Konfigurieren und Identifizieren von sicheren Endpunktausschlüssen

Download-Optionen

  • PDF     (600.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (388.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (402.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:11. April 2025
Dokument-ID:213681

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden Ausschlüsse, die Identifizierung von Ausschlüssen und die Best Practices für die Erstellung von Ausschlüssen für Cisco Secure Endpoint beschrieben.

    Haftungsausschluss

    Die Informationen in diesem Dokument basieren auf den Betriebssystemen Windows, Linux und macOS.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Überblick

    Nachdem Sie dieses Dokument gelesen haben, müssen Sie verstehen:

    • Was ist ein Ausschluss, und welche Ausschlussarten sind für Cisco Secure Endpoint verfügbar?
    • So bereiten Sie den Connector auf die Abstimmung von Ausschlüssen vor.
    • Identifizierung potenziell starker Ausschlüsse
    • Erstellen neuer Ausschlüsse in der Cisco Secure Endpoint Console
    • Was sind die besten Verfahren für die Schaffung von Ausschlüssen?

    Was sind Ausschlüsse?

    Ein Ausschlusssatz ist eine Liste von Verzeichnissen, Dateierweiterungen, Dateipfaden, Prozessen, Bedrohungsnamen, Anwendungen oder Indicators of Compromise, die der Connector nicht scannen oder überführen soll. Ausschlüsse müssen sorgfältig ausgearbeitet werden, um ein Gleichgewicht zwischen Leistung und Sicherheit auf einem System sicherzustellen, wenn Endpunktschutz wie Secure Endpoint aktiviert ist. In diesem Artikel werden die Ausnahmen für Secure Endpoint Cloud, TETRA, SPP und MAP beschrieben.

    Jede Umgebung ist einzigartig und auch die Einheit, die sie kontrolliert. Sie variiert von strengen bis hin zu offenen Richtlinien. Daher müssen Ausschlüsse auf jede Situation individuell zugeschnitten werden.

    Ausschlüsse können auf zwei Arten kategorisiert werden: Von Cisco verwaltete Ausschlüsse und benutzerdefinierte Ausschlüsse.

    Von Cisco beibehaltene Ausschlüsse

    Von Cisco aufrechterhaltene Ausschlüsse sind Ausschlüsse, die auf der Grundlage von Forschungsergebnissen erstellt wurden und rigorosen Tests auf häufig verwendeten Betriebssystemen, Programmen und anderer Sicherheitssoftware unterzogen wurden. Diese Ausschlüsse können angezeigt werden, indem Sie in der Konsole für sichere Endgeräte auf der Seite Ausschlüsse die Option Von Cisco verwaltete Ausschlüsse auswählen:Cisco Maintained Exclusions

    Cisco überwacht empfohlene Ausschlusslisten, die von Anti-Virus-Anbietern (AV) veröffentlicht wurden, und aktualisiert die von Cisco verwalteten Ausschlüsse, um die empfohlenen Ausschlüsse einzuschließen.

    note-icon

    Anmerkung: Einige AV-Anbieter veröffentlichen ihre empfohlenen Ausschlüsse nicht. In diesem Fall müssen Sie sich an den Anbieter der AV-Lösung wenden, um eine Liste der empfohlenen Ausschlüsse anzufordern, und dann ein Support-Ticket erstellen, um die von Cisco verwalteten Ausschlüsse zu aktualisieren.

    Benutzerdefinierte Ausschlüsse

    Benutzerdefinierte Ausschlüsse sind Ausschlüsse, die von einem Benutzer für einen benutzerdefinierten Anwendungsfall auf einem Endpunkt erstellt wurden. Diese Ausschlüsse können angezeigt werden, indem Sie auf der Seite Ausschlüsse in der Konsole für sichere Endgeräte die Option Benutzerdefinierte Ausschlüsse auswählen.
    Custom Exclusions

    Arten von Ausschlüssen

    Ausschlüsse verarbeiten

    Prozessausschlüsse ermöglichen Administratoren den Ausschluss von Prozessen aus unterstützten Engines. Die Engines, die Prozessausschlüsse auf jeder Plattform unterstützen, sind in der folgenden Tabelle aufgeführt:

    Betriebssystem Motor
    Dateisuche Schutz von Systemprozessen Schutz vor schädlichen Aktivitäten Verhaltensbasierter Schutz
    Windows
    Linux 
    MacOS

    MacOS und Linux

    Beim Erstellen eines Prozessausschlusses müssen Sie einen absoluten Pfad angeben. Sie können auch einen optionalen Benutzer angeben. Wenn Sie sowohl einen Pfad als auch einen Benutzer angeben, müssen beide Bedingungen erfüllt sein, damit der Prozess ausgeschlossen wird. Wenn Sie keinen Benutzer angeben, gilt der Prozessausschluss für alle Benutzer.

    note-icon

    Anmerkung: Unter macOS und Linux gelten Prozessausschlüsse für alle Engines.

    Prozess-Platzhalter:

    Secure Endpoint Linux- und MacOS-Connectors unterstützen die Verwendung eines Platzhalters innerhalb des Prozessausschlusses. Dies ermöglicht eine breitere Abdeckung mit weniger Ausschlüssen, kann aber auch gefährlich sein, wenn zu viel undefiniert bleibt. Sie dürfen den Platzhalter nur verwenden, um die Mindestanzahl an Zeichen einzugeben, die für den erforderlichen Ausschluss erforderlich ist.

    Verwendung des Prozess-Wildcards für macOS und Linux:

    • Der Platzhalter wird durch ein einzelnes Sternchen (*) dargestellt.
    • Der Platzhalter kann anstelle eines einzelnen Zeichens oder eines vollständigen Verzeichnisses verwendet werden.
    • Die Platzierung des Platzhalters am Anfang des Pfads wird als ungültig betrachtet.
    • Der Platzhalter funktioniert zwischen zwei definierten Zeichen, Schrägstrichen oder alphanumerischen Zeichen.

    Beispiele:

    Ausschluss Erwartetes Ergebnis
    /Library/Java/JavaVirtualMachines/*/java Schließt Java in allen Unterordnern von JavaVirtualMachines aus
    /Bibliothek/Jibber/j*bber Ausgenommen sind Prozesse für Jabber, Jibber, Jobber usw.

    Windows

    Sie können beim Erstellen eines Prozessausschlusses einen absoluten Pfad und/oder ein SHA-256 der Prozessausführbarkeit angeben. Wenn Sie sowohl einen Pfad als auch SHA-256 angeben, müssen beide Bedingungen erfüllt sein, damit der Prozess ausgeschlossen werden kann.

    Unter Windows können Sie auch die CSIDL oder KNOWNFOLDERID im Pfad verwenden, um Process-Ausschlüsse zu erstellen.

    caution-icon

    Vorsicht: Untergeordnete Prozesse, die von einem ausgeschlossenen Prozess erstellt werden, sind nicht standardmäßig ausgeschlossen. Wenn Sie beim Erstellen eines Prozessausschlusses zusätzliche Prozesse ausschließen möchten, wählen Sie Auf untergeordnete Prozesse anwenden aus.

    Einschränkungen:

    • Wenn die Dateigröße des Prozesses größer ist als die in der Richtlinie festgelegte maximale Größe der Scandatei, wird der SHA-256 des Prozesses nicht berechnet, und der Ausschluss funktioniert nicht. Verwenden Sie einen pfadbasierten Prozessausschluss für Dateien, die größer als die maximale Größe der Scandatei sind.
    • Der Windows-Connector legt eine Beschränkung von 500 Prozessausschlüssen für alle Prozessausschlusstypen fest.
      • Prozessausschlüsse werden nur bis zum Grenzwert berücksichtigt, beginnend mit der Liste der Prozessausschlüsse in policy.xml.
      • Jede Windows-Richtlinie enthält einen Prozessausschluss für sfc.exe, der auf die Prozessausschlussgrenze angerechnet wird: 
        3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|
    note-icon

    Anmerkung: Unter Windows werden Prozessausschlüsse pro Modul angewendet. Wenn derselbe Ausschluss auf mehrere Engines angewendet werden muss, muss der Ausschluss des Prozesses in diesem Fall für jede zutreffende Engine dupliziert werden.

    Prozess-Platzhalter:

    Windows-Connectors für sichere Endgeräte unterstützen die Verwendung eines Platzhalters innerhalb des Prozessausschlusses. Dies ermöglicht eine breitere Abdeckung mit weniger Ausschlüssen, kann aber auch gefährlich sein, wenn zu viel undefiniert bleibt. Sie dürfen den Platzhalter nur verwenden, um die Mindestanzahl an Zeichen einzugeben, die für den erforderlichen Ausschluss erforderlich ist.

    Prozess-Platzhalter für Windows verwenden:

    • Der Platzhalter wird durch ein einzelnes Sternchen (*) oder ein doppeltes Sternchen (**)
    • Platzhalter für ein einzelnes Sternchen (*):
      • Der Platzhalter kann anstelle eines einzelnen Zeichens oder eines vollständigen Verzeichnisses verwendet werden.
      • Die Platzierung des Platzhalters am Anfang des Pfads wird als ungültig betrachtet.
      • Der Platzhalter funktioniert zwischen zwei definierten Zeichen, Schrägstrichen oder alphanumerischen Zeichen.
      • Wenn Sie den Platzhalter am Ende eines Pfads platzieren, werden alle Prozesse in diesem Verzeichnis ausgeschlossen, aber keine Unterverzeichnisse.
    • Platzhalter für doppeltes Sternchen (**):
      • Kann nur am Ende eines Pfades platziert werden.
      • Wenn Sie den Platzhalter am Ende eines Pfads platzieren, werden alle Prozesse in diesem Verzeichnis und alle Prozesse in Unterverzeichnissen ausgeschlossen.
      • Dies ermöglicht einen viel größeren Ausschlusssatz bei minimalem Input, lässt aber auch eine sehr große Sicherheitslücke für die Transparenz. Verwenden Sie diese Funktion mit äußerster Vorsicht.

    Beispiele:

    Ausschluss Erwartetes Ergebnis
    C:\Windows\*\Tiworker.exe Schließt alle Tiworker.exe-Prozesse aus, die in den Unterverzeichnissen von Windows gefunden werden
    C:\Windows\P*t.exe Ausgeschlossen sind Pot.exe, Pat.exe, P1t.exe usw.
    C:\Windows\*chickens.exe Schließt alle Prozesse im Windows-Verzeichnis aus, die auf chickens.exe enden
    C:\* Schließt alle Prozesse im Verzeichnis C: nicht in den Unterverzeichnissen
    C:\** Schließt alle Prozesse auf dem Laufwerk C: Laufwerk

    Ausschluss von Bedrohungen

    Durch den Ausschluss von Bedrohungen können Sie bestimmte Namen von Bedrohungen von der Auslösung von Ereignissen ausschließen. Sie dürfen einen Bedrohungsausschluss nur dann verwenden, wenn Sie sicher sind, dass die Ereignisse das Ergebnis einer Fehlalarmerkennung sind. Verwenden Sie in diesem Fall den genauen Namen der Bedrohung für das Ereignis als Ausschluss aus der Bedrohung. Beachten Sie, dass bei Verwendung dieser Art von Ausschluss auch eine wirklich positive Erkennung des Bedrohungsnamens nicht erkannt, in Quarantäne gestellt oder ein Ereignis generiert wird.

    note-icon

    Anmerkung: Bei den Bedrohungsausschlüssen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Beispiel: W32.Zombies.NotAVirus und W32.zombies.notavirus entsprechen beide demselben Bedrohungsnamen.

    warning-icon

    Warnung: Schließen Sie Bedrohungen nur aus, wenn eine gründliche Untersuchung bestätigt hat, dass der Bedrohungsname falsch-positiv ist. Ausgeschlossene Bedrohungen füllen nicht mehr die Registerkarte "Ereignisse" zur Überprüfung und Überprüfung aus.

    Pfadausschlüsse

    Am häufigsten werden Pfadausschlüsse verwendet, da Anwendungskonflikte normalerweise den Ausschluss eines Verzeichnisses beinhalten. Sie können einen Pfadausschluss mit einem absoluten Pfad erstellen. Unter Windows können Sie auch CSIDIL oder KNOWNFOLDERID verwenden, um Pfadausschlüsse zu erstellen.

    Um beispielsweise eine AV-Anwendung im Verzeichnis Programme unter Windows auszuschließen, kann der Ausschlusspfad einer der folgenden Pfade sein:

    C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
    note-icon

    Anmerkung: Pfadausschlüsse sind rekursiv und schließen auch alle Unterverzeichnisse aus.

    Partielle Pfadzuordnungen (nur Windows)

    Wenn im Path-Ausschluss kein nachgestellter Schrägstrich angegeben wird, führt der Windows-Connector für Pfade eine teilweise Übereinstimmung aus. Mac und Linux unterstützen keine partiellen Pfadübereinstimmungen.

    Wenn Sie z. B. die folgenden Pfadausschlüsse auf Windows anwenden:

    C:\Program Files
C:\test

    Dann sind alle diese Pfade ausgeschlossen:

    C:\Program Files
C:\Program Files (x86) 
C:\test
C:\test123

    Wenn Sie den Ausschluss von C:\test in C:\test\ ändern, wird C:\test123 nicht ausgeschlossen.

    Dateierweiterungsausschlüsse

    Dateierweiterungsausschlüsse ermöglichen den Ausschluss aller Dateien mit einer bestimmten Erweiterung.

    Wichtigste Punkte:

    • Die erwartete Eingabe in der Konsole für sichere Endgeräte ist .extension.
    • Die Konsole für sichere Endpunkte setzt der Dateierweiterung automatisch einen Punkt voran, wenn keine Dateierweiterung hinzugefügt wurde.
    • Bei Erweiterungen wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Um beispielsweise alle Microsoft Access-Datenbankdateien auszuschließen, können Sie diesen Ausschluss erstellen:

    .MDB
    note-icon

    Anmerkung: In der Standardliste stehen Standard-Dateierweiterungsausschlüsse zur Verfügung. Es wird nicht empfohlen, diese Ausschlüsse zu löschen. Dies kann zu Leistungsänderungen auf Ihrem Endgerät führen.

    Platzhalterausschlüsse

    Platzhalterausschlüsse entsprechen den Ausschlüssen für Pfad oder Dateierweiterung, mit der Ausnahme, dass Sie ein Sternchen (*) verwenden können, um einen Platzhalter innerhalb des Pfads oder der Erweiterung darzustellen.

    Wenn Sie beispielsweise Ihre virtuellen Maschinen unter macOS vom Scannen ausschließen möchten, können Sie diesen Pfadausschluss eingeben:

    /Users/johndoe/Documents/Virtual Machines/

    Dieser Ausschluss funktioniert jedoch nur für einen Benutzer, also ersetzen Sie stattdessen den Benutzernamen im Pfad durch ein Sternchen und erstellen Sie einen Platzhalterausschluss, um dieses Verzeichnis für alle Benutzer auszuschließen:

    /Users/*/Documents/Virtual Machines/
    caution-icon

    Vorsicht: Platzhalterausschlüsse enden nicht an Pfadtrennzeichen, was zu unbeabsichtigten Ausschlüssen führen kann. Zum BeispielC:\*\test schließt C:\sample\test sowie C:\1\test** oderC:\sample\test123 aus.

    warning-icon

    Warnung: Das Beginnen eines Ausschlusses mit einem Sternchen kann zu erheblichen Leistungsproblemen führen. Entfernen oder ändern Sie alle Ausschlüsse, die mit einem Sternchen beginnen, um die Auswirkungen auf die CPU zu minimieren.

    Windows

    Beim Erstellen von Platzhalterausschlüssen unter Windows gibt es eine Option, die auf alle Laufwerkbuchstaben angewendet werden kann. Bei Auswahl dieser Option wird der Platzhalterausschluss auf alle bereitgestellten Laufwerke angewendet.
    Windows Wildcard Apply to all Drives
    Wenn Sie den gleichen Ausschluss manuell erstellen, müssen Sie ihm ^[A-Za-z] voranstellen, zum Beispiel:

    ^[A-Za-z]\testpath

    In beiden Beispielen sind die Dateien C:\testpath und D:\testpath ausgeschlossen.

    Die Konsole für sichere Endpunkte generiert automatisch das ^[A-Za-z], wenn Auf alle Laufwerkbuchstaben anwenden für Platzhalterausschlüsse ausgewählt ist.

    Ausschlüsse für ausführbare Dateien (nur Windows)

    Ausgeschlossene ausführbare Dateien gelten nur für Windows-Konnektoren mit aktivierter Exploit-Prävention. Ein Ausschluss ausführbarer Dateien schließt den Schutz bestimmter ausführbarer Dateien durch Exploit-Prävention aus. Sie dürfen eine ausführbare Datei nur dann von der Exploit-Prävention ausschließen, wenn Probleme oder Leistungsprobleme auftreten.

    Sie können die Liste der geschützten Prozesse überprüfen und alle Prozesse vom Schutz ausschließen, indem Sie den Namen der ausführbaren Datei im Feld für den Anwendungsausschluss angeben. Ausschlüsse für ausführbare Dateien müssen genau mit dem Namen der ausführbaren Datei im Format name.exe übereinstimmen. Platzhalter werden nicht unterstützt.

    note-icon

    Anmerkung: Nur Anwendungen können über die sichere Endpunktkonsole mit den Ausschlüssen für ausführbare Dateien ausgeschlossen werden. Alle Ausschlüsse, die sich auf DLLs beziehen, erfordern das Öffnen eines Support-Tickets, damit ein Ausschluss erstellt werden kann.

    Die Suche nach den richtigen Ausschlüssen für die Exploit-Prävention ist weitaus aufwändiger als jeder andere Ausschlusstyp und erfordert umfangreiche Tests, um schädliche Sicherheitslücken zu minimieren.

    IOC-Ausschlüsse (nur Windows)

    IOC-Ausschlüsse ermöglichen Ihnen, Cloud-Indications of Compromise auszuschließen. Dies kann nützlich sein, wenn Sie über eine benutzerdefinierte oder interne Anwendung verfügen, die nicht signiert werden kann und bestimmte IOCs häufig auslöst. Die Konsole für sichere Endgeräte bietet eine Liste von Indikatoren, aus denen IOC ausgeschlossen werden kann.

    Über ein Dropdown-Menü können Sie auswählen, welche Indikatoren ausgeschlossen werden sollen:

    Windows IOC

    note-icon

    Anmerkung: Wenn Sie einen IOC mit hohem oder kritischem Schweregrad ausschließen, verlieren Sie den Überblick und können Ihr Unternehmen Risiken aussetzen. Sie dürfen diese IOCs nur ausschließen, wenn eine große Anzahl von Fehlalarmen erkannt wird.

    CSIDL und KNOWNFOLDERID (nur Windows)

    CSIDL- und KNOWNFOLDERID-Werte werden beim Schreiben von Pfad- und Prozessausschlüssen für Windows akzeptiert und empfohlen. CSIDL/KNOWNFOLDERID-Werte sind nützlich, um Prozess- und Pfadausschlüsse für Umgebungen zu erstellen, die alternative Laufwerkbuchstaben verwenden.

    Bei der Verwendung von CSIDL/KNOWNFOLDERID müssen bestimmte Einschränkungen beachtet werden. Wenn in Ihrer Umgebung Programme auf mehr als einem Laufwerkbuchstaben installiert werden, bezieht sich der CSIDL/KNOWNFOLDERID-Wert nur auf das Laufwerk, das als Standard- oder bekannter Installationsstandort markiert ist.

    Wenn das Betriebssystem beispielsweise auf C:\ installiert ist, der Installationspfad für Microsoft SQL jedoch manuell zu D:\ geändert wurde, gilt der CSIDL/KNOWNFOLDERID-basierte Ausschluss in der Liste der verwalteten Ausschlüsse nicht für diesen Pfad. Dies bedeutet, dass für jeden Pfad- oder Prozessausschluss, der sich nicht auf dem Laufwerk C:\ befindet, ein Ausschluss eingegeben werden muss, da die Verwendung von CSIDL/KNOWNFOLDERID diesen nicht zuordnet.

    Weitere Informationen finden Sie in dieser Windows-Dokumentation:

    note-icon

    Anmerkung: KNOWNFOLDERID wird nur in Windows Connector 8.1.7 und höher unterstützt. Frühere Versionen des Windows-Connectors verwenden CSIDL-Werte.

    note-icon

    Anmerkung: Bei den Werten für KNOWNFOLDERID wird die Groß- und Kleinschreibung unterschieden. Beispielsweise müssen Sie den Wert FOLDERID_ProgramFiles und nicht die ungültigen valueFolderID_programfiles verwenden.

    Connector für Ausschlussabstimmung vorbereiten

    Um den Connector für die Ausschlussabstimmung vorzubereiten, müssen Sie:

    1. Richten Sie eine Richtlinie und eine Gruppe ein, die im Debugmodus ausgeführt werden sollen.
    2. Führen Sie die Computer in der neuen Debug-Gruppe wie bei normalen Geschäftsvorgängen aus, und geben Sie ausreichend Zeit zum Abrufen von Connector-Protokolldaten ein.
    3. Generieren Sie Diagnosedaten für den Connector, die zum Identifizieren von Ausschlüssen verwendet werden sollen.

    Anweisungen zum Aktivieren des Debug-Modus und zum Erfassen von Diagnosedaten auf verschiedenen Betriebssystemen finden Sie in den folgenden Dokumenten:

    Ausschlüsse identifizieren

    MacOS und Linux

    Die im Debugmodus generierten Diagnosedaten stellen zwei Dateien bereit, die zum Erstellen von Ausschlüssen nützlich sind: fileops.txt und execs.txt. Die Datei fileops.txt ist zum Erstellen von Path/File Extension/Wildcard Exclusions und die Datei execs.txt zum Erstellen von Process Exclusions nützlich.

    Erstellen von Prozessausschlüssen

    In der Datei execs.txt werden die ausführbaren Pfade aufgelistet, die Secure Endpoint zur Durchführung einer Dateisuche veranlasst haben. Jedem Pfad ist eine Anzahl zugeordnet, die angibt, wie oft er gescannt wurde, und die Liste wird in absteigender Reihenfolge sortiert. Sie können diese Liste verwenden, um Prozesse mit einer großen Anzahl von Ausführungsereignissen zu bestimmen und dann den Prozesspfad zum Erstellen von Ausschlüssen zu verwenden. Es wird jedoch nicht empfohlen, allgemeine Dienstprogramme (wie /usr/bin/grep) oder Interpreter (wie /usr/bin/ruby) auszuschließen.

    Wenn ein allgemeines Dienstprogramm oder ein Interpreter eine große Menge von Datei-Scans erzeugt, können Sie einige weitere Untersuchungen durchführen, um zu versuchen, zielgerichtetere Ausschlüsse zu erstellen:

    1. Den übergeordneten Prozess ausschließen: bestimmen, welche Anwendung den Prozess ausführt (z. B. den übergeordneten Prozess suchen, der grep ausführt), und diesen übergeordneten Prozess ausschließen. Dies muss, wenn und nur, dann geschehen, wenn der übergeordnete Prozess sicher in einen Prozessausschluss umgewandelt werden kann. Wenn der Elternausschluss auf Kinder zutrifft, werden auch die Aufrufe von Kindern aus dem Elternprozess ausgeschlossen.
    2. Prozess für einen bestimmten Benutzer ausschließen: bestimmen, welcher Benutzer den Prozess ausführt. Wenn der Prozess von einem bestimmten Benutzer auf hohem Volumen ausgeführt wird, können Sie den Prozess nur für diesen bestimmten Benutzer ausschließen (z. B. wenn ein Prozess auf hohem Volumen von einem Benutzer-Root aufgerufen wird, können Sie den Prozess ausschließen, aber nur für den angegebenen Benutzer-Root, sodass Secure Endpoint die Ausführung eines bestimmten Prozesses durch jeden Benutzer überwachen kann, der nicht Root ist).

    Beispielausgabe von execs.txt:

    33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
 9 /usr/bin/pgrep
 9 /usr/bin/kmod
 7 /usr/bin/rm
 6 /usr/lib/systemd/systemd-cgroups-agent
 6 /usr/bin/rpm
 4 /usr/bin/tr
 4 /usr/bin/sort
 4 /usr/bin/find

    Erstellen von Pfad-, Dateierweiterungs- und Platzhalterausschlüssen

    In der Datei fileops.txt werden die Pfade aufgelistet, über die Dateiaktivitäten erstellt, geändert und umbenannt wurden, die Secure Endpoint zur Durchführung von Dateiscans ausgelöst haben. Jedem Pfad ist eine Anzahl zugeordnet, die angibt, wie oft er gescannt wurde, und die Liste wird in absteigender Reihenfolge sortiert. Eine Möglichkeit, mit Path-Ausschlüssen zu beginnen, besteht darin, die am häufigsten gescannten Datei- und Ordnerpfade aus fileops.txt zu finden und dann die Erstellung von Regeln für diese Pfade in Betracht zu ziehen. Während eine hohe Anzahl nicht unbedingt bedeutet, dass der Pfad ausgeschlossen werden muss (z. B. kann ein Verzeichnis, in dem E-Mails gespeichert sind, häufig gescannt werden, darf jedoch nicht ausgeschlossen werden), bietet die Liste einen Ausgangspunkt zur Identifizierung von Ausschlusskandidaten.

    Beispielausgabe von fileops.txt:

    31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq

    Eine gute Faustregel ist, dass alles mit einer Log- oder Journal-Dateierweiterung als geeigneter Ausschlusskandidat betrachtet werden muss.

    Engine für Verhaltensschutz

    Die Behavioral Protection-Engine wurde in der Linux-Connector-Version 1.22.0 und in der macOS-Connector-Version 1.24.0 eingeführt. Ab diesen Versionen kann der Steckverbinder eine überwältigend hohe Systemaktivität erkennen und dann den Fehler 18 auslösen.

    Prozessausschlüsse werden auf alle Engines und Dateiscans angewendet. Anwendung von Prozessausschlüssen auf sehr aktive, unbedenkliche Prozesse, um diesen Fehler zu beheben. Die top.txt-Datei, die von den Diagnosedaten des Debugmodus generiert wird, kann verwendet werden, um die aktivsten Prozesse auf dem System zu bestimmen. Detaillierte Anleitungen zur Problembehebung finden Sie im Dokument Secure Endpoint Mac/Linux Connector Fault 18.

    Darüber hinaus können Fehlalarme durch Ausschluss von Prozessen von gutartiger Software zum Schweigen gebracht werden. Bei Erkennung von Fehlalarmen in der Konsole für sichere Endgeräte kann der Prozess ausgeschlossen werden, um die Berichterstellung zu verbessern.

    Windows

    Das Windows-Betriebssystem ist komplizierter, da aufgrund des übergeordneten und des untergeordneten Prozesses mehr Ausschlussoptionen verfügbar sind. Dies deutet darauf hin, dass eine eingehendere Überprüfung erforderlich ist, um die Dateien zu identifizieren, auf die zugegriffen wurde, aber auch die Programme, die sie generiert haben.

    Weitere Informationen zur Analyse und Optimierung der Windows-Leistung mit Secure Endpoint finden Sie in diesem Windows Tuning Tool von der Cisco Security-Seite GitHub.

    Erstellen von Ausschlussregeln in der Konsole für sichere Endgeräte

    caution-icon

    Vorsicht: Verstehen Sie stets die Dateien und Prozesse, bevor Sie einen Ausschluss schreiben, um Sicherheitslücken auf dem Endgerät zu vermeiden.

    Führen Sie die folgenden Schritte aus, um mithilfe der Konsole für sichere Endgeräte eine neue Ausschlussregel zu erstellen:

    1. Navigieren Sie in der Konsole für sichere Endgeräte zur Seite Richtlinien, indem Sie Verwaltung -> Ausschlüsse auswählen. Entweder:

    (A) Suchen Sie den Ausschlusssatz, den Sie ändern möchten, und klicken Sie auf Bearbeiten, oder 

    (B) Klicken Sie auf + Neuer Ausschlusssatz....
    Exclusions Page

    1. Wählen Sie im Popup-Fenster Neuer Ausschlusssatz ein Betriebssystem aus, für das der Ausschlusssatz erstellt werden soll. Klicken Sie auf Erstellen.
      Select OS
    2. Sie werden zu einer Seite mit einem neuen Ausschlusssatz umgeleitet. Klicken Sie auf + Ausschluss hinzufügen, und wählen Sie den Ausschlusstyp aus dem Dropdown-Menü Select Type (Typ auswählen) aus.


    Windows:
    Windows New Exclusion
    Mac/Linux:
    Mac Linux New Exclusion

    1. Füllen Sie die erforderlichen Felder für den ausgewählten Ausschlusstyp aus.
    2. Wiederholen Sie die Schritte 2 und 3, um weitere Regeln hinzuzufügen, oder klicken Sie auf Speichern, um den Ausschlusssatz zu speichern.

    Best Practices

    caution-icon

    Vorsicht: Seien Sie vorsichtig, wenn Sie Ausschlüsse erstellen, da diese das von Cisco Secure Endpoint gebotene Schutzniveau verringern. Ausgeschlossene Dateien werden nicht gehasht, gescannt oder sind im Cache oder in der Cloud verfügbar, die Aktivität wird nicht überwacht, und in den Backend-Engines, Device Trajectory und Advanced Analysis fehlen Informationen.

    Ausschlüsse dürfen nur in zielgerichteten Instanzen verwendet werden, z. B. bei Kompatibilitätsproblemen mit bestimmten Anwendungen oder bei Leistungsproblemen, die sonst nicht verbessert werden können.

    Beim Erstellen von Ausschlüssen sollten folgende Best Practices befolgt werden:

    • Erstellen Sie Ausschlüsse nur für bewährte Probleme.
      • Gehen Sie nicht davon aus, dass ein Ausschluss erforderlich ist, es sei denn, es wurde nachgewiesen, dass es sich um ein Problem handelt, das nicht anderweitig behoben werden kann.
      • Leistungsprobleme, Fehlalarme oder Probleme mit der Anwendungskompatibilität müssen gründlich untersucht und behoben werden, bevor ein Ausschluss angewendet werden kann.
    • Bevorzugen Sie Prozessausschlüsse gegenüber Pfad-/Dateierweiterungs-/Platzhalterausschlüssen.
      • Prozessausschlüsse bieten eine direktere Möglichkeit, gutartige Softwareaktivitäten auszuschließen, als eine Kombination aus Pfad-, Dateierweiterungs- und Platzhalterausschlüssen, um dasselbe Ergebnis zu erzielen.
      • Es wird empfohlen, die Ausschlüsse für Pfad, Dateierweiterung und Platzhalter, die für das Zielprogramm ausführbar sind, durch die entsprechenden Ausschlüsse für Prozesse zu ersetzen, wenn dies möglich ist.
    • Vermeiden Sie allgemeine Ausschlüsse.
      • Schließen Sie große Teile des Endpunkts wie das gesamte Laufwerk C nicht aus.
      • Verwenden Sie den vollqualifizierten Pfad zur Datei anstelle des Dateinamens.
      • Verwenden Sie Device Trajectory, Secure Endpoint Diagnostics Data und das Windows Tuning Tool, um bestimmte Ausnahmen zu untersuchen und zu bestimmen.
    • Vermeiden Sie das Überschreiben von Platzhalterausschlüssen.
      • Seien Sie vorsichtig, wenn Sie Ausschlüsse mit Platzhaltern erstellen. Verwenden Sie nach Möglichkeit spezifischere Ausschlüsse.
      • Verwenden Sie die Mindestanzahl an Platzhaltern in einem Ausschluss. Nur die Ordner, die wirklich variabel sind, müssen einen Platzhalter verwenden.
    • Vermeiden Sie das Ausschließen von allgemeinen Dienstprogrammen und Dolmetschern.
      • Es wird nicht empfohlen, allgemeine Dienstprogramme oder Dolmetscher auszuschließen.
      • Wenn Sie einen Ausschluss von allgemeinen Dienstprogrammen oder Interpretern ausschließen müssen, stellen Sie einen Prozessbenutzer bereit (nur macOS/Linux).
      • Vermeiden Sie beispielsweise das Schreiben von Ausschlüssen wie python, java, ruby, bash und sh.
    • Vermeiden Sie doppelte Ausschlüsse.
      • Überprüfen Sie vor dem Erstellen eines Ausschlusses, ob der Ausschluss bereits entweder unter "Benutzerdefinierte Ausschlüsse" oder "Von Cisco verwaltete Ausschlüsse" vorhanden ist.
      • Durch die Beseitigung doppelter Ausschlüsse wird die Leistung verbessert und die betriebliche Verwaltung von Ausschlüssen reduziert.
      • Stellen Sie sicher, dass der in einem Prozessausschluss angegebene Pfad nicht durch einen Pfad-/Dateierweiterungs-/Platzhalterausschluss abgedeckt ist.
    • Vermeiden Sie das Ausschließen von Prozessen, die bekanntermaßen bei Malware-Angriffen verwendet werden.
    • Entfernen veralteter Ausschlüsse
      • Überprüfen und prüfen Sie Ihre Ausschlussliste regelmäßig, und führen Sie einen Bericht darüber, warum bestimmte Ausschlüsse hinzugefügt wurden.
    • Ausschlüsse bei Kompromittierung entfernen
      • Ausschlüsse müssen entfernt werden, wenn ein Connector kompromittiert wurde, um wieder optimale Sicherheit und Transparenz zu erhalten.
      • Mithilfe automatisierter Aktionen können sichere Richtlinien auf Connectors nach einer Infektion angewendet werden. Wenn ein Connector kompromittiert wird, muss er in eine Gruppe verschoben werden, die eine Richtlinie ohne Ausschlüsse enthält, um ein Höchstmaß an Schutz zu gewährleisten.
      • Weitere Informationen zur proaktiven Einrichtung der automatisierten Aktion "Computer bei Kompromittierung in Gruppe verschieben" finden Sie unter Identify Conditions to Trigger Automated Actions in Secure Endpoint.
    • Erhöhter Schutz für ausgeschlossene Elemente
      • Wenn Ausschlüsse unbedingt erforderlich sind, überlegen Sie, welche Abwehrstrategien verfolgt werden können, z. B. indem Schreibschutz aktiviert wird, um den ausgeschlossenen Elementen einige Schutzebenen hinzuzufügen.
    • Ausschlüsse intelligent erstellen
      • Optimieren Sie Regeln, indem Sie den übergeordneten Prozess der höchsten Ebene auswählen, der die auszuschließende Anwendung eindeutig identifiziert, und die Option Auf untergeordneten Prozess anwenden verwenden, um die Anzahl der Regeln zu minimieren.
    • Den Startvorgang niemals ausschließen
      • Der Startprozess (gestartet unter macOS, init oder systemd unter Linux) ist für das Starten aller anderen Prozesse auf dem System verantwortlich und steht an der Spitze der Prozesshierarchie.
      • Durch das Ausschließen des Startprozesses und aller untergeordneten Prozesse wird die Überwachung sicherer Endpunkte praktisch deaktiviert.
    • Prozessbenutzer angeben, wenn möglich (nur macOS/Linux)
      • Wenn das Benutzerfeld leer gelassen wird, gilt der Ausschluss für alle Prozesse, die das angegebene Programm ausführen.
      • Ein Ausschluss, der für jeden Benutzer gilt, ist zwar flexibler, aber durch diesen breiten Anwendungsbereich können Aktivitäten, die überwacht werden müssen, unbeabsichtigt ausgeschlossen werden.
      • Die Angabe des Benutzers ist besonders wichtig für Regeln, die für freigegebene Programme wie Laufzeitmodule (z. B. Java) und Skriptinterpreter (z. B. bash, python) gelten.
      • Durch die Angabe des Benutzerbereichs wird der Bereich eingeschränkt, und Secure Endpoint ignoriert bestimmte Instanzen, während andere Instanzen überwacht werden.

    Nicht empfohlene Ausschlüsse

    Obwohl es unmöglich ist, jeden möglichen Angriffsvektor zu kennen, den ein Angreifer verwenden kann, gibt es einige Kernangriffsvektoren, die überwacht werden müssen. Um einen guten Sicherheitsstatus und Transparenz zu gewährleisten, werden diese Ausnahmen nicht empfohlen:

    AcroRd32.exe
    addinprocess.exe
    addinprocess32.exe
    addinutil.exe
    bash.exe
    bginfo.exe
    Bitsadmin.exe
    cdb.exe
    csi.exe
    dbghost.exe
    dbgsvc.exe
    dnx.exe
    dotnet.exe
    Excel.exe
    fsi.exe
    fsiAnyCpu.exe
    iexplore.exe
    java.exe
    kd.exe
    lxssmanager.dll
    msbuild.exe
    mshta.exe
    ntkd.exe
    ntsd.exe
    outlook.exe
    psexec.exe
    powerpnt.exe
    powershell.exe
    rcsi.exe
    svchost.exe
    schtasks.exe
    system.management.automation.dll
    windbg.exe
    winword.exe
    wmic.exe
    wuauclt.exe
    0,7 z
    .bat
    .bin
    .cab
    .cmd
    .com
    CPL
    .dll
    .exe
    FLA
    .gif
    .gz
    .hta
    .inf
    Java
    .jar
    .job
    .jpeg
    .jpg
    .js
    .ko
    .ko.gz
    .msi
    OCX
    .png
    PS1
    .py
    .rar
    .reg
    .scr
    sys
    .tar
    .tmp
    .url
    .vbe
    .vbs
    .wsf
    .zip
    Schlag
    Java
    Python
    Python 3color
    Sch
    zsch
    /
    /bin
    /sbin
    /usr/lib
    C:
    C:\
    C:\*
    D:\
    D:\*
    C:\Program Files\Java
    C:\Temp\
    C:\Temp\*
    C:\Users\
    C:\Users\*
    C:\Windows\Prefetch
    C:\Windows\Prefetch\
    C:\Windows\Prefetch\*
    C:\Windows\System32\Spool
    C:\Windows\System32\CatRoot2
    C:\Windows\Temp
    C:\Windows\Temp\
    C:\Windows\Temp\*
    C:\Program Dateien\<Firmenname>\
    C:\Program (x86)\<Firmenname>\
    C:\Users\<UserProfileName>\AppData\Local\Temp\
    C:\Users\<UserProfileName>\AppData\LocalLow\Temp\
    note-icon

    Anmerkung: Dies ist keine vollständige Liste der zu vermeidenden Ausschlüsse, sondern bietet einen Einblick in die zentralen Angriffsvektoren. Die Gewährleistung der Transparenz dieser Pfade, Dateierweiterungen und Prozesse ist von entscheidender Bedeutung.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    7.0
    11-Apr-2025
    Format, maschinelle Übersetzung und Formatrevisionen.
    6.0
    12-Feb-2024
    Fehlende Ausschlusstypen hinzugefügt
    5.0
    01-Aug-2023
    Zusätzlicher Verhaltensschutz für den Linux-Connector
    4.0
    22-Feb-2023
    Abschnitt "Häufige Fehler" hinzugefügt
    3.0
    23-Mar-2022
    Abschnitt für Platzhalterprozess hinzugefügt
    2.0
    18-Feb-2022
    Aktualisierter Link zum Benutzerhandbuch
    1.0
    22-Aug-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Caly Hess
      PrincessX CEX Technical Leader
    • Matthew Franks
      Cisco Secure Endpoint Escalation Engineer
    • Mathew Huynh
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.