20
21
21
22
22
25
27
27
28
28
31
31
32
32
35
Requisitos del cliente McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . .
Acceso a la aplicación web McAfee Advanced Threat Defense . . . . . . . . . . . . . . . .
4
11
12
14
17
37
38
40
43
43
43
44
45
48
51
Guía del producto
3
Contenido
5
Amplíe el software ATD de 3.2.0.xx a 3.2.2.xx . . . . . . . . . . . . . . . . . . .
Ampliar la máquina virtual analizadora de Android . . . . . . . . . . . . . . . . .
Troubleshooting (Solución de problemas) . . . . . . . . . . . . . . . . . . . . . . . .
Exportación de registros de McAfee Advanced Threat Defense . . . . . . . . . . . . .
Volver a crear las máquinas virtuales analizadoras . . . . . . . . . . . . . . . . .
Eliminación de los resultados del análisis . . . . . . . . . . . . . . . . . . . . .
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense . . . . . .
Planificar una copia de seguridad de base de datos . . . . . . . . . . . . . . . . .
Restaurar una copia de seguridad de base de datos: archivo de copia de seguridad específico
archivo de copia de seguridad anterior . . . . . . . . . . . . . . . . . . . . . .
53
55
58
59
60
61
61
62
y
65
Creación de una máquina virtual analizadora
71
Creación de un archivo VMDK para Windows XP . . . . . . . . . . . . . . . . . . . . .
Creación de un archivo VMDK para Windows 2003 Server . . . . . . . . . . . . . . . . .
Creación de un archivo VMDK para Windows 7 . . . . . . . . . . . . . . . . . . . . .
Creación de un archivo VMDK para Windows 2008 Server . . . . . . . . . . . . . . . . .
Creación de un archivo VMDK para Windows 8 . . . . . . . . . . . . . . . . . . . . .
Importación de un archivo VMDK en McAfee Advanced Threat Defense . . . . . . . . . . .
Convierta el archivo VMDK en un archivo de imagen . . . . . . . . . . . . . . . . . . .
Administración de perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . .
Ver perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . . .
Crear perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . .
Editar perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . . . . . .
Eliminación de perfiles de máquina virtual . . . . . . . . . . . . . . . . . . . .
Ver el registro de creación de máquina virtual . . . . . . . . . . . . . . . . . . . . . .
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pasos de alto nivel para configurar el análisis de malware . . . . . . . . . . . . . . . . .
¿Cómo analiza el malware McAfee Advanced Threat Defense? . . . . . . . . . . . . . . .
Acceso por Internet a archivos de muestra . . . . . . . . . . . . . . . . . . . .
Administrar perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . .
Ver perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . .
Editar perfiles de analizador . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminación de perfiles de analizador . . . . . . . . . . . . . . . . . . . . . .
Integración con McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurar la integración con McAfee ePO . . . . . . . . . . . . . . . . . . . .
Integración con Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la integración con Data Exchange Layer . . . . . . . . . . . . . .
Integración con McAfee Next Generation Firewall . . . . . . . . . . . . . . . . . . . .
Especificar servidor proxy para conectividad de Internet . . . . . . . . . . . . . . . . .
Especificación de configuración de proxy para tráfico de Global Threat Intelligence . . . .
Especificar la configuración del proxy de sitio de malware para el tráfico de malware . . .
Configuración del parámetro Syslog . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de los ajustes de fecha y hora . . . . . . . . . . . . . . . . . . . . . .
Defina reglas YARA personalizadas para identificar malware . . . . . . . . . . . . . . . .
Creación del archivo de reglas YARA personalizadas . . . . . . . . . . . . . . . .
Importación del archivo de reglas YARA personalizadas . . . . . . . . . . . . . . .
Activación y desactivación de reglas YARA personalizadas . . . . . . . . . . . . . .
Modificar reglas YARA personalizadas . . . . . . . . . . . . . . . . . . . . . .
7
Análisis de malware
McAfee Advanced Threat Defense 3.4.2
241
241
245
246
246
249
250
251
254
254
254
256
257
258
259
259
260
261
262
266
266
270
273
276
276
277
279
Analizar archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
73
104
137
162
188
228
228
231
232
233
238
239
239
279
Guía del producto
Contenido
Cargue archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
280
Cargar archivos para su análisis mediante SFTP . . . . . . . . . . . . . . . . . . 286
Analizar URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
¿Cómo analiza Advanced Threat Defense las direcciones URL? . . . . . . . . . . . . 287
Cargue URL para su análisis mediante la aplicación web Advanced Threat Defense . . . . 288
Configurar la página Analysis Status (Estado de análisis) . . . . . . . . . . . . . . . . . 290
Ver los resultados del análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Ver el informe Analysis Summary (Resumen del análisis) . . . . . . . . . . . . . . 296
Informe Dropped Files (Archivos depositados) . . . . . . . . . . . . . . . . . .
303
Disassembly Results (Resultados de desensamblaje) . . . . . . . . . . . . . . . . 303
Logic Path Graph (Gráfico de ruta lógica) . . . . . . . . . . . . . . . . . . . .
304
User API Log (Registro de las API de usuario) . . . . . . . . . . . . . . . . . . . 309
Descarga de resultados completos en un archivo .zip . . . . . . . . . . . . . . . . 309
Descargue la muestra original . . . . . . . . . . . . . . . . . . . . . . . . . 311
Trabajar con el panel McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . 311
Monitores de análisis de malware . . . . . . . . . . . . . . . . . . . . . . . . 312
Monitor de estado de creación de máquina virtual . . . . . . . . . . . . . . . . . 317
Monitores de rendimiento de McAfee Advanced Threat Defense . . . . . . . . . . . . 317
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
El clúster de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . .
Requisitos previos y consideraciones . . . . . . . . . . . . . . . . . . . . . . . . .
Conexiones de red para un clúster de Advanced Threat Defense . . . . . . . . . . . . . .
¿Cómo funciona el clúster Advanced Threat Defense? . . . . . . . . . . . . . . . . . . .
Flujo de proceso para Network Security Platform . . . . . . . . . . . . . . . . .
Flujo de proceso para McAfee Web Gateway . . . . . . . . . . . . . . . . . . .
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense . . . . . . . .
Creación del clúster de McAfee Advanced Threat Defense . . . . . . . . . . . . . .
Supervisar el estado de un clúster de Advanced Threat Defense . . . . . . . . . . .
Envío de muestras a un clúster de Advanced Threat Defense . . . . . . . . . . . . .
Supervisar el estado del análisis de un clúster de Advanced Threat Defense . . . . . . .
Supervisar los resultados del análisis de un clúster de Advanced Threat Defense . . . . .
Modificación de las configuraciones de un clúster de McAfee Advanced Threat Defense . .
9
Comandos CLI para McAfee Advanced Threat Defense
319
320
321
323
327
329
330
331
335
340
340
341
342
345
Emisión de comandos CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cómo emitir un comando a través de la consola . . . . . . . . . . . . . . . . . .
Emisión de comandos mediante SSH . . . . . . . . . . . . . . . . . . . . . .
Iniciar sesión en McAfee Advanced Threat Defense Appliance mediante un cliente SSH . .
Autocompletar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sintaxis para CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comandos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inicie sesión en la CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Significado de “?” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administración de los discos de McAfee Advanced Threat Defense Appliance . . . . . . . . .
Lista de comandos CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
amas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
atdcounter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
informes de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . .
backup reports date . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lista negra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
clearstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
cluster withdraw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
createDefaultVms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
db_repair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Advanced Threat Defense 3.4.2
319
345
345
346
346
346
346
347
347
347
347
348
348
348
348
349
349
350
350
350
350
Guía del producto
5
Contenido
deleteblacklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
deletesamplereport . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
diskcleanup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
dxlstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
docfilterstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
factorydefaults . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ftptest USER_NAME . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
gti-restart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
heuristic_analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
install msu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
lbstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
lowseveritystatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
quit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
resetuiadminpasswd . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
resetusertimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
restart network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
route add/delete network . . . . . . . . . . . . . . . . . . . . . . . . . . .
samplefilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set appliance dns A.B.C.D E.F.G.H WORD . . . . . . . . . . . . . . . . . . . .
set intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set intfport auto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set intfport ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set intfport speed duplex . . . . . . . . . . . . . . . . . . . . . . . . . . .
set malware-intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set mgmtport auto . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set mgmtport speed and duplex . . . . . . . . . . . . . . . . . . . . . . . .
set filesizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set fips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set heuristic_analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set appliance gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set appliance ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set appliance name . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set uilog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set ui-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set waittime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show epo-stats nsp . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show filesizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show fips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show history . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show heuristic_analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show intfport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show msu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show nsp scandetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show ui-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
McAfee Advanced Threat Defense 3.4.2
351
351
351
351
351
352
352
353
353
353
353
356
356
356
356
357
357
357
358
358
358
358
359
359
359
360
360
360
360
360
361
361
361
362
363
363
363
363
364
364
364
364
365
365
365
366
366
367
367
367
367
367
368
368
369
369
Guía del producto
Contenido
show uilog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
show waittime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
update_avdat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vmlist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
watchdog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
set malware-intfport mgmt . . . . . . . . . . . . . . . . . . . . . . . . . .
whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Índice
McAfee Advanced Threat Defense 3.4.2
369
369
370
370
370
370
371
371
371
371
372
373
Guía del producto
7
Contenido
8
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Prefacio
Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.
Contenido
Acerca de esta guía
Búsqueda de documentación de productos
Acerca de esta guía
Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos
utilizados, además de cómo está organizada.
Destinatarios
La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va
destinada.
La información de esta guía está dirigida principalmente a:
•
Administradores: personas que implementan y aplican el programa de seguridad de la empresa.
•
Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden
acceder a todas o algunas de sus funciones.
Convenciones
En esta guía se utilizan los siguientes iconos y convenciones tipográficas.
Título de libro, término o
énfasis
Título de un libro, capítulo o tema; introducción de un nuevo término;
énfasis.
Negrita
Texto que se enfatiza particularmente.
Datos introducidos por
el usuario, código,
mensajes
Comandos u otro texto que escribe el usuario; un ejemplo de código;
un mensaje que aparece en pantalla.
Texto de la interfaz
Palabras de la interfaz del producto, como los nombres de opciones,
menús, botones y cuadros de diálogo.
Azul hipertexto
Un vínculo a un tema o a un sitio web externo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Prefacio
Búsqueda de documentación de productos
Nota: Información adicional, como un método alternativo de acceso a
una opción.
Sugerencia: Sugerencias y recomendaciones.
Importante/atención: Consejo importante para proteger el sistema,
la instalación del software, la red, la empresa o los datos.
Advertencia: Consejo especialmente importante para prevenir daños
físicos cuando se usa un producto de hardware.
Búsqueda de documentación de productos
Una vez que se lanza un producto, la información del producto se introduce en el Centro de
conocimiento online de McAfee.
Procedimiento
10
1
Vaya a la ficha Centro de conocimiento del portal McAfee ServicePortal en http://support.mcafee.com.
2
En el panel Contenido de soporte:
•
Haga clic en Documentación de productos para localizar documentación de usuario.
•
Haga clic en Artículos técnicos para localizar artículos de la Base de conocimiento.
3
Seleccione No borrar mis filtros.
4
Introduzca un producto, seleccione una versión y haga clic en Buscar para que aparezca una lista
con documentos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
1
Detección de malware y McAfee
Advanced Threat Defense
®
Año tras año, el malware ha evolucionado hasta convertirse en una herramienta muy sofisticada para
actividades dañinas tales como el robo de información valiosa, el acceso a los recursos de equipos
privados sin conocimiento del propietario y la alteración de las operaciones de empresas. Al mismo
tiempo, los avances tecnológicos proporcionan opciones ilimitadas de enviar archivos maliciosos a
usuarios desprevenidos. Cada día aparecen centenares de miles de nuevas variantes de malware que
hacen la detección de malware un trabajo cada vez más complejo. Las técnicas tradicionales
antimalware ya no son suficientes para proteger su red.
La respuesta de McAfee a este desafío es la solución McAfee Advanced Threat Defense. Se trata de un
appliance local que facilita la detección y prevención del malware. McAfee Advanced Threat Defense
proporciona protección frente a malware conocido, de tipo zero-day (día cero) y casi zero-day, todo
ello sin sacrificar ni un ápice de calidad en el servicio que ofrece a los usuarios de su red.
McAfee Advanced Threat Defense ofrece la ventaja adicional de ser una solución integrada. Además de
sus capacidades de detección de amenazas en múltiples niveles, su habilidad para integrarse
perfectamente con otros productos de seguridad McAfee le asegura que su red está protegida contra
malware y otras amenazas persistentes avanzadas (APTs en inglés).
Contenido
El escenario de amenaza de malware
La solución McAfee Advanced Threat Defense
El escenario de amenaza de malware
Denominamos malware a cualquier software capaz de verse envuelto en actividades hostiles a un
equipo, aplicación o red. McAfee Advanced Threat Defense está diseñado para detectar malware
basado en archivos.
Antiguamente, los usuarios solían recibir malware en forma de archivos adjuntos a correos
electrónicos. Con el aumento de aplicaciones de Internet, los usuarios solo han de hacer clic en un
vínculo para descargar un archivo. Hoy en día existen muchas opciones para el envío de estos
McAfee Advanced Threat Defense 3.4.2
Guía del producto
11
1
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
archivos: blogs, sitios de redes sociales, sitios web, mensajes de chat, correo electrónico web, paneles
de mensajes y muchos más. Los principales desafíos al intentar controlar este problema radican en
detectar el malware en el menor tiempo posible y evitar que se extienda a otros equipos.
Hay cuatro aspectos principales en una estrategia antimalware:
•
Detección de la descarga de archivos: Cuando un usuario intenta descargar un archivo de un
recurso externo, el producto de seguridad debe ser capaz de detectarlo.
•
Análisis del archivo en busca de malware: Debe ser capaz de verificar si el archivo contiene algún
malware conocido.
•
Bloquear futuras descargas del mismo archivo: A continuación, si el archivo resulta ser malicioso,
la protección antimalware debe evitar futuras descargas del mismo archivo o alguna de sus
variantes.
•
Identificar y solucionar los hosts afectados: El sistema de seguridad debe ser capaz de identificar el
host que ha ejecutado el malware y también los hosts a los que se haya extendido. A continuación,
debe ser capaz de poner en cuarentena los hosts afectados hasta que vuelvan a estar limpios.
La solución McAfee Advanced Threat Defense
Una solución de seguridad que dependa de un solo método o proceso no es adecuada para
proporcionar una protección completa y fiable contra los ataques de malware. Puede necesitar una
solución a varios niveles que ponga en juego varias técnicas y productos. La solución puede incluir
coincidencia con patrones, reputación global, emulación de programas, análisis estático y análisis
dinámico. Todos estos niveles deben estar perfectamente integrados para proporcionarle un único
punto de control para que pueda configurarlos y administrarlos fácilmente. Por ejemplo, la
coincidencia con patrones puede no ser capaz de detectar ataques de tipo zero-day (día cero). De
forma similar, el análisis estático consume menos tiempo que el análisis dinámico. Sin embargo, el
malware puede evitar el análisis estático mediante la ocultación de código. El malware también puede
evitar el análisis dinámico, retrasando su ejecución o usando una ruta de ejecución alternativa si
detecta que se está ejecutando en un recinto aislado. Por ello, es importante que la protección
antimalware use un enfoque en varios niveles.
Existen otros productos antimalware deMcAfee, líderes en su sector, para la Web, redes y endpoints.
Sin embargo, McAfee reconoce que una solución antimalware robusta requiere un enfoque en varios
niveles. El resultado de esta convicción es McAfee Advanced Threat Defense.
La solución McAfee Advanced Threat Defense consta principalmente de McAfee Advanced Threat
Defense Appliance y el software preinstalado. McAfee Advanced Threat Defense Appliance está
disponible en dos modelos. El modelo estándar es el ATD-3000. El modelo de gama alta es el
ATD-6000.
McAfee Advanced Threat Defense integra sus capacidades nativas con otros productos McAfee para
proporcionarle una defensa en varios niveles contra el malware:
12
•
Su mecanismo preliminar de detección consta de una lista negra local que detecta rápidamente el
malware conocido.
•
Se integra con McAfee® Global Threat Intelligence™ (McAfee GTI) a fin de buscar en la nube y
detectar malware que ya han identificado organizaciones de todo el mundo.
•
Tiene integrado el motor Gateway Anti-Malware Engine de McAfee por sus capacidades de
emulación.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
•
Tiene el motor Anti-Malware Engine de McAfee integrado por sus funciones de detección basadas
en firmas.
•
Analiza dinámicamente el archivo, ejecutándolo en un recinto aislado virtual. Basándose en el
comportamiento del archivo, McAfee Advanced Threat Defense determina si es malicioso o no.
1
Figura 1-1 Componentes para el análisis de malware
McAfee Advanced Threat Defense 3.4.2
Guía del producto
13
1
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
Opciones de despliegue de McAfee Advanced Threat Defense
Puede desplegar McAfee Advanced Threat Defense de las siguientes maneras:
•
Despliegue autónomo: esta es la manera más sencilla de desplegar McAfee Advanced Threat
Defense. En este caso, no está integrado con otros productos externos de McAfee. Cuando el
appliance se despliega autónomamente, usted puede enviar manualmente los archivos
sospechosos mediante la aplicación web McAfee Advanced Threat Defense. Alternativamente,
puede enviar las muestras mediante un cliente FTP. Esta opción de despliegue se puede usar, por
ejemplo, durante la fase de comprobación y evaluación, para ajustar la configuración y analizar los
archivos sospechosos en un segmento aislado de la red. Además, los ingenieros de investigación
podrían usar la opción de despliegue autónomo para un análisis detallado del malware.
Figura 1-2 Un escenario de despliegue autónomo
14
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
•
1
Integración con Network Security Platform: este despliegue implica integrar McAfee Advanced
Threat Defense con Network Security Platform Sensor y Manager.
Dependiendo de la forma en que haya configurado la correspondiente directiva avanzada de
malware, un Sensor en línea detectará la descarga de un archivo y enviará una copia del mismo a
McAfee Advanced Threat Defense para su análisis. Si McAfee Advanced Threat Defense detecta
malware en un plazo de pocos segundos, Sensor puede bloquear la descarga. Manager muestra los
resultados del análisis de McAfee Advanced Threat Defense.
Si McAfee Advanced Threat Defense necesita más tiempo para completar el análisis, Sensor
permitirá la descarga completa del archivo. Si McAfee Advanced Threat Defense detecta malware
tras la descarga del archivo, informará a Network Security Platform y podrá usar Sensor para poner
el host en cuarentena hasta que esté limpio y solucionado. Puede configurar Manager para que
actualice todos los Sensors acerca de este archivo malicioso. Por tanto, si este archivo vuelve a
descargarse en cualquier punto de su red, los Sensors lo bloquearán automáticamente.
Para más información sobre cómo integrar Network Security Platform y McAfee Advanced Threat
Defense, consulte la Network Security PlatformGuía de integración más reciente.
Figura 1-3 Integración con Network Security Platform y McAfee ePO
McAfee Advanced Threat Defense 3.4.2
Guía del producto
15
1
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
•
Integración con McAfee® Web Gateway: puede configurar McAfee Advanced Threat Defense como
un motor adicional para la protección antimalware. Cuando un usuario de su red descarga un
archivo, el motor nativo McAfee Gateway Anti-Malware Engine en McAfee® Web Gateway analiza el
archivo y le asigna una calificación de malware. Basándose en esa calificación y en el tipo de
archivo, McAfee® Web Gateway envía una copia del mismo a McAfee Advanced Threat Defense para
realizar una inspección en profundidad y un análisis dinámico. Una página de progreso informa a
sus usuarios de que el archivo solicitado se está analizando en busca de malware. Basándose en el
nivel de gravedad del malware asignado por McAfee Advanced Threat Defense, McAfee® Web
Gateway decide si se debe bloquear el archivo o no. Si se bloquea, las razones se mostrarán a sus
usuarios. Puede consultar los detalles del malware detectado en el archivo de registro.
Figura 1-4 Integración con McAfee® Web Gateway
Este diseño garantiza que solo se envían a McAfee Advanced Threat Defense aquellos archivos que
realmente requieren un análisis en profundidad. Así se logra un buen equilibrio entre seguridad y
velocidad de descarga, lo que redunda en una mejor experiencia para sus usuarios. Para más
información sobre cómo integrar McAfee Advanced Threat Defense y McAfee® Web Gateway,
consulte la McAfee® Web Gateway Guía del producto, versión 7.4.
16
•
Integración con McAfee® ePolicy Orchestrator (McAfee ePO): esta integración permite que McAfee
Advanced Threat Defense recupere la información acerca del host de destino. Conociendo el
sistema operativo del host de destino, puede seleccionar un entorno virtual similar para el análisis
dinámico.
•
Integración con McAfee Next Generation Firewall (McAfee NGFW): McAfee Next Generation Firewall
integra funciones de seguridad de alta disponibilidad y capacidad de gestión. Integra funciones de
control de aplicaciones, sistema de prevención de intrusiones (IPS) y prevención de evasiones en
®
McAfee Advanced Threat Defense 3.4.2
Guía del producto
1
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
una única solución asequible. El cliente de McAfee Next Generation Firewall debe seguir los pasos
siguientes para integrar McAfee Next Generation Firewall con McAfee Advanced Threat Defense:
1
Crear un usuario denominado “ngfw” en Advanced Threat Defense después de iniciar sesión en
Advanced Threat Defense como "admin". Este usuario tiene los mismos privilegios que el
usuario "nsp".
2
Reiniciar amas desde la CLI.
3
Utilizar el usuario "ngfw" en SCM para llamadas de API REST.
No hay cambios en el protocolo SOFA existente para el envío de archivos. Dado que existe un
usuario “ngfw”, se presupone que todos los envíos de archivos a través del canal SOFA proceden de
appliances McAfee NGFW.
Advanced Threat Defense no es capaz de admitir McAfee Network Security Platform y McAfee Next
Generation Firewall en el mismo entorno.
Cómo las opciones de despliegue afrontan los cuatro aspectos principales del ciclo de proceso
antimalware:
•
Detección de la descarga de archivos: en cuanto un usuario accede a un archivo, el Sensor en línea
Network Security Platform o McAfee® Web Gateway lo detecta y envía una copia del archivo a
McAfee Advanced Threat Defense para su análisis.
•
Análisis del archivo en busca de malware: incluso antes de que el usuario acabe de descargar el
archivo, McAfee Advanced Threat Defense puede detectar malware conocido mediante fuentes
locales o en la nube.
•
Bloqueo de futuras descargas del mismo archivo: cada vez que McAfee Advanced Threat Defense
detecta un malware de gravedad media, alta o muy alta, actualiza su lista negra local.
•
Identificación y solución de los hosts afectados: la integración con Network Security Platform
permite poner el host en cuarentena hasta que se pueda limpiar y arreglar.
Ventajas de McAfee Advanced Threat Defense
Le presentamos algunas de las ventajas que le proporciona McAfee Advanced Threat Defense:
•
Es una solución local que tiene acceso a GTI en la nube. Además, puede integrarla con otros
productos de seguridad de McAfee.
•
McAfee Advanced Threat Defense no rastrea ni controla el tráfico de red. Analiza los archivos que
envía para análisis de malware. Esto significa que puede colocar McAfee Advanced Threat Defense
Appliance en cualquier punto de su red, siempre y cuando esté al alcance de los productos McAfee
integrados. También resulta posible para un McAfee Advanced Threat Defense Appliance dar
servicio a todos esos productos integrados (suponiendo que el número de archivos enviados quede
dentro de los niveles admitidos). Este diseño lo convierte en una solución antimalware escalable y
efectiva en costes.
•
McAfee Advanced Threat Defense no es un dispositivo en línea. Puede recibir archivos desde
Sensors IPS para analizarlos en busca de malware. Así que es posible desplegar McAfee Advanced
Threat Defense de manera que tenga todas las ventajas de una solución antimalware en línea, pero
sin ninguno de los inconvenientes.
•
Android es actualmente uno de los principales objetivos de los desarrolladores de malware. Con esa
integración, los dispositivos de bolsillo basados en Android de su red también están protegidos.
Puede analizar dinámicamente los archivos descargados por sus dispositivos Android como
teléfonos inteligentes y tabletas.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
17
1
18
Detección de malware y McAfee Advanced Threat Defense
La solución McAfee Advanced Threat Defense
®
•
Los archivos son analizados simultáneamente por varios motores. De esta forma, es posible
bloquear el malware conocido prácticamente en tiempo real.
•
Cuando McAfee Advanced Threat Defense analiza dinámicamente un archivo, selecciona la máquina
virtual analizadora que use el mismo sistema operativo y aplicaciones que el host de destino. Esto
es posible gracias a la integración con McAfee ePO o a través de una función pasiva de perfiles de
dispositivo de Network Security Platform. Esto le permite identificar el impacto exacto que tendría
en el host de destino, para que pueda tomar las medidas necesarias para remediarlo. También
significa que McAfee Advanced Threat Defense ejecuta el archivo tan solo en la máquina virtual
necesaria, reservando sus recursos para otros archivos.
•
Supongamos que un host ha descargado un malware de tipo zero-day (día cero), pero el Sensor
que ha detectado este archivo lo ha enviado a McAfee Advanced Threat Defense. Tras el análisis
dinámico, McAfee Advanced Threat Defense determina que el archivo es malicioso. Basándose en
su configuración de directiva avanzada de malware, Manager puede agregar este malware a la lista
negra de los Sensors en la red de su organización. Esta también podría estar en la lista negra de
McAfee Advanced Threat Defense. Así, las posibilidades de que el mismo archivo vuelva a entrar en
su red se ven disminuidas.
•
Podrá contener un malware de tipo zero-day (día cero) incluso si es la primera vez que se
descarga, poniendo a los hosts afectados en cuarentena hasta que se limpien y solucionen.
•
El empaquetamiento puede cambiar la composición del código o permitir que el malware evada la
ingeniería inversa. Por ello, es muy importante que el desempaquetamiento se realice
correctamente para poder obtener el código de malware para su análisis. McAfee Advanced Threat
Defense es capaz de desempaquetar el código de tal modo que el código original esté seguro para
el análisis estático.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
2
Configuración de McAfee Advanced
Threat Defense Appliance
Consulte este capítulo para obtener información acerca de McAfee Advanced Threat Defense Appliance
y su configuración.
Contenido
Acerca del dispositivo McAfee Advanced Threat Defense
Funciones del dispositivo McAfee Advanced Threat Defense
Antes de instalar McAfee Advanced Threat Defense Appliance
Especificaciones de hardware y requisitos de entorno
Configuración de McAfee Advanced Threat Defense
Acerca del dispositivo McAfee Advanced Threat Defense
Dependiendo del modelo, el dispositivo McAfee Advanced Threat Defense es un chasis de 1 U o 2 U de
bastidor con un procesador de la familia de productos Intel® Xeon® E5-2600. El dispositivo McAfee
Advanced Threat Defense se ejecuta en un kernel Linux 3.6.0 preinstalado y reforzado, que viene ya
cargado con el software McAfee Advanced Threat Defense.
El dispositivo McAfee Advanced Threat Defense está disponible en los siguientes modelos:
•
ATD-3000: este modelo estándar usa un chasis 1U.
•
ATD-6000: este modelo de gama alta usa un chasis 2U.
Funciones del dispositivo McAfee Advanced Threat Defense
Los dispositivos McAfee Advanced Threat Defense son servidores de alto rendimiento flexibles,
escalables y diseñados específicamente para analizar archivos sospechosos en busca de malware.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
19
2
Configuración de McAfee Advanced Threat Defense Appliance
Antes de instalar McAfee Advanced Threat Defense Appliance
A continuación se detallan las funciones principales del dispositivo McAfee Advanced Threat Defense:
•
Alojar el software McAfee Advanced Threat Defense que analiza los archivos en busca de malware.
•
Alojar la aplicación web McAfee Advanced Threat Defense.
•
Alojar las máquinas virtuales que se usan para el análisis dinámico de los archivos sospechosos.
Para consultar las cifras de rendimiento de ATD-3000 y ATD-6000, póngase en contacto con el soporte
de McAfee.
Antes de instalar McAfee Advanced Threat Defense Appliance
Esta sección describe las tareas que se deben completar antes de empezar a instalar McAfee Advanced
Threat Defense.
20
•
Lea toda la documentación que se suministra antes de la instalación.
•
Asegúrese de que ha elegido una ubicación adecuada para instalar McAfee Advanced Threat
Defense Appliance.
•
Compruebe que dispone de todo el equipo y los componentes necesarios descritos en este
documento.
•
Familiarícese con los puertos y conectores de la tarjeta de acceso a la red (NIC) de McAfee
Advanced Threat Defense Appliance, tal y como se describen en este documento.
•
Le recomendamos que tenga la siguiente información cuando configure McAfee Advanced Threat
Defense Appliance:
•
Dirección IPv4 a la que quiere asignar el Appliance.
•
Máscara de red.
•
Dirección de gateway predeterminada.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense Appliance
Antes de instalar McAfee Advanced Threat Defense Appliance
2
Advertencias y precauciones
Lea y siga estas advertencias de seguridad cuando instale el dispositivo McAfee Advanced Threat
Defense. La no observación de las mismas podría resultar en serios daños personales.
Encendido/apagado del dispositivo McAfee Advanced Threat Defense: el botón de encendido/apagado
del panel frontal del dispositivo McAfee Advanced Threat Defense no corta la corriente CA. Para cortar la
corriente CA en el dispositivo McAfee Advanced Threat Defense, deberá desenchufar el cable de
alimentación CA de la fuente de alimentación o de la toma de la pared.
Las fuentes de alimentación del sistema pueden producir altos voltajes y riesgo de descarga eléctrica
que podrían causar daños personales. Solo los técnicos de servicio especializados están autorizados a
retirar las cubiertas y acceder a los componentes internos del sistema.
Situaciones de riesgo relacionadas con dispositivos y cables: Es posible que existan situaciones de
riesgo eléctrico en los cables de alimentación, de teléfono y de comunicación. Apague el dispositivo
McAfee Advanced Threat Defense y desconecte los sistemas de telecomunicaciones, las redes, los
módems y ambos cables de alimentación conectados al dispositivo McAfee Advanced Threat Defense
antes de abrirlo. De lo contrario, podrían producirse daños personales o materiales.
Evite lesiones: levantar y fijar el dispositivo McAfee Advanced Threat Defense al bastidor es una tarea
para dos personas.
Este equipo está diseñado para usarse con una toma de tierra. Asegúrese de que el host está conectado
a una toma de tierra durante su uso.
No debe retirar la carcasa exterior del dispositivo McAfee Advanced Threat Defense. Hacerlo invalidaría
la garantía.
No opere el sistema a no ser que todas las tarjetas, cubiertas, paneles frontales y paneles posteriores
estén en su lugar. Los paneles y cubiertas evitan la exposición a los voltajes y corrientes peligrosas del
interior del chasis, contienen las interferencias electromagnéticas que podrían interferir con otro equipo
y dirigen el flujo de aire de ventilación a través del chasis.
Para evitar descargas eléctricas, no conecte circuitos de voltaje muy bajo (SELV) a los circuitos de
voltaje de red telefónica (TNV). Los puertos LAN contienen circuitos SELV, y los puertos WAN contienen
circuitos TNV. Algunos puertos LAN y WAN usan conectores RJ-45. Tenga cuidado al conectar los cables.
Restricciones de uso
Las siguientes restricciones se aplican al uso y operación del dispositivo McAfee Advanced Threat
Defense:
•
No debe retirar la carcasa exterior del dispositivo McAfee Advanced Threat Defense. Hacerlo
invalidaría la garantía.
•
El dispositivo McAfee Advanced Threat Defense no es un servidor de uso general.
•
McAfee prohíbe el uso del dispositivo McAfee Advanced Threat Defense para cualquier otros
propósito que no sea el de operar la solución McAfee Advanced Threat Defense.
•
McAfee prohíbe la modificación o instalación de cualquier hardware o software en el dispositivo
McAfee Advanced Threat Defense que no sea parte de la operativa normal de McAfee Advanced
Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
21
2
Configuración de McAfee Advanced Threat Defense Appliance
Antes de instalar McAfee Advanced Threat Defense Appliance
Desempaquete el envío
1
Abra la caja.
2
Saque la primera caja de accesorios.
3
Compruebe que ha recibido todas las partes que aparecen listadas en Compruebe el paquete en la
página 22.
4
Extraiga el dispositivo McAfee Advanced Threat Defense.
5
Coloque el dispositivo McAfee Advanced Threat Defense tan cerca del lugar de instalación como le
sea posible.
6
Coloque la caja de forma que el texto esté en la posición correcta.
7
Abra las solapas superiores de la caja.
8
Saque la caja de accesorios que contiene la caja del dispositivo McAfee Advanced Threat Defense.
9
Extraiga el kit de railes deslizantes.
10 Saque el material de relleno que rodea el dispositivo McAfee Advanced Threat Defense.
11 Extraiga el dispositivo McAfee Advanced Threat Defense de la bolsa antiestática.
12 Guarde la caja y materiales de relleno para su posterior uso en caso de que necesitara trasladar o
enviar el dispositivo McAfee Advanced Threat Defense.
Compruebe el paquete
Los siguientes accesorios se envían en el paquete de McAfee Advanced Threat Defense Appliance:
22
•
McAfee Advanced Threat Defense Appliance
•
Accesorios detallados en la Hoja de contenido
•
Juego de raíles deslizantes sin herramientas
•
Bisel frontal con llave
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense Appliance
Antes de instalar McAfee Advanced Threat Defense Appliance
2
Paneles frontales y posteriores de McAfee Advanced Threat Defense Appliance
Figura 2-1 Vista frontal de ATD-3000 con bisel
Figura 2-2 Vista lateral de ATD-3000 sin bisel
Figura 2-3 Panel frontal de ATD-3000 y de ATD-6000
Etiqueta
Descripción
1
Botón ID de sistema con luz indicadora de actividad integrada
2
Botón NMI (hundido, use una herramienta para pulsarlo)
3
Luz indicadora de actividad de NIC 1
4
• ATD-3000: luz indicadora de actividad de NIC 3
• ATD-6000: sin utilizar
5
Botón de reinicio de sistema
6
Luz indicadora de estado del sistema
7
Botón de encendido con luz indicadora integrada
8
Luz indicadora de actividad del disco duro
9
• ATD-3000: luz indicadora de actividad de NIC 4
• ATD-6000: sin utilizar
10
Luz indicadora de actividad de NIC 2
Se incluye un bisel opcional bloqueable con McAfee Advanced Threat Defense Appliance, que puede
instalar para cubrir el panel frontal.
Figura 2-4 Panel posterior del appliance ATD-3000
McAfee Advanced Threat Defense 3.4.2
Guía del producto
23
2
Configuración de McAfee Advanced Threat Defense Appliance
Antes de instalar McAfee Advanced Threat Defense Appliance
Etiqueta Descripción
1
Módulo de fuente de alimentación 1
2
Módulo de fuente de alimentación 2
3
Puerto de administración (NIC 1). Esta es la interfaz eth-0. Los comandos set appliance
y set mgmtport se aplican a esta interfaz. Por ejemplo, al usar el comando set
appliance ip, la dirección IP correspondiente se asigna a esta interfaz.
4
NIC 2. Esta es la interfaz eth-1. Esta interfaz está desactivada de forma predeterminada.
• Para activar o desactivar esta interfaz, utilice el comando set intfport. Por ejemplo,
set intfport 1 enable
• Para asignar la información de IP a esta interfaz, utilice set intfport <eth 1, 2, or
3> ip <IPv4 address> <subnet mask>
Por ejemplo, set intfport 1 ip 10.10.10.10 255.255.255.0
• No es posible asignar la gateway predeterminada a este puerto. Sin embargo, puede
configurar una ruta en esta interfaz para dirigir el tráfico a la gateway deseada. Para
configurar una ruta, utilice route add network <IPv4 subnet> netmask <netmask>
gateway <IPv4 address> intfport 1
Por ejemplo, route add network 10.10.10.0 netmask 255.255.255.0 gateway
10.10.10.1 intfport 1. Este comando dirige todo tráfico del comando 10.10.10.0 a
10.10.10.1 a través de NIC 2 (eth-1).
5
NIC 3. Esta es la interfaz eth-2. La nota descrita para NIC 2 también se aplica a esta
interfaz.
6
NIC 4. Esta es la interfaz eth-3. La nota descrita para NIC 2 también se aplica a esta
interfaz.
7
Conector de vídeo
8
Puerto A de serie RJ45
9
Puertos USB
10
Puerto RMM4 NIC
11
Puertos/conectores del módulo I/O (no se usan)
12
Ranuras adaptadoras para complementos de la tarjeta riser número 1 y 2
Figura 2-5 Panel posterior del appliance ATD-6000
Etiqueta Descripción
24
1
Puertos USB
2
Puertos USB
3
Puerto de administración. Esta es la interfaz eth-0. Los comandos set appliance y set
mgmtport se aplican a esta interfaz. Por ejemplo, al usar el comando set appliance ip,
la dirección IP correspondiente se asigna a esta interfaz.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense Appliance
Especificaciones de hardware y requisitos de entorno
2
Etiqueta Descripción
4
Puertos/conectores adicionales del módulo I/O. Estas son las interfaces eth-1, eth-2 y
eth-3 respectivamente. Estas interfaces están desactivadas de manera predeterminada.
• Para activar o desactivar una interfaz, utilice el comando set intfport. Por ejemplo,
use set intfport 1 enable para activar eth-1.
• Para asignar la información de IP a una interfaz, utilice set intfport <eth 1, 2, or
3> ip <IPv4 address> <subnet mask>
Por ejemplo, set intfport 1 ip 10.10.10.10 255.255.255.0
• No es posible asignar la gateway predeterminada a este puerto. Sin embargo, puede
configurar una ruta en esta interfaz para dirigir el tráfico a la gateway deseada. Para
configurar una ruta, utilice route add network <IPv4 subnet> netmask <netmask>
gateway <IPv4 address> intfport 1
Por ejemplo, route add network 10.10.10.0 netmask 255.255.255.0 gateway
10.10.10.1 intfport 1. Este comando dirige todo tráfico del comando 10.10.10.0 a
10.10.10.1 a través de eth-1.
5
Conector de vídeo
6
NIC 1 (actualmente no se usa)
7
NIC 2 (actualmente no se usa)
8
Puerto A de serie RJ45
9
Puertos/conectores del módulo I/O (no se usan)
10
Ranuras adaptadoras para complementos de la tarjeta riser
11
Puerto RMM4 NIC
12
Módulo de fuente de alimentación 2
13
Módulo de fuente de alimentación 1
14
Ranuras adaptadoras para complementos de la tarjeta riser
Especificaciones de hardware y requisitos de entorno
Especificaciones
ATD-3000
ATD-6000
Dimensiones
• 734,66 de largo x 438 de ancho x • 712 de largo x 438 de ancho x 87,3
43,2 de alto (en milímetros)
de alto (en milímetros)
• 29 de largo x 17,25 de ancho x
1,70 de alto (en pulgadas)
• 28 de largo x 17,24 de ancho x 3,43
de alto (en pulgadas)
Factor de forma
1U montable en bastidor, encaja en
un bastidor de 19 pulgadas
2U montable en bastidor, encaja en un
bastidor de 19 pulgadas
Peso
15 kg
22,7 kg
Almacenamiento
• Espacio en disco duro: 2 x 4 TB
• Espacio en disco duro: 4 x 4 TB
• SSD: 2 x 400 GB
• SSD: 2 x 800 GB
Máximo consumo
eléctrico
2 x 750 W
2 x 1600 W
Fuente de
alimentación
redundante
Corriente alterna, conmutable en
funcionamiento
Corriente alterna, conmutable en
funcionamiento
Voltaje de CA
100 - 240 V a 50 - 60 Hz. 5,8 A
100 - 240 V. 50 - 60 Hz. 8,5 A
McAfee Advanced Threat Defense 3.4.2
Guía del producto
25
2
Configuración de McAfee Advanced Threat Defense Appliance
Especificaciones de hardware y requisitos de entorno
Especificaciones
ATD-3000
ATD-6000
Temperatura de
operación
De +10 °C a +35 °C (+50 °F a +
95 °F), con una tasa máxima de
cambio de temperatura no superior
a 10°C por hora
De +10 °C a +35 °C (+50 °F a + 95
°F), con una tasa máxima de cambio
de temperatura no superior a 10°C
por hora
Temperatura no
operativa
De -40 °C a +70 °C (-40 °F a +158 De -40 °C a +70 °C (-40 °F a +158
°F)
°F)
Humedad relativa
(sin condensación)
• Operativa: de 10% a 90%
• Operativa: de 10% a 90%
• No operativa: de 90% a 35°C
• No operativa: 50% a 90% con una
temperatura húmeda máxima de
28°C (a temperaturas de 25°C a
35°C)
Altitud
Operativo hasta 3050 metros
(10.000 pies)
Operativo hasta 3050 metros (10.000
pies)
Certificaciones de
seguridad
UL 1950, CSA-C22.2, No. 950,
EN-60950, IEC 950, EN 60825,
21CFR1040 CB licencias e informes
cubren todas las variantes
nacionales
UL 1950, CSA-C22.2, No. 950,
EN-60950, IEC 950, EN 60825,
21CFR1040 CB licencias e informes
cubren todas las variantes nacionales
Certificación EMI
FCC Part 15, Class A (CFR 47)
(USA) ICES-003 Class A (Canadá),
EN55022 Class A (Europa),
CISPR22 Class A (Internacional)
FCC Part 15, Class A (CFR 47) (USA)
ICES-003 Class A (Canadá), EN55022
Class A (Europa), CISPR22 Class A
(Internacional)
Ruido acústico
Potencia acústica: 7,0 BA en
condiciones operativas a
temperatura ambiente típica de
oficina (23 +/- 2 °C).
Potencia acústica: 7,0 BA en
condiciones operativas a temperatura
ambiente típica de oficina (23 +/- 2
°C).
Resistencia a
choques, en
operativa
Semiseno, pico de 2 G, 11
milisegundos
Semiseno, pico de 2 G, 11
milisegundos
Resistencia a
choques,
desempaquetado
Trapezoidal, 25 G, cambio de
Trapezoidal, 25 G, el cambio de
velocidad de 136 pulgadas/segundo velocidad se basa en el peso del
(de 40 a 80 libras)
paquete
Resistencia a
choques,
empaquetado
Caída libre sin paquete desde una
altura de 24 pulgadas (de 40 a 80
libras)
• Peso del producto: de 40 a 80
• Altura de caída libre sin paquete =
18 pulgadas
• Altura de caída libre con paquete
(un solo producto) = N/A
Vibración
Desempaquetado: Aleatoria, de 5
Hz a 500 Hz, con una media
cuadrática de 2,20 G
Desempaquetado: Aleatoria, de 5 Hz a
500 Hz, con una media cuadrática de
2,20 G
Empaquetado: Aleatoria, de 5 Hz a
500 Hz, con una media cuadrática de
1,09 G
ESD (Descarga
electrostática)
26
+/-12 KV (excepto el puerto I/O:
+/- 8 KV), según las
especificaciones del test Intel®
Environmental
McAfee Advanced Threat Defense 3.4.2
Descarga en aire: 12,0 kV
Descarga al contacto: 8,0 kV
Guía del producto
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
Especificaciones
ATD-3000
ATD-6000
Requisitos de
refrigeración del
sistema, en BTU/
hora
• Máximo 460 W: 1570 BTU/hora
• Máximo 460 W: 1570 BTU/hora
• Máximo 750 W: 2560 BTU/hora
• Máximo 750 W: 2560 BTU/hora
Memoria
192 GB
256 GB
2
Números de puerto
Tabla 2-1
Números de puerto
Cliente
Servidor
Puerto
predeterminado
Configurable Descripción
Cualquiera
(equipo de
sobremesa)
McAfee Advanced
Threat Defense
TCP 443 (HTTPS)
No
Acceso a la aplicación
web McAfee Advanced
Threat Defense
Cualquiera
(cliente FTP)
McAfee Advanced
Threat Defense
TCP 22 (SFTP)
No
Acceso al servidor FTP
en McAfee Advanced
Threat Defense
Sensor
McAfee Advanced
Threat Defense
TCP 8505
No
Canal de comunicación
entre Sensor y McAfee
Advanced Threat
Defense
Manager
McAfee Advanced
Threat Defense
TCP 443 (HTTPS)
No
Comunicación entre
Manager y McAfee
Advanced Threat
Defense a través de las
API RESTful.
McAfee
McAfee ePO
Advanced
Threat Defense
TCP 8443
Sí
Consultas de
información de host.
tunnel.message
McAfee
.trustedsource
Advanced
Threat Defense .org
TCP 443 (HTTPS)
No
Consultas de
reputación de archivos.
List.smartfilter
McAfee
.com
Advanced
Threat Defense
TCP 80 (HTTP)
No
Actualizaciones de
URL.
Cualquiera
(cliente SSH)
TCP 2222 (SSH)
No
Acceso a CLI
TCP 443 (HTTPS)
No
Actualizaciones del
motor Gateway
Anti-Malware Engine
de McAfee y el motor
Anti-Malware Engine
de McAfee.
McAfee Advanced
Threat Defense
wpm.webwasher.com
McAfee
Advanced
Threat Defense
Configuración de McAfee Advanced Threat Defense
En este capítulo se describe cómo preparar McAfee Advanced Threat Defense Appliance para que lo
configure.
Contenido
Instalar o quitar las asas del bastidor
Instalar o quitar el dispositivo del bastidor
McAfee Advanced Threat Defense 3.4.2
Guía del producto
27
2
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
Encienda McAfee Advanced Threat Defense Appliance
Manipulación del bisel frontal
Conecte el cable de red
Configuración de la información de red para McAfee Advanced Threat Defense Appliance
Instalar o quitar las asas del bastidor
•
Para instalar un asa de bastidor, debe alinearla con los dos orificios en el lateral del dispositivo
McAfee Advanced Threat Defense y sujetar el asa del bastidor al dispositivo mediante dos tornillos,
como se muestra en la imagen.
Figura 2-6 Instalar las asas del bastidor
•
Para quitar una de las asas del bastidor, quite los dos tornillos que sujetan el asa del bastidor, y
después retire el asa del sistema del servidor, como se muestra en la imagen.
Figura 2-7 Quitar las asas del bastidor
Instalar o quitar el dispositivo del bastidor
Use el kit de montaje en bastidor incluido con el dispositivo McAfee Advanced Threat Defense para
instalar la unidad en un bastidor de cuatro postes de 19 pulgadas. El kit puede usarse con la mayoría
de los bastidores estándar del sector. Use las abrazaderas para fijar los cables del dispositivo McAfee
Advanced Threat Defense al bastidor.
28
McAfee Advanced Threat Defense 3.4.2
Guía del producto
2
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
Procedimiento
1
En la parte frontal del bastidor, coloque el rail de montaje izquierdo o derecho en el lado
correspondiente, de manera que su soporte de montaje esté alineado con los orificios del bastidor.
Asegúrese de seguir las advertencias de seguridad. Cuando decida dónde quiere colocar el
dispositivo McAfee Advanced Threat Defense dentro del bastidor, recuerde que siempre debe cargar
el bastidor de abajo arriba. Si está instalando múltiples dispositivos McAfee Advanced Threat
Defense, empiece usando primero la posición inferior.
Figura 2-8 Instalación de los railes deslizantes
2
En la parte posterior del bastidor, tire del soporte de montaje (extendiendo el rail de montaje) de
forma que quede alineado con los orificios del bastidor.
Asegúrese de que los railes están al mismo nivel en ambos lados del bastidor.
Figura 2-9 Instalar el rail en el bastidor
3
Encaje el rail en el bastidor y fíjelo.
4
Repita estos pasos para fijar el segundo rail de montaje al bastidor.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
29
2
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
5
Tire de ambos railes hasta su máxima extensión.
Figura 2-10 Railes completamente extendidos
6
Con la ayuda de otra persona, levante el dispositivo McAfee Advanced Threat Defense e instale el
chasis en ambos lados del rail simultáneamente.
Figura 2-11 Instale el dispositivo en el raíl
Suelte primero la ruedecilla posterior, después la del medio y finalmente la frontal.
Levantar y fijar el dispositivo McAfee Advanced Threat Defense al bastidor es una tarea para dos
personas.
7
Si es necesario, puede unir el bisel bloqueable a la parte frontal del dispositivo a fin de protegerlo.
8
Levante y libere la lengüeta de desbloqueo y empuje el dispositivo dentro del bastidor.
Figura 2-12 Levante y libere la lengüeta de desbloqueo y empuje el dispositivo dentro del bastidor
9
Para extraer el dispositivo McAfee Advanced Threat Defense del bastidor, levante y libere la
lengüeta de desbloqueo junto a la ruedecilla frontal del chasis y sáquelo de los railes.
Esto debe hacerse simultáneamente en ambos lados y por tanto requiere dos personas.
30
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
2
Encienda McAfee Advanced Threat Defense Appliance
McAfee Advanced Threat Defense Appliance tiene preinstaladas fuentes de alimentación redundantes.
McAfee Advanced Threat Defense Appliance se suministra con dos cables de alimentación específicos
para su país o región.
Procedimiento
1
Enchufe un extremo del cable de CA al primer módulo de alimentación en el panel de la parte
posterior y, a continuación, el otro extremo del cable a un módulo de fuente de alimentación
adecuado.
2
Enchufe un extremo del cable de CA al segundo módulo de alimentación en el panel de la parte
posterior y, a continuación, el otro extremo del cable a una toma de corriente adecuada. McAfee
Advanced Threat Defense se enciende sin pulsar el botón de encendido en el panel frontal.
El botón de encendido en el panel frontal no enciende/apaga la alimentación de corriente alterna.
Para desconectar McAfee Advanced Threat Defense Appliance de la alimentación CA, debe
desenchufar ambos cables de alimentación CA del módulo de alimentación o de la toma de corriente
de la pared.
Manipulación del bisel frontal
Puede quitar el bisel frontal si es necesario, y después volver a colocarlo. Sin embargo, antes de
colocar el bisel frontal deberá instalar las asas del bastidor.
Procedimiento
1
Siga estos pasos para quitar el bisel frontal.
a
Desbloquee el bisel si está bloqueado.
b
Saque el extremo izquierdo del bisel frontal del asa del bastidor.
c
Gire el bisel frontal en sentido contrario al de las agujas del reloj para soltar las pestañas del
extremo derecho del asa del bastidor.
Figura 2-13 Retirada del bisel frontal
McAfee Advanced Threat Defense 3.4.2
Guía del producto
31
2
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
2
Siga estos pasos para volver a colocar el bisel frontal.
a
Bloquee el extremo derecho del bisel frontal en el asa del bastidor
b
Gire el bisel frontal en el sentido de las agujas del reloj hasta que el extremo izquierdo encaje
con un clic
c
Bloquee el bisel, si fuera necesario.
Figura 2-14 Instalación del bisel frontal
Conecte el cable de red
Procedimiento
1
Conecte un cable Ethernet de categoría 5e o 6 en el puerto de administración, que se encuentra en
el panel posterior.
2
Conecte el otro extremo del cable al dispositivo de red correspondiente.
Configuración de la información de red para McAfee Advanced
Threat Defense Appliance
Una vez completada la instalación y la configuración iniciales, puede gestionar McAfee Advanced
Threat Defense Appliance desde un equipo remoto o servidor de terminal. Para hacerlo, debe
configurar McAfee Advanced Threat Defense Appliance con la información de red requerida.
Procedimiento
1
Conecte un cable de consola (número de serie RJ45 a DB9) al puerto de consola (puerto A de serie
RJ45) en el panel posterior de McAfee Advanced Threat Defense Appliance.
Figura 2-15 Conecte el puerto de consola
32
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
2
2
Conecte el otro extremo del cable directamente al puerto COM del equipo o puerto del servidor de
terminal que esté usando para configurar McAfee Advanced Threat Defense Appliance.
3
Ejecute HyperTerminal desde un equipo con Microsoft Windows con la siguiente configuración.
4
Nombre
Configuración
Tasa de baudios
115200
Número de bits
8
Paridad
Ninguna
Bit de señal de detención
1
Flujo de control
Ninguna
Cuando se le pida que inicie sesión, inicie sesión en McAfee Advanced Threat Defense Appliance
usando el nombre de usuario predeterminado cliadmin y la contraseña atdadmin.
Puede escribir help o ? para obtener instrucciones sobre el funcionamiento de la sintaxis integrada
de comandos. Para obtener una lista de todos los comandos, escriba list.
5
En el símbolo del sistema, escriba set appliance name <Name> para establecer el nombre de
McAfee Advanced Threat Defense Appliance.
Debe introducir los valores que se muestran entre los caracteres <>, excluyendo los caracteres <>.
Ejemplo: set appliance name matd_appliance_1
El nombre de McAfee Advanced Threat Defense Appliance puede ser una serie de hasta 25
caracteres alfanuméricos. Esta serie debe empezar por una letra y puede incluir guiones, guiones
bajos y puntos, pero no espacios.
6
Para configurar la dirección IP del puerto de administración y la máscara de subred de McAfee
Advanced Threat Defense Appliance, escriba set appliance ip <A.B.C.D><E.F.G.H>
Especifique una dirección de 32 bits, escrita como cuatro series de números de 8 bits, separados
por puntos, de la forma <A.B.C.D>, donde A, B, C y D son números de ocho bits entre 0 y 255.
<E.F.G.H> representa la máscara de subred.
Por ejemplo: set appliance ip 192.34.2.8 255.255.255.0
Cuando establezca la dirección IP por primera vez o cuando la modifique, debe reiniciar McAfee
Advanced Threat Defense Appliance.
7
Establezca la dirección de la gateway predeterminada.
set appliance gateway <A.B.C.D>
Use la misma convención que para el comando set appliance ip (establecer IP de Appliance).
Por ejemplo: set appliance gateway 192.34.2.1
8
9
Configure la velocidad del puerto y la configuración de dúplex para el puerto de administración
mediante uno de los comandos siguientes:
•
set mgmtport auto: configura el puerto de administración en modo automático para velocidad
y dúplex.
•
set mgmtport speed (10|100) duplex (full|half): fija la velocidad en 10 o 100 Mbps en
dúplex medio o completo.
Para comprobar la configuración, escriba show.
Esto muestra los detalles de la configuración actual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
33
2
Configuración de McAfee Advanced Threat Defense Appliance
Configuración de McAfee Advanced Threat Defense
10 Para comprobar la conectividad de la red, haga ping a otros hosts de la red. Cuando se le pida,
escriba ping <IP address>
Aparecerá el mensaje host <ip address> is alive (el host <dirección IP> está conectado), que
indica que la operación se ha realizado correctamente. Si no se ha podido acceder al host,
aparecerá el mensaje failed to talk to <ip address> (error de comunicación con <dirección
IP>).
11 Cambie la contraseña de McAfee Advanced Threat Defense Appliance mediante el comando passwd.
La contraseña debe tener entre 8 y 25 caracteres, reconoce entre mayúsculas y minúsculas, y
puede incluir caracteres alfanuméricos o símbolos.
McAfee le recomienda encarecidamente que elija una contraseña con una combinación de caracteres
que sea fácil de recordar para usted pero difícil de adivinar para otra persona.
34
McAfee Advanced Threat Defense 3.4.2
Guía del producto
3
Acceso a la aplicación web McAfee
Advanced Threat Defense
La aplicación web McAfee Advanced Threat Defense está alojada en el dispositivo McAfee Advanced
Threat Defense. Si es un usuario de McAfee Advanced Threat Defense con acceso web, puede acceder
a la aplicación web McAfee Advanced Threat Defense desde un equipo remoto mediante el navegador
compatible.
Mediante la aplicación web McAfee Advanced Threat Defense, puede:
•
Supervisar el estado y rendimiento del dispositivo McAfee Advanced Threat Defense.
•
Administrar McAfee Advanced Threat Defense usuarios y sus permisos.
•
Configurar McAfee Advanced Threat Defense para análisis de malware.
•
Cargar archivos manualmente para su análisis.
•
Supervisar el progreso del análisis y ver los resultados del mismo.
Contenido
Requisitos del cliente McAfee Advanced Threat Defense
Acceso a la aplicación web McAfee Advanced Threat Defense
Requisitos del cliente McAfee Advanced Threat Defense
A continuación presentamos los requisitos del sistema para los sistemas cliente conectados a la
aplicación web McAfee Advanced Threat Defense.
•
Sistema operativo del cliente: Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft
Windows Server 2008, Microsoft Windows 7 y Microsoft Windows 8.0
•
Navegadores: Internet Explorer 9 y posterior, Firefox y Chrome.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
35
3
Acceso a la aplicación web McAfee Advanced Threat Defense
Acceso a la aplicación web McAfee Advanced Threat Defense
Acceso a la aplicación web McAfee Advanced Threat Defense
Procedimiento
1
Desde el equipo cliente, abra una sesión con uno de los navegadores compatibles.
2
Use lo siguiente para acceder a la aplicación web McAfee Advanced Threat Defense:
3
36
•
URL: https://<nombre del host o dirección IP de McAfee Advanced Threat Defense Appliance>
•
Nombre de usuario predeterminado: admin
•
Contraseña: admin
Haga clic en Log In (Inicio de sesión).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat
Defense
Puede usar la aplicación web McAfee Advanced Threat Defense para administrar configuraciones como
las cuentas de usuario y para supervisar el mantenimiento del sistema de McAfee Advanced Threat
Defense Appliance.
Contenido
Administración de usuarios de McAfee Advanced Threat Defense
Supervisar el rendimiento de McAfee Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
Troubleshooting (Solución de problemas)
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
Administración de usuarios de McAfee Advanced Threat
Defense
Puede crear cuentas de usuario para McAfee Advanced Threat Defense con diferentes permisos y
opciones de configuración. Estos permisos y configuraciones dependen de la función del usuario
respecto al análisis de malware con McAfee Advanced Threat Defense. Mediante la aplicación web
McAfee Advanced Threat Defense, puede crear cuentas de usuario para:
•
Usuarios que usan la aplicación web McAfee Advanced Threat Defense para enviar archivos para su
análisis y para ver los resultados del análisis.
•
Usuarios que cargan archivos al servidor FTP alojado en McAfee Advanced Threat Defense
Appliance.
•
Usuarios que usan directamente las API RESTful para enviar archivos. Para más información,
consulte la Guía de referencia de las API RESTful de McAfee Advanced Threat Defense.
En el registro de usuario, especifique también el perfil de analizador predeterminado. Si está usando la
aplicación web McAfee Advanced Threat Defense para cargar, puede omitir esta selección cuando
cargue un archivo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
37
4
Administración de Advanced Threat Defense
Administración de usuarios de McAfee Advanced Threat Defense
Para cada usuario, también puede configurar los detalles del servidor FTP al que desee que McAfee
Advanced Threat Defense cargue los resultados del análisis.
•
Hay cinco registros de usuario predeterminados.
•
Default Admin (Administrador predeterminado): esta es la cuenta de superusuario
predeterminada. Puede usar esta cuenta para la configuración inicial de la aplicación web
McAfee Advanced Threat Defense. El nombre de inicio de sesión es admin y la contraseña
predeterminada es admin.
•
Network Security Platform: el nombre de inicio de sesión es nsp y la contraseña predeterminada
es admin. Network Security Platform utiliza este registro de usuario para la integración con
McAfee Advanced Threat Defense.
•
ATD upload Admin (Administrador de carga de ATD): es la cuenta de usuario predeterminada
para acceder al servidor FTP en McAfee Advanced Threat Defense. El nombre de usuario es
atdadmin y la contraseña es atdadmin.
•
McAfee Web Gateway: este es para la integración entre McAfee Web Gateway y McAfee
Advanced Threat Defense.
•
McAfee Email Gateway: este es para la integración entre McAfee Email Gateway y McAfee
Advanced Threat Defense.
Como precaución, asegúrese de que cambia las contraseñas predeterminadas.
•
Para acceder a la CLI de McAfee Advanced Threat Defense, debe usar cliadmin como nombre de
inicio de sesión y atdadmin como contraseña. No puede acceder a este registro de usuario. No
puede crear ningún otro usuario con acceso a la CLI.
Puede acceder a la CLI desde SSH por el puerto 2222. Consulte Inicie sesión en la CLI en la página
347.
•
Si no es un usuario administrador, puede ver solo su propio registro de usuario y modificarlo. Para
modificar las asignaciones de su función, debe contactar con el usuario administrador.
Ver perfiles de usuario
Si es un usuario con función de administrador, puede ver la lista de usuarios de McAfee Advanced
Threat Defense. Si no tiene función de administrador, solo podrá ver su propio registro de usuario.
38
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Administración de usuarios de McAfee Advanced Threat Defense
4
Procedimiento
1
Seleccione Manage (Administrar) | User Management (Administración de usuarios).
Se muestra la lista actual de usuarios (según su función).
Figura 4-1 Ver la lista de usuarios
2
Nombre de la columna
Definición
Select (Seleccionar)
Seleccione para editar o eliminar el correspondiente registro de
usuario.
Name (Nombre)
Nombre completo del usuario, tal cual se introdujo en los
detalles de usuario.
Login ID (ID de inicio de sesión)
El nombre de usuario para acceder a McAfee Advanced Threat
Defense.
Default Analyzer Profile (Perfil
predeterminado del analizador)
El perfil de analizador que McAfee Advanced Threat Defense
usa cuando el usuario envía una muestra para su análisis. Sin
embargo, el usuario puede omitirlo en el momento de enviar la
muestra.
Oculte las columnas que no desee ver.
a
Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga
clic en la flecha desplegable.
b
Seleccione Columns (Columnas).
c
Seleccione de la lista solo los nombres de columna que desee.
Figura 4-2 Seleccione los nombres de columna requeridos
3
Para ordenar los registros basados en un determinado nombre de columna, haga clic en su
encabezado.
Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el
cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la
flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending
(Orden descendente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
39
4
Administración de Advanced Threat Defense
Administración de usuarios de McAfee Advanced Threat Defense
4
Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga
clic en View (Ver).
Agregar usuarios
Si tiene función de administrador, puede crear los siguientes tipos de usuarios:
•
Usuarios con funciones de administrador en la aplicación web McAfee Advanced Threat Defense
•
Usuarios que no son administradores en la aplicación web McAfee Advanced Threat Defense
•
Usuarios con acceso al servidor FTP alojado en McAfee Advanced Threat Defense Appliance.
•
Acceso a las API RESTful para la aplicación web McAfee Advanced Threat Defense
Procedimiento
1
Seleccione Manage (Administrar) | User Management (Administración de usuarios) | New (Nuevo).
Se muestra la página User Management (Administración de usuarios).
Figura 4-3 Agregar usuarios
2
40
Introduzca la información adecuada en los respectivos campos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Administración de usuarios de McAfee Advanced Threat Defense
Nombre de la
opción
Definición
Username (Nombre de
usuario)
El nombre de usuario para acceder a la aplicación web McAfee Advanced
Threat Defense, el servidor FTP o las API RESTful.
Password (Contraseña)
La contraseña predeterminada que quiera proporcionar al usuario. Debe
reunir los siguientes requisitos:
• Debe tener un mínimo de 8 caracteres.
• Al menos uno de los caracteres alfabéticos debe estar escrito en
mayúscula.
• Debe contener como mínimo un número.
• Debe contener al menos uno de estos caracteres especiales ` ~ ! @ # $
%^&*
• El nombre de usuario y la contraseña no pueden coincidir.
Allow Multiple Logins
(Permitir múltiples
inicios de sesión)
Anule la selección si desea restringir las sesiones simultáneas con el
mismo nombre de usuario a solo una. Seleccione si desea permitir
múltiples sesiones simultáneas con el mismo nombre de usuario.
First and Last Name
(Nombre y apellidos)
Introduzca el nombre completo del usuario. La contraseña debe tener al
menos seis caracteres.
Email (Correo
electrónico)
Opcionalmente, introduzca la dirección de correo electrónico del usuario.
Company (Empresa)
Opcionalmente, introduzca la organización a la que pertenece el usuario.
Phone (Teléfono)
Opcionalmente, introduzca el número de teléfono del usuario.
Address (Dirección)
Opcionalmente, introduzca la dirección del usuario para comunicación.
State (Estado)
Opcionalmente, introduzca el estado correspondiente para la dirección
introducida.
Country (País)
Opcionalmente, introduzca el país correspondiente para la dirección
introducida.
Default Analyzer Profile
Seleccione el perfil de analizador que deba usarse para los archivos
(Perfil predeterminado enviados por el usuario.
del analizador)
Los usuarios que envíen archivos manualmente pueden omitir esta
configuración seleccionando un perfil de analizador diferente en el
momento de enviar los archivos.
User Type (Tipo de
usuario)
McAfee Advanced Threat Defense 3.4.2
Seleccione un tipo en la lista desplegable. Por ejemplo, seleccione NSP si
desea enviar muestras mediante Network Security Platform Sensor.
Guía del producto
41
4
Administración de Advanced Threat Defense
Administración de usuarios de McAfee Advanced Threat Defense
Nombre de la
opción
Definición
Roles (Funciones)
• Admin User (Usuario Administrador): seleccione para asignar derechos de
superusuario en la aplicación web McAfee Advanced Threat Defense. Los
usuarios con esta función pueden acceder a todos los menús y crear
nuevos usuarios.
• Web Access (Acceso web): esta función permite a un usuario enviar
archivos mediante la aplicación web McAfee Advanced Threat Defense y
ver los resultados. Los usuarios con esta función pueden acceder a
todas las funciones pero solo pueden ver su propio perfil. También, al
enviar archivos, pueden asignar solo los perfiles de analizador que han
creado.
• FTP Access (Acceso a FTP): seleccione para asignar acceso al servidor FTP
alojado en McAfee Advanced Threat Defense Appliance para enviar
archivos para su análisis y cargar archivos VMDK.
• Log User Activities (Registrar actividades del usuario): seleccione si desea
registrar los cambios realizados por el usuario en la aplicación web
McAfee Advanced Threat Defense.
• Restful Access (Acceso RESTful): seleccione para asignar acceso a las API
RESTful de la aplicación web McAfee Advanced Threat Defense para
enviar archivos para su análisis.
La función Restful Access (Acceso RESTful) debe estar seleccionada para
los productos McAfee integrados que usan las API RESTful. Si quita esta
selección, la integración podría no funcionar.
• Sample Download Access (Acceso a la descarga de muestras): esta función
permite a un usuario descargar muestras enviadas.
FTP Result Output (Salida Especifique los detalles del servidor FTP al que McAfee Advanced Threat
Defense debe proporcionar los resultados del análisis de malware.
resultante de FTP)
Una vez configurados los detalles del servidor FTP, McAfee Advanced
Threat Defense envía los resultados al servidor FTP especificado además
de almacenarlos en su disco de datos. Si el disco de datos alcanza el
75 % de su capacidad, se borran los resultados de mayor antigüedad. Si
desea que los resultados permanezcan más tiempo, puede configurarlo en
FTP Result Output (Salida resultante de FTP).
• Remote IP (IP remota): la dirección IPv4 del servidor FTP.
• Protocol (Protocolo): especifique si debe usarse FTP o SFTP. McAfee
recomienda usar SFTP.
• Path (Ruta de acceso): la ruta de acceso completa a la carpeta donde se
guardarán los resultados.
• User Name (Nombre de usuario): el nombre de usuario que McAfee
Advanced Threat Defense debe usar para acceder al servidor FTP.
• Password (Contraseña): la contraseña para acceder al servidor FTP.
• Test (Prueba): para verificar si McAfee Advanced Threat Defense puede
comunicarse con el servidor FTP especificado mediante el protocolo
especificado (FTP o SFTP).
42
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Supervisar el rendimiento de McAfee Advanced Threat Defense
Nombre de la
opción
Definición
Save (Guardar)
Crea el registro de usuario con la información que usted ha
proporcionado. Si establece un servidor FTP como salida resultante,
asegúrese de que la prueba de conexión se realiza con éxito antes de
hacer clic en Save (Guardar).
Cancel (Cancelar
Cierra la página User Management (Administración de usuarios) sin guardar
los cambios.
4
Editar usuarios
Si tiene la función de usuario administrador, podrá eliminar registros de usuario. Si desea modificar los
campos obligatorios, una buena práctica es asegurarse primero de que el usuario correspondiente no
ha iniciado sesión. Si solo tiene asignadas funciones de acceso web o acceso RESTful, solo podrá
modificar su perfil de usuario.
Procedimiento
1
Seleccione Manage (Administrar) | User Management (Administración de usuarios).
Se muestra la lista actual de usuarios.
2
Seleccione el registro del usuario en cuestión y haga clic en Edit (Editar).
Se muestra la página User Management (Administración de usuarios).
3
Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar).
Para obtener más información sobre los campos, consulte Agregar usuarios en la página 40.
Eliminación de usuarios
Si tiene la función de usuario administrador, podrá eliminar registros de usuario. Asegúrese de que el
usuario en cuestión no ha iniciado sesión.
No puede eliminar los registros de cualquier usuario predefinido, es decir: el registro de usuario
administrador, el registro de usuario para Network Security Platform y el registro de usuario para
McAfee Web Gateway.
Procedimiento
1
Seleccione Manage (Administrar) | User Management (Administración de usuarios).
Se muestra la lista actual de usuarios.
2
Seleccione el registro del usuario en cuestión y haga clic en Delete (Eliminar).
3
Haga clic en Yes (Sí) para confirmar la eliminación.
Supervisar el rendimiento de McAfee Advanced Threat Defense
Puede utilizar las siguientes opciones para supervisar el rendimiento de McAfee Advanced Threat
Defense.
•
Use los monitores del panel McAfee Advanced Threat Defense para supervisar continuamente el
rendimiento. Consulte Monitores de rendimiento de McAfee Advanced Threat Defense en la página
317.
•
Use el comando status en la CLI de McAfee Advanced Threat Defense Appliance. Consulte
Comandos CLI para McAfee Advanced Threat Defense en la página 5.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
43
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
Amplíe McAfee Advanced Threat Defense y la máquina virtual
Android
En esta sección se proporciona información sobre cómo ampliar la versión de McAfee Advanced Threat
Defense además de la versión de Android para la máquina virtual analizadora de Android
predeterminada.
A continuación se indican las rutas de ampliación para ampliar el software McAfee Advanced Threat
Defense a 3.2.0.xx:
•
Si la versión actual es 3.0.2.xx y no es 3.0.2.36, no se admite la ampliación directa a 3.2.0.xx. Por
ejemplo, si la versión actual es 3.0.2.51, amplíe primero a 3.0.4.56 y, a continuación, a 3.2.0.xx.
La ampliación de 3.0.2.xx a 3.0.4.56 es un proceso que consta de dos pasos. Consulte Ampliación
del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx en la página 45.
•
Si la versión actual es la 3.0.2.36 y desea ampliar a la 3.2.0.xx, la ampliación de la interfaz de
usuario de McAfee Advanced Threat Defense y del software del sistema McAfee Advanced Threat
Defense se realizan por separado. Es decir, se admite la ampliación directa a 3.2.0 pero es un
proceso que consta de dos pasos. Consulte Amplié el software McAfee Advanced Threat Defense de
3.0.2.36 a 3.2.0.xx en la página 48.
•
Si la versión actual es la 3.0.4.56, 3.0.4.75 o 3.0.4.94, puede ampliar directamente a la 3.2.0.xx
ampliando solo el software del sistema McAfee Advanced Threat Defense. ConsulteAmplíe el
software McAfee Advanced Threat Defense de 3.0.4.xx a 3.2.0.xx en la página 51.
Cuando haya ampliado a 3.2.0.xx, ya no podrá revertir a 3.0.2.xx o 3.0.4.xx cargando la imagen de
copia de seguridad mediante el comando reboot backup.
•
Si la versión actual es la 3.2.0.xx, puede ampliar directamente a la 3.2.2.xx ampliando únicamente
el software del sistema de McAfee Advanced Threat Defense. Consulte Amplíe el software ATD de
3.2.0.xx a 3.2.2.xx en la página 53.
Cuando haya ampliado a 3.2.2.xx, ya no podrá revertir a 3.0.2.xx, 3.0.4.xx o 3.2.0.xx cargando la
imagen de copia de seguridad mediante el comando reboot backup.
La versión de Android en la máquina virtual analizadora Android predeterminada es la 2.3. Después de
ampliar el software McAfee Advanced Threat Defense a 3.2.0.xx, podrá ampliar la versión de Android a
4.3. Consulte Ampliar la máquina virtual analizadora de Android en la página 55.
44
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
4
Ampliación del software McAfee Advanced Threat Defense de
3.0.2.xx a 3.0.4.xx
Antes de empezar
•
Solo puede ampliar a la versión 3.2.0 si la versión actual de McAfee Advanced Threat
Defense es la 3.0.2.36. Para todas las demás versiones 3.0.2.xx, amplíe primero a
3.0.4.56 para actualizar a 3.2.0.xx.
•
Asegúrese de que el software McAfee Advanced Threat Defense3.0.4.xx que desea usar
se extrae y de que puede acceder a él desde el equipo cliente. La ampliación a McAfee
Advanced Threat Defense 3.0.4.56 es un proceso que consta de dos pasos. La
ampliación a la interfaz de usuario de McAfee Advanced Threat Defense y el software del
sistema McAfee Advanced Threat Defense se realizan por separado. Por tanto,
asegúrese de que puede acceder a los archivos ui-3.0.4.X.msu y system-3.0.4.x.msu
desde el equipo cliente.
Este procedimiento de ampliación en dos pasos se aplica solo al ampliar de la versión
3.0.2.x a la 3.0.4.56. Para la ampliación a 3.0.4.75, primero debe ampliar a 3.0.4.56. A
continuación, para ampliar de 3.0.4.56 a 3.0.4.75, lo único que tiene que hacer es
ampliar la interfaz de usuario de la aplicación web McAfee Advanced Threat Defense
(Software MATD).
•
Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación
web McAfee Advanced Threat Defense.
•
Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense
mediante SSH.
•
Tiene las credenciales para acceder por SFTP al McAfee Advanced Threat Defense
Appliance.
•
Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios
de sesión) en la página User Management (Administración de usuarios).
Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software
McAfee Advanced Threat Defense a la que desee ampliar.
Como precaución adicional, reinicie el dispositivo desde el disco activo y use el comando copytobackup
para copiar la versión de software desde el disco activo al disco de copia de seguridad. Con una copia
de seguridad, puede restaurar el software a la versión actual, de ser necesario.
Procedimiento
1
Amplíe la interfaz de usuario de la aplicación web McAfee Advanced Threat Defense.
a
Seleccione Manage (Administrar) | Software Management (Administración de software)
Figura 4-4 Ampliación de aplicación web McAfee Advanced Threat Defense
McAfee Advanced Threat Defense 3.4.2
Guía del producto
45
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
b
Haga clic en Browse (Examinar) y seleccione el archivo ui-<version number>.msu desde el
equipo cliente.
Para una ampliación, asegúrese de que la opción Reset Database (Restablecer base de datos) no
está seleccionada. Esta opción solo se selecciona si se desea que se cree una base de datos
nueva como parte de la ampliación. Si selecciona esta opción, un mensaje de advertencia le
indicará que se perderán todos los datos de la base de datos existente. Haga clic en OK (Aceptar)
para confirmar.
2
c
Haga clic en Install (Instalar).
d
Cuando se haya ampliado la aplicación web McAfee Advanced Threat Defense, cierre sesión y
borre la caché del navegador correspondiente.
e
Inicie sesión en la aplicación web McAfee Advanced Threat Defense y haga lo siguiente.
•
Verifique la versión que se muestra en la interfaz de usuario.
•
Seleccione Manage (Administrar) | Software Management (Administración de software) y verifique que Software
Management (Administración de software) consta de dos secciones: MATD Software (Software
MATD) y System Software (Software del sistema).
•
Verifique que se conserven los datos y las configuraciones de la versión anterior.
Amplíe el software del sistema McAfee Advanced Threat Defense.
a
Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como
FileZilla.
Inicie sesión como usuario atdadmin.
b
Mediante SFTP, cargue el archivo system-<version number>.msu al directorio raíz de McAfee
Advanced Threat Defense.
Asegúrese de que el modo de transferencia es binario.
c
Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat
Defense como usuario administrador y seleccione Manage (Administrar) | Software Management
(Administración de software).
d
En System Software (Software del sistema), seleccione el archivo system-<version number>.msu.
e
Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en
caso de ampliaciones y haga clic en Install (Instalar).
Figura 4-5 Ampliación de aplicación web McAfee Advanced Threat Defense
46
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
f
4
Se muestra un mensaje de confirmación; haga clic en OK (Aceptar).
El software del sistema se instala, y el estado se muestra en el navegador.
La instalación del software del sistema tarda un mínimo de 20 minutos en completarse.
g
Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se
muestra un mensaje relevante.
El Appliance se reinicia por sí mismo. El mensaje mostrado es meramente informativo.
Si no puede ver estos mensajes, borre la caché del navegador.
h
Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y
verifique la versión del software.
i
Verifique la versión en la aplicación web McAfee Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
47
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
j
Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que
se haya invocado la tarea vmcreator.
Al ampliar a McAfee Advanced Threat Defense 3.0.4, se vuelven a crear automáticamente todas
las máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse
según el número de máquinas virtuales analizadoras.
k
Verifique que se conserven los datos y las configuraciones de la versión anterior.
La versión de software a la que ha ampliado se almacena ahora en el disco activo de lMcAfee
Advanced Threat Defense Appliance.
Amplié el software McAfee Advanced Threat Defense de
3.0.2.36 a 3.2.0.xx
Antes de empezar
•
Solo puede ampliar a la versión 3.2.0 si la versión actual de McAfee Advanced Threat
Defense es la 3.0.2.36. Para todas las demás versiones 3.0.2.xx, amplíe primero a
3.0.4.56 para actualizar a 3.2.0.xx.
•
Asegúrese de que el software McAfee Advanced Threat Defense 3.2.0.xx que desea usar
se extrae y de que puede acceder a él desde el equipo cliente. La ampliación a McAfee
Advanced Threat Defense 3.2.0.xx es un proceso que consta de dos pasos. La
ampliación de la interfaz de usuario de McAfee Advanced Threat Defense y del software
del sistema McAfee Advanced Threat Defense se realizan por separado. Por tanto,
asegúrese de que puede acceder a los archivos ui-3.2.0.X.msu y system-3.2.0.x.msu
desde el equipo cliente.
•
Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación
web McAfee Advanced Threat Defense.
•
Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense
mediante SSH.
•
Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense
Appliance.
•
Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios
de sesión) en la página User Management (Administración de usuarios).
Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software
McAfee Advanced Threat Defense a la que desee ampliar.
Procedimiento
1
Amplíe la interfaz de usuario de la aplicación web McAfee Advanced Threat Defense.
a
Seleccione Manage (Administrar) | Software Management (Administración de software)
b
Haga clic en Browse (Examinar) y seleccione el archivo ui-3.2.0.X.msu desde el equipo cliente.
Para una ampliación, asegúrese de que la opción Reset Database (Restablecer base de datos) no
está seleccionada. Esta opción solo se selecciona si se desea que se cree una base de datos
nueva como parte de la ampliación. Si selecciona esta opción, un mensaje de advertencia le
indicará que se perderán todos los datos de la base de datos existente. Haga clic en OK (Aceptar)
para confirmar.
c
48
Haga clic en Install (Instalar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
2
d
Cuando se haya ampliado la aplicación web McAfee Advanced Threat Defense, cierre sesión y
borre la caché del navegador correspondiente.
e
Inicie sesión en la aplicación web McAfee Advanced Threat Defense y haga lo siguiente.
•
Verifique la versión que se muestra en la interfaz de usuario.
•
Seleccione Manage (Administrar) | Software Management (Administración de software) y verifique que Software
Management (Administración de software) consta de dos secciones: MATD Software (Software
MATD) y System Software (Software del sistema).
•
Verifique que se conserven los datos y las configuraciones de la versión anterior.
Amplíe el software del sistema McAfee Advanced Threat Defense.
a
Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como
FileZilla.
Inicie sesión como usuario atdadmin.
b
Mediante SFTP, cargue el archivo system-3.2.0.x.msu al directoriio raíz de McAfee Advanced
Threat Defense.
Asegúrese de que el modo de transferencia es binario.
c
Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat
Defense como usuario administrador y seleccione Manage (Administrar) | Software Management
(Administración de software).
d
EnSystem Software (Software del sistema), seleccione el archivo 3.2.0.x.msu.
e
Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en
caso de ampliaciones y haga clic en Install (Instalar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
49
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
f
Se muestra un mensaje de confirmación; haga clic en OK (Aceptar).
El software del sistema se instala, y el estado se muestra en el navegador.
La instalación del software del sistema tarda un mínimo de 20 minutos en completarse.
g
Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se
muestra un mensaje relevante.
El Appliance se reinicia por sí mismo. El mensaje que se muestra es meramente informativo.
Si no puede ver estos mensajes, borre la caché del navegador.
50
h
Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y
verifique la versión del software.
i
Verifique la versión en la aplicación web McAfee Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
j
Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que
se haya invocado la tarea vmcreator.
Al ampliar a McAfee Advanced Threat Defense 3.2.0, se vuelven a crear automáticamente todas
las máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse
según el número de máquinas virtuales analizadoras.
k
Verifique que se conserven los datos y las configuraciones de la versión anterior.
La versión de software a la que ha ampliado se almacena ahora en el disco activo de McAfee
Advanced Threat Defense Appliance.
Amplíe el software McAfee Advanced Threat Defense de
3.0.4.xx a 3.2.0.xx
Antes de empezar
•
Asegúrese de que la versión actual de McAfee Advanced Threat Defense es la 3.0.4.56,
3.0.4.75 o 3.0.4.94. Si la versión actual es la 3.0.2.xx, consulte la sección
correspondiente para obtener información de ampliación.
•
Asegúrese de que el software McAfee Advanced Threat Defensesystem-3.2.0.x.msu que
desea usar se extrae y de que puede acceder a él desde el equipo cliente.
•
Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación
web McAfee Advanced Threat Defense.
•
Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense
mediante SSH.
•
Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense
Appliance.
•
Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios
de sesión) en la página User Management (Administración de usuarios).
Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software
McAfee Advanced Threat Defense a la que desee ampliar.
Procedimiento
1
Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla.
Inicie sesión como usuario atdadmin.
2
Mediante SFTP, cargue el archivo system-<version number>.msu al directorio raíz de McAfee
Advanced Threat Defense.
Asegúrese de que el modo de transferencia es binario.
3
Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat
Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración
de software).
4
En System Software (Software del sistema), seleccione el archivo system-<version number>.msu.
5
Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en caso
de ampliaciones y haga clic en Install (Instalar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
51
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
6
Se muestra un mensaje de confirmación; haga clic en OK (Aceptar).
El software del sistema se instala, y el estado se muestra en el navegador.
La instalación del software del sistema tarda un mínimo de 20 minutos en completarse.
7
Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se
muestra un mensaje relevante.
El Appliance se reinicia por sí mismo. El mensaje que se muestra es meramente informativo.
Si no puede ver estos mensajes, borre la caché del navegador.
52
8
Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y
verifique la versión del software.
9
Verifique la versión en la aplicación web McAfee Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
10 Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que se
haya invocado la tarea vmcreator.
Al ampliar a McAfee Advanced Threat Defense 3.2.0, se vuelven a crear automáticamente todas las
máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse según el
número de máquinas virtuales analizadoras.
11 Verifique que se conserven los datos y las configuraciones de la versión anterior.
La versión de software a la que ha ampliado se almacena ahora en el disco activo de la aplicación
McAfee Advanced Threat Defense.
Amplíe el software ATD de 3.2.0.xx a 3.2.2.xx
Antes de empezar
•
Asegúrese de que la versión actual de McAfee Advanced Threat Defense es la 3.2.0.xx.
•
Asegúrese de que se extraiga el software system-3.2.2.x.msu de McAfee Advanced
Threat Defense que desea usar y de que puede acceder a él desde su equipo cliente.
•
Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación
web McAfee Advanced Threat Defense.
•
Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense
mediante SSH.
•
Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense
Appliance.
•
Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios
de sesión) en la página User Management (Administración de usuarios).
Con la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software
McAfee Advanced Threat Defense a la que desee ampliar.
Procedimiento
1
Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla.
Inicie sesión como usuario atdadmin.
2
Mediante SFTP, cargue el archivo system-<version number>.msu al directorio raíz de McAfee
Advanced Threat Defense.
Asegúrese de que el modo de transferencia es binario.
3
Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat
Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración
de software).
4
En System Software (Software del sistema), seleccione el archivo system-<version number>.msu.
5
Asegúrese de que la opción Reset Database (Restablecer base de datos) no está seleccionada en caso
de ampliaciones y haga clic en Install (Instalar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
53
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
6
Se muestra un mensaje de confirmación; haga clic en OK (Aceptar).
El software del sistema se instala, y el estado se muestra en el navegador.
La instalación del software del sistema tarda un mínimo de 20 minutos en completarse.
7
Cuando se ha instalado el software, McAfee Advanced Threat Defense Appliance se reinicia. Se
muestra un mensaje relevante.
El Appliance se reinicia por sí mismo. El mensaje que se muestra es meramente informativo.
Si no puede ver estos mensajes, borre la caché del navegador.
54
8
Espere a que McAfee Advanced Threat Defense Appliance se reinicie. Inicie sesión en la CLI y
verifique la versión del software.
9
Verifique la versión en la aplicación web McAfee Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
10 Inicie sesión en la aplicación web y, en la página System Log (Registro del sistema), verifique que se
haya invocado la tarea vmcreator.
Al ampliar a McAfee Advanced Threat Defense 3.2.2, se vuelven a crear automáticamente todas las
máquinas virtuales analizadoras. Este proceso puede tardar cierto tiempo en completarse según el
número de máquinas virtuales analizadoras.
11 Verifique que se conserven los datos y las configuraciones de la versión anterior.
La versión de software a la que ha ampliado se almacena ahora en el disco activo de McAfee
Advanced Threat Defense Appliance.
Ampliar la máquina virtual analizadora de Android
Antes de empezar
•
Asegúrese de que la versión actual de McAfee Advanced Threat Defense es la 3.2.0.xx
•
Asegúrese de que android-4.3.msu se extrae y de que puede acceder a él desde el
equipo cliente.
•
Tiene las credenciales para iniciar sesión como usuario administrador en la aplicación
web McAfee Advanced Threat Defense.
•
Tiene las credenciales para iniciar sesión en la CLI de McAfee Advanced Threat Defense
mediante SSH.
•
Tiene las credenciales para acceder por SFTP a McAfee Advanced Threat Defense
Appliance.
•
Para el registro de usuario admin, seleccione Allow Multiple Logins (Permitir múltiples inicios
de sesión) en la página User Management (Administración de usuarios).
Mediante la aplicación web McAfee Advanced Threat Defense, puede ampliar la máquina virtual
analizadora de Android a la versión 4.3.
Procedimiento
1
Inicie sesión en McAfee Advanced Threat Defense Appliance mediante un cliente FTP como FileZilla.
Inicie sesión como usuario atdadmin.
2
Mediante SFTP, cargue el archivo android-4.3.msu al directorio raíz de McAfee Advanced Threat
Defense.
Asegúrese de que el modo de transferencia es binario.
3
Cuando se haya cargado el archivo, inicie sesión en la aplicación web McAfee Advanced Threat
Defense como usuario administrador y seleccione Manage (Administrar) | Software Management (Administración
de software).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
55
4
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
4
En System Software (Software del sistema) seleccione el archivo android-4.3.msu.
Figura 4-6 Seleccionar el archivo de Android
5
Asegúrese de que la opción Reset Database no está seleccionada ya que no es relevante para ala
ampliación de Android y haga clic en Install (Instalar).
El proceso de instalación de Android empieza con la validación de archivos.
6
56
Se muestra un mensaje de confirmación; haga clic en OK (Aceptar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Amplíe McAfee Advanced Threat Defense y la máquina virtual Android
4
La aplicación web McAfee Advanced Threat Defense se cierra, cierra la sesión automáticamente y el
estado de la instalación se muestra en el navegador.
•
La instalación del software del sistema tarda un mínimo de 20 minutos en completarse.
•
Si no puede ver estos mensajes, borre la caché del navegador.
•
Al ampliar Android, se vuelve a crear automáticamente la máquina virtual analizadora Android.
Es probable que este proceso tarde unos minutos en completarse.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
57
4
Administración de Advanced Threat Defense
Troubleshooting (Solución de problemas)
7
Inicie sesión en la aplicación web y seleccione Manage (Administrar) | System Log (Registro del sistema)
8
En la página System Log (Registro del sistema, verifique que se haya completado correctamente la
tarea vmcreator para la máquina virtual analizadora Android.
Troubleshooting (Solución de problemas)
La página Troubleshooting (Solución de problemas) permite realizar algunas tareas para solucionar
problemas con la aplicación web McAfee Advanced Threat Defense. Estas incluyen la exportación de
registros desde McAfee Advanced Threat Defense y el borrado de resultados de análisis almacenados
en la base de datos de McAfee Advanced Threat Defense.
58
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Troubleshooting (Solución de problemas)
4
Procedimiento
•
Para acceder a la página Troubleshooting (Solución de problemas), seleccione Manage (Administrar) |
Troubleshooting (Solución de problemas).
Figura 4-7 Página Troubleshooting (Solución de problemas)
Procedimientos
•
Exportación de registros de McAfee Advanced Threat Defense en la página 59
•
Volver a crear las máquinas virtuales analizadoras en la página 60
•
Eliminación de los resultados del análisis en la página 61
Exportación de registros de McAfee Advanced Threat Defense
Si surgen problemas al usar McAfee Advanced Threat Defense, puede exportar los archivo de registro
y enviarlos a al servicio técnico de McAfee para sus análisis y solución de problemas. Puede exportar
registros del sistema, de diagnóstico y registros diversos adicionales. Los registros del sistema ayudan
a solucionar problemas relacionados con funciones, operaciones, eventos y demás. Los registros de
diagnóstico son necesarios para solucionar problemas críticos tales como bloqueos del sistema en
McAfee Advanced Threat Defense.
No puede leer el contenido de los archivos de registro del sistema o de diagnóstico. Se trata de
registros diseñados únicamente para su uso por el servicio técnico de McAfee.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
59
4
Administración de Advanced Threat Defense
Troubleshooting (Solución de problemas)
Procedimiento
1
En la página Troubleshooting (Solución de problemas), haga clic en Log files (Archivos de registro) para
descargar los registros del sistema, y en Diagnostic File (Archivo de diagnóstico) para descargar los
registros de diagnóstico.
2
Para descargar la información y los registros adicionales, haga clic en Support Bundle (Paquete de
soporte), introduzca el número de ficha y haga clic en OK (Aceptar).
Figura 4-8 Creación de paquetes de soporte
McAfee Advanced Threat Defense recopila la información requerida y se muestra un mensaje en la
parte inferior del navegador. Posteriormente se suministra la opción de guardar el archivo <ticket
number>.tgz.
3
Proporcione los siguientes archivos a Soporte de McAfee.
•
Registros del sistema (atdlogs.bin)
•
Registros de diagnóstico (atdcore.bin)
•
Registros diversos adicionales (<ticket number>.tgz)
Volver a crear las máquinas virtuales analizadoras
Durante el análisis dinámico, es posible que las muestras dañen algunas de las máquinas virtuales
analizadoras. Por lo tanto, es posible que estas máquinas virtuales analizadoras no estén disponibles
para más análisis. En tales circunstancias, puede eliminar todas las máquinas virtuales analizadoras
existentes y volver a crearlas.
Se eliminan y vuelven a crear todas las máquinas virtuales analizadoras, incluidas la máquina virtual
Android predeterminada y las máquinas virtuales no dañadas. Por lo tanto, no será posible analizar
ningún archivo hasta que no se hayan vuelto a crear todas las máquinas virtuales analizadoras. El
tiempo dedicado a volver a crear las máquinas depende del número de instancias de máquina virtual
analizadora y su tamaño.
60
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
4
Procedimiento
1
En la página Troubleshooting (Solución de problemas), haga clic en Create VMs (Crear máquinas
virtuales) y confirme que desea eliminar todas las instancias de máquina virtual analizadora y
volver a crearlas.
2
Seleccione Manage (Administrar) | System Log (Registro del sistema) para ver los registros relacionados con la
nueva creación de máquinas virtuales.
Si desea consultar el progreso de la nueva creación de máquinas virtuales, seleccione Dashboard
(Panel) y revise el monitor VM Creation Status (Estado de creación de máquina virtual). El botón Create
VMs (Crear máquinas virtuales) de la página Troubleshooting (Solución de problemas) solo volverá a
estar disponible una vez que se hayan vuelto a crear todas las instancias de máquina virtual
analizadora.
Eliminación de los resultados del análisis
Procedimiento
1
En la página Troubleshooting (Solución de problemas), haga clic en Remove all Report Analysis Results
(Quitar todos los resultados de informe de análisis).
2
Haga clic en Submit (Enviar).
Copia de seguridad y recuperación de la base de datos de
Advanced Threat Defense
Como medida de precaución, puede realizar copias de seguridad de la base de datos de Advanced
Threat Defense de manera periódica. Puede restaurar cualquiera de las copias de seguridad cuando lo
desee. Por ejemplo, si desea descartar todos los cambios realizados durante un ejercicio de resolución
de problemas, puede restaurar la copia de seguridad realizada antes de comenzar la resolución de
problemas.
Puede programar copias de seguridad automáticas para que se realicen a diario, semanalmente o una
vez al mes, y que se guarden en un FTP designado.
Para restaurar una copia de seguridad, McAfee Advanced Threat Defense obtiene el archivo de copia
de seguridad seleccionado del servidor FTP y sobrescribe su base de datos con el contenido del archivo
de copia de seguridad.
¿Qué se recupera?
La copia de seguridad incluye los siguientes datos:
•
Los resultados mostrados en la página Analysis Results (Resultados del análisis)
No se realiza una copia de los informes de análisis tales como el resumen del análisis, los resultados
completos y los resultados del desensamblaje. Si elimina los informes de la base de datos (desde la
página de solución de problemas) y a continuación restaura una copia de seguridad, los detalles de los
resultados se muestran en la página Analysis Results (Resultados del análisis) de la copia de seguridad,
pero los informes no están disponibles.
•
Lista negra local (no se realiza una copia de la lista blanca local)
McAfee Advanced Threat Defense 3.4.2
Guía del producto
61
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
•
Perfiles de máquina virtual
No se realiza una copia de la imagen o archivo VMDK de las máquinas virtuales analizadoras. Antes
de restaurar una copia de seguridad, asegúrese de que los archivos de imagen especificados en los
perfiles de máquina virtual de la copia de seguridad están presentes en McAfee Advanced Threat
Defense.
•
Perfiles de analizador
•
Registros de usuario
•
Detalles de la integración de McAfee ePO
•
Configuración de proxy
•
Configuración de DNS
•
Configuración de fecha y hora incluidos los detalles del servidor NTP
•
Configuración del clúster de equilibrio de cargas que se muestra en la página Load Balancing Cluster
Setting (Configuración del clúster de equilibrio de cargas)
Esto no incluye los resultados de análisis y la configuración de los demás nodos del clúster
•
Configuración y reglas YARA personalizadas
•
Copia de seguridad de los ajustes del planificador
•
Copia de seguridad de los detalles del archivo tal y como se muestran en la página Restore
Management (Restaurar administración)
No se realiza una copia de seguridad de los siguientes datos:
•
Cualquier URL o archivo de muestra que se esté analizando mientras se realiza la copia de
seguridad
La página Analysis Status (Estado del análisis) solo muestra el archivo que se está analizando.
•
Los archivos VMDK o de imagen de las máquinas virtuales analizadoras
•
El software de McAfee Advanced Threat Defense en el disco activo o de copia de seguridad
•
Los archivos de registro y los archivos de diagnóstico
Planificar una copia de seguridad de base de datos
Puede planificar copias de seguridad automáticas con una frecuencia diaria, semanal o mensual.
Normalmente, el proceso de copia de seguridad tarda unos minutos en completarse. Sin embargo,
esto depende del tamaño de los datos. McAfee recomienda elegir un momento en el que la carga de
análisis de Advanced Threat Defense sea inferior.
Antes de empezar
62
•
Debe tener derechos de usuario administrador en la aplicación web McAfee Advanced
Threat Defense.
•
Debe tener un servidor FTP configurado para almacenar las copias de seguridad y saber
en qué directorio desea almacenar las copias de seguridad.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
•
Debe tener la dirección IPv4 del servidor FTP, el nombre de usuario y la contraseña para
que Advanced Threat Defense pueda acceder a dicho servidor FTP. Además, el nombre
de usuario debe tener acceso de escritura al directorio que se va a usar.
•
Debe poder establecerse comunicación a través de SFTP o FTP entre McAfee Advanced
Threat Defense y el servidor FTP.
Puesto que la función de copia de seguridad solo se puede configurar para el usuario administrador, la
configuración de servidor FTP de las páginas Backup Scheduler Setting (Configuración de planificador de
copia de seguridad) page y FTP Result Output (Salida resultante de FTP) de User Management (Administración
de usuarios) es la misma para el usuario administrador. Por lo tanto, cuando el usuario administrador
modifica los datos de FTP en una de estas páginas, estos se reflejan automáticamente en la otra
página.
Procedimiento
1
Seleccione Manage (Administrar) | Backup and Restore (Copia de seguridad y restauración) | Backup (Copia de seguridad).
Se mostrará la página Backup Scheduler Setting (Configuración de planificador de copia de seguridad).
Figura 4-9 Planificación de una copia de seguridad
2
Introduzca la información adecuada en los respectivos campos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
63
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
Nombre de la
opción
Definición
Enable Backup (Activar
copia de seguridad)
Seleccione esta opción para activar copias de seguridad automáticas en la
fecha y hora programadas. Si desea detener las copias de seguridad
automáticas, anule la selección de esta casilla.
Backup Frequency
Especifique la frecuencia con que desea que Advanced Threat Defense cree
(Frecuencia de copia copias de seguridad de la base de datos.
de seguridad)
• Daily (Cada día): seleccione para crear una copia de seguridad a diario.
Time (Hora): especifique la hora de la copia de seguridad diaria. Por
ejemplo, si selecciona 01:00, Advanced Threat Defense realizará la copia
de seguridad a la 01:00 todos los días de acuerdo con la hora de su reloj.
Para crear una copia de seguridad de inmediato, puede usar el comando
show en la CLI de Advanced Threat Defense para averiguar la hora actual
en Advanced Threat Defense. A continuación, con Daily (Cada día) como
frecuencia de copia de seguridad, puede especificar una hora cercana a la
actual para crear una copia de seguridad de inmediato.
• Weekly (Cada semana): seleccione esta opción para crear una copia de
seguridad una vez por semana.
• Day of the week (Día de la semana): seleccione el día en el que desea crear
la copia de seguridad.
• Time (Hora): especifique la hora de la copia de seguridad en el día
seleccionado.
• Monthly (Cada mes): seleccione esta opción para crear una copia de
seguridad una vez al mes.
• Day of Month (Día del mes): seleccione la fecha en la que desea crear la
copia de seguridad. Por ejemplo, si selecciona 5, Advanced Threat
Defense creará una copia de seguridad de la base de datos el quinto día
de cada mes. Solo puede especificar una fecha de 1 a 28. Esto evita el
uso de fechas no válidas como, por ejemplo, 30 de febrero.
• Time (Hora): especifique la hora de la copia de seguridad en la fecha
seleccionada.
64
Last Backup (Última
copia de seguridad)
Marca de tiempo de la última copia de seguridad realizada correctamente.
Remote IP (IP remota)
La dirección IPv4 del servidor FTP.
Protocol (Protocolo)
Elija si desea que Advanced Threat Defense utilice FTP o SFTP para
transferir el archivo de copia de seguridad al servidor FTP.
Path (Ruta)
El directorio en el que Advanced Threat Defense debe guardar el archivo en
el servidor FTP. Por ejemplo, para guardar el archivo en el directorio raíz,
introduzca el directorio, enter:/.
User Name (Nombre
de usuario)
El nombre de usuario que Advanced Threat Defense debe usar para acceder
al servidor FTP. Asegúrese de que este nombre de usuario tiene acceso de
escritura a la carpeta especificada.
Password
(Contraseña)
La contraseña correspondiente.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
Nombre de la
opción
Definición
Test (Probar)
Haga clic en este botón para asegurarse de que Advanced Threat Defense
puede acceder al servidor FTP especificado con el protocolo y las
credenciales de usuario seleccionados.
Solo podrá planificar una copia de seguridad correctamente si la conexión
de prueba se realiza con éxito.
Submit (Enviar)
3
Haga clic para planificar la copia de seguridad.
Para ver los registros relacionados con la copia de seguridad, seleccione Manage (Administrar) | System
Log (Registro del sistema) para ver detalles como las marcas de tiempo de inicio y fin.
Figura 4-10 Registros relacionados con la copia de seguridad
La copia de seguridad se almacena en un archivo .zip protegido por contraseña en el directorio
especificado en el servidor FTP.
No intente descomprimir ni modificar este archivo. Si se daña el archivo, es posible que no pueda
usarlo pueda restaurar la copia de seguridad de la base de datos.
Restaurar una copia de seguridad de base de datos: archivo de
copia de seguridad específico y archivo de copia de seguridad
anterior
Antes de empezar
•
Asegúrese de que ha configurado la dirección IP para FTP, la ruta de directorios y las
credenciales de usuario en la página Backup Scheduler Setting (Configuración de planificador
de copia de seguridad) y de que la conexión de prueba funciona para la configuración
especificada. Solo es posible restaurar copias de seguridad del mismo servidor FTP
utilizado para realizar las copias de seguridad.
•
Asegúrese de que el archivo de copia de seguridad que desea restaurar está disponible
en el servidor FTP en el directorio especificado.
•
Como precaución, asegúrese de que ningún otro usuario inicie sesión en Advanced
Threat Defense durante la restauración. Tenga en cuenta la aplicación web Advanced
Threat Defense, las API REST y la CLI.
•
Asegúrese de que Advanced Threat Defense no está analizando ninguna URL ni ningún
archivo de muestra a la hora de restaurar. Asimismo, asegúrese de que ningún producto
integrado, usuario ni script envíe muestras durante la restauración.
•
Asegúrese de no restaurar una copia de seguridad durante el proceso de copia de
seguridad.
•
Asegúrese de que no haya ninguna ampliación de software de Advanced Threat Defense
en ejecución durante la restauración.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
65
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
La opción Specific backup file (Archivo de copia de seguridad específico) le permite restaurar el
archivo de copia de seguridad presente en el servidor FTP en cualquier appliance Advanced
Threat Defense. Esto resulta útil cuando el appliance Advanced Threat Defense sufre daños.
No es posible restaurar una copia de seguridad de una versión anterior o posterior del
software Advanced Threat Defense. Todos los números de la versión deben ser
exactamente iguales. Por ejemplo, no es posible restaurar una copia de seguridad de
3.0.4.94.39030 en 3.0.4.94.39031.
Procedimiento
1
Seleccione Manage (Administrar) | Backup and Restore (Copia de seguridad y restauración) | Restore (Restaurar)
Se muestra la página Restore Management (Administración de restauración).
Figura 4-11 Archivo de copia de seguridad específico
66
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
2
4
Seleccione Specific backup file (Archivo de copia de seguridad específico). Introduzca la información
adecuada en los respectivos campos.
Tabla 4-1 Restaurar un archivo de copia de seguridad específico
Nombre de la opción
Definición
Remote IP (IP remota)
La dirección IPv4 del servidor FTP.
Protocol (Protocolo)
Elija si desea que Advanced Threat Defense utilice FTP o SFTP
para transferir el archivo de copia de seguridad al servidor FTP.
User Name (Nombre de usuario) El nombre de usuario que Advanced Threat Defense debe usar
para acceder al servidor FTP. Asegúrese de que este nombre de
usuario tiene acceso de escritura a la carpeta especificada.
3
Password (Contraseña)
La contraseña correspondiente.
Full Path File Name (Nombre y
ruta completa de archivo)
Para restaurar la copia de seguridad, deben proporcionarse la
ubicación completa del archivo creado anteriormente y el nombre
del archivo. Si el archivo de copia de seguridad no está disponible
en la ubicación especificada en el servidor de reserva, no se
realizará la restauración.
Haga clic en Restore (Restaurar).
Restaurar una copia de seguridad de base de datos: archivo de copia de
seguridad anterior
Before you begin
Es posible que se realicen cambios relacionados con el servidor FTP utilizado para la copia
de seguridad. Por ejemplo, es posible que cambie la dirección IP del servidor de reserva
FTP o que desee migrar el servidor de reserva a un nuevo servidor físico o virtual. Si
cambia la dirección IP, asegúrese actualizar la configuración correspondiente en la página
Backup Scheduler Setting (Configuración de planificador de copia de seguridad). A continuación
podrá restaurar desde el archivo de copia de seguridad requerido. Sin embargo, si cambia
el servidor, no podrá restaurar las copias de almacenadas en el servidor anterior. Solo
podrá restaurar desde los archivos de copia de seguridad del nuevo servidor.
•
Solo es posible restaurar una copia de seguridad en el mismo Advanced Threat Defense
Appliance desde el que se realizó la copia de seguridad de la base de datos. Por
ejemplo, no es posible restaurar una copia de seguridad de un Advanced Threat Defense
Appliance de prueba en un Advanced Threat Defense Appliance de producción.
•
No es posible restaurar una copia de seguridad de una versión anterior o posterior del
software Advanced Threat Defense. Todos los números de la versión deben ser
exactamente iguales. Por ejemplo, no es posible restaurar una copia de seguridad de
3.0.4.94.39030 en 3.0.4.94.39031.
•
Normalmente, el proceso de restauración de la copia de seguridad tarda unos minutos.
Sin embargo, esto depende del tamaño de los datos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
67
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
Task
1
Seleccione Manage (Administrar) | Backup and Restore (Copia de seguridad y restauración) | Restore (Restaurar)
Se muestra la página Restore Management (Administración de restauración).
Figure 4-12 Lista de archivos de copia de seguridad disponibles
Table 4-2 Restaurar archivos de copia de seguridad anteriores
Nombre de la opción
Definición
File Name (Nombre de archivo)
El nombre que Advanced Threat Defense asignó al archivo de
copia de seguridad.
No intente cambiar el nombre del archivo en el servidor FTP.
Backup Server IP Address
(Dirección IP de servidor de
reserva)
La dirección IP del servidor FTP en el que se almacenan los
archivos de copia de seguridad.
Backup Time (Fecha y hora de
copia de seguridad)
La marca de tiempo del momento en que se realizó la copia de
seguridad.
Restore (Restaurar)
Seleccione el archivo de copia de seguridad requerido y haga clic
en Restore (Restaurar) para restaurar los datos de dicho archivo.
Si hay más de un archivo de copia de seguridad, podrá seleccionar
los archivos de copia de seguridad que desea restaurar con los
botones de opción.
68
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
2
4
Para ver los registros relacionados con la restauración, seleccione Manage (Administrar) | System Log
(Registro del sistema).
Figure 4-13 Registros relacionados con restauración de datos
Los procesos relacionados con el análisis de muestras se detienen antes del proceso de
restauración y se reinician al terminar el proceso.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
69
4
Administración de Advanced Threat Defense
Copia de seguridad y recuperación de la base de datos de Advanced Threat Defense
70
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual
analizadora
Para realizar un análisis dinámico, McAfee Advanced Threat Defense ejecuta los archivos sospechosos
en una máquina virtual segura y supervisa su comportamiento en busca de actividades maliciosas.
Esta máquina virtual se denomina máquina virtual analizadora. Este capítulo detalla los pasos
necesarios para crear una máquina virtual analizadora y su perfil de máquina virtual.
Cualquier software de seguridad, herramienta o utilidad de bajo nivel usada en una máquina virtual
analizadora puede interferir con el análisis dinámico del archivo de muestra. Puede que incluso
provoque que se detenga la ejecución del archivo de muestra durante el análisis dinámico. A raíz de
ello, los informes podrían no detallar el comportamiento completo del archivo de muestra. Si necesita
averiguar el comportamiento completo del archivo de muestra, no use parches en el sistema operativo
de la máquina virtual analizadora ni instale ningún software de seguridad en la misma. Si necesita
averiguar el efecto específico del archivo de muestra en su red, use su imagen de COE (Entorno
Operativo Común) con su software de seguridad habitual, a fin de crear la máquina virtual analizadora.
Los pasos de alto nivel para crear una máquina virtual analizadora y su perfil de máquina virtual son
los siguientes:
1
Cree una imagen ISO del sistema operativo correspondiente. También debe tener la clave de
licencia para dicho sistema operativo. Por ejemplo, para crear una máquina virtual analizadora de
Windows 7, debe tener una imagen ISO de Windows 7 y la clave de licencia.
Solo los siguientes sistemas operativos son compatibles para crear las máquinas virtuales
analizadoras:
•
Microsoft Windows XP de 32 bits Service Pack 2
•
Microsoft Windows XP de 32 bits Service Pack 3
•
Microsoft Windows Server 2003 de 32 bits Service Pack 1
•
Microsoft Windows Server 2003 de 32 bits Service Pack 2
•
Microsoft Windows Server 2008 R2 Service Pack 1
•
Microsoft Windows 7 de 32 bits Service Pack 1
•
Microsoft Windows 7 de 64 bits Service Pack 1
•
Microsoft Windows 8.0 Pro de 32 bits
McAfee Advanced Threat Defense 3.4.2
Guía del producto
71
5
Creación de una máquina virtual analizadora
•
Microsoft Windows 8.0 Pro de 64 bits
•
Android 2.3 de forma predeterminada. Puede ampliarlo a Android 4.3. Consulte Ampliar la
máquina virtual analizadora de Android en la página 55.
Todos los sistemas operativos Windows anteriores pueden estar en inglés, chino simplificado,
japonés, alemán o italiano.
La única máquina virtual analizadora preinstalada es la máquina virtual Android.
2
Use VMware Workstation 9.0 para crear un archivo VMDK (disco de máquina virtual) de la imagen
ISO. Tras crear la máquina virtual, ya puede instalar las aplicaciones necesarias, tales como:
•
Internet Explorer versiones 6, 7, 8, 9 y 10.
•
Firefox versiones 11, 12 y13.
•
Microsoft Office versiones 2003, 2007, 2010 o 2013.
•
Adobe Reader versiones 8, 9 o 10.
Se recomienda la versión 9.0 de VMware Workstation. En caso de usar VMware Workstation 10.0,
seleccione Workstation 9.0 en Hardware Compatibility (Compatibilidad de hardware) en New Virtual Machine Wizard
(Asistente de nueva máquina virtual), como se muestra a continuación:
72
3
Importe el archivo VMDK a McAfee Advanced Threat Defense Appliance.
4
Convierta el archivo VMDK en un archivo de imagen (.img).
5
Cree la máquina virtual y el perfil de máquina virtual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Si ya tiene un archivo VMDK, debe ser un único archivo que contenga todos los archivos necesarios
para crear la máquina virtual.
En la tabla siguiente se especifica el número máximo de máquinas virtuales que pueden crearse
dependiendo del tipo de sistema Windows.
Tabla 5-1 Número de máquinas virtuales por sistema operativo
SO (plataforma Windows)
ATD-3000 (n° de MV)
ATD-6000 (n° de MV)
WinXP SP2 (5 GB)
29
59
WinXP SP3 (5 GB)
29
59
Windows 2003 SP1 (5 GB)
29
59
Windows 2003 SP2 (5 GB)
29
59
Windows 2008 64 bits SP1 (14 GB)
22
45
Windows 7 32 bits (14 GB)
22
45
Windows 7 64 bits (14 GB)
22
45
Windows 8 32 bits (24 GB)
22
45
Windows 8 64 bits (24 GB)
22
45
La máquina virtual Android es un componente predeterminado de todas las instalaciones ATD.
Contenido
Creación de un archivo VMDK para Windows XP
Creación de un archivo VMDK para Windows 2003 Server
Creación de un archivo VMDK para Windows 7
Creación de un archivo VMDK para Windows 2008 Server
Creación de un archivo VMDK para Windows 8
Importación de un archivo VMDK en McAfee Advanced Threat Defense
Convierta el archivo VMDK en un archivo de imagen
Administración de perfiles de máquina virtual
Ver el registro de creación de máquina virtual
Creación de un archivo VMDK para Windows XP
Pasos preliminares
•
Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/
workstation/workstation-evaluation e instálelo.
•
Asegúrese de tener la imagen ISO de Windows XP SP2 o SP3 para la que desee crear el archivo
VMDK. Solo se admite Windows Professional.
•
Asegúrese de que tiene la clave de licencia para el sistema operativo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
73
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3.
Paso
Detalles
Paso 1: inicie VMware
Workstation.
Este procedimiento usa VMware Workstation 10 como ejemplo.
Paso 2: en la página VMware
Workstation, seleccione File (Archivo)
| New Virtual Machine (Máquina virtual
nueva).
Paso 3: en la ventanaNew Virtual
Machine Wizard (Asistente de nueva
máquina virtual), seleccione
Custom (Advanced) (Personalizado,
Avanzado) y haga clic en Next
(Siguiente).
74
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 4: en la ventana Choose the
Virtual Machine Hardware Compatibility
(Elija la compatibilidad con
hardware de la máquina virtual),
seleccione Workstation 9.0 en la lista
desplegable Hardware compatibility
(Compatibilidad de hardware). En
los otros campos, deje los valores
predeterminados y haga clic en
Next (Siguiente).
Paso 5: en la ventana Guest
Operating System Installation
(Instalación de sistema operativo
invitado), seleccione Installer disc
(Disco instalador), o bien
seleccione Installer disc image file (iso)
(Archivo de imagen ISO del disco
instalador), busque y seleccione la
imagen ISO y haga clic en Next
(Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
75
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 6: introduzca la información
en la ventana Easy Install Information
(Información de instalación
sencilla) y haga clic en Next
(Siguiente).
• Windows product key (Clave del producto de Windows): introduzca la
clave de licencia del sistema operativo Windows para el que está
creando el archivo VMDK.
• Full name (Nombre completo): introduzca administrator en este
campo.
• Password (Contraseña): escriba cr@cker42 como la contraseña.
Esta es la contraseña que McAfee Advanced Threat Defense
utiliza para iniciar sesión en la máquina virtual.
• Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la
contraseña.
• Log on automatically (requires a password) (Inicio de sesión automático,
requiere contraseña): anule la selección de esta opción.
Paso 7: si se muestra el mensaje
de VMware Workstation, haga clic en
Yes (Sí).
76
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 8: introduzca la información
en la ventana Name the Virtual Machine
(Asignar nombre a máquina
virtual) y haga clic en Next
(Siguiente).
• Virtual Machine name (Nombre de máquina virtual): debe introducir
virtualMachineImage como nombre.
• Location (Ubicación): busque y seleccione la carpeta en la que
desea crear el archivo VMDK.
Paso 9: en la ventana Processor
Configuration (Configuración del
procesador), deje los valores
predeterminados y haga clic en
Next (Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
77
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 10: en la ventana Memory for
the Virtual Machine (Memoria para la
máquina virtual), establezca 1024
MB como valor para la memoria.
Paso 11: en la ventana Network
Type (Tipo de red), deje los valores
predeterminados.
78
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 12: en la ventana Select I/O
Controller Types (Selección de tipos
de controlador de E/S), deje los
valores predeterminados.
Paso 13: en la página Select a Disk
Type (Seleccione un tipo de disco),
seleccione IDE y haga clic en Next
(Siguiente).
Los discos SCSI no son
compatibles con McAfee
Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
79
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 14: en la ventana Select a Disk
(Seleccione un disco), seleccione
Create a new virtual disk (Crear disco
virtual nuevo) y haga clic en Next
(Siguiente).
Paso 15: especifique los detalles
en la ventana Specify Disk Capacity
(Especificar capacidad de disco) y
haga clic en Next (Siguiente).
• Maximum disk size (GB) (Tamaño máximo de disco en GB): para
Windows XP, el tamaño máximo puede ser 30 GB, pero es
aconsejable introducir 5 GB para obtener el mejor rendimiento
posible.
• Seleccione Allocate all disk space now (Asignar todo el espacio de disco
ahora).
• Seleccione Store virtual disk as a single file (Guardar disco virtual como
un solo archivo).
80
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 16: en la ventana Specify Disk
file (Especificar archivo de disco),
asegúrese de que se muestre
virtualMachineImage.vmdk de
forma predeterminada y haga clic
en Next (Siguiente).
Si ha especificado un nombre
distinto para Virtual Machine name, ese
nombre se mostrará aquí.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
81
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 17: en la ventana Ready to
• Power on this virtual machine after creation (Encender máquina virtual tras
Create Virtual Machine (Listo para crear
su creación): seleccione esta opción.
máquina virtual), siga estos
pasos.
• Haga clic en Finish (Finalizar).
Este paso puede tardar alrededor de 30 minutos en completarse.
Paso 18: si se muestra la ventana Windows empezará a instalarse. Esto puede tardar unos 15
emergente Removable Devices
minutos.
(Dispositivos extraíbles),
seleccione Do not show this hint again
(No volver a mostrar esta
sugerencia) y haga clic en OK
(Aceptar).
82
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 19: haga clic en OK
(Aceptar) si se muestra el
siguiente mensaje de error: Setup
cannot continue until you enter
your name. Administrator and
Guest are not allowable names to
use. (La configuración no puede
continuar hasta que introduzca su
nombre. “Administrator” y “Guest”
no son nombres válidos).
Paso 20: introduzca los datos
• Name (Nombre): escriba root
siguientes en la pantalla
Configuración de Windows XP Professional. • Organization (Organización): déjelo en blanco y haga clic en Next
(Siguiente).
Este paso puede tardar alrededor de 15 minutos en completarse.
Paso 21: solo en caso de que se
le pida, inicie sesión en
virtualMachineImage con las
siguientes credenciales.
McAfee Advanced Threat Defense 3.4.2
• User (Usuario): administrator
• Password (Contraseña): cr@cker42
Guía del producto
83
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 22: detenga la instalación
de VMware Tools.
VMware Tools no es compatible
con McAfee Advanced Threat
Defense. Si no detuvo la
instalación de VMware Tools,
puede continuar con el proceso de
creación de archivos VMDK, pero
asegúrese de que no esté
instalado cuando el archivo VMDK
esté listo.
Paso 23: en
virtualMachineImage, seleccione
Inicio | Panel de control | Centro de
seguridad | Firewall de Windows |
Desactivar.
Paso 24: en la máquina virtual
virtualMachineImage, haga clic en
Inicio y luego clic con el botón
derecho en Mi PC. Seleccione
Administrar | Servicios y Aplicaciones |
Servicios. A continuación haga doble
clic en Telnet.
84
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 25: en la ventana Propiedades
de Telnet (Equipo local), debe
seleccionar Automático en el menú
desplegable Tipo de inicio.
Seleccione Aplicar | Inicio | Aceptar.
Paso 26: active el servidor FTP en
la máquina virtual.
En virtualMachineImage,
seleccione Inicio | Panel de control |
Agregar o quitar programas | Agregar o
quitar componentes de Windows..
McAfee Advanced Threat Defense 3.4.2
Guía del producto
85
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 27: cuando aparezca el
Asistente para Componentes de
Windows, haga doble clic en Internet
Information Services (IIS).
Paso 28: en la ventana
emergente Internet Information Services
(IIS), siga estos pasos.
1 Seleccione Servicio FTP (Protocolo de transferencia de archivos).
2 Seleccione Archivos comunes.
3 Seleccione Complemento de Internet Information Services, haga clic en
Aceptar y luego haga clic en Siguiente.
Paso 29: en la ventana
emergente Insertar disco, haga clic
en Cancelar.
86
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 30: en la ventana
emergente Programa de instalación de
Windows XP, seleccione Aceptar.
Paso 31: en VMware Workstation,
haga clic con el botón derecho en
la máquina virtual, en este
ejemplo: virtualMachineImage. A
continuación, seleccione Settings
(Configuración).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
87
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 32: en la ventana Virtual
Machine Settings (Configuración
de máquina virtual), seleccione
CD/DVD (IDE).
Paso 33: en el campo Use ISO image
file (Usar archivo de imagen ISO),
busque el archivo ISO que usó y
haga clic en OK (Aceptar).
Paso 34: en la página Bienvenida a
Microsoft Windows XP, haga clic en
Salir.
88
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 35: en
virtualMachineImage, seleccione
Inicio | Panel de control | Agregar o quitar
programas | Agregar o quitar componentes
de Windows..
Paso 36: cuando aparezca el
Asistente para Componentes de
Windows, haga doble clic en Internet
Information Services (IIS).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
89
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 37: en la ventana
emergente Internet Information Services
(IIS), siga estos pasos.
1 Seleccione Servicio FTP (Protocolo de transferencia de archivos).
2 Seleccione Archivos comunes.
3 Seleccione Complemento de Internet Information Services, haga clic en
Aceptar y luego haga clic en Siguiente.
Paso 38: en el asistente para
Componentes de Windows, haga clic en
Finalizar para acabar de instalar el
FTP.
90
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 39: seleccione Inicio | Panel de
control | Cambiar a Vista clásica |
Herramientas administrativas y haga
doble clic en Internet Information
Services.
Paso 40: en la ventana Internet
Information Services , expanda + bajo
Internet Information Services.
Paso 41: expanda Sitios FTP.
Paso 42: haga clic con el botón
derecho en Sitio FTP predeterminado y
seleccione Propiedades | Directorio
particular . A continuación, haga lo
siguiente.
1 Vaya a C:\
2 Seleccione Read (Leer).
3 Seleccione Write (Escribir).
4 Seleccione Log visits (Registrar
visitas), haga clic en Apply
(Aplicar) y luego en OK
(Aceptar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
91
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 43: establezca el inicio de
sesión automático seleccionando
Inicio | Ejecutar, introduzca
rundll32
netplwiz.dll,UsersRunDll y
pulse Intro.
Paso 44: en la ventana Cuentas de
usuario, anule la selección de Los
usuarios deben escribir su nombre y
contraseña para usar el equipo. y haga
clic en Aplicar.
92
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 45: en la ventana
• Nombre de usuario: escriba Administrator
emergente Iniciar sesión
automáticamente, introduzca los datos • Contraseña: escriba cr@cker42
siguientes y haga clic en Aceptar en
• Confirmar contraseña: escriba cr@cker42
los cuadros de mensaje.
Paso 46: descargue Sigcheck a
su equipo (host nativo) desde
http://technet.microsoft.com/
en-us/sysinternals/
bb897441.aspx.
La máquina virtual que ha creado tiene desactivado el Firewall de
Windows, ya que no hay un programa antivirus instalado. Por lo
tanto es aconsejable descargar los programas y componentes en el
host nativo en primer lugar y luego copiarlos a la máquina virtual
en VMware Workstation.
Paso 47: extraiga sigcheck.zip a
C:\WINDOWS\system32.
Paso 48: en Windows Explorer,
vaya a C:\ WINDOWS\system32 y
haga doble clic en sigcheck.exe.
Paso 49: si se le indica, haga clic
en Ejecutar en el mensaje de
advertencia.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
93
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 50: haga clic en Acepto para
aceptar el acuerdo de licencia de
Sigcheck.
Después de hacer clic en
Acepto, no se mostrará ningún
mensaje de confirmación.
Paso 51: descargue MergeIDE.zip
desde https://www.virtualbox.org/
attachment/wiki/
Migrate_Windows/MergeIDE.zip al
equipo nativo y luego cópielo a la
máquina virtual.
Paso 52: extraiga MergeIDE.zip y • Si se le indica, seleccione Ejecutar en el mensaje de advertencia.
ejecute el archivo por lotes
• Cierre el Explorador de Windows.
MergeIDE en la máquina virtual.
Paso 53: desactive las
actualizaciones de Windows.
1 Seleccione Inicio | Configuración | Panel de control.
2 Abra Sistema.
3 En la ficha Actualizaciones automáticas, anule la selección de Mantenga el
equipo actualizado.
4 Haga clic en Aplicar y luego en Aceptar.
94
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 54: para analizar archivos
de Microsoft Word, Excel y
PowerPoint, instale Microsoft
Office 2003 en la máquina virtual.
Paso 55: reduzca el nivel de
seguridad para ejecutar macros
para aplicaciones de Office.
• Abra Microsoft Word 2003 y seleccione Herramientas | Macro |
Seguridad y luego seleccione el valor Baja y haga clic en Aceptar.
• Haga lo mismo para la seguridad de macros en Microsoft Excel y
PowerPoint.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
95
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 56: necesita el paquete de
compatibilidad para abrir archivos
de Microsoft Office creados en una
versión más reciente de Microsoft
Office. Por ejemplo, para abrir un
archivo .docx con Office 2003,
necesita tener instalado el
correspondiente paquete de
compatibilidad.
Vaya a http://www.microsoft.com/
en-us/download/details.aspx?id=3
y descargue el paquete de
compatibilidad de Microsoft Office
adecuado para formatos de
archivo Word, Excel y PowerPoint.
A continuación, realice la
instalación en la máquina virtual.
Paso 57: en el cuadro de
diálogoPaquete de compatibilidad para
2007 Office system, seleccione Haga clic
aquí para aceptar los términos de licencia
del software de Microsoft y haga clic en
Aceptar.
96
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 58: para analizar archivos
1 Instale Adobe Reader 9.0 en la máquina virtual.
PDF, descargue Adobe Reader al
host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar.
virtual.
En este ejemplo del
procedimiento se usa Adobe
Reader 9.0.
3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la
selección de Buscar actualizaciones.
Paso 59: descargue los siguientes 1 Descargue Microsoft Visual C++ 2005 Redistributable Package
elementos al host nativo y luego
(x86) desde http://www.microsoft.com/en-us/download/
instálelos en la máquina virtual.
details.aspx?id=3387e instálelo.
2 Descargue Microsoft Visual C++ 2008 Redistributable Package
(x86) desde http://www.microsoft.com/en-us/download/
details.aspx?id=5582e instálelo.
3 Descargue Microsoft Visual C++ 2010 Redistributable Package
(x86) desde http://www.microsoft.com/en-us/download/
details.aspx?id=5555e instálelo.
4 Descargue Microsoft .NET Framework 2.0 Service Pack 2 (versión
x86) desde http://www.microsoft.com/en-us/download/
details.aspx?id=1639e instálelo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
97
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 60: para analizar archivos
JAR, descargue e instale Java
Runtime Environment.
En este ejemplo del
procedimiento se usa Java 7
Update 25.
Paso 61: abra Java en el Panel de
control.
Paso 62: en la ficha Actualizar,
anule la selección de Comprobar
Actualizaciones Automáticamente.
98
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
5
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 63: en el cuadro de diálogo
de advertencia de actualización
Java, seleccione No comprobar y
haga clic en Aceptar en el Panel de
control de Java.
Paso 64: en el cuadro de diálogo
Ejecutar de Windows, introduzca
msconfig.
Paso 65: en la utilidad de
configuración del sistema, vaya a
la ficha Inicio.
Anule la selección de reader_sl y jusched, y haga clic en Aceptar.
Paso 66: en el cuadro de diálogo
Configuración del sistema, haga clic en
Reiniciar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
99
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 67: en el cuadro de diálogo
Utilidad de configuración del sistema,
seleccione No volver a mostrar este
mensaje o iniciar la Utilidad de
configuración del sistema cuando se inicie
Windows y haga clic en Aceptar.
100
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 68: abra el navegador
1 El bloqueador de ventanas emergentes debe estar activado. En
predeterminado y configúrelo para
Internet Explorer, seleccione Herramientas | Bloqueador de ventanas
el análisis de malware.
emergentes | Active el Bloqueador de ventanas emergentes.
En este ejemplo del
procedimiento se usa
Internet Explorer.
2 Seleccione Herramientas | Opciones de Internet y para Página principal
seleccione Usar página en blanco o Usar nueva pestaña, según su versión
de Internet Explorer.
3 Vaya a la ficha Avanzado de Opciones de Internet y localice
Seguridad.
4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi
equipo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
101
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
5 Haga clic en Aceptar.
102
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows XP
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
Paso 69: para analizar
1 Vaya a http://get.adobe.com/flashplayer/otherversions/.
dinámicamente archivos Flash
(SWF), instale la versión requerida 2 Seleccione el sistema operativo y la versión de Flash Player
de Adobe Flash.
respectivamente según sus requisitos para el Paso 1 y el Paso 2
mostrados en la siguiente imagen.
En este ejemplo del
procedimiento se usa Flash
Player 14.
3 Haga clic en la ficha Descargar ahora.
4 Haga doble clic en el archivo de instalación de Adobe Flash Player
(install_flashplayer xxx.exe), en la esquina inferior de la
pantalla.
5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.
6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
103
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-2 Cree un archivo VMDK a partir de una imagen ISO de XP SP2 o SP3. (continuación)
Paso
Detalles
7 Seleccione su opción de actualización y haga clic en SIGUIENTE.
8 Haga clic en FINALIZAR para completar la instalación de Adobe
Flash Player.
Paso 70: cierre
virtualMachineImage
seleccionando Inicio | Apagar.
Paso 71: vaya a la ubicación que
ha introducido en el paso 8 para
encontrar el archivo VMDK
denominadovirtualMachineImage
‑flat.vmdk
Creación de un archivo VMDK para Windows 2003 Server
Pasos preliminares
104
•
Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/
workstation/workstation-evaluation e instálelo.
•
Asegúrese de tener la imagen ISO de Windows 2003 Server SP1 o SP2 para la que desee crear el
archivo VMDK. Solo Windows 2003 Server Enterprise Edition es compatible.
•
Asegúrese de que tiene la clave de licencia para el sistema operativo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2
Paso
Detalles
Paso 1: inicie VMware
Workstation.
Este procedimiento usa VMware Workstation 10 como ejemplo.
Paso 2: en la página VMware
Workstation, seleccione File (Archivo)
| New Virtual Machine (Máquina virtual
nueva).
Paso 3: en la ventanaNew Virtual
Machine Wizard (Asistente de nueva
máquina virtual), seleccione
Custom (Advanced) (Personalizado,
Avanzado) y haga clic en Next
(Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
105
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 4: en la ventana Choose the
Virtual Machine Hardware Compatibility
(Elija la compatibilidad con
hardware de la máquina virtual),
seleccione Workstation 9.0 en la lista
desplegable Hardware compatibility
(Compatibilidad de hardware). En
los otros campos, deje los valores
predeterminados y haga clic en
Next (Siguiente).
Paso 5: en la ventana Guest
Operating System Installation
(Instalación de sistema operativo
invitado), seleccione Installer disc
(Disco instalador), o bien
seleccione Installer disc image file (iso)
(Archivo de imagen ISO del disco
instalador), busque y seleccione la
imagen ISO y haga clic en Next
(Siguiente).
106
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 6: en la ventana Select a Guest
Operating System (Selección de
sistema operativo invitado),
seleccione la versión que
corresponda.
Paso 7: introduzca la información
en la ventana Name the Virtual Machine
(Asignar nombre a máquina
virtual) y haga clic en Next
(Siguiente).
McAfee Advanced Threat Defense 3.4.2
• Virtual Machine name (Nombre de máquina virtual): debe introducir
virtualMachineImage como nombre.
• Location (Ubicación): busque y seleccione la carpeta en la que
desea crear el archivo VMDK.
Guía del producto
107
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 8: en la ventana Processor
Configuration (Configuración del
procesador), deje los valores
predeterminados y haga clic en
Next (Siguiente).
Paso 9: en la ventana Memory for
the Virtual Machine (Memoria para la
máquina virtual), establezca 1024
MB como valor para la memoria.
108
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 10: en la ventana Network
Type (Tipo de red), deje los valores
predeterminados.
Paso 11: en la ventana Select I/O
Controller Types (Selección de tipos
de controlador de E/S), deje los
valores predeterminados.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
109
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 12: en la página Select a Disk
Type (Seleccione un tipo de disco),
seleccione IDE y haga clic en Next
(Siguiente).
Los discos SCSI no son
compatibles con McAfee
Advanced Threat Defense.
Paso 13: en la ventana Select a Disk
(Seleccione un disco), seleccione
Create a new virtual disk (Crear disco
virtual nuevo) y haga clic en Next
(Siguiente).
110
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 14: especifique los detalles
en la ventana Specify Disk Capacity
(Especificar capacidad de disco) y
haga clic en Next (Siguiente).
• Maximum disk size (GB) (Tamaño máximo de disco en GB): debe
introducir 5 GB.
• Seleccione Allocate all disk space now (Asignar todo el espacio de disco
ahora).
• Seleccione Store virtual disk as a single file (Guardar disco virtual como
un solo archivo).
Paso 15: en la ventana Specify Disk
file (Especificar archivo de disco),
asegúrese de que se muestre
virtualMachineImage.vmdk de
forma predeterminada y haga clic
en Next (Siguiente).
Si ha especificado un nombre
distinto para Virtual Machine name, ese
nombre se mostrará aquí.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
111
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 16: examine la
configuración de creación de
máquina virtual y haga clic en
Finish (Finalizar). Se crea la
máquina virtual y, a continuación,
debe instalar el sistema operativo.
112
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 17: en VMware Workstation,
inicie la máquina virtual que acaba
de crear e instale Windows Server
2003 siguiendo el procedimiento
habitual.
• Este paso puede tardar
alrededor de 30 minutos en
completarse.
• Puede usar el sistema de
archivos NTFS para cambiar el
formato de la partición durante
la instalación.
• No instale VMware Tools. Si no
detuvo la instalación de VMware
Tools, puede continuar con el
proceso de creación de archivos
VMDK, pero asegúrese de que
no esté instalado cuando el
archivo VMDK esté listo.
Paso 18: puede personalizar la
configuración en la ventana
Regional and Language Options
(Configuración regional y de
idioma).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
113
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 19: introduzca estos
• Name (Nombre): escriba root
detalles en la ventana Windows Setup
• Organization (Organización): déjelo en blanco y haga clic en Next
(Configuración de Windows).
(Siguiente).
Paso 20: introduzca una clave de
producto válida y haga clic en Next
(Siguiente).
114
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 21: seleccione el modo de
licencia Per Server (Por servidor) e
introduzca un número válido de
conexiones simultáneas según su
licencia.
Paso 22: introduzca estos
detalles en la ventana Computer
Name and Administrator Password
(Nombre de equipo y contraseña
de administrador).
McAfee Advanced Threat Defense 3.4.2
• Nombre del equipo: deje el valor predeterminado.
• Contraseña de administrador: cr@cker42
• Confirmar contraseña: cr@cker42
Guía del producto
115
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 23: haga clic en Next
(Siguiente) en la ventana Date and
Time Settings (Configuración de
fecha y hora).
Paso 24: en la ventana Network
Settings (Configuración de red),
deje los valores predeterminados
y haga clic en Next (Siguiente).
116
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 25: deje los valores
predeterminados en la ventana
Workgroup or Computer Domain (Grupo
de trabajo o dominio del equipo) y
haga clic en Next (Siguiente).
Paso 26: inicie sesión en la
máquina virtual con las siguientes
credenciales.
• User (Usuario): administrator
• Password (Contraseña): cr@cker42
Paso 27: si se muestra la página
Windows Server Post-Setup Security
Updates (Actualizaciones de
seguridad posteriores a la
configuración de Windows Server),
haga clic en Finish (Finalizar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
117
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 28: si se muestra la ventana
Manage Your Server (Administre sus
servidor), seleccione Don't Display the
page at logon (No mostrar la página
al iniciar sesión) y ciérrela.
Paso 29: realice los siguientes
pasos.
1 Seleccione Inicio | Ejecutar e introduzca gpedit.msc.
2 En la ventana Group policy object editor (Editor de objeto directiva de
grupo), seleccione Computer Configuration (Configuración de equipo) |
Administrative Templates (Plantillas administrativas) | System (Sistema) y haga
doble clic en Display Shutdown Event Tracker (Mostrar rastreador de
evento de cierre).
3 Seleccione Disabled (Desactivado) y haga clic en OK (Aceptar).
4 Cierre la ventana Group policy object editor (Editor de objeto directiva
de grupo).
Paso 30: realice los siguientes
pasos para Windows Server 2003
SP1 únicamente. No siga estos
pasos para Windows Server 2003
SP2.
1 Vaya a http://support.microsoft.com/hotfix/KBHotfix.aspx?
kbnum=899260&kbln=en-us e instale el hotfix que corresponda a
su versión de Windows Server 2003.
2 Reinicie el equipo.
3 En el símbolo del sistema de Windows, escribatlntsvr /service
y pulse Intro.
118
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 31: en
virtualMachineImage, seleccione
Inicio | Panel de control | Firewall de
Windows | Desactivar.
Paso 32: haga clic en Inicio y,
luego, haga clic con el botón
derecho en Equipo. Seleccione
Administrar | Servicios y Aplicaciones |
Servicios. A continuación, haga
doble clic en Telnet.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
119
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 33: en la ventana Telnet
Properties(Local Computer)
(Propiedades de Telnet, Equipo
local), debe seleccionar Automatic
(Automático) en el menú
desplegable Startup type (Tipo de
inicio). Seleccione Apply (Aplicar) |
Start (Inicio) | OK (Aceptar).
Paso 34: active el servidor FTP en 1 En virtualMachineImage, seleccione Inicio | Panel de control | Agregar o
la máquina virtual.
quitar programas | Agregar o quitar componentes de Windows.
2 Haga doble clic en Servidor de aplicaciones.
3 Haga doble clic en Internet Information Services (IIS)
120
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 35: en la ventana
emergente Internet Information
Services(IIS), siga estos pasos.
1 Seleccione Archivos comunes.
2 Seleccione Servicio FTP (Protocolo de transferencia de archivos).
3 Seleccione Administrador de Internet Information Services, haga clic en
Aceptar y, luego, haga clic en Siguiente en Asistente para componentes de
Windows.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
121
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 36: en VMware Workstation,
haga clic con el botón derecho en
la máquina virtual, en este
ejemplo: virtualMachineImage. A
continuación, seleccione Settings
(Configuración).
Paso 37: en la ventana Virtual
Machine Settings (Configuración
de máquina virtual), seleccione
CD/DVD (IDE).
122
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 38: en el campo Use ISO image
file (Usar archivo de imagen ISO),
busque el archivo ISO que usó y
haga clic en OK (Aceptar).
Si se abre el Explorador de
Windows, ciérrelo.
Paso 39: en
virtualMachineImage, seleccione
Inicio | Panel de control | Herramientas
administrativas | Administrador de Internet
Information Services (IIS).
Paso 40: en la ventana
Administrador de Internet Information
Services (IIS) , expanda + bajo Internet
Information Services.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
123
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 41: realice los siguientes
pasos.
1 Seleccione Sitios FTP y haga clic con el botón derecho en Sitios FTP
predeterminados.
2 Seleccione Propiedades | Directorio particular.
3 Vaya a C:\
4 Seleccione Read (Leer).
5 Seleccione Write (Escribir).
6 Seleccione Log visits (Registrar visitas), haga clic en Apply (Aplicar)
y luego en OK (Aceptar)
Paso 42: establezca el inicio de
sesión automático seleccionando
Inicio | Ejecutar, introduzca
rundll32
netplwiz.dll,UsersRunDll y
pulse Intro.
124
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 43: en la ventana Cuentas de
usuario, anule la selección de Los
usuarios deben escribir su nombre y
contraseña para usar el equipo. y haga
clic en Aplicar.
Paso 44: en la ventana
• Nombre de usuario: escriba Administrator
emergente Iniciar sesión
automáticamente, introduzca los datos • Contraseña: escriba cr@cker42
siguientes y haga clic en Aceptar en
• Confirmar contraseña: escriba cr@cker42
los cuadros de mensaje.
Paso 45: descargue Sigcheck a
su equipo (host nativo) desde
http://technet.microsoft.com/
en-us/sysinternals/
bb897441.aspx.
McAfee Advanced Threat Defense 3.4.2
La máquina virtual que ha creado tiene desactivado el Firewall de
Windows, ya que no hay un programa antivirus instalado. Por lo
tanto es aconsejable descargar los programas y componentes en el
host nativo en primer lugar y luego copiarlos a la máquina virtual
en VMware Workstation.
Guía del producto
125
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 46: extraiga sigcheck.zip a
C:\WINDOWS\system32.
Paso 47: en Windows Explorer,
vaya a C:\ WINDOWS\system32 y
haga doble clic en sigcheck.exe.
Paso 48: si se le indica, haga clic
en Ejecutar en el mensaje de
advertencia.
Paso 49: haga clic en Acepto para
aceptar el acuerdo de licencia de
Sigcheck.
Después de hacer clic en
Acepto, no se mostrará ningún
mensaje de confirmación.
Paso 50: ejecute el archivo por
lotes MergeIDE en la máquina
virtual.
1 Descargue MergeIDE.zip desde https://www.virtualbox.org/
attachment/wiki/Migrate_Windows/MergeIDE.zip al equipo nativo
y luego cópielo a la máquina virtual.
2 Extraiga MergeIDE.zip y ejecute el archivo por lotes MergeIDE en
la máquina virtual.
3 Si se le indica, seleccione Ejecutar en el mensaje de advertencia.
4 Cierre el Explorador de Windows.
126
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 51: desactive las
actualizaciones de Windows.
1 Seleccione Inicio | Panel de control | Sistema | Actualizaciones automáticas.
2 En la ventana Propiedades del sistema, seleccioneDesactivar actulizaciones
atuomáticas.
3 Haga clic en Aplicar y luego en Aceptar.
Paso 52: para analizar archivos
de Microsoft Word, Excel y
PowerPoint, instale Microsoft
Office 2003 en la máquina virtual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
127
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 53: reduzca el nivel de
seguridad para ejecutar macros
para aplicaciones de Office.
• Abra Microsoft Word 2003 y seleccione Herramientas | Macro |
Seguridad y luego seleccione el valor Baja y haga clic en Aceptar.
• Haga lo mismo para la seguridad de macros en Microsoft Excel y
PowerPoint.
Paso 54: necesita el paquete de
compatibilidad para abrir archivos
de Microsoft Office creados en una
versión más reciente de Microsoft
Office. Por ejemplo, para abrir un
archivo .docx con Office 2003,
necesita tener instalado el
correspondiente paquete de
compatibilidad.
Vaya a http://www.microsoft.com/
en-us/download/details.aspx?id=3
y descargue el paquete de
compatibilidad de Microsoft Office
adecuado para formatos de
archivo Word, Excel y PowerPoint.
A continuación, realice la
instalación en la máquina virtual.
128
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 55: en el cuadro de
diálogoPaquete de compatibilidad para
2007 Office system, seleccione Haga clic
aquí para aceptar los términos de licencia
del software de Microsoft y haga clic en
Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
129
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 56: para analizar archivos
1 Instale Adobe Reader 9.0 en la máquina virtual.
PDF, descargue Adobe Reader al
host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar.
virtual.
En este ejemplo del
procedimiento se usa Adobe
Reader 9.0.
3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la
selección de Buscar actualizaciones.
Paso 57: descargue los siguientes 1 Descargue Microsoft Visual C++ 2005 Redistributable Package
elementos al host nativo y luego
(x86) desde http://www.microsoft.com/en-us/download/
instálelos en la máquina virtual.
details.aspx?id=3387e instálelo.
2 Descargue Microsoft Visual C++ 2008 Redistributable Package
(x86) desde http://www.microsoft.com/en-us/download/
details.aspx?id=5582e instálelo.
3 Descargue Microsoft Visual C++ 2010 Redistributable Package
(x86) desde http://www.microsoft.com/en-us/download/
details.aspx?id=5555e instálelo.
4 Descargue Microsoft .NET Framework 2.0 Service Pack 2 (versión
x86) desde http://www.microsoft.com/en-us/download/
details.aspx?id=1639e instálelo.
130
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
5
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 58: para analizar archivos
JAR, descargue e instale Java
Runtime Environment.
En este ejemplo del
procedimiento se usa Java 7
Update 25.
Paso 59: abra Java en el Panel de
control.
Paso 60: en la ficha Actualizar,
anule la selección de Comprobar
Actualizaciones Automáticamente.
Paso 61: en el cuadro de diálogo
de advertencia de actualización
Java, seleccione No comprobar y
haga clic en Aceptar en el Panel de
control de Java.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
131
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 62: en el cuadro de diálogo
Ejecutar de Windows, introduzca
msconfig.
Paso 63: en la utilidad de
configuración del sistema, vaya a
la ficha Inicio.
Anule la selección de reader_sl y jusched, y haga clic en Aceptar.
reader_sl se muestra únicamente si tiene Adobe Reader instalado.
Paso 64: en el cuadro de diálogo
Configuración del sistema, haga clic en
Reiniciar.
Paso 65: en el cuadro de diálogo
Utilidad de configuración del sistema,
seleccione No volver a mostrar este
mensaje o iniciar la Utilidad de
configuración del sistema cuando se inicie
Windows y haga clic en Aceptar.
132
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 66: abra el navegador
1 El bloqueador de ventanas emergentes debe estar desactivado.
predeterminado y configúrelo para
En Internet Explorer, seleccione Herramientas | Bloqueador de ventanas
el análisis de malware.
emergentes | Desactivar el bloqueador de ventanas emergentes.
En este ejemplo del
procedimiento se usa
Internet Explorer.
2 Seleccione Herramientas | Opciones de Internet y para Página principal
seleccione Usar página en blanco o Usar nueva pestaña, según su versión
de Internet Explorer.
3 Vaya a la ficha Avanzado de Opciones de Internet y localice
Seguridad.
4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi
equipo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
133
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
5 Haga clic en Aceptar.
134
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
Paso 67: para analizar
dinámicamente archivos Flash
(SWF), descargue la versión
requerida de Adobe Flash.
1 Vaya a http://get.adobe.com/flashplayer/otherversions/.
En este ejemplo del
procedimiento se usa Flash
Player 14.
2 Seleccione el sistema operativo y la versión de Flash Player
respectivamente según sus requisitos para el Paso 1 y el Paso 2
mostrados en la siguiente imagen.
3 Haga clic en Descargar ahora.
4 Haga doble clic en el archivo de instalación de Adobe Flash Player
(install_flashplayer xxx.exe), en la esquina inferior de la
pantalla.
5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.
6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
135
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2003 Server
Tabla 5-3 Cree un archivo VMDK a partir de una imagen ISO de Windows 2003 Server SP1 o
SP2 (continuación)
Paso
Detalles
7 Seleccione su opción de actualización y haga clic en SIGUIENTE.
8 Haga clic en FINALIZAR para completar la instalación de Adobe
Flash Player.
Paso 68: cierre
virtualMachineImage
seleccionando Inicio | Apagar | Apagar
| OK (Aceptar).
Paso 69: vaya a la ubicación que
ha introducido en el paso 7 para
encontrar el archivo VMDK
denominadovirtualMachineImage
‑flat.vmdk
136
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Creación de un archivo VMDK para Windows 7
Pasos preliminares
•
Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/
workstation/workstation-evaluation e instálelo.
•
Asegúrese de tener la imagen ISO de Windows 7 SP1 de 32 o 64 bits para la que desee crear el
archivo VMDK. Se admiten las versiones de Windows Enterprise y Professional.
•
Asegúrese de que tiene la clave de licencia para el sistema operativo.
Siga este procedimiento para crear archivos VMDK a partir de imágenes ISO de Windows 7 SP1 de 32
o 64 bits.
Paso
Detalles
Paso 1: inicie VMware
Workstation.
Este procedimiento usa VMware Workstation 10 como ejemplo.
Paso 2: en la página VMware
Workstation, seleccione File (Archivo)
| New Virtual Machine (Máquina virtual
nueva).
Paso 3: en la ventanaNew Virtual
Machine Wizard (Asistente de nueva
máquina virtual), seleccione
Custom (Advanced) (Personalizado,
Avanzado) y haga clic en Next
(Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
137
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 4: en la ventana Choose the
Virtual Machine Hardware Compatibility
(Elija la compatibilidad con
hardware de la máquina virtual),
seleccione Workstation 9.0 en la lista
desplegable Hardware compatibility
(Compatibilidad de hardware). En
los otros campos, deje los valores
predeterminados y haga clic en
Next (Siguiente).
Paso 5: en la ventana Guest
Operating System Installation
(Instalación de sistema operativo
invitado), seleccione Installer disc
(Disco instalador), o bien
seleccione Installer disc image file (iso)
(Archivo de imagen ISO del disco
instalador), busque y seleccione la
imagen ISO y haga clic en Next
(Siguiente).
138
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
5
Paso
Detalles
Paso 6: introduzca la información
en la ventana Easy Install Information
(Información de instalación
sencilla) y haga clic en Next
(Siguiente).
• Windows product key (Clave del producto de Windows): introduzca la
clave de licencia del sistema operativo Windows para el que está
creando el archivo VMDK.
• Full name (Nombre completo): introduzca administrator en este
campo.
• Password (Contraseña): escriba cr@cker42 como la contraseña.
Esta es la contraseña que McAfee Advanced Threat Defense
utiliza para iniciar sesión en la máquina virtual.
• Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la
contraseña.
• Log on automatically (requires a password) (Inicio de sesión automático,
requiere contraseña): anule la selección de esta opción.
Paso 7: si se muestra el mensaje
de VMware Workstation, haga clic en
Yes (Sí).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
139
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 8: introduzca la información
en la ventana Name the Virtual Machine
(Asignar nombre a máquina
virtual) y haga clic en Next
(Siguiente).
• Virtual Machine name (Nombre de máquina virtual): debe introducir
virtualMachineImage como nombre.
• Location (Ubicación): busque y seleccione la carpeta en la que
desea crear el archivo VMDK.
Paso 9: en la ventana Processor
Configuration (Configuración del
procesador), deje los valores
predeterminados y haga clic en
Next (Siguiente).
140
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 10: en la ventana Memory for
the Virtual Machine (Memoria para la
máquina virtual), establezca 3072
MB como valor para la memoria.
Paso 11: en la ventana Network
Type (Tipo de red), deje los valores
predeterminados.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
141
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 12: en la ventana Select I/O
Controller Types (Selección de tipos
de controlador de E/S), deje los
valores predeterminados.
Paso 13: en la página Select a Disk
Type (Seleccione un tipo de disco),
seleccione IDE y haga clic en Next
(Siguiente).
Los discos SCSI no son
compatibles con McAfee
Advanced Threat Defense.
142
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 14: en la ventana Select a Disk
(Seleccione un disco), seleccione
Create a new virtual disk (Crear disco
virtual nuevo) y haga clic en Next
(Siguiente).
Paso 15: especifique los detalles
en la ventana Specify Disk Capacity
(Especificar capacidad de disco) y
haga clic en Next (Siguiente).
• Maximum disk size (GB) (Tamaño máximo de disco en GB): para
Windows 7 de 64 bits debe introducir 14 GB. Para Windows 7 de
32 bits debe introducir 12 GB.
• Seleccione Allocate all disk space now (Asignar todo el espacio de disco
ahora).
• Seleccione Store virtual disk as a single file (Guardar disco virtual como
un solo archivo).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
143
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 16: en la ventana Specify Disk
file (Especificar archivo de disco),
asegúrese de que se muestre
virtualMachineImage.vmdk de
forma predeterminada y haga clic
en Next (Siguiente).
Si ha especificado un nombre
distinto para Virtual Machine name, ese
nombre se mostrará aquí.
144
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 17: en la ventana Ready to
• Power on this virtual machine after creation (Encender máquina virtual tras
Create Virtual Machine (Listo para crear
su creación): seleccione esta opción.
máquina virtual), siga estos
pasos.
• Haga clic en Finish (Finalizar).
Este paso puede tardar alrededor de 30 minutos en completarse.
Paso 18: si se muestra la ventana Windows empezará a instalarse. Esto puede tardar unos 15
emergente Removable Devices
minutos.
(Dispositivos extraíbles),
seleccione Do not show this hint again
(No volver a mostrar esta
sugerencia) y haga clic en OK
(Aceptar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
145
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 19: si se muestra la ventana
Set Network Location (Establecer
ubicación de red), seleccione Public
Network (Red pública) y, luego, Close
(Cerrar).
Paso 20: detenga la instalación
de VMware Tools.
VMware Tools no es compatible
con McAfee Advanced Threat
Defense. Si no detuvo la
instalación de VMware Tools,
puede continuar con el proceso de
creación de archivos VMDK, pero
asegúrese de que no esté
instalado cuando el archivo VMDK
esté listo.
Paso 23: en la máquina virtual,
desactive Windows Firewall.
1 Seleccione Inicio | Panel de control | Sistema y seguridad | Firewall de
Windows | Activar o desactivar Firewall de Windows
2 Seleccione Desactivar Firewall de Windows (no recomendado) tanto para
Configuración de ubicación de red doméstica o del trabajo (privada) como para
Configuración de ubicación de red pública y luego haga clic en Aceptar.
146
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 24: seleccione Inicio | Panel de 1 Seleccione Internet Information Services | Servidor FTP y seleccione
control | Programas | Programas y
Extensibilidad de FTP.
características | Activar o desactivar las
características de Windows y haga lo
2 Seleccione Internet Information Services | Herramientas de administración web
siguiente.
y seleccione Servicio de administración de IIS.
3 Seleccione Servidor Telnet y pulse Aceptar.
Este paso puede tardar alrededor de 5 minutos en completarse.
Paso 25: haga clic en Inicio y,
luego, haga clic con el botón
derecho en Equipo. Seleccione
Administrar | Servicios y Aplicaciones |
Servicios. A continuación haga doble
clic en Telnet.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
147
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 26: en el cuadro de diálogo
Telnet Propiedades (Equipo local),
seleccione Automático en la lista Tipo
de inicio. Seleccione Aplicar | Inicio |
Aceptar.
148
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 27: active el servidor FTP en 1 Seleccione Sites (Sitios), haga clic con el botón derecho en Default
la máquina virtual.
Web Site (Sitio web predeterminado) y quítelo. Haga clic en Yes (Sí)
En virtualMachineImage,
para confirmar.
seleccione Inicio | Panel de control |
Sistema y seguridad | Herramientas
administrativas. Haga doble clic en
Administrador de Internet Information
Services (IIS), expanda el árbol bajo
Hostname (Nombre de host), y haga
lo siguiente:
2 Haga clic con el botón derecho en Sites (Sitios) y seleccione Add
FTP Site (Agregar sitio FTP). A continuación, haga lo siguiente.
a En FTP site name (Nombre del sitio FTP), escriba root.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
149
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
b Physical Path: C:\.
c Haga clic en Siguiente.
3 En Bindings and SSL Settings (Enlaces y Configuración de SSL),
seleccione No SSL (Sin SSL). Para todos los demás campos, deje
los valores predeterminados y haga clic en Next (Siguiente).
Figura 5-1 Enlaces y configuración de SSL
4 En Authentication and Authorization Information (Información de
autenticación y autorización), haga lo siguiente.
a Seleccione Basic (Básica).
150
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
b En Allow access to (Permitir acceso a), seleccione All Users (Todos
los usuarios).
c En Permissions (Permisos), seleccione tanto Read (Lectura) como
Write (Escritura), y luego haga clic en Finish (Finalizar).
d Cierre el administrador de Internet Information Services (IIS).
Paso 28: seleccione Inicio |
Ejecutar, escriba netplwiz y haga
clic en Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
151
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 29: en la ventana Cuentas de
usuario, anule la selección de Los
usuarios deben escribir su nombre y
contraseña para usar el equipo. y haga
clic en Aplicar.
Paso 30: en la ventana
• Nombre de usuario: escriba Administrator
emergente Iniciar sesión
automáticamente, introduzca los datos • Contraseña: escriba cr@cker42
siguientes y haga clic en Aceptar en
• Confirmar contraseña: escriba cr@cker42
los cuadros de mensaje.
Paso 31: descargue Sigcheck a
su equipo (host nativo) desde
http://technet.microsoft.com/
en-us/sysinternals/
bb897441.aspx.
La máquina virtual que ha creado tiene desactivado el Firewall de
Windows, ya que no hay un programa antivirus instalado. Por lo
tanto es aconsejable descargar los programas y componentes en el
host nativo en primer lugar y luego copiarlos a la máquina virtual
en VMware Workstation.
Paso 32: extraiga sigcheck.zip a
C:\WINDOWS\system32.
152
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 33: en Windows Explorer,
vaya a C:\ WINDOWS\system32 y
haga doble clic en sigcheck.exe.
Paso 34: haga clic en Acepto para
aceptar el acuerdo de licencia de
Sigcheck.
Después de hacer clic en
Acepto, no se mostrará ningún
mensaje de confirmación.
Paso 35: descargue MergeIDE.zip
desde https://www.virtualbox.org/
attachment/wiki/
Migrate_Windows/MergeIDE.zip al
equipo nativo y luego cópielo a la
máquina virtual.
Paso 36: extraiga MergeIDE.zip y • Si se le indica, seleccione Ejecutar en el mensaje de advertencia.
ejecute el archivo por lotes
• Cierre el Explorador de Windows.
MergeIDE en la máquina virtual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
153
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 37: desactive las
actualizaciones de Windows.
1 Seleccione Inicio | Panel de control | Windows Update | Cambiar
configuración.
2 En la página Cambiar configuración, haga lo siguiente.
a En Actualizaciones importantes seleccione No buscar actualizaciones (no
recomendado).
b Anule la selección de las casillas en Actualizaciones recomendadas,
Quién puede instalar actualizaciones, Microsoft Update, Notificaciones de
software.
3 Haga clic en Aceptar.
Paso 38: para analizar archivos
de Microsoft Word, Excel y
PowerPoint, instale Microsoft
Office 2003 en la máquina virtual.
154
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 39: reduzca el nivel de
seguridad para ejecutar macros
para aplicaciones de Office.
• Abra Microsoft Word 2003 y seleccione Herramientas | Macro |
Seguridad y luego seleccione el valor Baja y haga clic en Aceptar.
5
• Haga lo mismo para la seguridad de macros en Microsoft Excel y
PowerPoint.
Paso 40: necesita el paquete de
compatibilidad para abrir archivos
de Microsoft Office creados en una
versión más reciente de Microsoft
Office. Por ejemplo, para abrir un
archivo .docx con Office 2003,
necesita tener instalado el
correspondiente paquete de
compatibilidad.
Vaya a http://www.microsoft.com/
en-us/download/details.aspx?id=3
y descargue el paquete de
compatibilidad de Microsoft Office
adecuado para formatos de
archivo Word, Excel y PowerPoint.
A continuación, realice la
instalación en la máquina virtual.
Tras descargar el paquete de
compatibilidad, instálelo en la
máquina virtual. Para abrir
archivos creados por una versión
posterior de aplicaciones de
Microsoft Office, debe instalar el ,
McAfee Advanced Threat Defense 3.4.2
Guía del producto
155
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 41: en el cuadro de
diálogoPaquete de compatibilidad para
2007 Office system, seleccione Haga clic
aquí para aceptar los términos de licencia
del software de Microsoft y haga clic en
Continuar.
156
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
5
Detalles
Paso 42: para analizar archivos
1 Instale Adobe Reader 9.0 en la máquina virtual.
PDF, descargue Adobe Reader al
host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar.
virtual.
En este ejemplo del
procedimiento se usa Adobe
Reader 9.0.
3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la
selección de Buscar actualizaciones.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
157
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 43: para analizar archivos
JAR, descargue e instale Java
Runtime Environment.
En este ejemplo del
procedimiento se usa Java 7
Update 25.
Paso 44: abra Java en el Panel de
control.
Paso 45: en la ficha Actualizar,
anule la selección de Comprobar
Actualizaciones Automáticamente.
158
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 46: en el cuadro de diálogo
de advertencia de actualización
Java, seleccione No comprobar y
haga clic en Aceptar en el Panel de
control de Java.
Paso 47: en el cuadro de diálogo
Ejecutar de Windows, escriba
msconfig.
Paso 48: en la utilidad de
configuración del sistema, vaya a
la ficha Inicio.
Anule la selección de reader_sl y jusched, y haga clic en Aceptar.
Paso 49:: en el cuadro de diálogo
Configuración del sistema, haga clic en
Reiniciar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
159
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 50: abra el navegador
1 El bloqueador de ventanas emergentes debe estar activado. En
predeterminado y configúrelo para
Internet Explorer, seleccione Herramientas | Bloqueador de ventanas
el análisis de malware.
emergentes | Active el Bloqueador de ventanas emergentes.
En este ejemplo del
procedimiento se usa
Internet Explorer.
2 Seleccione Herramientas | Opciones de Internet y para Página principal
seleccione Usar página en blanco o Usar nueva pestaña, según su versión
de Internet Explorer.
3 Vaya a la ficha Avanzado de Opciones de Internet y localice
Seguridad.
4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi
equipo.
5 Haga clic en Aceptar.
160
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 7
Paso
Detalles
Paso 51: para analizar
1 Vaya a http://get.adobe.com/flashplayer/otherversions/.
dinámicamente archivos Flash
(SWF), instale la versión requerida 2 Seleccione el sistema operativo y la versión de Flash Player
de Adobe Flash.
respectivamente según sus requisitos para el Paso 1 y el Paso 2
mostrados en la siguiente imagen.
En este ejemplo del
procedimiento se usa Flash
Player 14.
3 Haga clic en la ficha Descargar ahora.
4 Haga doble clic en el archivo de instalación de Adobe Flash Player
(install_flashplayer xxx.exe), en la esquina inferior de la
pantalla.
5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.
6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
161
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
7 Seleccione su opción de actualización y haga clic en SIGUIENTE.
8 Haga clic en FINALIZAR para completar la instalación de Adobe
Flash Player.
Paso 52: cierre
virtualMachineImage
seleccionando Inicio | Apagar.
Paso 53: vaya a la ubicación que
ha introducido en el paso 8 para
encontrar el archivo VMDK
denominadovirtualMachineImage
‑flat.vmdk
Creación de un archivo VMDK para Windows 2008 Server
Pasos preliminares
162
•
Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/
workstation/workstation-evaluation e instálelo.
•
Asegúrese de tener la imagen ISO de Windows 2008 R2 SP1 para la que desee crear el archivo
VMDK. Solo se admite Windows 2008 Professional.
•
Asegúrese de que tiene la clave de licencia para el sistema operativo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Siga este procedimiento para crear archivos VMDK a partir de imágenes ISO de Windows 2008 R2
SP1.
Paso
Detalles
Paso 1: inicie VMware
Workstation.
Este procedimiento usa VMware Workstation 10 como ejemplo.
Paso 2: en la página VMware
Workstation, seleccione File (Archivo)
| New Virtual Machine (Máquina virtual
nueva).
Paso 3: en la ventanaNew Virtual
Machine Wizard (Asistente de nueva
máquina virtual), seleccione
Custom (Advanced) (Personalizado,
Avanzado) y haga clic en Next
(Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
163
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 4: en la ventana Choose the
Virtual Machine Hardware Compatibility
(Elija la compatibilidad con
hardware de la máquina virtual),
seleccione Workstation 9.0 en la lista
desplegable Hardware compatibility
(Compatibilidad de hardware). En
los otros campos, deje los valores
predeterminados y haga clic en
Next (Siguiente).
Paso 5: en la ventana Guest
Operating System Installation
(Instalación de sistema operativo
invitado), seleccione Installer disc
(Disco instalador), o bien
seleccione Installer disc image file (iso)
(Archivo de imagen ISO del disco
instalador), busque y seleccione la
imagen ISO y haga clic en Next
(Siguiente).
164
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
5
Paso
Detalles
Paso 6: introduzca la información
en la ventana Easy Install Information
(Información de instalación
sencilla) y haga clic en Next
(Siguiente).
• Windows product key (Clave del producto de Windows): introduzca la
clave de licencia del sistema operativo Windows para el que está
creando el archivo VMDK.
• Version of Windows to install (Versión de Windows a instalar):
seleccione la versión Standard o Enterprise version.
• Full name (Nombre completo): introduzca administrator en este
campo.
• Password (Contraseña): escriba cr@cker42 como la contraseña.
Esta es la contraseña que McAfee Advanced Threat Defense
utiliza para iniciar sesión en la máquina virtual.
• Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la
contraseña.
• Log on automatically (requires a password) (Inicio de sesión automático,
requiere contraseña): anule la selección de esta opción.
Paso 7: si se muestra el mensaje
de VMware Workstation, haga clic en
Yes (Sí).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
165
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 8: introduzca la información
en la ventana Name the Virtual Machine
(Asignar nombre a máquina
virtual) y haga clic en Next
(Siguiente).
• Virtual Machine name (Nombre de máquina virtual): debe introducir
virtualMachineImage como nombre.
• Location (Ubicación): busque y seleccione la carpeta en la que
desea crear el archivo VMDK.
Paso 9: en la ventana Processor
Configuration (Configuración del
procesador), deje los valores
predeterminados y haga clic en
Next (Siguiente).
166
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 10: en la ventana Memory for
the Virtual Machine (Memoria para la
máquina virtual), establezca 3072
MB como valor para la memoria.
Paso 11: en la ventana Network
Type (Tipo de red), deje los valores
predeterminados.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
167
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 12: en la ventana Select I/O
Controller Types (Selección de tipos
de controlador de E/S), deje los
valores predeterminados.
Paso 13: en la página Select a Disk
Type (Seleccione un tipo de disco),
seleccione IDE y haga clic en Next
(Siguiente).
Los discos SCSI no son
compatibles con McAfee
Advanced Threat Defense.
168
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 14: en la ventana Select a Disk
(Seleccione un disco), seleccione
Create a new virtual disk (Crear disco
virtual nuevo) y haga clic en Next
(Siguiente).
Paso 15: especifique los detalles
en la ventana Specify Disk Capacity
(Especificar capacidad de disco) y
haga clic en Next (Siguiente).
• Maximum disk size (GB) (Tamaño máximo de disco en GB): debe
introducir 14 GB.
• Seleccione Allocate all disk space now (Asignar todo el espacio de disco
ahora).
• Seleccione Store virtual disk as a single file (Guardar disco virtual como
un solo archivo).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
169
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 16: en la ventana Specify Disk
file (Especificar archivo de disco),
asegúrese de que se muestre
virtualMachineImage.vmdk de
forma predeterminada y haga clic
en Next (Siguiente).
Si ha especificado un nombre
distinto para Virtual Machine name, ese
nombre se mostrará aquí.
170
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 17: en la ventana Ready to
• Power on this virtual machine after creation (Encender máquina virtual tras
Create Virtual Machine (Listo para crear
su creación): seleccione esta opción.
máquina virtual), siga estos
pasos.
• Haga clic en Finish (Finalizar).
Este paso puede tardar alrededor de 30 minutos en completarse.
Paso 18: si se muestra la ventana Windows empezará a instalarse. Esto puede tardar unos 15
emergente Removable Devices
minutos.
(Dispositivos extraíbles),
seleccione Do not show this hint again
(No volver a mostrar esta
sugerencia) y haga clic en OK
(Aceptar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
171
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 19: si se muestra la ventana
Initial Configuration Tasks (Tareas de
configuración inicial), seleccione
Do not show this window at logon (No
mostrar esta ventana al iniciar
sesión) y haga clic en Close
(Cerrar).
Paso 20: detenga la instalación
de VMware Tools.
VMware Tools no es compatible
con McAfee Advanced Threat
Defense. Si no detuvo la
instalación de VMware Tools,
puede continuar con el proceso de
creación de archivos VMDK, pero
asegúrese de que no esté
instalado cuando el archivo VMDK
esté listo.
Paso 21: si se muestra la ventana
Administrador del servidor, seleccione
No mostrar esta consola al iniciar sesión y
ciérrela.
172
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 22: realice los siguientes
pasos.
1 En la ventana Ejecutar de Windows, escriba gpedit.msc y pulse
Intro.
2 En la ventana Local Group Policy Editor (Editor de directivas de grupo
local), seleccione Computer Configuration (Configuración de equipo) |
Administrative Templates (Plantillas administrativas) | System (Sistema) y haga
doble clic en Display Shutdown Event Tracker (Mostrar rastreador de
evento de cierre).
3 En el cuadro de diálogo Display Shutdown Event Tracker Properties
(Propiedades de Mostrar rastreador de evento de cierre),
seleccione Disabled (Desactivado) y haga clic en OK (Aceptar).
Paso 23: en la máquina virtual,
desactive Windows Firewall.
1 Seleccione Inicio | Panel de control | Firewall de Windows | Activar o
desactivar Firewall de Windows
2 Seleccione Desactivar y haga clic en Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
173
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 24: active la función Telnet.
1 En virtualMachineImage, seleccione Inicio | Herramientas administrativas
| Administrador del servidor.
2 En la ventana Administrador del servidor, haga clic con el botón
derecho en Características y seleccione Agregar características.
3 En el Asistente para agregar características, seleccione Servidor Telnet.
4 Haga clic en Siguiente y, luego, en Instalar.
5 Haga clic en Cerrar cuando la instalación se haya realizado
correctamente.
174
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 25: seleccione Inicio |
Herramientas administrativas | Servicios.
A continuación haga doble clic en
Telnet.
Paso 26: en el cuadro de diálogo
Telnet Propiedades (Equipo local),
seleccione Automático en la lista Tipo
de inicio. Seleccione Aplicar | Inicio |
Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
175
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 27: active el servidor FTP en 1 En virtualMachineImage, seleccione Inicio | Herramientas administrativas
la máquina virtual.
| Administrador del servidor.
2 En la ventana Administrador del servidor, seleccione Administrador del
servidor (nombre de máquina virtual) | Funciones | Servidor web (IIS).
3 Haga clic con el botón derecho en Servidor web (IIS) y seleccione
Agregar servicios de función.
4 En el asistente para Agregar servicios de función, seleccione Servicio de
publicación FTP.
Esto instala el Servidor FTP y la Consola de administración de FTP.
5 Haga clic en Siguiente y, luego, en Instalar.
6 Haga clic en Cerrar cuando la instalación se haya realizado
correctamente.
176
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 28: seleccione Inicio |
Ejecutar, escriba netplwiz y haga
clic en Aceptar.
Paso 29: en la ventana Cuentas de
usuario, anule la selección de Los
usuarios deben escribir su nombre y
contraseña para usar el equipo. y haga
clic en Aplicar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
177
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 30: en la ventana
• Nombre de usuario: escriba Administrator
emergente Iniciar sesión
automáticamente, introduzca los datos • Contraseña: escriba cr@cker42
siguientes y haga clic en Aceptar en
• Confirmar contraseña: escriba cr@cker42
los cuadros de mensaje.
Paso 31: descargue Sigcheck a
su equipo (host nativo) desde
http://technet.microsoft.com/
en-us/sysinternals/
bb897441.aspx.
La máquina virtual que ha creado tiene desactivado el Firewall de
Windows, ya que no hay un programa antivirus instalado. Por lo
tanto es aconsejable descargar los programas y componentes en el
host nativo en primer lugar y luego copiarlos a la máquina virtual
en VMware Workstation.
Paso 32: extraiga sigcheck.zip a
C:\WINDOWS\system32.
Paso 33: en Windows Explorer,
vaya a C:\ WINDOWS\system32 y
haga doble clic en sigcheck.exe.
Paso 34: haga clic en Acepto para
aceptar el acuerdo de licencia de
Sigcheck.
Después de hacer clic en
Acepto, no se mostrará ningún
mensaje de confirmación.
178
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 35: descargue MergeIDE.zip
desde https://www.virtualbox.org/
attachment/wiki/
Migrate_Windows/MergeIDE.zip al
equipo nativo y luego cópielo a la
máquina virtual.
Paso 36: extraiga MergeIDE.zip y • Si se le indica, seleccione Ejecutar en el mensaje de advertencia.
ejecute el archivo por lotes
• Cierre el Explorador de Windows.
MergeIDE en la máquina virtual.
Paso 37: desactive las
actualizaciones de Windows.
1 Seleccione Inicio | Panel de control | Windows Update | Cambiar
configuración.
2 En la página Cambiar configuración, haga lo siguiente.
a Seleccione No buscar actualizaciones (no recomendado).
b Anule la casilla de verificación de Actualizaciones recomendadas.
3 Haga clic en Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
179
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 38: para analizar archivos
de Microsoft Word, Excel y
PowerPoint, instale Microsoft
Office 2003 en la máquina virtual.
Paso 39: reduzca el nivel de
seguridad para ejecutar macros
para aplicaciones de Office.
• Abra Microsoft Word 2003 y seleccione Herramientas | Macro |
Seguridad y luego seleccione el valor Baja y haga clic en Aceptar.
• Haga lo mismo para la seguridad de macros en Microsoft Excel y
PowerPoint.
180
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 40: necesita el paquete de
compatibilidad para abrir archivos
de Microsoft Office creados en una
versión más reciente de Microsoft
Office. Por ejemplo, para abrir un
archivo .docx con Office 2003,
necesita tener instalado el
correspondiente paquete de
compatibilidad.
Vaya a http://www.microsoft.com/
en-us/download/details.aspx?id=3
y descargue el paquete de
compatibilidad de Microsoft Office
adecuado para formatos de
archivo Word, Excel y PowerPoint.
A continuación, realice la
instalación en la máquina virtual.
Paso 41: en el cuadro de
diálogoPaquete de compatibilidad para
2007 Office system, seleccione Haga clic
aquí para aceptar los términos de licencia
del software de Microsoft y haga clic en
Continuar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
181
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 42: para analizar archivos
1 Instale Adobe Reader 9.0 en la máquina virtual.
PDF, descargue Adobe Reader al
host nativo y cópielo a la máquina 2 Abra Adobe Reader y haga clic en Aceptar.
virtual.
En este ejemplo del
procedimiento se usa Adobe
Reader 9.0.
3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la
selección de Buscar actualizaciones.
182
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
5
Detalles
Paso 43: para analizar archivos
JAR, descargue e instale Java
Runtime Environment.
En este ejemplo del
procedimiento se usa Java 7
Update 25.
Paso 44: abra Java en el Panel de
control.
Paso 45: en la ficha Actualizar,
anule la selección de Comprobar
Actualizaciones Automáticamente.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
183
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 46: en el cuadro de diálogo
de advertencia de actualización
Java, seleccione No comprobar y
haga clic en Aceptar en el Panel de
control de Java.
Paso 47: en el cuadro de diálogo
Ejecutar de Windows, escriba
msconfig.
Paso 48: en la utilidad de
configuración del sistema, vaya a
la ficha Inicio.
Anular todas las selecciones y haga clic en Aceptar.
Paso 49: en el cuadro de diálogo
Configuración del sistema, seleccione No
volver a mostrar este mensaje y haga clic
en Reiniciar.
184
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 50: abra el navegador
1 El bloqueador de ventanas emergentes debe estar desactivado.
predeterminado y configúrelo para
En Internet Explorer, seleccione Herramientas | Bloqueador de ventanas
el análisis de malware.
emergentes | Desactivar el bloqueador de ventanas emergentes.
En este ejemplo del
procedimiento se usa
Internet Explorer.
2 Seleccione Herramientas | Opciones de Internet y para Página principal
seleccione Usar página en blanco o Usar nueva pestaña, según su versión
de Internet Explorer.
3 Vaya a la ficha Avanzado de Opciones de Internet y localice
Seguridad.
4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi
equipo.
5 Haga clic en Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
185
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
Paso 51: para analizar
1 Vaya a http://get.adobe.com/flashplayer/otherversions/.
dinámicamente archivos Flash
(SWF), instale la versión requerida 2 Seleccione el sistema operativo y la versión de Flash Player
de Adobe Flash.
respectivamente según sus requisitos para el Paso 1 y el Paso 2
mostrados en la siguiente imagen.
En este ejemplo del
procedimiento se usa Flash
Player 14.
3 Haga clic en la ficha Descargar ahora.
4 Haga doble clic en el archivo de instalación de Adobe Flash Player
(install_flashplayer xxx.exe), en la esquina inferior de la
pantalla.
5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.
6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí.
186
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 2008 Server
Paso
Detalles
7 Seleccione su opción de actualización y haga clic en SIGUIENTE.
8 Haga clic en FINALIZAR para completar la instalación de Adobe
Flash Player.
Paso 52: cierre
virtualMachineImage
seleccionando Inicio | Apagar.
Paso 53: vaya a la ubicación que
ha introducido en el paso 8 para
encontrar el archivo VMDK
denominadovirtualMachineImage
‑flat.vmdk
McAfee Advanced Threat Defense 3.4.2
Guía del producto
187
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Creación de un archivo VMDK para Windows 8
Pasos preliminares
•
Descargue VMware Workstation 9.0 o posterior desde http://www.vmware.com/products/
workstation/workstation-evaluation e instálelo. McAfee recomienda la versión 9 o 10.
•
Asegúrese de tener la imagen ISO de Windows 8 de 32 o 64 bits para la que desee crear el archivo
VMDK. Solo se admite Windows 8 Pro. Este procedimiento usa la versión inglesa de Windows 8 Pro
como ejemplo.
•
Asegúrese de que dispone de los detalles para activar el sistema operativo según el tipo de licencia
que posea. Debe activar el sistema operativo antes de importar el archivo VMDK en McAfee
Advanced Threat Defense.
Siga este procedimiento para crear archivos VMDK a partir de una imagen ISO de Windows 8 de 32 o
64 bits.
Paso
Detalles
Paso 1: inicie VMware
Workstation.
Este procedimiento usa VMware Workstation 10 como ejemplo.
Paso 2: en la página
VMware Workstation,
seleccione File (Archivo) | New
Virtual Machine. (Máquina virtual
nueva)
188
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
Paso 3: en la ventanaNew
Virtual Machine Wizard
(Asistente de nueva
máquina virtual),
seleccione Custom (Advanced)
(Personalizado, Avanzado)
y haga clic en Next
(Siguiente).
Paso 4: en la ventana
Choose the Virtual Machine
Hardware Compatibility (Elija la
compatibilidad con
hardware de la máquina
virtual), seleccione
Workstation 9.0 en la lista
desplegable Hardware
compatibility (Compatibilidad
de hardware). En los otros
campos, deje los valores
predeterminados y haga
clic en Next (Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
189
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 5: en la ventana Guest
Operating System Installation
(Instalación de sistema
operativo invitado),
seleccione Installer disc
(Disco instalador), o bien
seleccione Installer disc image
file (iso) (Archivo de imagen
ISO del disco instalador),
busque y seleccione la
imagen ISO y haga clic en
Next (Siguiente).
190
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 6: introduzca la
información en la ventana
Easy Install Information
(Información de instalación
sencilla) y haga clic en Next
(Siguiente).
• Windows product key (Clave del producto de Windows): introduzca la
clave de licencia del sistema operativo Windows para el que está
creando el archivo VMDK. Para licencia de volumen, puede dejarlo
vacío. Haga clic en Yes (Sí) si a continuación se muestra el siguiente
mensaje.
• Full name (Nombre completo): introduzca administrator en este
campo.
• Password (Contraseña): escriba cr@cker42 como la contraseña. McAfee
Advanced Threat Defense usa esta contraseña para iniciar sesión en
la máquina virtual.
• Confirm (Confirmar): vuelva a escribir cr@cker42 para confirmar la
contraseña.
• Log on automatically (requires a password) (Inicio de sesión automático,
requiere contraseña): anule la selección de esta opción.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
191
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 7: si se muestra el
mensaje de VMware
Workstation, haga clic en Yes
(Sí).
Paso 8: introduzca la
• Virtual Machine name (Nombre de máquina virtual): debe introducir
información en la ventana
virtualMachineImage como nombre.
Name the Virtual Machine
(Asignar nombre a máquina • Location (Ubicación): busque y seleccione la carpeta en la que desea
virtual) y haga clic en Next
crear el archivo VMDK.
(Siguiente).
192
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
Paso 9: en la ventana
Processor Configuration
(Configuración del
procesador), deje los
valores predeterminados y
haga clic en Next
(Siguiente).
Paso 10: en la ventana
Memory for the Virtual Machine
(Memoria para la máquina
virtual), establezca 2048
MB como valor para la
memoria.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
193
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 11: en la ventana
Network Type (Tipo de red),
deje los valores
predeterminados.
Paso 12: en la ventana
Select I/O Controller Types
(Selección de tipos de
controlador de E/S), deje
los valores
predeterminados.
194
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
Paso 13: en la página
Select a Disk Type (Seleccione
un tipo de disco),
seleccione IDE y haga clic
en Next (Siguiente).
Los discos SCSI no
son compatibles con
McAfee Advanced
Threat Defense.
Paso 14: en la ventana
Select a Disk (Seleccione un
disco), seleccione Create a
new virtual disk (Crear disco
virtual nuevo) y haga clic
en Next (Siguiente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
195
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 15: especifique los
detalles en la ventana
Specify Disk Capacity
(Especificar capacidad de
disco) y haga clic en Next
(Siguiente).
• Maximum disk size (GB) (Tamaño máximo de disco en GB): para Windows
8 de 64 y 32-bits, el tamaño de disco puede ser de 30 GB, sin
embargo debe introducir 24 GB para obtener el mejor rendimiento
posible.
• Seleccione Allocate all disk space now (Asignar todo el espacio de disco
ahora).
• Seleccione Store virtual disk as a single file (Guardar disco virtual como un
solo archivo).
Paso 16: en la ventana
Specify Disk file (Especificar
archivo de disco),
asegúrese de que se
muestre
virtualMachineImage.vmdk
de forma predeterminada y
haga clic en Next
(Siguiente).
Si ha especificado un
nombre distinto para Virtual
Machine name, ese nombre se
mostrará aquí.
196
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 17: en la ventana
Ready to Create Virtual Machine
(Listo para crear máquina
virtual), siga estos pasos.
• Power on this virtual machine after creation (Encender máquina virtual tras su
creación): seleccione esta opción.
• Haga clic en Finish (Finalizar).
Este paso puede tardar alrededor de 30 minutos en completarse.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
197
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 18: si se muestra la
Windows empezará a instalarse. Esto puede tardar unos 15 minutos.
ventana emergente
Removable Devices
(Dispositivos extraíbles),
seleccione Do not show this hint
again (No volver a mostrar
esta sugerencia) y haga clic
en OK (Aceptar).
Paso 19: inicie sesión en
virtualMachineImage con
las siguientes credenciales:
• Administrator
• cr@cker42
Paso 20: la máquina
virtual predeterminada se
ve en modo de interfaz
Metro. Haga clic en el
mosaico Escritorio para
activar ese modo.
198
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
5
Paso
Detalles
Paso 21: configure
Windows 8 para usarlo en
modo Escritorio en lugar
del modo Metro
predeterminado para el
inicio.
1 Pulse simultáneamente las teclas Windows y R para abrir el cuadro de
diálogo Run (Ejecutar).
2 En el cuadro de diálogo Run (Ejecutar), escriba regedit y pulse Intro
.
Se abrirá el Registry Editor (Editor del Registro).
3 Seleccione HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows NT |
CurrentVersion | Winlogon y haga doble clic en Shell.
4 Cambie el dato de Value data (Información del valor) a explorer.exe,
explorer.exe en lugar del predeterminado explorer.exe y haga clic
en OK (Aceptar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
199
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 22: en la máquina
1 Pulse simultáneamente las teclas Windows y X y seleccione Panel de
virtual, desactive el Firewall
control | Sistema y seguridad | Firewall de Windows | Activar o desactivar Firewall de
de Windows.
Windows.
2 Seleccione Desactivar Firewall de Windows (no recomendado) tanto para
Configuración de ubicación de red doméstica o del trabajo (privada) como para
Configuración de ubicación de red pública y luego haga clic en Aceptar.
200
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 23: desactive
Windows Defender.
1 Abra el Panel de control y, en la lista desplegable Ver por, seleccione
Iconos pequeños.
5
2 Haga clic en Windows Defender.
3 En Windows Defender, seleccione Configuración | Administradores y anule la
selección de Activar Windows Defender. A continuación, haga clic en Guardar
cambios.
4 Cierre el cuadro de mensaje de Windows Defender.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
201
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 24: desactive la
animación del primer inicio
de sesión.
1 Pulse simultáneamente las teclas Windows y R para abrir el cuadro de
diálogo Ejecutar.
2 En el cuadro de diálogo Ejecutar, escriba gpedit.msc y pulse Intro. Se
abrirá el Editor de directivas de grupo local.
3 Seleccione Configuración del equipo | Plantillas administrativas | Sistema | Iniciar
sesión y abra Mostrar animación de primer inicio de sesión.
4 Seleccione Deshabilitada y haga clic en Aceptar
202
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
McAfee Advanced Threat Defense 3.4.2
5
Detalles
Guía del producto
203
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 25: pulse
simultáneamente las teclas
Windows y X y seleccione
Panel de control | Programas |
Programas y características |
Activar o desactivar las
características de Windows y
haga lo siguiente.
1 Seleccione Internet Information Services | Servidor FTP y seleccione
Extensibilidad de FTP.
2 Seleccione Internet Information Services | Herramientas de administración web y
luego seleccione Consola de administración de IIS y Servicio de administración de
IIS.
3 Seleccione Telnet Server.
4 Seleccione .NET Framework 3.5 (incluye .NET 2.0 y 3.0) y, a continuación,
Activación HTTP de Windows Communication Foundation y Activación no HTTP de
Windows Communication Foundation.
204
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
5 Pulse Aceptar.
6 Si ve el mensaje de abajo, seleccione Descargar archivos desde Windows
Update.
Este paso puede tardar alrededor de 5 minutos en completarse.
Al completarse la operación se muestra un mensaje de confirmación.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
205
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 26: edite las
opciones de energía.
1 Abra el Panel de control y, en la lista desplegable Ver por, seleccione
Iconos pequeños.
2 Haga clic en Opciones de energía.
3 Haga clic en Elegir cuándo se apaga la pantalla.
4 Seleccione Nunca para Apagar la pantalla y Poner al equipo en estado de
suspensión, y haga clic en Guardar cambios.
206
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
Paso 27: pulse
simultáneamente las teclas
Windows y X y seleccione
Administración de equipos |
Servicios y Aplicaciones |
Servicios. Haga doble clic en
Telnet.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
207
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 28: en el cuadro de
diálogo Telnet Propiedades
(Equipo local), seleccione
Automático en la lista Tipo de
inicio. Seleccione Aplicar |
Inicio | Aceptar.
208
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 29: active el servidor
FTP en Windows 8.
1 Pulse simultáneamente las teclas Windows y X y seleccione Panel de
control | Sistema y seguridad | Herramientas administrativas.
2 Haga doble clic en Administrador de Internet Information Services (IIS) y expanda
el árbol bajo Nombre de host.
3 Si aparece el mensaje mostrado abajo, seleccione No volver a mostrar este
mensaje y haga clic en Cancelar.
4 Seleccione Sitios
, haga clic con el botón derecho en Sitio web predeterminado y seleccione
Quitar. Haga clic en Sí para confirmar la acción.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
209
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
5 Haga clic con el botón derecho en Sitios y seleccione Agregar sitio FTP. A
continuación, haga lo siguiente.
a En Nombre del sitio FTP, escriba rootRemove.
b Ruta de acceso física: C:\.
c Haga clic en Siguiente.
6 En Configuración de enlaces y SSL, seleccione Sin SSL. Para todos los demás
campos, deje los valores predeterminados y haga clic en Siguiente.
210
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
7 En Información de autenticación y autorización, haga lo siguiente.
a Seleccione Básica.
b En Permitir el acceso a, seleccione Todos los usuarios .
c En Permisos, seleccione tanto Leer como Escribir y haga clic en Finalizar.
d Cierre el administrador de Internet Information Services (IIS).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
211
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 30: desactive la
configuración automática
para Windows.
1 Pulse simultáneamente las teclas Windows y X y seleccione Panel de
control | Windows Update | Cambiar.
2 Seleccione No buscar actualizaciones (no recomendado) y haga clic en Aceptar.
212
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
5
Paso
Detalles
Paso 31: realice los
siguientes pasos:
1 Seleccione Administración del equipo (local) | Herramientas del sistema | Usuarios y
grupos locales | Grupos
1 Abra el Panel de control
y, en la lista desplegable
Ver por, seleccione Iconos
pequeños.
2 Seleccione Herramientas del
administrador | Administración
de equipos y complete los
pasos en la siguiente
columna.
2 Haga doble clic en TelnetClients.
3 Haga clic en Agregar y escriba Administrator.
4 Haga clic enComprobar nombres y luego en Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
213
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 32: pulse
simultáneamente las teclas
Windows y R para abrir el
cuadro de diálogo Ejecutar.
Escriba netplwiz y haga
clic en Aceptar.
Paso 33: en la ventana
Cuentas de usuario, anule la
selección de Los usuarios
deben escribir su nombre y
contraseña para usar el equipo. y
haga clic en Aplicar.
214
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
5
Paso
Detalles
Paso 34: en la ventana
emergente Iniciar sesión
automáticamente, introduzca
los datos siguientes y haga
clic en Aceptar en los
cuadros de mensaje.
• Nombre de usuario: escriba Administrator
Paso 35: descargue
Sigcheck a su equipo (host
nativo) desde http://
technet.microsoft.com/
en-us/sysinternals/
bb897441.aspx.
La máquina virtual que ha creado tiene desactivado el Firewall de
Windows, ya que no hay un programa antivirus instalado. Por lo tanto
es aconsejable descargar los programas y componentes en el host
nativo en primer lugar y luego copiarlos a la máquina virtual en VMware
Workstation.
• Contraseña: escriba cr@cker42
• Confirmar contraseña: escriba cr@cker42
Paso 36: extraiga
sigcheck.zip a C:\WINDOWS
\system32.
Paso 37: en Windows
Explorer, vaya a C:\
WINDOWS\system32 y
haga doble clic en
sigcheck.exe.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
215
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 38: haga clic en
Acepto para aceptar el
acuerdo de licencia de Sigcheck.
Después de hacer clic
en Acepto, no se
mostrará ningún
mensaje de
confirmación.
Paso 39: descargue
MergeIDE.zip desde
https://
www.virtualbox.org/
attachment/wiki/
Migrate_Windows/
MergeIDE.zip al equipo
nativo y luego cópielo a la
máquina virtual.
Paso 40: extraiga
MergeIDE.zip y ejecute el
archivo por lotes MergeIDE
en la máquina virtual.
• Si se le indica, seleccione Ejecutar en el mensaje de advertencia.
• Cierre el Explorador de Windows.
216
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
Paso 41: para analizar
archivos de Microsoft Word,
Excel y PowerPoint, instale
Microsoft Office 2003 en la
máquina virtual.
Paso 42: reduzca el nivel
de seguridad para ejecutar
macros para aplicaciones
de Office.
• Abra Microsoft Word 2003 y seleccione Herramientas | Macro | Seguridad y
luego seleccione el valor Baja y haga clic en Aceptar.
• Haga lo mismo para la seguridad de macros en Microsoft Excel y
PowerPoint.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
217
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 43: necesita el
En el cuadro de diálogoPaquete de compatibilidad para 2007 Office system,
paquete de compatibilidad
seleccione Haga clic aquí para aceptar los términos de licencia del software de Microsoft
para abrir archivos de
y haga clic en Continuar.
Microsoft Office creados en
una versión más reciente
de Microsoft Office. Por
ejemplo, para abrir un
archivo .docx con Office
2003, necesita tener
instalado el
correspondiente paquete de
compatibilidad.
Vaya a http://
www.microsoft.com/en-us/
download/details.aspx?id=3
y descargue el paquete de
compatibilidad de Microsoft
Office adecuado para
formatos de archivo Word,
Excel y PowerPoint. A
continuación, realice la
instalación en la máquina
virtual.
218
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 44: para analizar
archivos PDF, descargue
Adobe Reader al host
nativo y cópielo a la
máquina virtual.
1 Instale Adobe Reader 9.0 en la máquina virtual.
5
2 Abra Adobe Reader y haga clic en Aceptar.
En este ejemplo del
procedimiento se usa
Adobe Reader 9.0.
3 En Adobe Reader, seleccione Editar | Preferencias | General y anule la
selección de Buscar actualizaciones.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
219
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 45: configure Adobe
Reader 9 como aplicación
predeterminada para abrir
archivos PDF.
1 En el Panel de control (vista de iconos), seleccione Programas
predeterminados.
2 Seleccione Asociar un tipo de archivo o protocolo con un programa
3 Haga doble clic en .pdf. Seleccione Adobe Reader 9.0 como lector de
PDF predeterminado.
220
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
Paso 46: para analizar
archivos JAR, descargue e
instale Java Runtime
Environment.
En este ejemplo del
procedimiento se usa
Java 7 Update 25.
Paso 47: abra Java en el
Panel de control.
Paso 48: en la ficha
Actualizar, anule la selección
de Comprobar Actualizaciones
Automáticamente.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
221
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 49: en el cuadro de
diálogo de advertencia de
actualización de Java,
seleccione No comprobar y
haga clic en Aceptar en el
Panel de control de Java.
222
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
5
Paso
Detalles
Paso 50: desactivejusched
y reader_sl.
1 Pulse simultáneamente las teclas Windows y R para abrir el cuadro de
diálogo Ejecutar. En el cuadro de diálogo Ejecutar de Windows, escriba
msconfig y haga clic en Aceptar.
2 En la utilidad Configuración del sistema, vaya a la ficha Inicio.
3 Haga clic en Abrir el Administrador de tareas.
4 Si Java(TM) Update Scheduler (jusched) aparece en la lista,
selecciónelo y haga clic en Desactivar.
5 Si Adobe Acrobat SpeedLauncher (reader_sl) aparece en la lista,
selecciónelo y haga clic en Desactivar.
6 En el cuadro de diálogo Configuración del sistema, seleccione No volver a
mostrar este mensaje y haga clic en Reiniciar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
223
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
224
Detalles
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 51: abra el
navegador predeterminado
y configúrelo para el
análisis de malware.
1 El bloqueador de ventanas emergentes debe estar desactivado. En
Internet Explorer, seleccione Herramientas | Bloqueador de ventanas emergentes
| Desactivar el bloqueador de ventanas emergentes.
En este ejemplo del
procedimiento se usa
Internet Explorer.
2 Seleccione Herramientas | Opciones de Internet y para Página principal escriba
about:blank.
3 Vaya a la ficha Avanzado de Opciones de Internet y localice Seguridad.
4 Seleccione Permitir que el contenido activo se ejecute en los archivos de mi equipo.
5 Haga clic en Aceptar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
225
5
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
Detalles
Paso 52: para analizar
1 Vaya a http://get.adobe.com/flashplayer/otherversions/.
dinámicamente archivos
2 Seleccione el sistema operativo y la versión de Flash Player
Flash (SWF), instale la
versión requerida de Adobe
respectivamente según sus requisitos para el Paso 1 y el Paso 2
Flash.
mostrados en la siguiente imagen.
En este ejemplo del
procedimiento se usa
Flash Player 14.
3 Haga clic en la ficha Descargar ahora.
4 Haga doble clic en el archivo de instalación de Adobe Flash Player
(install_flashplayer xxx.exe), en la esquina inferior de la pantalla.
5 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.
6 En el cuadro de diálogo Control de cuentas de usuario, haga clic en Sí.
226
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Creación de un archivo VMDK para Windows 8
Paso
5
Detalles
7 Seleccione su opción de actualización y haga clic en SIGUIENTE.
8 Haga clic en FINALIZAR para completar la instalación de Adobe Flash
Player.
Paso 53: apague la
máquina virtual.
Paso 54: vaya a la
ubicación que ha
introducido en el paso 8
para encontrar el archivo
VMDK denominado
virtualMachineImage
‑flat.vmdk
McAfee Advanced Threat Defense 3.4.2
Si es necesario, puede cambiar el nombre del archivo VMDK a Windows
8 x64-flat.vmdk o Windows 8 x32-flat.vmdk.
Guía del producto
227
5
Creación de una máquina virtual analizadora
Importación de un archivo VMDK en McAfee Advanced Threat Defense
Importación de un archivo VMDK en McAfee Advanced Threat
Defense
Antes de empezar
•
Tiene a mano el archivo VMDK.
•
El sistema operativo de la máquina virtual está activado y tiene todas las aplicaciones
requeridas (por ejemplo, aplicaciones de Microsoft Office, Adobe PDF Reader, etc.).
•
El nombre del archivo VMDK no contiene espacios. Si hay espacios en el nombre, fallará
la conversión del VMDK a archivo de imagen.
Para crear una máquina virtual analizadora, antes debe importar el correspondiente archivo VMDK en
McAfee Advanced Threat Defense. De forma predeterminada, debe usar SFTP para importar el archivo
VMDK. Para usar FTP, debe activarlo mediante el comando CLI set ftp. Consulte set ftp en la página
363.
Por lo general, la transferencia con FTP es más rápida per menos segura que con SFTP. Si Advanced
Threat Defense Appliance se encuentra en una red sin seguridad (por ejemplo, una red externa),
McAfee recomienda usar SFTP.
Procedimiento
1
Abra un cliente FTP.
Por ejemplo, puede usar WinSCP o FileZilla.
2
3
Conéctese al servidor FTP en McAfee Advanced Threat Defense usando las credenciales citadas a
continuación.
•
Host: dirección IP de McAfee Advanced Threat Defense.
•
Username (Nombre de usuario): atdadmin
•
Password (Contraseña): atdadmin
•
Port (Puerto): el número de puerto correspondiente según el protocolo que utilice.
Cargue el archivo VMDK desde el equipo local a McAfee Advanced Threat Defense.
Convierta el archivo VMDK en un archivo de imagen
Antes de empezar
•
Ha cargado el archivo VMDK a McAfee Advanced Threat Defense.
•
Tiene permisos de administrador en McAfee Advanced Threat Defense.
Procedimiento
228
1
En la aplicación web McAfee Advanced Threat Defense, seleccione Manage (Administrar) | Image
Management (Administración de imágenes).
2
En la página Image Management (Administración de imágenes), seleccione el archivo VMDK que ha
importado desde el menú desplegable VMDK Image (Imagen VMDK).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Convierta el archivo VMDK en un archivo de imagen
3
Especifique un nombre para el archivo de imagen.
El nombre que proporcione debe tener entre 1 y 20 caracteres y no puede contener espacios. Si el
nombre de la imagen contiene un espacio, se producirá un error en la conversión del archivo de
imagen.
Para el análisis de malware, tal vez necesite varias máquinas virtuales analizadoras que se ejecuten
en el mismo sistema operativo pero con aplicaciones diferentes. Por ejemplo, podría necesitar una
máquina virtual analizadora con Windows 7 SP1 que tenga Internet Explorer 10 y otra que tenga
Internet Explorer 11. Si piensa crear varias máquinas virtuales analizadoras con el mismo sistema
operativo, es obligatorio especificar un Image Name (Nombre de imagen). Si piensa crear solo una
máquina virtual analizadora para un sistema operativo específico, indicar el Image Name (Nombre de
imagen) es opcional. Si no especifica un nombre, se asignará un nombre predeterminado al archivo
de imagen, que usa para ver los registros, crear el perfil de máquina virtual, etc.
Los nombres predeterminados de los archivos de imagen son los siguientes:
•
winXPsp2: corresponde a Microsoft Windows XP de 32 bits Service Pack 2
•
winXPsp3: corresponde a Microsoft Windows XP de 32 bits Service Pack 3
•
win7sp1: corresponde a Microsoft Windows 7 de 32 bits Service Pack 1
•
win7x64sp1: corresponde a Microsoft Windows 7 de 64 bits Service Pack 1
•
win2k3sp1: corresponde a Microsoft Windows Server 2003 de 32 bits Service Pack 1
•
win2k3sp2: corresponde a Microsoft Windows Server 2003 de 32 bits Service Pack 2
•
win2k8sp1: corresponde a Microsoft Windows Server 2008 R2 Service Pack 1
•
win8p0x32: corresponde a Microsoft Windows 8 de 32 bits
•
win8p0x64: corresponde a Microsoft Windows 8 de 64 bits
El nombre que especifique se agrega al nombre predeterminado. Supongamos que usa con_PDF
como Image Name (Nombre de imagen) y el sistema operativo es Windows Server 2003 de 32 bits
Service Pack 1. El nombre del archivo de imagen será win2k3sp1_con_PDF.
Si intenta crear varias máquinas virtuales analizadoras con el mismo sistema operativo, se usará el
nombre predeterminado del sistema operativo cada vez que se dé un nombre al archivo de imagen.
Por lo tanto, en lugar de crearse una máquina virtual analizadora nueva con el mismo sistema
operativo, se sobrescribe el mismo archivo de imagen. Es por esto que especificar el Image Name
(Nombre de imagen) es obligatorio cuando se crean varias máquinas virtuales analizadoras con el
mismo sistema operativo.
4
Seleccione el sistema operativo correspondiente en el menú desplegable Operating System (Sistema
operativo).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
229
5
Creación de una máquina virtual analizadora
Convierta el archivo VMDK en un archivo de imagen
5
Haga clic en Convert (Convertir).
El tiempo requerido para completar la conversión depende del tamaño del archivo VMDK. Para un
archivo de 15 GB, un ATD-3000 puede tardar unos cinco minutos.
Figura 5-2 Conversión de VMDK a archivo de imagen
Una vez se complete la conversión, se mostrará un mensaje.
Figura 5-3 Mensaje de confirmación
6
Para ver los registros relativos a la conversión de imágenes, seleccione el nombre de imagen en la
lista Select Log (Seleccionar registro) y haga clic en View (Ver).
Figura 5-4 Seleccione el archivo de imagen para ver los registros
230
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
Si no ha proporcionado el Image Name (Nombre de imagen), se asignará al archivo de imagen el
nombre predeterminado en función del sistema operativo. Si ha especificado un Image Name (Nombre
de imagen), este se agrega al nombre predeterminado.
Figura 5-5 Entradas del registro de conversión de imágenes
Administración de perfiles de máquina virtual
Tras convertir el archivo importado VMDK a un archivo de imagen, ha de crear un perfil de máquina
virtual para ese archivo de imagen.
No puede asociar este perfil de máquina virtual con ningún otro archivo de imagen. De la misma
manera, una vez asociado, no puede cambiar el perfil de máquina virtual para un determinado archivo
de imagen.
Los perfiles de máquina virtual contienen el sistema operativo y las aplicaciones de un archivo de
imagen. Esto le permite identificar las imágenes que quiere cargar a McAfee Advanced Threat Defense
y después usar la imagen apropiada para analizar dinámicamente un archivo. También puede
especificar el número de licencias que posee para el sistema operativo y las aplicaciones. McAfee
Advanced Threat Defense tendrá este dato en cuenta cuando cree máquinas virtuales simultáneas
desde el correspondiente archivo de imagen.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
231
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
Puede usar la aplicación web McAfee Advanced Threat Defense para administrar los perfiles de
máquina virtual.
Figura 5-6 Configuraciones de un perfil de máquina virtual
Ver perfiles de máquina virtual
Puede ver los perfiles de máquina virtual existentes en la aplicación web McAfee Advanced Threat
Defense.
Procedimiento
1
Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual).
Se mostrarán los perfiles disponibles de máquina virtual.
Nombre de la columna Definición
232
Select (Seleccionar)
Seleccione para editar o eliminar el correspondiente perfil de máquina
virtual.
Name (Nombre)
Nombre que ha asignado al perfil de máquina virtual.
Licenses (Licencias)
El número de licencias que posee para el sistema operativo y las
aplicaciones. Este es uno de los factores que determinan el número de
máquinas virtuales analizadoras simultáneas en McAfee Advanced
Threat Defense.
Default (Predeterminado)
Indica si se trata de un perfil de máquina virtual predeterminado.
Size (Tamaño)
El tamaño del archivo de imagen en megabytes.
Hash
El valor de hash MD5 para el archivo de imagen.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
2
Oculte las columnas innecesarias.
a
Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga
clic en la flecha desplegable.
b
Seleccione Columns (Columnas).
c
Seleccione de la lista solo los nombres de columna que desee.
Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada.
3
Para ordenar los registros basados en un determinado nombre de columna, haga clic en su
encabezado.
Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el
cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la
flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending
(Orden descendente).
4
Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga
clic en View (Ver).
Crear perfiles de máquina virtual
Después de convertir el archivo VMDK a formato de imagen, puede empezar a crear la máquina virtual
y el perfil de máquina virtual correspondiente.
Cada archivo de imagen que convierta debe estar asociado con un único perfil de máquina virtual. Es
decir, necesita un archivo de imagen no usado para cada perfil de máquina virtual que quiera crear. No
obstante puede convertir varias veces los mismos archivos de imagen VMDK. Esto significa que podrá
crear múltiples archivos de imagen a partir de un mismo VMDK.
Procedimiento
1
Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual) | New (Nuevo)..
Se muestra la página VM Profile (Perfil de máquina virtual).
Figura 5-7 Selección del archivo de imagen
2
En el menú desplegable Image (Imagen), seleccione aquella para la que desee crear el perfil de
máquina virtual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
233
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
3
Haga clic en Activate (Activar) para crear la máquina virtual a partir del archivo de imagen
seleccionado.
•
Al hacer clic en Activate (Activar), la máquina virtual se abrirá en una ventana emergente. Por
tanto, asegúrese de que el bloqueo de ventanas emergentes de su navegador está desactivado.
•
Esto no está relacionado con la activación de Windows con Microsoft. Debe completar la
activación de Windows antes de importar el archivo VMDK a McAfee Advanced Threat Defense
mediante FTP o SFTP.
Una barra de progreso indica el avance de la creación de la máquina virtual.
Figura 5-8 Progreso de la creación de la máquina virtual
Según la configuración de su navegador, pueden aparecer mensajes de advertencia antes de que
se inicie la máquina virtual.
Figura 5-9 Mensaje de advertencia
Figura 5-10 Mensaje de advertencia
234
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
5
Una vez haga clic en OK en los mensajes de advertencia, se iniciará la máquina virtual.
Figura 5-11 Máquina virtual presentada en una ventana emergente
4
Cuando aparezca la máquina virtual, apáguela de la forma correcta y cierre la ventana emergente.
Figura 5-12 Apagado de máquina virtual
Figura 5-13 Cierre de ventana emergente
McAfee Advanced Threat Defense 3.4.2
Guía del producto
235
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
5
Haga clic en Validate (Validar).
Figura 5-14 Validación del archivo de imagen
McAfee Advanced Threat Defense asegura que la máquina virtual se adapte al hardware de McAfee
Advanced Threat Defense Appliance. También comprueba si el funcionamiento de la máquina es
correcto, configura los datos de red necesarios, comprueba las aplicaciones instaladas, etc. Si todo
funciona bien en la máquina virtual, la validación es satisfactoria.
Haga clic enCheck Status (Comprobar estado) para ver el registro de validación de imagen. Es
imprescindible que la validación sea satisfactoria antes de empezar a crear el perfil de máquina
virtual. Si la validación falla, examine el registro de validación para averiguar el motivo. A
continuación, cree un VMDK con la configuración correcta y repita el proceso de creación de
máquina virtual analizadora.
Figura 5-15 Registro de validación de imagen
6
Introduzca la información adecuada en los respectivos campos para crear el perfil de máquina
virtual para la máquina virtual que ha creado previamente.
Tabla 5-4 Definiciones de las opciones
236
Nombre de la
opción
Definición
Name (Nombre)
El nombre del archivo de imagen se mostrará automáticamente como
nombre del perfil de la máquina virtual. No podrá modificarlo.
Description
(Descripción)
Opcionalmente, puede introducir una descripción detallada del perfil de
máquina virtual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
Tabla 5-4 Definiciones de las opciones (continuación)
Nombre de la
opción
Definición
Default Profile (Perfil
predeterminado)
La primera vez, deberá seleccionarlo para hacer que sea el perfil de
máquina predeterminado; posteriormente, podrá seleccionarlo o ignorarlo.
Para un archivo, si el entorno del host de destino o la máquina virtual
analizadora requerida no están disponibles, McAfee Advanced Threat
Defense usa esta máquina virtual para analizar dinámicamente el archivo.
Maximum Licenses
(Licencias máximas)
Introduzca el número de licencias simultáneas de usuario que posee. Debe
tener en cuenta el sistema operativo, así como las aplicaciones en el
archivo de imagen. Tenga en cuenta que el archivo de imagen es una
máquina Windows 7 con Microsoft Office instalado. Tiene tres licencias
simultáneas para Windows 7 y dos para Microsoft Office. En este caso,
debe introducir 2 como el número máximo de licencias.
Es uno de los factores que determinan el número de máquinas virtuales
analizadoras simultáneas que McAfee Advanced Threat Defense crea desde
el archivo de imagen.
El número máximo de máquina virtuales analizadoras admitido en
ATD-3000 es 30; en ATD-6000 el máximo es 60. Es decir, el valor
acumulativo de Maximum Licenses (Licencias máximas) en todos los perfiles
de máquina virtual no debe exceder 30 para ATD-3000 o 60 para
ATD-6000, incluidas las maquinas virtuales analizadoras Android
predeterminadas. Por lo tanto, puede tener 29 licencias para máquinas
virtuales analizadoras Windows en ATD-3000 y 59 en ATD-6000.
El máximo de máquinas virtuales analizadoras que puede cargar a un
McAfee Advanced Threat Defense Appliance depende del tipo de sistema
operativo Windows, así como del tipo de Appliance.
• Windows Server 2008, Windows Server 2003 SP1/SP2, Windows 7 SP1
de 64 bits y Windows 7 SP1 de 32 bits: hasta 20 máquinas virtuales
analizadoras en ATD-3000 y 40 en ATD-6000.
• Windows XP SP2/SP3: hasta 30 máquinas virtuales analizadoras en
ATD-3000 y 60 en ATD-6000.
Save (Guardar)
Crea el registro de perfil de máquina virtual con la información que ha
proporcionado.
Cuando haga clic en Save (Guardar), la creación de la máquina virtual
empezará en segundo plano, ejecutándose como un daemon, y el perfil de
máquina virtual aparecerá en la página de perfil de máquina virtual.
Incluso si el perfil de máquina virtual recién creado aparece en la página
VM Profile (Perfil de máquina virtual), pueden pasar 10 o 15 minutos antes
de que la máquina virtual analizadora y el perfil de máquina virtual estén
listos para su uso.
Cancel (Cancelar)
7
Cierra la página VM Profile (Perfil de máquina virtual) sin guardar los
cambios.
Supervise el progreso de creación de la máquina virtual.
Aparece un mensaje sobre la creación de la máquina virtual.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
237
5
Creación de una máquina virtual analizadora
Administración de perfiles de máquina virtual
Para supervisar el progreso puede utilizar uno de estos métodos:
•
Seleccione Dashboard (Panel) y examine el monitor VM Creation Status (Estado de creación de
máquina virtual).
•
Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual) para ver el estado con relación al perfil
de máquina virtual correspondiente.
Para ver los registros de sistema relacionados con la creación de máquinas virtuales, seleccione
Manage (Administrar) | System Log (Registro del sistema)
8
Para confirmar la creación correcta del perfil de máquina virtual, seleccione Policy (Directiva) | Analyzer
Profile (Perfil de analizador) y compruebe que el perfil de máquina virtual que ha creado aparece listado
en el menú desplegable VM Profile (Perfil de máquina virtual).
Editar perfiles de máquina virtual
Antes de empezar
Para editar un perfil de máquina virtual, debe haberla creado o tener la función de
usuario-administrador.
238
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Creación de una máquina virtual analizadora
Ver el registro de creación de máquina virtual
5
Procedimiento
1
Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual).
Se mostrarán los perfiles disponibles de máquina virtual.
2
Seleccione el registro deseado y haga clic en Edit (Editar).
Se muestra la página VM Profile (Perfil de máquina virtual).
3
Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar).
Eliminación de perfiles de máquina virtual
Antes de empezar
•
Para eliminar el perfil de una máquina virtual, debe haberla creado o tener función de
usuario-administrador.
•
Asegúrese de que el perfil de máquina virtual que quiere eliminar no está especificado
en los perfiles de analizador.
Procedimiento
1
Seleccione Policy (Directiva) | VM Profile (Perfil de máquina virtual).
Se mostrarán los perfiles de máquina virtual disponibles actualmente.
2
Seleccione el registro deseado y haga clic en Delete (Eliminar).
3
Haga clic en Yes (Sí) para confirmar la eliminación.
Ver el registro de creación de máquina virtual
Cuando crea un perfil de máquina virtual mediante la página VM Profile (Perfil de máquina virtual),
McAfee Advanced Threat Defense crea una máquina virtual analizadora a partir del archivo de imagen
que ha seleccionado en el registro de perfil de máquina virtual. Simultáneamente, muestra los
registros relacionados, que puede ver en la aplicación web McAfee Advanced Threat Defense. A través
de estas entradas del registro puede ver qué está sucediendo mientras se crea la máquina virtual
analizadora. Puede utilizar esta información para ayudarle a solucionar problemas.
Procedimiento
•
Después de hacer clic en Save (Guardar) en le página VM Profile (Perfil de máquina virtual), seleccione
Manage (Administrar) | VM Creation Log (Registro de creación de máquina virtual) para ver las entradas del registro.
No puede imprimir o exportar las entradas del registro.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
239
5
Creación de una máquina virtual analizadora
Ver el registro de creación de máquina virtual
240
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced
Threat Defense para análisis de malware
Tras instalar McAfee Advanced Threat Defense Appliance en su red, puede configurarlo para analizar
malware. Para ello, puede usar la aplicación web McAfee Advanced Threat Defense. Debe tener al
menos la función de acceso web para configurar el análisis de malware.
Esta sección le ofrece una introducción a la terminología relacionada y explica los procedimientos
necesarios para configurar McAfee Advanced Threat Defense para analizar malware.
Contenido
Terminología
Pasos de alto nivel para configurar el análisis de malware
¿Cómo analiza el malware McAfee Advanced Threat Defense?
Administrar perfiles de analizador
Integración con McAfee ePO
Integración con Data Exchange Layer
Integración con McAfee Next Generation Firewall
Especificar servidor proxy para conectividad de Internet
Configuración del parámetro Syslog
Configuración de DNS
Configuración de los ajustes de fecha y hora
Defina reglas YARA personalizadas para identificar malware
Terminología
Familiarizarse con la siguiente terminología le facilitará el análisis de malware con McAfee Advanced
Threat Defense.
•
Análisis estático: cuando McAfee Advanced Threat Defense recibe un archivo compatible para análisis,
primero realiza un análisis estático. El objetivo es comprobar en el menor tiempo posible si se trata
de un malware conocido, y también ahorrar recursos de McAfee Advanced Threat Defense para el
McAfee Advanced Threat Defense 3.4.2
Guía del producto
241
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Terminología
análisis dinámico. Para el análisis estático, McAfee Advanced Threat Defense usa los siguientes
recursos:
La secuencia del análisis estático es la siguiente.
1. Lista blanca local > 2. Lista negra local >3. McAfee GTI / McAfee Gateway
Anti-Malware Engine / McAfee Anti-Malware Engine (estos tres recursos e procesan
conjuntamente).
•
Lista blanca local: es la lista de valores hash de MD5 de los archivos de confianza, que no es
necesario analizar. Esta lista blanca se basa en la base de datos de McAfee® Application Control
que emplean otras soluciones en la suite McAfee. Tiene más de 230 millones de entradas.
La lista blanca está activada de forma predeterminada. Para desactivarla, use el comando
setwhitelist. Existen comandos capaces de administrar las entradas en la lista blanca. La
base de datos estática de McAfee® Application Control no puede modificarse. Sin embargo,
puede agregar o eliminar entradas basándose en el valor hash del archivo. También puede
realizar consulta a la lista blanca mediante el valor de hash de un determinado archivo, para
comprobar si se ha agregado a la base de datos.
Las entradas de la oliste blanca predeterminada no se actualizan periódicamente. Sin embargo,
puede que se actualicen al ampliar el software McAfee Advanced Threat Defense.
Los productos de McAfee que envían archivos a McAfee Advanced Threat Defense tienen la
capacidad de agregar a la lista blanca de manera personalizada. Esto incluye a McAfee Web
Gateway y McAfee Network Security Platform
Consulte whitelist en la página 372 para ver los comandos.
•
Lista negra local: es la lista de los valores hash de MD5 de los archivos de malware conocidos
almacenados en la base de datos de McAfee Advanced Threat Defense. Cuando McAfee
Advanced Threat Defense detecta un malware a través de su motor heurístico Gateway
Anti-Malware Engine de McAfee, o mediante análisis dinámico, actualiza esta lista negra local
con el valor de hash de MD5 del archivo. Un determinado archivo se agrega a esta lista
automáticamente solo cuando su calificación de gravedad de malware (determinada por McAfee
Advanced Threat Defense) sea media, alta o muy alta. Existen comandos para administrar las
entradas a la lista negra.
Consulte Lista negra en la página 349.
•
McAfee GTI: este es un motor global de correlación de amenazas, así como una base de
inteligencia global sobre comportamiento de comunicación y mensajería, que permite proteger a
los usuarios contra amenazas electrónicas tanto conocidas como emergentes, en todas las áreas
susceptibles. El comportamiento de comunicación incluye la reputación, el volumen y los
patrones de tráfico de red. McAfee Advanced Threat Defense usa tanto la función de reputación
de la IP como la función de reputación de archivos de GTI.
Para que las consultas de reputación de archivos funcionen correctam,ente, asegúrese de que
McAfee Advanced Threat Defense puede comunicarse con tunnel.message.trustedsource.org
a través de HTTPS (TCP/443). McAfee Advanced Threat Defense recupera las actualizaciones de
URL de List.smartfilter.com a través de HTTP (TCP/80).
242
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Terminología
•
Gateway Anti-Malware: el motor Gateway Anti-Malware Engine de McAfee analiza en tiempo real el
comportamiento de los sitios web, el código de sitio web y los contenidos de la Web 2.0
descargados, para detectar y bloquear preventivamente los ataques web maliciosos. Protege a
las empresas de los ataques combinados modernos, incluidos virus, gusanos, adwarare,
spyware, y otras amenazas de crimeware, sin tener que fiarse de las firmas de virus.
El motor Gateway Anti-Malware Engine de McAfee está integrado en McAfee Advanced Threat
Defense para proporcionarle detección de malware en tiempo real.
•
Anti-Malware : el motor Anti-Malware Engine de McAfee está integrado en McAfee Advanced Threat
Defense. El DAT se actualiza manual o automáticamente, basándose en la conectividad de red
de McAfee Advanced Threat Defense.
El análisis estático también implica el análisis a través de la ingeniería inversa del código
malicioso. Esto incluye analizar todas las instrucciones y propiedades para identificar los
comportamientos previstos, que podrían no aparecer inmediatamente. Esto también
proporciona información de clasificación de malware detallada, amplía la cobertura de seguridad
y puede identificar malware asociado que aprovecha la reutilización de código.
De forma predeterminada, McAfee Advanced Threat Defense descarga las actualizaciones para
McAfee Gateway Anti-Malware Engine y McAfee Anti-Malware Engine cada 90 minutos. Para
actualizar inmediatamente, use el comando CLI update_avdat en la página 371. Para que estas
actualizaciones funcionen correctamente, asegúrese de que McAfee Advanced Threat Defense pueda
contactar con wpm.webwasher.com a través de HTTPS (TCP/443).
•
Análisis dinámico: en este caso, McAfee Advanced Threat Defense ejecuta el archivo en una máquina
virtual segura y supervisar su comportamiento para comprobar si es malicioso. Al finalizar el
análisis, proporciona un informe detallado tal y como lo pida el usuario. McAfee Advanced Threat
Defense realiza el análisis dinámico una vez completado el análisis estático. De forma
predeterminada, si el análisis estático identifica el malware, McAfee Advanced Threat Defense no
realizará un análisis dinámico. Sin embargo, puede configurar McAfee Advanced Threat Defense
para que realice un análisis dinámico sin importar el resultado del análisis estático. También puede
configurarlo para que realice análisis dinámico sin análisis estático previo. El análisis dinámico
incluye también la función de listado de elementos resultantes del desensamblaje de McAfee
Advanced Threat Defense. Esta función genera el código de desensamblaje de los archivos
ejecutables portátiles para que se pueda analizar la muestra en profundidad.
•
Máquina virtual analizadora: es la máquina virtual del McAfee Advanced Threat Defense que se usa para
el análisis dinámico. Para crear las máquinas virtuales analizadoras, necesita crear el archivo VMDK
con el sistema operativo y aplicaciones requeridos. A continuación, use SFTP para importar este
archivo en McAfee Advanced Threat Defense Appliance.
Solo los siguientes sistemas operativos son compatibles para crear las máquinas virtuales
analizadoras:
•
Microsoft Windows XP de 32 bits Service Pack 2
•
Microsoft Windows XP de 32 bits Service Pack 3
•
Microsoft Windows Server 2003 de 32 bits Service Pack 1
•
Microsoft Windows Server 2003 de 32 bits Service Pack 2
•
Microsoft Windows Server 2008 R2 Service Pack 1
•
Microsoft Windows 7 de 32 bits Service Pack 1
•
Microsoft Windows 7 de 64 bits Service Pack 1
•
Microsoft Windows 8.0 Pro de 32 bits
McAfee Advanced Threat Defense 3.4.2
Guía del producto
243
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Terminología
•
Microsoft Windows 8.0 Pro de 64 bits
•
Android 2.3 de forma predeterminada. Puede ampliarlo a Android 4.3. Consulte Ampliar la
máquina virtual analizadora de Android en la página 55.
Todos los sistemas operativos Windows anteriores pueden estar en inglés, chino simplificado,
japonés, alemán o italiano.
La única máquina virtual analizadora preinstalada es la máquina virtual Android.
Para Windows, deberá crear las máquinas virtuales analizadoras. También puede crear distintas
máquinas virtuales para que se adapten a sus necesidades. El número de máquinas virtuales
analizadoras que puede crear está limitado únicamente por el espacio en disco de McAfee Advanced
Threat Defense Appliance. Sin embargo, sí hay un límite al número de máquinas virtuales que
pueden usarse simultáneamente en el análisis. El número de licencias simultáneas que especifique
también afecta al número de instancias de máquinas virtuales analizadoras que podrá usar.
•
Perfil de máquina virtual: una vez cargue la imagen de la máquina virtual (el archivo .vmdk) en McAfee
Advanced Threat Defense, asociará cada una de ellas a un perfil distinto de máquina virtual. Un
perfil de máquina virtual indica qué hay instalado en la imagen de máquina virtual y el número de
licencias simultáneas asociadas a esa imagen de máquina virtual. Al usar la imagen de máquina
virtual y la información del perfil de máquina virtual, McAfee Advanced Threat Defense crea el
número correspondiente de máquinas virtuales analizadoras. Por ejemplo, si especifica que posee
10 licencias para Windows XP SP2 de 32 bits, entonces McAfee Advanced Threat Defense entiende
que puede crear hasta 10 máquinas virtuales simultáneas a partir del correspondiente
archivo .vmdk.
•
Perfil de analizador: define como analizar un archivo y qué incluir en el informe. En un perfil de
analizador, puede configurar lo siguiente:
•
El perfil de máquina virtual
•
Opciones de análisis
•
Los informes que desee ver tras el análisis
•
Contraseña para los archivos de muestra comprimidos
•
Tiempo mínimo y máximo de ejecución para el análisis dinámico
Puede crear múltiples perfiles de analizador según sus necesidades. Para cada usuario de McAfee
Advanced Threat Defense debe especificar un perfil analizador predeterminado. Este es el perfil de
analizador que se usa para todos los archivos cargados por el usuario. Los usuarios que usen la
aplicación web McAfee Advanced Threat Defense para enviar manualmente archivos a analizar
pueden elegir un perfil de analizador distinto en el momento de cargar el archivo. El perfil de
analizador seleccionado para un archivo en concreto siempre tiene precedencia sobre el perfil
predeterminado del usuario.
244
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Pasos de alto nivel para configurar el análisis de malware
Para analizar dinámicamente un archivo, el usuario correspondiente debe tener especificado el
perfil de la máquina virtual en el perfil de analizador del usuario. Así es como el usuario indica el
entorno en el que McAfee Advanced Threat Defense debe ejecutar el archivo. También puede
especificar un perfil de máquina virtual predeterminado para Windows de 32 y de 64 bits.
•
User (Usuario): un usuario de McAfee Advanced Threat Defense es aquel que tiene los permisos
necesarios para enviar archivos a McAfee Advanced Threat Defense para su análisis y ver los
resultados. En caso de envío manual, el usuario puede usar la aplicación web McAfee Advanced
Threat Defense o un cliente de FTP. En caso de envío automático, puede integrar productos McAfee
tales como McAfee Network Security Platform o McAfee Web Gateway con McAfee Advanced Threat
Defense. En tal caso, cuando estos productos detecten una descarga de archivos, enviarán
automáticamente el archivo a McAfee Advanced Threat Defense antes de permitir que la descarga
se complete. Por tanto, los perfiles de usuario predeterminados para estos productos están
disponibles en McAfee Advanced Threat Defense.
Puede definir un perfil de analizador para cada usuario, que a su vez puede contener perfiles de
máquina virtual. Si usa McAfee Advanced Threat Defense para enviar archivos a analizar, puede
omitir este perfil predeterminado en el momento del envío. Para otros usuarios, McAfee Advanced
Threat Defense usa los perfiles predeterminados.
Pasos de alto nivel para configurar el análisis de malware
Este sección proporciona los pasos de alto nivel para configurar McAfee Advanced Threat Defense para
el análisis de malware y la generación de informes:
Figura 6-1 Resumen de pasos para configurar el análisis de malware
1
Configure McAfee Advanced Threat Defense Appliance y compruebe que funciona correctamente.
•
Según su opción de despliegue, compruebe que McAfee Advanced Threat Defense Appliance
dispone de las conexiones de red necesarias. Por ejemplo, si lo integra con Network Security
Platform, asegúrese de que Sensor, Manager y McAfee Advanced Threat Defense Appliance
pueden comunicarse entre sí.
•
Asegúrese de que los módulos de análisis estático (tales como el motor Gateway Anti-Malware
Engine de McAfee) están actualizados.
2
Crear la máquina virtual analizadora y los perfiles de máquina virtual. Consulte Creación de una
máquina virtual analizadora en la página 4.
3
Cree los perfiles de analizador que necesite. Consulte Administrar perfiles de analizador en la
página 249.
4
Si desea que McAfee Advanced Threat Defense cargue los resultados a un servidor FTP, configúrelo
y asegúrese de tener todos los detalles que necesite antes de crear los perfiles para los usuarios
correspondientes.
5
Cree los perfiles de usuario requeridos. Consulte Agregar usuarios en la página 40.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
245
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
¿Cómo analiza el malware McAfee Advanced Threat Defense?
6
Inicie sesión en la aplicación web de McAfee Advanced Threat Defense usando las credenciales de
un usuario que ya haya creado y cargue un archivo de muestra para su análisis. Esto es para
comprobar que ha configurado correctamente McAfee Advanced Threat Defense. Consulte Cargue
archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense en la página
280.
7
En la página Analysis Status (Estado del análisis), supervise el estado del análisis. Consulte Configurar
la página Analysis Status (Estado de análisis) en la página 290
8
Una vez acabado el análisis, consulte el informe en la página Analysis Results (Resultados del
análisis). Consulte Ver los resultados del análisis en la página 294.
¿Cómo analiza el malware McAfee Advanced Threat Defense?
Esta sección explica el flujo de trabajo típico de McAfee Advanced Threat Defense al analizar archivos
en busca de malware.
Supongamos que ha cargado un archivo manualmente mediante la aplicación web McAfee Advanced
Threat Defense:
1
Suponiendo que el formato de archivo es compatible, McAfee Advanced Threat Defense
descomprime el archivo y calcula el valor de hash del MD5.
2
McAfee Advanced Threat Defense aplica el perfil de analizador que haya especificado al cargar el
archivo.
3
Basándose en la configuración del perfil de analizador, determina los módulos a usar para el
análisis estático y analiza el archivo mediante esos módulos.
4
Si durante el análisis estático el archivo resulta ser malicioso, McAfee Advanced Threat Defense
detiene el análisis y genera los informes requeridos. Sin embargo, esto depende de cómo haya
configurado el perfil de analizador.
5
Si el análisis estático no encuentra malware, o si ha configurado McAfee Advanced Threat Defense
para que realice análisis dinámicos sea cual sea el resultado del análisis estático, McAfee Advanced
Threat Defense inicia el análisis dinámico del archivo.
6
A continuación ejecuta el archivo en la correspondiente máquina virtual analizadora y registra cada
uno de sus comportamientos. La máquina virtual analizadora se determina basándose en el perfil
de la máquina virtual en el perfil de analizador.
7
Si el archivo se ha ejecutado completamente, o si el periodo máximo de ejecución se ha agotado,
McAfee Advanced Threat Defense prepara los informes requeridos.
8
Tras finalizar el análisis dinámico, devolverá la máquina virtual analizadora a su versión de base
para que pueda usarla para analizar el siguiente archivo de la cola.
Acceso por Internet a archivos de muestra
Cuando se analiza de forma dinámica, una muestra podría acceder a un recurso en Internet. Por
ejemplo, podría intentar descargar código malicioso adicional o cargar información recopilada en el
equipo host (en este caso, la máquina virtual analizadora). Puede configurar McAfee Advanced Threat
Defense para que proporcione servicios de red a máquinas virtuales analizadoras, para poder analizar
actividades de red de un archivo de muestra.
246
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
¿Cómo analiza el malware McAfee Advanced Threat Defense?
Con acceso a Internet para las muestras, McAfee Advanced Threat Defense puede analizar el
comportamiento de red de una muestra y determinar el impacto de los archivos adicionales
descargados de Internet. Algunos tipos de malware podrían intentar determinar si están siendo
ejecutados en un recinto aislado solicitando acceso a Internet para luego alterar su comportamiento
según proceda.
Cuando se crea una máquina virtual analizadora, McAfee Advanced Threat Defense se asegura de que
esta tenga las configuraciones requeridas para la comunicación en una red cuando sea necesario.
El permiso de acceso a red real para una máquina virtual analizadora se puede controlar mediante un
parámetro en los perfiles de analizador. Se suministran servicios de red sea cual sea el método usado
para enviar la muestra. Por ejemplo, se suministran a muestras enviadas manualmente usando la
aplicación web McAfee Advanced Threat Defense y también a muestras enviadas por los productos
integrados.
A continuación se detalla el flujo de proceso de alto nivel cuando una muestra accede a un recurso en
Internet.
1
Una muestra intenta acceder a un recurso en Internet.
2
McAfee Advanced Threat Defense comprueba si la conectividad a Internet está activada en el perfil
de analizador correspondiente usado para este análisis.
3
Dependiendo de si la conectividad a Internet está activada o no, McAfee Advanced Threat Defense
determina el modo en que se suministran los servicios de red.
•
Modo simulador: se usa si la conectividad a Internet no está activada en el perfil de analizador.
McAfee Advanced Threat Defense se puede representar a sí mismo como recurso objetivo. Por
ejemplo, si la muestra intenta descargar un archivo a través de FTP, McAfee Advanced Threat
Defense simula esta conexión para la máquina virtual analizadora.
•
Modo de Internet real: este modo requiere acceso a Internet para el puerto de administración
(eth-0), eth-1, eth-2 o eth-3. Si la conectividad a Internet está activada en el perfil de
analizador, McAfee Advanced Threat Defense usa este modo. McAfee Advanced Threat Defense
proporciona conexión a Internet real a través del puerto de administración de forma
predeterminada, con enrutamiento público o dirigido hacia el firewall de la empresa, según la
configuración de red vigente. Debido a que el tráfico de una máquina virtual analizadora podría
ser malicioso, es posible que desee segregar este tráfico de la red de producción. En este caso,
puede usar los puertos eth-1, eth-2 o eth-3 de McAfee Advanced Threat Defense para
proporcionar acceso a Internet a la máquina virtual analizadora.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
247
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
¿Cómo analiza el malware McAfee Advanced Threat Defense?
4
Sea cual sea el modo usado, McAfee Advanced Threat Defense registra todas las actividades de
red. Pero los tipos de informes generados pueden variar según el modo.
•
Las actividades de red se presentan en el informe de resumen. Encontrará las consultas de DNS
y las actividades de socket bajo las operaciones de red. Todas las actividades de red se
encuentran en la sección Network Simulator (Simulador de red) del informe.
•
El informe dns.log también contiene las consultas DNS realizadas por la muestra.
•
La captura de paquete de las actividades de red se encuentra en la carpeta NetLog, dentro del
archivo Complete Results zip.
Figura 6-2 Acceso por Internet a archivos de muestra - flujo de proceso
Recordemos que McAfee Advanced Threat Defense usa su puerto de administración (eth-0) de forma
predeterminada para permitir el acceso a Internet para muestras. También puede configurar otro
puerto para ese propósito.
Para activar otro puerto Ethernet para acceso de malware a red, siga el procedimiento detallado a
continuación:
248
1
Inicie sesión en la CLI de McAfee Advanced Threat Defense y active el puerto requerido. Por
ejemplo, set intfport 1 enable para activar el puerto eth-1.
2
Establezca la dirección IP y la máscara de subred para el puerto. Por ejemplo, set intfport 1
10.10.10.10 255.255.255.0
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense para análisis de malware
Administrar perfiles de analizador
6
3
Para el puerto Ethernet, establezca la gateway por la que enrutar el acceso a Internet. Por ejemplo,
set malware-intfport 1 gateway 10.10.10.252
4
Ejecute el comando show intfport <port number> para que el puerto compruebe si está
configurado para acceso de malware a Internet. Por ejemplo, show intfport 1. Verifique las
entradas Malware Interface Port (Puerto de interfaz de malware) y Malware Gateway (Gateway
de malware).
•
Para volver a usar al puerto de administración (eth-0) para acceso de malware a Internet, ejecute
set malware-intfport mgmt en la CLI. McAfee Advanced Threat Defense usa su IP de puerto de
administración y la gateway predeterminada correspondiente para proporcionar acceso a Internet.
•
Supongamos que ha configurado eth-1 para acceso de malware a Internet pero no quiere usar
eth-2. En ese caso debe seguir el procedimiento detallado anteriormente para eth-2. Eth-2 está
establecido como puerto para acceso de malware a Internet.
•
Supongamos que ha configurado eth-1 para acceso a Internet pero ahora quiere usar dicho puerto
con otra gateway o dirección de IP. En ese caso, repita el procedimiento pero use la nueva gateway
o dirección IP.
•
El comandoroute add network es para tráfico general de Advanced Threat Defense. Mientras que
set malware-intfport es para tráfico de Internet procedente de una máquina virtual analizadora.
Por lo tanto, los comandos route add network y set malware-intfport no se afectan
mutuamente.
Administrar perfiles de analizador
Cuando un archivo se envía automática o manualmente a McAfee Advanced Threat Defense para su
análisis, se usa el perfil de analizador correspondiente para determinar cómo debe analizarse el
archivo y de qué debe informarse en los resultados del análisis. Debe especificar el perfil de máquina
virtual en el perfil de analizador. También debe definir cómo debe analizarse el archivo en busca de
malware y los informes que deben publicarse. Por tanto, un perfil de analizador contiene la
configuración de usuario completa sobre la manera de analizar un archivo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
249
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Administrar perfiles de analizador
Puede usar la aplicación web McAfee Advanced Threat Defense para administrar perfiles de analizador.
Figura 6-3 Contenido de un perfil de analizador
Ver perfiles de analizador
Dependiendo de su función de usuario, podrá ver los perfiles de analizador existentes en la aplicación
web McAfee Advanced Threat Defense.
Procedimiento
1
Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador).
Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de
administrador, podrá ver todos los perfiles de analizador de la base de datos.
2
Nombre de la columna
Definición
Select (Seleccionar)
Seleccione para editar o eliminar el correspondiente perfil
de analizador.
Name (Nombre)
Nombre que ha asignado al perfil de analizador.
Description (Descripción)
La descripción de la características del perfil de analizador.
OS Name (Nombre de sistema
operativo)
Corresponde al nombre del perfil de máquina virtual
especificado en el perfil de analizador.
Automatically Select OS (Seleccionar
sistema operativo automáticamente)
Indica si ha seleccionado la opción Automatically Select OS en el
perfil de analizador.
Oculte las columnas innecesarias.
a
Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga
clic en la flecha desplegable.
b
Seleccione Columns (Columnas).
c
Seleccione de la lista solo los nombres de columna que desee.
Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada.
3
Para ordenar los registros basados en un determinado nombre de columna, haga clic en su
encabezado.
Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el
cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la
flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending
(Orden descendente).
4
250
Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga
clic en View (Ver).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense para análisis de malware
Administrar perfiles de analizador
6
Crear perfiles de analizador
Antes de empezar
•
Si desea seleccionar la opción de análisis dinámico en el perfil del analizador, asegúrese
de que ha creado previamente el perfil de máquina virtual. También necesitará un perfil
de máquina virtual para usar la opción Automatically Select OS (Seleccionar sistema
operativo automáticamente).
•
Si desea activar el acceso a Internet para las muestras, necesita privilegios de
administrador.
Procedimiento
1
Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador) | New (Nuevo).
Se muestra la página Analyzer Profile (Perfil de analizador).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
251
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Administrar perfiles de analizador
2
Introduzca la información adecuada en los respectivos campos.
Nombre de la opción
Definición
Nombre
Introduzca el nombre del perfil de analizador. Este debería permitirle
identificar fácilmente las características del perfil de analizador.
Description (Descripción)
Opcionalmente, puede introducir una descripción detallada del perfil
de analizador.
VM Profile (Perfil de
máquina virtual)
Seleccione el perfil de máquina virtual que McAfee Advanced Threat
Defense debe usar para analizar dinámicamente un archivo.
Automatically Select OS
(Seleccionar sistema
operativo
automáticamente)
Si desea que McAfee Advanced Threat Defense seleccione
automáticamente el perfil de máquina virtual para Windows de 32 bits
y Windows de 64 bits, seleccione Enable (Activar) y después seleccione
los perfiles de máquina virtual desde Windows 32-bit VM Profile (Perfil de
máquina virtual de Windows de 32 bits) y Windows 64-bit VM Profile (Perfil
de máquina virtual de Windows de 64 bits).
Supongamos que ha seleccionado Android como VM Profile (Perfil de
máquina virtual). Ha activado la opción Automatically Select OS
(Seleccionar sistema operativo automáticamente). Para Windows 32-bit
VM Profile (Perfil de máquina virtual de Windows de 32 bits), ha
seleccionado Windows XP SP3 y para Windows 64-bit VM Profile (Perfil de
máquina virtual de Windows de 64 bits), Windows 7 SP1 de 64 bits.
Ahora, cuando se detecte un archivo .apk, se usará la máquina virtual
analizadora de Android para analizar el archivo dinámicamente. De
igual modo, se usará Windows XP SP3 para archivos PE32. Para
archivos PE64, se usará la máquina virtual analizadora Windows 7 SP1
de 64 bits.
Si McAfee Advanced Threat Defense no puede determinar el sistema
operativo para este perfil analizador o si la máquina virtual
analizadora determinada no está disponible, usará la máquina virtual
mencionada en el campo VM Profile (Perfil de máquina virtual).
Archive Password
(Contraseña del archivo)
Introduzca la contraseña de McAfee Advanced Threat Defense para
descomprimir una muestra de malware protegida por contraseña.
Confirmar contraseña
Vuelva a escribirla para confirmarla.
Minimum Run Time (sec)
(Tiempo mínimo de
ejecución en segundos)
Especifique el tiempo mínimo de duración durante el cual McAfee
Advanced Threat Defense debe analizar dinámicamente la muestra. El
valor predeterminado son 5 segundos. El máximo permitido son 600
segundos. Si el archivo deja de ejecutarse antes de este periodo de
tiempo, el análisis dinámico se detiene.
Maximum Run Time (sec)
(Tiempo máximo de
ejecución en segundos)
Especifica el tiempo máximo durante el cual McAfee Advanced Threat
Defense debe analizar dinámicamente la muestra. El valor
predeterminado son 180 segundos. El máximo permitido son 600
segundos. Si el archivo no deja de ejecutarse antes de que transcurra
este tiempo, el análisis dinámico se detendrá.
Analysis Summary (Resumen
del análisis)
Seleccione para incluir el informe de Resumen de análisis en los
resultados del análisis. Consulte Ver el informe Analysis Summary
(Resumen del análisis) en la página 296.
Packet captures (Capturas de Seleccione la captura de los paquetes de red si el archivo intenta
comunicarse durante el análisis dinámico. El archivo pcap se incluye
paquetes)
en el archivo ZIP Complete Results (Resultados completos).
Dropped Files (Archivos
depositados)
252
Seleccione para generar el informe Files Created in Sandbox (Archivos
creados en el recinto aislado). Consulte Informe Dropped Files
(Archivos depositados) en la página 303.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Administrar perfiles de analizador
Nombre de la opción
Definición
Disassembly Results
(Resultados de
desensamblaje)
Seleccione si desea que McAfee Advanced Threat Defense genere el
código de desensamblaje de los archivos ejecutables portátiles.
Consulte Disassembly Results (Resultados de desensamblaje) en la
página 303.
Logic Path Graph (Gráfico de
ruta lógica)
Seleccione esta opción para generar el informe de gráfico de ruta
lógica. Consulte Logic Path Graph (Gráfico de ruta lógica) en la página
304.
User API Log (Registro de
las API de usuario)
Este informe detalla las llamadas realizadas por el malware a las API
DLL de nivel de usuario de Windows durante el análisis dinámico.
Consulte User API Log (Registro de las API de usuario) en la página
309.
Local Black List (Lista negra
local)
Seleccione si desea que McAfee Advanced Threat Defense compruebe
el valor de hash de MD5 con los valores de hash de los MD5 en la lista
negra de la base de datos local.
Anti-Malware (Antimalware)
Seleccione si desea que McAfee Advanced Threat Defense analice el
archivo mediante el motor McAfee Anti-Malware Engine.
GTI File Reputation
(Reputación de los
archivos GTI)
Seleccione si desea que McAfee Advanced Threat Defense compruebe
el valor hash MD5 del archivo con McAfee GTI. Asegúrese de que
McAfee Advanced Threat Defense puede comunicarse con McAfee GTI,
que está en la nube.
Gateway Anti-Malware
(Gateway Antimalware)
Seleccione si desea que McAfee Advanced Threat Defense analice el
archivo mediante el motor McAfee Gateway Anti-Malware Engine.
Sandbox (Recinto aislado)
Seleccione si desea que el archivo se analice dinámicamente. Un
archivo no se analizará dinámicamente si alguno de los métodos
estáticos lo clasifica como malware o un elemento de la lista blanca.
Si, a pesar de los resultados del análisis estático, desea analizar
dinámicamente el archivo, seleccione tambiénRun All Selected (Ejecutar
todos los seleccionados).
Asegúrese de que ha seleccionado el perfil de máquina virtual y los
Runtime Parameters (Parámetros de ejecución).
Run All Selected (Ejecutar
todos los seleccionados)
Seleccione si desea que McAfee Advanced Threat Defense analice el
archivo usando todas las opciones de análisis seleccionadas,
independientemente de los resultados de cada método específico.
Enable Malware Internet Access
(Activar acceso de
malware a Internet)
Seleccione esta opción para proporcionar acceso a Internet a las
muestras cuando intenten acceder a un recurso en Internet.
Para activar esta opción, debe estar activada la opción Sandbox
(Recinto aislado) de Analyzer Options (Opciones de analizador).
Además, debe tener privilegios de administrador para seleccionar o
anular la selección de Enable Malware Internet Access (Activar acceso de
malware a Internet).
Ya que la muestra analizada podría ser un malware, seleccionar la
opción Enable Malware Internet Access (Activar acceso de malware a
Internet) conlleva el riesgo de que el tráfico malicioso se propague
fuera de su red. Se muestra un mensaje de renuncia de
responsabilidad al seleccionar esta opción, y debe hacer clic en OK
(Aceptar) para continuar. Los administradores también pueden
establecer la configuración de proxy para malware si hubiera un
servidor proxy en su red.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
253
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Integración con McAfee ePO
Nombre de la opción
Definición
Save (Guardar)
Crea el registro de perfil de analizador con la información que ha
proporcionado.
Cancel (Cancelar)
Cierra la página Analyzer Profile (Perfil de analizador) sin guardar los
cambios.
Editar perfiles de analizador
Procedimiento
1
Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador).
Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de
administrador, podrá ver todos los perfiles de analizador de la base de datos.
2
Seleccione el registro deseado y haga clic en Edit (Editar).
Se muestra la página Analyzer Profile (Perfil de analizador).
3
Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar).
Los cambios realizados afectarán a los correspondientes usuarios incluso si no han iniciado sesión
en el momento de realizarlos.
Eliminación de perfiles de analizador
Antes de empezar
Asegúrese de que los usuarios a los que ha asignado este perfil de analizador no han
iniciado sesión en McAfee Advanced Threat Defense.
Procedimiento
1
Seleccione Policy (Directiva) | Analyzer Profile (Perfil de analizador).
Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de
administrador, podrá ver todos los perfiles de analizador de la base de datos.
2
Seleccione el registro deseado y haga clic en Delete (Eliminar).
3
Haga clic en Yes (Sí) para confirmar la eliminación.
Integración con McAfee ePO
La integración de McAfee Advanced Threat Defense y McAfee ePO permite que McAfee Advanced
Threat Defense identifique correctamente el entorno del host de destino y use la correspondiente
máquina virtual analizadora para el análisis dinámico.
254
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Integración con McAfee ePO
Para determinar si la máquina virtual analizadora de un archivo enviado por Network Security Platform
o McAfee Web Gateway, McAfee Advanced Threat Defense usa las siguientes fuentes de información
en el mismo orden de prioridad:
1
McAfee Advanced Threat Defense realiza una consulta a McAfee ePO acerca del sistema operativo
de un host, basándose en su dirección IP. Si no hay información disponible de esta fuente o si la
correspondiente máquina virtual analizadora no está disponible, pasa a la siguiente fuente.
2
Si Device Profiling (Perfiles de dispositivo) está activado, Sensor proporcionará los detalles de
sistema operativo y aplicación al enviar un archivo para su análisis. Si no hay información
disponible de esta fuente o si la correspondiente máquina virtual analizadora no está disponible,
pasa a la siguiente fuente.
3
Basándose en el perfil de analizador en el correspondiente registro de usuario, McAfee Advanced
Threat Defense determinará el perfil de máquina virtual. Si no hay información disponible de esta
fuente o si la correspondiente máquina virtual analizadora no está disponible, pasa a la siguiente
fuente.
4
El perfil de máquina virtual que ha seleccionado como predeterminado. Desde los perfiles de
máquina virtual de su configuración, puede seleccionar uno de ellos como perfil predeterminado.
Cuando McAfee Advanced Threat Defense recibe la información de host de una dirección IP concreta
desde McAfee ePO, guarda estos detalles en la caché.
•
La dirección IP en caché de datos de información de host tiene un tiempo de vida (TTL en inglés)
de 48 horas.
•
Durante las primeras 24 horas, McAfee Advanced Threat Defense usa solo la información de host
de la caché.
•
Durante las siguientes 24 horas (es decir, de 24 a 48 horas), McAfee Advanced Threat Defense usa
la información de host de la caché pero también realiza consultas a McAfee ePO y actualiza la
caché. Esta información actualizada es válida durante las siguientes 48 horas.
•
Si la información en caché tiene más de 48 horas, la tratará como si no hubiera información en
caché para la correspondiente dirección IP. Es decir, intentará encontrar información de otras
fuentes y también realizará consultas a McAfee ePO.
A continuación se explica cómo McAfee Advanced Threat Defense colabora con McAfee ePO.
1
Network Security Platform o McAfee Web Gateway envía un archivo a McAfee Advanced Threat
Defense para su análisis. Cuando Network Security Platform envía un archivo, también envía la
dirección IP del host de destino.
2
McAfee Advanced Threat Defense comprueba su caché para ver si existe un sistema operativo
válido asignado a esa dirección IP.
3
Si es la primera vez que se analiza un archivo de esa dirección IP, no habrá información en la
caché. Por tanto, determinará la máquina virtual analizadora a partir de la información de perfiles
de dispositivo, en el caso de Network Security Platform, y del registro de usuario, en el caso de
McAfee Web Gateway. Simultáneamente, enviará una consulta a McAfee ePO pidiendo información
del host basada en la dirección IP.
4
A continuación, McAfee ePO envía la información del host a McAfee Advanced Threat Defense, y
esta se guarda en la caché para su uso futuro.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
255
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Integración con McAfee ePO
Configurar la integración con McAfee ePO
La integración con McAfee ePO permite a McAfee ePO recopilar información como el sistema operativo
y navegadores instalados en el host de destino. McAfee Advanced Threat Defense usa esta información
para seleccionar la mejor máquina virtual analizadora para el análisis dinámico.
Procedimiento
1
Seleccione Manage (Administrar) | ePO login/DXL Setting (Inicio de sesión en ePo/Configuración de DLX).
Se muestra la página ePO login/DXL Setting (Inicio de sesión en ePo/Configuración de DLX).
Figura 6-4 McAfee ePO Integración con
256
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Integración con Data Exchange Layer
2
Introduzca los detalles en los campos apropiados.
Nombre de la opción Definición
Login ID (ID de inicio de
sesión)
Introduzca el nombre de inicio de sesión de McAfee ePO que McAfee
Advanced Threat Defense debe usar para acceder al servidor McAfee ePO.
McAfee le recomienda que cree una cuenta de usuario de McAfee ePO con
los permisos de solo lectura necesarios para la integración.
Contraseña
Introduzca la contraseña correspondiente al Login ID (ID de inicio de
sesión) que ha introducido.
IP Address (Dirección IP) Introduzca la dirección IPv4 del servidor de McAfee ePO.
Contacte con su administrador de McAfee ePO para obtener la dirección
IP.
Port Number (Número de
puerto)
Especifique el puerto de escucha HTTPS en el servidor de McAfee ePO que
se usará para la comunicación entre McAfee Advanced Threat Defense
yMcAfee ePO.
Contacte con su administrador de McAfee ePO para obtener el número de
puerto.
Test ePO Login (Probar
inicio de sesión de
ePO)
Haga clic en esta opción para comprobar si McAfee Advanced Threat
Defense puede acceder al servidor de McAfee ePO configurado a través
del puerto especificado.
Submit (Enviar)
Haga clic para guardar la configuración y activar la integración entre
McAfee Advanced Threat Defense y McAfee ePO. Asegúrese de que la
prueba de conexión se realiza con éxito antes de hacer clic en Submit
(Enviar).
Disable (Desactivar)
Haga clic en esta opción para desactivar la integración entre McAfee
Advanced Threat Defense y McAfee ePO.
Integración con Data Exchange Layer
McAfee Data Exchange Layer (DXL) incluye un software cliente así como uno o varios agentes que
permiten una comunicación bidireccional entre los endpoints de una red. El cliente de McAfee DXL se
instala en todos los endpoints administrados para que la información sobre amenazas pueda
compartirse de inmediato con todos los otros servicios y dispositivos y reducir la propagación de
amenazas.
Al integrar Advanced Threat Defense con McAfee DXL, permite que Advanced Threat Defense envíe el
informe de análisis de las muestras analizadas en Advanced Threat Defense al agente de McAfee DXL.
Las muestras de Advanced Threat Defense se publican en un tema ubicado en /mcafee/event/atd/file/
report en el agente de McAfee DXL. Los clientes de información de seguridad y administración de
eventos (SIEM) suscritos a este tema (/mcafee/event/atd/file/report) pueden obtener informes de
análisis del agente de McAfee DXL para elaborar una base de datos de reputación de seguridad sólida.
Los clientes suscritos pueden consultar esta base de datos y tratar los archivos que entren en su red
de acuerdo con los informes de análisis de dichos archivos.
A continuación se explica el modo en el que Advanced Threat Defense publica los informes de análisis
en el canal de McAfee DXL:
1
Advanced Threat Defense obtiene los archivos de muestra para su análisis de diferentes canales
como McAfee Network Security Platform, McAfee Web Gateway y demás.
2
El resumen del análisis se envía al agente de McAfee DXL para su distribución bajo demanda a los
clientes suscritos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
257
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Integración con Data Exchange Layer
El siguiente diagrama muestra la integración de Advanced Threat Defense y McAfee DXL.
Figura 6-5 Integración de Advanced Threat Defense y Data Exchance Layer
Configuración de la integración con Data Exchange Layer
Procedimiento
258
1
Seleccione Manage (Administrar) | ePO login/DXL Setting (Inicio de sesión en ePo/Configuración de DLX). Se muestra la
página McAfee ePO.
2
Introduzca los detalles en los campos apropiados. Consulte Configurar la integración con McAfee
ePO en la página 256
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Integración con McAfee Next Generation Firewall
3
Haga clic en Test Connection (Comprobar conexión). Cuando aparezca el mensaje Test connection is
successful (Prueba de conexión realizada correctamente), haga clic en OK (Aceptar).
4
En el área DXL Setting (Configuración de DXL):
5
•
Seleccione Enable DXL communication (Activar comunicación con DXL).
•
En la lista desplegable Security Level (Nivel de seguridad), seleccione un nivel de gravedad en
función de sus requisitos.
•
El campo DXL Status (Estado de DXL) muestra el estado de la conectividad de DXL.
Haga clic en Apply (Aplicar). Cuando aparezca el mensaje Test DXL connection successful (Prueba de
conexión de DXL realizada correctamente), haga clic en OK (Aceptar).
Integración con McAfee Next Generation Firewall
McAfee Next Generation Firewall integra funciones de seguridad de alta disponibilidad y capacidad de
gestión. Integra funciones de control de aplicaciones, sistema de prevención de intrusiones (IPS) y
prevención de evasiones en una única solución asequible. El cliente de McAfee Next Generation
Firewall debe seguir los pasos detallados a continuación para integrar McAfee Next Generation Firewall
con McAfee Advanced Threat Defense:
1
Crear un usuario denominado “ngfw” en Advanced Threat Defense después de iniciar sesión en
Advanced Threat Defense como "admin". Este usuario tiene los mismos privilegios que el usuario
"nsp".
2
Reiniciar amas desde la CLI.
3
Utilizar el usuario "ngfw" en SCM para llamadas de API REST.
No hay cambios en el protocolo SOFA existente para el envío de archivos. Dado que existe un usuario
“ngfw”, se presupone que todos los envíos de archivos a través del canal SOFA proceden de appliances
McAfee NGFW.
Especificar servidor proxy para conectividad de Internet
Advanced Threat Defense se conecta a diversos servidores proxy para la conectividad de Internet.
Según el origen del tráfico, Advanced Threat Defense determina el servidor proxy por el que se deben
dirigir las solicitudes de acceso a Internet del tráfico.
Estos servidores proxy se pueden configurar en Advanced Threat Defense para gestionar las
solicitudes de acceso a Internet:
•
GTI HTTP Proxy (Proxy HTTP de GTI): este valor es relevante para aquellos perfiles de analizador que
tengan activada GTI Reputation (Reputación GTI) en opciones de análisis. McAfee Advanced Threat
Defense envía una consulta a un servidor de McAfee GTI para obtener la calificación de McAfee GTI
para el archivo sospechoso que se está analizando. Si la red del cliente está protegida bajo proxy,
especifique aquí los detalles del servidor proxy para que se puedan enviar fuera las consultas de
McAfee GTI.
•
Malware Site Proxy (Proxy de sitio de malware): este valor es aplicable cuando las muestras que se
están analizando en las máquinas virtuales analizadoras solicitan acceso a Internet. El servidor
proxy especificado en Malware Site Proxy (Proxy de sitio de malware) gestiona la solicitud. Debido a
que el tráfico de una máquina virtual analizadora podría ser malicioso, es posible que desee
segregar este tráfico de la red de producción.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
259
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Especificar servidor proxy para conectividad de Internet
Procedimientos
•
Especificación de configuración de proxy para tráfico de Global Threat Intelligence en la
página 260
•
Especificar la configuración del proxy de sitio de malware para el tráfico de malware en la
página 261
Especificación de configuración de proxy para tráfico de Global
Threat Intelligence
Procedimiento
1
Seleccione Manage (Administrar) | Proxy Settings (Configuración de proxy).
En la página Proxy Settings (Configuración de proxy), se mostrará la sección GTI HTTP Proxy (Proxy HTTP
de GTI).
Figura 6-6 Página Proxy Settings (Configuración de proxy)
Para activar esta opción, debe estar activada la opción GTI File Reputation (Reputación de los archivos
GTI) bajo Analyze Options (Opciones de análisis).
260
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense para análisis de malware
Especificar servidor proxy para conectividad de Internet
2
6
En la sección GTI HTTP Proxy (Proxy HTTP de GTI), introduzca la información adecuada en los campos
respectivos.
Nombre de la opción
Definición
Enable Proxy (Activar proxy)
Seleccione para conectar McAfee Advanced Threat Defense al
servidor proxy para conectividad de Internet.
User Name (Nombre de
usuario)
Introduzca el nombre de usuario que McAfee Advanced Threat
Defense usa para la conexión a Internet.
Password (Contraseña)
Introduzca la contraseña correspondiente.
Proxy IP Address (Dirección IP
del proxy)
Introduzca la dirección IPv4 del servidor proxy.
Port Number (Número de
puerto)
Introduzca el número de puerto de escucha del servidor proxy para
conexiones entrantes.
Test (Probar)
Haga clic para comprobar si McAfee Advanced Threat Defense
puede acceder al servidor proxy HTTP configurado a través del
puerto especificado.
Submit (Enviar)
Haga clic para guardar la configuración de proxy en la base de
datos. Asegúrese de que la prueba de conexión se realiza con éxito
antes de hacer clic en Submit (Enviar).
Especificar la configuración del proxy de sitio de malware para
el tráfico de malware
Procedimiento
1
Seleccione Manage (Administrar) | Proxy Settings (Configuración de proxy).
En la página Proxy Settings (Configuración de proxy), se mostrará la sección Malware Site Proxy (Proxy de
sitio de malware).
Figura 6-7 Página Proxy Settings (Configuración de proxy)
McAfee Advanced Threat Defense 3.4.2
Guía del producto
261
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración del parámetro Syslog
2
En la sección Malware Site Proxy (Proxy de sitio de malware), introduzca la información adecuada
en los campos respectivos.
Nombre de la opción
Definición
Enable Proxy (Activar proxy)
Seleccione para conectar McAfee Advanced Threat Defense al
servidor proxy para conectividad de Internet.
User Name (Nombre de
usuario)
Introduzca el nombre de usuario que McAfee Advanced Threat
Defense usa para la conexión a Internet.
Password (Contraseña)
Introduzca la contraseña correspondiente.
Proxy IP Address (Dirección IP
del proxy)
Introduzca la dirección IPv4 del servidor proxy.
Port Number (Número de
puerto)
Introduzca el número de puerto de escucha del servidor proxy para
conexiones entrantes.
Copy above settings (Copiar
configuración anterior)
Seleccione esta opción para replicar la configuración de proxy en la
sección GTI HTTP Proxy Settings (Configuración de proxy HTTP de GTI).
Test (Probar)
Haga clic para comprobar si McAfee Advanced Threat Defense
puede acceder al servidor proxy HTTP configurado a través del
puerto especificado.
Submit (Enviar)
Haga clic para guardar la configuración de proxy en la base de
datos. Asegúrese de que la prueba de conexión se realiza
correctamente antes de hacer clic en Submit (Enviar).
Configuración del parámetro Syslog
El mecanismo Syslog transfiere los eventos de resultados de análisis por el canal Syslog a información
de seguridad y administración de eventos (SIEM) como McAfee Enterprise Security Manager (McAfee
ESM). Esto se lleva a cabo para todos los archivos analizados por Advanced Threat Defense. Puede
configurar un servidor Syslog externo al que se enviará la siguiente información:
•
Resultados de análisis
•
Información de inicio y cierre de sesión de usuario
Los resultados de análisis y los eventos de inicio o cierre de sesión se envían al receptor SIEM, donde
la información se analiza y se envía a ESM. A continuación, el resumen se muestra en la interfaz de
usuario de ESM y se puede usar como un repositorio de datos históricos.
El receptor SIEM y ESM pueden estar en appliances diferentes o juntos en un entorno virtual
262
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración del parámetro Syslog
Procedimiento
1
Seleccione Manage (Administrar) | Syslog Setting (Configuración de Syslog).
2
En el área Off-box system log (Registro del sistema remoto), realice estas selecciones y entradas.
•
Seleccione Enabled (Activado).
•
IP Address (Dirección IP): dirección IP del servidor Syslog
•
Port (Puerto): número de puerto de escucha del servidor Syslog (el predeterminado es el 514)
•
Transport (Transporte): seleccione un protocolo en la lista desplegable
3
Haga clic en Test (Probar). Cuando aparezca un mensaje que indica que la operación se ha realizado
correctamente, haga clic en OK (Aceptar).
4
En el área Logging Features (Funciones de registro), haga estas selecciones y entradas.
•
Seleccione Analysis Results (Resultados del análisis).
•
En la lista desplegable Severity Level (Nivel de gravedad), seleccione un nivel.
•
Si desea almacenar la información de inicio y cierre de sesión con una marca de tiempo,
seleccione User Login/Logout (Inicio/Cierre de sesión de usuario).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
263
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración del parámetro Syslog
264
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración del parámetro Syslog
5
6
Haga clic en Submit (Enviar). Se muestra el mensaje Off-box syslog setting was submitted successfully
(Configuración Syslog remota enviada correctamente).
Muestra de eventos de registro de análisis mostrados en ESM:
<182>Aug 19 22:49:05 ATD-3000 ATD2ESM[4278]: {"Summary": { "Event_Type": "ATD File
Report","MISversion": "3.2.2.2.40833","SUMversion": "3.2.2.2.40833","OSversion":
"win7sp1","field": "54fa_00ca_5575b4f8_d5e2_421c_80d0_3daa4d67ff89","Parent MD5":
"Not Available","ATD IP": "10.213.248.14","TaskId": "50128","JobId":
"50127","JSONversion": "1.001.0718","hasDynamicAnalysis": "true","Subject":
{"Name": "v_upx200w.exe","Type": "PE32 executable (console) Intel 80386","md5":
"65B48733E50FD44009C6566B8C1F4393","sha-1":
"F3B0901F44A0079431592011C6757BAC19EEAD3C","size": "19456","Timestamp": "2014-08-19
22:48:28","parent_archive": "Not Available"},"Selectors": [{"Engine":
"CustomYara","MalwareName": "---","Severity": "5"},{"Engine":
"Sandbox","MalwareName": "---","Severity": "5"}],"Verdict": {"Severity":
"5","Description": "Subject is malicious"},"Stats": [{"ID": "0","Category":
"Persistence, Installation Boot Survival","Severity": "5"},{"ID": "1","Category":
"Hiding, Camouflage, Stealthiness, Detection and Removal Protection","Severity":
"1"},{"ID": "2","Category": "Security Solution / Mechanism bypass, termination and
removal, Anti Debugging, VM Detection","Severity": "5"},{"ID": "3","Category":
"Spreading","Severity": "2"},{"ID": "4","Category": "Exploiting,
Shellcode","Severity": "0"},{"ID": "5","Category": "Networking","Severity": "5"},
{"ID": "6","Category": "Data spying, Sniffing, Keylogging, Ebanking
Fraud","Severity": "4"}],"Behavior": [" CUSTOM yara test: create/remove directory
[custom_1]"," CUSTOM yara test: run key, delete value [custom_2]","Created content
under Windows system directory","Deleted AV auto-run registry key","Created a
socket bound to a specific service provider and listen to an open port","Changed
McAfee Advanced Threat Defense 3.4.2
Guía del producto
265
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración de DNS
the protection attribute of the process","Installed low level keyboard hook
procedure","Deleted a key from auto-run registry entry","Altered auto-run registry
entry that executed at next Windows boot"]}}
Muestra de eventos de inicio o cierre de sesión de usuario mostrados en ESM:
<181>Aug 20 00:33:42 ATD-3000 MATD-LOG[6902]: {"Action": "Successful user login",
"User": "meg", "UserID": "5", "Timestamp": "2014-08-20 07:33:42", "Client":
"10.213.248.120"}
Configuración de DNS
Al ejecutarse, algunos archivos pueden enviar consultas de DNS para resolver nombres. A menudo
dichas consultas son intentos por parte de un malware de determinar si se están ejecutando en un
recinto aislado. Si la consulta de DNS falla, el archivo puede intentar usar una ruta de acceso
alternativa. Cuando McAfee Advanced Threat Defense analiza dinámicamente este archivo, puede que
desee proporcionar un servicio de DNS proxy para averiguar el comportamiento real del archivo.
Procedimiento
1
Seleccione Manage (Administrar) | DNS Setting (Configuración de DNS).
Se mostrará la página DNS Setting (Configuración de DNS).
2
Introduzca la información adecuada en los respectivos campos.
Nombre de la opción
Definición
Domain (Dominio)
Introduzca el nombre del dominio de Active Directory; por ejemplo,
McAfee.com.
Preferred DNS Server
(Servidor DNS
preferido)
Introduzca la dirección IPv4 del servidor proxy DNS principal. Las
consultas de DNS procedentes de la máquina virtual analizadora llegan a
este servidor DNS.
Alternate DNS Server
(Servidor DNS
alternativo)
Introduzca la dirección IPv4 del servidor proxy DNS secundario. Si la
máquina virtual analizadora no logra contactar con el servidor DNS
principal, las consultas de DNS llegarán a este servidor DNS secundario.
Test (Probar)
Haga clic en esta opción para comprobar si McAfee Advanced Threat
Defense puede acceder al servidor DNS preferido o al alternativo.
Submit (Enviar)
Haga clic aquí para guardar la configuración en la base de datos.
Asegúrese de que la prueba de conexión se realiza correctamente antes
de hacer clic en Submit (Enviar).
Configuración de los ajustes de fecha y hora
Antes de empezar
•
Necesita privilegios de administrador para ver o ajustar la configuración de fecha y hora.
•
Si va a utilizar nombres de dominios de servidores de protocolo de seguridad de la red,
asegúrese de haber configurado correctamente los servidores DNS en McAfee Advanced
Threat Defense.
Puede establecer la fecha y hora requeridas en McAfee Advanced Threat Defense Appliance en la
página Date and Time Settings (Configuración de fecha y hora). McAfee Advanced Threat Defense utiliza la
fecha y hora que haya configurado en todos los casos, tanto de apariencia como de funcionalidad. La
266
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración de los ajustes de fecha y hora
fecha y hora en las interfaces de usuario, los informes, los archivos de registro y CLI de la aplicación
web McAfee Advanced Threat Defense se corresponderán con las que haya especificado. Por ejemplo,
la marca de tiempo de las páginas Analysis Status (Estado del análisis) y Analysis Results (Resultados
del análisis) tendrá la fecha y la hora que usted haya configurado.
Puede especificar la fecha y hora manualmente o configurar los servidores de protocolo de hora de la
red (NTP, o Network Time Protocol) como el fuente de tiempo para McAfee Advanced Threat Defense.
Si elige usar los servidores NTP, puede configurar hasta tres de ellos. En este caso, McAfee Advanced
Threat Defense actúa como cliente NTP y se sincroniza con el servidor NTP de mayor prioridad
disponible.
•
En McAfee Advanced Threat Defense, la sincronización con los servidores NTP está activada de
forma predeterminada. Además, pool.ntp.org está configurado como el servidor NTP
predeterminado. La zona horaria predeterminada es la Hora del Pacífico (UTC-8).
•
Al ampliar a partir de una versión anterior sin seleccionar la opción Reset Database (Restablecer base
de datos), se conserva la configuración de fecha y hora de la versión instalada. Si la opción Reset
Database (Restablecer base de datos) está seleccionada al ampliar, se establece la configuración de
fecha y hora predeterminada descrita anteriormente.
•
Siempre debe haber al menos un servidor NTP válido especificado en la página Date and Time Settings
(Configuración de fecha y hora) de McAfee Advanced Threat Defense. Puede agregar, editar o
eliminar la lista de servidores NTP especificados en McAfee Advanced Threat Defense.
•
En función del acceso del que disponga McAfee Advanced Threat Defense, puede especificar
servidores NTP públicos o locales de su red.
•
Puede especificar el nombre de dominio o la dirección IPv4 de los servidores NTP. Si especifica los
nombres de dominio, debe establecer la configuración DNS en McAfee Advanced Threat Defense.
Si especifica servidores NTP públicos, se recomienda usar nombres de dominio en lugar de
direcciones IP. El dominio de un servidor NTP público podría resolver direcciones IP diferentes en
función de distintos factores.
•
Ya sea que active la sincronización con servidores NTP o que establezca fecha y hora manualmente,
debe seleccionar la zona horaria deseada en la página Date and Time Settings (Configuración de fecha y
hora). Si configura un servidor NTP, McAfee Advanced Threat Defenseconsidera la fecha y hora del
servidor NTP únicamente. Pero usa la zona horaria especificada en la página de configuración de
fecha y hora.
•
•
La fecha y hora en un cliente de McAfee Advanced Threat Defense no tiene efecto alguno en las
marcas de tiempo mostradas. Supongamos que McAfee Advanced Threat Defense Appliance marca
como hora actual las 10 a.m. PST (UTC-8). Independientemente de la zona horaria desde la que
acceda a McAfee Advanced Threat Defense Appliance, todas las marcas de tiempo se mostrarán en
PST únicamente. Esto significa que las marcas de tiempo no se convierten en función de la
configuración de fecha y hora del cliente.
•
Cuando se cambia la configuración de fecha y hora actual, también se cambia según corresponda la
marca de tiempo de todos los registros antiguos. Suponga que la zona horaria actual es PST
(UTC-8) y usted la cambia a la Hora Estándar de Japón (UTC+9). La marca de tiempo de los
registros antiguos se convertirá a la Hora Estándar de Japón (JST). Por ejemplo, suponga que la
marca de tiempo en un registro de la página Analysis Status (Estado del análisis) mostraba la 01:00
PST antes de cambiar la zona horaria. Después de cambiarla a JST, la marca de tiempo del mismo
registro mostrará las 18:00 JST.
•
La configuración de fecha y hora de las máquinas virtuales analizadoras se sincroniza
inmediatamente con la fecha y hora de McAfee Advanced Threat Defense Appliance.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
267
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración de los ajustes de fecha y hora
Procedimiento
1
Seleccione Manage (Administrar) | Date and Time Settings (Configuración de fecha y hora).
Se muestra la página Date and Time Settings (Configuración de fecha y hora).
268
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense para análisis de malware
Configuración de los ajustes de fecha y hora
2
6
Introduzca la información adecuada en los respectivos campos y haga clic en Submit (Enviar) en las
secciones afectadas por separado.
Nombre de
la opción
Definición
Enable Network
Time Protocol
(Activar
protocolo de
tiempo de la
red)
Seleccione esta opción si desea que McAfee Advanced Threat Defense actúe como
cliente NTP. De forma predeterminada, está seleccionada.
Priority
(Prioridad)
Este es el orden de prioridad asignado a los servidores NTP. Durante el intervalo
programado, McAfee Advanced Threat Defense intentará sincronizar con el primer
servidor NTP. Si no estuviera disponible, intentará sincronizar con el segundo y,
luego, con el tercero.
NTP Server Name
(Nombre del
servidor NTP)
Especifique el nombre de dominio o las direcciones IPv4 de los servidores NTP en
el orden de prioridad en el que McAfee Advanced Threat Defense debería
sincronizar con ellos. Si introduce nombres de dominio, asegúrese de haber
establecido la configuración DNS correctamente.
Para establecer la hora manualmente en McAfee Advanced Threat Defense, anule
la selección.
Siempre debe haber al menos un servidor NTP disponible configurado.
Delete
(Eliminar)
Seleccione esta opción si desea eliminar un servidor NTP de la lista.
Status (Estado) Indica si un servidor NTP concreto está disponible o no. Verde significa que el
servidor está disponible y rojo, que no lo está.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
269
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
Nombre de
la opción
Definición
Date/Time
(Fecha/Hora)
Para especificar fecha y hora manualmente en McAfee Advanced Threat Defense,
anule la selección de Enable Network Time Protocol (Activar protocolo de tiempo de la
red) y haga clic en Submit (Enviar) en Network Time Protocol (Protocolo de tiempo de la
red). Especifique la fecha y hora en los campos correspondientes y, luego, haga
clic en Submit (Enviar) en Date and Time Settings (Configuración de fecha y hora).
Select Time-zone
(Seleccionar
zona horaria)
Seleccione la zona horaria deseada en la lista y haga clic en Submit (Enviar) en
Time-zone Setting (Configuración de zona horaria). La zona horaria predeterminada
es la Hora del Pacífico.
Submit (Enviar) Implementa los cambios realizados en las secciones correspondientes de la
página Date and Time Settings (Configuración de fecha y hora) y los guarda en la base
de datos.
Cuando haga clic en Submit (Enviar) para el protocolo de tiempo de la red, se
mostrará un mensaje que indica que la operación se ha realizado correctamente.
Si hace clic en OK (Aceptar) en el cuadro del mensaje, McAfee Advanced Threat
Defense comprueba si puede conectarse a los servidores NTP especificados y
actualiza el Status (Estado) según corresponda para cada servidor NTP.
Debe hacer clic en Submit (Enviar) por separado para cada sección afectada. Por
ejemplo, si realiza cambios en la lista de servidores NTP y, además, cambia la
zona horaria, debe hacer clic en Submit (Enviar) en Network Time Protocol (Protocolo de
tiempo de la red) y en Time-zone Setting (Configuración de zona horaria) por
separado.
Defina reglas YARA personalizadas para identificar malware
YARA es una herramienta basada en reglas para identificar y clasificar malware. McAfee Advanced
Threat Defense le permite usar sus propias reglas YARA para identificar y clasificar malware. Puede
importar sus propias descripciones de malware a McAfee Advanced Threat Defense. Las reglas YARA
270
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
también le permiten personalizar las funciones de detección de McAfee Advanced Threat Defense
según sus requisitos. Por ejemplo, puede usar reglas YARA si quiere que ciertas operaciones del
registro se notifiquen en informes con un determinado nivel de gravedad, en lugar del nivel
predeterminado asignado por McAfee Advanced Threat Defense. También puede definir reglas YARA
para malware de día cero o casi cero. Puede escribir sus reglas YARA o usar reglas YARA de otros.
En esta sección, la palabra muestra se aplica tanto a archivos como a URL que se envíen aMcAfee
Advanced Threat Defense para análisis de malware.
Las reglas YARA personalizadas pueden guardarse en un archivo de texto. Se puede asignar a ese
archivo un nombre que facilite el rastreo de modificaciones a su conjunto de reglas YARA. Debe
importar el archivo de texto a McAfee Advanced Threat Defense a través de la interfaz de usuario de
aplicación web. Internamente, estas reglas se guardan en un archivo denominado custom.yara.
Si ha activado todas las opciones de análisis con reglas YARA personalizadas, McAfee Advanced Threat
Defense procesa los archivos de muestra y las URL en el siguiente orden de prioridad:
1
Lista blanca local
2
Lista negra local
3
McAfee GTI
4
McAfee Gateway Anti-Malware Engine
5
McAfee Anti-Malware Engine
6
Análisis dinámico
McAfee Advanced Threat Defense 3.4.2
Guía del producto
271
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
7
Reglas YARA personalizadas: son reglas YARA administradas por el usuario.
8
Reglas YARA internas: son reglas YARA definidas por McAfee y actualizadas únicamente durante
ampliaciones del software McAfee Advanced Threat Defense, si es necesario. Usted no puede ver ni
descargar estas reglas.
McAfee Advanced Threat Defense comprueba una muestra con las reglas YARA solo si la muestra se
analiza dinámicamente.
Figura 6-8 Una regla YARA de muestra
Después de importar sus reglas YARA a McAfee Advanced Threat Defense, la detección y la
clasificación de malware también se basarán en estas reglas. El resultado de gravedad final de un
análisis de muestra se determina como valor máximo de métodos de análisis mencionados
anteriormente, incluidas las reglas YARA personalizadas.
Figura 6-9 Calificación final influida por la calificación de reglas YARA personalizadas
Consideraciones
272
•
McAfee Advanced Threat Defense admite reglas YARA personalizadas solo desde la versión McAfee
Advanced Threat Defense 3.2.0.
•
McAfee Advanced Threat Defense 3.2.0 es compatible únicamente con YARA 1.0. Por lo tanto se
admiten todas las funciones YARA documentadas en el manual del usuario para la versión 1.0 de
YARA.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
6
•
En una configuración de clúster de McAfee Advanced Threat Defense, cada nodo mantendrá su
propio conjunto de reglas YARA personalizadas. Es decir, las reglas YARA personalizadas que defina
en el nodo principal no se enviarán automáticamente a los nodos secundarios.
•
No existe límite del número de reglas que puede incluir en su archivo de reglas YARA
personalizadas. Tampoco existe un límite para el tamaño de este archivo. Pero tenga en cuenta que
el número de reglas y su complejidad podría afectar al rendimiento de McAfee Advanced Threat
Defense.
Creación del archivo de reglas YARA personalizadas
Antes de empezar
•
Conoce las funciones de YARA actualmente compatibles con McAfee Advanced Threat
Defense.
•
Ha identificado el registro de API de usuario de la muestra que quiere usar como
referencia para crear sus propias reglas YARA.
McAfee Advanced Threat Defense aplica las reglas YARA personalizadas al registro de API de usuario
de una muestra analizada. Por lo tanto, para crear reglas YARA personalizadas con las que detectar un
comportamiento específico, puede usar el registro de API de usuario de una muestra que haya
causado el mismo comportamiento. Puede usar reglas YARA para detectar DLL de tiempo de
ejecución, operaciones de archivo, operaciones del registro, operaciones de proceso y otras
operaciones notificadas en un informe de resumen para una muestra. Por ejemplo, para detectar una
DLL de tiempo de ejecución específica, examine un registro de API de usuario de una muestra y
escriba una regla YARA para esa DLL.
Procedimiento
1
Cree un archivo de texto y ábralo en un editor de texto como, por ejemplo, Windows Notepad.
2
Introduzca los comentarios en el archivo de texto para rastrear las API o los datos que sean
recursos de sus reglas YARA.
Figura 6-10 Comentarios para el archivo de reglas YARA personalizadas
3
Escriba la primera regla y asígnele un nombre.
4
Introduzca los metadatos de la regla.
Los metadatos son obligatorios para reglas estándar y opcionales para reglas de aplicación auxiliar.
En lo que respecta a reglas YARA personalizadas, los metadatos pueden contener valores
declasificación, descripción y gravedad. Use un formato [nombre de campo de metadatos] =
McAfee Advanced Threat Defense 3.4.2
Guía del producto
273
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
[cadena/valor] para definir estos tres campos de metadatos. Estos campos no distinguen entre
mayúsculas y minúsculas.
Figura 6-11 Metadatos para una regla YARA personalizada
a
(Opcional) Introduzca el valor de clasificación para la regla YARA. La clasificación hace
referencia a la categoría de clasificación de malware a la que pertenece la regla de
comportamiento. Use los datos citados a continuación para calcular el valor de clasificación.
Clasificación
Valor
Persistence, Installation Boot Survival (Persistencia, Supervivencia a reinicio)
1
Hiding, Camouflage, Stealthiness, Detection and Removal Protection (Ocultación,
Camuflaje, Sigilo y Protección contra la detección y eliminación))
2
Security Solution / Mechanism bypass, termination and removal, Anti Debugging, VM
Detection (Solución de seguridad / Omisión de mecanismos, terminación y eliminación,
Anti-depuración, Detección de máquina virtual)
4
Spreading (Diseminación)
8
Exploiting, Shellcode (Explotación, Código shell)
16
Networking (Comportamiento en la red)
32
Data spying, Sniffing, Keylogging, Ebanking Fraud (Espionaje de datos, Rastreo,
Captura de pulsaciones del teclado, Fraude bancario)
64
Por ejemplo, si una regla YARA describe un malware que ha mostrado comportamientos de
diseminación (valor 8), supervivencia a reinicio (valor 1) y comportamiento en la red (valor 32),
el resultado total de la clasificación es 8+1+32 = 41.
b
Introduzca la descripción de la regla, que se muestra en los informes de análisis.
Figura 6-12 Nombre y descripción de la regla YARA en los informes
274
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
c
Introduzca un valor de gravedad para el comportamiento descrito por la regla YARA.
El valor de gravedad debe ser un número entero de 1 a 5, donde 5 corresponde al
comportamiento más malicioso. Los valores de gravedad son irrelevantes para las reglas de
aplicación auxiliar.
5
En la página Analysis Results (Resultados del análisis), abra el informe de registro de API de usuario
para la muestra, que usará como referencia para crear las reglas YARA.
Figura 6-13 Registro de API de usuario como referencia para reglas YARA personalizadas
6
Introduzca las cadenas y condiciones usando la sintaxis de YARA.
Figura 6-14 Una regla YARA personalizada
7
Agregue reglas según se requieran en el mismo archivo de texto YARA personalizado y guárdelo.
El siguiente paso consiste en importar este archivo a McAfee Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
275
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
Importación del archivo de reglas YARA personalizadas
Antes de empezar
Ha definido sus reglas YARA en un archivo de texto como se describe en Creación del
archivo de reglas YARA personalizadas en la página 273.
Después de crear sus reglas YARA en un archivo de texto, debe importar ese archivo a McAfee
Advanced Threat Defense mediante la aplicación web McAfee Advanced Threat Defense. Después de
importar los archivos de reglas YARA personalizadas, si las ha activado, McAfee Advanced Threat
Defense incluye esas reglas en su mecanismo de detección de malware.
Procedimiento
1
Seleccione Manage (Administrar) | Custom YARA Rules (Reglas YARA personalizadas).
2
Seleccione la casilla Enable YARA Rules (Activar reglas YARA).
Seleccione esta casilla si importa un archivo de texto YARA personalizado. Si es preciso,
posteriormente puede desactivar sus reglas YARA personalizadas.
3
Haga clic en Browse (Examinar) y localice el archivo de texto YARA personalizado que ha creado.
4
Haga clic en Submit (Enviar) para importar el archivo.
Si el archivo se importa correctamente, aparece un mensaje.
Si hay errores de sintaxis en las reglas YARA, las reglas no se importarán. Verá un mensaje de
error y podrá comprobar los detalles correspondientes en el registro del sistema. Supongamos que
falta una barra diagonal inversa de cierre en una cadena de regla de expresión regular. Al importar
el archivo YARA que contenga la regla personalizada, aparecerá un mensaje de error.
Figura 6-15 Mensaje indicador de un error de sintaxis
Seleccione Manage (Administrar) | System Log (Registro del sistema) para abrir el registro del sistema, donde
encontrará detalles de los errores.
Figura 6-16 Detalles del error
Activación y desactivación de reglas YARA personalizadas
Antes de empezar
Ha importado el archivo de texto YARA personalizado a McAfee Advanced Threat Defense.
276
McAfee Advanced Threat Defense 3.4.2
Guía del producto
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
Después de importar las reglas YARA personalizadas, puede desactivarlas cuando no se necesiten, por
ejemplo, para realizar tareas de solución de problemas. Pero tenga en cuenta que la desactivación de
las reglas YARA personalizadas es aplicable a todas las muestras analizadas por McAfee Advanced
Threat Defense. Posteriormente podrá activar las reglas YARA personalizadas.
Procedimiento
1
Seleccione Manage (Administrar) | Custom YARA Rules (Reglas YARA personalizadas).
2
Seleccione o anule la selección de la casilla Enable YARA Rules (Activar reglas YARA).
Si desea activar las reglas YARA actualmente presentes en la base de datos de McAfee Advanced
Threat Defense, seleccione la casilla Enable YARA Rules (Activar reglas YARA) y haga clic en Submit
(Enviar). No hace falta volver a importar el archivo de texto de reglas YARA personalizadas.
Modificar reglas YARA personalizadas
Antes de empezar
Ha importado el archivo de texto YARA personalizado a McAfee Advanced Threat Defense.
Después de importar las reglas YARA personalizadas, es posible que desee agregar más reglas o
modificar algunas de las reglas existentes. Por ejemplo, es posible que desee cambiar el valor de
gravedad de una regla.
Procedimiento
1
Seleccione Manage (Administrar) | Custom YARA Rules (Reglas YARA personalizadas).
2
Haga clic en Download YARA Rule File (Descargar archivo de reglas YARA) para descargar el archivo
custom.yara de la base de datos de McAfee Advanced Threat Defense a su cliente.
Como referencia, se proporciona la marca de tiempo de la última importación del archivo custom
.yara a McAfee Advanced Threat Defense.
3
Abra el archivo custom.yara descargado en un editor de texto y haga los cambios necesarios,
como añadir nuevas reglas, eliminar una regla existente o modificar una regla existente. Cuando
termine, guarde el archivo.
Puede cambiar el nombre de este archivo según sus requisitos.
4
Importe el archivo de reglas YARA personalizadas modificado a McAfee Advanced Threat Defense.
Consulte Importación del archivo de reglas YARA personalizadas en la página 276.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
277
6
Configuración de McAfee Advanced Threat Defense para análisis de malware
Defina reglas YARA personalizadas para identificar malware
278
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Tras configurar McAfee Advanced Threat Defense, podrá cargar archivos y localizadores universales de
recursos (URL) para su análisis. Puede supervisar el estado del análisis de malware mediante la
aplicación web McAfee Advanced Threat Defense y luego ver los resultados.
Contenido
Analizar archivos
Analizar URL
Configurar la página Analysis Status (Estado de análisis)
Ver los resultados del análisis
Trabajar con el panel McAfee Advanced Threat Defense
Analizar archivos
•
Puede seguir los métodos siguientes para enviar archivos:
•
Cargue el archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense.
•
Cargue el archivo al servidor FTP alojado en McAfee Advanced Threat Defense Appliance.
•
Use las API RESTful de la aplicación web McAfee Advanced Threat Defense para cargar el
archivo. Consulte la Guía de referencia de las API RESTful de McAfee Advanced Threat Defense.
•
Integrar McAfee Advanced Threat Defense con Network Security Platform y McAfee Web
Gateway. A continuación, estas aplicaciones envían muestras automáticamente a McAfee
Advanced Threat Defense. Consulte la documentación correspondiente.
•
El tamaño de archivo máximo permitido es de 128 MB si utiliza la aplicación web McAfee Advanced
Threat Defense, sus API RESTful o McAfee Web Gateway. En el caso de archivos comprimidos y
archivos APK, el tamaño máximo admitido es de 25 MB.
•
Si utiliza Network Security Platform, el tamaño de archivo máximo permitido es de 25 MB.
•
McAfee Advanced Threat Defense admite Unicode para los nombres de los archivos de las
muestras. Así pues, los nombres de los archivos pueden contener caracteres no ingleses y algunos
caracteres especiales exceptuando \'"`<>|; ()[]*?#$&:
•
El nombre de archivo puede tener hasta 200 bytes.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
279
7
Análisis de malware
Analizar archivos
Tabla 7-1 Tipos de archivos compatibles
Tipos de
archivo
Análisis estático
Análisis dinámico
Archivos
ejecutables
(PE) de 32
bits
(.exe, .dll, .scr, .ocx, .sys, .com, .drv, .cpl) (.exe, .dll, .scr, .ocx, .sys, .com, .drv, .cpl)
Documentos
del conjunto
de
programas
de Microsoft
Office
(.doc, .docx, .xls, .xlsx .ppt, .pptx y .rtf)
(.doc, .docx, .xls, .xlsx .ppt, .pptx y .rtf)
Adobe
Archivos PDF, archivos de Adobe Flash
(SWF)
Archivos PDF, archivos de Adobe Flash
(SWF)
Archivos
(.zip, .rar)
comprimidos
(el tamaño
de archivo
máximo
permitido es
de 25 MB)
(.zip)
Paquete de
aplicaciones
de Android
(.apk)
(.apk)
Java
Archivos Java (JAR), CLASS
Archivos Java (JAR), CLASS
Archivos de
imagen
(JPEG, PNG y GIF)
No se admiten
Cargue archivos para su análisis mediante la aplicación web
McAfee Advanced Threat Defense
Antes de empezar
El perfil de analizador requerido está disponible.
Cuando use la aplicación web McAfee Advanced Threat Defense para enviar un archivo para su
análisis, debe seleccionar un perfil de analizador. Este perfil de analizador tiene prioridad sobre el perfil
de analizador predeterminado asociado a su cuenta de usuario.
Procedimiento
280
1
Seleccione Analysis (Análisis) | Manual Upload (Carga manual)
2
En la página Manual Upload (Carga manual), especifique los detalles requeridos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Analizar archivos
Tabla 7-2 Definiciones de las opciones
Opción
Definición
File (Archivo)
Seleccione y arrastre el archivo de malware desde el Explorador de Windows, o
haga clic en Browse (Examinar) y selecciónelo. Si desea enviar múltiples archivos,
cárguelos en un archivo Zip.
• Si desea cargar un archivo Zip protegido por contraseña, asegúrese de que ha
introducido la contraseña en el perfil de analizador que desea usar para el
análisis.
• Si se requiere un análisis dinámico, los archivos del Zip se ejecutarán en
diferentes instancias de la máquina virtual analizadora. Si no hay suficientes
máquinas virtuales analizadoras disponibles, algunos de los archivos se
quedarán en la cola hasta que haya una máquina virtual analizadora
disponible.
• Dado que cada uno de los archivos dentro del Zip se analiza separadamente,
se crearán informes distintos para cada archivo.
• McAfee Advanced Threat Defense admite Unicode para los nombres de los
archivos de las muestras. Así pues, los nombres de los archivos pueden
contener caracteres no ingleses y algunos caracteres especiales exceptuando
\'"`<>|; ()[]*?#$&:
• El nombre de archivo puede tener hasta 200 bytes.
Analyzer Profile
(Perfil de
analizador)
Seleccione el perfil de analizador deseado para la muestra.
Advanced
(Avanzado)
Haga clic para especificar parámetros adicionales para analizar la muestra.
Las opciones Advanced (Avanzado) están disponibles solo si envía el archivo
manualmente mediante la aplicación web McAfee Advanced Threat Defense.
• User Interactive Mode (Modo usuario interactivo): tras la ejecución, algún malware
requiere la intervención del usuario. El motivo habitual es el intento por parte
del malware de comprobar si está siendo analizado en un recinto aislado. En
ausencia de intervenciones del usuario, el malware podría tomar una ruta de
ejecución alternativa o incluso suspender completamente su ejecución.
Si selecciona esta opción, podrá acceder a la propia máquina virtual
analizadora en la que se esté ejecutando el malware y realizar las
intervenciones requeridas. Consulte Cargar URL para su análisis en modo
usuario interactivo en la página 281.
Una vez haya realizado las selecciones necesarias, haga clic en OK (Aceptar).
Submit (Enviar)
Haga clic para enviar el archivo a McAfee Advanced Threat Defense para su
análisis.
Procedimientos
•
Cargar URL para su análisis en modo usuario interactivo en la página 281
Cargar URL para su análisis en modo usuario interactivo
Antes de empezar
El perfil de analizador requerido está disponible con las opciones de acceso a Internet,
malware y recinto aislado seleccionadas.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
281
7
Análisis de malware
Analizar archivos
Para ejecutar completamente algún malware, puede ser necesaria la intervención del usuario. Por
ejemplo, una configuración predeterminada en la máquina virtual analizadora podría pausar la
ejecución a menos que esa opción se sustituya manualmente. Es posible que algunos archivos
muestren cuadros de diálogo, en los que deberá seleccionar o confirmar. El malware presenta dicho
comportamiento al intentar determinar si está siendo ejecutado en un recinto aislado. El
comportamiento del malware puede variar según la intervención del usuario. Cuando se envían
archivos en modo usuario interactivo, la máquina virtual analizadora se abre en una ventana
emergente en su equipo cliente y puede proporcionar la información que se le solicite.
Puede cargar archivos para su análisis en el modo usuario interactivo. Esta opción solo está disponible
cuando carga archivos manualmente desde la aplicación web McAfee Advanced Threat Defense. Para
archivos enviados mediante otros métodos, como la carga mediante FTP y los archivos enviados por
Network Security Platform, no se respetarán las solicitudes de intervención del usuario que realice el
malware. Sin embargo, en la sección Screenshots (Capturas de pantalla) en el informe Analysis Summary
(Resumen del análisis) podrá encontrar capturas de pantalla de dichas peticiones. A continuación
podrá volver a enviar dichos archivos manualmente en el modo de usuario interactivo, a fin de conocer
el comportamiento real del archivo.
Dado que la máquina virtual analizadora se abre en una ventana emergente, debe asegurarse de haber
desactivado el bloqueador de mensajes emergentes en el navegador.
Procedimiento
1
Seleccione Analysis (Análisis) | Manual Upload (Carga manual)
2
En el campo File (Archivo), haga clic en Browse (Examinar) y seleccione el archivo que desea enviar
para su análisis o arrastre y coloque el archivo en el cuadro especificado.
Figura 7-1 Envíe el archivo
3
282
En el campo Analyzer Profile (Perfil de analizador), seleccione el perfil de analizador requerido de la
lista desplegable.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Análisis de malware
Analizar archivos
4
7
Haga clic en Advanced (Avanzado) y selecciones User Interactive Mode (XMode) (Modo usuario interactivo) (XMode)).
Figura 7-2 Selecciones User Interactive Mode (XMode) (Modo usuario interactivo) (XMode))
5
Haga clic en OK (Aceptar) y luego en Submit (Enviar).
La muestra se carga a McAfee Advanced Threat Defense y se muestra un mensaje de operación
realizada correctamente con los detalles.
Figura 7-3 Mensaje de archivo cargado correctamente
6
Haga clic en OK (Aceptar) en el cuadro de diálogo Uploaded File Successfully (Archivo cargado
correctamente).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
283
7
Análisis de malware
Analizar archivos
7
Debe ir a la página Analysis Status (Estado del análisis) para interactuar con la muestra. Por tanto,
haga clic en OK (Aceptar) en el cuadro de mensaje User Interactive Mode (Modo usuario interactivo) y
seleccione Analysis (Análisis) | Analysis Status (Estado del análisis)
Figura 7-4 Mensaje de modo de usuario interactivo
En la página Analysis Status (Estado del análisis), se muestra el botón X-Mode (Modo X) en la columna
Status (Estado) para el registro correspondiente.
Figura 7-5 X-Mode (Modo X) en la página Analysis Status (Estado del análisis)
8
Haga clic en X-Mode (Modo X) para el registro correspondiente en la página Analysis Status (Estado del
análisis).
Se abrirá una ventana emergente en su equipo. Según la configuración de seguridad de su
navegador y de Java, podrían mostrarse advertencias de seguridad. Tras confirmar las advertencias
de seguridad, la máquina virtual analizadora se muestra en la ventana emergente y aparecerán los
284
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Análisis de malware
Analizar archivos
7
cuadros de diálogo abiertos por la muestra. Puede usar el ratón y el teclado para introducir
información.
Figura 7-6 Máquina virtual analizadora accesible en una ventana emergente
La ejecución del archivo se inicia tan pronto como envíe el archivo. No espera a que abra la máquina
virtual analizadora. Es posible que algunos mensajes agoten el tiempo de espera en segundo plano.
Para ver la ejecución completa, debe hacer clic en X-Mode (Modo X) en la página Analysis Status (Estado
del análisis) sin retrasos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
285
7
Análisis de malware
Analizar archivos
Cuando se completa la ejecución del archivo, la máquina virtual analizadora cierra sesión
automáticamente y puede cerrar la ventana emergente.
Figura 7-7 La máquina virtual analizadora cierra sesión
Cargar archivos para su análisis mediante SFTP
Antes de empezar
•
Su nombre de usuario tiene privilegios de Acceso FTP. Esto es necesario para acceder al
servidor FTP alojado en McAfee Advanced Threat Defense.
•
Ha creado el perfil de analizador que desea usar.
•
Ha instalado el cliente FTP en su equipo.
Mediante SFTP, puede cargar tipos de archivos compatibles al servidor FTP en McAfee Advanced Threat
Defense.
De forma predeterminada, FTP no es un protocolo compatible para el envío de muestras. Para usar FTP
para cargar archivos, debe activarlo mediante el comando CLI set ftp CLI command. Consulte set ftp
en la página 363.
Procedimiento
1
286
Abra su cliente de FTP y conecte a McAfee Advanced Threat Defense mediante la siguiente
información.
•
Host (Host): introduzca la dirección IP de McAfee Advanced Threat Defense.
•
User Name (Nombre de usuario): introduzca su nombre de usuario de McAfee Advanced Threat
Defense.
•
Password (Contraseña): introduzca su contraseña de McAfee Advanced Threat Defense.
•
Port (Puerto): introduzca 22, que es el puerto estándar para SFTP. Para FTP, introduzca 21.
2
Cargue los archivos desde el sitio local al sitio remoto, ubicado en McAfee Advanced Threat
Defense.
3
En la aplicación web McAfee Advanced Threat Defense, seleccione Analysis (Análisis) | Analysis Status
(Estado del análisis) para supervisar el estado de los archivos cargados.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Analizar URL
Analizar URL
Esta versión permite enviar una URL a Advanced Threat Defense para su análisis de manera similar al
envío de archivos para análisis. Advanced Threat Defense analiza la URL en una máquina virtual
analizadora determinada por el perfil de usuario e informa de los resultados del análisis del archivo.
Advanced Threat Defense solo utiliza la lista negra local y el análisis dinámico para el archivo
descargado. Además, informa de la reputación McAfee GTI de la URL. También se analiza el
comportamiento del navegador al abrir la URL para detectar actividades maliciosas.
Puede enviar URL mediante uno de los siguientes métodos:
•
Cargue la URL manualmente mediante la aplicación web Advanced Threat Defense.
•
Use las API RESTful de la aplicación web Advanced Threat Defense para cargar la URL. Consulte la
Guía de referencia de las API RESTful de Advanced Threat Defense.
Los sitios web maliciosos suelen contener varios tipos de malware. Cuando la víctima visita el sitio
web, se descarga malware según las vulnerabilidades del endpoint. Puede crear varias máquinas
virtuales analizadoras, cada una con diferentes sistemas operativos, aplicaciones, navegadores y
complementos adecuados para su red. Además, si los navegadores y sistemas operativos no están
parcheados, puede permitirle analizar el comportamiento de los sitios web.
La ventaja de usar Advanced Threat Defense es que puede obtener un informe detallado tanto del
comportamiento de los dominios, sitios web y direcciones IP maliciosos conocidos como de los que
desconocía. Incluso puede obtener un informe de análisis detallado de sitios no dañinos que se hayan
visto comprometidos recientemente.
Advanced Threat Defense no analiza URL contenidas en archivos enviados para su análisis. Por
ejemplo, cuando Network Security Sensor envía un archivo de Microsoft Word, Advanced Threat
Defense analiza el archivo en busca de malware pero no analiza las URL que pueda contener el
archivo.
¿Cómo analiza Advanced Threat Defense las direcciones URL?
Para analizar las direcciones URL, seleccione un perfil de analizador que tenga activado el acceso tanto
a Internet como a un recinto aislado. A continuación se detalla el procedimiento de envío de una
dirección URL para su análisis a Advanced Threat Defense:
1
Advanced Threat Defense usa un proceso único para calcular el valor de hash de MD5 de la
dirección URL. A continuación, comprueba dicho MD5 con la lista negra local.
La lista blanca local no se aplica para las direcciones URL.
2
Se asume que el archivo al que se refiere la dirección URL es de uno de los tipos compatibles. A
continuación, Advanced Threat Defense analiza dinámicamente dicho archivo mediante la
correspondiente máquina virtual analizadora. Se asume que el MD5 de la dirección URL no se
encuentra en la lista negra, o que la opción Run All Selected (Ejecutar todos los seleccionados) se ha
seleccionado en el perfil de analizador correspondiente.
Las opciones de análisis GTI File Reputation (Reputación de los archivos GTI), Anti-Malware
(Antimalware) y Gateway Anti-Malware (Gateway Antimalware) no son relevantes para direcciones
URL.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
287
7
Análisis de malware
Analizar URL
3
Los análisis e informes dinámicos de URL son similares a los de archivos. Se registran todas las
actividades en la máquina virtual analizadora, incluidas operaciones del registro, operaciones de
proceso, operaciones de archivo, DLL de tiempo de ejecución y operaciones de red. Si la página
web descarga archivos dropper, Advanced Threat Defense analiza de forma dinámica estos archivos
e incluye los resultados en el mismo informe, en la sección de contenido incrustado/depositado.
4
Si un archivo depositado tiene conexión con otras URL, se comprueba con TrustedSource la
reputación y clasificación de URL de todas ellas.
Los únicos protocolos admitidos para análisis de URL son HTTP, HTTPS y FTP.
Cargue URL para su análisis mediante la aplicación web
Advanced Threat Defense
Antes de empezar
Asegúrese de que el perfil de analizador requerido está disponible con las opciones de
acceso a Internet, malware y recinto aislado seleccionadas.
Puede cargar las URL mediante dos opciones diferentes según sus requisitos, mediante al aplicación
web Advanced Threat Defense.
Para cargar URL manualmente, hay disponibles estas opciones:
•
URL: la URL seleccionada se envía a la máquina virtual analizadora, y el archivo al que lleva la URL
se descarga a la máquina virtual analizadora para su análisis. Por ejemplo, cuando un usuario envía
la URL http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe, la URL se envía a la máquina
virtual analizadora y, a continuación, se descarga el archivo putty.exe la máquina virtual
analizadora.
•
URL Download (Descarga de URL): la URL seleccionada se descarga a Advanced Threat Defense
Appliance, a continuación se envía a la máquina virtual analizadora. Por ejemplo, cuando un
usuario envía la URL http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe, el archivo putty.exe
se descarga a Advanced Threat Defense Appliance y, a continuación, se envía a la máquina virtual
analizadora.
Cuando use la aplicación web Advanced Threat Defense para enviar una URL para su análisis,
seleccione un perfil de analizador. Este perfil de analizador tiene prioridad sobre el perfil de analizador
predeterminado asociado a su cuenta de usuario.
288
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Análisis de malware
Analizar URL
7
Carga manual con la opción URL
Procedimiento
1
Seleccione Analysis (Análisis) | Manual Upload (Carga manual).
2
En la página Manual Upload (Carga manual), especifique los detalles requeridos.
Figura 7-8 Enviar una URL para análisis de malware
Tabla 7-3 Definiciones de las opciones
Opción
Definición
Método de
carga de URL
Seleccione un método de carga en la lista desplegable:
• URL: la URL se analiza directamente en el analizador de máquina virtual.
• URL Download (Descarga de URL): el archivo al que hace referencia la URL se
descarga a Advanced Threat Defense Appliance, y el archivo descargado se
envía al analizador de máquina virtual para su análisis.
Solo se admiten HTTP, HTTPS y FTP, por lo que debe especificar el identificador de
protocolo en la URL.
Se recomienda introducir la URL completa. Cuando Advanced Threat Defense
analice dinámicamente la URL, es posible que el navegador añada los elementos
que faltan. Por ejemplo, si escribe http://google.com, es posible que el
navegador de la máquina virtual analizadora lo cambie a http://www.google
.com
Analyzer Profile
(Perfil de
analizador)
Seleccione el perfil de analizador deseado para la muestra.
McAfee Advanced Threat Defense 3.4.2
Solo se muestran los perfiles de analizador que tienen acceso a Internet de
malware y recinto aislado.
Guía del producto
289
7
Análisis de malware
Configurar la página Analysis Status (Estado de análisis)
Tabla 7-3 Definiciones de las opciones (continuación)
Opción
Definición
Advanced
(Avanzado)
Haga clic para especificar el modo de usuario interactivo para analizar la URL.
La opción Advanced (Avanzado) está disponible solo si envía el archivo
manualmente mediante la aplicación web McAfee Advanced Threat Defense.
Ciertos tipos de malware piden la intervención del usuario durante su ejecución.
El motivo habitual es el intento por parte del malware de comprobar si está
siendo analizado en un recinto aislado. En ausencia de intervenciones del
usuario, el malware podría tomar una ruta de ejecución alternativa o incluso
suspender completamente su ejecución.
Si selecciona esta opción, podrá acceder a la propia máquina virtual analizadora
en la que se esté ejecutando el malware y realizar las intervenciones requeridas.
Esto es similar a la ejecución de archivos en el modo usuario interactivo.
Consulte Cargar URL para su análisis en modo usuario interactivo en la página
281.
Submit (Enviar)
Haga clic para enviar la URL a McAfee Advanced Threat Defense para su análisis.
Una vez que la URL se ha cargado correctamente, aparece un mensaje.
• Nombre de archivo: la URL enviada
• Tamaño de archivo: tamaño de la muestra
• MD5: el valor de hash de MD5 calculado por Advanced Threat Defense
• Tipo MIME
3
Haga clic en Submit (Enviar).
Configurar la página Analysis Status (Estado de análisis)
Procedimiento
1
Seleccione Analysis (Análisis) | Analysis Status (Estado de análisis).
La página Analysis Status (Estado del análisis) lista los estados para los archivos enviados.
Figura 7-9 Estado de los archivos enviados para su análisis
Si no tiene permisos de administrador, solo podrá ver aquellos archivos que usted haya enviado. Un
usuario con permiso de administrador puede ver las muestras enviadas por cualquier usuario.
290
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Análisis de malware
Configurar la página Analysis Status (Estado de análisis)
2
7
En las listas desplegables, seleccione los criterios para ver y actualizar los estados de los archivos
analizados.
•
Establezca los criterios para mostrar registros en la página Analysis Status (Estado de análisis).
El intervalo de actualización predeterminado es 1 minuto.
•
Establezca la frecuencia con la que la página Analysis Status (Estado de análisis) debe actualizarse.
De forma predeterminada, se muestran los resultados de las últimas 24 horas. Puede especificar
este criterio basado tanto en el tiempo como en el número de muestras. Por ejemplo, puede
elegir ver el estado de los archivos enviados en los últimos 5 minutos o las últimas 100
muestras.
Para actualizar la página Analysis Status (Estado de análisis), haga clic en
3
Filtre los registros mostrados para localizar los que desee ver.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
291
7
Análisis de malware
Configurar la página Analysis Status (Estado de análisis)
Tabla 7-4 Opciones de filtrado
Opción
Definición
Search (Buscar)
Especifique el parámetro que desea usar para filtrar los registros. Haga clic en
Search (Buscar) y seleccione uno o más de los parámetros siguientes:
• Establezca los criterios para mostrar registros en la página Analysis Status
(Estado de análisis).
• File Name (Nombre de archivo): seleccione si desea filtrar según los
caracteres iniciales del nombre de archivo. Por ejemplo, si selecciona esta
opción y escribe cal como término de búsqueda, se listarán los archivos
cuyo estado empiece por cal.
• MD5: seleccione si desea filtrar basándose en los caracteres iniciales del valor
de hash de MD5.
• VM Profile (Perfil de máquina virtual): seleccione esta opción si desea filtrar
basándose en los perfiles de máquina virtual disponibles.
• File Type (Tipo de archivo): el tipo de formato de archivo enviado para el
análisis.
• Analyzer Profile: (Perfil de analizador): el perfil del analizador usado para el
análisis. Si el archivo solo se ha analizado mediante análisis estático, se
mostrará esto.
• User (Usuario): el nombre de inicio de sesión del usuario que envió el
archivo para su análisis.
• Source IP (IP de origen): la dirección IP del host que envió el archivo
analizado. Esto solo es relevante para archivos enviados automáticamente
por otros productos McAfee como Network Security Platform.
• Destination IP (IP de destino): la dirección IP del host de destino. Como en el
caso de la IP de origen, esto no es relevante para archivos enviados
manualmente.
• Job ID (ID de trabajo): número exclusivo asignado a todos los archivos.
• Task ID (ID de tarea): número exclusivo asignado a todos los archivos.
Los valores de Task ID (ID de tarea) y Job ID (ID de trabajo) son diferentes
para los archivos comprimidos, e iguales para los archivos sin comprimir.
• URL: lista de URL enviadas para el análisis.
Introduzca el término de búsqueda en el cuadro de texto adyacente.
Case Sensitive
(Distinguir
mayúsculas y
minúsculas)
Seleccione esta opción si desea que la búsqueda distinga entre mayúsculas y
minúsculas.
Supongamos que ha seleccionado File Name (Nombre de archivo) y Status (Estado) como criterios, y
que luego ha seleccionado Case Sensitive (Distinguir entre mayúsculas y minúsculas), y escrito Com.
Se listarán todos los registros con el estado completado y los archivos cuyo nombre empiece con
los caracteres Com.
292
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Configurar la página Analysis Status (Estado de análisis)
Tabla 7-5 Definiciones de las columnas
Columna
Definición
Submitted Time (Hora de
envío)
La marca de tiempo del momento en que se envió el archivo para su
análisis.
Status (Estado)
El estado actual del análisis.
• Waiting (En espera): esto suele indicar que McAfee Advanced Threat
Defense está esperando a que una máquina virtual analice
dinámicamente el archivo.
• Analyzing (En análisis): indica que el análisis aún está en curso.
• Completed (Completado): indica que el análisis del archivo ha finalizado.
Haga doble clic en el registro para ver el informe completo.
4
File Name (Nombre de
archivo)
El nombre del archivo que ha enviado para su análisis.
VM Profile (Perfil de
máquina virtual)
El perfil de la máquina virtual usada para el análisis dinámico. Si el
archivo solo se ha analizado mediante análisis estático, se mostrará esto.
MD5
El valor de hash MD5 para el archivo, calculado por McAfee Advanced
Threat Defense.
Analyzer Profile (Perfil de
analizador)
El perfil del analizador usado para el análisis. Si el archivo solo se ha
analizado mediante análisis estático, se mostrará esto.
User (Usuario)
El nombre de inicio de sesión del usuario que envió el archivo para su
análisis.
Source IP (IP de origen)
La dirección IP del host que envió el archivo analizado. Esto solo es
relevante para archivos enviados automáticamente por otros productos
McAfee como Network Security Platform.
Destination IP (IP de
destino)
La dirección IP del host de destino. Como en el caso de la IP de origen,
esto no es relevante para archivos enviados manualmente.
Oculte las columnas que no desee ver.
a
Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga
clic en la flecha desplegable.
b
Seleccione Columns (Columnas).
c
Seleccione de la lista solo los nombres de columna que desee.
Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada.
5
Para ordenar los registros basados en un determinado nombre de columna, haga clic en su
encabezado.
Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el
cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la
flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending
(Orden descendente). De forma predeterminada, los registros se muestran en orden descendente
de acuerdo con los valores de la columna Submitted Time (Hora de envío).
6
Para guardar la configuración de la página Analysis Status (Estado de análisis), haga clic en
McAfee Advanced Threat Defense 3.4.2
Guía del producto
293
7
Análisis de malware
Ver los resultados del análisis
Ver los resultados del análisis
Tras enviar un archivo para su análisis, puede ver los resultados en la página Analysis Results (Resultados
del análisis).
Los informes antiguos se borran cuando el disco da datos de McAfee Advanced Threat Defense alcanza
el 75 % de su capacidad. El espacio actual disponible en el disco de datos se puede ver en el monitor
System Health (Mantenimiento del sistema) del Dashboard (Panel). Si configura las opciones en FTP Result
Output (Salida resultante de FTP) en la página User Management (Administración de usuarios), entonces
McAfee Advanced Threat Defense guarda los resultados localmente además de mandarlos al servidor
FTP configurado para uso a largo plazo.
Procedimiento
1
Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis).
La página Analysis Results (Resultados del análisis) lista los estados para los archivos completados.
Figura 7-10 Estado de los archivos enviados para su análisis
Si no tiene permisos de administrador, solo podrá ver aquellos archivos que haya enviado usted
mismo. Un usuario con permiso de administrador puede ver las muestras enviadas por cualquier
usuario.
Haga clic en Export CSV (Exportar CSV) para exportar localmente el estado de los archivos
completados en formato CSV.
2
Especifique los criterios para ver y actualizar los registros de la página Analysis Results (Resultados
del análisis).
a
Establezca los criterios para mostrar registros en la página Analysis Status (Estado del análisis).
De forma predeterminada, se mostrará el estado de los archivos completados en las últimas 24
horas.
Puede especificar este criterio basado tanto en el tiempo como en el número de muestras. Por
ejemplo, puede elegir ver el estado de los archivos cuyo análisis se completó en los últimos 5
minutos o los últimos 100 archivos completados.
b
Establezca la frecuencia con la que la página Analysis Status debe actualizarse.
El intervalo de actualización predeterminado es 1 minuto.
c
294
Para actualizar la página Analysis Status (Estado del análisis), haga clic en
McAfee Advanced Threat Defense 3.4.2
.
Guía del producto
7
Análisis de malware
Ver los resultados del análisis
Tabla 7-6 Definiciones de las columnas
Columna
Reports (Informes)
Definición
Haga clic en
muestra.
para mostrar los tipos de informes disponibles para la
Haga clic en cualquiera de los informes disponibles para ver los detalles
correspondientes. Un determinado informe estará disponible solo si es
relevante en el caso del archivo analizado y se ha seleccionado en el
correspondiente perfil de analizador.
• Analysis Summary (HTML) (Resumen del análisis (HTML)): este informe está
disponible para todos los tipos de archivo. Este informe también se
mostrará cuando haga doble clic en un registro.
• Analysis Summary (PDF) (Resumen del análisis (PDF)): selecciónelo para ver
el informe en PDF.
• Dropped Files (Archivos depositados): seleccione este informe para ver los
archivos creados por la muestra durante el análisis dinámico.
• Disassembly Results (Resultados del desensamblaje): selecciónelo para ver
el código en lenguaje ensamblador obtenido del archivo mediante
ingeniería inversa. Este informe solo es relevante para muestras de
tipo .exe y .dll.
• Logic Path Graph (Gráfico de ruta lógica): selecciónelo para ver una
representación gráfica de qué subrutinas se han ejecutado durante el
análisis dinámico y cuáles no.
• Dynamic Execution Logs (Registros de ejecución dinámica): selecciónelo para
ver las llamadas de nivel de usuario de Windows a las API DLL
realizadas directamente por la muestra durante el análisis dinámico.
• Complete Results (Resultados completos): haga clic para descargar al
equipo local el archivo Zip que contiene todos los tipos de informe.
• Original Sample (Muestra original): haga clic para descargar la muestra que
se envió originalmente.
Submitted Time (Hora La marca de tiempo del momento en que se envió el archivo para su
análisis.
de envío)
McAfee Advanced Threat Defense 3.4.2
Guía del producto
295
7
Análisis de malware
Ver los resultados del análisis
Tabla 7-6 Definiciones de las columnas (continuación)
Columna
Definición
Severity (Gravedad)
La gravedad del archivo enviado.
File Name (Nombre
del archivo)
El nombre del archivo que ha enviado para su análisis.
User (Usuario)
El nombre de inicio de sesión del usuario que envió el archivo para su
análisis.
Analyzer Profile (Perfil El perfil del analizador usado para el análisis.
de analizador)
VM Profile (Perfil de
máquina virtual)
El perfil de la máquina virtual usada para el análisis dinámico. Si solo se
realizó análisis estático, esto es lo que se mostrará.
Hash
El valor de hash MD5 para el archivo, calculado por McAfee Advanced
Threat Defense.
File Size (Tamaño de El tamaño del archivo analizado en KB.
archivo)
3
Source IP (IP de
origen)
La dirección IP del host que envió el archivo analizado. Esto solo es
relevante para archivos enviados automáticamente por otros productos
McAfee como Network Security Platform.
Destination IP (IP de
destino)
La dirección IP del host de destino. Como en el caso de la IP de origen,
esto no es relevante para archivos enviados manualmente.
Elija las columnas que desee ocultar.
a
Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga
clic en la flecha desplegable.
b
Seleccione Columns (Columnas).
c
Seleccione de la lista solo los nombres de columna que desee.
Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada.
4
Para ordenar los registros basados en un determinado nombre de columna, haga clic en su
encabezado.
Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el
cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la
flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending
(Orden descendente).
De forma predeterminada, los archivos de muy alta gravedad se muestran en la parte superior de
la lista.
5
Para guardar la configuración de la página Analysis Results (Estado del análisis), haga clic en
Ver el informe Analysis Summary (Resumen del análisis)
El informe Analysis Summary (Resumen del análisis) es un sumario ejecutivo que detalla los
comportamientos clave del archivo de muestra. Este informe está disponible en formatos HTML, de
texto, PDF, XML, JSON, Open Indicators of Compromise (OpenIOC), y Structured Threat Information
eXpression (STIX).
Los formatos HTML, de texto y PDF están pensados para permitir la revisión del informe de análisis.
Puede acceder a los formatos HTML y PDF desde la aplicación web McAfee Advanced Threat Defense.
Los formatos HTML y de texto también están disponibles en el archivo reports.zip de la muestra, que
puede descargar a su equipo cliente.
296
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Análisis de malware
Ver los resultados del análisis
7
Los archivos XML y JSON proporcionan etiquetas para comportamientos conocidos de malware, que
permiten que un script de alto nivel extraiga información clave. Network Security Platform y McAfee
Web Gateway usan el formato JSON para mostrar los detalles del informe en sus interfaces de usuario.
Si la calificación de gravedad es de 3 o superior, entonces el informe Analysis Summary (Resumen del
análisis) está disponible en formatos OpenIOC (.ioc) y STIX (.stix.xml). Los formatos OpenIOC y STIX
son formatos reconocidos universalmente para compartir información sobre amenazas. Estos formatos
hacen posible compartir eficazmente los informes Analysis Summary (Resumen del análisis) con otras
aplicaciones de seguridad para comprender, detectar y contener mejor el malware. Por ejemplo, puede
enviar manualmente los informes OpenIOC y STIX a una aplicación, que puede consultar a los hosts
por los indicadores del informe. De esta forma, puede detectar los hosts infectados y, a continuación,
realizar las acciones necesarias para contener y quitar el malware.
Para obtener información genérica sobre OpenIOC, consulte http://www.openioc.org/. Por lo que
respecta a STIX, puede consultar https://stix.mitre.org/. El informe Analysis Summary (Resumen del
análisis) en formatos OpenIOC y STIX está disponible en el archivo zip Complete Results (Resultados
completos) para la muestra.
Procedimiento
1
Use lo siguiente para acceder al informe Analysis Summary (Resumen del análisis) en la aplicación
web McAfee Advanced Threat Defense:
a
Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis).
b
Para ver el informe en formato HTML, haga clic en
Summary (HTML) (Resumen del análisis (HTML)).
y, a continuación, seleccione Analysis
También puede hacer doble clic en el registro deseado.
c
2
Para ver el informe en formato PDF, haga clic en
(Resumen del análisis (PDF)).
y, a continuación en Analysis Summary (PDF)
Para acceder al informe Analysis Summary (Resumen del análisis) desde el archivo reports.zip,
haga lo siguiente:
a
Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis).
b
Haga clic en
c
Guarde los informes comprimidos en su equipo local.
y seleccione Complete Results (Resultados completos).
El nombre del archivo Zip depende del nombre del archivo de muestra.
d
Extraiga los contenidos del archivo Zip.
La carpeta AnalysisLog contiene el informe de análisis en los formatos HTML, texto, XML y
JSON. Si la calificación de gravedad es de 3 o superior, entonces también contendrá los
formatos OpenIOC y STIX. Puede identificar estos archivos por el nombre de archivo del
malware. El nombre de archivo del malware se agrega a _summary.html, _summary.json,
_summary.txt, _summary.xml, _summary.ioc y _summary.stix.xml.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
297
7
Análisis de malware
Ver los resultados del análisis
Las diferentes secciones del formato HTML del informe de resumen de análisis aparecen
reseñadas a continuación.
Figura 7-11 Informe Analysis Summary (Resumen del análisis)
298
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Ver los resultados del análisis
Tabla 7-7 Secciones del informe Analysis Summary
Elemento Descripción
1
Esta sección muestra los detalles del archivo de muestra. Incluye el nombre, valor
de hash y tamaño de archivo en bytes.
2
Sección Sección Analysis Results (Resultados del análisis) en la página 300
(Resultados del análisis). Esta sección proporciona los resultados de los métodos
usados para el archivo. Esta sección también muestra el nivel de gravedad del
archivo.
3
Sección Sección Analysis Environment (Entorno de análisis) en la página 301
(Entorno de análisis). Esta sección incluye detalles acerca de la máquina virtual
analizadora, las propiedades del archivo y demás.
4
Procesos analizados en esta muestra. Esta sección lista todos los archivos que se
ejecutaron durante el análisis dinámico del archivo de muestra. También
proporciona la razón de ejecución de cada archivo, así como su calificación de
gravedad.
La columna Reason (Razón) indica qué otros archivos o procesos han creado o
abierto este archivo. Si solo hay un archivo en la muestra, la razón mostrada será
loaded by MATD Analyzer (cargado por el analizador MATD). Si el archivo de
muestra es un Zip que contiene múltiples archivos o si un archivo abre otros
archivos, la razón para el primer archivos será created by <file name> & loaded by
MATD Analyzer (creado por <nombre de archivo> y enviado por analizador MATD).
Para los siguientes archivos, la columna Reason (Razón) indica todos los archivos o
procesos que lo han creado o abierto.
La columna Level (Nivel) indica el nivel de gravedad basándose en el análisis
dinámico de cada archivo.
•
: indica una calificación de gravedad de 0 y un nivel de amenaza
meramente informativo. Esta es la gravedad para los archivos de la lista blanca.
•
: indica una calificación de gravedad de 1 y un nivel de amenaza
muy bajo.
•
: indica una calificación de gravedad de 2 y un nivel de amenaza
bajo.
•
: indica una calificación de gravedad de 3 y un nivel de amenaza
medio.
•
: indica una calificación de gravedad de 4 y un nivel de amenaza
alto.
•
: indica una calificación de gravedad de 5 y un nivel de amenaza
muy alto.
Haga clic en un nombre de archivo para navegar hasta la sección del informe que
proporciona detalles sobre el comportamiento de ese archivo. De esta manera,
cuando haga clic en un nombre de archivo, se le llevará a la sección indicada como
7 en la ilustración anterior.
5
Sección Sección Classification / threat score (Clasificación / calificación de
amenaza) en la página 301 (Clasificación/calificación de gravedad). Esta sección
proporciona las calificaciones de seguridad individuales para varias características
de un malware típico.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
299
7
Análisis de malware
Ver los resultados del análisis
Tabla 7-7 Secciones del informe Analysis Summary (continuación)
Elemento Descripción
6
Sección análisis dinámico. Esta sección muestra el porcentaje del código del
archivo que se ejecutó. Por ejemplo, un archivo puede haber tomado una ruta
alternativa durante su ejecución debido a que parte del código no se ha ejecutado.
Esta sección también proporciona un breve resumen ejecutivo del comportamiento
del archivo, con sus correspondientes niveles de gravedad.
indica un comportamiento de gravedad muy baja.
indica un comportamiento de gravedad baja.
indica un comportamiento de gravedad media.
indica un comportamiento de gravedad alta.
indica un comportamiento de gravedad muy alta.
7
Sección detalles de operación. Esta sección proporciona información detallada
acerca de todas las operaciones realizadas por la muestra durante el análisis
dinámico. Estas operaciones aparecen agrupadas bajo los grupos correspondientes.
Expanda cada grupo para ver las operaciones específicas. Por ejemplo, expanda
Files Operations (Operaciones de archivos) para ver los archivos o directorios creados,
quitados, modificados o leídos y demás.
8
GTI File Reputation (Reputación de los archivos GTI). Proporciona la reputación
McAfee GTI y gravedad para la URL.
9
Actividad de red. Esta sección proporciona los detalles de cada operación de red
realizada por un archivo durante el análisis dinámico.
10
Sección capturas de pantalla. Esta sección muestra todas las ventanas emergentes
aparecidas durante el análisis dinámico. Viendo estas capturas de pantalla, puede
determinar si se requiere la intervención del usuario durante el análisis dinámico
para conocer el verdadero comportamiento del archivo. Si se requiere dicha
intervención, puede enviar el archivo manualmente en el modo usuario interactivo.
Sección Analysis Results (Resultados del análisis)
Esta es una sección del informe Analysis Summary (Resumen del análisis). En esta sección puede ver
qué métodos han informado de que un archivo de muestra contiene malware.
Tabla 7-8 Selecciones de análisis
Etiqueta
Descripción
Engine (Motor)
Estos son los métodos posibles que McAfee Advanced Threat Defense usa para
analizar un archivo.
• GTI File Reputation (Reputación de los archivos GTI): Indica McAfee GTI que
está en la nube.
• Gateway Anti_Malware: Indica motor McAfee Gateway Anti-Malware Engine.
• Anti-Malware: Indica motor McAfee Anti-Malware Engine.
• Sandbox (recinto aislado): Indica que el archivo se ha ejecutado en una
máquina virtual analizadora. Consulte la sección Analysis Environment
(Entorno de Análisis) dentro del informe para ver los detalles de esa máquina
virtual.
Threat Name (Nombre Indica el nombre del malware conocido en McAfee GTI, motor Gateway
Anti-Malware Engine McAfee y motor Anti-Malware EngineMcAfee.
de la amenaza)
Severity (Gravedad)
300
Indica la calificación de gravedad según varios métodos. La calificación de
gravedad final que se asigna a la muestra será igual a la mayor calificación
obtenida por los diferentes métodos.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Ver los resultados del análisis
Sección Analysis Environment (Entorno de análisis)
Esta es una sección del informe Analysis Summary (Resumen del análisis). En esta sección puede
encontrar los siguientes detalles:
•
Detalles de la correspondiente máquina virtual analizadora, como el sistema operativo, el
navegador y la versión, así como las aplicaciones instaladas en la máquina virtual analizadora y sus
versiones.
Figura 7-12 Sección Analysis Environment (Entorno de análisis)
•
La hora a la que se envió la muestra según el reloj del dispositivo McAfee Advanced Threat
Defense.
•
El tiempo que se tarda en analizar el archivo y generar los informes.
•
La tabla de la derecha muestra las propiedades del archivo. Incluye información como:
•
•
Firmados o no firmados para la firma digital del archivo.
•
Nombre del editor, si está disponible.
•
Información de la versión
•
Nombre original del archivo, para que pueda buscar en otras fuentes, como por ejemplo
Internet.
Baitexe: proceso infectado o no. Al final de cada análisis McAfee Advanced Threat Defense crea un
proceso adicional llamado Baitexe. Este programa Baitexe realiza llamadas únicamente a dos API
continuamente (beep y sleep). Si el proceso Baitexe se ve infectado por la muestra previamente
ejecutada, su comportamiento cambia. En tal caso, se mostrará el mensaje Baitexe activated and
infected (Baitexe activado e infectado). Si el proceso Baitexe no se ve infectado, se mostrará el
mensaje Baitexe activated but not infected (Baitexe activado pero no infectado).
Sección Classification / threat score (Clasificación / calificación de
amenaza)
Esta es una sección del informe Analysis Summary (Resumen del análisis), que proporciona las
calificaciones de gravedad para varias características del malware.
Tabla 7-9 Sección Classification / threat score (Clasificación / calificación de amenaza)
Etiqueta
Descripción
Persistence, Installation Boot Survival
(Persistencia, Supervivencia a
reinicio)
Ciertos tipos de malware tiene la capacidad de permanecer en
el host infectado. Esto se conoce como persistencia. La
supervivencia al reinicio se refiere a la capacidad del malware
para permanecer en el equipo incluso tras un reinicio.
Hiding, Camouflage, Stealthness, Detection
and Removal Protection (Ocultación,
Camuflaje, Sigilo, y Protección
contra la detección y eliminación)
Se refiere a la capacidad del malware para evitar que se detecte
y elimine.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
301
7
Análisis de malware
Ver los resultados del análisis
Tabla 7-9 Sección Classification / threat score (Clasificación / calificación de amenaza)
(continuación)
Etiqueta
Descripción
Security Solution / Mechanism bypass,
termination and removal, Anti Debugging, VM
Detection (Solución de seguridad /
Omisión de mecanismos,
terminación y eliminación,
Anti-depuración, Detección de
máquina virtual)
Se refiere a la capacidad del malware para omitir o burlar a los
métodos y motores de detección. Ciertos tipos de malware
están dotados de código anti-desensamblaje capaz de confundir
o retrasar el análisis de malware. Algunos tipos de malware
intentan determinar si están siendo ejecutados en un recinto
aislado. Si lo detectan, pueden tratar de hallar una diferente
ruta de acceso en la que ejecutarse. Esta calificación indica la
presencia de estos tipos de código en el malware.
Spreading (Diseminación)
Indica la capacidad del malware para esparcirse a través de la
red.
Exploiting, Shellcode (Explotación,
Código shell)
Indica la presencia de código shell, que es capaz de explotar un
programa en ejecución.
Networking (Comportamiento en la
red)
Indica el comportamiento en la red del malware durante el
análisis dinámico. Por ejemplo, el malware puede haber
realizado consultas de DNS o haber creado sockets. Si se da
una calificación de gravedad para esta característica, compárela
con los detalles de Network Operations (Operaciones de red)
para los archivos de la muestra.
Data spying, Sniffing, Keylogging, Ebanking Indica si el malware es capaz de alguno de estos
Fraud (Espionaje de datos, Rastreo, comportamientos.
Captura de pulsaciones del teclado,
Fraude bancario)
Sección Operations details (Detalles de operación)
Esta sección proporciona los detalles de cada operación realizada por un archivo durante el análisis
dinámico. Se proporcionan secciones separadas para cada archivo que se haya ejecutado como parte
de la muestra.
302
•
Run-time DLLs (Archivos DLL de tiempo de ejecución): Lista todas las DLL y las rutas de acceso a
las que el archivo realizara llamadas durante el tiempo de ejecución.
•
File operations (Operaciones del archivo): Lista las actividades del archivo, incluidas las
operaciones de creación, apertura, consulta, modificación, copia, cambio de ubicación, eliminación
y creación/borrado de directorios. Esta sección también lista los atributos de archivo y los valores
de hash MD5 de los archivos.
•
Registry operations: (Operaciones de registro): Proporciona los detalles de las operaciones de
registro de Windows, como crear/abrir, eliminar, modificar y realizar consultas en subclaves de
registro y puntos de entrada clave.
•
Process operations (Operaciones de proceso): Detalla las operaciones de proceso, como la creación
o terminación de procesos, creación de servicios y la inserción de código en otros procesos.
•
Networking operations: (Operaciones de red): Detalla las operaciones de red, tales como las
consultas DNS, actividades de socket TCP y la descarga de archivos HTTP.
•
Other operations (Otras operaciones:): Proporciona detalles acerca de las operaciones que no
pertenezcan a estas categorías. Algunos ejemplos son los objetos de exclusión mutua, o la
obtención de las medidas del sistema y datos de configuración de la máquina virtual analizadora.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Ver los resultados del análisis
Informe Dropped Files (Archivos depositados)
Puede descargarse un archivo .zip que contiene todos los archivos que la muestra ha creado o
manipulado durante el análisis dinámico. Puede descargar esos archivos mediante uno de los métodos
siguientes.
•
•
En la página Analysis Results (Análisis de resultados) (Analysis | Analysis Results), haga clic en
y
seleccione Dropped Files (Archivos depositados). Descargue el archivo dropfiles.zip, que contiene los
archivos que la muestra ha creado en el recinto aislado. Para poder usar esta opción, debe tener
activada la opción Dropped Files en el perfil de analizador correspondiente.
Después de hacer clic en , seleccione Complete Results (Resultados completos). Descargue el
archivo <sample_name>Zip. Este archivo .zip contiene el mismo dropfiles.zip dentro de la carpeta
AnalysisLog. Complete Results (Resultados completos) contiene el archivo dropfiles.zip tanto si
tiene activada la función Dropped Files (Archivos depositados) en el perfil de analizador
correspondiente como si no.
Disassembly Results (Resultados de desensamblaje)
El informe Disassembly Results (Resultados de desensamblaje) proporciona la lista de salida de
desensamblaje para archivos ejecutables portátiles (PE). Este informe se basa en el archivo de
muestra una vez que se ha completado el proceso de desempaquetado. Proporciona información
detallada acerca del archivo de malware, como por ejemplo la información de encabezado del archivo
ejecutable portátil.
El informe Disassembly Results incluye la siguiente información:
•
Fecha y hora de creación del archivo de muestra
•
Información de ejecutable portátil y encabezado opcional
•
Información de diversos encabezados de sección
•
El listado de desensamblaje de Intel
Puede ver el informe Disassembly Results en la aplicación web McAfee Advanced Threat Defense o
descargarlo como un archivo en el equipo cliente. El contenido del informe es igual con ambos
métodos.
•
Para ver el informe Disassembly Results en la aplicación web McAfee Advanced Threat Defense,
seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). En la página Analysis Results (Resultados
del análisis), haga clic en
y seleccione Disassembly Results (Resultados de desensamblaje). Para
usar esta opción, debe tener activada la opción Disassembly Results en el perfil de analizador
correspondiente.
•
Para descargar el informe como archivo, haga clic en
la página Analysis Results (Resultados del
análisis) y seleccione Complete Results (Resultados completos). Descargue el archivo
<sample_name>Zip. Este archivo .zip contiene un archivo denominado <file name>_detail.asm en
la carpeta AnalysisLog. Zip Report (Informe comprimido) contiene este archivo .asm tanto si tiene
activada la opción Disassembly Results (Resultados de desemsamblaje) en el correspondiente perfil de
analizador como si no.
El informe Disassembly Results proporciona las instrucciones de ensamblador junto con cualquier
nombre de llamada estática estándar, como por ejemplo printf o los nombres de llamada de DLL API
de Windows incrustados en el listado. Si en el código se referencian las variables globales como texto
de cadena, estos textos de cadena también se mostrarán.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
303
7
Análisis de malware
Ver los resultados del análisis
Tabla 7-10 Una sección de un informe Disassembly Results de muestra
Columna 1
Columna 2
Columna 3
:00401010
e8 1f2c0000
call 00403c34
;;call URLDownloadToFileA
La columna 1 muestra la dirección virtual de la instrucción, la columna 2 presenta la instrucción
binaria, y la columna 3 muestra la instrucción de ensamblaje con sus comentarios. En el ejemplo
anterior, la instrucción call 00403c34 en la ubicación de memoria 00401010 está realizando una
llamada funcional a la ubicación de memoria 0x403c34, determinada por la función de llamada a la
DLL API del sistema determinada como URLDownloadToFileA(). El comentario mostrado con el ;; en
este listado proporciona el nombre de la función de biblioteca.
Logic Path Graph (Gráfico de ruta lógica)
Este informe es una representación gráfica de las referencias cruzadas de llamadas de función
descubiertas durante el análisis dinámico. Este informe permite ver las subrutinas del archivo
analizado que se ejecutaron durante el análisis dinámico, así como aquellas potencialmente no
ejecutadas. Esta funciones no ejecutadas podrían ser posibles bombas de relojería, esperando a
activarse cuando se den las condiciones adecuadas.
El informe Logic Path Graph (Gráfico de ruta lógica) está disponible como un archivo GML (Graph
Modeling Language). Este archivo está en formato de texto simple ASCII que contiene una
representación gráfica de las rutas lógicas de ejecución de la muestra en el formato GML. No puede
ver este archivo directamente desde la aplicación web McAfee Advanced Threat Defense, pero puede
descargarlo a su equipo cliente. A continuación, use un editor de diseño gráfico compatible con el
formato GML, como yWorks yEd Graph Editor. Puede usar el editor para mostrar las referencias
cruzadas de todas las funciones, usando el archivo como entrada.
Puede descargar el archivo Logic Path Graph mediante uno de los métodos siguientes.
•
•
304
y
En la página Analysis Results (Análisis de resultados) (Analysis | Analysis Results), haga clic en
seleccione Logic Path Graph (Gráfico de ruta lógica). A continuación, descargue el archivo <file
name>_logicpath.gml. Para usar esta opción, debe tener activada la opción Logic Path Graph (Gráfico
de ruta lógica) en el correspondiente perfil de analizador.
Después de hacer clic en , seleccione Complete Results (Resultados completos). Descargue el
archivo <sample_name>Zip. Este archivo .zip file contiene el mismo archivo <file
name>_logicpath.gml en la carpeta AnalysisLog. Zip Report (Informe comprimido) contiene el
archivo <file name>_logicpath.gml tanto si tiene activada como si no la opción Logic Path Graph
(Gráfico de ruta lógica) en el correspondiente perfil de analizador.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Ver los resultados del análisis
Esta sección usa yWorks yEd Graph Editor para explicar cómo usar el archivo Logic Path Graph GML.
En el editor yEd Graph Editor, debe configurar primero Routing Style (Estilo de enrutamiento). Solo
necesita hacerlo la primera vez, ya que esta configuración se guarda para posteriores usos.
1
En yEd Graph Editor, seleccione Layout (Diseño) | Hierarchical (Jerárquico).
2
En el cuadro de diálogo Incremental Hierarchic Layout (Diseño jerárquico incremental), seleccione la ficha
Edges (Bordes) y seleccione Polyline (Polilínea) en la lista desplegable Routing Style (Estilo de
enrutamiento).
Figura 7-13 Configuración de estilo de enrutamiento en yEd Graph Editor
3
Haga clic en OK (Aceptar).
McAfee Advanced Threat Defense 3.4.2
Guía del producto
305
7
Análisis de malware
Ver los resultados del análisis
Al abrir el archivo <file name>_logicpath.gml en yEd Graph Editor, se pueden ver múltiples cajas
rectangulares superpuestas o una sola caja rectangular, tal y como se muestra en el siguiente
ejemplo.
Figura 7-14 Abra el archivo <file name>_logicpath.gml
306
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Análisis de malware
Ver los resultados del análisis
7
En yEd Graph Editor, seleccione Layout (Diseño) | Hierarchical (Jerárquico).
Figura 7-15 Cuadro de diálogo Incremental Hierarchic Layout
McAfee Advanced Threat Defense 3.4.2
Guía del producto
307
7
Análisis de malware
Ver los resultados del análisis
En el cuadro de diálogo Incremental Hierarchic Layout (Diseño jerárquico incremental), haga clic en Ok
(Aceptar) sin cambiar ninguno de los valores predeterminados. El siguiente ejemplo muestra el
esquema completo de la relación entre todas las subrutinas detectadas durante el proceso de
desensamblaje estático.
Figura 7-16 Esquema de relación de subrutinas
El gráfico muestra una vista general de la complejidad de la muestra, según las referencias cruzadas
de llamadas de función. A continuación se muestran más detalles de los nombres de las funciones y
sus direcciones, al hacer zoom.
Figura 7-17 Acercar zoom al esquema
308
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Ver los resultados del análisis
Se usan dos colores para indicar la ruta ejecutada. Las líneas rojas discontinuas muestran las rutas no
ejecutadas, y las líneas continuas azules muestras las rutas ejecutadas.
Según el anterior gráfico de control, la subrutina (Sub_004017A0) en la dirección virtual 0x004017A0
se ha ejecutado y se muestra por tanto apuntando con una línea continua azul hacia la caja
Sub_004017A0. Sin embargo, no se ha llamado a la subrutina (GetVersion]), ya que hay una línea
roja discontinua que apunta hacia ella.
La subrutina Sub_004017A0 ha realizado 11 llamadas, ya que hay 11 líneas que salen de la misma.
Siete de esas 11 llamadas se realizaron durante el análisis dinámico. Una de ellas llama a
Sub_00401780, dado que hay una línea continua azul que apunta a Sub_004017A0 desde
Sub_00401780. Las llamadas a Sub_00401410, printf, Sub_00401882, y Sub_00401320 no se
ejecutaron y por ello se muestran con líneas discontinuas rojas.
La subrutina Sub_00401780 solo ha realizado una única llamada, ya que solo hay una línea que salga
de la misma. Esta llamada se ha ejecutado durante el análisis dinámico.
User API Log (Registro de las API de usuario)
Los registros de las API de usuario se encuentran almacenados en varios archivos.
•
El archivo .log contiene las llamadas de nivel de usuario de Windows realizadas directamente por el
archivo analizado durante el análisis dinámico. Para ver este archivo en la aplicación web McAfee
Advanced Threat Defense, seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis). A
continuación, seleccione
y seleccione User API Log (Registro de las API de usuario). (Resultados
completos).Después de hacer clic en , seleccione Complete Results (Resultados completos).
Descargue el archivo <sample_name>Zip. Este archivo Zip contiene la misma información que el
archivo <sample name>.log de la carpeta AnalysisLog. El contenido del archivo .log incluye lo
siguiente:
•
•
Un registro de toda la secuencia de llamadas a las API DLL del sistema.
•
Una dirección que indica la dirección aproximada desde la que se efectuó la llamada a las API
DLL.
•
Parámetros opcionales de entrada y salida, y código de retorno para las llamadas a las DLL API
de sistemas clave.
Lo siguiente son los demás archivos que contienen los registros de ejecución dinámica. Todos estos
archivos están contenidos dentro del archivo <sample name>Zip.
•
Archivo <sample name>ntv.txt. Este archivo contiene la versión Windows Zw de la secuencia de
llamadas realizadas durante el análisis dinámico a las API de servicios de sistemas nativos. El
nombre de la API suele empezar con Zw, como en ZwCreateFile.
•
log.zip
•
dump.zip
•
dropfiles.zip
•
networkdrive.zip
Descarga de resultados completos en un archivo .zip
McAfee Advanced Threat Defense crea un análisis detallado para cada muestra enviada. Todos los
informes disponibles para una determinada muestra analizada se recopilan en un archivo .zip que
puede descargarse desde la aplicación web McAfee Advanced Threat Defense.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
309
7
Análisis de malware
Ver los resultados del análisis
Procedimiento
1
2
Seleccione Analysis (Análisis) | Analysis Results (Resultados del análisis).
En la página Analysis Results (Resultados del análisis), haga clic en
(Resultados completos).
y seleccione Complete Results
Descargue el archivo <sample_name>.zip a la ubicación que desee. El archivo .zip contiene los
informes de cada análisis. Los archivos en este .zip se han creado y recopilado usando una
convención estándar. Supongamos que la muestra enviada se llama vtest32.exe. En ese caso el
archivo .zip contendrá los siguientes resultados:
•
vtest32_summary.html (.json, .txt, .xml): igual que el informe Analysis Summary (Resumen del
análisis). En el archivo .zip habrá cuatro formatos de archivo para el mismo resumen de
informe. Los archivos html y txt sirven principalmente para que los usuarios finales revisen el
informe de análisis. Los archivos .json y .xml proporcionan etiquetas para comportamientos
conocidos de malware, que permiten que un script de alto nivel extraiga información clave.
Si la calificación de gravedad es de 3 o superior, contendrá el informe de Resumen de análisis
para la muestra en formato .ioc y .stix.xml.
•
vtest32.log: este archivo captura las actividades de llamada a las API DLL de nivel de usuario de
Windows realizadas durante el análisis dinámico. Debe examinar cuidadosamente este archivo
para comprender la secuencia completa de llamadas API, así como los parámetros de entrada y
salida. Es el mismo que el informe User API Log (Registro de las API de usuario).
•
vtest32ntv.txt: este archivo captura las llamadas realizadas durante el análisis dinámico a las
API de servicios nativos de Windows.
•
vtest32.txt: este archivo muestra la información de encabezado de los archivos ejecutables
portátiles.
•
vtest32_detail.asm: este es el mismo que el informe Disassembly Results (Resultados de
desensamblaje). Este archivo contiene el listado de desensamblaje mediante ingeniería inversa
de la muestra, una vez desempaquetada o descifrada.
•
vtest32_logicpath.gml: este archivo es una representación gráfica de las referencias cruzadas
de llamadas de función descubiertas durante el análisis dinámico. Es el mismo que en el informe
Logic Path Graph (Gráfico de ruta lógica).
•
log.zip: este archivo contiene todos los archivos de registro de tiempo de ejecución para todos
los procesos afectados por la muestra durante el análisis dinámico. Si la muestra genera algún
texto de salida de consola, este mensaje de texto se captura en el archivo ConsoleOutput.log,
que puede encontrar en el archivo log.zip. Use cualquier utilidad normal para descomprimir el
archivo log.zip y ver los archivo contenidos en el mismo.
•
dump.zip: este archivo contiene el volcado de memoria (dump.bin) de código binario de la
muestra durante el análisis dinámico. El archivo está protegido mediante contraseña. La
contraseña es virus.
•
dropfiles.zip: es igual que el informe Dropped Files (Archivos depositados) en la página Analysis
Results (Resultados del análisis). El archivo dropfiles.zip contiene todos los archivos creados o
manipulados por la muestra durante el análisis dinámico. También está protegida con
contraseña. La contraseña es virus.
McAfee Advanced Threat Defense no le permite acceder a los archivos de muestra originales que ha
analizado. Si Network Security Platform está integrada, puede usar la opción Save File (Guardar
archivo) en Advanced Malware Policy (Directiva avanzada de malware) para archivar muestras. Sin
embargo, tenga en cuenta que la capacidad de Sensor para analizar simultáneamente se ve
reducida si la opción Save File (Guardar archivo) está activada. Consulte la versión más reciente de
Network Security Platform IPS Administration Guide (Guía de administración de IPS) para ver los
detalles.
310
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
Descargue la muestra original
McAfee Advanced Threat Defense permite al usuario descargar los archivos enviados originalmente.
Todas las muestras enviadas están disponibles en un archivo .zip, que puede descargar siguiendo los
pasos detallados a continuación.
Procedimiento
1
Seleccione Manage (Administrar) | User Management (Administración de usuarios).
2
En la página User Management (Administración de usuarios), seleccione su perfil de usuario.
3
Active la opción Sample Download (Descarga de muestras).
4
Seleccione Analysis Results (Resultados del análisis), haga clic en el icono Reports (Informes) y
seleccione Original Sample (Muestra original).
5
Guarde el archivo comprimido atd_sample.zip en su equipo local.
6
Extraiga el contenido de atd_sample.zip usando como contraseña la palabrainfected.
Trabajar con el panel McAfee Advanced Threat Defense
Al acceder a McAfee Advanced Threat Defense desde un navegador cliente se mostrará el panel
McAfee Advanced Threat Defense. Puede ver los siguientes monitores en el panel McAfee Advanced
Threat Defense:
•
Estado de creación de máquina virtual: muestra el estado de las máquinas virtuales analizadoras
creadas.
•
File counters (Contadores de archivos): proporciona el estado de los archivos que se están
analizando.
•
Top 5 URLs Analyzed by GTI (5 URL principales analizadas por GTI): muestra las cinco URL más
graves que está analizando GTI.
•
Top 5 URLs (5 URL principales): muestra las cinco URL más graves que se están analizando.
•
Profile Usage (Uso de perfiles): muestra el número de archivos que se están analizando en
diferentes perfiles de analizador.
•
(Archivos analizados por motor): proporciona la gravedad y el número de archivos analizados por
GAM, GTI y Sandbox (Recinto aislado).
•
Top 10 File Types by Volume (Los 10 tipos principales de archivo por volumen): proporciona una
vista de los diez mayores números de archivos de tipos diferentes que se están analizando.
•
Top 5 Recent Malware by Filename (Los cinco archivos de malware principales más recientes por
nombre de archivo): muestra los cinco archivos de malware más graves en la red por nombre de
archivo.
•
Top 10 Malware by Threat Name (Los diez archivos de malware principales por nombre de
amenaza): muestra los diez archivos de malware más graves en la red por nombre de amenaza.
•
System Health (Mantenimiento del sistema): proporciona los detalles sobre mantenimiento del
sistema de McAfee Advanced Threat Defense Appliance.
•
System Information (Información del sistema): proporciona los números de versión para los
componentes de software de McAfee Advanced Threat Defense Appliance.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
311
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
Procedimiento
1
Haga clic en Dashboard (Panel) para ver los monitores.
2
Especifique los criterios según los cuales se mostrará la información en los monitores.
a
Especifique el periodo de tiempo para el que desea que se muestre la información en los
monitores.
Por ejemplo, puede elegir ver información para la última hora. De forma predeterminada, se
mostrarán los datos para los últimos 14 días. Este campo no afecta a los monitores de
mantenimiento del sistema e información del sistema.
b
Para actualizar los monitores, haga clic en
c
Para editar la configuración del panel, haga clic en
.
.
Tabla 7-11 Configuración del panel
Opción
Definición
Monitors (Monitores)
Seleccione los monitores que desea ver en el panel.
Automatic Refresh
(Actualización
automática)
Establece la frecuencia con la que el panel se actualizará
automáticamente.
Si desea actualizar el panel de forma exclusivamente manual,
seleccione Disabled (Desactivado). Cuando desee actualizar el
panel, haga clic en
. Esto permite ver una instantánea del
panel en un momento determinado del tiempo.
d
3
Layout (Diseño)
Especifique el número de columnas en las que desea organizar el
panel.
OK (Aceptar)
Haga clic para guardar y aplicar la configuración del panel.
Cancel (Cancelar)
Haga clic para restablecer la última configuración guardada.
Haga clic en
para guardar la configuración del panel.
Opcionalmente, puede establecer la configuración de pantalla para cada monitor.
•
Para contraer un monitor, haga clic en
•
Para ocultar un monitor, haga clic en
•
Para cambiar el formato de presentación de un monitor, haga clic en
Monitores de análisis de malware
A continuación se listan los monitores relacionados con el análisis de malware.
312
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
File Counters (Contadores de archivos)
Este monitor muestra el estado de análisis para los archivos enviados durante el periodo de tiempo
especificado. Por ejemplo, si establece el periodo de tiempo para los datos del panel como los últimos
5 minutos, este monitor muestra el recuento de archivos en estado completado, analizado y en espera
durante los últimos 5 minutos. Si examina este monitor en formato de gráfico de barras apiladas,
también se muestra el nivel de gravedad de los archivos.
Figura 7-18 Monitor de contadores de archivos
•
Los niveles de gravedad se muestran mediante un código de colores.
•
Para ocultar los archivos que tengan un determinado nivel de gravedad, haga clic en el
correspondiente nivel en la leyenda. Por ejemplo, si desea centrarse solo en los archivos
maliciosos, haga clic en Not Malicious (No maliciosos) y en Not Rated (No calificados) en la leyenda.
Ahora el gráfico muestra solo el malware de alto nivel de gravedad que se encuentre en estado de
espera, en ejecución o completado. Haga clic de nuevo en Not Malicious (No maliciosos) y en Not Rated
(No calificados) para ver el gráfico completo.
•
Pase el cursor sobre un determinado bloque del gráfico para ver el número de archivos que lo
conforman.
Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto,
Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran
los registros ordenados por el bloque seleccionado.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
313
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
Top 10 File Types by Volume (Los 10 tipos principales de archivo por volumen)
Este monitor muestra el recuento (basado en volumen) de los 10 tipos principales de archivo. En
formato de tabla, muestra el porcentaje de cada tipo. En formato de gráfico, también se muestra el
recuento de archivos maliciosos, no maliciosos y no calificados.
Figura 7-19 Monitor de 10 principales tipos de archivo por volumen
•
Los recuentos de archivos maliciosos, no maliciosos y no calificados se indican mediante un código
de colores.
•
Para ocultar los archivos maliciosos o no maliciosos, haga clic en el correspondiente nivel de
gravedad en la leyenda.
•
Pase el cursor sobre un determinado bloque del gráfico para ver el número de archivos que lo
conforman.
Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto,
Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran
los registros ordenados por el bloque seleccionado.
Profile Usage (Uso de perfiles)
Este monitor muestra el número de veces que se ha usado cada perfil de analizador para analizar
archivos.
Figura 7-20 Monitor de uso de perfiles de análisis
314
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
Top 5 Recent Malware by File Name (Los 5 tipos principales de malware por
nombre de archivo)
En este monitor puede ver los nombres de cinco archivos maliciosos detectados en su red, con los de
mayor gravedad en la parte superior. Esta información puede permitir ulteriores investigaciones, tales
como buscar más información acerca de dichos archivos en Internet.
•
Los archivos de malware de la lista aparecen ordenados según su nivel de gravedad, en orden
descendente.
•
La primera columna muestra el nombre de los archivos. La segunda columna muestra el nivel de
gravedad.
Figura 7-21 Monitor de 5 tipos principales de malware por nombre de archivo
Top 10 Malware by Threat Name (Los 10 tipos principales de malware por nombre
de amenaza)
En este monitor puede ver los nombres de los diez archivos de malware de mayor gravedad en su red,
organizados por nombre de amenaza.
Figura 7-22 Top 10 Malware by Threat Name (Los 10 tipos principales de malware por nombre de
amenaza)
Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto,
Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran
los registros ordenados por el bloque seleccionado.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
315
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
Files Analyzed by Engine (Archivos analizados por motor)
En este monitor puede ver la gravedad y el número de archivos analizados por GAM, GTI y Sandbox
(Recinto aislado).
Figura 7-23
Files Analyzed by Engine (Archivos analizados por motor)
Este monitor tiene funciones de acceso a información detallada. Al hacer clic en un bloque concreto,
Advanced Threat Defense lleva a la página Analysis Results (Resultados del análisis), donde se muestran
los registros ordenados por el bloque seleccionado.
Top 5 URLs Analyzed by GTI (Las 5 URL principales analizadas por GTI)
En este monitor puede ver los nombres de las cinco URL de mayor gravedad analizadas por GTI. Esta
información puede permitir ulteriores investigaciones, tales como buscar más información acerca de
dichos archivos en Internet.
•
Los archivos de malware de la lista aparecen ordenados según su nivel de gravedad, en orden
descendente.
•
La primera columna muestra el nombre de los archivos. La segunda columna muestra el nivel de
gravedad.
Figura 7-24 Top 5 URLs Analyzed by GTI (Las 5 URL principales analizadas por GTI)
5 URL principales
En este monitor puede ver los nombres de cinco archivos maliciosos detectados en su red, con los de
mayor gravedad en la parte superior. Esta información puede permitir ulteriores investigaciones, tales
como buscar más información acerca de dichos archivos en Internet.
•
Los archivos de malware de la lista aparecen ordenados según su nivel de gravedad, en orden
descendente.
•
La primera columna muestra el nombre de los archivos. La segunda columna muestra el nivel de
gravedad.
Figura 7-25
316
5 URL principales
McAfee Advanced Threat Defense 3.4.2
Guía del producto
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
Monitor de estado de creación de máquina virtual
Este monitor muestra distintos colores para indicar el estado de la creación de máquinas virtuales. A
continuación se muestra el código de colores utilizado:
En curso: amarillo
Error: rojo
Operación finalizada correctamente: verde
A continuación se muestra un ejemplo del monitor VM Creation Status (Estado de creación de máquina virtual)
cuando el estado de creación de máquina virtual es "Operación finalizada correctamente":
Figura 7-26 Monitor de estado de creación de máquina virtual
Monitores de rendimiento de McAfee Advanced Threat Defense
A continuación se listan los monitores relacionados con el rendimiento de McAfee Advanced Threat
Defense Appliance.
System Health (Mantenimiento del sistema)
Este monitor muestra el estado de mantenimiento de McAfee Advanced Threat Defense Appliance en
una tabla.
•
System Health (Mantenimiento del sistema): indica si el sistema se encuentra en buen estado. El
color "verde" indica un buen estado, mientras que el color "rojo" indica un mal estado.
•
DNS Status (Estado de DNS): indica el estado de la conexión entre Advanced Threat Defense y los
servidores DNS configurados. Si Advanced Threat Defense puede establecer conexión con el
servidor DNS preferido y el alternativo, el estado de DNS será Healthy (Correcto) y se mostrará el
color verde. Si Advanced Threat Defense no puede establecer conexión con el servidor DNS
preferido, el estado de DNS será Critical (Crítico) y se mostrará el color rojo. Si Advanced Threat
Defense no está conectado a ningún servidor DNS preferido, el estado de DNS será Not Configured
(No configurado) y se mostrará el color rojo.
•
Uptime (Tiempo de actividad): el número de horas que el appliance ha estado en ejecución de
forma continua.
•
CPU Load (Carga de CPU): la carga del sistema. Por ejemplo, una carga de CPU de 100% indica
que la CPU está completamente cargada; 125% indica que la CPU está completamente cargada y
queda por procesar un 25% de la carga.
•
Memory Utilization (Utilización de memoria): el porcentaje de la memoria del appliance que está
actualmente en uso.
•
Data Disk Space (Espacio del disco de datos): la capacidad del disco del appliance (en terabytes)
para almacenamiento de datos de muestra, como las muestras en sí y sus archivos de informes.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
317
7
Análisis de malware
Trabajar con el panel McAfee Advanced Threat Defense
•
Data Disk Available (Disponibilidad de disco de datos): el espacio actualmente disponible (en
terabytes) para el almacenamiento de datos de muestra.
Figura 7-27 Monitor de mantenimiento del sistema
•
System Disk Space (Espacio del disco del sistema): la capacidad del disco del appliance para
almacenar los datos de software del sistema McAfee Advanced Threat Defense.
•
System Disk Available (Disco disponible del sistema): espacio de disco disponible actualmente para
almacenar los datos de software del sistema McAfee Advanced Threat Defense.
System Information (Información del sistema)
Este monitor muestra los números de versión de los componentes de software relacionados con
McAfee Advanced Threat Defense.
Figura 7-28 Monitor de información del sistema
318
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee
Advanced Threat Defense Appliances
Si desea analizar un número de archivos de gran tamaño en busca de contenido malicioso, puede
agrupar en clústeres uno o varios McAfee Advanced Threat Defense Appliances. De este modo, la
carga de análisis se equilibra de manera eficiente entre los McAfee Advanced Threat Defense
Appliances (nodos) del clúster.
Supongamos que varios sensores en línea envían cientos de archivos por segundo a un McAfee
Advanced Threat Defense Appliance. En el modo de bloqueo, el sensor espera hasta 6 segundos para
que McAfee Advanced Threat Defense analice un archivo. Tras dichos segundos, el Sensor envía el
archivo al endpoint de destino. McAfee Advanced Threat Defense podría responder con más rapidez si
se agrupan los clústeres de McAfee Advanced Threat Defense Appliances para equilibrar la carga.
Contenido
El clúster de McAfee Advanced Threat Defense
Requisitos previos y consideraciones
Conexiones de red para un clúster de Advanced Threat Defense
¿Cómo funciona el clúster Advanced Threat Defense?
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
El clúster de McAfee Advanced Threat Defense
La agrupación en clústeres de McAfee Advanced Threat Defense Appliances es una función que está
disponible a partir de la versión 3.2.0. Para crear un clúster de McAfee Advanced Threat Defense
Appliances, necesita dos o más McAfee Advanced Threat Defense Appliances en funcionamiento. Entre
estos McAfee Advanced Threat Defense Appliances, identifique el McAfee Advanced Threat Defense
Appliance principal. Los demás McAfee Advanced Threat Defense Appliances funcionan como
secundarios. Con la versión 3.4.2, un nodo que esté en misma red L2 como McAfee Advanced Threat
Defense Appliance principal se agregará directamente como nodo de copia de seguridad. Este nodo
pasará a funcionar como nodo principal en caso de que el nodo principal original no funcione. No es
posible promover un nodo secundario a nodo de copia de seguridad. La aplicación web del nodo
principal se usa para integrar estos McAfee Advanced Threat Defense Appliances para formar el
clúster. Cada uno de los McAfee Advanced Threat Defense Appliances en un clúster se denomina nodo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
319
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Requisitos previos y consideraciones
El nodo principal o el McAfee Advanced Threat Defense Appliance principal funciona como la interfaz
externa del clúster. Es decir, el nodo principal se asocia virtualmente a la dirección IP del clúster desde
el punto de vista de la configuración y el envío de archivos. Los productos integrados y los usuarios
acceden al nodo principal para enviar archivos para análisis y recuperan los resultados y los informes.
El nodo principal es también la plantilla y el centro de control para el clúster. Es responsable del
equilibrio de cargas de archivos entre los nodos y de recuperar los informes de los archivos
analizados. Si en un clúster hay un nodo de copia de seguridad, entonces es necesario configurar
estos productos integrados con la dirección IP del clúster.
Tal y como se mencionó anteriormente, la agrupación de McAfee Advanced Threat Defense Appliances
sirve para equilibrar las cargas de archivos y proporciona una alta disponibilidad de los nodos
secundarios.
Si por algún motivo el nodo principal no funciona, el nodo de copia de seguridad se hace cargo de las
responsabilidades del nodo principal y se convierte en activo y toma la dirección IP del clúster del nodo
principal. Cuando vuelva a funcionar, el nodo principal espera como nodo de copia de seguridad hasta
que el nodo de seguridad deje de funcionar. En cualquier momento, el nodo de copia de seguridad
también recibe y analiza las muestras como cualquier otro nodo.
Requisitos previos y consideraciones
•
Un clúster puede contener un máximo de 10 nodos, incluido el nodo principal.
•
Se recomienda usar las interfaces eth-0 (puertos de administración) de los McAfee Advanced
Threat Defense Appliances para la comunicación de los clústeres. Además, para un rendimiento
óptimo, las interfaces eth-0 de todos los nodos deben estar en la misma red de 2 niveles.
Para ubicar las interfaces eth-0 en su appliance, consulte Compruebe el paquete en la página 22.
•
Los aspectos siguientes de los nodos deben ser homogéneos:
•
Versión del software McAfee Advanced Threat Defense. Las versiones de software de todos los
nodos deben ser exactamente iguales.
•
Máquinas virtuales analizadoras. Todos los nodos deben tener las mismas máquinas virtuales
analizadoras.
Antes de configurar el clúster, asegúrese de que los perfiles de máquina virtual son exactamente
los mismos en todos los nodos del clúster. Todos los parámetros de los perfiles de máquina
virtual, incluido el nombre de perfil de máquina virtual, deben ser los mismos para todos los
nodos.
Al crear un nuevo perfil de máquina virtual o modificar uno existente después de
crear un clúster, recuerde que los cambios relacionados con perfiles de máquina
virtual no se propagan a todos los nodos de manera automática. Primero, debe
desmontar el clúster. A continuación, realice exactamente el mismo cambio en cada
nodo de manera manual. Si crea un nuevo perfil de máquina virtual, asegúrese de
crear este perfil de máquina virtual en todos los nodos antes de seleccionar el nuevo
perfil en cualquiera de los perfiles de analizador. Si necesita modificar un perfil de
máquina virtual existente, asegúrese de realizar la misma modificación en todos los
nodos de inmediato. Por último, vuelva a crear el clúster.
•
320
Los perfiles de máquina virtual de todos los nodos deben ser exactamente iguales.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Conexiones de red para un clúster de Advanced Threat Defense
•
•
•
Se recomienda que las versiones DAT y del motor de McAfee Anti-Malware Engine sean las
mismas en todos los nodos.
•
Se recomienda que las versiones DAT y del motor de McAfee Gateway Anti-Malware Engine sean
las mismas en todos los nodos.
Los aspectos siguientes de los nodos pueden ser heterogéneos:
•
Hardware. Puede crear un clúster que combine appliances ATD-3000 y ATD-6000.
•
Conformidad con FIPS. Ya se trate del nodo principal o los secundarios, algunos nodos pueden
estar en modo FIPS y otros en modo no FIPS.
Utilice la dirección IP del nodo principal para enviar archivos y para integrar con otros productos
como Network Security Platform y Web Gateway. El nodo principal o el McAfee Advanced Threat
Defense Appliance principal funciona como la interfaz externa del clúster. Es decir, el nodo principal
se asocia virtualmente a la dirección IP del clúster desde el punto de vista de la configuración y el
envío de archivos. Si integra Network Security Platform, Web Gateway y Email Gateway con los
nodos secundarios, estos nodos funcionarán como McAfee Advanced Threat Defense Appliances
autónomos. Si en un clúster hay un nodo de copia de seguridad, entonces es necesario configurar
estos productos integrados con la dirección IP del clúster.
La integración de un clúster deMcAfee Advanced Threat Defense con Email Gateway se admite en la
versión 3.4.2.
•
Si el nodo principal no funciona, el nodo de copia de seguridad funciona como nodo principal. El
nodo de copia de seguridad debe estar en la misma red de dos niveles que el nodo principal.
•
El usuario puede ver el estado y los resultados de análisis de todos los nodos de un clúster desde el
nodo activo, es decir, el nodo principal o el nodo de copia de seguridad.
Conexiones de red para un clúster de Advanced Threat Defense
Figura 8-1 Ejemplo de despliegue de clúster de Advanced Threat Defense
McAfee Advanced Threat Defense 3.4.2
Guía del producto
321
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Conexiones de red para un clúster de Advanced Threat Defense
En el ejemplo anterior, la interfaces eth-0 de todos los nodos están conectadas al mismo conmutador
(red L2). La interfaz eth-0 del nodo principal actúa como interfaz de administración del clúster,
mientras que las interfaces eth-0 de los nodos secundario y de copia de seguridad se utilizan para
intercambiar información con el nodo principal. El nodo de copia de seguridad actúa como nodo
secundario hasta que el nodo principal deja de funcionar por cualquier razón, en cuyo caso el nodo de
copia de seguridad asume la función de nodo principal activo. El nodo principal equilibra la carga de
los archivos recibidos en la interfaz eth-0 entre los nodos secundarios por turnos. Transfiere los
archivos que debe analizar el nodo secundario a través de la interfaz eth-0 y la utiliza también para
recuperar resultados. Cuando se usa el nodo principal para realizar cambios de configuración de
clúster, estos se sincronizan en todos los nodos secundarios y el nodo de copia de seguridad a través
de la interfaz eth-0.
En este ejemplo, eth-1 se utiliza para proporcionar acceso a la red al malware ejecutado en las
máquinas virtuales analizadoras. De este modo, se aísla el tráfico de red generado por el malware de
la red de producción a la que están conectadas las interfaces eth-0.
322
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
¿Cómo funciona el clúster Advanced Threat Defense?
Recuerde que cuando agrupa en clúster instancias de Advanced Threat Defense Appliance, el nodo
principal actúa como plantilla y centro de control de todo el clúster. Una vez definido el clúster, use el
nodo principal para administrar la configuración del clúster.
El nodo de copia de seguridad actúa como secundario para todos los procesos de configuración.
A efectos de explicación, la configuración completa de Advanced Threat Defense puede clasificarse de
la siguiente forma:
•
Configuración sincronizada: ciertas configuraciones solo pueden realizarse mediante este nodo
principal. Al guardar estas configuraciones, el nodo principal envía una instantánea de su
configuración actual como archivo a todos los nodos secundarios. Los secundarios guardan esta
configuración en su base de datos. Este proceso de sincronización no afecta a las funciones de
análisis de archivos de Advanced Threat Defense Appliance.
El nodo principal tiene la versión más reciente del archivo de configuración. Si la versión del
archivo de configuración no coincide para el archivo principal y uno secundario, el principal inserta
automáticamente el archivo de configuración en el secundario.
Las siguientes configuraciones se sincronizan automáticamente entre todos los nodos:
•
Perfiles de analizador
•
Administración de usuarios
•
Detalles de integración McAfee ePO/DXL
•
Configuración de proxy
•
Configuración de DNS
•
Hora del sistema basada en la configuración existente en la página Date and Time Settings
(Configuración de fecha y hora). Si modifica manualmente la hora, se configura lo mismo en
todos los nodos. Si configura los servidores NTP, se utilizarán los mismos servidores NTP para
todos los nodos. Sin embargo la zona horaria no se sincronizará.
Las páginas web de aplicación para las configuraciones que se muestran más arriba estarán
desactivadas tanto en el nodo secundario como en el de copia de seguridad.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
323
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
•
Configuración sin sincronización: las siguientes no se sincronizarán automáticamente. Use los
nodos individuales para configurarlas.
•
Versión del software Advanced Threat Defense.
•
Máquinas virtuales analizadoras.
Antes de configurar el clúster, asegúrese de que los perfiles de máquina virtual son exactamente
los mismos en todos los nodos del clúster. Todos los parámetros de los perfiles de máquina
virtual, incluido el nombre de perfil de máquina virtual, deben ser los mismos para todos los
nodos.
Al crear un nuevo perfil de máquina virtual o modificar uno existente después de
crear un clúster, recuerde que los cambios relacionados con perfiles de máquina
virtual no se propagan a todos los nodos de manera automática. Primero, debe
desmontar el clúster. A continuación, realice exactamente el mismo cambio en cada
nodo de manera manual. Si crea un nuevo perfil de máquina virtual, asegúrese de
crear este perfil de máquina virtual en todos los nodos antes de seleccionar el nuevo
perfil en cualquiera de los perfiles de analizador. Si necesita modificar un perfil de
máquina virtual existente, asegúrese de realizar la misma modificación en todos los
nodos de inmediato. Por último, vuelva a crear el clúster.
•
Perfiles de máquina virtual.
•
Versiones DAT y del motor de McAfee Anti-Malware Engine.
•
Versiones DAT y del motor de McAfee Gateway Anti-Malware Engine.
•
Entradas en las listas blancas y negras.
•
Zona horaria.
•
En una configuración de clúster de Advanced Threat Defense, cada nodo mantendrá su conjunto
de reglas YARA personalizadas. Es decir, las reglas YARA personalizadas que defina en el nodo
principal no se enviarán automáticamente a los nodos secundarios.
Los cambios realizados a la configuración mediante el CLI no se cambiarán. Realice los mismos
cambios en cada nodo de forma individual.
324
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
Cuando se tratan como parte de un clúster, los nodos secundarios son totalmente transparentes a los
usuarios y productos integrados.
•
Si lo desea, puede usar una instancia de Advanced Threat Defense secundaria directamente para
envío de archivos y recuperación de informes. Pero no podrá modificar ninguna de las
configuraciones sincronizadas.
•
Tanto los archivos como las URL enviadas para análisis se distribuyen con fines de equilibrio de
cargas.
Figura 8-2 Advanced Threat Defense Appliances en un clúster
Número de
nota
informativa
Leyenda
Descripción
1
Acceda a la aplicación web del nodo principal para modificar las
configuraciones sincronizadas.
2
Una vez haya guardado los cambios de configuración, el nodo principal
inserta dicha configuración en todos los nodos secundarios. Así, todos
los nodos tendrán la misma configuración sincronizada. En la versión
3.4.2., los usuarios pueden acceder a la interfaz de IP de clúster para
realizar cambios de configuración. La interfaz de IP de clúster siempre es
la interfaz del nodo Activo.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
325
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
Número de
nota
informativa
3
Leyenda
Descripción
El envío de archivos al clúster se realiza mediante los métodos
siguientes:
• Usted envía archivos para su análisis mediante la aplicación web del
nodo principal.
• Envío de archivos al nodo principal mediante las API REST.
• Los productos de McAfee integrados con el Advanced Threat Defense
envían archivos para su análisis.
4
El nodo principal distribuye los archivos entre los nodos (incluido el
propio nodo principal).
5
Los productos integrados de McAfee como Network Security Manager
solicitan informes de análisis al nodo principal. Adicionalmente, el nodo
principal muestra el estado y resultados de todos los archivos analizados
por el clúster. Por dichas razones, el nodo principal obtiene los resultados
del análisis de los nodos secundarios.
6
El nodo principal proporciona estos informes a los productos de McAfee
integrados.
7
Puede ver el estado de análisis y los resultados de todos los archivos
analizados por el clúster desde el nodo principal. En el nodo principal
también puede ver los informes de análisis de cualquier archivo que
haya enviado directamente a un nodo secundario.
8
A intervalos regulares, los nodos secundarios envían una señal de latido
al nodo principal, para indicar el estado y el mantenimiento de los
secundarios.
9
La copia de seguridad de Advanced Threat Defense asumiría la función
de Advanced Threat Defense principal si el Advanced Threat Defense
principal estuviera fuera de servicio.
¿Cómo analiza un clúster de Advanced Threat Defense archivos individuales de un
archivo .zip?
Cuando usted envía un archivo o una URL, Advanced Threat Defense le asigna un ID de trabajo y un
ID de tarea exclusivos. Estos ID son números enteros en sucesión incremental. Cuando usted envía un
archivo .zip, los archivos que incluye se extraen y analizan por separado. El ID de trabajo para todos
los archivos incluidos en un .zip es el mismo que el ID de trabajo del archivo .zip. Pero el ID de tarea
es distinto para cada uno de los archivos integrantes.
Cuando envía un archivo .zip file a un clúster de Advanced Threat Defense, el nodo principal identifica
el nodo al que se debería distribuir el siguiente archivo y envía a dicho nodo todo el archivo .zip. El
nodo que recibe el archivo .zip extrae los archivos integrantes y los analiza. Esto también es aplicable
a archivos .zip incluidos dentro de otro .zip.
•
Si un Sensor envía el archivo .zip, Advanced Threat Defense genera un informe acumulativo para
todo el archivo .zip. Es decir, cuando Manager lo solicita, se le envía un informe para un
archivo .zip. Con Web Gateway no se admiten archivos .zip.
•
Si usted envía un archivo .zip al nodo principal mediante, por ejemplo, su aplicación web, se
generan informes individuales para los archivos incluidos en el archivo .zip.
A continuación, el nodo principal extrae los archivos integrantes del .zip y los distribuye al mismo nodo
para su análisis. El nodo principal sondea el estado y los resultados de los secundarios usando los ID
exclusivos de tarea.
326
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
¿Cómo se amplía el software Advanced Threat Defense para los nodos de un
clúster?
A continuación se detalla el procedimiento recomendado para ampliar el software Advanced Threat
Defense para los nodos de un clúster:
1
Si amplía primero el principal, se romperá todo el clúster. Por lo tanto puede empezar por ampliar
los secundarios. Cuando se amplía la versión de software de un nodo secundario, el principal no
distribuye archivos a ese secundario.
2
Cuando haya ampliado más de la mitad de los nodos secundarios, amplíe el principal. El principal
no distribuirá archivos a los secundarios de la versión previa.
3
Amplíe el resto de nodos secundarios.
El nodo de copia de seguridad actúa como secundario para todos los procesos de ampliación de
software.
No seleccione Reset Database (Restablecer base de datos) al ampliar cualquiera de los nodos. Si esa opción
estuviera seleccionada para el nodo principal, el clúster dejaría de funcionar tras la ampliación. Si la
opción Reset Database (Restablecer base de datos) está seleccionada para un nodo secundario, este se
separará del clúster tras la ampliación.
Flujo de proceso para Network Security Platform
Imagine un escenario en el que un Sensor está en línea entre los endpoints de su red y la Web. Este
Sensor está integrado con un clúster de Advanced Threat Defense formado por tres Advanced Threat
Defense Appliances.
Figura 8-3 Network Security Platform integrado con un clúster de Advanced Threat Defense
McAfee Advanced Threat Defense 3.4.2
Guía del producto
327
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
Número
Descripción
1
Los endpoints intentan descargar archivos de la Web. Los puertos de supervisión en línea
detectan esta actividad.
2
Para un archivo determinado, el Sensor evita que se envíe el último paquete al endpoint y,
simultáneamente, transmite los paquetes del archivo al Advanced Threat Defense principal
para su análisis. Para esta operación, el Sensor y el Advanced Threat Defense principal
utilizan sus puertos de administración.
3
Una vez que todo el archivo se ha transmitido al Advanced Threat Defense Appliance
principal, este lo distribuye a uno de los appliances del clúster. Asumamos que el archivo
se envía a uno de los Advanced Threat Defense Appliance secundarios. Para todas las
comunicaciones, los miembros del clúster utilizan sus puertos de administración.
4
El Advanced Threat Defense secundario correspondiente responde al principal con un ID de
trabajo y empieza a analizar el archivo de acuerdo con el perfil de usuario. Si el análisis
estático detecta el archivo, el Advanced Threat Defense secundario envía el resultado de
malware (gravedad) al Advanced Threat Defense principal.
5
• Si el análisis estático detecta el archivo, el Advanced Threat Defense principal envía el
resultado de malware recibido del Advanced Threat Defense secundario al puerto de
administración del Sensor.
• Si el archivo se analiza dinámicamente, el Sensor muestra una alerta informativa en
Threat Analyzer en tiempo real. Esta alerta informativa se acepta automáticamente de
forma predeterminada, aunque puede desactivar esta función si es necesario.
328
6
El Sensor envía el ID de trabajo al Manager. El Manager realiza una consulta en el puerto
de administración de Advanced Threat Defense Appliance para obtener los informes de
análisis. El Advanced Threat Defense principal extrae los informes del Advanced Threat
Defense Appliance correspondiente basándose en el ID de trabajo. A continuación, envía
los informes al Manager. Además, si el análisis dinámico determina que el archivo es
malicioso, la alerta en Threat Analyzer en tiempo real se actualiza para indicarlo.
7
La copia de seguridad de Advanced Threat Defense asumiría la función de Advanced Threat
Defense principal si el Advanced Threat Defense principal estuviera fuera de servicio.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
¿Cómo funciona el clúster Advanced Threat Defense?
Flujo de proceso para McAfee Web Gateway
Imagine un escenario en el que Web Gateway está en línea entre los endpoints de su red y la Web.
Este Web Gateway Appliance está integrado con un clúster de Advanced Threat Defense formado por
tres Advanced Threat Defense Appliances.
Figura 8-4 Web Gateway integrado con un clúster de Advanced Threat Defense
Número
Descripción
1
Los endpoints intentan descargar objetos web.
2
Web Gateway envía estas solicitudes.
3
Cuando se descarga un archivo, el motor nativo McAfee Gateway Anti-Malware Engine en
Web Gateway analiza el archivo y le asigna una calificación de malware.
4
Según el tipo de archivo y la calificación de malware, Web Gateway determina si el archivo
debe enviarse a Advanced Threat Defense para su análisis y, si es necesario, envía el
archivo al puerto de administración del Advanced Threat Defense principal.
5
El Advanced Threat Defense principal distribuye estos archivos entre los miembros por
turnos. Todas las comunicaciones entre los miembros de un clúster se realizan a través de
sus puertos de administración.
Asumamos que el archivo se envía a uno de los Advanced Threat Defense secundarios para
su análisis. El Advanced Threat Defense secundario devuelve el ID de trabajo y el ID de
tarea al nodo principal y empieza a analizar el archivo. El nodo principal, a su vez,
devuelve el ID de trabajo y el ID de tarea a Web Gateway.
6
Para los informes de análisis, Web Gateway realiza una consulta en el nodo principal con el
ID de tarea. El nodo principal utiliza el ID de tarea para identificar el Advanced Threat
Defense que analizó el archivo y extrae los informes de este archivo.
7
En respuesta a la consulta de Web Gateway, el Advanced Threat Defense principal envía
los informes.
8
Según los resultados del informe de Advanced Threat Defense, Web Gateway decide si
bloquear el archivo.
9
La copia de seguridad de Advanced Threat Defense asumiría la función de Advanced Threat
Defense principal si el Advanced Threat Defense principal estuviera fuera de servicio.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
329
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Notas:
•
Cuando Web Gateway realiza una consulta para un valor de hash MD5 con periodo de tiempo (sin
el ID de trabajo ni de tarea), el nodo principal busca el hash MD5 en su base de datos. Si no hay
ningún registro coincidente, el nodo principal comprueba los nodos secundarios donde se analiza el
archivo y envía el informe a Web Gateway sin volver a analizar el archivo correspondiente.
•
Cuando Web Gateway realiza una consulta para un valor de hash MD5 para una tarea en ejecución
(sin el ID de trabajo ni de tarea), el nodo principal busca el hash MD5 con estado (en espera o
analizando) en su base de datos. Si no hay ningún registro coincidente, el nodo principal
comprueba los nodos secundarios donde se está analizando el archivo o la cola. A continuación, el
nodo principal envía los detalles de la tarea a Web Gateway sin volver a analizar el archivo
correspondiente.
Pasos de nivel elevado para configurar un clúster de Advanced
Threat Defense
Siga estos pasos de nivel elevado para configurar un clúster de Advanced Threat Defense.
1
Identifique los Advanced Threat Defense Appliances que desee usar para crear el clúster. Puede
agregar nodos secundarios adicionales a un clúster de Advanced Threat Defense existente.
2
Asegúrese de que los Advanced Threat Defense Appliances cumplan con los requisitos que se
indican en Requisitos previos y consideraciones en la página 320.
3
De los Advanced Threat Defense Appliances, identifique cuál desea usar como nodo principal. Todos
los demás Advanced Threat Defense Appliances serán nodos secundarios. Una vez que defina el
clúster no podrá cambiar el nodo principal sin redefinir el clúster. De igual modo, una vez agregado
el nodo de copia de seguridad no se lo puede cambiar sin quitarlo del clúster.
Tenga en cuenta lo siguiente al decidir qué nodo elegir como principal.
•
Use la dirección IP del nodo principal para enviar archivos y para administrar la configuración.
•
Los productos como Network Security Platform, Web Gateway y Email Gateway deben estar
integrados con la dirección IP del nodo principal. Dado que la recuperación de resultados e
informes se realiza a través del nodo principal, la conexión entre los productos integrados y los
nodos secundarios no es obligatoria. En la versión 3.4.2, la dirección IP del clúster es el punto
de contacto de estos productos integrados si el usuario elige configurar un nodo de copia de
seguridad.
•
Compruebe que las máquinas virtuales analizadoras y los perfiles de máquina virtual sean
idénticos en todos los nodos.
Si necesita agregar una máquina virtual analizadora o si necesita agregar, modificar o eliminar
un perfil de máquina virtual, desmonte el clúster, realice los cambios necesarios en todos los
nodos y vuelva a crearlo.
•
330
Las configuraciones sincronizadas del nodo secundario se sobrescriben con las del principal. Tras
la creación del clúster, use el nodo principal para administrar estas configuraciones. Para
obtener información sobre configuraciones sincronizadas, consulte ¿Cómo funciona el clúster
Advanced Threat Defense? en la página 323.
4
Asegúrese de que el nodo principal y los secundarios puedan comunicarse entre sí usando sus
puertos de administración.
5
Se recomienda crear una copia de seguridad de la configuración de todos los nodos, en especial los
secundarios, antes de configurar el clúster.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
6
Asegúrese de que los productos integrados estén configurados para usar el nodo principal. Esto
incluye los productos de McAfee integrados así como toda aplicación o script de terceros que use
las API REST de Advanced Threat Defense. En la versión 3.4.2, la dirección IP del clúster es el
punto de contacto de estos productos integrados si el usuario elige configurar un nodo de copia de
seguridad.
7
Creación del clúster de McAfee Advanced Threat Defense en la página 331.
8
Envíe archivos y URL al clúster de Advanced Threat Defense.
9
Consulte los resultados del análisis de un clúster de Advanced Threat Defense.
10 Administre las configuraciones del clúster.
Creación del clúster de McAfee Advanced Threat Defense
Antes de empezar
•
Ha leído Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
en la página 330.
•
Tiene derechos de administrador para la aplicación web de nodo principal.
•
Los nodos principal y secundarios no son parte de ningún clúster.
•
La versión del software (versión activa) es la misma para todos los nodos que va a usar.
Procedimiento
1
Identifique un Advanced Threat Defense Appliance como nodo principal e inicie sesión en la
aplicación web de dicho nodo.
Utilice un nombre de usuario con derechos de administrador.
2
Seleccione Manage (Administrar) | Load Balancing (Equilibrio de cargas).
Se abre la páginaLoad Balancing Cluster Setting (Configuración del clúster de equilibrio de cargas).
3
En el campo Node IP address (Dirección IP de nodo), introduzca la dirección IP del puerto de
administración del nodo principal, seleccione Primary (Principal) en la lista desplegable y haga clic en
Add Node (Agregar nodo).
4
Confirme si quiere crear el clúster.
Advanced Threat Defense se autoestablece como nodo principal del clúster.
5
En el campo Node IP address (Dirección IP de nodo), introduzca la dirección IP del puerto de un nodo
secundario, seleccione Secondary (Secundario) y haga clic en Add Node (Agregar nodo).
6
Haga clic en Yes (Sí) para agregar el nodo secundario.
Al hacer clic en Yes en el cuadro de mensaje de confirmación, el nodo principal guarda su
configuración en un archivo y la envía al nodo secundario. Este archivo contiene estas
configuraciones, a las que se hace referencia en este documento como configuración sincronizada.
En ¿Cómo funciona el clúster Advanced Threat Defense? en la página 323 encontrará información
sobre la configuración sincronizada. Esta configuración tiene un uso secundario que consisten en
sobrescribir la configuración correspondiente en su base de datos. Por esa razón es importante
asegurarse de hacer una copia de seguridad de la configuración secundaria antes de continuar. Al
quitar la configuración secundaria del clúster, se conserva la configuración del nodo principal.
7
Utilice un procedimiento similar para agregar otros nodos secundarios.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
331
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
8
En el campo Cluster IP address (Dirección IP del clúster), introduzca dicho dato y haga clic en Save
(Guardar). Seleccione Backup (Copia de seguridad) en la lista desplegable e introduzca la dirección
IP del puerto de administración en el campo Node IP address (Dirección IP de nodo) del nodo de copia
de seguridad. Haga clic en Add Node (Agregar nodo) para agregar el nodo de copia de seguridad.
9
Se muestran en una tabla los detalles de todos los nodos del clúster. Al igual que en otras tablas de
las interfaces de usuario de aplicación web Advanced Threat Defense, puede ordenar las columnas
y ocultar o mostrar las que quiera.
Figura 8-5 Creación del clúster de Advanced Threat Defense
ATD ID (ID de ATD), IP Address (Dirección IP), Role (Función) y Withdraw From Cluster (Retirar del clúster)
son las únicas opciones disponibles en la página Load Balancing Cluster Setting (Configuración del clúster
de equilibrio de cargas) para los nodos secundarios.
Tabla 8-1 Definiciones de las opciones
Opción
Node IP address
(Dirección IP de
nodo)
Definición
Introduzca la dirección IP del puerto de administración de Advanced Threat
Defense Appliance que quiera agregar al clúster.
Drop - Down (Lista) Seleccione Primary (Principal)/ Backup (Copia de seguridad)/ Secondary
(Secundario) según se requiera.
Add Node
(Agregar nodo)
Haga clic para agregar al clúster el nodo principal, secundario y de copia de
seguridad.
La dirección IP de nodo principal o el nodo secundario es la que usted utiliza
para acceder a la aplicación web Advanced Threat Defense.
Cluster IP address
Introduzca la dirección IP del clúster que debe usar el nodo activo (el principal
(Dirección IP del o el de copia de seguridad).
clúster)
Save (Guardar)
332
Haga clic para guardar la dirección IP del clúster antes de agregar el nodo de
copia de seguridad.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Tabla 8-1 Definiciones de las opciones (continuación)
Opción
Definición
Indica el estado de un nodo.
•
: indica que el nodo está listo. Si se trata de un nodo secundario,
también significa que el principal recibe la señal de latido del secundario.
•
: indica que el nodo está disponible pero requiere su atención. Por
ejemplo, puede que la configuración no esté sincronizada con la del nodo
principal.
•
: indica que el nodo principal recibe la señal de latido del secundario.
El nodo principal distribuye archivos únicamente a nodos con estado verde. Si
el estado de un nodo secundario se vuelve ámbar o rojo durante la
transferencia de un archivo, el nodo principal asigna el archivo al siguiente
nodo de la cola.
ATD ID (ID de
ATD)
Este valor es un número entero generado por el sistema para identificar los
nodos de un clúster. El nodo principal genera este valor exclusivo y lo asigna a
los nodos del clúster.
Este ID se muestra a la izquierda de la estructura del árbol del nodo principal
en Analysis Status (Estado del análisis) y Analysis Results (Resultados del
análisis). Permite identificar el nodo que ha analizado una muestra concreta.
El ID de ATD es exclusivo y se basa en la dirección IP de un nodo guardada en
la base de datos del nodo principal. Supongamos que tiene 3 nodos en el
clúster. Si quita del clúster el nodo secundario con ID 2 de ATD y lo vuelve a
agregar al clúster, se asigna a este nodo secundario el mismo ID 2 de ATD si se
cumplen las siguientes condiciones:
• No ha cambiado la dirección IP de la interfaz eth-0 del nodo (puerto de
administración).
• La base de datos del nodo principal conserva un registro de la dirección IP del
nodo secundario.
IP Address
(Dirección IP)
La dirección IP de administración del nodo.
Model (Modelo)
El tipo de modelo de appliance de Advanced Threat Defense. Podría ser ATD 3000 o ATD - 600
Role (Función)
Indica si un nodo es principal, secundario o de copia de seguridad.
Config Version
(Versión de
configuración)
Al cambiar cualquier configuración sincronizada, el nodo principal envía su
archivo de configuración a los nodos secundarios, y además crea una versión
de este archivo de configuración como referencia. Para cada nodo se muestra el
número de versión del archivo de configuración correspondiente más reciente.
Si el número de versión de un nodo secundario no coincide con el del principal,
indica una posible diferencia en el modo en que está configurado el secundario.
El color de estado del nodo secundario cambia a ámbar. El motivo se indica en
la columnaState (Estado). Además, el nodo principal inserta automáticamente su
configuración en ese nodo.
Así se asegura que todos los nodos están configurado de modo similar con
respecto a la configuración sincronizada.
S/W Version
(Versión de
software)
Indica la versión del software de Advanced Threat Defense de los nodos. La
versión completa del software debe ser idéntica para todos los nodos. De lo
contrario, el estado de los nodos afectados será ámbar.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
333
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Tabla 8-1 Definiciones de las opciones (continuación)
Opción
Estado
Definición
Indica el estado del nodo y cualquier dato de importancia crítica con relación a
ese nodo.
Entre los estados posibles están:
• Listo
• Latido no recibido.
• Nodo con distinta versión de configuración.
Remove Node
(Quitar nodo)
Seleccione un nodo y haga clic para quitarlo del clúster. La configuración del
nodo principal se conserva aunque se quite un nodo secundario del clúster. No
puede quitar un nodo principal sin antes haber quitado todos los secundarios.
Esta opción no está disponible para un nodo secundario.
334
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Tabla 8-1 Definiciones de las opciones (continuación)
Opción
Definición
Sync All Nodes
Haga clic en Sync All (Sincronizar todos) para activar la sincronización de
(Sincronizar
configuración para todos los nodos secundarios del clúster.
todos los nodos)
Al agregar un nodo secundario o al guardar cualquiera de las configuraciones
sincronizadas en el nodo principal, este hace que la sincronización se aplique a
todos los secundarios que tengan estado verde o ámbar.
Los detalles de la sincronización se muestran para cada nodo según el éxito o el
fracaso de la sincronización.
Figura 8-6 Sincronización de configuración realizada
Figura 8-7 Error de sincronización de configuración
Withdraw from
Cluster (Retirar
del clúster)
Este botón es relevante solo para nodos secundarios. Haga clic para retirar del
clúster un segundo nodo y use el nodo secundario como Advanced Threat
Defense Appliance independiente.
Recuerde que si el nodo principal no funciona, tampoco funciona el equilibrio de
cargas del clúster. De ser así, haga clic en Withdraw from Cluster (Retirar del
clúster) en los nodos secundarios que quiera quitar, para retirarlos y usarlo
como appliances independientes.
Supervisar el estado de un clúster de Advanced Threat Defense
Antes de empezar
Ha creado correctamente un clúster de equilibrio de cargas, como se explica en Creación
del clúster de McAfee Advanced Threat Defense en la página 331.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
335
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Puede supervisar el estado de un clúster de Advanced Threat Defense en la página Load Balancing Cluster
Setting (Configuración del clúster de equilibrio de cargas) o mediante el comando lbstats. Después de
configurar la dirección IP del clúster, podemos usarla para iniciar sesión y acceder a la interfaz de
Advanced Threat Defense.
336
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
8
Procedimiento
1
Inicie sesión en la CLI del nodo principal o un nodo secundario.
2
Ejecute el comando lbstats.
Se muestran secciones independientes para cada nodo.
Figura 8-8 Salida de lbstats del nodo principal
Arriba se muestra la salida de lbstats de un nodo principal.
A continuación se muestra la salida de lbstats del nodo principal.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
337
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Figura 8-9 Salida de lbstats de un nodo secundario
338
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Arriba se muestra la salida de lbstats de un nodo secundario.
Figura 8-10 Salida de lbstats de un nodo de copia de seguridad
Arriba se muestra la salida de lbstats de un nodo de copia de seguridad.
Tabla 8-2 Detalles del comando lbstats
Entrada de salida
Descripción
System Mode (Modo de sistema)
Indica si el Advanced Threat Defense Appliance es el nodo
principal o un nodo secundario.
ATD ID (ID de ATD)
El ID exclusivo asignado al nodo.
IP
La dirección IP del puerto de administración de Advanced
Threat Defense Appliance.
ATD Version (Versión de ATD)
Versión del software Advanced Threat Defense instalada
actualmente en el nodo.
Config Version (Versión de
configuración)
La versión del archivo de configuración del nodo.
System Status (Estado del sistema)
Indica si el nodo está en ejecución.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
339
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Tabla 8-2 Detalles del comando lbstats (continuación)
Entrada de salida
Descripción
System Health (Mantenimiento del
sistema)
Si el nodo está en buen estado o sin inicializar.
Sample Files Distributed Count (Número de
archivos de muestra distribuidos)
El número total de muestras distribuidas entre los nodos,
incluido el nodo principal. Este nodo incluye tanto archivos
como direcciones URL. Estos datos solo se muestran si se
ejecuta lbstats en el nodo principal.
Envío de muestras a un clúster de Advanced Threat Defense
Para enviar muestras a un clúster de Advanced Threat Defense se usa el nodo principal. Es proceso es
similar al uso de un Advanced Threat Defense Appliance individual.
•
Asegúrese de que los productos integrados se comunican con el nodo principal. Al configurar la
integración, asegúrese de usar las contraseñas tal y como se configuraron en el nodo principal. Por
ejemplo, para Web Gateway, use el nombre de usuario mwg y su contraseña como se configuró en
el nodo principal. Si se ha configurado el nodo de copia de seguridad, la dirección IP del clúster
debe ser el punto de contacto para esos productos integrados.
•
Para enviar manualmente archivos y direcciones URL, inicie sesión en el nodo principal con
derechos de administrador y envíe los archivos como lo haría a un Advanced Threat Defense
Appliance independiente. Consulte Cargue archivos para su análisis mediante la aplicación web
McAfee Advanced Threat Defense en la página 280 para obtener información paso a paso.
•
Para enviar archivos y direcciones URL, también puede usar las API REST del nodo principal.
Consulte la Guía de referencia de las API de McAfee Advanced Threat Defense para obtener
información.
•
También puede enviar archivos al nodo principal mediante FTP o SFTP. Consulte Cargar archivos
para su análisis mediante SFTP en la página 286
Si se configura la dirección IP del clúster, es necesario iniciar sesión / enviar archivos mediante la
dirección IP del clúster.
.
Supervisar el estado del análisis de un clúster de Advanced
Threat Defense
La página Analysis Status (Estado de análisis) del nodo principal muestra el estado de análisis para los
archivos analizados por cada nodo. En un nodo secundario, solo se muestran los archivos analizados
por dicho nodo secundario.
De modo similar que con un Advanced Threat Defense autónomo, puede ver el estado de las muestras
enviadas por usted. Si tiene derechos de administrador, podrá ver el estado de las muestras enviadas
por todos los usuarios.
340
McAfee Advanced Threat Defense 3.4.2
Guía del producto
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
Procedimiento
1
Inicie sesión en la aplicación web del nodo principal.
2
Seleccione Analysis (Análisis) | Analysis Status(Estado de análisis).
La opción Analysis Status (Estado de análisis) se expande para mostrar los nodos secundarios del
clúster. Analysis Status (Estado de análisis) corresponde al nodo principal. Los nodos secundarios se
muestran bajo Analysis Status (Estado de análisis) con su ID de ATD y su dirección IP del puerto de
administración.
3
Para ver el estado de los archivos analizados por el nodo principal, haga clic en Analysis Status
(Estado de análisis).
4
Para ver el estado de los archivos analizados por un nodo secundario específico, haga clic en el ID
de ATD correspondiente.
Para obtener información detallada de las opciones de la página Analysis Status (Estado de análisis),
consulte Configurar la página Analysis Status (Estado de análisis) en la página 290.
Supervisar los resultados del análisis de un clúster de
Advanced Threat Defense
La página Analysis Results (Resultados de análisis) del nodo principal muestra los resultados de análisis
para los archivos analizados por cada nodo. En un nodo secundario, solo se muestran los archivos
analizados por dicho nodo secundario.
De modo similar que con un Advanced Threat Defense autónomo, puede ver los resultados de las
muestras enviadas por usted. Si tiene derechos de administrador, podrá ver los resultados para las
muestras enviadas por todos los usuarios.
Procedimiento
1
Inicie sesión como usuario admin en uno de los nodos del clúster de Advanced Threat Defense.
2
Seleccione Analysis (Análisis) | Analysis Results. (Resultados de análisis)
La opción Analysis Results (Resultados de análisis) se expande para mostrar los nodos secundarios del
clúster. Analysis Results (Resultados de análisis) corresponde al nodo principal. Los nodos secundarios
se muestran bajo Analysis Results (Resultados de análisis) con su ID de ATD y su dirección IP del
puerto de administración.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
341
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
3
Para ver los resultados de los archivos analizados por el nodo principal, haga clic en Analysis Results
(Resultados de análisis).
4
Para ver los resultados de los archivos analizados por un nodo secundario específico, haga clic en el
ID de ATD correspondiente.
Para obtener información detallada sobre las opciones de la página Analysis Results (Resultados de
análisis), consulte Ver los resultados del análisis en la página 294.
Modificación de las configuraciones de un clúster de McAfee
Advanced Threat Defense
Las configuraciones de los clústeres de McAfee Advanced Threat Defense pueden clasificarse en dos
tipos:
•
Parámetros que solo se configuran desde el nodo principal. A efectos de explicación, estos
parámetros se denominan configuración sincronizada en este documento.
•
Parámetros que se configuran individualmente en cada nodo de un clúster de McAfee Advanced
Threat Defense. Estos parámetros se denominan configuración sin sincronización.
Configuración sincronizada: esta categoría incluye los parámetros siguientes:
•
Administrar perfiles de analizador en la
página 249
•
Especificar servidor proxy para conectividad
de Internet en la página 259
•
Administración de usuarios de McAfee
Advanced Threat Defense en la página 37
•
Configuración de DNS en la página 266
•
Integración con McAfee ePO en la página
254
•
Configuración de los ajustes de fecha y
hora en la página 266
Inicie sesión en el nodo principal con derechos de administrador para configurar los parámetros
anteriores. Al hacer clic en Save (Guardar) en las páginas correspondientes, el nodo principal agrupa
toda la configuración sincronizada en un archivo y la envía a todos los nodos secundarios disponibles.
Los nodos secundarios guardan esta configuración en sus bases de datos y la utilizan posteriormente.
Este archivo de configuración recibe un número de versión. Este número de versión se muestra en la
sección Config Version (Versión de configuración) de la páginaLoad Balancing Cluster Setting (Configuración del
clúster de equilibrio de cargas).
El nodo principal envía el archivo de configuración a los nodos secundarios a través de un canal de
comunicación seguro. Si desea comprobar si el archivo de configuración se ha aplicado correctamente
a un nodo secundario, consulte la columna State (Estado) de la página Load Balancing Cluster Setting
(Configuración del clúster de equilibrio de cargas). O si lo prefiere, puede hacer clic en Sync All Nodes
(Sincronizar todos los nodos) en la página Load Balancing Cluster Setting (Configuración del clúster de
equilibrio de cargas) para hacer que el nodo principal envíe el archivo de configuración a todos los
nodos disponibles. Si algún nodo secundario no funciona, se indicará en la columna State (Estado).
Cuando el nodo principal sincroniza la configuración para el clúster, envía todos los datos sincronizados
a todos los nodos disponibles del clúster. Es decir, no es posible seleccionar los nodos secundarios que
sincronizar. Tampoco es posible seleccionar qué configuraciones se envían a los nodos secundarios. Sin
embargo, el proceso de sincronización de configuración no afecta a los procesos de equilibro de cargas
ni de análisis de archivos de McAfee Advanced Threat Defense Appliance.
Configuración sin sincronización: esta categoría incluye los parámetros siguientes:
342
•
Ampliación del software McAfee Advanced Threat Defense de 3.0.2.xx a 3.0.4.xx en la página 45.
•
Creación de una máquina virtual analizadora en la página 4
•
Administración de perfiles de máquina virtual en la página 231
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
•
Versiones DAT y del motor de McAfee Anti-Malware Engine.
•
Versiones DAT y del motor de McAfee Gateway Anti-Malware Engine.
•
Entradas en las listas blancas y negras.
•
Reglas YARA personalizadas
•
Configuraciones de copia de seguridad y restauración de base de datos.
•
Cualquier configuración realizada con la CLI.
8
Inicie sesión en cada nodo del clúster para cambiar estas configuraciones. Asegúrese de que estas
configuraciones son las mismas para todos los nodos del clúster.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
343
8
Agrupación en clústeres de McAfee Advanced Threat Defense Appliances
Pasos de nivel elevado para configurar un clúster de Advanced Threat Defense
344
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced
Threat Defense
El dispositivo McAfee Advanced Threat Defense es compatible con una interfaz de línea de comandos
(CLI) para tareas tales como configuración de red, reinicio del dispositivo y restablecer los valores
predeterminados de fábrica del dispositivo.
Contenido
Emisión de comandos CLI
Sintaxis para CLI
Inicie sesión en la CLI
Significado de “?”
Administración de los discos de McAfee Advanced Threat Defense Appliance
Lista de comandos CLI
Emisión de comandos CLI
Puede emitir comandos CLI localmente, desde la consola de McAfee Advanced Threat Defense
Appliance, o remotamente a través de SSH.
Cómo emitir un comando a través de la consola
Para más información sobre cómo configurar la consola para el dispositivo McAfee Advanced Threat
Defense, consulte Configuración de la información de red para McAfee Advanced Threat Defense
Appliance en la página 32 (Configurar el dispositivo mediante la CLI).
Cuando la documentación indica que debe realizar una operación “en el dispositivo”, esto significa que
debe realizar dicha operación desde la línea de comandos del host de una consola conectada al
dispositivo McAfee Advanced Threat Defense. Por ejemplo, cuando configure por primera vez los
detalles de red de un dispositivo McAfee Advanced Threat Defense, debe hacerlo desde la consola.
Cuando esté correctamente conectado al dispositivo McAfee Advanced Threat Defense, se le pedirá
que inicie sesión.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
345
9
Comandos CLI para McAfee Advanced Threat Defense
Sintaxis para CLI
Emisión de comandos mediante SSH
Puede administrar remotamente el dispositivo McAfee Advanced Threat Defense desde un símbolo del
sistema a través de ssh.
Solo puede abrirse un máximo de 5 sesiones de SSHD CLI simultáneas en un mismo dispositivo McAfee
Advanced Threat Defense.
Iniciar sesión en McAfee Advanced Threat Defense Appliance
mediante un cliente SSH
Procedimiento
1
Abra una sesión de cliente SSH.
2
Introduzca la dirección IPv4 de McAfee Advanced Threat Defense Appliance e introduzca 2222
como el número de puerto SSH.
3
Cuando se le pida que inicie sesión, introduzca el nombre de usuario predeterminado cliadmin y la
contraseña atdadmin.
El número máximo de intentos de inicio de sesión en McAfee Advanced Threat Defense Appliance
desde un mismo cliente y conexión es de 3, tras los cuales la conexión se cortará.
El número máximo de intentos de inicio de sesión en McAfee Advanced Threat Defense Appliance
puede variar según el cliente ssh que esté usando. Puede que sean tres intentos con ciertos clientes
(por ejemplo, Putty versión 0.54 o Putty 0.56) o puede que sean cuatro con otros clientes (por
ejemplo, con Putty 0.58 o clientes ssh de Linux).
Autocompletar
La CLI incluye una función de autocompletar. Para autocompletar un comando, pulse Tabulador tras
escribir los primeros caracteres de un comando válido y luego pulse Intro. Por ejemplo, si escribe pas
y pulsa Tabulador, la CLI autocompletará el comando passwd.
Si el texto que ha introducido coincide con el principio de varios comandos, la CLI mostrará todos los
comandos posibles que encajen con el texto.
Sintaxis para CLI
Introduzca los comandos en el símbolo del sistema de la manera que se muestra.
<command> <value>
•
Los valores que introduzca deben ir entre paréntesis angulares (< >).
•
Los argumentos o valores opcionales se ponen entre corchetes ([ ]).
•
Las opciones se muestran separadas mediante una línea (|).
•
Las variables se indican mediante cursiva.
No escriba los símbolos < o [ ].
346
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Inicie sesión en la CLI
Comandos obligatorios
Ciertos comandos deben ejecutarse obligatoriamente en McAfee Advanced Threat Defense Appliance
antes de que este esté completamente operativo. El resto de los comandos en este capítulo son
opcionales y asumirán valores predeterminados para sus parámetros a no ser que se ejecuten con
otros valores de parámetro específicos.
Estos son los comandos requeridos:
•
set appliance name
•
set appliance ip
•
set appliance gateway también es obligatorio si se da cualquiera de los siguientes casos:
•
Si McAfee Advanced Threat Defense Appliance está en una red diferente a la de los demás
productos McAfee que desea integrar
•
Si piensa acceder a McAfee Advanced Threat Defense desde una red distinta, ya sea usando un
cliente SSH o un navegador para acceder a la aplicación web McAfee Advanced Threat Defense
Inicie sesión en la CLI
Antes de poder introducir comandos CLI, debe iniciar sesión en McAfee Advanced Threat Defense
Appliance con un nombre de usuario y contraseña válidos. El nombre de usuario predeterminado es
cliadmin y la contraseña predeterminada es atdadmin. Para cerrar sesión, escriba exit.
McAfee le recomienda encarecidamente que cambie esta contraseña mediante el comando passwd
durante su primera interacción con McAfee Advanced Threat Defense Appliance.
Significado de “?”
? muestra todos los posibles comandos que puede introducir.
Sintaxis
?
Si usa ? junto con otro comando, le muestra la siguiente palabra que puede escribir. Si ejecuta el
comando ? junto con el comando set, por ejemplo, se mostrará una lista de todas las opciones
disponibles con el comando set.
Administración de los discos de McAfee Advanced Threat
Defense Appliance
McAfee Advanced Threat Defense Appliance viene con dos discos llamados disco A y disco B. El disco A
es el disco activo y el disco B es la copia de seguridad. Incluso si no se arranca el disco A, nos
referiremos a él como el disco activo. De la misma manera, incluso si se arranca desde el disco B, nos
referiremos a él como la copia de seguridad. De forma predeterminada, ambos discos contienen la
versión de software preinstalado. Puede ampliar el software del disco activo, es decir el disco A, y usar
el disco B como copia de seguridad con una versión estable a la que puede volver siempre que lo
necesite.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
347
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Use el comando show para ver la versión del software almacenada en los discos activo y de copia de
seguridad.
Tabla 9-1
Comandos CLI para administrar los discos
Comando
Descripción
copyto backup Copia la versión de software del disco activo al disco de copia de seguridad. Por
ejemplo, si la versión actual del software resulta ser estable, puede hacer una copia
de seguridad del mismo en el disco de copia de seguridad.
Este comando solo funciona si el appliance ha arrancado desde el disco activo.
copyto active Copia la versión de software desde el disco de copia de seguridad al disco activo. Sin
embargo, tendrá que reiniciar el McAfee Advanced Threat Defense Appliance para
cargar esta nueva imagen desde el disco activo.
Este comando funciona solo si el appliance se ha arrancado desde el disco de copia
de seguridad.
reboot backup Reinicia el appliance con la versión de software del disco de copia de seguridad.
reboot active Reinicia el appliance con la versión de software del disco activo.
Lista de comandos CLI
Esta sección lista los comandos CLI de McAfee Advanced Threat Defense en orden alfabético.
amas
Utilice este comando para reiniciar/iniciar/detener los servicios amas.
Sintaxis: amas <word>
Parámetro
Descripción
<WORD>
El servicio amas que desea detener.
Por ejemplo: amas start/stop/restart
atdcounter
Muestra el contador específico del motor, como por ejemplo archivos enviados y procesados por GTI,
MAV, GAM, Amas, etc.
Sintaxis: atdcounter
Este comando no tiene parámetros.
informes de copia de seguridad
Utilice este comando para crear una copia de seguridad de los informes de McAfee Advanced Threat
Defense en un servidor FTP/SFTP externo establecido para el usuario en los puertos de interfaz de la
configuración de salidas resultantes de FTP.
Sintaxis
backup reports
348
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Este comando no tiene parámetros.
backup reports date
Utilice este comando para crear una copia de seguridad de los informes de McAfee Advanced Threat
Defense en un servidor FTP/SFTP externo establecido para el usuario en los puertos de interfaz de la
configuración de salidas resultantes de FTP.
Sintaxis: backup reports date <yyyy-mm-dd>
Parámetro
Descripción
yyyy-mm-dd yyyy-mm-dd El intervalo de fechas para el que desea crear una copia de seguridad de
informes.
Por ejemplo: 2014-07-10 2014-07-12
Lista negra
Utilice los comandos siguientes para administrar la lista negra de McAfee Advanced Threat Defense.
Sintaxis:
•
Para agregar un MD5 a la lista negra, use blacklist add <md5> <calificación>
<nombre_del_archivo> <nombre_del_malware> <Eng-ID> <OS-ID>
Parámetro
Descripción
<md5>
El valor hash del malware que desea agregar a la lista negra.
<calificación>
La calificación de gravedad del malware. Los valores válidos van de 3 a
5.
<nombre_de_archivo>
El nombre de archivo del MD5.
<nombre_del_malware> El nombre del malware del MD5.
<Eng-ID>
El ID numérico para el motor correspondiente.
<OS-ID>
El ID numérico para el sistema operativo que se usó para analizar
dinámicamente el malware.
Ejemplo: blacklist add 254A40A56A6E28636E1465AF7C42B71F 3 NombreDeArchivoDeEjemplo
NombreDeMalwareDeEjemplo 3 3
•
Para quitar un MD5 de la lista negra, use blacklist delete <md5>
Parámetro
Descripción
<md5>
El valor hash del malware que desea eliminar de la lista negra.
Ejemplo: blacklist delete 254A40A56A6E28636E1465AF7C42B71F
•
Para comprobar que un determinado MD5 está en la lista negra, use blacklist query <md5>
Parámetro Descripción
<md5>
El valor hash del malware que desea comprobar que se encuentra en la lista negra.
Ejemplo: blacklist query 254A40A56A6E28636E1465AF7C42B71F
Si el MD5 está en la lista, se mostrarán sus detalles, tales como ID de motor, calificación de
gravedad de malware y demás.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
349
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
•
Para actualizar los detalles de una determinada entrada de la lista negra, use blacklist update
<md5> <calificación> <nombre_de_archivo> <nombre_de_malware> <Eng-ID> <OS-ID>
Parámetro
Descripción
<md5>
El valor hash del MD5 de un malware que desea actualizar. Este valor
debe existir en la lista negra para que pueda actualizar el registro.
<calificación>
La nueva calificación de gravedad a la que desea actualizar el registro.
Los valores válidos van de 3 a 5.
<nombre_de_archivo>
El nuevo nombre de archivo del MD5.
<nombre_del_malware> El nuevo nombre del malware para el MD5.
<Eng-ID>
El nuevo ID de motor al que quiere cambiar.
<OS-ID>
El nuevo valor para el sistema operativo que se usó para analizar
dinámicamente el malware.
Ejemplo: blacklist update 254A40A56A6E28636E1465AF7C42B71F 4 ArchivoDeEjemplo
MalwareDeEjemplo 3 4
clearstats
Restablece todas las estadísticas de McAfee Advanced Threat Defense a cero.
Sintaxis: clearstats
Este comando no tiene parámetros.
cluster withdraw
Este comando se usa para destruir clústeres mediante CLI. Se permite ejecutar a todos los nodos
(principal, de copia de seguridad y secundario). Elimina todas las configuraciones relacionadas con los
clústeres del nodo y lo convierte en una caja independiente.
Este comando permite eliminar un nodo del clúster en caso de que no pueda realizarse mediante los
procedimientos habituales (eliminar nodo/retirar nodo del clúster).
Sintaxis: cluster withdraw
Este comando no tiene parámetros.
createDefaultVms
Utilice este comando para crear una máquina virtual analizadora predeterminada.
Sintaxis: createDefaultVms
Este comando no tiene parámetros.
db_repair
Repara la base de datos de ATD si se daña.
Sintaxis: db_repair
Este comando no tiene parámetros.
350
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
deleteblacklist
Use este comando para quitar todas las entradas de la lista negra de McAfee Advanced Threat
Defense.
Sintaxis: deleteblacklist
Este comando no tiene parámetros.
deletesamplereport
Elimina todos los informes de análisis para un archivo.
Sintaxis: deletesamplereport <md5>
Parámetro Descripción
<md5>
El valor MD5 para el archivo del que desea eliminar todos los informes en McAfee
Advanced Threat Defense.
Ejemplo: deletesamplereport c0850299723819570b793f6e81ce0495
diskcleanup
Utilice este comando para eliminar algunos de los informes de análisis viejos si empieza a quedarse
sin espacio de disco en McAfee Advanced Threat Defense.
Sintaxis: diskcleanup
Este comando no tiene parámetros.
dxlstatus
Use este comando para averiguar el estado de DXL.
Sintaxis: dxlstatus
Este comando no tiene ningún parámetro.
La información mostrada con este comando es la siguiente:
<=== DXL STATUS ===>
Status : DISABLED
DXL Channel Status : DOWN
Sample Files Received Count : 0
Sample Files Published Count : 0
Sample Files Queued Count : 0
docfilterstatus
El comando docfilterstatus se ha introducido para evitar cargas de recinto aislado innecesarias con
archivos Word y Excel de MS Office 2007+ que no contienen nada sospechoso. Este comando también
permite activar o desactivar el filtro heurístico para archivos Word y Excel de MS Office 2007+. Use el
comando show para averiguar el estado actual.
De forma predeterminada, el análisis heurístico está activado.
Sintaxis:
set docfilterstatus <enable>
McAfee Advanced Threat Defense 3.4.2
Guía del producto
351
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
set docfilterstatus <disable>
docfilterstatus<enable><disable>
Parámetro
Descripción
enable
Activa los filtros de muestras.
disable
Desactiva los filtros de muestras.
Sintaxis: show docfilterstatus
Esta es una función de McAfee Advanced Threat Defense. Al activarse, McAfee Advanced Threat
Defense realiza un análisis heurístico de los archivos de Word o Excel de MS Office 2007 enviados por
Network Security Sensor. Es decir, examina la estructura del archivo de Office en busca de contenidos
maliciosos tales como contenido incrustado activo, macros o hipervínculos sospechosos. El análisis en
busca de malware según el perfil de analizador correspondiente solo se realizaría si se observaran
anomalías heurísticas en el archivo. Si no hay anomalías, el archivo se considerará limpio. Es decir, se
le asignará una calificación de gravedad de cero (información).
En las redes que presenten un elevado tráfico de archivos de Word y Excel de Office 2007+, el filtro
heurístico puede reducir la carga de trabajo de McAfee Advanced Threat Defense, al filtrar aquellos
archivos que no contengan ningún contenido sospechoso.
Cuando el análisis heurístico esté activado, la configuración será esta:
•
Filtro heurístico ACTIVADO.
La activación del análisis heurístico pone el filtro heurístico en ACTIVADO. De esta forma, McAfee
Advanced Threat Defense comprobará la estructura de archivos de Word o Excel de Office 2007+
en busca de anomalías. Si no hubieran anomalías, el archivo se considerará limpio y no se realizará
ningún otro análisis. Si se diera alguna anomalía heurística, dicho archivo de Word o Excel de Office
2007+ se analizará dinámica y estadísticamente según el correspondiente perfil de analizador.
Cuando el análisis heurístico esté desactivado, la configuración será esta:
•
Filtro heurístico DESACTIVADO.
Al desactivar el análisis heurístico se desactiva el filtro heurístico. En tal caso, McAfee Advanced
Threat Defense no comprobará los archivos de Word y Excel de Office 2007+ en busca de
anomalías heurísticas. Dichos archivos de Word y Excel serán analizados dinámica y
estadísticamente según el correspondiente perfil de analizador.
Exit
Salir de CLI.
Este comando no tiene parámetros.
Sintaxis:
exit
factorydefaults
Elimina todas las muestras, resultados, registros e imágenes de máquina virtual analizadora, y
restablece las direcciones IP antes de reiniciar el dispositivo. Este comando no aparece cuando
escribe ?, ni tampoco la función autocompletar le sugerirá este comando. Debe escribir el comando
completo para ejecutarlo.
352
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
9
Este comando no tiene parámetros.
•
Se le advertirá de que el uso de este comando eliminará toda esta información de McAfee
Advanced Threat Defense Appliance, y se le pedirá que confirme la acción. Dicha advertencia se
debe a que McAfee Advanced Threat Defense Appliance recupera su estado limpio antes de la
configuración, por lo que su uso implica perder todas las configuraciones actuales tanto en el disco
activo como en la copia de seguridad. Una vez lo confirme, este comando limpiará inmediatamente
todos sus ajustes de configuración, incluyendo las muestras, resultados, registros e imágenes de
máquina virtual analizadora, tanto en el disco activo como en la copia de seguridad.
•
La versión actual de software en el disco de copia de seguridad se aplica en el disco activo.
Sintaxis:
factorydefaults
ftptest USER_NAME
Use este comando para probar la configuración de FTP guardada bajo MANAGE (GESTIONAR) > USER
MANAGEMENT (ADMINISTRACIÓN DE USUARIOS) > FTP Results (RESULTADO DE FTP) para un usuario
concreto.
Sintaxis: ftptest USER_NAME
Parámetro
Descripción
USER_NAME
El nombre de usuario para el que probar la configuración de FTP
Ejemplo: NSPuser
gti-restart
Reinicia el McAfee GTI motor de McAfee Advanced Threat Defense.
Sintaxis: gti-restart
Este comando no tiene parámetros.
help
Proporciona una descripción del sistema de ayuda interactiva.
Este comando no tiene parámetros.
Sintaxis:
help
heuristic_analysis
Imaginemos una situación en la que hay un gran volumen de archivos enviados por un Network
Security Sensor. Queremos que McAfee Advanced Threat Defense clasifique dichos archivos basándose
en la necesidad de realizar un análisis de malware más detallado. El objeto de dicha selección es
mejorar el rendimiento sin tener que realizar concesiones con la seguridad. El comando
heuristic_analysis se ha introducido para satisfacer dicho requisito.
•
Active el filtro heurístico para archivos PDF.
•
Especifique el tamaño mínimo para archivos PDF para que se realice el análisis de malware.
•
Desactive la opción de volver a analizar para todos los archivos compatibles.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
353
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Use el comando show para conocer el estado actual. De forma predeterminada, el análisis heurístico
está desactivado.
Sintaxis: show heuristic_analysis
Cuando el análisis heurístico esté desactivado, la configuración será esta:
Configuración
Descripción
Heuristic filtering
is OFF (Filtro
heurístico
DESACTIVADO)
Esta es una función de McAfee Advanced Threat Defense. Si está activado,
McAfee Advanced Threat Defense realiza un análisis heurístico de un archivo
PDF enviado por Network Security Sensor. Esto es, examina la estructura del
archivo PDF en busca de contenidos maliciosos como por ejemplo scripts
incrustados de Java, archivos .exe incrustados o cualquier
redireccionamiento. El análisis en busca de malware según el perfil de
analizador correspondiente solo se realizaría si se observaran anomalías
heurísticas en el archivo. Si no hay anomalías, el archivo se considerará
limpio. Es decir, se le asignará una calificación de gravedad de cero
(información).
En las redes que presenten un elevado tráfico de archivos PDF, el filtro
heurístico puede reducir la carga de trabajo de McAfee Advanced Threat
Defense filtrando aquellos archivos sin contenido sospechoso.
configuration
setting:
re-analysis: ON
(parámetro de
configuración:
reanálisis:
ACTIVADO)
De forma predeterminada, McAfee Advanced Threat Defense analiza todos
los archivos compatibles enviados por un Sensor, incluso si dichos archivos
ya han sido analizados. Cuando el reanálisis está DESACTIVADO, McAfee
Advanced Threat Defense comprueba si los resultados del análisis ya están
disponibles, basándose en su valor de hash MD5. De ser así, proporciona
dichos resultados a Network Security Manager en vez de volver a analizar el
archivo. El mismo resultado se mostrará en McAfee Advanced Threat
Defense.
configuration
setting: min file
size: 2048
(parámetro de
configuración: tamaño
mín. archivo 2048)
Para los archivos PDF enviados por algún Sensor, puede especificar un
tamaño mínimo de archivo. Los archivos de tamaño menor no se analizarán
con McAfee Advanced Threat Defense. Este reduce la carga de trabajo de
McAfee Advanced Threat Defense al filtrar los archivos PDF más pequeños.
El tamaño de archivo predeterminado para archivos PDF enviados por un
Sensor es de 2 KB.
La función de volver a analizar se aplica a todos los tipos de archivos compatibles con Sensor, mientras
que el filtro heurístico y el tamaño mínimo de archivo se aplica únicamente a los archivos PDF enviados
por Sensor.
Use el comando set para activar o desactivar el análisis heurístico para los archivos enviados por un
Sensor.
Sintaxis: set heuristic_analysis <enable> <PDF minimum file size in bytes>
Sintaxis: set heuristic_analysis <disable>
El comando set heuristic_analysis no se ejecutará cuando la creación de la máquina virtual
analizadora está en curso.
354
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Ejemplo sin tamaño de archivo mínimo: set heuristic_analysis enable
Si ejecuta este ejemplo, se aplicará la siguiente configuración en el mismo orden para los archivos PDF
enviados por un Sensor:
1
Ya que no ha especificado ningún tamaño mínimo de archivo, este se establece en 2 KB. Así que
McAfee Advanced Threat Defense tendrá en cuenta para ulteriores análisis únicamente aquellos
archivos PDF de tamaño igual o superior a 2 KB.
2
Al activar el análisis heurístico se desactiva el reanálisis. Así que McAfee Advanced Threat Defense
comprobará si el resultado del análisis ya está disponible. Si es así, dicho resultado se enviará al
Manager sin más análisis. Si el resultado no estuviera disponible para dicho valor de hash MD5, el
análisis procedería al siguiente paso.
3
Activar el análisis heurístico pone el filtro heurístico en ACTIVADO. De esta forma, McAfee
Advanced Threat Defense comprobará la estructura de archivos PDF en busca de anomalías. Si no
hubieran anomalías, el archivo se considerará limpio y no se realizará ningún otro análisis. Si se
diera alguna anomalía heurística, dicho archivo PDF se analizará dinámica y estadísticamente según
el correspondiente perfil de analizador.
Para archivos que no sean PDF, solo se considerará la opción de reanálisis (paso 2 arriba).
Ejemplo con tamaño de archivo mínimo: set heuristic_analysis enable 5000
Si ejecuta este ejemplo, se aplicará la siguiente configuración en el mismo orden para los archivos PDF
enviados por un Sensor:
1
El tamaño mínimo de archivo se establece en 5000 bytes. Así que McAfee Advanced Threat Defense
tendrá en cuenta para ulteriores análisis únicamente aquellos archivos PDF de tamaño igual o
superior a 5000 bytes.
2
Al activar el análisis heurístico se desactiva el reanálisis. Así que McAfee Advanced Threat Defense
comprobará si el resultado del análisis ya está disponible. Si es así, dicho resultado se enviará al
Manager sin más análisis. Si el resultado no estuviera disponible para dicho valor de hash MD5, el
análisis procedería al siguiente paso.
3
Activar el análisis heurístico pone el filtro heurístico en ACTIVADO. De esta forma, McAfee
Advanced Threat Defense comprobará la estructura de archivos PDF en busca de anormalidades. Si
no hubieran anomalías, el archivo se considerará limpio y no se realizará ningún otro análisis. Si se
diera alguna anomalía heurística, dicho archivo PDF se analizará dinámica y estadísticamente según
el correspondiente perfil de analizador.
Para archivos que no sean PDF, solo se considerará la opción de reanálisis (paso 2 arriba).
Ejemplo para desactivar el análisis heurístico: set heuristic_analysis disable
Si ejecuta este ejemplo, se aplicará la siguiente configuración:
1
El tamaño mínimo de archivo se establece de forma predeterminada en 2048 bytes.
2
Al desactivarse el análisis heurístico se activa el reanálisis. Por lo tanto, McAfee Advanced Threat
Defense analizará todos los archivos admitidos por Sensors, tanto si hay resultados para ese
archivo como si no.
3
Al desactivar el análisis heurístico se desactiva el filtro heurístico. Por lo tanto, McAfee Advanced
Threat Defense no comprueba si existen anomalías heurísticas en los archivos PDF. Dichos archivos
PDF serán analizados dinámica y estadísticamente según el correspondiente perfil de analizador.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
355
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
install msu
Instala uno de los dos archivos msu siguientes:
•
amas-3.x.x.x.x.msu
•
system-3.x.x.x.x.msu
Sintaxis:
install msu
Parámetro Descripción
<SWNAME>
nombre de archivo msu que el usuario quiere instalar. Puede ser amas-3.x.x.x.x.msu o
system-3.x.x.x.x.msu.
<RESET_DB> Este parámetro acepta dos valores (0/1). '0' indica que se instale el archivo msu sin
restablecer la base de datos. '1' indica que se instale el archivo msu además de
restablecer la base de datos.
Ejemplo: install msu amas-3.3.0.25.42303.msu 1
lbstats
Muestra las estadísticas para el nodo principal, el de copia de seguridad y el secundario en un clúster
de equilibrio de cargas.
Este comando no tiene parámetros. No se muestra nada si Advanced Threat Defense no forma parte
de un clúster.
Sintaxis:
lbstats
Encontrará información detallada en Supervisar el estado de un clúster de Advanced Threat Defense
en la página 335.
list
Lista todos los comandos CLI disponibles para el usuario.
Sintaxis: list
Este comando no tiene parámetros.
lowseveritystatus
Advanced Threat Defense trata las muestras con gravedad 1 y 2 como gravedad baja, y la gravedad 3,
4 y 5 como maliciosa. De forma predeterminada, si configura análisis dinámicos, la calificación de
análisis dinámico se muestra en el informe de resumen para todas las muestras. Esta calificación
también afecta a la calificación final de esa muestra. Si es necesario, puede usar el comando
lowseveritystatus para modificar este comportamiento. Por ejemplo para muestras cuya gravedad
es baja y se analizan de forma dinámica, Advanced Threat Defense no muestra la calificación de
análisis dinámico en el informe de resumen, ni tiene en cuenta esa calificación para calcular la
calificación final.
El comando lowseveritystatus se aplica solo a muestras no PE (por ejemplo, documentos de Microsoft
Word y archivos PDF).
356
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
9
Sintaxis: lowseveritystatus <show><hide>
Ejemplo: lowseveritystatus hide
Parámetro Descripción
show
Este es el comportamiento predeterminado. Si una muestra se analiza de forma
dinámica, Advanced Threat Defense muestra la calificación de análisis dinámico en el
informe. Y además tiene en cuenta esta calificación para calcular la calificación final.
hide
Se presupone que la muestra es un archivo no PE que se ha sometido a un análisis
dinámico. Si Advanced Threat Defense detecta una gravedad de archivo baja, no
muestra la calificación de análisis dinámico en el informe (bajo Sandbox (Recinto aislado)
en la sección Down Selector's Analysis (Selecciones de análisis)). Advanced Threat Defense
tampoco tiene en cuenta la calificación de análisis dinámico para el cálculo de la
calificación final. Pero se incluyen en el informe los detalles del análisis dinámico, por
ejemplo, archivos abiertos y archivos creados.
El comando lowseveritystatus hide solo afecta a la calificación mostrada en el
informe, no influye en la presentación de los resultados en la página Analysis Results
(Resultados del análisis).
nslookup
Muestra los resultados de la consulta nslookup para un determinado nombre de dominio. Puede usarlo
para verificar que McAfee Advanced Threat Defense es capaz de realizar consultas nslookup
correctamente.
Sintaxis: nslookup <WORD>
Parámetro
Descripción
<PALABRA>
El nombre del dominio para el que quiere realizar una consulta de nslookup.
Ejemplo: nslookup mcafee.com
passwd
Cambia la contraseña para el usuario de CLI (cliadmin). La contraseña debe tener entre 8 y 25
caracteres y puede incluir caracteres alfanuméricos o símbolos.
Se le pedirá que introduzca la contraseña actual antes de cambiar a la nueva contraseña.
Sintaxis:
passwd
ping
Hace ping a un host de red o nombre de dominio. Si desea hacer ping a un nombre de dominio, puede
especificar una dirección IPv4 para hacer ping al host de red y el nombre de dominio.
Sintaxis:
ping <A.B.C.D>
McAfee Advanced Threat Defense 3.4.2
Guía del producto
357
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Parámetro Descripción
<A.B.C.D>
Denota una dirección IP de host de red de 32 bits escrita como cuatro números de ocho
bits, separados por espacios. Cada número (A, B, C o D) representa un número de ocho
bits entre 0 y 255.
<WORD>
El nombre del dominio al que desea hacer ping.
quit
Salir de CLI.
Este comando no tiene parámetros.
Sintaxis:
quit
reboot
Reinicia McAfee Advanced Threat Defense Appliance con la imagen en el disco actual. Confirme que
desea reiniciar.
Sintaxis:
reboot
Parámetro
Descripción
reboot active
Reinicia el appliance con la versión de software del disco activo.
reboot backup
Reinicia el appliance con la versión de software del disco de copia de seguridad.
reboot vmcreator Vuelve a crear las máquinas virtuales analizadoras configuradas en la aplicación
web McAfee Advanced Threat Defense, a la vez que reinicia el appliance.
resetuiadminpasswd
Utilice este comando para restablecer la contraseña del usuario admin de la aplicación web McAfee
Advanced Threat Defense. Al ejecutar este comando, se restablece el valor predeterminado de la
contraseña (admin). Tenga en cuenta que las sesiones activas no se verán afectadas. El cambio de
contraseña solo afecta a los nuevos intentos de inicio de sesión.
Sintaxis: resetuiadminpasswd
Pulse Y para confirmar o N para cancelar.
resetusertimeout
Permite a los usuarios iniciar sesión en la aplicación web McAfee Advanced Threat Defense sin tener
que esperar a que expire el temporizador.
Sintaxis: resetusertimeout <PALABRA>
Parámetro Descripción
<PALABRA> El nombre de usuario de la aplicación web McAfee Advanced Threat Defense para el que
desee quitar el temporizador de inicio de sesión. Si esta acción tiene éxito, se mostrará
el mensaje Reset done! (¡Restablecido con éxito!).
Ejemplo: resetusertimeout admin
358
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
restart network
Utilice este comando para reiniciar la red en McAfee Advanced Threat Defense. Reinicie amas después
de usar este comando.
Sintaxis: restart network
Este comando no tiene parámetros.
route add/delete network
Hay comandos CLI disponibles para agregar y eliminar rutas estáticas a McAfee Advanced Threat
Defense.
Para agregar un puerto
route add network <IP de red> netmask <máscara de red> gateway <IP de gateway>
intfport <puerto número 1><puerto número 2><puerto número 3>
Ejemplo: route add network 1.1.1.0 netmask 255.255.255.0 gateway 1.1.1.1 intfport 1
Para eliminar un puerto
route delete network <IP de red> netmask <máscara de red> gateway <IP de gateway>
intfport <puerto número 1><puerto número 2><puerto número 3>
Ejemplo: route delete network 1.1.1.0 netmask 255.255.255.0 gateway 1.1.1.1 intfport 1
samplefilter
Este comando es específico de los Sensors de Network Security Platform. Utilice este comando para
evitar que los Sensors envíen tipos de archivos no admitidos a McAfee Advanced Threat Defense para
su análisis.
Sintaxis:
samplefilter <status><enable><disable>
Parámetro Descripción
status
Indica si la función de filtrado de muestras está activada o desactivada. Está activada de
forma predeterminada.
enable
Activa el filtrado de muestras. Cuando esta función está activada, McAfee Advanced
Threat Defense solo considera los tipos de archivo admitidos de Network Security
Platform para el análisis. Consulte Análisis de malware en la página 4 para ver la lista
de archivos admitidos.
McAfee Advanced Threat Defense omite el resto de tipos de archivo e informa a Network
Security Platform si alguna muestra tiene un tipo de archivo no admitido. Esto evita la
utilización de recursos para tipos de archivo no admitidos tanto en McAfee Advanced
Threat Defense como Network Security Platform.
disable
Desactiva el filtrado de muestras. Si se desactiva esta función, McAfee Advanced Threat
Defense considera todos los archivos enviados por Network Security Platform para el
análisis, aunque solo se analizan los tipos de archivo admitidos. El resto de archivos se
muestran como no compatibles en las páginas Analysis Status (Estado de análisis) y Analysis
Results (Resultados de análisis).
Ejemplo:
samplefilter status
McAfee Advanced Threat Defense 3.4.2
Guía del producto
359
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
set appliance dns A.B.C.D E.F.G.H WORD
Define las direcciones DNS preferida y alternativa de Advanced Threat Defense Appliance.
Sintaxis:
set appliance dns A.B.C.D E.F.G.H WORD
Parámetro
Descripción
<A.B.C.D>
Dirección DNS preferida
<E.F.G.H>
Dirección DNS alternativa
<WORD>
Nombre de dominio de appliance
Ejemplo: ATD-6000> set appliance dns 1.1.1.2 10.11.10.4 nai.com
DNS setting had been configured
set intfport
Utilice este comando para activar o desactivar los puertos de interfaz McAfee Advanced Threat
Defense.
Sintaxis
set intfport <1><2><3> <enable><disable>
Ejemplo: set intfport 1 enable
set intfport auto
Establece un puerto de interfaz para negociar automáticamente la conexión con el dispositivo de red
inmediato.
Sintaxis:
set intfport <1><2><3> auto
Ejemplo:
set intfport 1 auto
set intfport ip
Establece una dirección IP para un puerto de interfaz.
Sintaxis:
set intfport <1><2><3> ip A.B.C.D E.F.G.H
Ejemplo:
set intfport 1 10.10.10.10 255.255.255.0
set intfport speed duplex
Establece la velocidad y configuración de dúplex en el puerto de interfaz.
Sintaxis:
set intfport <1><2><3> speed <10 | 100> duplex <half | full>
360
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Parámetro
Descripción
<1> <2> <3> Introduzca un ID de puerto de interfaz para la que desee establecer la velocidad y
dúplex.
<10 | 100>
Establece la velocidad del puerto de interfaz. El valor de velocidad puede ser 10 o
100
<half | full>
Establece la configuración de dúplex en el puerto de interfaz. Establece el valor
“half” dúplex medio y “full” para dúplex completo.
Ejemplo:
set intfport 1 speed 100 duplex full
set malware-intfport
Configura el puerto requerido para dirigir el tráfico de Internet desde una máquina virtual analizadora.
Antes de ejecutar este comando, asegúrese de que el puerto requerido está activado y configurado con
una dirección IP.
Sintaxis: set malware-intfport <1><2><3> gateway A.B.C.D
Ejemplo: set malware-intfport 1 10.10.10.252
Ejecute show intfport 1 y verifique las entradas de Malware Interface Port (Puerto de interfaz de
malware) y Malware Gateway (Gateway de malware).
McAfee Advanced Threat Defense usa el puerto configurado para proporcionar acceso a Internet a las
máquinas virtuales analizadoras. Consulte Acceso por Internet a archivos de muestra en la página
246.
set mgmtport auto
Configura el puerto de red para que negocie automáticamente la conexión entre el dispositivo McAfee
Advanced Threat Defense y el dispositivo de red inmediato.
Este comando no tiene parámetros.
Sintaxis:
set mgmtport auto
Valor predeterminado:
El puerto de red está configurado de forma predeterminada como auto (negociar automáticamente).
set mgmtport speed and duplex
Configura el puerto de red para que iguale la velocidad del dispositivo de red conectado al dispositivo
McAfee Advanced Threat Defense, y permite ejecutarlo en modo de dúplex medio o dúplex completo.
Sintaxis:
set mgmtport <velocidad <10 | 100> duplex <full | half>>
McAfee Advanced Threat Defense 3.4.2
Guía del producto
361
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Parámetro Descripción
<10|100>
establece la velocidad del puerto de red Ethernet. El valor de velocidad puede ser 10 o
100 Mbps. Para establecer la velocidad en 1000 Mbps, use el comando set mgmtport
auto.
<half|full>
establece la configuración de dúplex en el puerto de red Ethernet. Establece el valor
half para dúplex medio y full para dúplex completo.
Valor predeterminado:
El puerto de red está configurado de forma predeterminada como auto (negociar automáticamente).
set filesizes
Permite al usuario de McAfee Advanced Threat Defense cambiar los tamaños de archivo mínimo y
máximo de acuerdo con sus requisitos.
Sintaxis:
set filesizes <type number> <minimum size> <maximum size> <restart engine>
Parámetro
Descripción
type number
Tipo de archivo enviado para su análisis.
minimum size Tamaño de archivo mínimo.
maximum size Tamaño de archivo máximo.
restart engine Utiliza un valor de 1 o 0.
1: reinicia el servicio AMAS; esto es necesario para la integración de NSP y NGFW.
0: mantiene el servicio AMAS en ejecución; utilice esta opción cuando el envío sea a
través de GUI/RestAPI.
La tabla siguiente describe los distintos tipos de archivo y sus respectivos parámetros de Type number,
(Número de tipo) Minimum File size (Tamaño de archivo mínimo) y Maximum File size (Tamaño de archivo
máximo):
362
Número de
tipo
Descripción del archivo
Tamaño
mínimo
Tamaño
máximo
1
Archivo exe portable ejecutable (PE), dll o archivo
del sistema de Windows
1024
10000000
2
Archivo de documento PDF con extensión .pdf
2048
25000000
3
Archivo de datos de clase de Java con la
extensión .class
1024
5000000
4
Archivos de Microsoft Office antiguos con la
extensión .doc, .ppt o .xls
5120
10000000
5
Archivo con formato de texto enriquecido de
Microsoft con la extensión .rtf
1024
10000000
6
Archivo Zip, archivo APK o archivo nuevo de
Microsoft Office con la extensión .docx, .pptx
o .xlsx
200
20000000
7
Archivo de imagen JPEG
5120
1000000
8
Archivo de imagen PNG
5120
1000000
9
Archivo de imagen/mapa de bits GIF
5120
1000000
10
Archivo ejecutable de Microsoft DOS con la
extensión .com
1024
5000000
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Número de
tipo
Descripción del archivo
Tamaño
mínimo
Tamaño
máximo
11
Archivo Flash con la extensión .swf
1024
5000000
12
Archivo comprimido de 7-zip con la extensión .7z
200
10000000
13
Archivo comprimido RAR con la extensión .rar
200
10000000
14
Archivo CAB comprimido de Microsoft con la
extensión .cab
200
10000000
9
Por ejemplo, si un usuario desea cambiar el tamaño de archivo mínimo del archivo de imagen JPEG a
300 bytes, el comando set filesizes 7 300 1000000 0 cambia el tamaño de tamaño de archivo
mínimo del archivo de imagen JPEG a 300 bytes.
set fips
Activa o desactiva el modo FIPS. Este comando no tiene parámetros. Reinicie McAfee Advanced Threat
Defense Appliance cuando active o desactive el modo FIPS.
Sintaxis: set fips <enable> <disable>
set ftp
Al cargar archivos para su análisis a través de un cliente FTP o al importar un archivo VMDK en McAfee
Advanced Threat Defense para crear una máquina virtual analizadora, se utiliza SFTP, ya que FTP no
se admite de modo predeterminado. Sin embargo, si prefiere usar FTP para estas tareas, puede
activar FTP.
Sintaxis: set ftp <enable><disable>
De forma predeterminada, FTP está desactivado.
Ejemplo: set ftp enable
Consulte también: show ftp en la página 367.
set heuristic_analysis
Consulte heuristic_analysis en la página 353.
set appliance gateway
Especifica la dirección IPv4 para la gateway para el dispositivo McAfee Advanced Threat Defense.
Sintaxis:
set appliance gateway <A.B.C.D>
Parámetro Descripción
<A.B.C.D>
una dirección de 32 bits escrita como cuatro números de ocho bits, separados por
espacios. A, B, C o D representan un número de ocho bits entre 0 y 255.
Ejemplo:
set appliance gateway 192.34.2.8
McAfee Advanced Threat Defense 3.4.2
Guía del producto
363
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
set appliance ip
Especifica la dirección IPv4 y máscara de subred para el dispositivo McAfee Advanced Threat Defense.
Cambiar la dirección IP requiere reiniciar para que los cambios surtan efecto. Consulte el comando
reboot para ver las instrucciones sobre como reiniciar el dispositivo McAfee Advanced Threat Defense.
Sintaxis:
set appliance ip <A.B.C.D E.F.G.H>
Parámetro
Descripción
<A.B.C.D
E.F.G.H>
indica una dirección IPv4 seguida de una máscara de red. La máscara de red quita el
ID de host de la dirección IP, dejando solo el ID de red. Cada máscara de red consta
de unos binarios (255 decimal) para enmascarar el ID de red, y de ceros binarios (0
decimal) para retener el ID de host de la dirección IP (por ejemplo, la configuración
predeterminada de la máscara de red para una dirección de Clase C es
255.255.255.0).
Ejemplo:
set appliance ip 192.34.2.8 255.255.0.0
set appliance name
Establece el nombre del dispositivo McAfee Advanced Threat Defense. Este nombre se usa para
identificar el dispositivo McAfee Advanced Threat Defense si lo integra con Network Security Platform.
Sintaxis:
set appliance name <PALABRA>
Parámetro Descripción
<PALABRA> indica una serie de hasta 25 caracteres que distingue mayúsculas y minúsculas. La
serie puede incluir guiones, guiones bajos y espacios, y debe empezar con una letra.
Ejemplo:
set appliance name SanJose_MATD1
set uilog
Use este comando para establecer la cantidad de información de acceso de la IU que se debe registrar.
Los niveles varían de 1 a 7.
Sintaxis:
set uilog<seconds>
Parámetro
Descripción
<numeric>
Establece la cantidad de información de acceso de la IU que se debe registrar.
ATD-6000> set uilog 5 new log level is 5
set ui-timeout
Especifica el número de minutos de inactividad que pueden transcurrir antes de que la conexión a la
aplicación web McAfee Advanced Threat Defense se agote.
364
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
9
Sintaxis:
set ui-timeout <60 - 86400>
Parámetro
Descripción
<60 - 86400>
Puede establecer un periodo de 60 a 86400 segundos.
Ejemplo: set ui-timeout 600
Valor predeterminado: 15 minutos
set waittime
Use este comando para configurar el tiempo de espera máximo para analizar muestras de McAfee
Email Gateway. Si el tiempo medio de análisis de muestras enAdvanced Threat Defense es superior al
umbral establecido por este comando, se rechazan las muestras enviadas porMcAfee Email Gateway.
Sintaxis:
set waittime <seconds>
Parámetro
Descripción
<seconds>
Establece el número de segundos como valor máximo de espera.
Ejemplo
set waittime 20
set whitelist
Use este comamndo para configurar la comprobación de la lista blanca por parte de McAfee Advanced
Threat Defense. Está activada de forma predeterminada.
Sintaxis: set whitelist <enable><disable>
Ejemplo: set whitelist enable
show
Muestra todas las opciones de configuración actuales de McAfee Advanced Threat Defense Appliance.
Este comando no tiene parámetros.
Sintaxis:
show
La información mostrada por el comando show incluye:
[Información de Sensor]
•
Nombre del sistema
•
Versión del software
•
Fecha
•
Versión activa
•
Tiempo de actividad
•
Versión de copia de seguridad
•
Tipo de sistema
•
Puerto Ethernet MGMT
•
Número de serie
McAfee Advanced Threat Defense 3.4.2
Guía del producto
365
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
[Configuración de red de Sensor]
•
Dirección IP
•
Máscara de red
•
Gateway predeterminada
•
Dirección DNS
show epo-stats nsp
Muestra el recuento de peticiones enviadas a McAfee ePO, el recuento de respuestas recibidas de
McAfee ePO y el recuento de peticiones fallidas.
Sintaxis: show epo-stats nsp
Este comando no tiene parámetros.
show filesizes
Muestra todos los tipos de archivo admitidos por McAfee Advanced Threat Defense con detalles como
tipo, número, tamaño de archivo mínimo y máximo en bytes, y descripción breve.
Este comando no tiene parámetros.
Sintaxis:
show filesizes
A continuación se ofrece la información mostrada por el comando show filesizes:
366
Número de
tipo
Descripción del archivo
Tamaño
mínimo
Tamaño
máximo
1
Archivo exe portable ejecutable (PE), dll o archivo
del sistema de Windows
1024
10000000
2
Archivo de documento PDF con extensión .pdf
2048
25000000
3
Archivo de datos de clase de Java con la
extensión .class
1024
5000000
4
Archivos de Microsoft Office antiguos con la
extensión .doc, .ppt o .xls
5120
10000000
5
Archivo con formato de texto enriquecido de
Microsoft con la extensión .rtf
1024
10000000
6
Archivo Zip, archivo APK o archivo nuevo de
Microsoft Office con la extensión .docx, .pptx
o .xlsx
200
20000000
7
Archivo de imagen JPEG
5120
1000000
8
Archivo de imagen PNG
5120
1000000
9
Archivo de imagen/mapa de bits GIF
5120
1000000
10
Archivo ejecutable de Microsoft DOS con la
extensión .com
1024
5000000
11
Archivo Flash con la extensión .swf
1024
5000000
12
Archivo comprimido de 7-zip con la extensión .7z
200
10000000
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Número de
tipo
Descripción del archivo
Tamaño
mínimo
Tamaño
máximo
13
Archivo comprimido RAR con la extensión .rar
200
10000000
14
Archivo CAB comprimido de Microsoft con la
extensión .cab
200
10000000
9
show fips
Muestra si en ese momento FIPS está activado o desactivado. Este comando no tiene parámetros.
Sintaxis: show fips
show ftp
Use este comando para saber si en ese momento FTP está activado o desactivado. De forma
predeterminada, FTP está desactivado.
Sintaxis: show ftp
Consulte también set ftp en la página 363.
show history
Muestra la lista de comandos CLI emitidos durante esta sesión.
Sintaxis: show history
Este comando no tiene parámetros.
show heuristic_analysis
Consulte heuristic_analysis en la página 353.
show intfport
Muestra el estado del puerto de interfaz especificado o del puerto de administración de McAfee
Advanced Threat Defense.
Sintaxis: show intfport <mgmt><1><2><3>
La información mostrada por el comando show intfport incluye:
•
Si el estado administrativo del puerto está activado o desactivado.
•
El estado de vínculo del puerto.
•
La velocidad del puerto.
•
Si el puerto está configurado para dúplex completo o medio.
•
Paquetes recibidos totales.
•
Paquetes enviados totales.
•
Errores de CRC recibidos totales.
•
Otros errores recibidos totales.
•
Errores de CRC enviados totales.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
367
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
•
Otros errores enviados totales.
•
Dirección IP del puerto.
•
Dirección MAC del puerto.
•
Si el puerto se usa para proporcionar acceso a Internet a las máquinas virtuales analizadoras.
•
Si se configura para que proporcione acceso a Internet a las máquinas virtuales analizadoras, se
abre la correspondiente puerta de enlace para este tráfico.
show msu
Muestra los archivos msu copiados a Advanced Threat Defense a través de SFTP.
Sintaxis: show msu
show nsp scandetails
Muestra los detalles del análisis del archivo concernientes a los Sensors IPS integrados.
Sintaxis: show nsp scandetails <Dirección IP de Sensor>
Si no especifica la dirección IP de un Sensor en concreto, se mostrarán los detalles de todos los
Sensors integrados con el dispositivo McAfee Advanced Threat Defense.
La información mostrada por el comando show nsp scandetails incluye:
368
•
La dirección IP del Sensor IPS.
•
El número total de paquetes recibidos del Sensor.
•
El número total de paquetes enviados al Sensor.
•
La marca de tiempo en la que se recibió y envió el último paquete desde y hacia el Sensor.
•
El método de cifrado usado para la comunicación con el Sensor.
•
Recuentos nulos de identificador de sesión.
•
Recuento de errores internos.
•
Recuento de comandos desconocidos recibidos de Sensor.
•
Cadena vacía de archivos.
•
Datos de archivo vacíos.
•
Recuento de archivos desconocidos.
•
Recuento de paquetes fuera del orden establecido.
•
Recuento de discrepancias MD5 entre lo enviado por Sensor y lo calculado por McAfee Advanced
Threat Defense.
•
Recuento de fallos de asignación de memoria.
•
Tiempo de espera de transferencia de archivos.
•
Recuento de nuevos archivos.
•
Recuento de fallos de asignación de memoria compartida.
•
Recuento del número de respuestas de análisis estático enviadas.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
•
Recuento del número de respuesta de análisis dinámico enviadas.
•
Recuento de peticiones de análisis recibidas.
•
MD5 del último archivo transmitido por el Sensor.
show route
Este comando se usa para mostrar las rutas que ha configurado mediante el comando route add, así
como mediante la tabla de enrutamiento IP del sistema.
Sintaxis:
show route
En la siguiente tabla presentamos un ejemplo de la información que este comando proporciona.
Tabla 9-2 Tabla de enrutamiento IP del sistema
Destino
Gateway
Máscara de subred
Marcas
Métrica
Ref
Uso
Iface
10.10.10.0
0.0.0.0
255.255.255.0
U
0
0
0
mgmt
11.11.11.0
0.0.0.0
255.255.255.0
U
0
0
0
mgmt
12.12.0.0
0.0.0.0
255.255.0.0
U
0
0
0
mgmt
13.0.0.0
0.0.0.0
255.0.0.0
U
0
0
0
mgmt
0.0.0.0
10.10.10.253
0.0.0.0
UG
0
0
0
mgmt
show ui-timeout
Muestra el tiempo de espera del cliente de la aplicación web de McAfee Advanced Threat Defenseen
segundos.
Sintaxis: show ui-timeout
Ejemplo de salida: Current timeout value: 600
show uilog
Use este comando para comprobar el nivel actual de uilog.
Este comando no tiene parámetros.
Sintaxis:
show uilog
A continuación se ofrece la información mostrada por el comando show uilog:
ATD-6000> show uilog
Current log level is 7
show version
Muestra la versión de Zebra de McAfee Advanced Threat Defense.
Este comando no tiene parámetros.
Sintaxis:
show version
McAfee Advanced Threat Defense 3.4.2
Guía del producto
369
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
A continuación se ofrece la información mostrada por el comando show uilog:
Zebra 0.95a ().
Copyright 1996-2004, Kunihiro Ishiguro.
ATD-3000>
show waittime
Muestra el umbral de tiempo de espera establecido para McAfee Email Gateway.
Sintaxis: show waittime
Ejemplo de salida: Current MEG wait time threshold=780 seconds
shutdown
Detiene el dispositivo McAfee Advanced Threat Defense para que pueda apagarlo. A continuación, al
cabo de aproximadamente un minuto, puede apagar el dispositivo McAfee Advanced Threat Defense
manualmente y desenchufar ambas fuentes de alimentación. El dispositivo McAfee Advanced Threat
Defense no se apaga automáticamente. Debe confirmar que desea apagarlo.
Este comando no tiene parámetros.
Sintaxis:
shutdown
status
Muestra el estado del sistema de McAfee Advanced Threat Defense, incluyendo el mantenimiento del
sistema y el número de archivos enviados a los diversos motores.
Este comando no tiene parámetros.
Sintaxis: status
Ejemplo de salida:
System Health Status : good
Sample files received count: 300
Sample files submitted count: 300
GTI Scanner files submitted count: 50
GAM Scanner files submitted count: 100
MAV Scanner files submitted count: 200
Sandbox files submitted count: 25
Sandbox files finished count: 25
Sample files finished count: 300
Sample files error count: 0
terminal
Establecer el número de líneas que se deben mostrar en la pantalla de McAfee Advanced Threat
Defense
370
McAfee Advanced Threat Defense 3.4.2
Guía del producto
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
Sintaxis:
terminal <length>¦no
Parámetro Descripción
<length>
Establece el número de líneas que mostrar en pantalla. El valor oscila entre 0 - 512.
no
Niega el comando anterior o establece el valor predeterminado.
update_avdat
De forma predeterminada, McAfee Advanced Threat Defense actualiza los archivos DAT para McAfee
Gateway Anti-Malware Engine y McAfee Anti-Malware Engine cada 90 minutos. Para actualizar estos
archivos inmediatamente, use el comando update_avdat.
Este comando no tiene parámetros.
Sintaxis: update_avdat
Vmlist
Muestra la lista de todas las máquinas virtuales configuradas en McAfee Advanced Threat Defense
Sintaxis: vmlist
watchdog
El proceso watchdog reinicia el dispositivo McAfee Advanced Threat Defense cuando se detecta un fallo
irrecuperable.
Sintaxis:
watchdog <on | off | status>
Parámetro Descripción
<on>
Activa watchdog.
<off>
Desactiva watchdog. Úselo si el dispositivo se reinicia continuamente debido a
reiterados fallos del sistema.
<status>
Muestra el estado del proceso watchdog.
set malware-intfport mgmt
De forma predeterminada, el acceso a Internet de las máquinas virtuales analizadoras es a través del
puerto de administración (eth-0) deMcAfee Advanced Threat Defense. Utilice este comando si había
configurado otro puerto para dirigir el tráfico de red y desea volver a usar el puerto de administración.
Sintaxis: set malware-intfport mgmt
Ejecute show intfport mgmt y verifique las entradas de Malware Interface Port (Puerto de interfaz
de malware) y Malware Gateway (Gateway de malware).
McAfee Advanced Threat Defense usa el puerto de administración para proporcionar acceso a Internet
a las máquinas virtuales analizadoras. Consulte Acceso por Internet a archivos de muestra en la
página 246.
McAfee Advanced Threat Defense 3.4.2
Guía del producto
371
9
Comandos CLI para McAfee Advanced Threat Defense
Lista de comandos CLI
whitelist
Utilice los comandos siguientes para administrar la lista blanca de McAfee Advanced Threat Defense.
Sintaxis:
•
Para agregar un MD5 a la lista blanca, use whitelist add <md5>
Ejemplo: whitelist add 254A40A56A6E68636E1465AF7C42B71F
•
Para eliminar un MD5 de la lista blanca, use whitelist delete <md5>
Ejemplo: whitelist delete 254A40A56A6E28836E1465AF7C42B71F
•
Para comprobar que un determinado MD5 está en la lista blanca, use whitelist query <md5>
Ejemplo: whitelist query 254A40A56A6E28636E1465AF7C42B71F
•
372
Para comprobar que la lista blanca está activada, use whiteliststatus
McAfee Advanced Threat Defense 3.4.2
Guía del producto
Índice
A
acceso a Internet 246
acerca de esta guía 9
Advertencias 21
análisis de malware 279
flujo del proceso 246, 279, 287
análisis de malware, configuración
descripción general 241
análisis de muestras 279
análisis dinámico 241
análisis estático 241
analyzer profile (perfil de analizador)
modificación 254
Anti-Malware Engine 241
Archivo VMDK
conversión de imágenes 228
archivos de diagnóstico 59
archivos de registro 59
B
base de datos
copia de seguridad y restauración 61
C
cargar archivos
aplicación web 280
manual 280
SFTP 286
cargar muestras
aplicación web 280
manual 280
SFTP 286
cargar URL
aplicación web 288
manual 288
modo usuario interactivo 281
CLI, comandos
lista 348
procedimientos 345
CLI, inicio de sesión 347
comandos CLI
comandos obligatorios 347
McAfee Advanced Threat Defense 3.4.2
configuración de análisis de malware
pasos de alto nivel 245
convenciones tipográficas e iconos utilizados en esta guía 9
copia de seguridad y restauración 61
D
descripción general 11
disco A 347
disco activo 347
disco B 347
disco de copia de seguridad 347
DNS, configuración 262, 266
documentación
convenciones tipográficas e iconos 9
destinatarios de esta guía 9
específica de producto, buscar 10
E
Emisión de comandos CLI
autocompletar 346
consola 345
ssh 346
ePO, integración con servidor 254
estado de análisis
clúster 340
supervisar 290
exportar registros 59
F
fecha y hora 266, 273, 276, 277
flujo del proceso 254
G
Gateway Anti-Malware Engine 241
I
informes
archivos depositados 303
logic path graph (gráfico de ruta lógica) 304
resultados de desemsamblaje 303
resumen del análisis 296
inicio de sesión de Sensor; ssh 346
Guía del producto
373
Índice
J
JSON 296
L
lista blanca local 241
lista negra local 241
M
máquina virtual analizadora 241
crear 71
McAfee Advanced Threat Defense
acceso a la aplicación web 36
administración de usuarios 37, 259
ampliación 45, 51, 53
copia de seguridad y restauración 61
descripción de solución 12
discos 347
importación de software 45, 51, 53
monitores de rendimiento 317
opciones de despliegue 14
panel 311
supervisar rendimiento 43
ventajas 17
McAfee Advanced Threat Defense Appliance
configuración 19, 27
especificaciones de hardware 25
información importante 20
McAfee ServicePortal, acceso 10
modo de Internet real 246
modo simulación 246
modo usuario interactivo 281
monitores
análisis de malware 312
estado de creación de máquina virtual 317
N
R
reglas YARA personalizadas 270
requisitos del sistema
cliente 35
resultados de análisis
clúster 341
resultados del análisis
ver 294
S
ServicePortal, buscar documentación del producto 10
servidor de ePO, configuración 256, 258
servidor proxy de Internet 259–261
simulador de red 246
solución de problemas 58
soporte técnico, encontrar información de productos 10
STIX 296
T
terminología 241
U
user API Log (Registro de las API de usuario) 309
usuario 241
V
números de puerto usados 27
O
OpenIOC 296
P
ver los resultados del análisis 294
VM creation log registro de creación de máquina virtual 239
VMDK, archivo
importar 228
X
panel 311
paquete de soporte 59
para comandos CLI
Sintaxis 346
perfil de analizador 241
administración 249
agregar 251
eliminación 254
374
perfil de analizador 241
ver 250
perfil de máquina virtual 241
administración 231
agregar 233
crear 233
editar 238
eliminar 239
ver 232
McAfee Advanced Threat Defense 3.4.2
X-Mode 281
XML 296
XMode 281
Y
YARA, reglas 270
Guía del producto
0A02
Descargar