[Extern] - Advanced Malware Protection (AMP) für die Erkennung von Fehlern, Outbreaks und die Reaktion auf Vorfälle

Download-Optionen

  • PDF     (370.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:4. September 2020
Dokument-ID:200618

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Wir sind stets bemüht, die Threat-Intelligence für unsere Advanced Malware Protection-Technologie (AMP) zu verbessern und zu erweitern. Wenn Ihre AMP-Lösung jedoch keinen Alarm ausgelöst oder einen Alarm fehlerhaft ausgelöst hat, können Sie Maßnahmen ergreifen, um weitere Auswirkungen auf Ihre Umgebung zu verhindern. Dieses Dokument enthält eine Richtlinie zu diesen Aktionspunkten.

Beschreibung

Sofortmaßnahmen

Wenn Sie der Meinung sind, dass Ihre AMP-Lösung Ihr Netzwerk nicht vor Bedrohungen geschützt hat, ergreifen Sie sofort die folgenden Maßnahmen:

  1. Isolieren Sie die verdächtigen Systeme vom Rest des Netzwerks. Dies kann das Ausschalten des Systems oder das physische Trennen des Systems vom Netzwerk umfassen.
  2. Notieren Sie sich die wichtigen Informationen über die Infektion, wie z. B. den Zeitpunkt, zu dem der Computer infiziert sein könnte, die Benutzeraktivitäten auf den verdächtigen Computern usw.

Warnung: Wischen Sie den Computer nicht aus, und erstellen Sie kein neues Image. Sie eliminiert die Chancen, die anstößige Software oder die Dateien während der forensischen Untersuchung oder Fehlerbehebung zu finden.

Analyse

  1. Verwenden Sie die Device Trajectory-Funktion, um Ihre eigenen Untersuchungen zu beginnen. Device Trajectory kann ca. 9 Millionen aktuelle Dateiereignisse speichern. Die Device Trajectory in AMP für Endgeräte ist sehr nützlich, um Dateien oder Prozesse zu verfolgen, die zu einer Infektion geführt haben.

    Navigieren Sie im Dashboard zu Verwaltung > Computer.



    Finden Sie den verdächtigen Computer, und erweitern Sie den Datensatz für diesen Computer. Klicken Sie auf die Option Device Trajectory.

  2. Wenn Sie verdächtige Dateien oder Hashs finden, fügen Sie sie Ihrer benutzerdefinierten Erkennungsliste hinzu. AMP für Endgeräte kann eine benutzerdefinierte Erkennungsliste verwenden, um eine Datei oder einen Hash als schädlich zu behandeln. Dies ist eine großartige Möglichkeit, Lücken zu schließen, um weitere Auswirkungen zu verhindern.

Analyse durch Cisco

  1. Übermitteln Sie verdächtige Stichproben zur dynamischen Analyse. Sie können sie manuell über Analyse > Dateianalyse im Dashboard einreichen. AMP für Endgeräte umfasst eine Funktion für dynamische Analysen, die einen Bericht über das Verhalten der Datei von Threat Grid generiert. Dies hat auch den Vorteil, dass Cisco die Datei erhalten kann, falls zusätzliche Analysen durch unser Forschungsteam erforderlich sind.

  2. Wenn Sie vermuten, dass in Ihrem Netzwerk falsche Positiv- oder falsche Negativ-Erkennungen auftreten, empfehlen wir Ihnen, benutzerdefinierte Funktionen für schwarze oder weiße Listen für Ihre AMP-Produkte zu nutzen. Wenn Sie sich an das Cisco Technical Assistance Center (TAC) wenden, stellen Sie die folgenden Informationen zur Analyse bereit:

    • Der SHA256-Hash der Datei.
    • Eine Kopie der Datei, wenn möglich.
    • Informationen über die Datei, z. B. woher sie stammt und warum sie in der Umgebung vorhanden sein muss.
    • Erklären Sie, warum dies Ihrer Meinung nach ein falsches Positiv oder ein falsches Negativ ist.
  3. Wenn Sie Unterstützung bei der Eindämmung einer Bedrohung oder der Triage Ihrer Umgebung benötigen, müssen Sie das Cisco Talos Incident Response (CTIR)-Team hinzuziehen, das auf die Erstellung von Aktionsplänen, die Suche nach infizierten Systemen und die Nutzung fortschrittlicher Tools oder Funktionen zur Eindämmung eines aktiven Outbreaks spezialisiert ist.

    Anmerkung: Das Cisco Technical Assistance Center (TAC) bietet bei dieser Art von Projekt keine Unterstützung an.

    Den CTIR erreichen Sie hier. Hierbei handelt es sich um einen kostenpflichtigen Service, der bei 60.000 USD beginnt, es sei denn, Ihr Unternehmen verfügt über eine Rückstellung für Incident Response Services von Cisco. Nach der Kontaktaufnahme stellen sie zusätzliche Informationen zu ihren Services bereit und erstellen ein Ticket für Ihren Fall. Wir empfehlen außerdem, mit Ihrem Cisco Account Manager Kontakt aufzunehmen, um weitere Anleitungen zu diesem Prozess zu erhalten.

Verwandte Artikel

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
18-Aug-2016
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Alex Dipasquale
    Cisco Engineer
  • Nazmul Rajib
    Cisco Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.