セキュリティ : Cisco AMP for Endpoints

FireAMP の除外を設定・管理して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

FireAMP コネクタがプログラムのディレクトリをスキャンしないようにこの資料に除外を作成する方法を記述されています。 これは FireAMP コネクタおよびアンチウィルスか他のアプリケーション間の競合かパフォーマンス問題を防ぐために完了します。 これは FireAMP コネクタが悪意のあるとして検出するか、または検疫されたファイルにおいての発行するストリングを示すアンチウィルス シグニチャと特に重要です。

Nazmul Rajib、Caly Knowles、およびゴードン Strosnider によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はエンドポイントのための FireAMP Cloud コンソール、FireAMP、およびアンチウィルス 製品のナレッジがあることを推奨します。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

除外型

FireAMP コンソールの使用可能な除外には 3 つの型があります。 間違った除外型が使用される場合、除外は機能しません。 除外が調整プロセスの間にきちんと追加されたことを確認するために各型の形式に注意することは重要です。

拡張子

この除外型はかなり明らかです。 ある特定の拡張のファイルを除くことをどこでマシンで使用しても。 例:

  • .db
  • .db ジャーナル
  • .db3
  • .db3-journal

Path

この除外は単一パスを除くために使用することができます。 そのパス内のどのサブ フォルダでもまた除かれます。 パス 除外はワイルドカードおよび CSIDL が協力しないので一定した特別な項目 ID リスト(CSIDL)を使用できる唯一の物です。 2 つのパス 形式は次のとおりです:

  • CSIDL_WINDOWS\system32\
  • C:\Windows\system32\

: 終わり「\」オプション「であり、*」リテラル ディレクトリとして、ないワイルドカード 奪取 されます。

ワイルドカード

この除外は多用途でが、ほとんどの混合を引き起こします。 ワイルドカードを識別する最も簡単な方法は asterik の使用です。 asterik があらゆるパスにある場合、ワイルドカードです。 これは複数のユーザおよび複数のドライブレターが付いているシステムで有用です。 パス 除外型のために示されるように、これは CSIDL を使用しません。 複数のドライブレターがある場合、ワイルドカードから開始することが最善です。 ワイルドカード例は次のとおりです:

  • *\Windows\system32\
  • C:\Windows\system32\*\logs.log
  • * \ Windows \ * \ *.log
  • *.db*  

最後のワイルドカード例 *.db* の形式は処理されたもっと遅いです。 Cisco は除外の下に完全な拡張を代りにリストすることを推奨します。 拡張の下で例を参照して下さい。

設定

除外を作成するために、これらのステップを完了して下さい:

  1. 管理 > FireAMP Cloud コンソールの除外を選択して下さい。

  2. 除外の新しいリストを作成するために設定 される 除外を『Create』 をクリック して下さい。 リストの名前を入力し、『Create』 をクリック して下さい。

  3. リストに除外を追加するために除外を『Add』 をクリック して下さい。 除外のためのパスを入力するためにプロンプト表示されます。

  4. エンドポイントでインストールし、『Create』 をクリック する ソフトウェア製品の CSIDL を入力して下さい。

    : CSIDL 値はアプリケーションによって使用される特別なフォルダーを識別します。 これはあらゆるファイル名のシステム独立および依存しないまたはシステムの位置です。

    : 前のスクリーン ショットでは、ディレクトリ 名は Symantec のために除かれます。 CSIDL が FireAMP コネクタを実行するコンピュータでロードされれば、CSIDL はフル パスに、C:\ProgramData\Symantec 解決します。

  5. 管理 > ポリシーを選択して下さい。 適切なポリシーの隣で『Edit』 をクリック して下さい。 カスタム除外一定ドロップダウン リストから、除外を設定 しました作成しました選択して下さい。

    : 除外 セットを作成したら、作成したあらゆるポリシーにそれを追加して下さい。

  6. ポリシーを『Update』 をクリック し、除外一定応用がにほしいと思う他のどのポリシーのためのステップも繰り返して下さい。

    : コネクタが更新済ポリシーの変更を受け取るとき、ポリシー アップデートと次のハートビート間隔間に遅延があります。

    ヒント: 現在のセキュリティ製品またはアプリケーションのための CSIDLs を判別するために、製造業者に連絡して下さい。 CSIDLs の完全なリストに関しては、Microsoft 開発センターを-デスクトップ参照して下さい。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

付録 A: 推奨される除外

Microsoft アンチウィルス 除外 リストに基づいて、Cisco は除くことを推奨します:

Windows ワークステーション(ジェネリック)

  • CSIDL_BASEDIR
  • * \システム の 音量 情報\ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \先取り
  • * \ Windows \ SoftwareDistribution \データストア\ログ\ *.log
  • * \ WindowsSoftwareDistribution \ \データストア\ \ログ\ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \データストア\ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \データストア\ログ\ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \データストア\ログ\ tmp.edb
  • * \ Windows \セキュリティ\データベース\ *.chk
  • * \ Windows \セキュリティ\データベース\ *.edb
  • * \ Windows \セキュリティ\データベース\ *.jrs
  • * \ Windows \セキュリティ\データベース\ *.log
  • * \ Windows \セキュリティ\データベース\ *.sdb
  • .db ジャーナル
  • .db-wal
  • .db-shm
  • .pst

Windows サーバ(ジェネリック)

  • CSIDL_BASEDIR
  • * \システム の 音量 情報\ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \先取り
  • * \ Windows \ SoftwareDistribution \データストア\ログ\ *.log
  • * \ Windows \ \ SoftwareDistribution \データストア\ログ\ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \データストア\ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \データストア\ログ\ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \データストア\ログ\ tmp.edb
  • * \ Windows \セキュリティ\データベース\ *.chk
  • * \ Windows \セキュリティ\データベース\ *.edb
  • * \ Windows \セキュリティ\ \データベース\ *.log
  • * \ Windows \セキュリティ\データベース\ *.sdb

Windows -ドメインコントローラ

  • * \ Windows \ ntds \ EDB*.log
  • * \ Windows \ ntds \ Edbres*.jrs
  • * \ Windows \ ntds \ *.pat
  • *\Windows\System32\DNS\*.dns
  • *\Windows\System32\DNS\*.scc
  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ ntds \ ntds.dit
  • CSIDL_WINDOWS \ ntds \ EDB.chk
  • CSIDL_WINDOWS \ ntds \ TEMP.edb
  • CSIDL_WINDOWS \ SYSVOL \ドメイン\ DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • CSIDL_WINDOWS \ SYSVOL \ステージング
  • CSIDL_WINDOWS \ SYSVOL \中間 準備 地域
  • CSIDL_WINDOWS \ SYSVOL \ sysvol
  • CSIDL_WINDOWS\System32\ntfrs.exe
  • CSIDL_WINDOWS\System32\dfsr.exe
  • CSIDL_WINDOWS\System32\dfsrs.exe
  • CSIDL_WINDOWS\System32\dns.exe

Windows - IIS

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • C:\inetpub\temp\IIS 一時圧縮 ファイル
  • CSIDL_WINDOWS \ IIS 一時圧縮 ファイル
  • CSIDL_WINDOWS\system32\inetsrv
  • CSIDL_WINDOWS\system32\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\SysWOW64\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles

Windows - SQL サーバ

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting サービス\レポートサーバー\ビン\ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSAS10.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.3\Reporting サービス\レポートサーバー\ビン\ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • .bak
  • .ldf
  • .mdf
  • .trn
  • .abf
  • .ctl
  • .dbf
  • .rdo
  • .arc
  • .ndf

Windows - Symantec エンドポイント 保護

  • CSIDL_COMMON_APPDATA \ Symantec
  • CSIDL_PROGRAM_FILES \ Symantec \ Symantec エンドポイント 保護
  • CSIDL_PROGRAM_FILESX86\Symantec\Symantec エンドポイント 保護
  • * \ Windows \臨時雇用者\ musdmys_*
  • * \ Windows \臨時雇用者\ content.zip.tmp \ *.diff
  • * \ Windows \臨時雇用者\ content.zip.tmp \ SymDeltaDecompressOptions.xml
  • * \ Windows \臨時雇用者\ content.zip.tmp \ cur.scr
  • * \ Windows \臨時雇用者\ TMP*.tmp

Windows - Symantec による Altiris

  • * \ Windows \臨時雇用者\ AltirisScript*.cmd
  • CSIDL_PROGRAM_FILES \ Altiris \ Altiris エージェント\ TaskManagement
  • CSIDL_PROGRAM_FILES \ Altiris \コンポーネント\アウトボックス

Windows -傾向

  • CSIDL_PROGRAM_FILES \ Trend Micro
  • CSIDL_PROGRAM_FILESX86\Trend マイクロ

Windows - McAfee

  • CSIDL_PROGRAM_FILES \ McAfee
  • CSIDL_PROGRAM_FILESX86\McAfee
  • CSIDL_COMMON_APPDATA \ McAfee

Windows - Microsoft 最前線

  • CSIDL_PROGRAM_FILES \ Microsoft 最前線
  • CSIDL_PROGRAM_FILESX86\Microsoft 最前線

Windows - Microsoft セキュリティ クライアント

  • CSIDL_PROGRAM_FILES \ Microsoft セキュリティ クライアント
  • CSIDL_PROGRAM_FILESX86\Microsoft セキュリティ クライアント

Windows - Sophos

  • CSIDL_PROGRAM_FILES \ Sophos
  • CSIDL_PROGRAM_FILESX86\Sophos

Mac -ワークステーション(ジェネリック)

  • /Volumes/ */Backups.backupdb
  • /private/var/vm
  • ght-V100
  • /.MobileBackups
  • /Quarantine
  • /Volumes/*/.Spotlight-V100*

Mac - Jabber

  • /bin/ps
  • /usr/bin/grep
  • /Users/ */Library/Logs/Jabber

Mac - JAMF キャスパー

  • /usr/bin/sw_vers
  • /Library/Application Support/JAMF/Usage/201*-*-*/.dat*

Mac - McAfee

  • /Library/McAfee/
  • /Library/Application サポート/McAfee/

Mac - Crashplan

  • /Library/Caches/CrashPlan/
  • /Library/Logs/CrashPlan/ *.log

Mac -フュージョン

  • /Library/Logs/VMware/

Mac -オフィス

  • /Users/ */Documents/Microsoft ユーザのデータ/オフィス 2011 Identities/*
  • /Users/ */Library/Group Containers/* オフィス/Outlook/Outlook 15 Profiles/*
  • /Users/ */Library/Caches/Outlook/*
  • /Users/ */Library/Caches/TemporaryItems/Outlook Temp/*kcIB*

Windows -湖畔ソフトウェア- Systrack

  • * \プログラム ファイル(x86)\SysTrack\LsiAgent\Condense\*\*\*.tmp
  • * \プログラム ファイル(x86)\SysTrack\LsiAgent\Condense\*\*.hld

Windows - SAS アプリケーション

また除かれる SAS 作業位置必要しかしフォルダは別の SAS バージョンで異なるかもしれません。

Windows - Splunk

  • \プログラム ファイル\ Splunk (%SPLUNK_HOME%)およびすべてのサブディレクトリー
  • \プログラム ファイル\ Splunk \ var \ライブラリ\ splunk (%SPLUNK_DB%)およびすべてのサブディレクトリー
  • \プログラム ファイル\ SplunkUniversalForwarder (%SPLUNK_HOME%)およびすべてのサブディレクトリ

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118341