Seguridad : Cisco AMP for Endpoints

Configure y maneje las exclusiones en FireAMP

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (17 Noviembre 2015) | Comentarios

Introducción

Este documento describe cómo crear las exclusiones de modo que un conector de FireAMP no analice el directorio del programa. Esto se completa para prevenir los conflictos o los problemas de rendimiento entre un conector de FireAMP y un contra virus u otras aplicaciones. Esto es especialmente importante con las firmas del contra virus que contienen las cadenas que el conector de FireAMP detecta como malévolo o publica con los archivos quarantined.

Contribuido por Nazmul Rajib, Caly Knowles, y Gordon Strosnider, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento de la consola de la nube de FireAMP, FireAMP para los puntos finales, y los Productos del contra virus.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Tipos de la exclusión

Hay tres tipos de exclusiones usables en la consola de FireAMP. Si utilizan al tipo incorrecto de la exclusión, la exclusión no funcionará. Es importante observar el formato de cada tipo para verificar la exclusión fue agregado correctamente durante el proceso que ajusta.

Extensión

Este tipo de la exclusión es bastante obvio. Se utiliza para excluir los archivos de cierta extensión, no importa dónde en la máquina. Ejemplos:

  • .db
  • .db-journal
  • .db3
  • .db3-journal

Trayecto:

Esta exclusión se puede utilizar para excluir una trayectoria singular. Cualquier subfolders dentro de esa trayectoria también será excluido. Las exclusiones de la trayectoria son las únicas que pueden utilizar la lista especial constante de elemento ID (CSIDL) pues no coopera un comodín y un CSIDL. Los dos formatos de la trayectoria son:

  • CSIDL_WINDOWS\system32\
  • C:\Windows\system32\

Nota: “\” Del final es opcional y “*” será tomado como directorio literal, no un comodín.

Comodín

Esta exclusión es la más versátil, pero causa la mayoría de la confusión. La manera más fácil de identificar a un comodín es el uso del asterik. Si el asterik está presente en cualquier trayectoria, es un comodín. Esto es útil en los sistemas con los usuarios múltiples y las letras de la unidad múltiples. Según lo expuesto para el tipo de la exclusión de la trayectoria, esto no trabajará con CSIDL. Si hay letras de la unidad múltiples, es el mejor comenzar con el comodín. Los ejemplos del comodín son:

  • *\Windows\system32\
  • C:\Windows\system32\*\logs.log
  • * \ Windows \ * \ *.log
  • *.db*  

Nota: El formato del ejemplo más reciente *.db* del comodín es mucho más lento procesado. Cisco recomienda enumerar la extensión completa en lugar de otro bajo exclusiones. Vea los ejemplos bajo extensión.

Configurar

Para crear las exclusiones, complete estos pasos:

  1. Elija la Administración > las exclusiones en la consola de la nube de FireAMP.

  2. El tecleo crea la exclusión fijada para crear una nueva lista de exclusiones. Ingrese un nombre para la lista y el tecleo crea.

  3. El tecleo agrega la exclusión para agregar una exclusión a su lista. A le indicarán que ingrese una trayectoria para la exclusión.

  4. Ingrese el CSIDL de los productos de software que usted instaló en sus puntos finales y después que hace clic crea.

    Nota: Un valor CSIDL identifica las carpetas especiales usadas por una aplicación. Ésta es sistema-independiente y independiente de cualquier nombre de fichero o ubicación del sistema.

    Nota: En el tiro de pantalla anterior, Directory Name (Nombre de directorio) se excluye para Symantec. Una vez que el CSIDL se carga en el ordenador que funciona con el conector de FireAMP, el CSIDL resuelve a la ruta completa, C:\ProgramData\Symantec.

  5. Elija la Administración > las directivas. El tecleo edita al lado de la directiva apropiada. De la lista desplegable determinada de la exclusión de la aduana, elija la exclusión le fijan creado.

    Nota: Una vez que usted ha creado un conjunto de la exclusión, usted debe agregarlo a cualquier directiva que usted haya creado.

  6. Haga clic la directiva de la actualización y relance los pasos para cualquier otra directiva que usted quiera el aplicado determinado de la exclusión a.

    Nota: Hay un retardo entre una actualización de la directiva y el intervalo de latido siguiente, cuando un conector recibe un cambio de política actualizado.

    Consejo: Para determinar el CSIDLs para su producto de seguridad o aplicación actual, entre en contacto el fabricante. Para una lista completa de CSIDLs, refiera a Microsoft Dev Center - escritorio.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Apéndice A: Exclusiones recomendadas

De acuerdo con la lista de la exclusión del contra virus de Microsoft, Cisco recomienda que usted excluye:

Estaciones de trabajo con Windows (genéricas)

  • CSIDL_BASEDIR
  • * \ System Volume (Volumen del sistema) información \ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \ Prefetch
  • * \ Windows \ SoftwareDistribution \ Datastore \ registros \ *.log
  • * \ \ \ Datastore de WindowsSoftwareDistribution \ \ registros \ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ registros \ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ registros \ tmp.edb
  • * \ Windows \ Seguridad \ base de datos \ *.chk
  • * \ Windows \ Seguridad \ base de datos \ *.edb
  • * \ Windows \ Seguridad \ base de datos \ *.jrs
  • * \ Windows \ Seguridad \ base de datos \ *.log
  • * \ Windows \ Seguridad \ base de datos \ *.sdb
  • .db-journal
  • .db-wal
  • .db-shm
  • .pst

Servidores Windows (genéricos)

  • CSIDL_BASEDIR
  • * \ System Volume (Volumen del sistema) información \ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \ Prefetch
  • * \ Windows \ SoftwareDistribution \ Datastore \ registros \ *.log
  • * \ \ \ SoftwareDistribution \ Datastore \ registros \ edb*.log de Windows
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ registros \ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ registros \ tmp.edb
  • * \ Windows \ Seguridad \ base de datos \ *.chk
  • * \ Windows \ Seguridad \ base de datos \ *.edb
  • * \ \ \ base de datos \ *.log de Windows \ de la Seguridad
  • * \ Windows \ Seguridad \ base de datos \ *.sdb

Reguladores del Dominio de Windows

  • * \ Windows \ ntds \ EDB*.log
  • * \ Windows \ ntds \ Edbres*.jrs
  • * \ Windows \ ntds \ *.pat
  • *\Windows\System32\DNS\*.dns
  • *\Windows\System32\DNS\*.scc
  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ ntds \ ntds.dit
  • CSIDL_WINDOWS \ ntds \ EDB.chk
  • CSIDL_WINDOWS \ ntds \ TEMP.edb
  • CSIDL_WINDOWS \ SYSVOL \ dominio \ DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • CSIDL_WINDOWS \ SYSVOL \ estacionamiento
  • CSIDL_WINDOWS \ SYSVOL \ áreas de montaje
  • CSIDL_WINDOWS \ SYSVOL \ sysvol
  • CSIDL_WINDOWS\System32\ntfrs.exe
  • CSIDL_WINDOWS\System32\dfsr.exe
  • CSIDL_WINDOWS\System32\dfsrs.exe
  • CSIDL_WINDOWS\System32\dns.exe

Windows - IIS

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • Archivos comprimidos temporales de C:\inetpub\temp\IIS
  • Archivos comprimidos temporales CSIDL_WINDOWS \ IIS
  • CSIDL_WINDOWS\system32\inetsrv
  • CSIDL_WINDOWS\system32\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\SysWOW64\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles

Windows - SQL Server

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • Servicios \ ReportServer \ compartimiento \ ReportingServicesService.exe CSIDL_PROGRAM_FILES \ de Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSAS10.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • Servicios \ ReportServer \ compartimiento \ ReportingServicesService.exe CSIDL_PROGRAM_FILES \ de Microsoft SQL Server\MSSQL.3\Reporting
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • .bak
  • .ldf
  • .mdf
  • .trn
  • .abf
  • .ctl
  • .dbf
  • .rdo
  • .arc
  • .ndf

Windows - Protección del punto final de Symantec

  • CSIDL_COMMON_APPDATA \ Symantec
  • Protección CSIDL_PROGRAM_FILES \ de Symantec \ del punto extremo de Symantec
  • Protección del punto final CSIDL_PROGRAM_FILESX86\Symantec\Symantec
  • * \ Windows \ temporero \ musdmys_*
  • * \ Windows \ temporero \ content.zip.tmp \ *.diff
  • * \ Windows \ temporero \ content.zip.tmp \ SymDeltaDecompressOptions.xml
  • * \ Windows \ temporero \ content.zip.tmp \ cur.scr
  • * \ Windows \ temporero \ TMP*.tmp

Windows - Altiris por Symantec

  • * \ Windows \ temporero \ AltirisScript*.cmd
  • CSIDL_PROGRAM_FILES \ Altiris \ agente \ TaskManagement de Altiris
  • CSIDL_PROGRAM_FILES \ Altiris \ inventario \ bandeja de salida

Windows - Tendencia

  • CSIDL_PROGRAM_FILES \ Trend Micro
  • Micrófono CSIDL_PROGRAM_FILESX86\Trend

Windows - McAfee

  • CSIDL_PROGRAM_FILES \ McAfee
  • CSIDL_PROGRAM_FILESX86\McAfee
  • CSIDL_COMMON_APPDATA \ McAfee

Windows - Vanguardia de Microsoft

  • Vanguardia CSIDL_PROGRAM_FILES \ de Microsoft
  • Vanguardia CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Cliente de la Seguridad de Microsoft

  • Cliente de la Seguridad CSIDL_PROGRAM_FILES \ de Microsoft
  • Cliente de la Seguridad CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Sophos

  • CSIDL_PROGRAM_FILES \ Sophos
  • CSIDL_PROGRAM_FILESX86\Sophos

Mac - Puestos de trabajo (genéricos)

  • /Volumes/ */Backups.backupdb
  • /private/var/vm
  • ght-V100
  • /.MobileBackups
  • /Quarantine
  • /Volumes/*/.Spotlight-V100*

Mac - Parloteo

  • /bin/ps
  • /usr/bin/grep
  • /Users/ */Library/Logs/Jabber

Mac - JAMF Casper

  • /usr/bin/sw_vers
  • /Library/Application Support/JAMF/Usage/201*-*-*/.dat*

Mac - McAfee

  • /Library/McAfee/
  • Soporte/McAfee/de /Library/Application

Mac - Crashplan

  • /Library/Caches/CrashPlan/
  • *.log de /Library/Logs/CrashPlan/

Mac - Fusión

  • /Library/Logs/VMware/

Mac - Oficina

  • datos del usuario de /Users/ */Documents/Microsoft/oficina 2011 Identities/*
  • oficina/perspectiva/perspectiva 15 Profiles/* de /Users/ */Library/Group Containers/*
  • /Users/ */Library/Caches/Outlook/*
  • /Users/ */Library/Caches/TemporaryItems/Outlook Temp/*kcIB*

Windows - Software de la orilla del lago - Systrack

  • * \ archivos de programa (x86)\SysTrack\LsiAgent\Condense\*\*\*.tmp
  • * \ archivos de programa (x86)\SysTrack\LsiAgent\Condense\*\*.hld

Windows - Aplicaciones SAS

  • .lck
  • .sd2
  • .sc2
  • .SPDS
  • *.sas* (véase la nota bajo el comodín.)
  • .utl

También la ubicación del trabajo SAS necesita ser excluida, pero la carpeta puede ser diferente en diversas versiones SAS.

Windows - Splunk

  • \ Archivos de programa \ Splunk (el %SPLUNK_HOME%) y todos los sub-directórios
  • \ Archivos de programa \ Splunk \ var \ liberación \ splunk (el %SPLUNK_DB%) y todos los sub-directórios
  • \ Archivos de programa \ SplunkUniversalForwarder (el %SPLUNK_HOME%) y todos los sub-directórios

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118341