セキュリティ : Cisco AMP for Endpoints

Windows の除外への FireAMP ガイド

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 19 日) | フィードバック

概要

コンピュータのエンドポイント(別名 FireAMP)のための Cisco AMP を実行するとき、アプリケーションまたはコンピュータ自体のパフォーマンス上の問題に直面することができます。 これは余分な読み書きオペレーション、ページング、または日誌に記すことが原因で発生するかもしれません。 これは排他的なファイル ハンドルを必要とするデータベース アプリケーションまたはレポート ソフトウェアのようなアプリケーションにおいての問題を引き起こす場合があります。 この資料は方法でガイドラインを検出するファイルを見つける提供し、それらを除くためにプロセスを説明したものです。

注意: 除外はカバレッジ 領域を減らします。 フォルダかファイルを除くとき、FireAMP はそのフォルダの内でスキャンしません。 余分なファイルを除くことを避けるために可能な限り特定であるはずです。

著者:Cisco TAC エンジニア、Nazmul Rajib と Alex Dipasquale

検出するファイルを見つける方法

ファイルを除きたいと思うとき広いアプローチを行うことができますまたはちょうど影響を受けたファイルをカバーするためにワイルドカードとの極めて特殊な除外を書いて下さい。 最初に Windowsディレクトリの基本的な識別から開始します:

C:\Program ファイル

アプリケーションのほとんどはこのディレクトリでインストールされています。 このフォルダは頻繁にシステムのファイル アクティビティにおけるソースで、プライマリ フォーカスです。 データベース アプリケーションおよび他の抗ウイルスプログラム、また独自または社内ソフトウェアのための眺望にあります。

C:\Program データ

このディレクトリは時々テンポラリファイルをキャッシュするか、または保存するために使用されます。 このフォルダでは、アプリケーションに依存しているアクティビティのロットに注意することができます。

C:\Users

このディレクトリはデスクトップ、文書、ダウンロードおよび appdata のようなさまざまなユーザ の フォルダを、取り扱います。 appdata フォルダはファイルを、履歴参照する、テンポラリファイル、インターネット先祖などのためにユニバーサル使用されます

注意: このディレクトリでダウンロードされるデータおよびファイルの数が原因で、除外の「安全な」ファイルを一致するために規定で注意するはずでできるだけ特定であることを試みます。

C:\Windows

このディレクトリにシステム ファイルがあります。 デフォルト除外 セットによって処理されると同時に一般にこのディレクトリから多くを除く必要はありません。 、SCCM およびウィンドウ ログファイルのためのキャッシングのようなキャッシュのためのこのフォルダを除きたいと思う場合もあります。

サポートされた除外型

 

脅威: これは検疫されない脅威の名前です。 どのファイルでも特定の脅威名前を引き起こす検疫されません。 例は Win.Malware.PDF です

Path: これは単一 ファイル システムロケーションです。 ここでは C:\Program Files\Cisco のような特定のパスを使用できますまたは CSIDL を使用できます。

: CSIDL は Windows によって認識される、パスが異なるドライブレターに常駐する可能性があるシナリオで役立ちます変数で構築される。 例は CSIDL_PROGRAM_FILES \ Cisco です。 この例は C:\Program Files\Cisco および D:\Program Files\Cisco をカバーします。 CSIDLs パス 除外の作業だけ。 利用可能 な CSIDLs の詳細なリストのための Windows ドキュメントを参照して下さい。

ワイルドカード:  この型はワイルドカードが除外の内で(*)望まれる時はいつでも使用する必要があります。 次に、例を示します。 C:\Program Files\Cisco\ *.tmp

ファイル拡張子: これはファイルタイプのファイル拡張子のための簡単な除外です。 例は .txt です。

いつ除くか

症状

FireAMP を実行し、システムまたは特定のアプリケーションにおいてのパフォーマンス上の問題に直面する場合、これはユーザインプットへの応答の欠如、自動化 された プロセスの低いパフォーマンス、クラッシュ、またはエラーの示す値である可能性があります。 時々アプリケーションは特定のエラーを表示する。

確認

頻繁にかどのようにスキャンされる、そして判別するためにファイルをかディレクトリ、下記のようにステップに従って下さい:

ステップ 1 第一歩は診断パッケージを生成し、得ることです。 これは 7zip アーカイブで、アプリケーションをそれを得るように要求します。


ステップ 2 第2ステップは診断ファイルから history.db ファイルにアクセスすることです。

history.db ファイルは FireAMP によって検出するファイルすべてを把握する sqlite データベース ファイルです。 各行は開封、ファイル名、ファイル SHA、原始ファイルおよびソース SHA が含まれています。 ソースはファイル自体を作成したり/アクセスしたファイルです。 これは私達がアプリケーションがどのように作動し、ことをしたか見ることを可能にします。

この例では CSV (Comma Separated Value)ファイルに履歴データベースを変換するために、SQLite3 コマンドは使用されます。

  • オペレーティング システムのための precompiled SQLite3 バイナリをダウンロードして下さい。
  • 7zip のようなアプリケーションの FireAMP 診断パッケージを得て下さい。
  • 得られた診断フォルダにナビゲート し、C_ \プログラム ファイル\ Sourcefire \ fireAMP \ディレクトリ内の history.db ファイルを見つけて下さい。
  • ターミナルかコマンド プロンプトの中では、ダウンロードした呼出し、このコマンドを history.db ファイルに与えて下さい SQLite3 バイナリを。 (このコマンドは SQLite3 がオペレーティング システムのための環境変数で規定 される 位置にまたはあるかことそれを診断フォルダの内に置かれる必要があります仮定します。)
sqlite3 -csv -header history.db "select created_at,file,filename,source,sourcename
from history" > history.csv

コマンドが正常である場合確認を見ないか、または出力します。

コマンドが失敗した場合、SQLite3 バイナリの位置を規定 したことをことを確かめて下さい。 history.db ファイルに関する他のどのメッセージも表示される場合、それが次にサービスが開始する新しい一組のファイルを生成するようにするサービスが停止する間、影響を受けたホスト マシンからの 4 つの活動記録 ファイルをクリアする必要があるかもしれません。

手順 3: CSV ファイルが生成されたら優先 する スプレッドシート アプリケーションとそれを開くことができます。 Microsoft Excel のようなアプリケーションは/並べ替えフィルタリングするために与える表に CSV ファイルを変換することを可能にするかもしれません。 Excel を使用する方法に関するマイクロソフトのドキュメンテーションを参照して下さい。

使用するべきプライマリ カラムは次のとおりです:

  • ファイル名: このフィールドはファイルが FireAMP によってスキャンされることを示します。
  • sourcename: このフィールドはハンドル(読み書き等)をつかんだ実行可能モジュールかプロセスを示します。 このデータがファイルが信頼アプリケーションによってまたは他では処理されるかどうか判別するのに使用されています。
  • created_at: これはファイルの検出のためのイベントのタイムスタンプです。

トラブルシューティング

この時点で幾つかのオプションがあります:

  • ちょうどパフォーマンス上の問題に直面した場合、スキャンされたタイムスタンプ ソートしである、ほとんどの近況をできます created_at によって表を表示。 何が起こったか見るために検出および作業を逆方向に参照できます。
  • また FireAMP によって最近影響を与えられるかもしれないアプリケーションを捜すか、または参照できます。

探したいと思う何に繰り返しスキャンされる何かです同じファイルのよう異なる SHA 値があるかもしれない。 またこれが予期された動作であるかどうか見るためにファイルタイプを検知 したいと思います。

この例では、ファイルは「オフィス」を捜されました。 結果は FireAMP がことワード「オフィス」ファイル名かパスで持たれていてスキャンしたことをファイルに示します。 また対応した ファイルを処理したソース プロセスを表示できます。

この例では、FireAMP は Microsoft Office サービスに関するファイルをスキャンします。 これを除きたいと思う場合ここに示されているもののような簡単なパス 除外を作成する可能性があります:

C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask

時々、除外はあまり簡単ではないです。 時折他のエリアのこのようなアクティビティをのような見ます、

C:\Users\Username\Appdata\

たとえば、持っています特定のファイル名を用いる appdata ディレクトリにキャッシュその試験的応用を私達を言うために割り当てます。 所定の名前と何かを除くことができます。

C:\Users\Test\Appdata\Temp\cookies
C:\Users\Test\Appdata\Temp\cache
C:\Users\Test\Appdata\Temp\Test\testcachefile20150116.tmp

この例では、インターネット キャッシュファイルとして臨時雇用者フォルダを除きたいと思わないどんなにこのディレクトリにダウンロード/イメージ常駐する可能性があります臨時雇用者アプリケーションのためのキャッシュファイルを除きたいと思う場合もあります。 またテスト フォルダにアプリケーションがインターネットに同様に接続するかもしれないディレクトリを狭くすることができましたりまたは危険にさらすためにパフォーマンスを害を与えないし、可能性としては開くことができなかった他のキャッシュファイルがありますどんなに。 これを除くのにワイルドカードを使用します。

C:\Users\Test\Appdata\Temp\Test\testcachefile*.tmp

見るように、何でもを文字の間で説明し、ファイル名で点を打つのにワイルドカードを(*)単に使用しました。 この式と一致するこのワイルドカードはファイルを除きます。 これはたくさんのリスクを防ぐためにどのようにの除外を狭くすることができるか例です。 

またフルパス名のためにワイルドカードを使用できます。 同じような例の外観を許可します、

C:\Users\Test\Appdata\Temp\Test\20150116\cache\testfilecache083022.tmp
C:\Users\Test\Appdata\Temp\Test\20150117\cache\testfilecache092533.tmp
C:\Users\Test\Appdata\Temp\Test\20150118\cache\testfilecache104431.tmp

この試験的応用は毎日のための新しいキャッシュ フォルダを作成し、TEMPファイルにタイムスタンプを追加します。 簡単なワイルドカード 除外をこれらの TEMPファイルを一致するために作成しよう

C:\Users\Test\Appdata\Temp\Test\*\cache\testfilecache*.tmp

この場合ワイルドカードおよびファイル名のタイムスタンプをカバーするために日付によって押されるフォルダをカバーするのに別のワイルドカードを使用しました。 

望ましい FireAMP 除外を見つけた後、それらをダッシュボードで設定し、テストを行うためにこの技術情報にリストされているステップに従うことができます。

関連資料



Document ID: 118802