Switches de línea de comandos de AMP para terminales

Introducción

Este documento describe los switches de la línea de comandos (CLI) disponibles para utilizar con la protección frente a malware avanzado (AMP) para terminales e ipsupporttool.exe.

Antecedentes

La interacción con los terminales, tanto físicamente como a través de la interfaz gráfica de usuario (GUI), no siempre está disponible para la accesibilidad en entornos específicos. AMP para terminales proporciona varios enfoques para la interacción; este documento proporcionará los switches para la CLI. 

Nota: Los switches CLI para el instalador están disponibles aquí.  (https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118587-technote-fireamp-00.html)

Switches de línea de comandos de AMP para terminales

Switches AMP sfc.exe

1. Abra el símbolo del sistema en Windows.
2. Navegue hasta la carpeta en el símbolo del sistema. Ruta predeterminada: C:\Program Files\Cisco\AMP\X.X.X\, X.X.X indica el número de versión). 

   cd C:\Program Files\Cisco\AMP\6.1.7\

3. Ejecute los switches disponibles proporcionados.

Nota: Al ejecutar los switches, no se repetirá ningún resultado.

Switches disponibles para su uso con sfc.exe

•  -s: Iniciar servicio Inmunet Protect (Conector de Windows). El servicio ya se debe haber registrado en SCM para que se inicie.

sfc.exe -s

• -k: Servicio Stop Inmunet Protect (Conector de Windows). Si Connector Protection está habilitado, puede detener el servicio utilizando: sfc.exe -k _password_

sfc.exe -k
sfc.exe -k examplepassword

• -i: Instale el servicio Inmunet Protect (Conector de Windows). También establece la acción predeterminada que se debe realizar si el servicio falla.

sfc.exe -i

• -u: Desinstale el servicio Inmunet Protect (Conector de Windows). Cancele el registro del servicio con el Administrador de control de servicios de Windows (SCM). El desinstalador utiliza esta opción para desinstalar el servicio de conector de Windows.

sfc.exe -u

• -r: Restablece el servicio Inmunet Protect (Conector de Windows). Esto es muy similar a la opción -i pero no instala el servicio. Esto es útil para corregir la corrupción local.xml.

sfc.exe -r

• -x: Esta opción es similar a -u pero realiza varios pasos adicionales.
  - Similar a '/remove 1' con el paquete del instalador.
  - Anule el registro del servicio con el Administrador de control de servicios de Windows (SCM).
  - Enviar el evento de desinstalación a la nube
  - Anular registro con Windows Security Center
  - Eliminar análisis programados registrados con el planificador de tareas de Windows

sfc.exe -x

• -l inicio para habilitar AND -l stop para inhabilitar. (El disparador es una L en minúscula) - Conmuta el debug y el registro del núcleo dinámicamente. Este estado continuará hasta que se desactive, se reinicie el servicio o se configure una nueva política para cambiar el nivel de registro.

sfc.exe -I start
sfc.exe -I stop

• -desbloquear SHA_of_the_file: Esta opción es desbloquear la ejecución de un proceso. Después de ejecutar este switch de comando, la Aplicación se quitará de la memoria caché local del núcleo de la lista de bloqueo de aplicaciones.
  La situación para utilizar este switch de comandos es cuando una aplicación se bloquea debido a un error o falso positivo y nosotros desea desbloquear rápidamente la aplicación sin esperar 30 minutos ni reiniciar la máquina.

sfc.exe -unblock f5b6ab29506d5818a2f8d328029bb2fcb5437695702f3c9900138140f3cd980c

• -volver a registrar (desde el conector v.6.2.1 en adelante): Esta opción borrará el uuid y los certificados de local.xml y del registro mientras el servicio se está ejecutando, y desencadenará una nueva inscripción. Local.xml y el registro se actualizan con nuevos valores. Sin embargo, esto se bloquea si la sincronización de ID está activada y, básicamente, el conector vuelve a tener UUID existente. 

sfc.exe -reregister

• -force update (a partir del conector v.7.2.7): Esta opción obligará al conector a actualizar las definiciones de TETRA.

sfc.exe -forceupdate

Switches AMP ipsupporttool.exe

1. Abra el símbolo del sistema en Windows.
2. Navegue hasta la carpeta en el símbolo del sistema. Ruta predeterminada: C:\Program Files\Cisco\AMP\X.X.X\, X.X.Xdenota el número de versión). 

   cd C:\Program Files\Cisco\AMP\6.1.7\

3. Ejecute los switches disponibles proporcionados.

Nota: Al ejecutar los switches, no se repetirá ningún resultado.

Switches disponibles con ipsupporttool.exe:

Precaución: Cualquier switch que haga referencia a una opción de carpeta requiere que se creen las carpetas antes de especificar.

• -d: Especifica la carpeta desde la que la herramienta de soporte de Windows recuperará los archivos.
  - Si no se especifica, la Herramienta de soporte recuperará los archivos del directorio del conector actual.

ipsupporttool.exe -d C:\Program Files\Cisco\AMP\6.1.7\TestFolder\

• -o: Especifica la carpeta de resultados de la herramienta de soporte. Predeterminada al escritorio si no se especifica esta opción.

ipsupporttool.exe -o C:\Program Files\Cisco\AMP\6.1.7\TestFolder\

• -t: Ejecuta un diagnóstico de nivel de depuración Timed de la herramienta de soporte de Windows durante el tiempo especificado. La duración del tiempo se especifica en minutos.

ipsupporttool.exe -t 5

Información Relacionada

• Soporte Técnico y Documentación - Cisco Systems
• Cisco AMP para terminales: notas técnicas
• Cisco AMP para terminales: guía del usuario