Sécurité : Cisco AMP for Endpoints

Configurez et gérez les exclusions dans FireAMP

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment créer des exclusions de sorte qu'un connecteur de FireAMP n'analyse pas le répertoire du programme. Ceci est terminé afin d'empêcher des conflits ou des problèmes de performances entre un connecteur de FireAMP et un antivirus ou d'autres applications. C'est particulièrement important avec les signatures d'antivirus qui contiennent les chaînes que le connecteur de FireAMP détecte en tant que malveillant ou émet avec les fichiers mis en quarantaine.

Contribué par Nazmul Rajib, Caly Knowles, et Gordon Strosnider, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance de la console de nuage de FireAMP, FireAMP pour des points finaux, et des Produits d'antivirus.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Types d'exclusion

Il y a trois types d'exclusions utilisables dans la console de FireAMP. Si le type inapproprié d'exclusion est utilisé, l'exclusion ne fonctionnera pas. Il est important de noter le format de chaque type afin de vérifier l'exclusion a été ajouté correctement pendant le processus de accord.

Extension

Ce type d'exclusion est assez évident. Il est utilisé afin d'exclure des fichiers d'une certaine extension, n'importe où sur l'ordinateur. Exemples :

  • .db
  • .db-journal
  • .db3
  • .db3-journal

Chemin

Cette exclusion peut être utilisée afin d'exclure un chemin singulier. Tous les sous-dossiers dans ce chemin seront également exclus. Les exclusions de chemin sont les seules qui peuvent utiliser la liste spéciale constante d'ID d'élément (CSIDL) car un masque et un CSIDL ne coopère pas. Les deux formats de chemin sont :

  • CSIDL_WINDOWS\system32\
  • C:\Windows\system32\

Remarque: « De fin \ » est facultatif et « * » ne sera pris comme répertoire littéral, pas un masque.

Masque

Cette exclusion est la plus souple, mais entraîne la plupart de confusion. Le moyen le plus simple d'identifier un masque est l'utilisation de l'asterik. Si l'asterik est présent dans n'importe quel chemin, c'est un masque. C'est utile sur des systèmes avec des plusieurs utilisateurs et des identificateurs de lecteur de multiple. Comme indiqué pour le type d'exclusion de chemin, ceci ne fonctionnera pas avec CSIDL. S'il y a de plusieurs identificateurs de lecteur, il est le meilleur de commencer par le masque. Les exemples de masque sont :

  • *\Windows\system32\
  • C:\Windows\system32\*\logs.log
  • * \ Windows \ * \ *.log
  • *.db*  

Remarque: Le format du dernier exemple *.db* de masque est beaucoup plus lent traité. Cisco recommande de répertorier l'extension complète à la place sous des exclusions. Voyez les exemples sous l'extension.

Configurez

Afin de créer des exclusions, terminez-vous ces étapes :

  1. Choisissez la Gestion > les exclusions sur la console de nuage de FireAMP.

  2. Le clic créent l'exclusion réglée afin de créer une nouvelle liste d'exclusions. Écrivez un nom pour la liste et le clic créent.

  3. Cliquez sur Add l'exclusion afin d'ajouter une exclusion à votre liste. Vous serez incité à entrer dans un chemin pour l'exclusion.

  4. Écrivez le CSIDL des logiciels que vous avez installés sur vos points finaux et puis cliquez sur créez.

    Remarque: Une valeur CSIDL identifie des dossiers spéciaux utilisés par une application. C'est système-indépendant et indépendant de n'importe quel nom du fichier ou emplacement du système.

    Remarque: Dans le tir d'écran précédent, le nom du répertoire est exclu pour Symantec. Une fois que le CSIDL est chargé sur l'ordinateur qui exécute le connecteur de FireAMP, le CSIDL le résout au chemin d'accès complet, C:\ProgramData\Symantec.

  5. Choisissez la Gestion > les stratégies. Cliquez sur Edit à côté de la stratégie appropriée. De la liste déroulante réglée d'exclusion de coutume, choisissez l'exclusion vous placent créé.

    Remarque: Une fois que vous avez créé un positionnement d'exclusion, vous devez l'ajouter à toutes les stratégies que vous avez créées.

  6. Cliquez sur la stratégie de mise à jour et répétez les étapes pour toutes les autres stratégies que vous voulez l'appliqué réglé d'exclusion à.

    Remarque: Il y a un retard entre une mise à jour de stratégie et le prochain intervalle de pulsation, quand un connecteur reçoit un changement de politique mis à jour.

    Conseil : Afin de déterminer le CSIDLs pour votre produit ou application en cours de Sécurité, entrez en contact avec le fabricant. Pour une liste complète de CSIDLs, référez-vous à Microsoft Dev Center - appareil de bureau.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Annexe A : Exclusions recommandées

Basé sur la liste d'exclusion d'antivirus de Microsoft, Cisco recommande que vous excluiez :

Postes Windows (génériques)

  • CSIDL_BASEDIR
  • * \ les informations volume de système \ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \ Prefetch
  • * \ Windows \ SoftwareDistribution \ Datastore \ logs \ *.log
  • * \ \ de WindowsSoftwareDistribution \ Datastore \ \ logs \ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ tmp.edb
  • * \ Windows \ Sécurité \ base de données \ *.chk
  • * \ Windows \ Sécurité \ base de données \ *.edb
  • * \ Windows \ Sécurité \ base de données \ *.jrs
  • * \ Windows \ Sécurité \ base de données \ *.log
  • * \ Windows \ Sécurité \ base de données \ *.sdb
  • .db-journal
  • .db-wal
  • .db-shm
  • .pst

Windows Server (génériques)

  • CSIDL_BASEDIR
  • * \ les informations volume de système \ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \ Prefetch
  • * \ Windows \ SoftwareDistribution \ Datastore \ logs \ *.log
  • * \ \ de Windows \ SoftwareDistribution \ Datastore \ logs \ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ tmp.edb
  • * \ Windows \ Sécurité \ base de données \ *.chk
  • * \ Windows \ Sécurité \ base de données \ *.edb
  • * \ \ de Windows \ Sécurité \ base de données \ *.log
  • * \ Windows \ Sécurité \ base de données \ *.sdb

Contrôleurs de domaine windows

  • * \ Windows \ ntds \ EDB*.log
  • * \ Windows \ ntds \ Edbres*.jrs
  • * \ Windows \ ntds \ *.pat
  • *\Windows\System32\DNS\*.dns
  • *\Windows\System32\DNS\*.scc
  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ ntds \ ntds.dit
  • CSIDL_WINDOWS \ ntds \ EDB.chk
  • CSIDL_WINDOWS \ ntds \ TEMP.edb
  • CSIDL_WINDOWS \ SYSVOL \ domaine \ DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • CSIDL_WINDOWS \ SYSVOL \ mise en place
  • CSIDL_WINDOWS \ SYSVOL \ zones de transit
  • CSIDL_WINDOWS \ SYSVOL \ sysvol
  • CSIDL_WINDOWS\System32\ntfrs.exe
  • CSIDL_WINDOWS\System32\dfsr.exe
  • CSIDL_WINDOWS\System32\dfsrs.exe
  • CSIDL_WINDOWS\System32\dns.exe

Windows - IIS

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • Fichiers compressés provisoires de C:\inetpub\temp\IIS
  • Fichiers compressés provisoires CSIDL_WINDOWS \ IIS
  • CSIDL_WINDOWS\system32\inetsrv
  • CSIDL_WINDOWS\system32\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\SysWOW64\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles

Windows - Serveur SQL

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ services de Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting \ ReportServer \ coffre \ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSAS10.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ services de Microsoft SQL Server\MSSQL.3\Reporting \ ReportServer \ coffre \ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • .bak
  • .ldf
  • .mdf
  • .trn
  • .abf
  • .ctl
  • .dbf
  • .rdo
  • .arc
  • .ndf

Windows - Protection de point final de Symantec

  • CSIDL_COMMON_APPDATA \ Symantec
  • Protection CSIDL_PROGRAM_FILES \ Symantec \ point final de Symantec
  • Protection de point final CSIDL_PROGRAM_FILESX86\Symantec\Symantec
  • * \ Windows \ Temp \ musdmys_*
  • * \ Windows \ Temp \ content.zip.tmp \ *.diff
  • * \ Windows \ Temp \ content.zip.tmp \ SymDeltaDecompressOptions.xml
  • * \ Windows \ Temp \ content.zip.tmp \ cur.scr
  • * \ Windows \ Temp \ TMP*.tmp

Windows - Altiris par Symantec

  • * \ Windows \ Temp \ AltirisScript*.cmd
  • CSIDL_PROGRAM_FILES \ Altiris \ agent \ TaskManagement d'Altiris
  • CSIDL_PROGRAM_FILES \ Altiris \ inventaire \ Outbox

Windows - Tendance

  • CSIDL_PROGRAM_FILES \ Trend Micro
  • Micro CSIDL_PROGRAM_FILESX86\Trend

Windows - McAfee

  • CSIDL_PROGRAM_FILES \ McAfee
  • CSIDL_PROGRAM_FILESX86\McAfee
  • CSIDL_COMMON_APPDATA \ McAfee

Windows - Premier rang de Microsoft

  • CSIDL_PROGRAM_FILES \ premier rang de Microsoft
  • Premier rang CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Client de Sécurité de Microsoft

  • CSIDL_PROGRAM_FILES \ client Sécurité de Microsoft
  • Client de Sécurité CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Sophos

  • CSIDL_PROGRAM_FILES \ Sophos
  • CSIDL_PROGRAM_FILESX86\Sophos

MAC - Postes de travail (génériques)

  • /Volumes/ */Backups.backupdb
  • /private/var/vm
  • /.Spotlight-V100
  • /.MobileBackups
  • /Quarantine
  • /Volumes/*/.Spotlight-V100*

MAC - Jabber

  • /bin/ps
  • /usr/bin/grep
  • /Users/ */Library/Logs/Jabber

MAC - JAMF Casper

  • /usr/bin/sw_vers
  • /Library/Application Support/JAMF/Usage/201*-*-*/.dat*

MAC - McAfee

  • /Library/McAfee/
  • Support de /Library/Application/McAfee/

MAC - Crashplan

  • /Library/Caches/CrashPlan/
  • /Library/Logs/CrashPlan/ *.log

MAC - Fusion

  • /Library/Logs/VMware/

MAC - Bureau

  • données d'utilisateur de /Users/ */Documents/Microsoft/bureau 2011 Identities/*
  • bureau de /Users/ */Library/Group Containers/*/Outlook/Outlook 15 Profiles/*
  • /Users/ */Library/Caches/Outlook/*
  • /Users/ */Library/Caches/TemporaryItems/Outlook Temp/*kcIB*

Windows - Logiciel de Lakeside - Systrack

  • * \ fichiers de programme (x86)\SysTrack\LsiAgent\Condense\*\*\*.tmp
  • * \ fichiers de programme (x86)\SysTrack\LsiAgent\Condense\*\*.hld

Windows - Applications SAS

  • .lck
  • .sd2
  • .sc2
  • .SPDS
  • *.sas* (voir la note sous le masque.)
  • .utl

Également l'emplacement de travail SAS doit être exclu, mais le répertoire peut être différent dans différentes versions SAS.

Windows - Splunk

  • \ Fichiers de programme \ Splunk (%SPLUNK_HOME%) et tous les sous-répertoires
  • \ Fichiers de programme \ Splunk \ distributeur intégrant son logiciel au matériel \ bibliothèque \ splunk (%SPLUNK_DB%) et tous les sous-répertoires
  • \ Fichiers de programme \ SplunkUniversalForwarder (%SPLUNK_HOME%) et tous les sous-répertoires

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118341