Безопасность : Cisco AMP for Endpoints

Руководство FireAMP к исключениям на Windows

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (19 декабря 2015) | Отзыв

Введение

При выполнении AMP Cisco для Оконечных точек (Также известный как FireAMP) на компьютере можно испытать проблему производительности на приложении или на самом компьютере. Это может произойти из-за чрезмерных операций чтения-записи, разбивки на страницы или журналирования. Это может вызвать проблемы с приложениями, которые требуют исключительных индексов файла, таких как приложение базы данных или создание отчетов о программном обеспечении. Этот документ предоставляет рекомендацию по тому, как найти обнаруженные файлы и описывает процесс для исключения их.

Внимание: Исключение уменьшает вашу зону уверенного приема. При исключении папки или файла FireAMP не просматривает в той папке. Во избежание исключения чрезмерных файлов мы должны быть определенными, когда это возможно.

Внесенный Нэзмулом Рэджибом и Александром Дипэскуэлом, специалистами службы технической поддержки Cisco.

Как найти обнаруженные файлы

Когда вы хотите исключить файлы, можно проявить широкий подход или записать очень определенное исключение с подстановочным знаком для покрытия просто файла, на который влияют. Сначала мы запустим с основной идентификации каталогов Windows:

C : файлы \Program

Большинство приложений установлено на этом каталоге. Эта папка часто является источником для действия файла в системе и является нашим основным вниманием. Мы будем в поисках приложений базы данных и других антивирусных программ, а также собственного программного обеспечения или программного обеспечения для внутреннего пользования.

C : данные \Program

Этот каталог иногда используется для того, чтобы кэшировать или хранить временные файлы. В этой папке можно заметить партию действий, которые зависят от приложений.

C : \Users

Этот каталог размещает различные каталоги пользователя, такие как рабочий стол, документы, загрузки и appdata. appdata папка универсально используется для временных файлов, интернет-файлов просмотра, истории, и т.д.

Внимание: Из-за количества файлов и данных, которые загружены на этом каталоге, необходимо быть осторожными в определении исключения и попытаться быть максимально определенными для соответствия с 'безопасными' файлами.

C : \Windows

Этот каталог имеет системные файлы. Мы обычно не должны исключать много из этого каталога, поскольку он обрабатывается набором исключения по умолчанию. Мы можем хотеть исключить эту папку для кэширования, такого как кэширование для файлов журнала окон и SCCM.

Поддерживаемые типы исключения

 

Угроза: Это - название угрозы, которая не изолирована. Любой файл, который инициирует определенное название угрозы, не был бы изолирован. Примером был бы Вин. Вредоносное ПО. PDF

Путь: Это - размещение системы отдельного файла. Здесь мы можем использовать определенный путь, такой как C:\Program Files\Cisco, или мы можем использовать CSIDL.

Примечание: CSIDL является созданным в переменной, которая распознана Windows и может быть полезной в сценариях, где путь мог находиться на других буквах диска. Примером был бы CSIDL_PROGRAM_FILES\Cisco. Данный пример покрыл бы C:\Program Files\Cisco и D:\Program Files\Cisco. CSIDLs только работают в исключениях Пути. См. документацию по Windows для полного списка доступного CSIDLs.

Подстановочный знак: Этот тип должен использоваться каждый раз, когда подстановочный знак (*) желаем в рамках исключения. Пример: C : \Program Files\Cisco\*.tmp

Расширение файла: Это - простое исключение для расширения файла типа файла. Примером был бы .txt.

Когда исключить

Признак

Если вы выполняете FireAMP и испытываете проблемы производительности с системой или с определенным приложением, это могло быть индикацией относительно отсутствия ответа на ввод пользователя, низкой производительности автоматического процесса, сбоев или ошибок. Иногда отображения приложения определенная ошибка.

Проверка

Для определения файлов или каталогов, которые просмотрены и как часто, выполните действия ниже:

Шаг 1: Первый шаг должен генерировать диагностический пакет и извлечь его. Это 7zip, архивируют, и требует, чтобы приложение извлекло его.


Шаг 2: Действие второе должно обратиться к history.db файлу от файла диагностики.

history.db файл является sqlite файлом базы данных, который отслеживает все обнаруженные файлы FireAMP. Каждая строка включает расположение, имя файла, SHA файла, исходный файл и исходный SHA. Источник является файлом, который создал/обратился сам файл. Это позволяет нам видеть, как приложение вело себя и что оно сделало.

В данном примере команда SQLite3 используется для преобразования базы данных истории в CSV (Отделенное запятой значение) файл.

  • Загрузите предварительно скомпилированные двоичные файлы SQLite3 для своей операционной системы.
  • Извлеките пакет Диагностики FireAMP с приложением такой как 7zip.
  • Перейдите к извлеченной диагностической папке и найдите history.db файл в рамках каталога C_\Program Files\Sourcefire\fireAMP\.
  • В терминале или командной строке, вызовите двоичные файлы SQLite3, которые вы загрузили, и предоставьте history.db файлу эту команду. (Эта команда предполагает, что SQLite3 находится в местоположении, заданном в ваших переменных среды для вашей операционной системы, или это должно быть размещено в диагностической папке.)
sqlite3 -csv -header history.db "select created_at,file,filename,source,sourcename
from history" > history.csv

Если команда будет успешна, вы не будете видеть подтверждение или выводить.

Если подведенная команда, уверена, что вы задали местоположение двоичных файлов SQLite3. Если вы видите, что какие-либо другие сообщения расценивают history.db файл, вы, возможно, должны были бы очистить эти четыре файла истории от главного компьютера, на который влияют, в то время как сервис остановлен, который позволяет ему генерировать новый набор файлов в следующий раз, когда сервис запущен.

Шаг 3: Как только Файл csv генерировался, можно открыть его с предпочтительным приложением по работе с электронными таблицами. Приложения, такие как Microsoft Excel могли бы позволить вам преобразовывать Файл csv в таблицу, которая позволяет вам фильтровать/сортировать. Рассмотрите документацию microsoft для того, как использовать Excel.

Основные столбцы для использования:

  • имя файла: Это поле показывает, что файл просмотрен FireAMP.
  • sourcename: Это поле показывает процесс или исполняемый файл , который захватил маркер (чтение-запись и так далее). Эти данные используются, чтобы определить, обрабатываются ли файлы доверяемым приложением или иначе.
  • created_at: Это - метка времени на событии для обнаружения файла.

Устранение неполадок

На этом этапе существует несколько опций:

  • Если вы просто испытали проблему производительности, можно сортировать таблицу created_at, который является просмотренной меткой времени, и посмотрите новые события. Можно просмотреть обнаружения и работать назад для наблюдения то, что произошло.
  • Можно также искать или искать приложения, на которые, возможно, недавно повлиял FireAMP.

То, что вы хотите искать, является чем-то как тот же файл, который неоднократно просматривается, который мог бы иметь другие значения SHA. Вы также хотите посмотреть на тип файла, чтобы видеть, является ли это нормальным поведением.

В данном примере файл искался "офис". Результаты показывают файлы, что FireAMP просмотрел, который имел слово "офис" в имени файла или пути. Можно также видеть, что источник обрабатывает, который обработал соответствующий файл.

В данном примере FireAMP просматривает файл, отнесенный к сервису Microsoft Office. Если вы хотите исключить это, вы могли бы создать исключение простого контура такой как один показанный здесь:

C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask

Иногда, исключения не таким образом прямые. Иногда вы видите действие как это в других областях такой как,

C:\Users\Username\Appdata\

Например, позволяет SAID, у нас есть тестовое приложение что кэши к appdata каталогу с определенным именем файла. Мы можем исключить что-то с данным именем.

C:\Users\Test\Appdata\Temp\cookies
C:\Users\Test\Appdata\Temp\cache
C:\Users\Test\Appdata\Temp\Test\testcachefile20150116.tmp

В данном примере мы можем хотеть исключить наши файлы кэша для нашего временного приложения, однако мы не хотим исключать временную папку как интернет-файлы кэша, загрузки/образы могли находиться в этом каталоге. Мы можем также сузить наш каталог к тестовой папке, однако наше приложение может соединиться с Интернетом также или имеет другие файлы кэша, которые не вредят производительности или могли потенциально быть открыты для риска. Мы будем использовать подстановочный знак для исключения этого.

C:\Users\Test\Appdata\Temp\Test\testcachefile*.tmp

Как вы видите, мы просто использовали подстановочный знак (*) для составления чего-либо между буквами и точкой в имени файла. Этот подстановочный знак исключил бы любой файл, который совпадает с этим выражением. Это - пример того, как мы можем сузить наши исключения для предотвращения слишком большого количества риска. 

Мы можем также использовать подстановочные знаки для названий полного пути. позволяет взгляду на подобный пример,

C:\Users\Test\Appdata\Temp\Test\20150116\cache\testfilecache083022.tmp
C:\Users\Test\Appdata\Temp\Test\20150117\cache\testfilecache092533.tmp
C:\Users\Test\Appdata\Temp\Test\20150118\cache\testfilecache104431.tmp

Это тестовое приложение создает новую папку кэша в течение каждого дня и добавляет штамп времени к временному файлу. Давайте создадим простое исключение подстановочного знака для соответствия с этими временными файлами,

C:\Users\Test\Appdata\Temp\Test\*\cache\testfilecache*.tmp

В этом случае мы использовали подстановочный знак для покрытия штампованной папки даты и другого подстановочного знака для покрытия метки времени в имени файла. 

После обнаружения желаемых исключений FireAMP можно выполнить действия, перечисленные в этой статье, чтобы внедрить их в информационной панели и выполнить тестирование.

Связанный документ



Document ID: 118802