Seguridad : Cisco AMP for Endpoints

Guía de FireAMP a las exclusiones en Windows

20 Febrero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Comentarios

Introducción

Cuando usted ejecuta Cisco amperio para los puntos finales (también conocidos como FireAMP) en un ordenador, usted puede experimentar el problema de rendimiento en una aplicación o en el ordenador sí mismo. Esto puede ocurrir debido a las operaciones, a la paginación, o a meter en diario de lectura/grabación excesiva. Esto puede causar los problemas con las aplicaciones que requieren los asideros de archivo exclusivos, tales como programa para de aplicación de base de datos o de la información. Este documento proporciona una guía de consulta en cómo encontrar detectó los archivos y describe un proceso para excluirlos.

Precaución: La exclusión reduce su área de cobertura. Cuando usted excluye una carpeta o un archivo, FireAMP no analiza dentro de esa carpeta. Para evitar excluir los archivos excesivos, debemos ser específicos siempre que sea posible.

Contribuido por Nazmul Rajib y Alexander Dipasquale, ingenieros de Cisco TAC.

Cómo encontrar los archivos detectados

Cuando usted quiere excluir los archivos, usted puede tomar un acercamiento amplio, o escriba la exclusión muy específica con el comodín para cubrir apenas un archivo afectado. Primero comenzaremos con la identificación básica de los directorios de Windows:

Archivos de C:\Program

La mayor parte de las aplicaciones están instaladas en este directorio. Esta carpeta es a menudo la fuente para la actividad de archivo en el sistema y es nuestro foco primario. Estaremos en el puesto de observación para las aplicaciones de base de datos y el otro software del programa de antivirus así como propietario o interno.

Datos de C:\Program

Este directorio se utiliza a veces para ocultar o salvar los archivos temporales. En esta carpeta, usted puede notar la porción de actividades que sean dependientes en las aplicaciones.

C:\Users

Este directorio acomoda las diversas carpetas de usuario, tales como escritorio, documentos, descargas y appdata. La carpeta del appdata se utiliza universal para los archivos temporales, los archivos de la ojeada de Internet, el historial, el etc.

Precaución: Debido al número de archivos y de datos que se descarguen en este directorio, usted debe tener cuidado en especificar una exclusión, e intenta ser tan específico como sea posible hacer juego los archivos “seguros”.

C:\Windows

Este directorio tiene los archivos del sistema. No necesitamos generalmente excluir mucho de este directorio mientras que es manejado por el conjunto predeterminado de la exclusión. Podemos querer excluir esta carpeta para ocultar, tal como almacenamiento en memoria inmediata para SCCM y los archivos del registro de las ventanas.

Tipos soportados de la exclusión

 

Amenaza: Éste es el nombre de una amenaza que no quarantined. Ningún archivo que accione un nombre determinado de la amenaza no quarantined. Un ejemplo sería Win.Malware.PDF

Ruta: Esto es una ubicación del sistema del archivo único. Aquí podemos utilizar una trayectoria específica tal como C:\Program Files\Cisco, o podemos utilizar el CSIDL.

Nota: Un CSIDL es construido en la variable que es reconocida por el Windows, y puede ser útil en los escenarios donde una trayectoria podría residir en diversas letras de la unidad. Un ejemplo sería CSIDL_PROGRAM_FILES \ Cisco. Este ejemplo cubriría C:\Program Files\Cisco y D:\Program Files\Cisco. Trabajo de CSIDLs solamente en las exclusiones de la trayectoria. Refiera a la documentación de Windows para una lista completa de CSIDLs disponible.

Comodín:  Este tipo debe ser utilizado siempre que deseen a un comodín (*) dentro de la exclusión. Por ejemplo: C:\Program Files\Cisco\ *.tmp

Extensión de archivo: Esto es una exclusión simple para una extensión de archivo del tipo de archivo. Un ejemplo sería .txt.

Cuándo excluir

Síntoma

Si usted ejecuta FireAMP y experimenta los problemas de rendimiento con el sistema o con una aplicación específica, ésta podría ser una indicación de la falta de respuesta a la entrada de usuario, del rendimiento lento de un proceso automatizado, de las caídas, o de los errores. La aplicación visualiza a veces un error específico.

Verificación

Para determinar los archivos o los directorios se exploran que y cómo con frecuencia, siga los pasos abajo:

Paso 1: El primer paso es generar el paquete de diagnóstico y extraerlo. Esto es un archivo 7zip y requiere una aplicación extraerla.


Paso 2: El segundo paso es acceder el archivo history.db del archivo de diagnóstico.

El archivo history.db es un archivo de base de datos del sqlite que no pierde de vista todo el FireAMP detectó los archivos. Cada fila incluye la disposición, el nombre del archivo, el archivo SHA, el archivo de origen, y la fuente SHA. La fuente es el archivo que creó/accedió el archivo sí mismo. Esto nos deja ver cómo la aplicación se comportó y lo que lo hizo.

En este ejemplo, el comando SQLite3 se utiliza para convertir la base de datos del historial en un archivo CSV (Comma Separated Value).

  • Descargue el binario precompilado SQLite3 para su sistema operativo.
  • Extraiga el paquete de diagnóstico de FireAMP con una aplicación tal como 7zip.
  • Navegue a la carpeta de diagnóstico extraída y encuentre el archivo history.db dentro del C_ \ de los archivos de programa \ Sourcefire \ fireAMP \ directorio.
  • Dentro de una terminal o de un comando prompt, llame el binario SQLite3 que usted descargó y proporcione el archivo history.db con este comando. (Este comando lo asume que SQLite3 está en una ubicación especificada en sus variables de entorno para su sistema operativo, o necesita ser colocado dentro de la carpeta de diagnóstico.)
sqlite3 -csv -header history.db "select created_at,file,filename,source,sourcename
from history" > history.csv

Usted no verá la confirmación o la hará salir si el comando es acertado.

Si el comando falló, esté seguro que usted ha especificado la ubicación del binario SQLite3. Si usted ve cualesquiera otros mensajes con respecto al history.db clasifiar, usted puede ser que necesite borrar los cuatro archivos del historial del equipo del host afectado mientras que se para el servicio, que permite que genere un conjunto fresco de los archivos la próxima vez que el servicio se comienza.

Paso 3: Una vez archivo CSV se ha generado le puede abrirlo con su aplicación de hoja de cálculo preferida. Las aplicaciones tales como Microsoft Excel pudieron permitir que usted convierta archivo CSV a una tabla, que no le prohibe filtrar/clase. Revise por favor la documentación de Microsoft para que cómo utilice Excel.

Las columnas primarias a utilizar son:

  • nombre de fichero: Este campo muestra que el archivo es analizado por FireAMP.
  • sourcename: Este campo muestra el proceso o ejecutable que asido la manija (read/write y así sucesivamente). Estos datos se utilizan para determinar si los archivos son manejados por una aplicación confiada en o de otra manera.
  • created_at: Éste es el grupo fecha/hora en el evento para la detección del archivo.

Troubleshooting

En este momento hay un par de opciones:

  • Si usted acaba de experimentar el problema de rendimiento, usted puede clasificar la tabla por el created_at que es el grupo fecha/hora analizado y ver los eventos más recientes. Usted puede hojear las detecciones y el trabajo al revés para ver qué sucedió.
  • Usted puede también buscar u hojear para las aplicaciones que se pudieron haber afectado recientemente por FireAMP.

Qué usted quiere buscar es algo como el mismo archivo que se analiza en varias ocasiones que pudo tener diversos valores SHA. Usted también quiere mirar el tipo de archivo para ver si ésta es conducta esperada.

En este ejemplo, el archivo se ha buscado para la “oficina”. Los resultados muestran a archivos que FireAMP analizó que tenido la palabra “oficina” en el nombre del archivo o la trayectoria. Usted puede también ver el proceso de la fuente que manejó el archivo correspondiente.

En este ejemplo, FireAMP analiza un archivo relacionado con Microsoft Office un servicio. Si usted quiere excluir esto, usted podría crear una exclusión simple de la trayectoria tal como la que está mostrada aquí:

C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask

A veces, las exclusiones no son tan directas. Usted ve de vez en cuando la actividad como esto en otras áreas por ejemplo,

C:\Users\Username\Appdata\

Por ejemplo, deja para decirnos tienen una aplicación de prueba esa los cachés al directorio del appdata con un nombre del archivo específico. Podemos excluir algo con el nombre determinado.

C:\Users\Test\Appdata\Temp\cookies
C:\Users\Test\Appdata\Temp\cache
C:\Users\Test\Appdata\Temp\Test\testcachefile20150116.tmp

En este ejemplo, podemos querer excluir nuestros archivos del caché para nuestra aplicación de los temporeros, no obstante no queremos excluir la carpeta temporal como caché de Internet clasifiamos, las descargas/las imágenes podríamos residir en este directorio. Podemos también estrechar abajo nuestro directorio a la carpeta de la prueba, no obstante nuestra aplicación puede conectar con Internet también, o tenemos otros archivos del caché que no estén dañando el funcionamiento ni podrían potencialmente estar abiertos arriesgar. Utilizaremos una placa comodín para excluir esto.

C:\Users\Test\Appdata\Temp\Test\testcachefile*.tmp

Como usted ve, hemos utilizado simplemente a un comodín (*) para explicar cualquier cosa entre las cartas y el punto en el nombre del archivo. Este comodín excluiría cualquier archivo que haga juego esta expresión. Éste es un ejemplo de cómo podemos estrechar abajo nuestras exclusiones para prevenir demasiado riesgo. 

Podemos también utilizar las placas comodín para los nombres de ruta completa. deja la mirada en un ejemplo similar,

C:\Users\Test\Appdata\Temp\Test\20150116\cache\testfilecache083022.tmp
C:\Users\Test\Appdata\Temp\Test\20150117\cache\testfilecache092533.tmp
C:\Users\Test\Appdata\Temp\Test\20150118\cache\testfilecache104431.tmp

Esta aplicación de prueba crea una nueva carpeta del caché para cada día, y agrega un sello de fecha/hora al archivo temporal. Creemos una exclusión simple de la placa comodín para hacer juego estos archivos temporales,

C:\Users\Test\Appdata\Temp\Test\*\cache\testfilecache*.tmp

En este caso hemos utilizado un comodín para cubrir la carpeta sellada fecha, y a otro comodín para cubrir el grupo fecha/hora en el nombre del archivo. 

Después de que usted encuentre sus exclusiones deseadas de FireAMP, usted puede seguir los pasos enumerados en este artículo para implementarlos en su panel y para realizar la prueba.

Documento relacionado


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.