Usar reputação do arquivo para restringir os aplicativos
O recurso de reputação de arquivo em segurança e conformidade ajuda a garantir que os arquivos no sistema de arquivos do dispositivo não são malware e que ninguém tenha adulterado eles. Enquanto a proteção de comportamento de controle de aplicativo pode ajudar a proteger os dispositivos gerenciados, falso positivos ainda podem acionar em aplicativos legítimos, dependendo do que essas aplicações estão tentam fazer. Se você usa reputação de arquivo, você tem a opção de criar um perfil de comportamento de controle de aplicativo separado para arquivos com uma reputação "boa" conhecida que ignora o controle de aplicativo baseado em comportamento normal.
Reputação de arquivo não é habilitada por padrão. Se você habilitar a reputação de arquivos, informações anônimas de reputação de arquivos em dispositivos gerenciados serão enviadas de forma segura ao servidor de reputação de arquivos da Ivanti, melhorando a cobertura e a precisão da reputação de arquivos para todos os usuários deste recurso.
Se você habilitar a reputação de arquivo, cada vez que o dispositivo executa um aplicativo, o agente verifica primeiro um banco de dados local para ver se os arquivos do aplicativo correspondem hashes bons conhecidos. Se não houver uma correspondência, o agente envia uma solicitação com dados sobre os arquivos para o servidor núcleo. O servidor núcleo verifica o seu banco de dados para ver se informações sobre essa reputação do arquivo já existe. Se não existe, o núcleo envia um solicitação ao servidor de reputação de nuvem da Ivanti. Se os hashes de arquivo correspondem os resultados na nuvem, o servidor de nuvem retorna informações de reputação sobre os arquivos ao núcleo e cliente.
O sistema de reputação de arquivo usa um banco de dados Ivanti, hospedado em nuvem, de informações de arquivo, incluindo nomes, tamanhos, metadados e hashes SHA1. Grande parte do banco de dados de reputação de arquivos é da National Software Reference Library (NSRL). Você pode visitar seu site para mais informações: http://www.nsrl.nist.gov/new.html.
Um arquivo pode ter uma das três reputações:
•Boa: O arquivo corresponde a uma entrada no banco de dados NSRL ou Ivanti reuniu informações suficientes para acreditar que o arquivo é seguro.
•Ruim: O arquivo não corresponde a qualquer entrada no banco de dados NSRL ou Ivanti reuniu informações suficientes para acreditar que o arquivo não é seguro.
•Incerta: Não existem quaisquer correspondências neste arquivo ou não existem quaisquer correspondências para ajudar a decidir se o arquivo é bom ou ruim.
Entre outros fatores, o algoritmo de reputação de arquivo considera a frequência com que os arquivos correspondentes ocorrem, a idade das correspondências, quem assinou os arquivos e com que frequência essas ocorrências são permitidas ou bloqueadas no Endpoint Manager.
Para usar o monitoramento de reputação de arquivos em dispositivos gerenciados, você precisa seguir as seguintes etapas:
1.Baixe atualizações da Ivanti para reputação de arquivos
2.Crie uma configuração de agente do controle de aplicativo que usa reputação de arquivo
-Ou-
Inclua as definições de reputação como parte da lista de arquivos de aplicativo
3.Implemente a configuração nos dispositivos gerenciados
1.Clique em Ferramentas > Segurança e conformidade > Patch e conformidade.
2.Clique no botão da barra de ferramentas Fazer o download das atualizações.
3.Na lista Tipos de definição, clique em Atualizações de reputação de arquivo da Ivanti.
4.Na caixa de diálogo de confirmação, leia os termos de uso para reputação de arquivo. Se você concorda com os termos, clique em Eu concordo. Clicar em Eu discordo desmarcará a caixa de seleção Atualizações de reputação de arquivo da Ivanti.
5.Clique o botão Download agora ou Aplicar.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Endpoint Security, clique com o botão direito em Controle de aplicativos e depois clique em Novo ou duas vezes em uma configuração existente.
3.Na página de Configurações gerais, selecione Trate arquivos de "boa reputação" como se eles estivessem na lista de arquivos confiáveis associados.
4.Clique o botão Comportamento do aplicativo de "Boa reputação".
5.Configure os comportamentos do Controle de aplicativos e do Ivanti firewall que você deseja para arquivos com boa reputação.
6.Clique em OK, em seguida clique em Salvar.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Endpoint Security, clique com o botão direito em Listas de arquivos de aplicativo e depois clique em Novo ou duas vezes em uma lista existente.
3.Habilite as opções no topo da caixa de diálogo para Incluir automaticamente arquivos de "boa reputação" ao enviar lista a clientes ou Incluir automaticamente arquivos de "má reputação" ao enviar lista a clientes.
4.Se você incluir arquivos de boa reputação, clique no botão Comportamento permitido do aplicativo para configurar os comportamentos do Controle de aplicativos e do Ivanti firewall que você deseja para aquivos com boa reputação.
5.Clique em OK.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Clique no botão da barra de ferramentas Configurar definições e clique em Reputações de arquivo.
3.Clique duas vezes na lista de arquivos de aplicativo a ser modificada ou crie uma nova.
4.Na barra de ferramentas Lista de arquivos de aplicativo, clique em 
e depois em Adicionar arquivo procurando ou Adicionar arquivo de boqueio inserindo nome.
5.Dependendo da opção escolhida, procure o arquivo desejado e clique em Salvar ou insira manualmente os detalhes do arquivo e clique em OK.
1.Na janela Configurações de agente, clique no botão da barra de ferramentas Criar uma tarefa e clique em Alterar configurações.
2.Dependendo de sua preferência, selecione uma tarefa agendada ou diretiva para as configurações de alterar o tipo de tarefa.
3.Ao lado de Segurança de ponto final na lista de configurações, selecione a configuração de segurança de ponto final que usa a configuração de controle de aplicativo que você configurou.
4.Clique em OK e finalizar a configuração da tarefa na janela Tarefas agendadas.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Clique no botão da barra de ferramentas Configurar definições e clique em Reputações de arquivo. Para ordenar a lista de arquivos, use as caixa de seleção no topo da página e clique em Aplicar filtro.
3.Selecione os arquivos cuja reputação deseja alterar e clique no botão Substituir reputação.
4.Certifique-se de marcar Substituir configuração de reputação da Ivanti e selecione a Reputação desejada.
5.Clique em OK.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Endpoint Security, clique com o botão direito em Listas de arquivos de aplicativo e depois clique em Novo ou duas vezes em uma lista existente.
3.Na barra de ferramentas Lista de arquivos de aplicativo, clique em 
e depois em Importar de outras listas de arquivos de aplicativo.
4.Aplique filtros se necessário e selecione os arquivos a serem importados. Clique em Avançar.
5.Configure os comportamentos desejados para os arquivos selecionados e clique em OK.
6.Clique novamente em OK para salvar as alterações na lista de arquivos de aplicativo.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Endpoint Security, clique com o botão direito em Listas de arquivos de aplicativo e depois clique em Novo ou duas vezes em uma lista existente.
3.Na barra de ferramentas Lista de arquivos de aplicativo, clique em e depois em Importar de arquivo .csv.
4.Procure o arquivo .csv contendo as informações da lista de arquivos de aplicativo e clique em Abrir.
5.Configure os arquivos importados se necessário e clique em OK.
O formato do arquivo .csv é o seguinte:
"File name", "File size", "Version", "Manufacturer name", "Product name", "MD5 hash base64 string", "SHA1 string", "SHA256 string", "Permissions"
Eis um exemplo de entrada CSV:
"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"
As strings de permissão permitidas são as seguintes:
- AuthorizedInstaller: permitir que o arquivo seja instalado
- AllowExecution: permitir que o arquivo seja executado
- BypassBufferOverflow: ignorar proteção de estouro de buffer
- ModifyProtRegKeys: modificar chaves de registro protegidas
- ProtAppInMem: proteger aplicativo na memória
- ModifyExeFiles: modificar arquivos executáveis
- ModifyProtFiles: modificar arquivos protegidos
- BypassAllProtection: ignorar todas as proteções
- AddToSysStartup: adicionar à inicialização do sistema
- InheritToChildProc: os direitos ficam herdáveis aos processos filho
- AllowSmtpOut: permitir ao arquivo enviar e-mail
- AllowNetConnect: permitir ao aplicativo conectar-se fora do escopo confiável (internet)
- AllowNetListen: permitir ao aplicativo receber conexão dentro do escopo confiável (internet)
- AllowTrustedNetConnect: permitir ao aplicativo conectar-se dentro do escopo confiável
- AllowTrustedNetListen: permitir ao aplicativo receber conexão dentro do escopo confiável
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Endpoint Security, clique com o botão direito em Listas de arquivos de aplicativo e depois clique em Novo ou duas vezes em uma lista existente.
3.Na barra de ferramentas Lista de arquivos de aplicativo, clique em e depois em Importar de dispositivos confiáveis.
4.Selecione os dispositivos desejados e clique em Importar arquivos dos dispositivos especificados.
5.Se quiser fazer uma varredura completa nos arquivos .exe desses dispositivos, clique em Sim.
6.Configure os arquivos importados se necessário e clique em OK.
1.Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
2.Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Segurança de ponto de extremidade, clique com o botão direito em Listas de arquivos de aplicativo e, depois, em Mesclar arquivos de aplicativo.
3.Selecione a lista de arquivos de aplicativo que será a Lista de origem.
4.Selecione se deseja mesclar diferenças ou substituir arquivos de aplicativo.
5.Selecione as listas de destino para a operação de mesclagem.
6.Clique em OK.
Para baixar atualizações da Ivanti para reputação de arquivos