Được sử dụng làm một hệ thống phát hiện vàphân tích các loại malware cũng như ngănchặn các cuộc tấn công có sử dụng malware vào hệ thống

Tích hợp sẵn các phương pháp nhận diện vàphân tích malware

Có thể liên kết với các sản phẩm khác củaMcAfee để nâng cao hiệu quả hoạt động

Static Analysis:◦ Blacklist/Whitelist

◦ McAfee Gateway Anti Malware Engine (GAM)

◦ McAfee Anti Malware Engine

◦ McAfee Global Threat Intelligence (GTI)

Dynamic Analysis:◦ Sandboxing

Là 1 database lưu trữ thông tin MD5 Signature, tên file, mức độ nguy hiểm,…) của các file malware (trong Blacklist) và các file clean (trongWhitelist) nhằm mục đích phục vụ việc nhận diệncác malware phổ biến.

Các file khi được submit lên hệ thống ATD sẽđược kiểm tra xem đã tồn tại thông tin trongblacklist hay whitelist hay chưa, dựa vào kết quảtrả về hệ thống sẽ quyết định các giai đoạn phântích tiếp theo.

Có thể thêm bớt các entry bên trongblacklist/whitelist này để tăng hiệu quả hoạt động

Một hệ thống cung cấp khả năng mô phỏngmôi trường web ảo để có thể nhận diệnmalware hay 0-day exploits được sử dụng đểtấn công vào hệ thống

Hệ thống phát hiện malware chính củaMcafee, sử dụng phương pháp quét và nhậndiện signature của các file malware

Hoạt động giống như một chương trìnhantivirus

Có liên kết với Blacklist/Whitelist

MATD có thể truy cập đến McAfee GTI để lấyvề thông tin mới nhất của các loại malware mới được phát hiện bởi các tổ chức, doanhnghiệp, cá nhân trên toàn thế giới và đã đượcsubmit lên hệ thống của McAfee.

Đối với các file lạ mà static analysis khôngphát hiện được, MATD sử dụng công nghệsandboxing để có thể trực tiếp phân tích file đó trong các VM, dựa vào hành vì trong quátrình hoạt động của file để xác định xem file đó có nguy hiểm hay không, sau đó đưa rareport về quá trình phân tích

VM sử dụng các OS phổ biến: winxp, win7, win8, win server, android,…

Standalone Deployment

MATD hoạt động như một hệ thống độc lập.

Người dùng submit thủ công file cần analysis lên hệ thống của MATD (Web upload, Transfer thông qua FTP Clients…) và nhận lại kết quảphân tích của MATD.

Thích hợp để triển khai trong quá trình thửnghiệm sản phẩm, hoặc triển khai trongkhông gian mạng độc lập, hoặc sử dụng để lấychi tiết thông tin trong quá trình phân tíchmalware

Integrate with NSP & ePO

MATD tích hợp với NSP, hoạt động song song với NSP, thực hiệnchức năng phân tích và nhận diện malware, sau đó đưa thông tin cảnh báo dựa trên kết quả phân tích về cho NSP, để NSP quyếtđịnh phương pháp xử lý.

- NSP phát hiện ra file đang được download và gửi một bản copy sang cho MATD để phân tích. Nếu MATD phát hiện ra malware trong thời gian ngắn và thông báo lại với Sensor, Sensor có thểchặn việc download file. NSP Manager hiển thị kết quả phân tíchcủa MATD

- Nếu MATD cần nhiều thời gian để phân tích, NSP Sensor sẽ chophép file được download về. Khi MATD phát hiện ra malware sauquá trình phân tích, sẽ có 1 thông báo gửi cho Sensor, dựa vàođó Sensor có thể cách li máy bị nhiễm malware cho đến khimalware được loại bỏ hoàn toàn khỏi máy đó. Có thể cấu hìnhcho NSP Manager để updatethoong tin cho Sensor, từ đó ngănchặn việc download file tương tự trong toàn bộ hệ thống

MATD có thể query đến hệ thống ePO để lấy vềthông tin của máy tại endpoint, từ đó lựatrọng VM phù hợp nhất (gần giống với os tạimáy enpoint nhất) để sử dụng trong quá trìnhdynamic analysis

Integrate with McAfee Web Gateway

Mục đích chính là để đảm bảo sự cân bằnggiữa thời gian download file của người dùngvà vấn đề bảo mật.

Chỉ có những file không nhận diện được bờiMWG mới được chuyển sang MATD để phântích toàn diện và đầy đủ hơn

Nhận diện file download (MWG,NSP,MEG…) Submit file lên MATD

Phân tích file để phát hiện malware. MATD phân tích file và gửi report về.

Chặn đứng việc download file tương tự trongtương lai dựa trên report từ MATD

Xác định, cách ly và xử lý máy bị lây nhiễm: Được thực hiện bởi NSP

Có thể liên kết để lấy dữ liệu từ McAfee GTI

Có thể tích hợp tốt với các sản phẩm khác củaMcAfee

Không tham gia trực tiếp vào Network Traffic

Có thể phân tích Android Malwares

Kiểm tra đồng thời bằng nhiều Engine khác nhau

Tích hợp với McAfee ePO để lựa chọn môi trườngdynamic analysis tốt nhất có thể

Có khả năng phát hiện và ngăn chặn 0day malwares, unknown exploits trên toàn hệ thốngkhi tích hợp với NSP Sensors