AMP für Endgeräte-Konsole und der zuletzt erkannte Filter

Download-Optionen

  • PDF     (325.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (155.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (105.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. September 2019
Dokument-ID:214893

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die Erläuterung des Filterfehlers "Zuletzt erkannt", der auf CSCvh3177 in Advanced Malware Protection (AMP) für Endgeräte verweist.

    Unterstützt von Caly Hess, Cisco Engineer.

    Voraussetzungen 

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Zugriff auf das Dashboard von Cisco AMP für Endgeräte

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf der Software:

    • Cisco AMP für Endgeräte für Endgeräte, Konsolenversion 5.4.20190917

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Problem

    Der Filter für "Zuletzt gesehen" von der Seite "Computer" in der Konsole zeigt die in den letzten 24 Stunden sichtbaren Anschlüsse an, die in der Liste angezeigt werden.

    Ursache

    Die aktuelle Auslastung der "Last Seen"-Daten ist alle 24 Stunden ein Einzelvorgang. Obwohl die Daten, die auf der Seite "Computer" angezeigt werden, und die Ausgabe für "Als CSV exportieren" für "Zuletzt gesehen" in Echtzeit erfolgen, wird der Filter selbst von den Batchdaten dieses einzelnen Auftrags ausgeführt. Dies wurde implementiert, um die Geschwindigkeit der Ergebnisse zu erhöhen, da die Echtzeitanalyse der Zeitstempel für große Unternehmensumgebungen zu Zeitüberschreitungen und Datenbanksperrungen führen konnte.

    Erläuterung von "Kürzlich gesehenen" Computern in einem 7+ Tage Filter

    Der Computer war über 7 Tage lang offline, bis der Auftrag "Zuletzt gesehen" ausgeführt wurde. 

    Beispiel aus der Praxis

    • HostA.randomdomain.net hatte einen unglücklichen Unfall mit einem vollen Kaffeebecher und das Motherboard hat sich am 10. August nicht vollständig erholt
    • HostA.randomdomain.net sitzt nun bis zum 20. September im Reparaturlager.
    • Am 21. September kehrt HostA.randomdomain.net 4 Stunden nach Ausführung des Auftrags "Last Seen", aber 2 Stunden vor dem Export der in den letzten 30 Tagen nicht gesehenen Computer in das Netzwerk zurück
    • HostA.randomdomain.net wird immer noch vom Job "Last Seen" als über 30 Tage nicht gesehen aufgeführt. Obwohl es nun voll funktionsfähig und kaffeefreier ist, fängt der Auditor es jetzt in seinem "inaktiven" Export ein

    Kurzfristige Lösung

    Die Ausführung des Auftrags selbst dauert nicht ganze 24 Stunden, kann jedoch mindestens 12 Stunden dauern. Um die Genauigkeit des Filters zu erhöhen, wird eine automatische Neuplanung für den Auftrag nach Abschluss des vorherigen Auftrags entwickelt, die voraussichtlich irgendwo zwischen 7 und 12 Stunden aus dem Batch-Fenster herausgeschnitten wird. 

    Langfristige Lösung

    Eine komplette Überarbeitung des "Last Seen"-Mechanismus, der näher an Echtzeit ist, wenn die Daten abgerufen werden. Diese Lösung erfordert die Implementierung einer völlig neuen Datenbankstruktur, die derzeit mit der vorgeschlagenen Veröffentlichung im nächsten Kalenderjahr entwickelt wird. 

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    25-Sep-2019
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Caly Hess
      Cisco Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.