Affinché la comunicazione tra la console di ThreatDown by Malwarebytes e gli endpoint funzioni correttamente, è necessario configurare alcune esclusioni per il proprio firewall e per eventuali altri software di sicurezza.
In questo articolo sono elencati i requisiti di rete e le esclusioni necessarie per l’utilizzo di ThreatDown Nebula e OneView.
Indirizzi che devono essere accessibili
Per il corretto funzionamento di ThreatDown by Malwarebytes è necessario aprire la porta 443 in uscita per tutti gli indirizzi.
Inoltre, bisogna che gli endpoint possano raggiungere questi siti:
| Indirizzo | Scopo |
| https://ark.mwbsys.com | Utilizzato per fornire aggiornamenti ai prodotti Malwarebytes. |
| https://blitz.mb-cosmos.com | Utilizzato per caricare file per la ricerca e l’analisi su Malwarebytes. |
| https://cdn.mwbsys.com | Utilizzato per fornire aggiornamenti ai prodotti Malwarebytes. |
| https://cloud.malwarebytes.com | Utilizzato per accedere alla console di amministrazione di Nebula. |
| https://data-cdn.mbamupdates.com | Utilizzato per fornire aggiornamenti ai prodotti Malwarebytes. |
| https://data-cdn-static.mbamupdates.com | Utilizzato per fornire aggiornamenti ai prodotti Malwarebytes. |
| https://detect-remediate.cloud.malwarebytes.com | Utilizzato per fornire funzionalità di rilevamento e risposta degli endpoint. |
| https://hubble.mb-cosmos.com | Utilizzato per convalidare le minacce contro i server Malwarebytes per una migliore protezione e ridurre i falsi positivi. |
| https://keystone-akamai.mwbsys.com | Utilizzato per convalidare le licenze dei prodotti Malwarebytes. |
| https://keystone.mwbsys.com | Utilizzato per convalidare le licenze dei prodotti Malwarebytes. |
| https://nebula-agent-installers-mb-prod.s3.amazonaws.com | Utilizzato per scaricare il programma di installazione dell’agente endpoint e gli aggiornamenti del pacchetto dei componenti. |
| https://nebula-diagnostics-mb-prod.s3.amazonaws.com | Utilizzato per fornire dati di diagnostica dall’agente endpoint a Nebula. |
| https://nebula-helix-syslog-mb-prod.s3.amazonaws.com | Utilizzato per fornire funzionalità syslog tra l’endpoint e Nebula. |
| https://sirius.mwbsys.com | Utilizzato per verificare la disponibilità di aggiornamenti sia per la versione del prodotto che per il database di protezione. |
| https://socket.cloud.malwarebytes.com | Utilizzato per fornire comunicazioni in tempo reale tra l’endpoint e Nebula. |
| https://storage.gra.cloud.ovh.net | Utilizzato per caricare file sospetti per l’analisi nella sandbox e per l’EDR. |
| https://telemetry.malwarebytes.com | Utilizzato per comunicare informazioni di telemetria e minacce ai server Malwarebytes. Ulteriori informazioni sui dati di telemetria sono disponibili nell’Informativa sulla privacy. |
| https://downloads.malwarebytes.com | Utilizzato per scaricare pacchetti Malwarebytes e utility di remediation. |
| https://links.malwarebytes.com | Utilizzato per accedere alla documentazione tramite Nebula. |
| https://meps.mwbsys.com | Utilizzato per convalidare il sistema Ransomware Extinction Prevention in Nebula. |
| https://ars.cloud.malwarebytes.com | Utilizzato per consentire l’accesso ad Active Response Shell. |
| https://arsws.cloud.malwarebytes.com | Utilizzato per consentire la connessione websocket per Active Response Shell. |
| https://api.malwarebytes.com | Utilizzato per comunicare con le API di Malwarebytes. |
| https://oneview.malwarebytes.com | Utilizzato per accedere alla Console di amministrazione di OneView. |
Note:
- ThreatDown supporta la configurazione proxy, utilizzando funzioni integrate.
- Si consiglia la configurazione del proxy pass-through.
- La configurazione proxy dinamica non è supportata.
- Per verificare che l’endpoint si connetta correttamente, si può usare un’utility a riga di comando inclusa nel pacchetto di Malwarebytes
C:Program FilesMalwarebytes Endpoint AgentUserAgentEACmd .exe — testconnections
Esclusioni per altri antivirus e per firewall
Se si utilizza un altro software di sicurezza sulla stessa macchina, sono necessarie altre esclusioni per evitare conflitti con ThreatDown.
Si consiglia di escludere le seguenti cartelle e file dall’antivirus, dal firewall o da altro software
Per endpoint Windows
- %ProgramData%Malwarebytes Endpoint Agent
- %ProgramData%MalwarebytesMBAMService
- %ProgramFiles%Malwarebytes Endpoint Agent
- %ProgramFiles%Malwarebytes Endpoint AgentPluginsEndpoint Protection
- %ProgramFiles%MalwarebytesAnti-malware
- %SystemRoot%system32driversESProtectionDriver.sys
- %SystemRoot%system32driversMBAMChameleon.sys
- %SystemRoot%system32driversMBAMSwissArmy.sys
- %SystemRoot%system32driversfarflt.sys
- %SystemRoot%system32driversflightrecorder.sys
- %SystemRoot%system32driversmbae.sys (mbae64.sys on an x64 system)
- %SystemRoot%system32driversmbam.sys
- %SystemRoot%system32driversmwac.sys
Per endpoint Mac
- /Library/Application Support/Malwarebytes/Malwarebytes Endpoint Agent
- /Library/Application Support/Malwarebytes/Malwarebytes Endpoint Agent/UserAgent.app
- /Library/LaunchDaemons/com.malwarebytes.EndpointAgent.plist