Безопасность : Cisco AMP for Endpoints

Настройте и управляйте исключениями в FireAMP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как создать исключения так, чтобы Разъём FireAMP не просматривал каталог программы. Это завершено для предотвращения конфликтов или проблем производительности между Разъёмом FireAMP и антивирусными или другими приложениями. Это особенно важно с антивирусными подписями, которые содержат строки, которые Разъём FireAMP обнаруживает как злонамеренный или выполняет с изолированными файлами.

Внесенный Nazmul Rajib, Кэли Ноулзом, и Гордоном Строснидером, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с Облачной Консолью FireAMP, FireAMP для Оконечных точек и антивирусными продуктами.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Типы исключения

Существует три типа применимых исключений в консоли FireAMP. Если неправильный тип исключения будет использоваться, то исключение не будет функционировать. Важно обратить внимание на формат каждого типа, чтобы проверить, что исключение было добавлено должным образом во время настраивающего процесса.

Расширение

Этот тип исключения довольно очевиден. Это используется для исключения файлов определенного, некоторый расширения, независимо от того где на машине. Примеры:

  • .db
  • .db-журнал
  • .db3
  • .db3-журнал

Path

Это исключение может использоваться для исключения исключительного пути. Любые подпапки в том пути будут также исключены. Исключения пути являются единственными, которые могут использовать Постоянный Специальный Список ID Элемента (CSIDL) в качестве подстановочного знака, и CSIDL не сотрудничает. Эти два формата пути:

  • CSIDL_WINDOWS\system32\
  • C : \Windows\system32\

Примечание: Конец '\' является дополнительным, и '*' будет взят в качестве литерального каталога, не подстановочного знака.

Wildcard

Это исключение является самым универсальным, но вызывает большую часть беспорядка. Самым простым способом определить подстановочный знак является использование asterik. Если asterik присутствует в каком-либо пути, это - подстановочный знак. Это полезно в системах с несколькими пользователей и множественными буквами диска. Как сообщили для типа исключения Пути, это не будет работать с CSIDL. Если существуют множественные буквы диска, лучше запускаться с подстановочного знака. Примеры подстановочного знака:

  • *\Windows\system32\
  • C : \Windows\system32\*\logs.log
  • *\Windows\*\*.log
  • *.db*  

Примечание: Формат последнего примера подстановочного знака *.db* обработан намного медленнее. Cisco рекомендует перечислить завершенное расширение вместо этого при Исключениях. Посмотрите примеры под Расширением.

Настройка

Для создания исключений выполните эти шаги:

  1. Выберите Management> Exclusions на Облачной Консоли FireAMP.

  2. Нажмите Create Exclusion Set для создания нового списка исключений. Введите имя для списка и нажмите Create.

  3. Нажмите Add Исключение для добавления исключения к списку. Вам предложат ввести путь для исключения.

  4. Введите CSIDL программных продуктов, которые вы установили на оконечных точках, и затем нажмите Create.

    Примечание: Значение CSIDL определяет специальные папки, используемые приложением. Это системно-независимо и независимо от любого имени файла или местоположения системы.

    Примечание: В предыдущем снимке экрана имя каталога исключено для Symantec. Как только CSIDL загружен на компьютере, который выполняет Разъём FireAMP, CSIDL решает к полному пути, C:\ProgramData\Symantec.

  5. Выберите Management> Policies. Нажмите Edit рядом с соответствующей политикой. От Пользовательского выпадающего списка Набора Исключения выберите, исключение установило вас созданный.

    Примечание: После создания Набор Исключения, необходимо добавить его к любой политике, которую вы создали.

  6. Нажмите Update Policy и повторите шаги для любой другой политики, вы хотите набор исключения, которому применяются к.

    Примечание: Когда разъём получает обновленное изменение политики, существует задержка между обновлением политики и следующим интервалом передачи контрольных сообщений.

    Совет: Для определения CSIDLs для текущего продукта безопасности или приложения, свяжитесь с изготовителем. Для полного списка CSIDLs обратитесь к Microsoft Dev Center - Рабочий стол.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Приложение А: Рекомендуемые исключения

На основе Microsoft Anti-virus Exclusion List Cisco рекомендует исключить:

Windows - рабочие станции (общего назначения)

  • CSIDL_BASEDIR
  • Information\tracking.log$ Громкости *\System
  • CSIDL_SYSTEM\emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS\Prefetch
  • *\Windows\SoftwareDistribution\Datastore\Logs\*.log
  • *\WindowsSoftwareDistribution \\хранилище данных \\Logs\edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Datastore.edb
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\tmp.edb
  • *\Windows\Security\database\*.chk
  • *\Windows\Security\database\*.edb
  • *\Windows\Security\database\*.jrs
  • *\Windows\Security\database\*.log
  • *\Windows\Security\database\*.sdb
  • .db-журнал
  • .db-wal
  • .db-отметка-курса-корабля
  • .pst

Windows - серверы (общего назначения)

  • CSIDL_BASEDIR
  • Information\tracking.log$ Громкости *\System
  • CSIDL_SYSTEM\emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS\Prefetch
  • *\Windows\SoftwareDistribution\Datastore\Logs\*.log
  • *\Windows \\SoftwareDistribution\Datastore\Logs\edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Datastore.edb
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\tmp.edb
  • *\Windows\Security\database\*.chk
  • *\Windows\Security\database\*.edb
  • *\Windows\Security \\database\*.log
  • *\Windows\Security\database\*.sdb

Windows - контроллеры домена

  • *\Windows\ntds\EDB*.log
  • *\Windows\ntds\Edbres*.jrs
  • *\Windows\ntds\*.pat
  • *\Windows\System32\DNS\*.dns
  • *\Windows\System32\DNS\*.scc
  • CSIDL_COMMON_APPDATA\ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\ntds\ntds.dit
  • CSIDL_WINDOWS\ntds\EDB.chk
  • CSIDL_WINDOWS\ntds\TEMP.edb
  • CSIDL_WINDOWS\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • CSIDL_WINDOWS\SYSVOL\staging
  • Области CSIDL_WINDOWS\SYSVOL\staging
  • CSIDL_WINDOWS\SYSVOL\sysvol
  • CSIDL_WINDOWS\System32\ntfrs.exe
  • CSIDL_WINDOWS\System32\dfsr.exe
  • CSIDL_WINDOWS\System32\dfsrs.exe
  • CSIDL_WINDOWS\System32\dns.exe

Windows - IIS

  • CSIDL_COMMON_APPDATA\ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • C : \inetpub\temp\IIS временные сжатые файлы
  • CSIDL_WINDOWS\IIS временные сжатые файлы
  • CSIDL_WINDOWS\system32\inetsrv
  • CSIDL_WINDOWS\system32\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\SysWOW64\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles

Windows - сервер SQL

  • CSIDL_COMMON_APPDATA\ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles
  • CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL10. MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSRS10. MSSQLSERVER\Reporting Services\ReportServer\Bin\ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSAS10. MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • SQL CSIDL_PROGRAM_FILES\Microsoft Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.3\Reporting Services\ReportServer\Bin\ReportingServicesService.exe
  • SQL CSIDL_PROGRAM_FILES\Microsoft Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • .bak
  • .ldf
  • .mdf
  • .trn
  • .abf
  • .ctl
  • .dbf
  • .rdo
  • .arc
  • .ndf

Windows - защита оконечной точки Symantec

  • CSIDL_COMMON_APPDATA\Symantec
  • Защита оконечная точки CSIDL_PROGRAM_FILES\Symantec\Symantec
  • Защита оконечной точки CSIDL_PROGRAM_FILESX86\Symantec\Symantec
  • *\Windows\Temp\musdmys_*
  • *\Windows\Temp\content.zip.tmp\*.diff
  • *\Windows\Temp\content.zip.tmp\SymDeltaDecompressOptions.xml
  • *\Windows\Temp\content.zip.tmp\cur.scr
  • *\Windows\Temp\TMP*.tmp

Windows - Altiris Symantec

  • *\Windows\Temp\AltirisScript*.cmd
  • CSIDL_PROGRAM_FILES\Altiris\Altiris Agent\TaskManagement
  • CSIDL_PROGRAM_FILES\Altiris\Inventory\Outbox

Windows - тенденция

  • Микро CSIDL_PROGRAM_FILES\Trend
  • Микро CSIDL_PROGRAM_FILESX86\Trend

Windows - McAfee

  • CSIDL_PROGRAM_FILES\McAfee
  • CSIDL_PROGRAM_FILESX86\McAfee
  • CSIDL_COMMON_APPDATA\McAfee

Windows - Microsoft Forefront

  • Центр деятельности CSIDL_PROGRAM_FILES\Microsoft
  • Центр деятельности CSIDL_PROGRAM_FILESX86\Microsoft

Windows - клиент защиты Microsoft

  • Клиент безопасности CSIDL_PROGRAM_FILES\Microsoft
  • Клиент безопасности CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Sophos

  • CSIDL_PROGRAM_FILES\Sophos
  • CSIDL_PROGRAM_FILESX86\Sophos

Mac - Рабочие станции (общего назначения)

  • / Громкости / */Backups.backupdb
  • /private/var/vm
  • /.Spotlight-V100
  • /.MobileBackups
  • / Карантин
  • / Громкости / */.Spotlight-V100*

Mac - Jabber

  • /bin/ps
  • /usr/bin/grep
  • / Пользователи / */Library/Logs/Jabber

Mac - JAMF Каспер

  • /usr/bin/sw_vers
  • /Library/Application Support/JAMF/Usage/201* -* - */.dat*

Mac - McAfee

  • /Library/McAfee/
  • /Library/Application Support/McAfee/

Mac - Crashplan

  • /Library/Caches/CrashPlan/
  • /Library/Logs/CrashPlan / *.log

Mac - Fusion

  • /Library/Logs/VMware/

Mac - Офис

  • / пользователи / */Documents/Microsoft пользовательские данные / личности офиса 2011 /*
  • / пользователи / */Library/Group контейнеры /* профили офиса/Outlook/Outlook 15 /*
  • / Пользователи / */Library/Caches/Outlook /*
  • / Пользователи / */Library/Caches/TemporaryItems/Outlook Температура / *kcIB*

Windows - программное обеспечение берега озера - Systrack

  • Файлы *\Program (x86) \SysTrack\LsiAgent\Condense\*\*\*.tmp
  • Файлы *\Program (x86) \SysTrack\LsiAgent\Condense\*\*.hld

Windows - приложения SAS

Также SAS работает потребности местоположения, которые будут исключены, но папка может быть другой в других версиях SAS.

Windows - Splunk

  • \Program Files\Splunk (%SPLUNK_HOME %) и все подкаталоги
  • \Program Files\Splunk\var\lib\splunk (%SPLUNK_DB %) и все подкаталоги
  • \Program Files\SplunkUniversalForwarder (%SPLUNK_HOME %) и все подкаталоги

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.