McAfee из командной строки.

Всем привет.

В новом  McAfee ENS 10.7 много нового и полезного:

• Enhanced Remediation – отчет изменений подозрительных процессов (Rollback)

• Real Protect enhanced script scanning – улучшенная защита от fileless атак

• Story Graph – визуализация сработок на атаки (еРО\Threat Event Log)

• Command Line Scanner (amcfg) – запуск ODS с CLI / bat / MAR / EDR

• Update command line interface (amcfg) – обновления с CLI / bat / MAR / EDR

• On-demand scan CPU throttling – настройка утилизации CPU при сканировании

• Reputation source configuration – выбор между GTI + TIE либо один из двух

• Log all files scanned by ODS – лог файлов проверенных ODS

Меня лично порадовало наличие механизма  CLI для выполнения ряда задач. Например ситуация - используя модуль Application Cоntrol мы имеем полный контроль над запуском сторонних процессов, которые не входят в белый список. Но для обновления штатного софта это список надо либо пополнять либо временно отключать  Application Cоntrol. Что имеем? Обычно выполняются программы только из белого списка и известные McAfee по репутационной базе, которая сверяется с mcafee.com. Т.е., к примеру, обновления для Windows будут устанавливаться без проблем, а вот обновления для MEDoc – нет.

Для обновления MEDoc нужно перевести его хост в режим обновления, после этого все новые программы попадут в Белый список.

Перевести в режим Update можно 2-мя способами - из ePO и из командной строки. Сегодня оценим простоту выполнения это операции из командной строки.

Итак, на сервере MEDoc в командной строке с правами администратора выполняем:

sadmin recover

Происходит запрос пароля - вводим пароль, который дал вам ваш администратор McAfee.

Далее:

sadmin bu  или sadmin begin-update

Вот мы и перевели сервер в режим Update.

Можно устанавливать обновления для MEDoc.

После завершения обновления выполняем шаги обратно:

sadmin end-update

sadmin lockdown

Все. Проверить текущий статус Application Cоntrol можно командной sadmin status.

Успехов.