Guía del producto Revisión A. McAfee Advanced Threat Defense 3.0

Transcripción

1 Guía del producto Revisión A McAfee Advanced Threat Defense 3.0

2 COPYRIGHT Copyright 2013 McAfee, Inc. Queda prohibida la copia sin autorización previa. ATRIBUCIONES DE MARCAS COMERCIALES McAfee, el logotipo de McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los nombres y las descripciones del producto y las funciones están sujetos a cambios sin previo aviso. Visite mcafee.com para obtener información sobre los productos y las funciones más recientes. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2 McAfee Advanced Threat Defense 3.0 Guía del producto

3 Contenido Prefacio 7 Acerca de esta guía Destinatarios Convenciones Búsqueda de documentación de productos Detección de malware y McAfee Advanced Threat Defense 9 El escenario de amenaza de malware La solución McAfee Advanced Threat Defense Opciones de despliegue de McAfee Advanced Threat Defense Ventajas de McAfee Advanced Threat Defense Configuración del dispositivo McAfee Advanced Threat Defense 17 Acerca del dispositivo McAfee Advanced Threat Defense Funciones del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense Advertencias y precauciones Restricciones de uso Desempaquete el envío Compruebe el paquete Especificaciones de hardware y requisitos de entorno Números de puerto Configuración de McAfee Advanced Threat Defense Instalar o quitar las asas del bastidor Instalar o quitar el dispositivo del bastidor Encienda el dispositivo McAfee Advanced Threat Defense Manipulación del bisel frontal Conecte el cable de red Configurar la información de red para el dispositivo McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense 33 Requisitos del cliente McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Administración de usuarios y rendimiento 35 Administrar usuarios de McAfee Advanced Threat Defense Ver perfiles de usuario Agregar usuarios Editar usuarios Eliminar usuarios Supervisar el rendimiento de McAfee Advanced Threat Defense Importar software McAfee Advanced Threat Defense Troubleshooting (Solución de problemas) Exportar registros de McAfee Advanced Threat Defense Eliminar los resultados del análisis McAfee Advanced Threat Defense 3.0 Guía del producto 3

4 Contenido 5 Creación de una máquina virtual analizadora 45 Crear un archivo VMDK a partir de una imagen ISO Importar un archivo VMDK en McAfee Advanced Threat Defense Convierta el archivo VMDK en un archivo de imagen Administrar perfil de máquina virtual Ver perfiles de máquina virtual Crear perfiles de máquina virtual Editar perfiles de máquina virtual Delete VM profiles (Eliminar perfiles de máquina virtual) Ver el registro de creación de máquina virtual Configurar McAfee Advanced Threat Defense para análisis de malware 87 Terminología Pasos de alto nivel para configurar el análisis de malware Cómo analiza el malware McAfee Advanced Threat Defense? Administrar perfiles de analizador Ver perfiles de analizador Crear perfiles de analizador Editar perfiles de analizador Eliminar perfiles de analizador Integración con McAfee epo Configurar la integración McAfee epo Especificar servidor proxy para conectividad de Internet Configurar el DNS proxy Analizando malware 101 Cargar archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense Cargar archivos para su análisis en modo usuario interactivo Cargar archivos para su análisis mediante SFTP Supervisar el estado del análisis de malware Ver los resultados del análisis Ver el informe Analysis Summary (Resumen del análisis) Informe Dropped Files (Archivos depositados) Disassembly Results (Resultados de desensamblaje) Logic Path Graph (Gráfico de ruta lógica) User API Log (Registro de las API de usuario) Descargar los resultados completos en un archivo.zip Trabajar con el panel McAfee Advanced Threat Defense Monitores de análisis de malware Monitor de estado de creación de máquina virtual Monitores de rendimiento de McAfee Advanced Threat Defense Comandos CLI para McAfee Advanced Threat Defense 129 Emisión de comandos CLI Cómo emitir un comando a través de la consola Emisión de comandos mediante SSH Iniciar sesión en el dispositivo McAfee Advanced Threat Defense mediante un cliente SSH 130 Autocompletar Sintaxis para CLI Comandos obligatorios Inicie sesión en la CLI Significado de? Acerca del dispositivo McAfee Advanced Threat Defense Lista de comandos CLI Lista negra clearstats McAfee Advanced Threat Defense 3.0 Guía del producto

5 Contenido createdefaultvms deleteblacklist deletesamplereport diskcleanup Exit factorydefaults gti_restart help list nslookup passwd ping quit reboot resetusertimeout route add/delete network set appliance ip set appliance gateway set appliance name set intfport set intfport auto set intfport ip set intfport speed duplex set mgmtport auto set mgmtport speed and duplex set_ui_timeout setwhitelist show show epo-stats nsp show history show intfport show nsp scandetails show route shutdown status update_avdat watchdog whitelist Índice 145 McAfee Advanced Threat Defense 3.0 Guía del producto 5

6 Contenido 6 McAfee Advanced Threat Defense 3.0 Guía del producto

7 Prefacio Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee. Contenido Acerca de esta guía Búsqueda de documentación de productos Acerca de esta guía Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos utilizados, además de cómo está organizada. Destinatarios La documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios. La información de esta guía va dirigida principalmente a: Administradores: personas que implementan y aplican el programa de seguridad de la empresa. Usuarios: personas que utilizan el ordenador en el que se ejecuta el software y que tienen acceso a algunas o a todas sus funciones. Convenciones En esta guía se utilizan los siguientes iconos y convenciones tipográficas. Título de libro, término o énfasis Negrita Datos introducidos por el usuario, código, mensajes Texto de la interfaz Azul hipertexto Título de un libro, capítulo o tema; introducción de un nuevo término; énfasis. Texto que se enfatiza particularmente. Comandos u otro texto que escribe el usuario; un ejemplo de código; un mensaje que aparece en pantalla. Palabras de la interfaz del producto, como los nombres de opciones, menús, botones y cuadros de diálogo. Un vínculo a un tema o a un sitio web externo. Nota: Información adicional, como un método alternativo de acceso a una opción. Sugerencia: Sugerencias y recomendaciones. Importante/atención: Consejo importante para proteger el sistema, la instalación del software, la red, la empresa o los datos. Advertencia: Consejo especialmente importante para prevenir daños físicos cuando se usa un producto de hardware. McAfee Advanced Threat Defense 3.0 Guía del producto 7

8 Prefacio Búsqueda de documentación de productos Búsqueda de documentación de productos McAfee le proporciona la información que necesita en cada fase del proceso de implementación del producto, desde la instalación al uso diario y a la solución de problemas. Tras el lanzamiento de un producto, su información se introduce en la base de datos online KnowledgeBase de McAfee. Procedimiento 1 Vaya a McAfee Technical Support ServicePortal en 2 En Self Service (Autoservicio), acceda al tipo de información que necesite: Para acceder a... Documentación de usuario Haga lo siguiente... 1 Haga clic en Product Documentation (Documentación del producto). 2 Seleccione un producto, después seleccione una versión. 3 Seleccione un documento del producto. KnowledgeBase Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) para encontrar respuestas a sus preguntas sobre el producto. Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para ver los artículos clasificados por producto y versión. 8 McAfee Advanced Threat Defense 3.0 Guía del producto

9 1 Detección 1 de malware y McAfee Advanced Threat Defense Año tras año, el malware ha evolucionado hasta convertirse en una herramienta muy sofisticada para actividades dañinas tales como el robo de información valiosa, el acceso a los recursos de equipos privados sin conocimiento del propietario y la alteración de las operaciones de negocios. Al mismo tiempo, los avances tecnológicos proporcionan opciones ilimitadas de enviar archivos maliciosos a usuarios desprevenidos. Cada día aparecen centenares de miles de nuevas variantes de malware que hacen la detección de malware un trabajo cada vez más complejo. Las técnicas tradicionales antimalware ya no son suficientes para proteger su red. La respuesta de McAfee a este desafío es la solución McAfee Advanced Threat Defense. Este es un dispositivo local que facilita la detección y prevención del malware. McAfee Advanced Threat Defense proporciona protección frente a malware conocido, de tipo zero-day (día cero) y casi zero-day, todo ello sin sacrificar ni un ápice de calidad en el servicio que ofrece a los usuarios de su red. McAfee Advanced Threat Defense ofrece la ventaja adicional de ser una solución integrada. Además de sus capacidades de detección de amenazas en múltiples niveles, su habilidad para integrarse perfectamente con otros productos de seguridad McAfee le asegura que su red está protegida contra malware y otras amenazas persistentes avanzadas (APTs en inglés). Contenido El escenario de amenaza de malware La solución McAfee Advanced Threat Defense El escenario de amenaza de malware Denominamos malware a cualquier software capaz de verse envuelto en actividades hostiles a un equipo, aplicación o red. McAfee Advanced Threat Defense está diseñado para detectar malware basado en archivos. Antiguamente, los usuarios solían recibir malware en forma de archivos adjuntos a correos electrónicos. Con el aumento de aplicaciones de Internet, los usuarios solo han de hacer clic en un vínculo para descargar un archivo. Hoy en día existen muchas opciones para el envío de estos archivos: blogs, sitios de redes sociales, sitios web, mensajes de chat, correo electrónico web, paneles de mensajes y muchos más. Los principales desafíos al intentar controlar este problema radican en detectar el malware en el menor tiempo posible y evitar que se extienda a otros equipos. Hay cuatro aspectos principales en una estrategia antimalware: Detección de la descarga de archivos: Cuando un usuario intenta descargar un archivo de un recurso externo, el producto de seguridad debe ser capaz de detectarlo. Análisis del archivo en busca de malware: Debe ser capaz de verificar si el archivo contiene algún malware conocido. McAfee Advanced Threat Defense 3.0 Guía del producto 9

10 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense Bloquear futuras descargas del mismo archivo: A continuación, si el archivo resulta ser malicioso, la protección antimalware debe evitar futuras descargas del mismo archivo o alguna de sus variantes. Identificar y solucionar los hosts afectados: El sistema de seguridad debe ser capaz de identificar el host que ha ejecutado el malware y también los hosts a los que se haya extendido. A continuación, debe ser capaz de poner en cuarentena los hosts afectados hasta que vuelvan a estar limpios. La solución McAfee Advanced Threat Defense Una solución de seguridad que dependa de un solo método o proceso no es adecuada para proporcionar una protección completa y fiable contra los ataques de malware. Puede necesitar una solución a varios niveles que ponga en juego varias técnicas y productos. La solución puede incluir coincidencia con patrones, reputación global, emulación de programas, análisis estático y análisis dinámico. Todos estos niveles deben estar perfectamente integrados para proporcionarle un único punto de control para que pueda configurarlos y administrarlos fácilmente. Por ejemplo, la coincidencia con patrones puede no ser capaz de detectar ataques de tipo zero-day (día cero). De forma similar, el análisis estático consume menos tiempo que el análisis dinámico. Sin embargo, el malware puede evitar el análisis estático mediante la ocultación de código. El malware también puede evitar el análisis dinámico, retrasando su ejecución o usando una ruta de ejecución alternativa si detecta que se está ejecutando en un recinto aislado. Por ello, es importante que la protección antimalware use un enfoque en varios niveles. Existen otros productos antimalware demcafee, líderes en su sector, para la Web, redes y endpoints. Sin embargo, McAfee reconoce que una solución antimalware robusta requiere un enfoque en varios niveles. El resultado de esta convicción es McAfee Advanced Threat Defense. La solución McAfee Advanced Threat Defense consta principalmente del dispositivo McAfee Advanced Threat Defense y el software preinstalado. El dispositivo McAfee Advanced Threat Defense está disponible en dos modelos. El modelo estándar es el ATD El modelo de gama alta es el ATD McAfee Advanced Threat Defense integra sus capacidades nativas con otros productos McAfee para proporcionarle una defensa en varios niveles contra el malware: Su mecanismo preliminar de detección consta de una lista negra local que detecta rápidamente el malware conocido. Se integra con McAfee Global Threat Intelligence (McAfee GTI) a fin de buscar en la nube y detectar malware que ya han identificado organizaciones de todo el mundo. Tiene integrado el motor Gateway Anti-Malware Engine de McAfee por sus capacidades de emulación. 10 McAfee Advanced Threat Defense 3.0 Guía del producto

11 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense 1 Tiene el motor Anti-Malware Engine de McAfee integrado por sus funciones de detección basadas en firmas. Analiza dinámicamente el archivo, ejecutándolo en un recinto aislado virtual. Basándose en el comportamiento del archivo, McAfee Advanced Threat Defense determina si es malicioso o no. Figura 1-1 Componentes para el análisis de malware McAfee Advanced Threat Defense 3.0 Guía del producto 11

12 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense Opciones de despliegue de McAfee Advanced Threat Defense Puede desplegar McAfee Advanced Threat Defense de las siguientes maneras: Despliegue autónomo: esta es la manera más sencilla de desplegar McAfee Advanced Threat Defense. En este caso, no está integrado con otros productos externos de McAfee. Cuando el dispositivo se despliega autónomamente, usted puede enviar manualmente los archivos sospechosos mediante la aplicación web McAfee Advanced Threat Defense. Alternativamente, puede enviar las muestras mediante un cliente FTP. Esta opción de despliegue se puede usar, por ejemplo, durante la fase de comprobación y evaluación, para ajustar la configuración y analizar los archivos sospechosos en un segmento aislado de la red. Figura 1-2 Un escenario de despliegue autónomo 12 McAfee Advanced Threat Defense 3.0 Guía del producto

13 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense 1 Integración con Network Security Platform: este despliegue implica integrar McAfee Advanced Threat Defense con Network Security Platform Sensor y Manager. Dependiendo de la forma en que haya configurado la correspondiente directiva avanzada de malware, un Sensor en línea detectará la descarga de un archivo y enviará una copia del mismo a McAfee Advanced Threat Defense para su análisis. Si McAfee Advanced Threat Defense detecta malware en un plazo de pocos segundos, Sensor puede bloquear la descarga. Manager muestra los resultados del análisis de McAfee Advanced Threat Defense. Si McAfee Advanced Threat Defense necesita más tiempo para completar el análisis, Sensor permitirá la descarga completa del archivo. Si McAfee Advanced Threat Defense detecta malware tras la descarga del archivo, informará a Network Security Platform y podrá usar Sensor para poner el host en cuarentena hasta que esté limpio y solucionado. Puede configurar Manager para que actualice todos los Sensors acerca de este archivo malicioso. Por tanto, si este archivo vuelve a descargarse en cualquier punto de su red, los Sensors lo bloquearán automáticamente. Para más información sobre cómo integrar Network Security Platform y McAfee Advanced Threat Defense, consulte la más reciente Guía de integraciónnetwork Security Platform. Figura 1-3 Integración con Network Security Platform y McAfee epo McAfee Advanced Threat Defense 3.0 Guía del producto 13

14 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense Integración con McAfee Web Gateway: puede configurar McAfee Advanced Threat Defense como un motor adicional para la protección antimalware. Cuando un usuario de su red descargue un archivo, el motor nativo McAfee Gateway Anti-Malware Engine en McAfee Web Gateway analiza el archivo y le asigna una calificación de malware. Basándose en esa calificación y en el tipo de archivo, McAfee Web Gateway envía una copia del mismo a McAfee Advanced Threat Defense para realizar una inspección en profundidad y un análisis dinámico. Una página de progreso informa a sus usuarios de que el archivo solicitado se está analizando en busca de malware. Basándose en el nivel de gravedad del malware asignado por McAfee Advanced Threat Defense, McAfee Web Gateway decide si se debe bloquear el archivo o no. Si se bloquea, las razones se mostrarán a sus usuarios. Puede consultar los detalles del malware detectado en el archivo de registro. Figura 1-4 Integración con McAfee Web Gateway Este diseño garantiza que solo se envían a McAfee Advanced Threat Defense aquellos archivos que realmente requieren un análisis en profundidad. Así se logra un buen equilibrio entre seguridad y velocidad de descarga, lo que redunda en una mejor experiencia para sus usuarios. Para más información sobre cómo integrar McAfee Advanced Threat Defense y McAfee Web Gateway, consulte la McAfee Web Gateway Guía del producto, versión 7.4. Integración con McAfee epolicy Orchestrator (McAfee epo): esta integración permite que McAfee Advanced Threat Defense recupere la información acerca del host de destino. Conociendo el sistema operativo del host de destino, puede seleccionar un entorno virtual similar para el análisis dinámico. Como las opciones de despliegue afrontan los cuatro aspectos principales del ciclo de proceso antimalware: Detección de la descarga de archivos: En cuanto un usuario accede a un archivo, el Sensor en línea Network Security Platform o McAfee Web Gateway lo detecta y envía una copia del archivo a McAfee Advanced Threat Defense para su análisis. Análisis del archivo en busca de malware: Incluso antes de que el usuario acabe de descargar el archivo, McAfee Advanced Threat Defense puede detectar malware conocido mediante fuentes locales o en la nube. Bloquear futuras descargas del mismo archivo: Cada vez que McAfee Advanced Threat Defense detecta un malware de gravedad media, alta o muy alta, actualiza su lista negra local. Identificar y solucionar los hosts afectados: La integración con Network Security Platform permite poner el host en cuarentena hasta que se pueda limpiar y arreglar. 14 McAfee Advanced Threat Defense 3.0 Guía del producto

15 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense 1 Ventajas de McAfee Advanced Threat Defense Le presentamos algunas de las ventajas que le proporciona McAfee Advanced Threat Defense: Es una solución local que tiene acceso a GTI en la nube. Además, puede integrarla con otros productos de seguridad de McAfee. McAfee Advanced Threat Defense no rastrea o controla el tráfico de red. Analiza los archivos que envíe para análisis de malware. Esto significa que puede colocar el dispositivo McAfee Advanced Threat Defense en cualquier punto de su red, mientras esté al alcance de los productos McAfee integrados. También resulta posible para un dispositivo McAfee Advanced Threat Defense dar servicio a todos esos productos integrados (suponiendo que el número de archivos enviados quede dentro de los niveles admitidos). Este diseño lo convierte en una solución antimalware escalable y efectiva en costes. McAfee Advanced Threat Defense no es un dispositivo en línea. Puede recibir archivos desde Sensors IPS para analizarlos en busca de malware. Así que es posible desplegar McAfee Advanced Threat Defense de manera que tenga todas las ventajas de una solución antimalware en línea, pero sin ninguno de los inconvenientes. Android es actualmente uno de los principales objetivos de los desarrolladores de malware. Con esa integración, los dispositivo móviles basados en Android de su red también están protegidos. Puede analizar dinámicamente los archivos descargados por sus dispositivos Android como teléfonos inteligentes y tabletas. Los archivos son analizados simultáneamente por varios motores. De esta forma, es posible bloquear el malware conocido prácticamente en tiempo real. Cuando McAfee Advanced Threat Defense analiza dinámicamente un archivo, selecciona la máquina virtual analizadora que use el mismo sistema operativo y aplicaciones que el host de destino. Esto es posible gracias a la integración con McAfee epo o a través de una función pasiva de perfiles de dispositivo de Network Security Platform. Esto le permite identificar el impacto exacto que tendría en el host de destino, para que pueda tomar las medidas necesarias para remediarlo. También significa que McAfee Advanced Threat Defense ejecuta el archivo tan solo en la máquina virtual necesaria, reservando sus recursos para otros archivos. Supongamos que un host ha descargado un malware de tipo zero-day (día cero), pero el Sensor que ha detectado este archivo lo ha enviado a McAfee Advanced Threat Defense. Tras el análisis dinámico, McAfee Advanced Threat Defense determina que el archivo es malicioso. Basándose en su configuración de directiva avanzada de malware, Manager puede agregar este malware a la lista negra de los Sensors en la red de su organización. Esta también podría estar en la lista negra de McAfee Advanced Threat Defense. Así, las posibilidades de que el mismo archivo vuelva a entrar en su red se ven disminuidas. Podrá contener un malware de tipo zero-day (día cero) incluso si es la primera vez que se descarga, poniendo a los hosts afectados en cuarentena hasta que se limpien y solucionen. McAfee Advanced Threat Defense 3.0 Guía del producto 15

16 1 Detección de malware y McAfee Advanced Threat Defense La solución McAfee Advanced Threat Defense 16 McAfee Advanced Threat Defense 3.0 Guía del producto

17 2 Configuración del dispositivo McAfee Advanced Threat Defense Consulte este capítulo para obtener información acerca del dispositivo McAfee Advanced Threat Defense y su configuración. Contenido Acerca del dispositivo McAfee Advanced Threat Defense Funciones del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense Especificaciones de hardware y requisitos de entorno Configuración de McAfee Advanced Threat Defense Acerca del dispositivo McAfee Advanced Threat Defense Dependiendo del modelo, el dispositivo McAfee Advanced Threat Defense es un chasis de 1 U o 2 U de bastidor con un procesador de la familia de productos Intel Xeon E El dispositivo McAfee Advanced Threat Defense se ejecuta en un kernel Linux preinstalado y reforzado, que viene ya cargado con el software McAfee Advanced Threat Defense. El dispositivo McAfee Advanced Threat Defense está disponible en los siguientes modelos: ATD-3000: este modelo estándar usa un chasis 1U. ATD-6000: este modelo de gama alta usa un chasis 2U. Funciones del dispositivo McAfee Advanced Threat Defense Los dispositivos McAfee Advanced Threat Defense son servidores de alto rendimiento flexibles, escalables y diseñados específicamente para analizar archivos sospechosos en busca de malware. A continuación se detallan las funciones principales del dispositivo McAfee Advanced Threat Defense: Alojar el software McAfee Advanced Threat Defense que analiza los archivos en busca de malware. Alojar la aplicación web McAfee Advanced Threat Defense. Alojar las máquinas virtuales que se usan para el análisis dinámico de los archivos sospechosos. Para consultar las cifras de rendimiento de ATD-3000 y ATD-6000, póngase en contacto con el soporte de McAfee. McAfee Advanced Threat Defense 3.0 Guía del producto 17

18 2 Configuración del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense Esta sección describe las tareas a completar antes de empezar a instalar McAfee Advanced Threat Defense. Lea toda la documentación que se suministra antes de la instalación. Asegúrese de que ha elegido una ubicación adecuada para instalar el dispositivo McAfee Advanced Threat Defense. Compruebe que dispone de todo el equipo y los componentes necesarios descritos en este documento. Familiarícese con los puertos y conectores de la tarjeta de acceso a la red (NIC) del dispositivo McAfee Advanced Threat Defense, tal y como se describen en este documento. Le recomendamos que tenga a la siguiente información cuando configure el dispositivo McAfee Advanced Threat Defense: Dirección IPv4 a la que quiere asignar el dispositivo. Máscara de red. Dirección de gateway predeterminada. 18 McAfee Advanced Threat Defense 3.0 Guía del producto

19 Configuración del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense 2 Advertencias y precauciones Lea y siga estas advertencias de seguridad cuando instale el dispositivo McAfee Advanced Threat Defense. La no observación de las mismas podría resultar en serios daños personales. Encendido/apagado del dispositivo McAfee Advanced Threat Defense: el botón de encendido/apagado del panel frontal del dispositivo McAfee Advanced Threat Defense no corta la corriente CA. Para cortar la corriente CA en el dispositivo McAfee Advanced Threat Defense, deberá desenchufar el cable de alimentación CA de la fuente de alimentación o de la toma de la pared. Las fuentes de alimentación del sistema pueden producir altos voltajes y riesgo de descarga eléctrica que podrían causar daños personales. Solo los técnicos de servicio especializados están autorizados a retirar las cubiertas y acceder a los componentes internos del sistema. Situaciones de riesgo relacionadas con dispositivos y cables: Es posible que existan situaciones de riesgo eléctrico en los cables de alimentación, de teléfono y de comunicación. Apague el dispositivo McAfee Advanced Threat Defense y desconecte los sistemas de telecomunicaciones, las redes, los módems y ambos cables de alimentación conectados al dispositivo McAfee Advanced Threat Defense antes de abrirlo. De lo contrario, podrían producirse daños personales o materiales. Evite lesiones: levantar y fijar el dispositivo McAfee Advanced Threat Defense al bastidor es una tarea para dos personas. Este equipo está diseñado para usarse con una toma de tierra. Asegúrese de que el host está conectado a una toma de tierra durante su uso. No debe retirar la carcasa exterior del dispositivo McAfee Advanced Threat Defense. Hacerlo invalidaría la garantía. No opere el sistema a no ser que todas las tarjetas, cubiertas, paneles frontales y paneles posteriores estén en su lugar. Los paneles y cubiertas evitan la exposición a los voltajes y corrientes peligrosas del interior del chasis, contienen las interferencias electromagnéticas que podrían interferir con otro equipo y dirigen el flujo de aire de ventilación a través del chasis. Para evitar descargas eléctricas, no conecte circuitos de voltaje muy bajo (SELV) a los circuitos de voltaje de red telefónica (TNV). Los puertos LAN contienen circuitos SELV, y los puertos WAN contienen circuitos TNV. Algunos puertos LAN y WAN usan conectores RJ-45. Tenga cuidado al conectar los cables. Restricciones de uso Las siguientes restricciones se aplican al uso y operación del dispositivo McAfee Advanced Threat Defense: No debe retirar la carcasa exterior del dispositivo McAfee Advanced Threat Defense. Hacerlo invalidaría la garantía. El dispositivo McAfee Advanced Threat Defense no es un servidor de uso general. McAfee prohíbe el uso del dispositivo McAfee Advanced Threat Defense para cualquier otros propósito que no sea el de operar la solución McAfee Advanced Threat Defense. McAfee prohíbe la modificación o instalación de cualquier hardware o software en el dispositivo McAfee Advanced Threat Defense que no sea parte de la operativa normal de McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.0 Guía del producto 19

20 2 Configuración del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense Desempaquete el envío 1 Abra la caja. 2 Saque la primera caja de accesorios. 3 Compruebe que ha recibido todas las partes que aparecen listadas en Compruebe el paquete en la página Extraiga el dispositivo McAfee Advanced Threat Defense. 5 Coloque el dispositivo McAfee Advanced Threat Defense tan cerca del lugar de instalación como le sea posible. 6 Coloque la caja de forma que el texto esté en la posición correcta. 7 Abra las solapas superiores de la caja. 8 Saque la caja de accesorios que contiene la caja del dispositivo McAfee Advanced Threat Defense. 9 Extraiga el kit de railes deslizantes. 10 Saque el material de relleno que rodea el dispositivo McAfee Advanced Threat Defense. 11 Extraiga el dispositivo McAfee Advanced Threat Defense de la bolsa antiestática. 12 Guarde la caja y materiales de relleno para su posterior uso en caso de que necesitara trasladar o enviar el dispositivo McAfee Advanced Threat Defense. Compruebe el paquete Los siguientes accesorios se envían en el paquete del dispositivo McAfee Advanced Threat Defense: Dispositivo McAfee Advanced Threat Defense Accesorios detallados en la Hoja de contenido Juego de railes deslizantes sin herramientas Bisel frontal con llave 20 McAfee Advanced Threat Defense 3.0 Guía del producto

21 Configuración del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense 2 Paneles frontales y posteriores del dispositivo McAfee Advanced Threat Defense Figura 2-1 Vista frontal de ATD-3000 con bisel Figura 2-2 Vista lateral de ATD-3000 sin bisel Figura 2-3 Panel frontal de ATD-3000 y de ATD-6000 Etiqueta Descripción 1 Botón ID de sistema con luz indicadora de actividad integrada 2 Botón NMI (hundido, use una herramienta para pulsarlo) 3 Luz indicadora de actividad de NIC 1 4 ATD-3000: Luz indicadora de actividad de NIC 3 ATD-6000: No se usa 5 Botón de reinicio de sistema 6 Luz indicadora de estado del sistema 7 Botón de encendido con luz indicadora integrada 8 Luz indicadora de actividad del disco duro 9 ATD-3000: Luz indicadora de actividad de NIC 4 ATD-6000: No se usa 10 Luz indicadora de actividad de NIC 2 Se incluye un bisel opcional bloqueable con el dispositivo McAfee Advanced Threat Defense, que puede instalar para cubrir el panel frontal. Figura 2-4 Panel posterior del dispositivo ATD-3000 McAfee Advanced Threat Defense 3.0 Guía del producto 21

22 2 Configuración del dispositivo McAfee Advanced Threat Defense Antes de instalar el dispositivo McAfee Advanced Threat Defense Etiqueta Descripción 1 Módulo de fuente de alimentación 1 2 Módulo de fuente de alimentación 2 3 NIC 1 4 NIC 2 5 NIC 3 6 NIC 4 7 Conector de vídeo 8 Puerto A de serie RJ45 9 Puertos USB 10 Puerto RMM4 NIC 11 Puertos/conectores del módulo I/O (no se usa) 12 Ranuras adaptadoras para complementos de la tarjeta riser número 1 y 2 Figura 2-5 Panel posterior del dispositivo ATD-6000 Etiqueta Descripción 1 Puertos USB 2 Puertos USB 3 Puertos/conectores del módulo I/O 4 Conector de vídeo 5 NIC 1 6 NIC 2 7 Puerto A de serie RJ45 8 Puertos/conectores del módulo I/O (no se usa) 9 Ranuras adaptadoras para complementos de la tarjeta riser 10 Puerto RMM4 NIC 11 Módulo de fuente de alimentación 2 12 Módulo de fuente de alimentación 1 13 Ranuras adaptadoras para complementos de la tarjeta riser 22 McAfee Advanced Threat Defense 3.0 Guía del producto

23 Configuración del dispositivo McAfee Advanced Threat Defense Especificaciones de hardware y requisitos de entorno 2 Especificaciones de hardware y requisitos de entorno Especificaciones ATD-3000 ATD-6000 Dimensiones Factor de forma 734,66 de largo x 438 de ancho x 43,2 de alto (en milímetros) 29 de largo x 17,25 de ancho x 1,70 de alto (en pulgadas) 1U montable en bastidor, encaja en un bastidor de 19 pulgadas Peso 15 kg 22,7 kg Almacenamiento Máximo consumo eléctrico Fuente de alimentación redundante Espacio en disco duro: 2 x 4 TB SSD: 2 x 400 GB 712 de largo x 438 de ancho x 87,3 de alto (en milímetros) 28 de largo x 17,24 de ancho x 3,43 de alto (en pulgadas) 2U montable en bastidor, encaja en un bastidor de 19 pulgadas Espacio en disco duro: 4 x 4 TB SSD: 2 x 800 GB 2 x 750 W 2 x 1600 W Corriente alterna, conmutable en funcionamiento Corriente alterna, conmutable en funcionamiento Voltaje de CA V a Hz. 5,8 A V Hz. 8,5 A Temperatura de operación Temperatura no operativa Humedad relativa (sin condensación) Altitud Certificaciones de seguridad De +10 C a +35 C (+50 F a + 95 F), con una tasa máxima de cambio de temperatura no superior a 10 C por hora De -40 C a +70 C (-40 F a +158 F) Operativa: De 10% a 90% No operativa: 90% a 35 C Operativo hasta 3050 metros ( pies) UL 1950, CSA-C22.2 No. 950, EN-60950, IEC 950, EN 60825, 21CFR1040 CB licencias e informes cubren todas las variantes nacionales Certificación EMI FCC Part 15, Class A (CFR 47) (USA) ICES-003 Class A (Canadá), EN55022 Class A (Europa), CISPR22 Class A (Internacional) Ruido acústico Resistencia a choques, en operativa Resistencia a choques, desempaquetado Potencia acústica: 7,0 BA en condiciones operativas a temperatura ambiente típica de oficina 23 +/- 2 C). Semiseno, pico de 2 G, 11 milisegundos Trapezoidal, 25 G, cambio de velocidad de 136 pulgadas/segundo (de 40 a 80 libras) De +10 C a +35 C (+50 F a + 95 F), con una tasa máxima de cambio de temperatura no superior a 10 C por hora De -40 C a +70 C (-40 F a +158 F) Operativa: De 10% a 90% No operativa: De 50% a 90% con una temperatura húmeda máxima de 28 C (a temperaturas de 25 C a 35 C) Operativo hasta 3050 metros ( pies) UL 1950, CSA-C22.2 No. 950, EN-60950, IEC 950, EN 60825, 21CFR1040 CB licencias e informes cubren todas las variantes nacionales FCC Part 15, Class A (CFR 47) (USA) ICES-003 Class A (Canadá), EN55022 Class A (Europa), CISPR22 Class A (Internacional) Potencia acústica: 7,0 BA en condiciones operativas a temperatura de ambiente típica de oficina 23 +/- 2 C). Semiseno, pico de 2 G, 11 milisegundos Trapezoidal, 25 G, el cambio de velocidad se basa en el peso del paquete. McAfee Advanced Threat Defense 3.0 Guía del producto 23

24 2 Configuración del dispositivo McAfee Advanced Threat Defense Especificaciones de hardware y requisitos de entorno Especificaciones ATD-3000 ATD-6000 Resistencia a choques, empaquetado Caída libre sin paquete desde una altura de 24 pulgadas (de 40 a 80 libras) Peso del producto: de 40 a 80 Altura de caída libre sin paquete = 18 pulgadas Altura de caída libre con paquete (un solo producto) = N/A Vibración Desempaquetado: Aleatoria, de 5 Hz a 500 Hz, con una media cuadrática de 2,20 G Desempaquetado: Aleatoria, de 5 Hz a 500 Hz, con una media cuadrática de 2,20 G Empaquetado: Aleatoria, de 5 Hz a 500 Hz, con una media cuadrática de 1,90 G ESD (Descarga electrostática) Requisitos de refrigeración del sistema, en BTU/ hora +/-12 KV (excepto el puerto I/O: +/- 8 KV), según las especificaciones del test Intel Environmental Máximo 460 W: 1570 BTU/hora Máximo 750 W: 2560 BTU/hora Descarga en aire: 12,0 kv Descarga al contacto: 8,0 kv Máximo 460 W: 1570 BTU/hora Máximo 750 W: 2560 BTU/hora Números de puerto Tabla 2-1 Números de puerto Cliente Servidor Puerto predeterminado Cualquiera (equipo de sobremesa) Cualquiera (cliente FTP) Sensor Manager McAfee Advanced Threat Defense McAfee Advanced Threat Defense Cualquiera (cliente SSH) McAfee Advanced Threat Defense McAfee Advanced Threat Defense McAfee Advanced Threat Defense McAfee Advanced Threat Defense Configurable Descripción TCP 443 (HTTPS) No Acceso a la aplicación web McAfee Advanced Threat Defense TCP 22 (SFTP) No Acceso al servidor FTP en McAfee Advanced Threat Defense TCP 8505 No Canal de comunicación entre Sensor y McAfee Advanced Threat Defense TCP (443) (HTTPS) No Comunicación entre Manager y McAfee Advanced Threat Defense a través de las API RESTful. McAfee epo TCP 8443 Sí Consultas de información de host. McAfee GTI TCP (443) (HTTPS) No McAfee Advanced Threat Defense TCP 2222 (SSH) No Acceso a CLI 24 McAfee Advanced Threat Defense 3.0 Guía del producto

25 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense 2 Configuración de McAfee Advanced Threat Defense En este capítulo se describe cómo preparar Sensor para su configuración. Contenido Instalar o quitar las asas del bastidor Instalar o quitar el dispositivo del bastidor Encienda el dispositivo McAfee Advanced Threat Defense Manipulación del bisel frontal Conecte el cable de red Configurar la información de red para el dispositivo McAfee Advanced Threat Defense Instalar o quitar las asas del bastidor Para instalar un asa de bastidor, debe alinearla con los dos orificios en el lateral del dispositivo McAfee Advanced Threat Defense y sujetar el asa del bastidor al dispositivo mediante dos tornillos, como se muestra en la imagen. Figura 2-6 Instalar las asas del bastidor Para quitar una de las asas del bastidor, quite los dos tornillos que sujetan el asa del bastidor, y después retire el asa del sistema del servidor, como se muestra en la imagen. Figura 2-7 Quitar las asas del bastidor Instalar o quitar el dispositivo del bastidor Use el kit de montaje en bastidor incluido con el dispositivo McAfee Advanced Threat Defense para instalar la unidad en un bastidor de cuatro postes de 19 pulgadas. El kit puede usarse con la mayoría de los bastidores estándar del sector. Use las abrazaderas para fijar los cables del dispositivo McAfee Advanced Threat Defense al bastidor. McAfee Advanced Threat Defense 3.0 Guía del producto 25

26 2 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense Procedimiento 1 En la parte frontal del bastidor, coloque el rail de montaje izquierdo o derecho en el lado correspondiente, de manera que su soporte de montaje esté alineado con los orificios del bastidor. Asegúrese de seguir las advertencias de seguridad. Cuando decida dónde quiere colocar el dispositivo McAfee Advanced Threat Defense dentro del bastidor, recuerde que siempre debe cargar el bastidor de abajo arriba. Si está instalando múltiples dispositivos McAfee Advanced Threat Defense, empiece usando primero la posición inferior. Figura 2-8 Instalación de los railes deslizantes 2 En la parte posterior del bastidor, tire del soporte de montaje (extendiendo el rail de montaje) de forma que quede alineado con los orificios del bastidor. Asegúrese de que los railes están al mismo nivel en ambos lados del bastidor. Figura 2-9 Instalar el rail en el bastidor 3 Encaje el rail en el bastidor y fíjelo. 4 Repita estos pasos para fijar el segundo rail de montaje al bastidor. 26 McAfee Advanced Threat Defense 3.0 Guía del producto

27 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense 2 5 Tire de ambos railes hasta su máxima extensión. Figura 2-10 Railes completamente extendidos 6 Con la ayuda de otra persona, levante el dispositivo McAfee Advanced Threat Defense e instale el chasis en ambos lados del rail simultáneamente. Figura 2-11 Instale el dispositivo en el raíl Suelte primero la ruedecilla posterior, después la del medio y finalmente la frontal. Levantar y fijar el dispositivo McAfee Advanced Threat Defense al bastidor es una tarea para dos personas. 7 Si es necesario, puede unir el bisel bloqueable a la parte frontal del dispositivo a fin de protegerlo. 8 Levante y libere la lengüeta de desbloqueo y empuje el dispositivo dentro del bastidor. Figura 2-12 Levante y libere la lengüeta de desbloqueo y empuje el dispositivo dentro del bastidor 9 Para extraer el dispositivo McAfee Advanced Threat Defense del bastidor, levante y libere la lengüeta de desbloqueo junto a la ruedecilla frontal del chasis y sáquelo de los railes. Esto debe hacerse simultáneamente en ambos lados y por tanto requiere dos personas. McAfee Advanced Threat Defense 3.0 Guía del producto 27

28 2 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense Encienda el dispositivo McAfee Advanced Threat Defense El dispositivo McAfee Advanced Threat Defense tiene preinstaladas fuentes de alimentación redundantes. El dispositivo McAfee Advanced Threat Defense se suministra con dos cables de alimentación específicos para su país o región. Procedimiento 1 Enchufe un extremo del cable de CA al primer módulo de alimentación en la parte posterior del dispositivo y, a continuación, el otro extremo del cable a un módulo de fuente de alimentación adecuado. 2 Enchufe un extremo del cable de CA al segundo módulo de alimentación en la parte posterior del dispositivo y, a continuación, el otro extremo del cable a una toma de corriente adecuada. 3 Pulse el botón de encendido en el panel frontal. El botón de encendido en el panel frontalno interrumpe la alimentación de corriente alterna. Para desconectar el dispositivo McAfee Advanced Threat Defense de la alimentación CA, debe desenchufar ambos cables de alimentación CA del módulo de alimentación o de la toma de corriente de la pared. Manipulación del bisel frontal Puede quitar el bisel frontal si es necesario, y después volver a colocarlo. Sin embargo, antes de colocar el bisel frontal deberá instalar las asas del bastidor. Procedimiento 1 Siga estos pasos para quitar el bisel frontal. a Desbloquee el bisel si está bloqueado. b c Saque el extremo izquierdo del bisel frontal del asa del bastidor. Gire el bisel frontal en sentido contrario al de las agujas del reloj para soltar las pestañas del extremo derecho del asa del bastidor. Figura 2-13 Retirada del bisel frontal 28 McAfee Advanced Threat Defense 3.0 Guía del producto

29 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense 2 2 Siga estos pasos para volver a colocar el bisel frontal. a Bloquee el extremo derecho del bisel frontal en el asa del bastidor b c Gire el bisel frontal en el sentido de las agujas del reloj hasta que el extremo izquierdo encaje con un clic Bloquee el bisel, si fuera necesario. Figura 2-14 Instalación del bisel frontal Conecte el cable de red Procedimiento 1 Conecte un cable Ethernet de categoría 5e o 6 en el NIC 1 del panel posterior. NIC 1 es el puerto de administración. 2 Conecte el otro extremo del cable al dispositivo de red correspondiente. Configurar la información de red para el dispositivo McAfee Advanced Threat Defense Una vez completada la instalación y la configuración iniciales, puede gestionar el dispositivo McAfee Advanced Threat Defense desde un equipo remoto o servidor de terminal. Para hacerlo, debe configurar el dispositivo McAfee Advanced Threat Defense con la información de red requerida. McAfee Advanced Threat Defense 3.0 Guía del producto 29

30 2 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense Procedimiento 1 Conecte un cable de consola (número de serie RJ45 a DB9) al puerto de consola (puerto A de serie RJ45) al panel posterior del dispositivo McAfee Advanced Threat Defense. Figura 2-15 Conecte el puerto de consola 2 Conecte el otro extremo del cable directamente al puerto COM del equipo o puerto del servidor de terminal que esté usando para configurar el dispositivo McAfee Advanced Threat Defense. 3 Ejecute HyperTerminal desde un equipo con Microsoft Windows con la siguiente configuración. Nombre Tasa de baudios Número de bits 8 Paridad Bit de señal de detención 1 Flujo de control Configuración Ninguna Ninguna 4 Cuando se le pida que inicie sesión, inicie sesión en el dispositivo McAfee Advanced Threat Defense usando el nombre de usuario predeterminado atdadmin y la contraseña atdadmin. Puede escribir help (ayuda) o? para obtener instrucciones sobre el funcionamiento de la sintaxis integrada de comandos. Para obtener una lista de todos los comandos, escriba list (lista). 5 En el símbolo del sistema, escriba set appliance name <nombre del dispositivo> (establecer nombre del dispositivo <nombre del dispositivo>) para establecer el nombre del dispositivo McAfee Advanced Threat Defense. Debe introducir los valores que se muestran entre los caracteres <>, excluyendo los caracteres <>. Ejemplo: set appliance name dispositivo_matd_1 El nombre del dispositivo McAfee Advanced Threat Defense puede ser una serie de hasta 25 caracteres alfanuméricos. Esta serie debe empezar por una letra y puede incluir guiones, guiones bajos y puntos, pero no espacios. 30 McAfee Advanced Threat Defense 3.0 Guía del producto

31 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense 2 6 Para configurar la dirección IP del puerto de administración y la máscara de subred del dispositivo McAfee Advanced Threat Defense, escriba set appliance ip <A.B.C.D> <E.F.G.H> Especifique una dirección de 32 bits, escrita como cuatro series de números de 8 bits, separados por puntos, de la forma <A.B.C.D>, donde A, B, C y D son números de ocho bits entre 0 y 255. <E.F.G.H> representa la máscara de subred. Ejemplo: set appliance ip Al configurar la dirección IP por primera vez durante la configuración inicial del dispositivo McAfee Advanced Threat Defense no será necesario que reinicie el dispositivo McAfee Advanced Threat Defense. Sin embargo, los cambios subsiguientes de dirección IP requerirán que reinicie el dispositivo McAfee Advanced Threat Defense para que los cambios surtan efecto. 7 Establezca la dirección de la gateway predeterminada. set appliance gateway <A.B.C.D> Use la misma convención que para el comando set appliance ip (establecer IP del dispositivo). Ejemplo: set appliance gateway Configure la velocidad del puerto y la configuración de dúplex para el puerto de administración mediante uno de los comandos siguientes: set mgmtport auto: configura el puerto de administración en modo automático para velocidad y dúplex. set mgmtport speed (10 100) duplex (full half): fija la velocidad a 10 o 100 Mbps en dúplex medio o completo. 9 Para comprobar la configuración, escriba show. Esto muestra los detalles de la configuración actual. 10 Para comprobar la conectividad de la red, haga ping a otros hosts de la red. Cuando se le pida, escriba ping <dirección IP> Aparecerá el mensaje de éxito host <ip address> is alive (el host <dirección IP> está conectado). Si no se ha podido contactar con el host, aparecerá el mensaje failed to talk to <ip address> (error al intentar contactar con <dirección IP>). 11 Cambie la contraseña del dispositivo McAfee Advanced Threat Defense mediante el comando passwd. La contraseña debe tener entre 8 y 25 caracteres, reconoce entre mayúsculas y minúsculas, y puede incluir caracteres alfanuméricos o símbolos. McAfee le recomienda encarecidamente que elija como contraseña con una combinación de caracteres que sea fácil de recordar para usted pero difícil de adivinar para otra persona. McAfee Advanced Threat Defense 3.0 Guía del producto 31

32 2 Configuración del dispositivo McAfee Advanced Threat Defense Configuración de McAfee Advanced Threat Defense 32 McAfee Advanced Threat Defense 3.0 Guía del producto

33 3 3 Acceso a la aplicación web McAfee Advanced Threat Defense La aplicación web McAfee Advanced Threat Defense está alojada en el dispositivo McAfee Advanced Threat Defense. Si es un usuario de McAfee Advanced Threat Defense con acceso web, puede acceder a la aplicación web McAfee Advanced Threat Defense desde un equipo remoto mediante el navegador compatible. Mediante la aplicación web McAfee Advanced Threat Defense, puede: Supervisar el estado y rendimiento del dispositivo McAfee Advanced Threat Defense. Administrar McAfee Advanced Threat Defense usuarios y sus permisos. Configurar McAfee Advanced Threat Defense para análisis de malware. Cargar archivos manualmente para su análisis. Supervisar el progreso del análisis y ver los resultados del mismo. Contenido Requisitos del cliente McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Requisitos del cliente McAfee Advanced Threat Defense A continuación presentamos los requisitos del sistema para los sistemas cliente conectados a la aplicación web McAfee Advanced Threat Defense. Sistema operativo del cliente: Navegadores: Internet Explorer 9 y posterior, Firefox y Chrome. McAfee Advanced Threat Defense 3.0 Guía del producto 33

34 3 Acceso a la aplicación web McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Acceso a la aplicación web McAfee Advanced Threat Defense Procedimiento 1 Desde el equipo cliente, abra una sesión usando uno de los navegadores compatibles. 2 Use lo siguiente para acceder a la McAfee Advanced Threat Defense aplicación web: URL: del host o dirección IP del dispositivo McAfee Advanced Threat Defense> Nombre de usuario predeterminado: admin Contraseña: admin 3 Haga clic en Log In (Inicio de sesión). 34 McAfee Advanced Threat Defense 3.0 Guía del producto

35 4 Administración 4 de usuarios y rendimiento Puede usar la aplicación web McAfee Advanced Threat Defense para administrar cuentas de usuario y supervisar la información y el mantenimiento del sistema del dispositivo McAfee Advanced Threat Defense. Contenido Administrar usuarios de McAfee Advanced Threat Defense Supervisar el rendimiento de McAfee Advanced Threat Defense Importar software McAfee Advanced Threat Defense Troubleshooting (Solución de problemas) Administrar usuarios de McAfee Advanced Threat Defense Puede crear cuenta de usuario para McAfee Advanced Threat Defense con diferentes permisos y opciones de configuración. Estos permisos y configuraciones dependen de la función del usuario respecto al análisis de malware con McAfee Advanced Threat Defense. Mediante la aplicación web McAfee Advanced Threat Defense, puede crear cuentas de usuario para: Usuarios que usan la aplicación web McAfee Advanced Threat Defense para enviar archivos para su análisis y para ver los resultados del análisis. Usuarios que cargan archivos al servidor FTP alojado en el dispositivo McAfee Advanced Threat Defense. Usuarios que usan directamente las API RESTful para enviar archivos. Para más información, consulte la Guía de referencia de las API RESTful de McAfee Advanced Threat Defense. En el registro de usuario, especifique también el perfil de analizador predeterminado. Si está usando la aplicación web McAfee Advanced Threat Defense para cargar, puede omitir esta selección cuando cargue un archivo. Para cada usuario, también puede configurar los detalles del servidor FTP al que desee que McAfee Advanced Threat Defense cargue los resultados del análisis. Hay cuatro tipos de usuario predeterminados. Default admin (Administrador predeterminado): esta es la cuenta de superusuario predeterminada. Puede usar esta cuenta para la configuración inicial de la aplicación web McAfee Advanced Threat Defense. El nombre de de inicio de sesión es admin y la contraseña predeterminada es admin. NSP user (Usuario de NSP): el nombre de inicio de sesión es nsp y la contraseña predeterminada es admin. Este es el que usa Network Security Platform para la integración con McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.0 Guía del producto 35

36 4 Administración de usuarios y rendimiento Administrar usuarios de McAfee Advanced Threat Defense ATD admin (Administrador ATD): es la cuenta de usuario predeterminada para acceder al servidor FTP en McAfee Advanced Threat Defense. El nombre de usuario es atdadmin y la contraseña es atdadmin. user (usuario de McAfee Web Gateway): este es para la integración entre McAfee Web Gateway y McAfee Advanced Threat Defense. Como precaución, asegúrese de que cambia las contraseñas predeterminadas. Para acceder al CLI de McAfee Advanced Threat Defense, debe usar atdadmin como nombre de inicio de sesión y atdadmin como contraseña. No puede acceder a este registro de usuario. No puede crear ningún otro usuario con acceso a la CLI. Puede acceder a la CLI desde SSH por el puerto Consulte Inicie sesión en la CLI en la página 131 (Iniciar sesión en la CLI). Si no es un usuario administrador, puede ver solo su propio registro de usuario y modificarlo. Para modificar las asignaciones de su función, debe contactar con el usuario administrador. Ver perfiles de usuario Si es un usuario con función de administrador, puede ver la lista de usuario de McAfee Advanced Threat Defense. Si no tiene función de administrador, solo podrá ver su propio registro de usuario. Procedimiento 1 Seleccione Manage User Management (Administrar, Administración de usuarios). Se muestra la lista actual de usuarios (según su función). Figura 4-1 Ver la lista de usuarios Nombre de la columna Select (Seleccionar) Name (Nombre) Login ID (ID de inicio de sesión) Default Analyzer Profile (Perfil predeterminado del analizador) Definición Seleccione para editar o eliminar el correspondiente registro de usuario. Nombre completo del usuario, tal cual se introdujo en los detalles de usuario. El nombre de usuario para acceder a McAfee Advanced Threat Defense. El perfil de analizador que McAfee Advanced Threat Defense usa cuando el usuario envía una muestra para su análisis. Sin embargo, el usuario puede omitirlo en el momento de enviar la muestra. 36 McAfee Advanced Threat Defense 3.0 Guía del producto

37 Administración de usuarios y rendimiento Administrar usuarios de McAfee Advanced Threat Defense 4 2 Oculte las columnas que no desee ver. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b c Seleccione Columns (Columnas). Seleccione de la lista solo los nombres de columna que desee. Figura 4-2 Seleccione los nombres de columna requeridos 3 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). 4 Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga clic en View (Ver). Agregar usuarios Si tiene función de admin user (Administrador), podrá crear los siguientes tipos de usuarios: Usuarios con funciones de administrador en la aplicación web McAfee Advanced Threat Defense Usuarios que no son administradores en la aplicación web McAfee Advanced Threat Defense Usuarios con acceso al servidor FTP alojado en el dispositivo McAfee Advanced Threat Defense Acceso a las API RESTful para la aplicación web McAfee Advanced Threat Defense McAfee Advanced Threat Defense 3.0 Guía del producto 37

38 4 Administración de usuarios y rendimiento Administrar usuarios de McAfee Advanced Threat Defense Procedimiento 1 Seleccione Manage User Management New. (Administrar, Administración de usuarios, Nuevo) Se muestra la página User Management. Figura 4-3 Agregar usuarios 2 Introduzca la información adecuada en los respectivos campos. Nombre de la opción Username (Nombre de usuario) Password (Contraseña) Allow Multiple Logins (Permitir múltiples inicios de sesión) First and Last Name (Nombre y apellidos) (Correo electrónico) Company (Empresa) Phone (Teléfono) Address (Dirección) State (Estado) Country (País) Definición El nombre de usuario para acceder a la aplicación web McAfee Advanced Threat Defense, el servidor FTP o las API RESTful. La contraseña predeterminada que quiera proporcionar al usuario. Debe tener como mínimo 4 caracteres. Anule la selección si desea restringir las sesiones simultáneas con el mismo nombre de usuario a solo una. Seleccione si desea permitir múltiples sesiones simultáneas con el mismo nombre de usuario. Introduzca el nombre completo del usuario. La contraseña debe tener al menos seis caracteres. Opcionalmente, introduzca la dirección de correo electrónico del usuario. Opcionalmente, introduzca la organización a la que pertenece el usuario. Opcionalmente, introduzca el número de teléfono del usuario. Opcionalmente, introduzca la dirección del usuario para comunicación. Opcionalmente, introduzca el estado correspondiente para la dirección introducida. Opcionalmente, introduzca el país correspondiente para la dirección introducida. 38 McAfee Advanced Threat Defense 3.0 Guía del producto

39 Administración de usuarios y rendimiento Administrar usuarios de McAfee Advanced Threat Defense 4 Nombre de la opción Default Analyzer Profile (Perfil predeterminado del analizador) Roles (Funciones) Definición Seleccione el perfil de analizador que deba usarse para los archivos enviados por el usuario. Por ejemplo, si un Sensor envía el archivo Network Security Platform, se usará el perfil de analizador seleccionado en el registro Usuario NSP. Los usuarios que envíen archivos manualmente pueden omitir esta configuración seleccionando un perfil de analizador diferente en el momento de enviar los archivos. Admin User (Usuario Administrador): seleccione para asignar derechos de superusuario en la aplicación web McAfee Advanced Threat Defense. Los usuarios con esta función pueden acceder a todos los menús y crear nuevos usuarios. Web Access (Acceso web): esta función permite a un usuario enviar archivos mediante la aplicación web McAfee Advanced Threat Defense y ver los resultados. Los usuarios con esta función pueden acceder a todas las funciones pero solo pueden ver su propio perfil. También, al enviar archivos, pueden asignar solo los perfiles de analizador que han creado. FTP Access (Acceso a FTP): seleccione para asignar acceso al servidor FTP alojado en el dispositivo McAfee Advanced Threat Defense para enviar archivos a analizar y cargar archivos VMDK. Log User Activities (Registrar actividades del usuario): seleccione si desea registrar los cambios realizados por el usuario en la aplicación web McAfee Advanced Threat Defense. Restful Access (Acceso RESTful): seleccione para asignar acceso a las API RESTful de la aplicación web McAfee Advanced Threat Defense para enviar archivos a analizar. La función Restful Access debe estar seleccionada para los productos McAfee integrados que usan las API RESTful. Si quita esta selección, la integración podría no funcionar. FTP Result Output (Salida resultante de FTP) Save (Guardar) Cancel (Cancelar) Especificar los detalles del servidor FTP al que McAfee Advanced Threat Defense debe proporcionar los resultados del análisis de malware. Remote IP (IP remota): la dirección IPv4 del servidor FTP. Protocol (Protocolo): especifique si debe usarse FTP o SFTP. McAfee recomienda usar SFTP. Path (Ruta de acceso): la ruta de acceso completa a la carpeta donde se guardarán los resultados. User Name (Nombre de usuario): el nombre de usuario que McAfee Advanced Threat Defense debe usar para acceder al servidor FTP. Password (Contraseña): la contraseña para acceder al servidor FTP. Crea el registro de usuario con la información que ha proporcionado. Cierra la página de User Management sin guardar los cambios. Editar usuarios Si tiene la función de usuario administrador, podrá eliminar registros de usuario. Si desea modificar los campos obligatorios, una buena práctica es asegurarse primero de que el usuario correspondiente no ha iniciado sesión. Si solo tiene asignadas funciones de acceso web o acceso RESTful, solo podrá modificar su perfil de usuario. McAfee Advanced Threat Defense 3.0 Guía del producto 39

40 4 Administración de usuarios y rendimiento Supervisar el rendimiento de McAfee Advanced Threat Defense Procedimiento 1 Seleccione Manage User Management (Administrar, Administración de usuarios). Se muestra la lista actual de usuarios. 2 Seleccione el registro del usuario en cuestión y haga clic en Edit (Editar). Se muestra la página User Management. 3 Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar). Para obtener más información sobre los campos, consulte Agregar usuarios en la página 37. Eliminar usuarios Si tiene la función de usuario administrador, podrá eliminar registros de usuario. Asegúrese de que el usuario en cuestión no ha iniciado sesión. Puede eliminar los registros de cualquier usuario predefinido, es decir: los registros de usuario administrador, el registro de usuario para Network Security Platform, y el registro de usuario para McAfee Web Gateway. Procedimiento 1 Seleccione Manage User Management (Administrar, Administración de usuarios). Se muestra la lista actual de usuarios. 2 Seleccione el registro del usuario en cuestión y haga clic en Delete (Eliminar). 3 Haga clic en Yes (Sí) para confirmar la eliminación. Supervisar el rendimiento de McAfee Advanced Threat Defense Puede utilizar las siguientes opciones para supervisar el rendimiento de McAfee Advanced Threat Defense. Use los monitores del panel McAfee Advanced Threat Defense para supervisar continuamente el rendimiento. Consulte Monitores de rendimiento de McAfee Advanced Threat Defense en la página 127 (Monitores de rendimiento de MATD). Use el comando status en la CLI del dispositivo McAfee Advanced Threat Defense. Consulte Comandos CLI para McAfee Advanced Threat Defense en la página 4 (Comandos CLI para McAfee Advanced Threat Defense). Importar software McAfee Advanced Threat Defense Antes de empezar Asegúrese de que extraer el software McAfee Advanced Threat Defense y de que puede acceder al mismo desde su equipo cliente. 40 McAfee Advanced Threat Defense 3.0 Guía del producto

41 Administración de usuarios y rendimiento Troubleshooting (Solución de problemas) 4 Mediante la aplicación web McAfee Advanced Threat Defense, puede importar la imagen del software McAfee Advanced Threat Defense a la que desee actualizarlo. Como precaución adicional, puede usar el comando copytobackup para copiar la versión de software desde el disco activo al disco de copia de seguridad. Esto le permite restaurar el software a la versión actual, si fuera necesario. Procedimiento 1 Seleccione Manage Software Management (Administrar, Administración de software). Figura 4-4 Actualización de software de McAfee Advanced Threat Defense 2 Haga clic en Browse (Examinar) y seleccione el software McAfee Advanced Threat Defense requerido. 3 Si desea que se cree una nueva base de datos como parte de la actualización, seleccione Reset Database (Restablecer base de datos). Por ejemplo, si la estructura de la base de datos cambia en la versión a la que desea actualizar el software, puede que necesite crear una nueva base de datos. Si selecciona esta opción, aparecerá un mensaje advirtiéndole que se perderá la base de datos existente. Haga clic en OK para confirmar. 4 Haga clic en Import (Importar). McAfee Advanced Threat Defense se actualizará al software que haya seleccionado. Este software se almacenará en el disco activo del dispositivo McAfee Advanced Threat Defense. Troubleshooting (Solución de problemas) La página Troubleshooting (Solución de problemas) permite realizar algunas tareas para solucionar problemas con la aplicación web McAfee Advanced Threat Defense. Estas incluyen la exportación de registros desde McAfee Advanced Threat Defense y el borrado de resultados de análisis almacenados en la base de datos de McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.0 Guía del producto 41

42 4 Administración de usuarios y rendimiento Troubleshooting (Solución de problemas) Procedimiento Para acceder a la página Troubleshooting (Solución de problemas), seleccione Manage Troubleshooting (Administrar, Solución de problemas). Figura 4-5 Página Troubleshooting (Solución de problemas) Procedimientos Exportar registros de McAfee Advanced Threat Defense en la página 42 Eliminar los resultados del análisis en la página 43 Exportar registros de McAfee Advanced Threat Defense Si surgen problemas al usar McAfee Advanced Threat Defense, puede exportar los archivo de registro y enviarlos a al servicio técnico de McAfee para sus análisis y solución de problemas. Puede exportar dos tipos de registros: registros de sistema y registros de diagnosis. Los registros del sistema ayudan a solucionar problemas relacionados con funciones, operaciones, eventos y demás. Los registros de diagnosis son necesarios para solucionar problemas críticos tales como bloqueos del sistema en McAfee Advanced Threat Defense. No puede leer el contenido de estos archivos de registro. Están diseñados únicamente para su uso por el servicio técnico de McAfee. Procedimiento En la página Troubleshooting (Solución de problemas), haga clic en Log files (Archivos de registro) para descargar los registros del sistema, y en Diagnostic File (Archivo de diagnóstico) para descargar los registro de diagnosis. 42 McAfee Advanced Threat Defense 3.0 Guía del producto

43 Administración de usuarios y rendimiento Troubleshooting (Solución de problemas) 4 Eliminar los resultados del análisis Procedimiento En la página Troubleshooting (Solución de problemas), haga clic en Remove all Report Analysis Results (Quitar todos los resultados de informe de análisis) y haga clic en Submit (Enviar). McAfee Advanced Threat Defense 3.0 Guía del producto 43

44 4 Administración de usuarios y rendimiento Troubleshooting (Solución de problemas) 44 McAfee Advanced Threat Defense 3.0 Guía del producto

45 5 Creación 5 de una máquina virtual analizadora Para realizar un análisis dinámico, McAfee Advanced Threat Defense ejecuta los archivos sospechosos en una máquina virtual segura y supervisa su comportamiento en busca de actividades maliciosas. Esta máquina virtual se denomina máquina virtual analizadora. Este capítulo detalla los pasos necesarios para crear una máquina virtual analizadora y su perfil de máquina virtual. Cualquier software de seguridad, herramienta o utilidad de bajo nivel usada en una máquina virtual analizadora puede interferir con el análisis dinámico del archivo de muestra. Puede que incluso provoque que se detenga la ejecución del archivo de muestra durante el análisis dinámico. A raíz de ello, los informes podrían no detallar el comportamiento completo del archivo de muestra. Si necesita averiguar el comportamiento completo del archivo de muestra, no use parches en el sistema operativo de la máquina virtual analizadora ni instale ningún software de seguridad en la misma. Si necesita averiguar el efecto específico del archivo de muestra en su red, use su imagen de COE (Entorno Operativo Común) con su software de seguridad habitual, a fin de crear la máquina virtual analizadora. Los pasos de alto nivel para crear una máquina virtual analizadora y su perfil de máquina virtual son los siguientes: 1 Cree una imagen ISO del sistema operativo correspondiente. También debe tener la clave de licencia para dicho sistema operativo. Por ejemplo, para crear una máquina virtual analizadora de Windows 7, debe tener una imagen ISO de Windows 7 y la clave de licencia. Puede crear máquina virtual analizadoras para los siguientes sistemas operativos: Microsoft Windows XP Service Pack 2 Microsoft Windows XP Service Pack 3 Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows Server 2008 de 64 bits Service Pack 1 Microsoft Windows 7 de 32 bits Service Pack 1 Microsoft Windows 7 de 64 bits Service Pack 1 La máquina virtual analizadora para Android está disponible de forma predeterminada. 2 Use VMware Workstation 9.0 para crear un archivo VMDK (disco de máquina virtual) de la imagen ISO. Tras crear la máquina virtual, ya puede instalar las aplicaciones necesarias, tales como: Internet Explorer versiones 6, 7, 8, 9 y 10. Firefox versiones 11, 12 y13. McAfee Advanced Threat Defense 3.0 Guía del producto 45

46 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO Microsoft Office versiones 2003, 2007, 2010 o Adobe Reader versiones 8, 9 o Importe el archivo VMDK en el dispositivo McAfee Advanced Threat Defense. 4 Convierta el archivo VMDK en un archivo de imagen (.img). 5 Cree la máquina virtual y el perfil de máquina virtual. Si ya ha tiene un archivo VMDK, debe ser un solo archivo que contiene todos los archivos necesarios para crear la máquina virtual. Contenido Crear un archivo VMDK a partir de una imagen ISO Importar un archivo VMDK en McAfee Advanced Threat Defense Convierta el archivo VMDK en un archivo de imagen Administrar perfil de máquina virtual Ver el registro de creación de máquina virtual Crear un archivo VMDK a partir de una imagen ISO Antes de empezar Descargue VMware Workstation 9.0 desde evalcenter?p=vmware-workstation9 e instálelo. Aségurese de que tiene la imagen ISO del sistema operativo del cual desea crear un archivo VMDK. Asegúrese de que tiene la clave de licencia para el sistema operativo. A título de ejemplo, esta sección presenta los pasos a seguir para crear archivos VMDK desde imágenes ISO de Windows XP y Windows 7 mediante VMware Workstation 9. Si algún paso en particular difiere entre Windows 7 y Windows XP, esta diferencia se mencionará al principio del paso. Para los pasos comunes entre ambos sistemas operativos, las capturas de pantalla mostrarán solo Windows 7. Procedimiento 1 Inicie VMware Workstation. 2 En la página VMware Workstation, seleccione File New Virtual Machine (Archivo, Nueva máquina virtual). 46 McAfee Advanced Threat Defense 3.0 Guía del producto

47 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 3 En la ventana New Virtual Machine Wizard (Asistente de nueva máquina virtual), seleccione Custom (Advanced) (Personalizado (Avanzado)) y haga clic en Next (Siguiente). Figura 5-1 Seleccione el tipo de configuración para la máquina virtual McAfee Advanced Threat Defense 3.0 Guía del producto 47

48 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 4 En la ventana Choose the Virtual Machine Hardware Compatibility (Elija la compatibilidad con hardware de la máquina virtual), seleccione Workstation 9.0 de la lista desplegable Hardware compatibility (Compatibilidad con hardware). En los otros campos, deje los valores predeterminados y haga clic en Next. Figura 5-2 Ventana Virtual Machine Hardware Compatibility (Compatibilidad de hardware de máquina virtual) 48 McAfee Advanced Threat Defense 3.0 Guía del producto

49 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 5 En la ventana Guest Operating System Installation (Instalación de sistema operativo invitado), seleccione Installer disc (Disco instalador) o bien Installer disc image file (iso) (Archivo de imagen (iso) del disco instalador), encuentre y seleccione la imagen ISO, y haga clic en Next (Siguiente). Figura 5-3 Ventana Guest Operating System Installation (Instalación de sistema operativo invitado) 6 Haga lo siguiente en la ventana Easy Install Information (Información de instalación sencilla) y haga clic en Next (Siguiente). Windows product key (Clave del producto de Windows): introduzca la clave de licencia del sistema operativo Windows para el que está creando el archivo VMDK. Version of Windows to install (Versión de Windows a instalar): seleccione la edición correspondiente, Windows 7 o Windows XP según sea aplicable. Full name (Nombre completo): escriba administrator Password (Contraseña): escriba cr@cker42 McAfee Advanced Threat Defense 3.0 Guía del producto 49

50 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO Confirm (Confirmar): escriba cr@cker42 Log on automatically (requires a password) (Inicio de sesión automático (requiere contraseña)): deseleccione esta opción. Figura 5-4 Ventana Easy Install Information (Información de instalación sencilla) 7 En el mensaje de VMware Workstation, haga clic en Yes (Sí). Figura 5-5 Mensaje de VMware Workstation 50 McAfee Advanced Threat Defense 3.0 Guía del producto

51 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 8 Haga lo siguiente en la ventana Name the Virtual Machine (Asignar nombre a máquina virtual) y haga clic en Next (Siguiente). Virtual Machine name (Nombre de la máquina virtual): escriba virtualmachineimage Location (Ubicación): busque y seleccione la carpeta en la que desea crear el archivo VMDK. Figura 5-6 Ventana Asignar nombre a máquina virtual McAfee Advanced Threat Defense 3.0 Guía del producto 51

52 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 9 Deje los valores predeterminados y haga clic en Next (Siguiente) para ver lo siguiente: Processor Configuration (Configuración del procesador) Figura 5-7 Configuración del procesador para la máquina virtual Memory for the Virtual Machine (Memoria para la máquina virtual) Figura 5-8 Configuración de memoria para la máquina virtual 52 McAfee Advanced Threat Defense 3.0 Guía del producto

53 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 Network Type (Tipo de red) Figura 5-9 Configuración de tipo de red para la máquina virtual Select I/O Controller Types (Seleccione el tipo de controlador I/O) Figura 5-10 Seleccione el tipo de controlador I/O McAfee Advanced Threat Defense 3.0 Guía del producto 53

54 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 10 En la página Select a Disk Type (Seleccione un tipo de disco), seleccione IDE y haga clic en Next (Siguiente). Los discos SCSI no son compatibles con McAfee Advanced Threat Defense. Figura 5-11 Seleccione un tipo de disco 54 McAfee Advanced Threat Defense 3.0 Guía del producto

55 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 11 En la ventana Select a Disk, seleccione Create a new virtual disk (Crear nuevo disco virtual) y haga clic en Next. Figura 5-12 Seleccione un disco McAfee Advanced Threat Defense 3.0 Guía del producto 55

56 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 12 Haga lo siguiente en la ventana Specify Disk Capacity (Especificar capacidad de disco) y haga clic en Next. Maximum disk size (GB) (Máximo tamaño del disco en GB): introduzca el tamaño apropiado para el disco, basándose en el sistema operativo. Para Windows 7 de 64 bits, el tamaño máximo de disco es 14 GB. Para Windows 7 de 32 bits, el tamaño máximo de disco es 12 GB. Para Windows XP, el tamaño máximo de disco es 5 GB. Seleccione Allocate all disk space now (Asignar todo el espacio de disco ahora). Seleccione Store virtual disk as a single file (Guardar disco virtual como un solo archivo). Figura 5-13 Especificar capacidad de disco 56 McAfee Advanced Threat Defense 3.0 Guía del producto

57 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 13 En la ventana Specify Disk file (Especificar archivo de disco), asegúrese de que se muestra la opción predeterminada virtualmachineimage.vmdk y haga clic en Next. Si ha especificado un nombre distinto para Virtual Machine name, ese nombre se mostrará aquí. Figura 5-14 Especifica la ruta para guardar el archivo de disco 14 Haga lo siguiente en la ventana Ready to Create Virtual Machine (Listo para crear máquina virtual). Power on this virtual machine after creation (Encender máquina virtual tras su creación): seleccione esta opción. Haga clic en Finish (Finalizar). McAfee Advanced Threat Defense 3.0 Guía del producto 57

58 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO Este paso puede tardar alrededor de 30 minutos en completarse. Figura 5-15 Progreso de la creación de la máquina virtual 15 Si aparece la ventana emergente Removable Devices (Dispositivos extraíbles), seleccione Do not show this hint again (No volver a mostrar esta sugerencia ) y haga clic en OK. Windows empezará a instalarse, lo que puede tardar unos 15 minutos. 16 Detenga la instalación de VMware Tools. VMware Tools no es compatible con McAfee Advanced Threat Defense. Figura 5-16 Cancelar la instalación de VMware Tools 58 McAfee Advanced Threat Defense 3.0 Guía del producto

59 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 17 Seleccione Red pública en la ventana Establecer ubicación de red y haga clic en Siguiente. Figura 5-17 Seleccionar una ubicación de red 18 Haga lo siguiente solo para Windows XP. a Haga clic en OK si se muestra el siguiente mensaje de error: Setup cannot continue until you enter your name. Administrator and Guest are not allowable names to use. (La configuración no puede continuar hasta que introduzca su nombre. Administrator y Guest no son nombres válidos). b Introduzca los detalles siguientes en la página Configuración de Windows XP Professional. Nombre: Escriba root Organización: Déjelo en blanco y haga clic en Next. Este paso puede tardar alrededor de 15 minutos en completarse. 19 Solo en caso de que se le pida, inicie sesión en virtualmachineimage con las siguientes credenciales. User: administrator Password: cr@cker42 20 En Windows XP, vaya a virtualmachineimage, seleccione Inicio Panel de control Centro de seguridad Firewall de Windows Desactivar. McAfee Advanced Threat Defense 3.0 Guía del producto 59

60 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 21 En Windows 7, vaya a virtualmachineimage y haga lo siguiente. a Seleccione Inicio Panel de control Sistema y seguridad Firewall de Windows Activar o desactivar Firewall de Windows. b Seleccione Desactivar Firewall de Windows (no recomendado) tanto para Configuración de ubicación de red doméstica o del trabajo (privada) como para Configuración de ubicación de red pública y luego haga clic en Aceptar. Figura 5-18 Desactivar el Firewall de Windows en la máquina virtual Windows 7 60 McAfee Advanced Threat Defense 3.0 Guía del producto

61 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 c Seleccione Inicio Panel de control Programas Programas y características Activar o desactivar característica de Windows y complete lo siguiente. 1 Seleccione Internet Information Services Servidor FTP y seleccione Extensibilidad de FTP. 2 Seleccione Internet Information Services Herramientas de administración web y seleccione Servicio de administración de IIS. 3 Seleccione Servidor Telnet y pulse Aceptar. Este paso puede tardar alrededor de 5 minutos en completarse. Figura 5-19 Seleccione las opciones Servidor FTP y Servicio de administración de IIS Figura 5-20 Seleccione la opción Servidor Telnet d Haga clic en Inicio y clic con el botón derecho en Equipo. A continuación seleccione Administrar Servicios y aplicaciones Servicios. A continuación haga doble clic en Telnet. McAfee Advanced Threat Defense 3.0 Guía del producto 61

62 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 22 En Windows XP, en la máquina virtual virtualmachineimage, haga clic en Inicio y luego clic con el botón derecho en Mi PC. A continuación seleccione Administrar Servicios y aplicaciones Servicios. A continuación haga doble clic en Telnet. 23 En la ventana Telnet Properties(Local Computer) (Propiedades de Telnet (Equipo local)), seleccione Automático en la lista desplegable Tipo de inicio. A continuación seleccione Aplicar Inicio Aceptar Figura 5-21 Ventana Telnet Properties(Local Computer) (Propiedades de Telnet (equipo local)) 24 Para permitir el uso de FTP en Windows XP, haga lo siguiente. a En virtualmachineimage, seleccione Inicio Panel de control Agregar o quitar programas Agregar o quitar componentes de Windows. b c Una vez aparezca el Asistente para Componentes de Windows, haga doble clic en Internet Information Services (IIS). En la ventana emergente Internet Information Services (IIS), haga lo siguiente. 1 Seleccione File Transfer Protocol (FTP) Service (Servicio de Protocolo de transferencia de archivos (FTP)). 2 Seleccione Archivos comunes. 3 Seleccione Internet Information Services Snap-In (Complemento de Internet Information Services), haga clic en Aceptar y luego haga clic en Siguiente. d En el asistente de Componentes de Windows, haga clic en Finalizar para acabar de instalar el FTP. 62 McAfee Advanced Threat Defense 3.0 Guía del producto

63 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 e f g Seleccione Inicio Panel de control Herramientas administrativas y haga doble clic o expanda Internet Information Services. Expanda FTP Sites (Sitios FTP). Seleccione Default FTP Site Properties Home Directory (Sitio FTP predeterminado, Propiedades, Directorio particular) y haga lo siguiente. 1 Navegue hasta C:/ 2 Seleccione Read (Leer). 3 Seleccione Write (Escribir). 4 Seleccione Log visits (Registrar visitas), haga clic en Apply (Aplicar) y luego en OK. McAfee Advanced Threat Defense 3.0 Guía del producto 63

64 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 25 Para permitir el uso de FTP en Windows 7, haga lo siguiente. a En virtualmachineimage, seleccione Inicio Panel de control Sistema y seguridad Herramientas administrativas. Haga doble clic en Internet Information Services(IIS), expanda el árbol bajo Hostname (Nombre de host), y haga lo siguiente: Figura 5-22 Navegue hasta Default Web Site (Sitio web predeterminado) 64 McAfee Advanced Threat Defense 3.0 Guía del producto

65 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 1 Seleccione Sites (Sitios) y haga clic con el botón derecho en Default Web Site y quítelo. Haga clic en Yes (Sí) para confirmar. Figura 5-23 Quitar sitio web predeterminado McAfee Advanced Threat Defense 3.0 Guía del producto 65

66 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 2 Haga clic con el botón derecho en Sites y seleccione Add FTP Site (Agregar sitio FTP). A continuación, haga lo siguiente. Figura 5-24 Seleccione Agregar sitio FTP a b c En FTP site name (Nombre del sitio FTP), escriba root. Physical Path: C:\. Haga clic en Next (Siguiente). Figura 5-25 Proporcione la información del sitio FTP 66 McAfee Advanced Threat Defense 3.0 Guía del producto

67 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 3 En Bindings and SSL Settings (Enlaces y Configuración de SSL), seleccione No SSL (Sin SSL). Para todos los demás campos, deje los valores predeterminados y haga clic en Next. Figura 5-26 Enlaces y configuración de SSL 4 En Authentication and Authorization Information (Información de autenticación y autorización), haga lo siguiente. a Seleccione Basic (Básica). b c d En Allow access to (Permitir acceso a), seleccione All Users (Todos los usuarios). En Permissions (Permisos), seleccione tanto Read como Write, y luego haga clic en Finish. Cierre Internet Information Services (IIS) Manager. Figura 5-27 Información de autenticación y autorización McAfee Advanced Threat Defense 3.0 Guía del producto 67

68 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 26 Establecer inicio de sesión automático. a En Windows XP, seleccione Inicio Ejecutar, escriba rundll32 netplwiz.dll,usersrundll y pulse Intro. b En Windows 7, seleccione Inicio Ejecutar, escriba netplwiz y pulse Enter. Figura 5-28 Establecer inicio de sesión automático 68 McAfee Advanced Threat Defense 3.0 Guía del producto

69 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 27 En la ventana Cuentas de usuario, deseleccione Los usuarios deben escribir su nombre y contraseña para usar el equipo y haga clic en Aplicar. Figura 5-29 Ventana Cuentas de usuario McAfee Advanced Threat Defense 3.0 Guía del producto 69

70 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 28 En la ventana emergente Iniciar sesión automáticamente, haga lo siguiente. User name (Nombre del usuario): escriba Administrator Password (Contraseña): escriba cr@cker42 Confirm Password (Confirmar contraseña): escriba cr@cker42 Figura 5-30 Credenciales para inicio de sesión automático 70 McAfee Advanced Threat Defense 3.0 Guía del producto

71 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 Pulse Aceptar en los cuadros de mensaje. Figura 5-31 Ventana Cuentas de usuario 29 Descargue Sigcheck en la máquina virtual desde bb aspx. 30 Extraiga sigcheck.zip en la ubicación C:\WINDOWS\system32. Figura 5-32 Descomprima las carpetas McAfee Advanced Threat Defense 3.0 Guía del producto 71

72 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 31 En el Explorador de Windows, vaya a C:\ WINDOWS\system32 y haga doble clic en sigcheck.exe. Figura 5-33 Ejecute sigcheck.exe 32 Si se le solicita, haga clic en Ejecutar en el mensaje de advertencia. Figura 5-34 Mensaje de confirmación 72 McAfee Advanced Threat Defense 3.0 Guía del producto

73 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 33 Haga clic en Estoy de acuerdo en Acuerdo de licencia de Sigcheck. Figura 5-35 Acuerdo de licencia de Sigcheck 34 Descargue MergeIDE.zip desde MergeIDE.zip. 35 Extraiga MergeIDE.zip y ejecute el archivo por lotes MergeIDE. Figura 5-36 Ejecute MergeIDE 36 Si se le solicita, seleccione Ejecutar en el mensaje de advertencia. Figura 5-37 Mensaje de advertencia McAfee Advanced Threat Defense 3.0 Guía del producto 73

74 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 37 Cierre el Explorador de Windows. 38 Compruebe que Windows está activado. Haga clic Inicio, haga clic con el botón derecho en Equipo, y seleccione Propiedades. Es obligatorio tener Windows activado. Figura 5-38 Activar Windows 39 Instale la versión correspondiente de Microsoft Office en la máquina virtual. Si está instalando una versión anterior de Office, vaya a download/details.aspx?id=3 y descargue el paquete de compatibilidad de Microsoft Office adecuado para formatos de archivo Word, Excel y PowerPoint en la máquina virtual. Necesita el paquete de compatibilidad para abrir archivos de Microsoft Office creados en una versión más reciente de Microsoft Office. Por ejemplo, para abrir un archivo.docx con Office 2003, necesita tener instalado 74 McAfee Advanced Threat Defense 3.0 Guía del producto

75 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO 5 el correspondiente paquete de compatibilidad. Tras descargar el paquete de compatibilidad, instálelo en la máquina virtual. a En VMware Workstation, haga clic con el botón derecho en la máquina virtual y seleccione Settings (Configuración). Figura 5-39 Opción de configuración McAfee Advanced Threat Defense 3.0 Guía del producto 75

76 5 Creación de una máquina virtual analizadora Crear un archivo VMDK a partir de una imagen ISO b Seleccione CD/DVD (IDE) y luego seleccione o bien Use physical drive (Usar unidad física) o Use ISO image file (Usar archivo de imagen ISO) y navegue hasta la imagen ISO de Microsoft Office. A continuación, haga clic en OK. Figura 5-40 Navegue hasta la imagen ISO de Microsoft Office c Tras introducir la clave de licencia, seleccione Customize (Personalizar). Figura 5-41 Seleccione para personalizar la instalación 76 McAfee Advanced Threat Defense 3.0 Guía del producto

77 Creación de una máquina virtual analizadora Importar un archivo VMDK en McAfee Advanced Threat Defense 5 d Seleccione Run all from my computer (Ejecutar todo desde mi equipo) para Microsoft Office. Después seleccione Not Available (No disponible) para aplicaciones tales como Access, InfoPath, Lync, Outlook, Publisher, y Skydrive. Figura 5-42 Especifique la personalización 40 Instale las otras aplicaciones requeridas, tales como Adobe Reader, Adobe Flash Player, Java y el navegador requerido. Si hay más de un navegador instalado, puede configurar uno de ellos como navegador predeterminado. 41 Apague virtualmachineimage seleccionando Start Shut down (Inicio, Apagar). 42 Vaya a la ubicación que ha introducido en el paso 8 para encontrar el archivo VMDK llamado virtualmachineimage flat.vmdk Importar un archivo VMDK en McAfee Advanced Threat Defense Para crear una máquina virtual analizadora, antes debe importar el correspondiente archivo VMDK en McAfee Advanced Threat Defense. Debe usar SFTP para importar el archivo VMDK. Procedimiento 1 Abra un cliente FTP compatible con SFTP. Por ejemplo, puede usar WinSCP o FileZilla. 2 Conecte con el servidor FTP en McAfee Advanced Threat Defense mediante las siguientes credenciales. Host: dirección IP de McAfee Advanced Threat Defense. Username (Nombre de usuario): atdadmin Password (Contraseña): atdadmin Port (Puerto): 22 McAfee Advanced Threat Defense 3.0 Guía del producto 77

78 5 Creación de una máquina virtual analizadora Convierta el archivo VMDK en un archivo de imagen 3 Cargue el archivo VMDK desde el equipo local a McAfee Advanced Threat Defense. Convierta el archivo VMDK en un archivo de imagen Antes de empezar Ha cargado el archivo VMDK a McAfee Advanced Threat Defense. Tiene permisos de administrador en McAfee Advanced Threat Defense. Procedimiento 1 En la aplicación web McAfee Advanced Threat Defense, seleccione Manage Image Management (Administrar, Administración de imágenes). 2 En la página Image Management, seleccione el archivo VMDK que ha importado desde el menú desplegable VMDK Image (Imagen VMDK). 3 Seleccione el sistema operativo correspondiente en el menú desplegable Operating System (Sistema operativo). 4 Haga clic en Convert (Convertir). El tiempo requerido para completar la conversión depende del tamaño del archivo VMDK. Para un archivo de 15 GB, un ATD-3000 puede tardar unos cinco minutos. Figura 5-43 Conversión de VMDK a archivo de imagen Una vez se complete la conversión, se mostrará un mensaje. Figura 5-44 Mensaje de confirmación 78 McAfee Advanced Threat Defense 3.0 Guía del producto

79 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual 5 Administrar perfil de máquina virtual Tras convertir el archivo importado VMDK a un archivo de imagen, ha de crear un perfil de máquina virtual para ese archivo de imagen. No puede asociar este perfil de máquina virtual con ningún otro archivo de imagen. De la misma manera, una vez asociado, no puede cambiar el perfil de máquina virtual para un determinado archivo de imagen. Los perfiles de máquina virtual contienen el sistema operativo y las aplicaciones de un archivo de imagen. Esto le permite identificar las imágenes que quiere cargar a McAfee Advanced Threat Defense y después usar la imagen apropiada para analizar dinámicamente un archivo. También puede especificar el número de licencias que posee para el sistema operativo y las aplicaciones. McAfee Advanced Threat Defense tendrá este dato en cuenta cuando cree máquinas virtuales simultáneas desde el correspondiente archivo de imagen. Puede usar la aplicación web McAfee Advanced Threat Defense para administrar los perfiles de máquina virtual. Figura 5-45 Configuraciones de un perfil de máquina virtual Ver perfiles de máquina virtual Puede ver los perfiles de máquina virtual existentes en la aplicación web McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.0 Guía del producto 79

80 5 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual Procedimiento 1 Seleccione Policy VM Profile (Directiva, Perfil de máquina virtual). Se mostrarán los perfiles disponibles de máquina virtual. Nombre de la columna Definición Select (Seleccionar) Name (Nombre) Licenses (Licencias) Default (Predeterminado) Size (Tamaño) Hash 2 Oculte las columnas innecesarias. a Seleccione para editar o eliminar el correspondiente perfil de máquina virtual. Nombre que ha asignado al perfil de máquina virtual. El número de licencias que posee para el sistema operativo y las aplicaciones. Este es uno de los factores que determinan el número de máquinas virtuales analizadoras simultáneas en McAfee Advanced Threat Defense. Indica si se trata de un perfil de máquina virtual predeterminado. El tamaño del archivo de imagen en megabytes. El valor de hash MD5 para el archivo de imagen. Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b c Seleccione Columns (Columnas). Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 3 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). 4 Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y haga clic en View (Ver). Crear perfiles de máquina virtual Tras convertir el archivo importado VMDK al formato de imagen, puede iniciar la creación de la máquina virtual y también crear el perfil de máquina virtual correspondiente. Cada archivo VMDK que importe debe estar asociado con un único perfil de máquina virtual, que no podrá modificar. 80 McAfee Advanced Threat Defense 3.0 Guía del producto

81 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual 5 Procedimiento 1 Seleccione Policy VM Profile New. (Directiva, Perfil de máquina virtual, Nuevo). Se muestra la página VM Profile (Perfil de máquina virtual). Figura 5-46 Seleccione el archivo de imagen 2 En el menú desplegable Image (Imagen), seleccione aquella para la que desee crear el perfil de máquina virtual. McAfee Advanced Threat Defense 3.0 Guía del producto 81

82 5 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual 3 Haga clic en Activate (Activar) para crear y activar la máquina virtual desde el archivo de imagen seleccionado. Al hacer clic en Activate (Activar), la máquina virtual se abrirá en una ventana emergente. Por tanto, asegúrese de que el bloqueo de ventanas emergentes de su navegador está desactivado. Una barra de progreso indica el avance de la creación de la máquina virtual. Figura 5-47 Progreso de la creación de la máquina virtual Según la configuración de su navegador, pueden aparecer mensajes de advertencia antes de que se inicie la máquina virtual. Figura 5-48 Mensaje de advertencia Figura 5-49 Mensaje de advertencia 82 McAfee Advanced Threat Defense 3.0 Guía del producto

83 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual 5 Una vez haga clic en OK en los mensajes de advertencia, se iniciará la máquina virtual. Figura 5-50 Máquina virtual presentada en una ventana emergente 4 Active la máquina virtual, apáguela y cierre la ventana emergente. Figura 5-51 Apague la máquina virtual Figura 5-52 Cierre la ventana emergente McAfee Advanced Threat Defense 3.0 Guía del producto 83

84 5 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual 5 Introduzca la información adecuada en los respectivos campos para crear el perfil de máquina virtual para la máquina virtual que ha creado previamente. Tabla 5-1 Definiciones de las opciones Nombre de la opción Name (Nombre) Description (Descripción) Default Profile (Perfil predeterminado) Maximum Licenses (Licencias máximas) Operating System (Sistema operativo) Applications (Aplicaciones) Add (Agregar) Remove (Quitar) Save (Guardar) Definición El nombre del archivo de imagen se mostrará automáticamente como nombre del perfil de la máquina virtual. No podrá modificarlo. Opcionalmente, puede introducir una descripción detallada del perfil de máquina virtual. La primera vez, deberá seleccionarlo para hacer de este perfil de máquina virtual el perfil predeterminado; las siguientes veces, podrá seleccionarlo o ignorarlo. Para un archivo, si el entorno del host de destino o la máquina virtual analizadora requerida no están disponibles, McAfee Advanced Threat Defense usa esta máquina virtual para analizar dinámicamente el archivo. Introduzca el número de licencias simultáneas de usuario que posee. Debe tener en cuenta el sistema operativo, así como las aplicaciones en el archivo de imagen. Tenga en cuenta que el archivo de imagen es una máquina Windows 7 con Microsoft Office instalado. Tiene tres licencias simultáneas para Windows 7 y dos para Microsoft Office. En este caso, debe introducir 2 como el número máximo de licencias. Es uno de los factores que determinan el número de máquinas virtuales analizadoras simultáneas que McAfee Advanced Threat Defense crea desde el archivo de imagen. El nombre del archivo de imagen se mostrará automáticamente como nombre del sistema operativo. No podrá modificarlo. Opcionalmente, seleccione las aplicaciones (tales como navegadores, el lector Adobe PDF y Microsoft Office) contenidas en la imagen. También puede seleccionar la versión de cada aplicación que ha seleccionado. Esto permite identificar los contenidos del archivo de imagen. Haga clic para incluir la aplicación y versión que ha seleccionado en el perfil de máquina virtual. Seleccione una de las aplicaciones agregadas y haga clic en Remove para quitarla de la lista de aplicaciones agregadas. Crea el registro de perfil de máquina virtual con la información que ha proporcionado. Cuando haga clic en Save, la creación de la máquina virtual empezará en segundo plano, ejecutándose como un daemon, y el perfil de máquina virtual aparecerá listado en la página Perfil de máquina virtual. Incluso si el perfil de máquina virtual recién creado aparece listado en la página VM Profile (Perfil de máquina virtual), pueden pasar 10 o 15 minutos antes de que la máquina virtual analizadora y el perfil de máquina virtual estén listos para su uso. Cancel (Cancelar) Cierra la página VM Profile sin guardar los cambios. 6 Seleccione Policy Analyzer Profile y compruebe que el perfil de máquina virtual que ha creado aparece listado en el menú desplegable VM Profile. Figura McAfee Advanced Threat Defense 3.0 Guía del producto

85 Creación de una máquina virtual analizadora Administrar perfil de máquina virtual 5 Editar perfiles de máquina virtual Antes de empezar Para editar un perfil de máquina virtual, necesita o bien haberla creado o tener función de usuario-administrador. Procedimiento 1 Seleccione Policy VM Profile (Directiva, Perfil de máquina virtual). Se mostrarán los perfiles disponibles de máquina virtual. 2 Seleccione el registro deseado y haga clic en Edit (Editar). Se muestra la página VM Profile (Perfil de máquina virtual). 3 Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar). Delete VM profiles (Eliminar perfiles de máquina virtual) Antes de empezar Para eliminar el perfil de una máquina virtual, necesita o bien haberla creado o tener función de usuario-administrador. Asegúrese de que el perfil de máquina virtual que quiere eliminar no está especificado en los perfiles de analizador. Procedimiento 1 Seleccione Policy VM Profile (Directiva, Perfil de máquina virtual). Se mostrarán los perfiles disponible de máquina virtual. 2 Seleccione el registro deseado y haga clic en Delete (Eliminar). 3 Haga clic en Yes (Sí) para confirmar la eliminación. McAfee Advanced Threat Defense 3.0 Guía del producto 85

86 5 Creación de una máquina virtual analizadora Ver el registro de creación de máquina virtual Ver el registro de creación de máquina virtual Cuando crea un perfil de máquina virtual mediante la página VM Profile (Perfil de máquina virtual), McAfee Advanced Threat Defense crea una máquina virtual analizadora a partir del archivo de imagen que ha seleccionado en el registro de perfil de máquina virtual. Simultáneamente, muestra los registros relacionados, que puede ver en la aplicación web McAfee Advanced Threat Defense. A través de estas entradas del registro puede ver qué está sucediendo mientras se crea la máquina virtual analizadora. Puede utilizar esta información para ayudarle a solucionar problemas. Procedimiento Tras hacer clic en Save (Guardar) en la página VM Profile (Perfil de máquina virtual), seleccione Manage VM Creation Log (Administrar, Registro de creación de máquina virtual) para ver las entradas del registro. No puede imprimir o exportar las entradas del registro. 86 McAfee Advanced Threat Defense 3.0 Guía del producto

87 6 6 Configurar McAfee Advanced Threat Defense para análisis de malware Tras instalar el dispositivo McAfee Advanced Threat Defense en su red, puede configurarlo para analizar malware. Para ello puede usar la aplicación web McAfee Advanced Threat Defense. Debe tener al menos la función de acceso web para configurar el análisis de malware. Esta sección le ofrece una introducción a la terminología relacionada y explica los procedimientos necesarios para configurar McAfee Advanced Threat Defense para analizar malware. Contenido Terminología Pasos de alto nivel para configurar el análisis de malware Cómo analiza el malware McAfee Advanced Threat Defense? Administrar perfiles de analizador Integración con McAfee epo Especificar servidor proxy para conectividad de Internet Configurar el DNS proxy Terminología Familiarizarse con la siguiente terminología le facilitará el análisis de malware con McAfee Advanced Threat Defense. Análisis estático: cuando McAfee Advanced Threat Defense recibe un archivo compatible para análisis, primero realiza un análisis estático. El objetivo es comprobar en el menor tiempo posible si se trata de un malware conocido, y también ahorrar recursos del McAfee Advanced Threat Defense para el McAfee Advanced Threat Defense 3.0 Guía del producto 87

88 6 Configurar McAfee Advanced Threat Defense para análisis de malware Terminología análisis dinámico. Para el análisis estático, McAfee Advanced Threat Defense usa los siguientes recursos y en este orden: Lista blanca local: es la lista de valores hash de MD5 de los archivos de confianza, que no es necesario analizar. Esta lista blanca se basa en la base de datos de McAfee Application Control que emplean otras soluciones en la suite McAfee. Tiene más de 230 millones de entradas. La lista blanca está activada de forma predeterminada. Para desactivarla, use el comando setwhitelist. Existen comandos capaces de administrar las entradas en la lista blanca. La base de datos estática de McAfee Application Control no puede modificarse. Sin embargo, puede agregar o eliminar entradas basándose en el valor hash del archivo. También puede realizar consulta a la lista blanca mediante el valor de hash de un determinado archivo, para comprobar si se ha agregado a la base de datos. Los productos de McAfee que envían archivos a McAfee Advanced Threat Defense tienen la capacidad de agregar a la lista blanca de manera personalizada. Esto incluye a McAfee Web Gateway y McAfee Network Security Platform Consulte whitelist en la página 143 para ver los comandos. Lista negra local: es la lista de los valores hash de MD5 de los archivos de malware conocidos almacenados en la base de datos de McAfee Advanced Threat Defense. Cuando McAfee Advanced Threat Defense detecta un malware a través de su motor heurístico Gateway Anti-Malware Engine de McAfee, o mediante análisis dinámico, actualiza esta lista negra local con el valor de hash de MD5 del archivo. Un determinado archivo se agrega a esta lista automáticamente solo cuando su calificación de gravedad de malware (determinada por McAfee Advanced Threat Defense) sea media, alta o muy alta. Existen comandos para administrar las entradas a la lista negra. Consulte Lista negra en la página 132. McAfee GTI: este es un motor global de correlación de amenazas, así como una base de inteligencia global sobre comportamiento de comunicación y mensajería, que permite proteger a los usuarios contra amenazas electrónicas tanto conocidas como emergentes, en todas las áreas susceptibles. El comportamiento de comunicación incluye la reputación, el volumen y los patrones de tráfico de red. McAfee Advanced Threat Defense usa tanto la función de reputación de la IP como la función de reputación de archivos de GTI. Gateway Anti-Malware: el motor Gateway Anti-Malware Engine de McAfee analiza en tiempo real el comportamiento de los sitios web, el código de sitio web y los contenidos de la Web 2.0 descargados, para detectar y bloquear preventivamente los ataques web maliciosos. Protege a las empresas de los ataques combinados modernos, incluidos virus, gusanos, adware, spyware, y otras amenazas de crimeware, sin tener que fiarse de las firmas de virus. El motor Gateway Anti-Malware Engine de McAfee está integrado en McAfee Advanced Threat Defense para proporcionarle detección de malware en tiempo real. Anti-Malware : el motor Anti-Malware Engine de McAfee está integrado en McAfee Advanced Threat Defense. El DAT se actualiza manual o automáticamente, basándose en la conectividad de red de McAfee Advanced Threat Defense. Análisis dinámico: en este caso, McAfee Advanced Threat Defense ejecuta el archivo en una máquina virtual segura y supervisar su comportamiento para comprobar si es malicioso. Al finalizar el análisis, proporciona un informe detallado tal y como lo pida el usuario. McAfee Advanced Threat Defense realiza el análisis dinámico una vez finalizado el análisis estático. De forma predeterminada, si el análisis estático identifica el malware, McAfee Advanced Threat Defense no realizará un análisis dinámico. Sin embargo, puede configurar McAfee Advanced Threat Defense para que realice un análisis dinámico sin importar el resultado del análisis estático. También puede configurarlo para que realice análisis dinámico sin análisis estático previo. El análisis dinámico incluye también la función de listado de elementos resultantes del desensamblaje de McAfee Advanced Threat Defense. Esta función genera el código de desensamblaje de los archivos ejecutables portátiles para que se pueda analizar la muestra en profundidad. Máquina virtual analizadora: es la máquina virtual del McAfee Advanced Threat Defense que se usa para el análisis dinámico. Para crear las máquinas virtuales analizadoras, necesita crear el archivo VMDK 88 McAfee Advanced Threat Defense 3.0 Guía del producto

89 Configurar McAfee Advanced Threat Defense para análisis de malware Terminología 6 con el sistema operativo y aplicaciones requeridos. A continuación, use SFTP para importar este archivo en el dispositivo McAfee Advanced Threat Defense. Solo los siguientes sistemas operativos son compatibles para crear las máquinas virtuales analizadoras: Windows XP SP2 de 32 bits Windows Server 2008 de 64 bits Windows XP SP3 de 32 bits Windows 7 SP1 de 32 bits Windows Server 2003 SP1 de 32 bits Windows 7 SP1 de 64 bits Windows Server 2003 SP2 de 32 bits Android La única máquina virtual analizadora preinstalada es una máquina virtual Android 2.3. Para Windows, deberá crear las máquinas virtuales analizadoras. También puede crear distintas máquinas virtuales para que se adapten a sus necesidades. El número de máquinas virtuales analizadoras que puede crear está limitado únicamente por el espacio en disco del dispositivo McAfee Advanced Threat Defense. Sin embargo, sí hay un límite al número de máquinas virtuales que pueden usarse simultáneamente en el análisis. El número de licencias simultáneas que especifique también afecta al número de instancias de máquinas virtuales analizadoras que podrá usar. Perfil de máquina virtual: una vez cargue la imagen de la máquina virtual (el archivo.vmdk) en McAfee Advanced Threat Defense, asociará cada una de ellas a un perfil distinto de máquina virtual. Un perfil de máquina virtual indica qué hay instalado en la imagen de máquina virtual y el número de licencias simultáneas asociadas a esa imagen de máquina virtual. Al usar la imagen de máquina virtual y la información del perfil de máquina virtual, McAfee Advanced Threat Defense crea el número correspondiente de máquinas virtuales analizadoras. Por ejemplo, si especifica que posee 10 licencias para Windows XP SP2 de 32 bits, entonces McAfee Advanced Threat Defense entiende que puede crear hasta 10 máquinas virtuales simultáneas a partir del correspondiente archivo.vmdk. Perfil de analizador: define como analizar un archivo y qué incluir en el informe. En un perfil de analizador, puede configurar lo siguiente: El perfil de máquina virtual Opciones de análisis Los informes que desee ver tras el análisis Contraseña para los archivos de muestra comprimidos Tiempo mínimo y máximo de ejecución para el análisis dinámico Puede crear múltiples perfiles de analizador según sus necesidades. Para cada usuario de McAfee Advanced Threat Defense debe especificar un perfil analizador predeterminado. Este es el perfil de analizador que se usa para todos los archivos cargados por el usuario. Los usuarios que usen la aplicación web McAfee Advanced Threat Defense para enviar manualmente archivos a analizar pueden elegir un perfil de analizador distinto en el momento de cargar el archivo. El perfil de analizador seleccionado para un archivo en concreto siempre tiene precedencia sobre el perfil predeterminado del usuario. McAfee Advanced Threat Defense 3.0 Guía del producto 89

90 6 Configurar McAfee Advanced Threat Defense para análisis de malware Pasos de alto nivel para configurar el análisis de malware Para analizar dinámicamente un archivo, el usuario correspondiente debe tener especificado el perfil de la máquina virtual en el perfil de analizador del usuario. Así es como el usuario indica el entorno en el que McAfee Advanced Threat Defense debe ejecutar el archivo. También puede especificar un perfil de máquina virtual predeterminado para Windows de 32 y de 64 bits. User (Usuario): un usuario de McAfee Advanced Threat Defense es aquel que tiene los permisos necesarios para enviar archivos a McAfee Advanced Threat Defense para su análisis y ver los resultados. En caso de envío manual, el usuario puede usar la aplicación web McAfee Advanced Threat Defense o un cliente de FTP. En caso de envío automático, puede integrar productos McAfee tales como McAfee Network Security Platform o McAfee Web Gateway con McAfee Advanced Threat Defense. En tal caso, cuando estos productos detecten una descarga de archivos, enviarán automáticamente el archivo a McAfee Advanced Threat Defense antes de permitir que la descarga se complete. Por tanto, los perfiles de usuario predeterminados para estos productos están disponibles en McAfee Advanced Threat Defense. Puede definir un perfil de analizador para cada usuario, que a su vez puede contener perfiles de máquina virtual. Si usa McAfee Advanced Threat Defense para enviar archivos a analizar, puede omitir este perfil predeterminado en el momento del envío. Para otros usuarios, McAfee Advanced Threat Defense usa los perfiles predeterminados. Pasos de alto nivel para configurar el análisis de malware Este sección proporciona los pasos de alto nivel para configurar McAfee Advanced Threat Defense para el análisis de malware y la generación de informes: Figura 6-1 Resumen de pasos para configurar el análisis de malware 1 Configure el dispositivo McAfee Advanced Threat Defense y compruebe que funciona correctamente. Según su opción de despliegue, compruebe que el dispositivo McAfee Advanced Threat Defense dispone de las conexiones de red necesarias. Por ejemplo, si lo integra con Network Security Platform, asegúrese de que Sensor, Manager y el dispositivo McAfee Advanced Threat Defense pueden comunicarse entre sí. Asegúrese de que los módulos de análisis estático (tales como el motor Gateway Anti-Malware Engine de McAfee) están actualizados. 2 Cree la máquina virtual analizadora y los perfiles de máquina virtual. Consulte Creación de una máquina virtual analizadora en la página 4. 3 Cree los perfiles de analizador que necesite. Consulte Administrar perfiles de analizador en la página Si desea que McAfee Advanced Threat Defense cargue los resultados a un servidor FTP, configúrelo y asegúrese de tener todos los detalles que necesite antes de crear los perfiles para los usuarios correspondientes. 5 Cree los perfiles de usuario requeridos. Consulte Agregar usuarios en la página McAfee Advanced Threat Defense 3.0 Guía del producto

91 Configurar McAfee Advanced Threat Defense para análisis de malware Cómo analiza el malware McAfee Advanced Threat Defense? 6 6 Inicie sesión en la aplicación web McAfee Advanced Threat Defense mediante las credenciales de un usuario que haya creado, y cargue un archivo de muestra para su análisis. Esto es para comprobar que ha configurado correctamente McAfee Advanced Threat Defense. Consulte Cargar archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense en la página 101 (Enviar malware para su análisis). 7 En la página Analysis Status (Estado del análisis), supervise el estado del análisis. Consulte Supervisar el estado del análisis de malware en la página Una vez acabado el análisis, consulte el informe en la página Analysis Results (Resultados del análisis). Consulte Ver los resultados del análisis en la página 107. Cómo analiza el malware McAfee Advanced Threat Defense? Esta sección explica el funcionamiento típico de McAfee Advanced Threat Defense al analizar archivos en busca de malware. Supongamos que ha cargado un archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense: 1 Suponiendo que el formato de archivo es compatible, McAfee Advanced Threat Defense descomprime el archivo y calcula el valor de hash del MD5. 2 McAfee Advanced Threat Defense aplica el perfil de analizador que haya especificado al cargar el archivo. 3 Basándose en la configuración del perfil de analizador, determina los módulos a usar para el análisis estático y analiza el archivo mediante esos módulos. 4 Si durante el análisis estático el archivo resulta ser malicioso, McAfee Advanced Threat Defense detiene el análisis y genera los informes requeridos. Sin embargo, esto depende de cómo haya configurado el perfil de analizador. 5 Si el análisis estático no encuentra malware, o si se ha configurado McAfee Advanced Threat Defense para que realice análisis dinámico sea cual sea el resultado del análisis estático, McAfee Advanced Threat Defense inicia el análisis dinámico del archivo. 6 A continuación ejecuta el archivo en la correspondiente máquina virtual analizadora y registra cada uno de sus comportamientos. La máquina virtual analizadora se determina basándose en el perfil de la máquina virtual en el perfil de analizador. 7 Si el archivo se ha ejecutado completamente, o si el periodo máximo de ejecución se ha agotado, McAfee Advanced Threat Defense prepara los informes requeridos. 8 Tras finalizar el análisis dinámico, devolverá la máquina virtual analizadora a su versión de base para que pueda usarla para analizar el siguiente archivo de la cola. Administrar perfiles de analizador Cuando un archivo se envía automática o manualmente a McAfee Advanced Threat Defense para su análisis, se usará el perfil de analizador correspondiente para determinar cómo debe analizarse el archivo y de qué debe informarse en los resultados del análisis. Debe especificar el perfil de máquina virtual en el perfil de analizador. También debe definir cómo debe analizarse el archivo en busca de malware y los informes que deben publicarse. Por tanto, un perfil de analizador contiene la configuración de usuario completa sobre la manera de analizar un archivo. McAfee Advanced Threat Defense 3.0 Guía del producto 91

92 6 Configurar McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador Puede usar la aplicación web McAfee Advanced Threat Defense para administrar perfiles de analizador. Figura 6-2 Contenidos del perfil de analizador Ver perfiles de analizador Dependiendo de su función de usuario, podrá ver los perfiles de analizador existentes en la aplicación web McAfee Advanced Threat Defense. Procedimiento 1 Seleccione Policy Analyzer Profile (Directiva, Perfil de analizador). Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de administrador, podrá ver todos los perfiles de analizador de la base de datos. Nombre de la columna Select (Seleccionar) Name (Nombre) Description (Descripción) OS Name (Nombre de sistema operativo) Automatically Select OS (Seleccionar sistema operativo automáticamente) Definición Seleccione para editar o eliminar el correspondiente perfil de analizador. Nombre que ha asignado al perfil de analizador. La descripción de la características del perfil de analizador. Corresponde al nombre del perfil de máquina virtual especificado en el perfil de analizador. Indica si ha seleccionado la opción Automatically Select OS en el perfil de analizador. 2 Oculte las columnas innecesarias. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b c Seleccione Columns (Columnas). Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 3 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). 4 Para ver los detalles completos de un determinado perfil de analizador, seleccione el registro y hacer clic en View (Ver). 92 McAfee Advanced Threat Defense 3.0 Guía del producto

93 Configurar McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador 6 Crear perfiles de analizador Antes de empezar Si desea seleccionar la opción de análisis dinámico en el perfil del analizador, asegúrese de que ha creado previamente el perfil de máquina virtual. También necesitará un perfil de máquina virtual para usar la opción Automatically Select OS (Seleccionar sistema operativo automáticamente). Procedimiento 1 Seleccione Policy Analyzer Profile New (Directiva, Perfil de analizador, Nuevo). Se muestra la página Analyzer Profile. McAfee Advanced Threat Defense 3.0 Guía del producto 93

94 6 Configurar McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador 2 Introduzca la información adecuada en los respectivos campos. Nombre de la opción Name (Nombre) Description (Descripción) VM Profile (Perfil de máquina virtual) Automatically Select OS (Seleccionar sistema operativo automáticamente) Archive Password (Contraseña del archivo) Confirm Password (Confirmar contraseña) Minimum Run Time (sec) (Tiempo mínimo de ejecución en segundos) Maximum Run Time (sec) (Tiempo máximo de ejecución en segundos) Analysis Summary (Resumen del análisis) Packet captures (Capturas de paquetes) Dropped Files (Archivos depositados) Disassembly Results (Resultados de desensamblaje) Execution Path Data (Datos de ruta de ejecución) User API Log (Registro de las API de usuario) Local Black List (Lista negra local) Anti-Malware (Antimalware) Definición Introduzca el nombre del perfil de analizador. Este debería permitirle identificar fácilmente las características del perfil de analizador. Opcionalmente, puede introducir una descripción detallada del perfil de analizador. Seleccione el perfil de máquina virtual que McAfee Advanced Threat Defense debe usar para analizar dinámicamente un archivo. Si desea que McAfee Advanced Threat Defense seleccione automáticamente el perfil de máquina virtual para Windows de 32 bits y Windows de 64 bits, seleccione Enable (Activar) y después seleccione los perfiles de máquina virtual desde Windows 32-bit VM Profile (Perfil de máquina virtual de Windows de 32 bits) y Windows 64-bit VM Profile (Perfil de máquina virtual de Windows de 64 bits). Introduzca la contraseña de McAfee Advanced Threat Defense para descomprimir una muestra de malware protegida por contraseña. Vuelva a escribirla para confirmarla. Especifique el tiempo mínimo de duración durante el cual McAfee Advanced Threat Defense debe analizar dinámicamente la muestra. El valor predeterminado es de 60 segundos. Si el archivo deja de ejecutarse durante este periodo de tiempo, el análisis dinámico se detiene. Especifica el tiempo máximo durante el cual McAfee Advanced Threat Defense debe analizar dinámicamente la muestra. Si el archivo no deja de ejecutarse antes de que transcurra este tiempo, el análisis dinámico se detendrá. Seleccione para incluir el informe de Resumen de análisis en los resultados del análisis. Consulte Ver el informe Analysis Summary (Resumen del análisis) en la página 109. Seleccione para capturar los paquetes de red si el archivo intenta comunicarse durante el análisis dinámico. Seleccione para generar el informe Files Created in Sandbox (Archivos creados en el recinto aislado). Consulte Informe Dropped Files (Archivos depositados) en la página 116. Seleccione si desea que McAfee Advanced Threat Defense genere el código de desensamblaje de los archivos ejecutables portátiles. Consulte Disassembly Results (Resultados de desensamblaje) en la página 116. Seleccione para generar un informe Execution Path Listing (Listado de rutas de ejecución). Consulte Logic Path Graph (Gráfico de ruta lógica) en la página 117. Este informe detalla las llamadas realizadas por el malware a las API DLL de nivel de usuario de Windows durante el análisis dinámico. Consulte User API Log (Registro de las API de usuario) en la página 122. Seleccione si quiere que McAfee Advanced Threat Defense compruebe el valor de hash de MD5 con los valores hash de los MD5 en la lista negra de la base de datos local. Seleccione si desea que McAfee Advanced Threat Defense analice el archivo mediante el motor McAfee Anti-Malware Engine. 94 McAfee Advanced Threat Defense 3.0 Guía del producto

95 Configurar McAfee Advanced Threat Defense para análisis de malware Administrar perfiles de analizador 6 Nombre de la opción GTI File Reputation (Reputación de los archivos GTI) Gateway Anti-Malware (Gateway Antimalware) Sandbox (Recinto aislado) Run All Selected Save (Guardar) Cancel (Cancelar) Definición Seleccione si desea que McAfee Advanced Threat Defense compruebe el valor de hash del archivo MD5 con McAfee GTI. Asegúrese de que McAfee Advanced Threat Defense puede comunicarse con McAfee GTI, que está en la nube. Seleccione si desea que McAfee Advanced Threat Defense analice el archivo mediante el motor McAfee Gateway Anti-Malware Engine. Seleccione si desea que el archivo se analice dinámicamente. Un archivo no se analizará dinámicamente si alguno de los métodos estáticos lo clasifica como malware o un elemento de la lista blanca. Si, a pesar de los resultados del análisis estático, desea analizar dinámicamente el archivo, seleccione tambiénrun All Selected (Ejecutar todos los seleccionados). Asegúrese de que ha seleccionado el perfil de máquina virtual y los Runtime Parameters (Parámetros de ejecución). Seleccione si desea que McAfee Advanced Threat Defense analice el archivo usando todas las opciones de análisis seleccionadas, a pesar de los resultados de cada método específico. Crea el registro de perfil de analizador con la información que ha proporcionado. Cierra la página Analyzer Profile (Perfil de analizador) sin guardar los cambios. Editar perfiles de analizador Procedimiento 1 Seleccione Policy Analyzer Profile (Directiva, Perfil de analizador). Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de administrador, podrá ver todos los perfiles de analizador de la base de datos. 2 Seleccione el registro deseado y haga clic en Edit (Editar). Se muestra la página Analyzer Profile. 3 Tras realizar los cambios necesarios en los campos requeridos, haga clic en Save (Guardar). Los cambios realizados afectarán a los correspondientes usuarios incluso si no han iniciado sesión en el momento de realizarlos. Eliminar perfiles de analizador Antes de empezar Asegúrese de que los usuarios a los que ha asignado este perfil de analizador no han iniciado sesión en McAfee Advanced Threat Defense. Procedimiento 1 Seleccione Policy Analyzer Profile (Directiva, Perfil de analizador). Si tiene acceso web, puede ver solo los perfiles de analizador que haya creado. Si tiene acceso de administrador, podrá ver todos los perfiles de analizador de la base de datos. 2 Seleccione el registro deseado y haga clic en Delete (Eliminar). 3 Haga clic en Yes (Sí) para confirmar la eliminación. McAfee Advanced Threat Defense 3.0 Guía del producto 95

96 6 Configurar McAfee Advanced Threat Defense para análisis de malware Integración con McAfee epo Integración con McAfee epo Integrar McAfee Advanced Threat Defense y McAfee epo permite que McAfee Advanced Threat Defense identifique correctamente el entorno del host de destino y use la correspondiente máquina virtual analizadora para el análisis dinámico. Para que McAfee Advanced Threat Defense pueda realizar consultas a McAfee epo acerca de información del host, debe tener instalado Real Time for epolicy Orchestrator. Sin embargo, McAfee Advanced Threat Defense solo realiza consultas a McAfee epo. Este, a su vez, realiza consultas a Real Time for epolicy Orchestrator (Real Time for McAfee epo ) para obtener la información del host. Para determinar si la máquina virtual analizadora de un archivo enviado por Network Security Platform o McAfee Web Gateway, McAfee Advanced Threat Defense usa las siguientes fuentes de información en el mismo orden de prioridad: 1 McAfee Advanced Threat Defense realiza una consulta a McAfee epo acerca del sistema operativo de un host, basándose en su dirección IP. Si no hay información disponible de esta fuente o si la correspondiente máquina virtual analizador no está disponible, pasa a la siguiente fuente. 2 Si Device Profiling (Perfiles de dispositivo) está activado, Sensor proporcionará los detalles de sistema operativo y aplicación al enviar un archivo para su análisis. Si no hay información disponible de esta fuente o si la correspondiente máquina virtual analizador no está disponible, pasa a la siguiente fuente. 3 Desde el perfil de analizador en el correspondiente registro de usuario, McAfee Advanced Threat Defense determinará el perfil de máquina virtual. Si no hay información disponible de esta fuente o si la correspondiente máquina virtual analizador no está disponible, pasa a la siguiente fuente. 4 El perfil de máquina virtual que ha seleccionado como predeterminado. Desde los perfiles de máquina virtual de su configuración, puede seleccionar uno de ellos como perfil predeterminado. Cuando McAfee Advanced Threat Defense recibe la información de host de una dirección IP concreta desde McAfee epo, guarda estos detalles en la caché. La dirección IP en caché para alojar datos de información tiene un tiempo de vida (TTL en inglés) de 48 horas. Durante las primeras 24 horas, McAfee Advanced Threat Defense usa solo la información de host de la caché. Durante las siguientes 24 horas (es decir, de 24 a 48 horas), McAfee Advanced Threat Defense usa la información de host de la caché pero también realiza consultas a McAfee epo y actualiza la caché. Esta información actualizada es válida durante las siguientes 48 horas. Si la información en caché tiene más de 48 horas, la tratará como si no hubiera información en caché para la correspondiente dirección IP. Es decir, intentará encontrar información de otras fuentes y también realizará consultas a McAfee epo. A continuación se explica cómo McAfee Advanced Threat Defense colabora con McAfee epo. 1 Network Security Platform o McAfee Web Gateway envía un archivo a McAfee Advanced Threat Defense para su análisis. Cuando Network Security Platform envía un archivo, también envía la dirección IP del host de destino. 2 McAfee Advanced Threat Defense comprueba su caché para ver si existe un sistema operativo válido asignado a esa dirección IP. 96 McAfee Advanced Threat Defense 3.0 Guía del producto

97 Configurar McAfee Advanced Threat Defense para análisis de malware Integración con McAfee epo 6 3 Si es la primera vez que se analiza un archivo de esa dirección IP, no habrá información en la caché. Por tanto, determinará la máquina virtual analizadora a partir de la información de perfiles de dispositivo, en el caso de Network Security Platform, y mediante el registro de usuario, en el caso de McAfee Web Gateway. Simultáneamente, enviará una consulta a McAfee epo pidiendo información del host basada en la dirección IP. 4 Entonces McAfee epo realizará una consulta a Real Time for epolicy Orchestrator (Real Time for McAfee epo ) pidiendo información del host. 5 A continuación, McAfee epo envía la información del host a McAfee Advanced Threat Defense, y esta se guarda en la caché para su uso futuro. Configurar la integración McAfee epo La integración con McAfee epo permite a McAfee epo recopilar información como el sistema operativo y navegadores instalados en el host de destino. McAfee Advanced Threat Defense usa esta información para seleccionar la mejor máquina virtual analizadora para el análisis dinámico. Procedimiento 1 Seleccione Manage epo Login (Administrar, Iniciar sesión epo). Se mostrará la página epo Login (Inicio de sesión en epo). Figura 6-3 Integración McAfee epo McAfee Advanced Threat Defense 3.0 Guía del producto 97

98 6 Configurar McAfee Advanced Threat Defense para análisis de malware Especificar servidor proxy para conectividad de Internet 2 Introduzca los detalles en los campos apropiados. Nombre de la opción Login ID (ID de inicio de sesión) Password (Contraseña) IP Address (Dirección IP) Port Number (Número de puerto) Submit (Enviar) Definición Introduzca el nombre de inicio de sesión de McAfee epo que McAfee Advanced Threat Defense debe usar para acceder al servidor McAfee epo. McAfee le recomienda que cree una cuenta de usuario de McAfee epo con solo los permisos de visionado requeridos para la integración. Introduzca la contraseña correspondiente al Login ID (ID de inicio de sesión) que ha introducido. Introduzca la dirección IPv4 del servidor McAfee epo. Contacte con su administrador de McAfee epo para obtener la dirección IP. Especifique el puerto de escucha HTTPS en el servidor McAfee epo que se usará para la comunicación entre McAfee Advanced Threat Defense ymcafee epo. Contacte con su administrador de McAfee epo para obtener el número de puerto. Haga clic para guardar la configuración y activar la integración entre McAfee Advanced Threat Defense y McAfee epo. Especificar servidor proxy para conectividad de Internet Si McAfee Advanced Threat Defense se conecta a un servidor proxy para la conectividad de Internet, puede configurar McAfee Advanced Threat Defense para que se conecte a ese servidor para el servicio de proxy. Procedimiento 1 Seleccione Manage HTTP Proxy Setting (Administrar, Configuración de proxy HTTP). Se muestra la página HTTP Proxy Setting (Configuración de proxy). Figura 6-4 Página Proxy Setting (Configuración del proxy) 98 McAfee Advanced Threat Defense 3.0 Guía del producto

99 Configurar McAfee Advanced Threat Defense para análisis de malware Configurar el DNS proxy 6 2 Introduzca la información adecuada en los respectivos campos. Nombre de la opción Enable Proxy (Activar proxy) User Name (Nombre de usuario) Password (Contraseña) Proxy IP Address (Dirección IP del proxy) Port Number (Número de puerto) Submit (Enviar) Definición Seleccione para conectar McAfee Advanced Threat Defense al servidor proxy para conectividad de Internet. Introduzca el nombre de usuario que McAfee Advanced Threat Defense usará para la conexión a Internet. Introduzca la contraseña correspondiente. Introduzca la dirección IPv4 del servidor proxy. Introduzca el número de puerto de escucha del servidor proxy para conexiones entrantes. Haga clic para guardar la configuración de proxy en la base de datos. Configurar el DNS proxy Al ejecutarse, algunos archivos pueden enviar consultas de DNS para resolver nombres. A menudo dichas consultas son intentos por parte de un malware de determinar si se están ejecutando en un recinto aislado. Si la consulta de DNS falla, el archivo puede intentar usar una ruta de acceso alternativa. Cuando McAfee Advanced Threat Defense analiza dinámicamente este archivo, puede que desee proporcionar un servicio de DNS proxy para averiguar el comportamiento real del archivo. Procedimiento 1 Seleccione Manage DNS Proxy Setting (Administrar, Configuración de DNS proxy). Se mostrará la página DNS Proxy Setting. 2 Introduzca la información adecuada en los respectivos campos. Nombre de la opción Domain (Dominio) Preferred DNS Server (servidor DNS preferido) Alternate DNS Server (servidor DNS alternativo) Submit (Enviar) Definición Introduzca el nombre del dominio de Active Directory; por ejemplo, McAfee.com. Introduzca la dirección IPv4 del servidor proxy DNS principal. Las consultas de DNS procedentes de la máquina virtual analizadora llegan a este servidor DNS. Introduzca la dirección IPv4 del servidor proxy DNS secundario. Si la máquina virtual analizadora no logra contactar con el servidor DNS principal, las consultas de DNS llegarán a este servidor DNS secundario. Haga clic para guardar la configuración en la base de datos. McAfee Advanced Threat Defense 3.0 Guía del producto 99

100 6 Configurar McAfee Advanced Threat Defense para análisis de malware Configurar el DNS proxy 100 McAfee Advanced Threat Defense 3.0 Guía del producto

101 7 Analizando 7 malware Tras configurar McAfee Advanced Threat Defense, podrá cargar archivos para su análisis. Puede seguir los métodos siguientes para enviar archivos: Cargue el archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense. Cargue el archivo al servidor FTP alojado en el dispositivo McAfee Advanced Threat Defense. Use las API RESTful de la aplicación web McAfee Advanced Threat Defense para cargar el archivo. Consulte la McAfee Advanced Threat Defense RESTful APIs Reference Guide(Guía de referencia de las API RESTful de McAfee Advanced Threat Defense). Integrar McAfee Advanced Threat Defense con Network Security Platform y McAfee Web Gateway. A continuación, estas aplicaciones envían muestras automáticamente a McAfee Advanced Threat Defense. Consulte la documentación correspondiente. Puede supervisar el estado del análisis de malware mediante la aplicación web McAfee Advanced Threat Defense y luego ver los resultados. Contenido Cargar archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense Cargar archivos para su análisis mediante SFTP Supervisar el estado del análisis de malware Ver los resultados del análisis Trabajar con el panel McAfee Advanced Threat Defense Cargar archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense Antes de empezar El perfil de analizador requerido está disponible. Cuando use la aplicación web McAfee Advanced Threat Defense para enviar un archivo para su análisis, debe seleccionar un perfil de analizador. Este perfil de analizador tiene prioridad sobre el perfil de analizador predeterminado asociado a su cuenta de usuario. Procedimiento 1 Seleccione Analysis Manual Upload (Análisis, Carga manual). 2 En la página Manual Upload (Carga manual), especifique los detalles requeridos. McAfee Advanced Threat Defense 3.0 Guía del producto 101

102 7 Analizando malware Cargar archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense Tabla 7-1 Definiciones de las opciones Opción File (Archivo) Analyzer Profile (Perfil de analizador) Advanced (Avanzado) Definición Seleccione y arrastre el archivo de malware desde el Explorador de Windows, o haga clic en Browse (Examinar) y selecciónelo. Si desea enviar múltiples archivos, cárguelos en un archivo.zip. Si desea cargar un archivo.zip protegido por contraseña, asegúrese de que ha introducido la contraseña en el perfil de analizador que desea usar para el análisis. Si se requiere un análisis dinámico, los archivos del.zip se ejecutarán en diferentes instancias de la máquina virtual analizadora. Si no hay suficientes máquinas virtuales analizadoras disponibles, algunos de los archivos se quedarán en la cola hasta que haya una máquina virtual analizadora disponible. Dado que cada uno de los archivos dentro del.zip se analiza separadamente, se crearán informes distintos para cada archivo. Seleccione el perfil de analizador deseado para la muestra. Haga clic para especificar parámetros adicionales para analizar la muestra. Las opciones Advanced están disponibles solo si envía el archivo manualmente mediante la aplicación web McAfee Advanced Threat Defense. Region (Región): En algunos casos, el comportamiento de un archivo puede variar según la localización geográfica del sistema objetivo. Por ejemplo, el malware de un Estado no autorizado podría no causar daños a equipos de dicho Estado no autorizado o sus aliados. Elija país si desea analizar el malware en relación con la ubicación. No puede modificar la lista de países. Esta lista puede ser actualizada cuando actualice el software McAfee Advanced Threat Defense. User Interactive Mode (Modo usuario interactivo): Ciertos tipos de malware piden la intervención del usuario durante su ejecución. El motivo habitual es el intento por parte del malware de comprobar si está siendo analizado en un recinto aislado. En ausencia de intervenciones del usuario, el malware podría tomar una ruta de ejecución alternativa o incluso suspender completamente su ejecución. Si selecciona esta opción, podrá acceder a la propia máquina virtual analizadora en la que se esté ejecutando el malware y realizar las intervenciones requeridas. Consulte Cargar archivos para su análisis en modo usuario interactivo en la página 102 (Cargar archivos para su análisis en modo usuario interactivo). Una vez haya realizado las selecciones necesarias, haga clic en OK. Submit (Enviar) Haga clic para enviar el archivo a McAfee Advanced Threat Defense para su análisis. Procedimientos Cargar archivos para su análisis en modo usuario interactivo en la página 102 Cargar archivos para su análisis en modo usuario interactivo Antes de empezar Ha creado el perfil de analizador que desea usar. 102 McAfee Advanced Threat Defense 3.0 Guía del producto

103 Analizando malware Cargar archivos para su análisis mediante la aplicación web McAfee Advanced Threat Defense 7 Al ejecutarse, algunos archivos podrían abrir cuadros de diálogo donde puede que se le pida que realice ciertas selecciones. El malware presenta dicho comportamiento al intentar determinar si está siendo ejecutado en un recinto aislado. El comportamiento del malware puede variar según la intervención del usuario. Cuando envía archivos en este modo, la máquina virtual analizadora se abre en una venta emergente en su equipo cliente y puede realizar las selecciones que se le pidan Puede cargar archivos para su análisis en el modo usuario interactivo. Esta opción solo está disponible cuando carga archivos manualmente desde la aplicación web McAfee Advanced Threat Defense. Para archivos enviados mediante otros métodos, como la carga mediante FTP y los archivos enviados por Network Security Platform, no se respetarán las peticiones de intervención del usuario que realice el malware. Sin embargo, en la sección Screenshots (Capturas de pantalla) en el informe Analysis Summary (Resumen del análisis) podrá encontrar capturas de pantalla de dichas peticiones. A continuación podrá volver a enviar dichos archivos manualmente en el modo de usuario interactivo, a fin de conocer el comportamiento real del archivo. Esta sección usa un ejemplo para mostrarle como se analizan los archivos en el modo usuario interactivo. Procedimiento 1 Seleccione Analysis Upload File (Análisis, Cargar archivo). 2 En el campo Upload File, haga clic en Browse (Examinar) y seleccione el archivo que quiere enviar para su análisis. 3 En el campo Analyzer Profile (Perfil de analizador), seleccione el perfil de analizador requerido de la lista desplegable. McAfee Advanced Threat Defense 3.0 Guía del producto 103

104 7 Analizando malware Cargar archivos para su análisis mediante SFTP 4 Haga clic en Advance (Avanzar) y seleccione User Interactive Mode (Modo usuario interactivo). 5 Haga clic en OK (Aceptar) y luego en Submit (Enviar). Se abrirá una ventana emergente en su equipo. Según la configuración de seguridad de su navegador, podrían mostrarse advertencias de seguridad. Tras confirmar las advertencias de seguridad, la máquina virtual analizadora se muestra en la ventana emergente y aparecerán los cuadros de diálogo abiertos por la muestra. Figura 7-1 Máquina virtual analizadora accesible en una ventana emergente Puede usar el ratón y teclado para introducir información. Una vez el archivo complete su ejecución, haga clic en Disconnect (Desconectar) para cerrar la máquina virtual analizadora. Cargar archivos para su análisis mediante SFTP Antes de empezar Su nombre de usuario tiene privilegios de Acceso FTP. Esto es necesario para acceder al servidor FTP alojado en McAfee Advanced Threat Defense. Ha creado el perfil de analizador que desea usar. Ha instalado el cliente FTP en su equipo. Mediante SFTP, puede cargar tipos de archivos compatibles al servidor FTP en McAfee Advanced Threat Defense. FTP no es un protocolo compatible para el envío de muestras. 104 McAfee Advanced Threat Defense 3.0 Guía del producto

105 Analizando malware Supervisar el estado del análisis de malware 7 Procedimiento 1 Abra su cliente de FTP y conecte a McAfee Advanced Threat Defense mediante la siguiente información. Host: introduzca la dirección IP de McAfee Advanced Threat Defense. User Name (Nombre de usuario): introduzca su nombre de usuario de McAfee Advanced Threat Defense. Password (Contraseña): introduzca su contraseña de McAfee Advanced Threat Defense. Port (Puerto): introduzca 22, que es el puerto estándar para SFTP. 2 Cargue los archivos desde el sitio local al sitio remoto, ubicado en McAfee Advanced Threat Defense. 3 En la aplicación web McAfee Advanced Threat Defense, seleccione Analysis Analysis Status (Análisis, Estado de análisis) para supervisar el estado de los archivos enviados. Supervisar el estado del análisis de malware Tras enviar un archivo para su análisis, puede supervisar el estado del análisis desde la página Analysis Results (Resultados del análisis). Procedimiento 1 Seleccione Analysis Analysis Status (Análisis, Estado del análisis). La página Analysis Status (Estado del análisis) lista los estados para los archivos enviados. Figura 7-2 Estado de los archivos enviados para su análisis Si no tiene permisos de administrador, solo podrá ver aquellos archivos que haya enviado. Un usuario con permiso de administrador puede ver las muestras enviadas por cualquier usuario. 2 Especifique los criterios para ver y actualizar los estados de los archivos analizados. a Establezca los criterios para mostrar registros en la página Analysis Status. Puede especificar este criterio basado tanto en el tiempo como en el número de muestras. Por ejemplo, puede elegir ver el estado de los archivos enviados en los últimos 5 minutos o las últimas 100 muestras. b Establezca la frecuencia con la que la página Analysis Status debe actualizarse. El intervalo de actualización predeterminado es 1 minuto. c Para actualizar la página Analysis Status, haga clic en. 3 4 Filtre los registros mostrados para localizar los que desee ver. McAfee Advanced Threat Defense 3.0 Guía del producto 105

106 7 Analizando malware Supervisar el estado del análisis de malware Tabla 7-3 Opciones de filtrado Opción Search (Buscar) Case Sensitive (Distinguir mayúsculas y minúsculas) Definición Especifique el parámetro que desee usar para filtrar los registros. Haga clic en Search (Buscar) y seleccione uno o más de los parámetros siguientes: File Name (Nombre de archivo): Seleccione si desea filtrar según los caracteres iniciales del nombre de archivo. Por ejemplo, si selecciona esta opción y escribe cal como término de búsqueda, se listarán los archivos cuyo estado empiece por cal. MD5: Seleccione si desea filtrar basándose en los caracteres iniciales del valor de hash de MD5. Status (Estado): Seleccione si desea filtrar basándose en los estados: En espera, En análisis, o Completado. Introduzca el término de búsqueda en el cuadro de texto adyacente. Seleccione si desea que la búsqueda distinga entre mayúsculas y minúsculas. Supongamos que ha seleccionado File Name y Status como criterios, y que luego ha seleccionado Case Sensitive, y escrito Com. Se listarán todos los registros con el estado completado y los archivos cuyo nombre empiece con los caracteres Com. Tabla 7-4 Definiciones de las columnas Columna Submitted Time (Hora de envío) User (Usuario) Status (Estado) File Name (Nombre del archivo) VM Profile (Perfil de máquina virtual) Analyzer Profile (Perfil de analizador) MD5 File Type (Tipo de archivo) Definición La marca de tiempo del momento en que se envió el archivo para su análisis. El nombre de inicio de sesión del usuario que envió el archivo para su análisis. El estado actual de análisis. Waiting (En espera): esto suele indicar que McAfee Advanced Threat Defense está esperando a que una máquina virtual analice dinámicamente el archivo. Analyzing (En análisis): indica que el análisis aún está en curso. Completed (Completado): indica que el análisis del archivo ha finalizado. Haga doble clic en el registro para ver el informe completo. El nombre del archivo que ha enviado para su análisis. El perfil de la máquina virtual usada para el análisis dinámico. Si el archivo solo se ha analizado mediante análisis estático, se mostrará esto. El perfil del analizador usado para el análisis. Si el archivo solo se ha analizado mediante análisis estático, se mostrará esto. El valor de hash MD5 para el archivo, calculado por McAfee Advanced Threat Defense. El tipo de archivo de la muestra, como por ejemplo binario. 106 McAfee Advanced Threat Defense 3.0 Guía del producto

107 Analizando malware Ver los resultados del análisis 7 5 Oculte las columnas que no desee ver. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b c Seleccione Columns (Columnas). Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 6 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). Ver los resultados del análisis Tras enviar un archivo para su análisis, puede ver los resultados en la página Analysis Results (Resultados del análisis). Procedimiento 1 Seleccione Analysis Analysis Results (Análisis, Resultados del análisis). La página Analysis Results (Resultados del análisis) lista los estados para los archivos completados. Figura 7-3 Estado de los archivos enviados para su análisis Si no tiene permisos de administrador, solo podrá ver aquellos archivos que haya enviado. Un usuario con permiso de administrador puede ver las muestras enviadas por cualquier usuario. 2 Especifique los criterios para ver y actualizar los registros de la página Analysis Results (Resultados del análisis). a Establezca los criterios para mostrar registros en la página Analysis Status (Estado de análisis). Puede especificar este criterio basado tanto en el tiempo como en el número de muestras. Por ejemplo, puede elegir ver el estado de los archivos enviados en los últimos 5 minutos o las últimas 100 muestras. b Establezca la frecuencia con la que la página Analysis Status debe actualizarse. El intervalo de actualización predeterminado es 1 minuto. c Para actualizar la página Analysis Status, haga clic en. McAfee Advanced Threat Defense 3.0 Guía del producto 107

108 7 Analizando malware Ver los resultados del análisis Tabla 7-5 Definiciones de las columnas Columna Reports (Informes) Definición Haga clic en muestra. para mostrar los tipos de informes disponibles para la Haga clic en cualquiera de los informes disponibles para ver los detalles correspondientes. Un determinado informe estará disponible solo si es relevante en el caso del archivo analizado y se ha seleccionado en el correspondiente perfil de analizador. Analysis Summary (HTML) (Resumen del análisis (HTML)): este informe está disponible para todos los tipos de archivo. Este informe también se mostrará cuando haga doble clic en un registro. Analysis Summary (PDF) (Resumen del análisis (PDF)): selecciónelo para ver el informe en PDF. Dropped Files (Archivos depositados): seleccione este informe para ver los archivos creados por la muestra durante el análisis dinámico. Disassembly Results (Resultados del desensamblaje): selecciónelo para ver el código en lenguaje ensamblador obtenido del archivo mediante ingeniería inversa. Este informe solo es relevante para muestras de tipo.exe y.dll. Logic Path Graph (Gráfico de ruta lógica): selecciónelo para ver una representación gráfica de qué subrutinas se han ejecutado durante el análisis dinámico y cuáles no. Dynamic Execution Logs (Registros de ejecución dinámica): selecciónelo para ver las llamadas de nivel de usuario de Windows a las API DLL realizadas directamente por la muestra durante el análisis dinámico. Complete Results (Resultados completos): haga clic para descargar al equipo local el archivo.zip que contiene todos los tipos de informe. Submitted Time (Hora de envío) User (Usuario) La marca de tiempo del momento en que se envió el archivo para su análisis. El nombre de inicio de sesión del usuario que envió el archivo para su análisis. 108 McAfee Advanced Threat Defense 3.0 Guía del producto

109 Analizando malware Ver los resultados del análisis 7 Tabla 7-5 Definiciones de las columnas (continuación) Columna Severity (Gravedad) Definición Indica el nivel de gravedad de la muestra analizada. Information (Información): indica que se trata de un archivo limpio. Los archivos en la lista blanca tienen este nivel de gravedad. Corresponde a una calificación de gravedad de cero. Muy bajo: corresponde a una calificación de gravedad de 1. Bajo: corresponde a una calificación de gravedad de 2. Medio: corresponde a una calificación de gravedad de 3. Alto: corresponde a una calificación de gravedad de 4. Muy alto: corresponde a una calificación de gravedad de 5. File Name (Nombre del archivo) Analyzer Profile (Perfil de analizador) VM Profile (Perfil de máquina virtual) Hash File Size (Tamaño de archivo) El nombre del archivo que ha enviado para su análisis. El perfil del analizador usado para el análisis. El perfil de la máquina virtual usada para el análisis dinámico. Si solo se realizó análisis estático, esto es lo que se mostrará. El valor de hash MD5 para el archivo, calculado por McAfee Advanced Threat Defense. El tamaño del archivo analizado en KB. 3 Elija las columnas que desee ocultar. a Mueva el cursor del ratón sobre la esquina derecha del encabezamiento de la columna y haga clic en la flecha desplegable. b c Seleccione Columns (Columnas). Seleccione de la lista solo los nombres de columna que desee. Puede hacer clic en un encabezamiento de columna y arrastrarlo a la posición deseada. 4 Para ordenar los registros basados en un determinado nombre de columna, haga clic en su encabezado. Puede ordenar los registros en orden ascendente o descendente. Alternativamente, mueva el cursor del ratón sobre la esquina derecha del encabezamiento de una columna y haga clic en la flecha desplegable. A continuación seleccione Sort Ascending (Orden ascendente) o Sort Descending (Orden descendente). Ver el informe Analysis Summary (Resumen del análisis) El informe Analysis Summary (Resumen del análisis) es un sumario ejecutivo que detalla los comportamientos clave del archivo de muestra. Este informe está disponible en formato HTML, texto, PDF, XML y JSON. Los formatos HTML, de texto y PDF están pensados para permitir la revisión del informe de análisis. Puede acceder a los formatos HTML y PDF desde la aplicación web McAfee Advanced Threat Defense. Los formatos HTML y texto también están disponibles en el archivo reports.zip de la muestra, que puede descargar a su equipo cliente. McAfee Advanced Threat Defense 3.0 Guía del producto 109

110 7 Analizando malware Ver los resultados del análisis Los formatos XML y JSON proporcionan etiquetas para comportamientos conocidos de malware para que un script de alto nivel pueda extraer información clave. Network Security Platform y McAfee Web Gateway usan el formato JSON para mostrar los detalles del informe en sus interfaces de usuario. Procedimiento 1 Use lo siguiente para acceder al informe Analysis Summary (Resumen del análisis) en la aplicación web McAfee Advanced Threat Defense: a Seleccione Analysis Analysis Results (Análisis, Resultados del análisis). b Para ver el informe en formato HTML, haga clic en También puede hacer doble clic en el registro deseado. y seleccione Analysis Summary (HTML). c Para ver el informe en formato PDF, haga clic en y seleccione Analysis Summary (PDF). 2 Para acceder al informe Analysis Summary (Resumen del análisis) desde el archivo reports.zip, haga lo siguiente: a Seleccione Analysis Analysis Results (Análisis, Resultados del análisis). b Haga clic en y seleccione Complete Results (Resultados completos). c d Guarde los informes comprimidos en su equipo local. El nombre del archivo.zip depende del nombre del archivo de muestra. Extraiga los contenidos del archivo.zip. La carpeta AnalysisLog contiene el informe de análisis en los formatos HTML, texto, XML y JSON. Puede identificar estos archivo por el nombre de archivo del malware. El nombre de archivo del malware se agrega a _summary.html, _summary.json, _summary.txt y _summary.xml. 110 McAfee Advanced Threat Defense 3.0 Guía del producto

111 Analizando malware Ver los resultados del análisis 7 Las diferentes secciones del formato HTML del informe de resumen de análisis aparecen reseñadas a continuación. Figura 7-4 Informe Analysis Summary (Resumen del análisis) McAfee Advanced Threat Defense 3.0 Guía del producto 111

112 7 Analizando malware Ver los resultados del análisis Tabla 7-6 Secciones del informe Analysis Summary Elemento Descripción 1 Esta sección muestra los detalles del archivo de muestra. Incluye el nombre, valor de hash y tamaño de archivo en bytes. 2 Sección Sección Analysis Results (Resultados del análisis) en la página 113 (Resultados del análisis). Esta sección detalla los métodos usados con el archivo y los resultados de dichos métodos. Esta sección también muestra el nivel de gravedad del archivo. 3 Sección Sección Analysis Environment (Entorno de análisis) en la página 114 (Entorno de análisis). Esta sección incluye detalles acerca de la máquina virtual analizadora, las propiedades del archivo y demás. 4 Procesos analizados en esta muestra. Esta sección lista todos los archivos que se ejecutaron durante el análisis dinámico del archivo de muestra. También proporciona la razón de ejecución de cada archivo, así como su calificación de gravedad. La columna Reason (Razón) indica qué otros archivos o procesos han creado o abierto este archivo. Si solo hay un archivo en la muestra, la razón mostrada será loaded by MATD Analyzer (cargado por el analizador MATD). Si un archivo es un.zip que contiene múltiples archivos o si un archivo abre otros archivos, la razón para el primero será created by <file name> & loaded by MATD Analyzer. (creado por <nombre de archivo> y enviado por analizador MATD). Para los siguientes archivos, la columna Reason indica todos los archivos o procesos que lo han creado o abierto. La columna Level (Nivel) indica el nivel de gravedad basándose en el análisis dinámico de cada archivo. : indica una calificación de gravedad de 0 y un nivel de amenaza meramente informativo. Esta es la gravedad para los archivos de la lista blanca. : indica una calificación de gravedad de 1 y un nivel de amenaza muy bajo. : indica una calificación de gravedad de 2 y un nivel de amenaza bajo. medio. : indica una calificación de gravedad de 3 y un nivel de amenaza : indica una calificación de gravedad de 4 y un nivel de amenaza alto. : indica una calificación de gravedad de 5 y un nivel de amenaza muy alto. Haga clic en un nombre de archivo para navegar hasta la sección del informe que proporciona detalles sobre el comportamiento de ese archivo. De esta manera, cuando haga clic en un nombre de archivo, se le llevará a la sección indicada como 7 en la ilustración anterior. 5 Sección Sección Classification / threat score (Clasificación / calificación de amenaza) en la página 114 (Clasificación/calificación de gravedad). Esta sección proporciona las calificaciones de seguridad individuales para varias características de un malware típico. 112 McAfee Advanced Threat Defense 3.0 Guía del producto

113 Analizando malware Ver los resultados del análisis 7 Tabla 7-6 Secciones del informe Analysis Summary (continuación) Elemento Descripción 6 Sección análisis dinámico. Esta sección muestra el porcentaje del código del archivo que se ejecutó. Por ejemplo, un archivo puede haber tomado una ruta alternativa durante su ejecución debido a que parte del código no se ha ejecutado. Esta sección también proporciona un breve resumen ejecutivo del comportamiento del archivo, con sus correspondientes niveles de gravedad. indica un comportamiento de gravedad muy baja. indica un comportamiento de gravedad baja. indica un comportamiento de gravedad media. indica un comportamiento de gravedad alta. indica un comportamiento de gravedad muy alta. 7 Sección detalles de operación. Esta sección proporciona información detallada acerca de todas las operaciones realizadas por la muestra durante el análisis dinámico. Estas operaciones aparecen agrupadas bajo los grupos correspondientes. Expanda cada grupo para ver las operaciones específicas. Por ejemplo, expanda Files Operations (Operaciones de archivos) para ver los archivos o directorios creados, quitados, modificados o leídos y demás. 8 GTI File Reputation (Reputación de los archivos GTI). Proporciona la reputación McAfee GTI y gravedad para la URL. 9 Actividad de red. Esta sección proporciona los detalles de cada operación de red realizada por un archivo durante el análisis dinámico. 10 Sección capturas de pantalla. Esta sección muestra todas las ventanas emergentes aparecidas durante el análisis dinámico. Viendo estas capturas de pantalla, puede determinar si se requiere la intervención del usuario durante el análisis dinámico para conocer el verdadero comportamiento del archivo. Si se requiere dicha intervención, puede enviar el archivo manualmente en el modo usuario interactivo. Sección Analysis Results (Resultados del análisis) Esta es una sección del informe Analysis Summary (Resumen del análisis). En esta sección puede ver qué métodos han informado de que un archivo de muestra contiene malware. Tabla 7-7 Selecciones de análisis Etiqueta Engine (Motor) Threat Name (Nombre de la amenaza) Severity (Gravedad) Descripción Estos son los métodos posibles que McAfee Advanced Threat Defense usa para analizar un archivo. GTI File Reputation (Reputación de los archivos GTI): Indica McAfee GTI que está en la nube. Gateway Anti_Malware: Indica motor McAfee Gateway Anti-Malware Engine. Anti-Malware: Indica motor McAfee Anti-Malware Engine. Sandbox (recinto aislado): Indica que el archivo se ha ejecutado en una máquina virtual analizadora. Consulte la sección Analysis Environment (Entorno de Análisis) dentro del informe para ver los detalles de esa máquina virtual. Indica el nombre del malware conocido en McAfee GTI, motor Gateway Anti-Malware Engine McAfee y motor Anti-Malware EngineMcAfee. Indica la calificación de gravedad según varios métodos. La calificación de gravedad final que se asigna a la muestra será igual a la mayor calificación obtenida por los diferentes métodos. McAfee Advanced Threat Defense 3.0 Guía del producto 113

114 7 Analizando malware Ver los resultados del análisis Sección Analysis Environment (Entorno de análisis) Esta es una sección del informe Analysis Summary (Resumen del análisis). En esta sección puede encontrar los siguientes detalles: Detalles de la correspondiente máquina virtual analizadora, como el sistema operativo, el navegador y la versión, así como las aplicaciones instaladas en la máquina virtual analizadora y sus versiones. Figura 7-5 Sección Analysis Environment (Entorno de análisis) La hora a la que se envió la muestra según el reloj del dispositivo McAfee Advanced Threat Defense. El tiempo que se tarda en analizar el archivo y generar los informes. La tabla de la derecha muestra las propiedades del archivo. Incluye información como: Firmados o no firmados para la firma digital del archivo. Nombre del editor, si está disponible. Información de la versión Nombre original del archivo, para que pueda buscar en otras fuentes, como por ejemplo Internet. Baitexe: proceso infectado o no. Al final de cada análisis McAfee Advanced Threat Defense crea un proceso adicional llamado Baitexe. Este programa Baitexe realiza llamadas únicamente a dos API continuamente (beep y sleep). Si el proceso Baitexe se ve infectado por la muestra previamente ejecutada, su comportamiento cambia. En tal caso, se mostrará el mensaje Baitexe activated and infected (Baitexe activado e infectado). Si el proceso Baitexe no se ve infectado, se mostrará el mensaje Baitexe activated but not infected (Baitexe activado pero no infectado). Sección Classification / threat score (Clasificación / calificación de amenaza) Esta es una sección del informe Analysis Summary (Resumen del análisis), que proporciona las calificaciones de gravedad para varias características del malware. Tabla 7-8 Sección Classification / threat score (Clasificación / calificación de amenaza) Etiqueta Persistence, Installation Boot Survival (Persistencia, Supervivencia a reinicio) Hiding, Camouflage, Stealthness, Detection and Removal Protection (Ocultación, Camuflaje, Sigilo, y Protección contra la detección y eliminación) Descripción Ciertos tipos de malware tiene la capacidad de permanecer en el host infectado. Esto se conoce como persistencia. La supervivencia al reinicio se refiere a la capacidad del malware para permanecer en el equipo incluso tras un reinicio. Se refiere a la capacidad del malware para evitar que se detecte y elimine. 114 McAfee Advanced Threat Defense 3.0 Guía del producto

115 Analizando malware Ver los resultados del análisis 7 Tabla 7-8 Sección Classification / threat score (Clasificación / calificación de amenaza) (continuación) Etiqueta Security Solution / Mechanism bypass, termination and removal, Anti Debugging, VM Detection (Solución de seguridad / Omisión de mecanismos, terminación y eliminación, Anti-depuración, Detección de máquina virtual) Spreading (Diseminación) Exploiting, Shellcode (Explotación, Código shell) Networking (Comportamiento en la red) Data spying, Sniffing, Keylogging, Ebanking Fraud (Espionaje de datos, Rastreo, Captura de pulsaciones del teclado, Fraude bancario) Descripción Se refiere a la capacidad del malware para omitir o burlar a los métodos y motores de detección. Ciertos tipos de malware están dotados de código anti-desensamblaje capaz de confundir o retrasar el análisis de malware. Algunos tipos de malware intentan determinar si están siendo ejecutados en un recinto aislado. Si lo detectan, pueden tratar de hallar una diferente ruta de acceso en la que ejecutarse. Esta calificación indica la presencia de estos tipos de código en el malware. Indica la capacidad del malware para esparcirse a través de la red. Indica la presencia de código shell, que es capaz de explotar un programa en ejecución. Indica el comportamiento en la red del malware durante el análisis dinámico. Por ejemplo, el malware puede haber realizado consultas de DNS o haber creado sockets. Si se da una calificación de gravedad para esta característica, compárela con los detalles de Network Operations (Operaciones de red) para los archivos de la muestra. Indica si el malware es capaz de alguno de estos comportamientos. Sección Operations details (Detalles de operación) Esta sección proporciona los detalles de cada operación realizada por un archivo durante el análisis dinámico. Se proporcionan secciones separadas para cada archivo que se haya ejecutado como parte de la muestra. Run-time DLLs (Archivos DLL de tiempo de ejecución): Lista todas las DLL y las rutas de acceso a las que el archivo realizara llamadas durante el tiempo de ejecución. File operations (Operaciones del archivo): Lista las actividades del archivo, incluidas las operaciones de creación, apertura, consulta, modificación, copia, cambio de ubicación, eliminación y creación/borrado de directorios. Esta sección también lista los atributos de archivo y los valores de hash MD5 de los archivos. Registry operations: (Operaciones de registro): Proporciona los detalles de las operaciones de registro de Windows, como crear/abrir, eliminar, modificar y realizar consultas en subclaves de registro y puntos de entrada clave. Process operations (Operaciones de proceso): Detalla las operaciones de proceso, como la creación o terminación de procesos, creación de servicios y la inserción de código en otros procesos. Networking operations: (Operaciones de red): Detalla las operaciones de red, tales como las consultas DNS, actividades de socket TCP y la descarga de archivos HTTP. Other operations (Otras operaciones:): Proporciona detalles acerca de las operaciones que no pertenezcan a estas categorías. Algunos ejemplos son los objetos de exclusión mutua, o la obtención de las medidas del sistema y datos de configuración de la máquina virtual analizadora. McAfee Advanced Threat Defense 3.0 Guía del producto 115

116 7 Analizando malware Ver los resultados del análisis Informe Dropped Files (Archivos depositados) Puede descargarse un archivo.zip que contiene todos los archivos que la muestra ha creado o manipulado durante el análisis dinámico. Puede descargar esos archivos mediante uno de los métodos siguientes. En la página Analysis Results (Resultados del análisis) (Analysis Analysis Results), haga clic en y seleccione Dropped Files. Descargue el archivo dropfiles.zip, que contiene los archivos que la muestra ha creado en el recinto aislado. Para poder usar esta opción, debe tener activada la opción Dropped Files en el perfil de analizador correspondiente. Tras hacer clic en, seleccione Complete Results (Resultados completos). Descargue el archivo <nombre de la muestra>.zip. Este archivo.zip contiene el mismo dropfiles.zip dentro de la carpeta AnalysisLog. Complete Results (Resultados completos) contiene el archivo dropfiles.zip tanto si tiene activada la función Dropped Files en el perfil de analizador correspondiente como si no. Disassembly Results (Resultados de desensamblaje) El informe Disassembly Results (Resultados de desensamblaje proporciona la lista de salida de desensamblaje para archivos ejecutables portátiles. Este informe se basa en el archivo de muestra una vez que se ha completado el proceso de desempaquetado. Proporciona información detallada acerca del archivo de malware, como por ejemplo la información de encabezado del archivo ejecutable portátil. El informe Disassembly Results incluye la siguiente información: Fecha y hora de creación del archivo de muestra Información de ejecutable portátil y encabezado opcional Información de diversos encabezados de sección El listado de desensamblaje de Intel Puede ver el informe Disassembly Results en la aplicación web McAfee Advanced Threat Defense o descargarlo como un archivo en el equipo cliente. Los contenidos del informe son los mismos con ambos métodos. Para ver el informe Disassembly Results en la aplicación web McAfee Advanced Threat Defense, seleccione Analysis Analysis Results (Análisis, Resultados del análisis). En la página Analysis Results, haga clic en y seleccione Disassembly Results. Para usar esta opción, debe tener activada la opción Disassembly Results en el perfil de analizador correspondiente. Para descargar el informe como un archivo, haga clic en en la página Analysis Results y seleccione Complete Results (Resultados completos). Descargue el archivo <nombre de la muestra>.zip. El archivo.zip contiene un archivo llamado <nombre del archivo>.asm en la carpeta AnalysisLog. Zip Report (Informe comprimido) contiene este archivo.asm tanto si tiene activada la opción Disassembly Results en el correspondiente perfil de analizador como si no. El informe Disassembly Results proporciona las instrucciones de ensamblador junto con cualquier nombre de llamada estática estándar, como por ejemplo printf o los nombres de llamada de DLL API de Windows incrustados en el listado. Si en el código se referencian las variables globales como texto de cadena, estos textos de cadena también se mostrarán. 116 McAfee Advanced Threat Defense 3.0 Guía del producto

117 Analizando malware Ver los resultados del análisis 7 Tabla 7-9 Una sección de un informe Disassembly Results de muestra Columna 1 Columna 2 Columna 3 : e8 1f2c0000 call 00403c34 ;;call URLDownloadToFileA La columna 1 muestra la dirección virtual de la instrucción, la columna 2 presenta la instrucción binaria, y la columna 3 muestra la instrucción de ensamblaje con sus comentarios. En el ejemplo anterior, la instrucción call 00403c34 en la ubicación de memoria está realizando una llamada funcional a la ubicación de memoria 0x403c34, determinada por la función de llamar a la DLL API del sistema determinada como URLDownloadToFileA(). El comentario mostrado con el ;; en este listado proporciona el nombre de la función de biblioteca. Logic Path Graph (Gráfico de ruta lógica) Este informe es una representación gráfica de las referencias cruzadas de llamadas de función descubiertas durante el análisis dinámico. Este informe permite ver las subrutinas del archivo analizado que se ejecutaron durante el análisis dinámico, así como aquellas potencialmente no ejecutadas. Esta funciones no ejecutadas podrían ser posibles bombas de relojería, esperando a activarse cuando se den las condiciones adecuadas. El informe Logic Path Graph (Gráfico de ruta lógica) está disponible como un archivo GML (Graph Modeling Language). Este archivo está en formato de texto simple ASCII que contiene una representación gráfica de las rutas lógicas de ejecución de la muestra en el formato GML. No puede ver este archivo directamente desde la aplicación web McAfee Advanced Threat Defense, pero puede descargarlo a su equipo cliente. A continuación, use un editor de diseño gráfico compatible con el formato GML, como yworks yed Graph Editor. Puede usar el editor para mostrar las referencias cruzadas de todas las funciones, usando el archivo como entrada. Puede descargar el archivo Logic Path Graph mediante uno de los métodos siguientes. En la página Analysis Results (Resultados del análisis) (Analysis Analysis Results), haga clic en y seleccione Logic Path Graph. A continuación, descargue el archivo <nombre_del_archivo>_logicpath.gml. Para usar esta opción, debe tener activada la opción Logic Path Graph en el correspondiente perfil de analizador. Tras hacer clic en, seleccione Complete Results (Resultados completos). Descargue el archivo <nombre de la muestra>.zip. Este archivo.zip contiene el mismo archivo <nombre del archivo>_logicpath.gml que la carpeta AnalysisLog. El Zip Report (Informe comprimido) contiene el archivo <nombre de archivo>_logicpath.gml tanto si tiene activada la opción Logic Path Graph en el correspondiente perfil de analizador como si no. McAfee Advanced Threat Defense 3.0 Guía del producto 117

118 7 Analizando malware Ver los resultados del análisis Esta sección usa yworks yed Graph Editor para explicar cómo usar el archivo Logic Path Graph GML. En el editor yed Graph Editor, debe configurar primero Routing Style (Estilo de enrutamiento). Solo necesita hacerlo la primera vez, ya que esta configuración se guarda para posteriores usos. 1 En yed Graph Editor, seleccione Layout Hierarchical (Diseño, Jerárquico). 2 En el cuadro de diálogo Incremental Hierarchic Layout (Diseño jerárquico incremental), seleccione la ficha Edges (Bordes) y seleccione Polyline (Polilínea) en la lista desplegable Routing Style (Estilo de enrutamiento). Figura 7-6 Configuración de estilo de enrutamiento en yed Graph Editor 3 Haga clic en OK (Aceptar). 118 McAfee Advanced Threat Defense 3.0 Guía del producto

119 Analizando malware Ver los resultados del análisis 7 Cuando abra el archivo <nombre del archivo>_logicpath.gml en yed Graph Editor, inicialmente puede ver múltiples cajas rectangulares superpuestas, o una sola caja rectangular tal y como se muestra en el siguiente ejemplo. Figura 7-7 Abra el archivo <nombre_del_archivo>_logicpath.gml McAfee Advanced Threat Defense 3.0 Guía del producto 119

120 7 Analizando malware Ver los resultados del análisis En yed Graph Editor, seleccione Layout Hierarchical (Diseño, Jerárquico). Figura 7-8 Cuadro de diálogo Incremental Hierarchic Layout 120 McAfee Advanced Threat Defense 3.0 Guía del producto

121 Analizando malware Ver los resultados del análisis 7 En el cuadro de diálogo Incremental Hierarchic Layout, haga clic en Ok sin cambiar ninguno de los valores predeterminados. El siguiente ejemplo muestra el esquema completo de la relación entre todas las subrutinas detectadas durante el proceso de desensamblaje estático. Figura 7-9 Esquema de relación de subrutinas El gráfico muestra una vista general de la complejidad de la muestra, según las referencias cruzadas de llamadas de función. A continuación se muestran más detalles de los nombres de las funciones y sus direcciones, al hacer zoom. Figura 7-10 Acercar zoom al esquema McAfee Advanced Threat Defense 3.0 Guía del producto 121

122 7 Analizando malware Ver los resultados del análisis Se usan dos colores para indicar la ruta ejecutada. Las líneas rojas discontinuas muestran las rutas no ejecutadas, y las líneas continuas azules muestras las rutas ejecutadas. Según el anterior gráfico de control, la subrutina (Sub_004017A0) en la dirección virtual 0x004017A0 se ha ejecutado y se muestra por tanto apuntando con una línea continua azul hacia la caja Sub_004017A0. Sin embargo, no se ha llamado a la subrutina (GetVersion]), ya que hay una línea roja discontinua que apunta hacia ella. La subrutina Sub_004017A0 ha realizado 11 llamadas, ya que hay 11 líneas que salen de la misma. Siete de esas 11 llamadas se realizaron durante el análisis dinámico. Una de ellas llama a Sub_ , dado que hay una línea continua azul que apunta a Sub_004017A0 desde Sub_ Las llamadas a Sub_ , printf, Sub_ , y Sub_ no se ejecutaron y por ello se muestran con líneas discontinuas rojas. La subrutina Sub_ solo ha realizado una única llamada, ya que solo hay una línea que salga de la misma. Esta llamada se ha ejecutado durante el análisis dinámico. User API Log (Registro de las API de usuario) Los registros de las API de usuario se encuentran almacenados en varios archivos. El archivo.log contiene las llamadas de nivel de usuario de Windows realizadas directamente por el archivo analizado durante el análisis dinámico. Para ver este archivo en la aplicación web McAfee Advanced Threat Defense, seleccione Analysis Analysis Results (Análisis, Resultados del análisis). A continuación, haga clic en y seleccione User API Log (Registro de las API de usuario). Alternativamente, haga clic en, seleccione Complete Results (Resultados completos). Descargue el archivo <nombre de la muestra>.zip. Este archivo.zip contiene la misma información que el archivo <nombre de la muestra>.log de la carpeta AnalysisLog. El contenido del archivo.log incluye lo siguiente: Un registro de toda la secuencia de llamadas a las API DLL del sistema. Una dirección que indica la dirección aproximada desde la que se efectuó la llamada a las API DLL. Parámetros opcionales de entrada y salida, y código de retorno para las llamadas a las DLL API de sistemas clave. Lo siguiente son los demás archivos que contienen los registros de ejecución dinámica. Todos estos archivos están contenidos dentro del archivo <nombre de la muestra>.zip. Archivo <nombre de la muestra>ntv.txt. Este archivo contiene la versión Windows Zw de la secuencia de llamadas realizadas durante el análisis dinámico a las API de servicios de sistemas nativos. El nombre de la API suele empezar con Zw, como en ZwCreateFile. log.zip dump.zip dropfiles.zip networkdrive.zip Descargar los resultados completos en un archivo.zip McAfee Advanced Threat Defense crea un análisis detallado para cada muestra enviada. Todos los informes disponibles para una determinada muestra analizada se recopilan en un archivo.zip que puede descargarse desde la aplicación web McAfee Advanced Threat Defense. 122 McAfee Advanced Threat Defense 3.0 Guía del producto

123 Analizando malware Ver los resultados del análisis 7 Procedimiento 1 Seleccione Analysis Analysis Results (Análisis, Resultados del análisis). 2 En la página Analysis Results, haga clic en y seleccione Complete Results (Resultados completos). Descargue el archivo <nombre de la muestra>.zip a la ubicación que desee. Este archivo.zip contiene los informes para cada análisis. Los archivos en este.zip se han creado y recopilado usando una convención estándar. Supongamos que la muestra enviada se llama vtest32.exe. Entonces, el archivo.zip contendrá los siguientes resultados: vtest32_summary.html (.json,.txt,.xml): este es el mismo que el informe Analysis Summary (Resumen del análisis). En el archivo.zip habrán cuatro formatos de archivo para el mismo resumen de informe. Los archivos html y txt se usan sobretodo para que los usuarios finales revisen el informe de análisis. Los archivos.json y.xml proporcionan etiquetas para comportamientos conocidos de malware, que permiten que un script de alto nivel extraiga información clave. vtest32.log: este archivo captura las actividades de llamada a las API DLL de nivel de usuario de Windows realizadas durante el análisis dinámico. Debe examinar cuidadosamente este archivo para comprender la secuencia completa de llamadas API, así como los parámetros de entrada y salida. Es el mismo que el informe User API Log (Registro de las API de usuario). vtest32ntv.txt: este archivo captura las llamadas realizadas durante el análisis dinámico a las API de servicios nativos de Windows. vtest32.txt: este archivo muestra la información de encabezado de los archivos ejecutables portátiles. vtest32_detail.asm: este es el mismo que el informe Disassembly Results (Resultados de desensamblaje). Este archivo contiene el listado de desensamblaje mediante ingeniería inversa de la muestra, una vez desempaquetada o descifrada. vtest32_logicpath.gml: este archivo es una representación gráfica de las referencias cruzadas de llamadas de función descubiertas durante el análisis dinámico. Es el mismo que en el informe Logic Path Graph (Gráfico de ruta lógica). log.zip: este archivo contiene todos los archivos de registro de tiempo de ejecución para todos los procesos afectados por la muestra durante el análisis dinámico. Si la muestra genera algún texto de salida de consola, este mensaje se captura en el archivo ConsoleOutput.log, que puede encontrar en el archivo log.zip. Use cualquier utilidad normal para descomprimir el archivo log.zip y ver los archivo contenidos en el mismo. dump.zip: este archivo contiene el volcado de memoria (dump.bin) de código binario de la muestra durante el análisis dinámico. El archivo está protegido mediante contraseña. La contraseña es virus. dropfiles.zip: es el mismo que el informe Dropped Files (Archivos depositados) en la página Analysis Results. El archivo dropfiles.zip contiene todos los archivos creados o manipulados por la muestra durante el análisis dinámico. También está protegida con contraseña. La contraseña es virus. McAfee Advanced Threat Defense no le permite acceder a los archivos de muestra originales que ha analizado. Si Network Security Platform está integrada, puede usar la opción Save File (Guardar archivo) en Advanced Malware Policy (Directiva avanzada de malware) para archivar muestras. Sin embargo, tenga en cuenta que la capacidad de Sensor para analizar simultáneamente se ve reducida si la opción Save File está activada. Consulte la más reciente Network Security Platform IPS Administration Guide (Guía de administración de IPS) para ver los detalles. McAfee Advanced Threat Defense 3.0 Guía del producto 123

124 7 Analizando malware Trabajar con el panel McAfee Advanced Threat Defense Trabajar con el panel McAfee Advanced Threat Defense Al acceder a McAfee Advanced Threat Defense desde un navegador cliente se mostrará el panel McAfee Advanced Threat Defense. Puede ver los siguientes monitores en el panel McAfee Advanced Threat Defense: Estado de creación de máquina virtual: muestra el estado de las máquinas virtuales analizadoras creadas. File counters (Contadores de archivos): proporciona el estado de los archivos que se están analizando. Files analyzed by File Type (Archivos analizados por tipo de archivo): proporciona una vista general del tipo de archivos que se están analizando. Top Malware by File Name (Ranking de malware por nombre de archivo): lista los archivos de malware de mayor gravedad en su red, organizados por nombre de archivo. Analyzer Profile Usage (Uso de perfil de análisis): proporciona detalles acerca de los perfiles de analizador que se están utilizándo. System Health (Mantenimiento del sistema): proporciona los detalles sobre mantenimiento del sistema del dispositivo McAfee Advanced Threat Defense. System Information (Información del sistema): proporciona los números de versión para los componentes de software del dispositivo McAfee Advanced Threat Defense. Procedimiento 1 Haga clic en Dashboard (Panel) para ver los monitores. 2 Especifique los criterios según los cuales se mostrará la información en los monitores. a Especifique el periodo de tiempo para el que desea que se muestre la información en los monitores. Por ejemplo, puede elegir ver información para la última hora. De forma predeterminada, se mostrarán los datos para los últimos 14 días. Este campo no afecta a los monitores de Mantenimiento del sistema e Información del sistema. b Para actualizar los monitores, haga clic en. c Haga clic en para editar la configuración del panel. Tabla 7-10 Configuración del panel Opción Monitors (Monitores) Automatic Refresh (Actualización automática) Layout (Diseño) OK (Aceptar) Cancel (Cancelar) Definición Seleccione los monitores que desea ver en el panel. Establece la frecuencia con la que el panel se actualizará automáticamente. Si desea actualizar el panel de forma exclusivamente manual, seleccione Disabled (Desactivado). Cuando desee actualizar el panel, haga clic en. Esto permite ver una imagen estática del panel en un momento determinado del tiempo. Especifique el número de columnas en las que desea organizar el panel. Haga clic para guardar y aplicar la configuración del panel. Haga clic para restablecer la última configuración guardada. 124 McAfee Advanced Threat Defense 3.0 Guía del producto

125 Analizando malware Trabajar con el panel McAfee Advanced Threat Defense 7 3 Opcionalmente, puede establecer la configuración de pantalla para cada monitor. Para contraer un monitor, haga clic en Para ocultar un monitor, haga clic en Para cambiar el formato de presentación de un monitor, haga clic en Monitores de análisis de malware A continuación se listan los monitores relacionados con el análisis de malware. File Counters (Contadores de archivos) Este monitor muestra el estado de análisis para los archivos enviados durante el periodo de tiempo especificado. Por ejemplo, si establece el periodo de tiempo para los datos del panel como los últimos 5 minutos, este monitor muestra el recuento de archivos en estado completado, analizado y en espera durante los últimos 5 minutos. Si examina este monitor en formato de gráfico de barras apiladas, también se muestra el nivel de gravedad de los archivos. Figura 7-11 Monitor Contadores de archivos Los niveles de confianza se muestran mediante un código de colores. Para ocultar los archivos que tengan un determinado nivel de confianza, haga clic en el correspondiente nivel de confianza en la leyenda. Por ejemplo, si desea centrarse solo en los casos de alta gravedad, haga clic en Low (Bajo) y en Medium (Medio) en la leyenda. Ahora el gráfico muestra solo el malware de alto nivel de gravedad que se encuentre en estado de espera, en ejecución o completado. Haga clic de nuevo en Low y Medium para ver el gráfico completo. Pase el cursor sobre un determinado bloque del gráfico para ver el número de archivos que lo conforman. McAfee Advanced Threat Defense 3.0 Guía del producto 125

126 7 Analizando malware Trabajar con el panel McAfee Advanced Threat Defense Files analyzed by File Type (Archivos analizados por tipo de archivo) Este monitor muestra el recuento de archivos analizados, según su tipo. En formato de tabla, muestra el porcentaje de cada tipo. En formato de gráfico, también muestra el recuento de archivos infectados y no infectados. Figura 7-12 Monitor Archivos analizados por tipo de archivo Los recuentos de archivos infectados y no infectados se indican mediante un código de colores. Para ocultar los archivos infectados o no infectados, haga clic en el correspondiente nivel de confianza en la leyenda. Pase el cursor sobre un determinado bloque del gráfico para ver el número de archivos que lo conforman. Analyzer Profile Usage (Uso de perfil de análisis) Este monitor muestra el número de veces que se ha usado cada perfil de analizador para analizar archivos. Figura 7-13 Monitor Uso de perfil de análisis Top Malware by Filename (Ranking de malware por nombre de archivo) En este monitor puede ver los nombres de los archivos maliciosos detectados en su red, con los de mayor gravedad en la parte superior. Esta información puede permitir ulteriores investigaciones, tales como buscar más información acerca de dichos archivos en Internet. Los archivos de malware de la lista aparecen ordenados según su calificación de gravedad, en orden descendente. Esta calificación se muestra en la segunda columna. Las calificaciones de gravedad son las siguientes: 5: Gravedad muy alta 4: Gravedad alta 3: Gravedad media 2: Gravedad baja 126 McAfee Advanced Threat Defense 3.0 Guía del producto

127 Analizando malware Trabajar con el panel McAfee Advanced Threat Defense 7 1: Gravedad muy bajo 0: Gravedad informativa (archivos en lista blanca) La primera columna muestra el nombre de los archivos. Los archivos que tengan la misma calificación de gravedad aparecen ordenados alfabéticamente. Figura 7-14 Monitor Ranking de malware por nombre de archivo Monitor de estado de creación de máquina virtual Este monitor muestra el estado de las máquinas virtuales analizadoras creadas durante el periodo de tiempo especificado en el panel. Por ejemplo, si ha especificado Last 12 hours (Últimas 12 horas), este monitor mostrará el estado de las máquinas virtuales analizadoras creadas durante las últimas 12 horas. Figura 7-15 Monitor de estado de creación de máquina virtual Monitores de rendimiento de McAfee Advanced Threat Defense A continuación se listan los monitores relacionados con el rendimiento del dispositivo McAfee Advanced Threat Defense. System Health (Mantenimiento del sistema) Este monitor muestra el estado de mantenimiento del dispositivo McAfee Advanced Threat Defense en una tabla. System health (Mantenimiento del sistema): indica si el sistema se encuentra en buen estado. Uptime (Tiempo de actividad): el número de horas que el dispositivo ha estado en ejecución de forma continua. Processor Load (Carga del procesador): el porcentaje de la capacidad del procesador que está actualmente en uso. Memory (Memoria): el porcentaje de la memoria del dispositivo que está actualmente en uso. Data Disk Space (Espacio del disco de datos): la capacidad del disco del dispositivo, en terabytes. McAfee Advanced Threat Defense 3.0 Guía del producto 127

128 7 Analizando malware Trabajar con el panel McAfee Advanced Threat Defense Data Disk Available (Disponibilidad de disco de datos): el espacio actualmente disponible, en terabytes. Figura 7-16 Monitor de mantenimiento del sistema Espacio del disco del sistema: Disco disponible del sistema: Información del sistema Este monitor muestra los números de versión de los componentes de software relacionados con McAfee Advanced Threat Defense. Figura 7-17 Monitor Información del sistema 128 McAfee Advanced Threat Defense 3.0 Guía del producto

129 8 Comandos CLI para McAfee Advanced Threat Defense El dispositivo McAfee Advanced Threat Defense es compatible con una interfaz de línea de comandos (CLI) para tareas tales como configuración de red, reinicio del dispositivo y restablecer los valores predeterminados de fábrica del dispositivo. Contenido Emisión de comandos CLI Sintaxis para CLI Inicie sesión en la CLI Significado de? Acerca del dispositivo McAfee Advanced Threat Defense Lista de comandos CLI Emisión de comandos CLI Puede emitir comandos CLI localmente, desde la consola del dispositivo McAfee Advanced Threat Defense, o remotamente a través de SSH. Cómo emitir un comando a través de la consola Para más información sobre cómo configurar la consola para el dispositivo McAfee Advanced Threat Defense, consulte Configurar la información de red para el dispositivo McAfee Advanced Threat Defense en la página 29 (Configurar el dispositivo mediante la CLI). Cuando la documentación indica que debe realizar una operación en el dispositivo, esto significa que debe realizar dicha operación desde la línea de comandos del host de una consola conectada al dispositivo McAfee Advanced Threat Defense. Por ejemplo, cuando configure por primera vez los detalles de red de un dispositivo McAfee Advanced Threat Defense, debe hacerlo desde la consola. Cuando esté correctamente conectado al dispositivo McAfee Advanced Threat Defense, se le pedirá que inicie sesión. Emisión de comandos mediante SSH Puede administrar remotamente el dispositivo McAfee Advanced Threat Defense desde un símbolo del sistema a través de ssh. Solo puede abrirse un máximo de 5 sesiones de SSHD CLI simultáneas en un mismo dispositivo McAfee Advanced Threat Defense. McAfee Advanced Threat Defense 3.0 Guía del producto 129

130 8 Comandos CLI para McAfee Advanced Threat Defense Sintaxis para CLI Iniciar sesión en el dispositivo McAfee Advanced Threat Defense mediante un cliente SSH Procedimiento 1 Abra una sesión de cliente SSH. 2 Introduzca la dirección IPv4 del dispositivo McAfee Advanced Threat Defense e introduzca 2222 como el número de puerto SSH. 3 Cuando se le pida que inicie sesión, introduzca el nombre de usuario predeterminado atdadmin y la contraseña atdadmin. El número máximo de intentos de inicio de sesión en el dispositivo McAfee Advanced Threat Defense desde un mismo cliente y conexión es de 3, tras los cuales la conexión se cortará. El número máximo de intentos de inicio de sesión en el dispositivo McAfee Advanced Threat Defense puede variar según el cliente ssh que esté usando. Puede que sean tres intentos con ciertos clientes (por ejemplo, Putty versión 0.54 o Putty 0.56) o puede que sean cuatro con otros clientes (por ejemplo, con Putty 0.58 o clientes ssh de Linux). Autocompletar La CLI incluye una función de autocompletar. Para autocompletar un comando, pulse Tabulador tras escribir los primeros caracteres de un comando válido y luego pulse Intro. Por ejemplo, si escribe pas y pulsa Tabulador, la CLI autocompletará el comando passwd. Si el texto que ha introducido coincide con el principio de varios comandos, la CLI mostrará todos los comandos posibles que encajen con el texto. Sintaxis para CLI Introduzca los comandos en el símbolo del sistema de la manera que se muestra. <comando> <valor> Las valores que introduzca debe ir entre paréntesis angulares (< >). Los argumentos o valores opcionales se ponen entre corchetes ([ ]). Las opciones se muestran separadas mediante una línea ( ). Las variables se indican mediante cursiva. No escriba los símbolos < o [ ]. Comandos obligatorios Ciertos comandos deben ejecutarse obligatoriamente en el dispositivo McAfee Advanced Threat Defense antes de que este esté completamente operativo. El resto de los comandos en este capítulo son opcionales y asumirán valores predeterminados para sus parámetros a no ser que se ejecuten con otros valores de parámetro específicos. Estos son los comandos requeridos: set appliance name set appliance ip 130 McAfee Advanced Threat Defense 3.0 Guía del producto

131 Comandos CLI para McAfee Advanced Threat Defense Inicie sesión en la CLI 8 set appliance gateway también es obligatorio si se da cualquiera de los siguientes casos: Si el dispositivo McAfee Advanced Threat Defense está en una red diferente a la de los demás productos McAfee que desea integrar Si piensa acceder a McAfee Advanced Threat Defense desde una red distinta, ya sea usando un cliente SSH o un navegador para acceder a la aplicación web McAfee Advanced Threat Defense Inicie sesión en la CLI Antes de poder introducir comandos CLI, debe iniciar sesión en el dispositivo McAfee Advanced Threat Defense con un nombre de usuario y contraseña válidos. El nombre de usuario predeterminado es atdadmin y la contraseña predeterminada es atdadmin. Para cerrar sesión, escriba exit. McAfee le recomienda encarecidamente que cambie esta contraseña mediante el comando passwd durante su primera interacción con el dispositivo McAfee Advanced Threat Defense. Significado de?? muestra todos los posibles comandos que puede introducir. Sintaxis? Si usa? junto con otro comando, le muestra la siguiente palabra que puede escribir. Si ejecuta el comando? junto con el comando set, por ejemplo, se mostrará una lista de todas las opciones disponibles con el comando set. Acerca del dispositivo McAfee Advanced Threat Defense El dispositivo McAfee Advanced Threat Defense viene con dos discos llamados disco A y disco B. El disco A es el disco activo y el disco B es la copia de seguridad. Incluso si no se arranca el disco A, nos referiremos a él como el disco activo. De la misma manera, incluso si se arranca desde el disco B, nos referiremos a él como la copia de seguridad. De forma predeterminada, ambos discos contienen la versión de software preinstalado. Puede actualizar el software del disco activo, es decir el disco A, y usar el disco B como copia de seguridad con una versión estable a la que puede volver siempre que lo necesite. Use el comando show para ver la versión del software almacenada en los discos activo y de copia de seguridad. McAfee Advanced Threat Defense 3.0 Guía del producto 131