Terminal seguro: Exclusiones de procesos en MacOS y Linux

Opciones de descarga

  • PDF     (130.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (124.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (111.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de febrero de 2022
ID del documento:214656

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    A partir de la versión 1.11.0 del conector, el terminal seguro agrega soporte para las exclusiones de procesos en MacOS y Linux. En el pasado, la configuración de AMP para ignorar las actividades de una aplicación MacOS o Linux requería una combinación de reglas de exclusión de ruta, extensión de archivo y/o comodín. Dado que estas reglas se dirigen a archivos y directorios y no pueden asociarse a un programa o proceso, a menudo se necesitan varias reglas para cada programa y cada regla puede excluir innecesariamente las actividades de más de un programa. Las exclusiones de procesos proporcionan una forma más directa y precisa de excluir las actividades de una aplicación. Cuando se utilizan correctamente, las exclusiones de procesos pueden mejorar significativamente el rendimiento de AMP con efectos adversos mínimos en la seguridad del sistema.

    Las reglas de exclusión de procesos se administran en la consola web de terminales seguros. Cada regla consta de:

    • La ruta completa (absoluta) al ejecutable del programa,
    • El nombre de usuario del proceso (opcional) y
    • Si también se deben excluir los procesos secundarios (valor predeterminado: no)

    Cuando una regla de exclusión de procesos coincide con un proceso en ejecución, se excluyen del análisis todas las actividades realizadas por ese proceso y, opcionalmente, sus procesos secundarios.

    A partir de la versión 1.15.2 del conector, la ruta de exclusión del proceso aceptará comodines ('*'). Un comodín coincidirá con cualquier conjunto de caracteres dentro de un archivo o nivel de directorio.

    ¡IMPORTANTE!

    Con la adición de la exclusión de procesos en los conectores 1.11.0 de Mac y Linux, también está cambiando la interpretación de las reglas existentes Path, File Extension y Wildcard. No hay cambios en el comportamiento de los conectores 1.10.x y anteriores. Sin embargo, las mismas normas de 1.11.0 no se aplicarán de la misma manera. Consulte la sección Cambios en las Reglas de Ruta, Extensión de Archivo y Exclusión de Comodín para obtener detalles.

    Preparación para las exclusiones de procesos

    Hay tres consideraciones importantes antes de actualizar los terminales MacOS y Linux:

    1. Los conectores 1.10.x y anteriores ignoran las reglas de exclusión de procesos.
    2. 1.11.0 y los conectores más nuevos cumplen las reglas de exclusión de procesos, pero interpretan las reglas de ruta, extensión de archivo y comodín de forma diferente que los conectores más antiguos. Esto puede afectar negativamente al rendimiento del sistema.
    3. El conector Mac 1.10.0 y el conector Linux 1.11.0 introdujeron optimizaciones genéricas de escaneo en ejecución que mitigan la pérdida de rendimiento de la nueva interpretación descrita en (2).

    Cambios en las reglas de exclusión de ruta, extensión de archivo y comodín

    En las versiones 1.10.x y anteriores del conector: Las reglas Archivo, Ruta y Comodín excluyen el archivo o directorio de destino de la exploración para estas operaciones de archivo:

    • Crear
    • Modificar
    • Cambiar nombre
    • Ejecutar

    En las versiones 1.11.0 y más recientes del conector: La interpretación de las reglas Path, File Extension y Wildcard ha cambiado de modo que, en una coincidencia, la ejecución de archivos activará un escaneo en lugar de ser excluido. Se siguen excluyendo la creación, modificación y cambio de nombre de archivos. Los motivos de este cambio son los siguientes:

    1. Evita la exclusión no deseada de la actividad de ejecución al excluir directorios de archivos de datos.
    2. Complementa mejor las reglas de exclusión de procesos al permitir excluir de forma independiente las operaciones de ejecución y no ejecución en la misma ruta.
    3. Alinea la interpretación de macOS y Linux de estas reglas con AMP en Windows.

    En la mayoría de los casos, se calcula que el aumento del uso de la CPU de AMP es inferior al 20%. En algunos casos, el uso de la CPU de AMP puede disminuir. Esto es posible si las optimizaciones genéricas de escaneo en ejecución de la nueva versión del conector son más efectivas que las reglas de exclusión en uso.

    Guía de actualización del conector

    En el caso de los sistemas previamente adaptados utilizando exclusiones, es necesario prestar atención después de actualizar a la versión 1.11.0 (o posterior) para garantizar que el rendimiento del sistema sigue siendo satisfactorio. Los pasos de actualización recomendados son:

    1. Sin realizar ningún cambio de exclusión, actualice el conector.
    2. Evaluar el rendimiento del sistema después de la actualización.
    3. Si el rendimiento del sistema después de la actualización es satisfactorio, elimine las reglas Path (Ruta), File Extension (Extensión de archivos) y Wildcard Exclusion (Exclusión de comodín) que se dirigen a los ejecutables del programa en lugar de a los archivos de datos. Esas reglas ya no son necesarias. A continuación, se pueden agregar nuevas reglas de exclusión de procesos para mejorar aún más el rendimiento a la mayor comodidad.
    4. Si el rendimiento del sistema después de la actualización no es satisfactorio, reemplace las reglas Path (Ruta), File Extension (Extensión de archivos) y Wildcard Exclusion (Exclusión de comodín) que se dirigen a los ejecutables del programa por las reglas de exclusión de procesos correspondientes. El rendimiento del sistema debe mejorar hasta un nivel que sea el mismo o mejor que antes de la actualización.

    En implementaciones más grandes en las que los conectores se actualizan por fases, se recomienda aplazar la modificación o eliminación de las reglas de exclusión Path, File Extension y Wildcard hasta después de que todos los conectores se hayan actualizado a 1.11.0 o posterior. Esto garantiza que los conectores más antiguos que se basan en las reglas de exclusión existentes no se vean afectados negativamente antes de actualizar el terminal.

    Agregar reglas de exclusión de procesos

    Las reglas de exclusión de procesos se pueden crear mediante el portal web de terminales seguros. El procedimiento es:

    1. Busque el conjunto de exclusiones que desea modificar. Haga clic en `Agregar exclusión' y seleccione `Proceso: Análisis de archivos`.

      File Scan

    2. Introduzca la ruta absoluta para excluir el programa, la cuenta de usuario que ejecutará el programa (opcional) y si la exclusión debe aplicarse a todos los procesos secundarios creados por el programa.
      Exclusion path

      A partir de la versión 1.15.2 del conector, los caracteres comodín (*) se pueden utilizar dentro de la ruta para representar cualquier número de caracteres en un único directorio. Se recomienda utilizar el comodín para cubrir el número mínimo de caracteres necesarios para proporcionar la exclusión necesaria. El comodín también se puede utilizar junto con caracteres dentro de un directorio para reducir aún más la exclusión.

      Path with wildcard
    3. Haga clic en `Agregar exclusión` para agregar más reglas (repita los pasos 1 a 2) o haga clic en `Guardar` para guardar el conjunto de exclusión.

      Add exclusion

    Prácticas recomendadas para la exclusión de procesos

    • No excluir nunca el proceso de inicio: El proceso de inicio (es decir, `launchd` en macOS, `init` o `systemd` en Linux) es responsable de crear todos los demás procesos en el sistema y está en la parte superior de la jerarquía de procesos. Si se excluye el proceso de inicio y todos sus procesos secundarios, se inhabilitaría de forma efectiva el monitoreo de AMP.
    • Especificar usuario cuando sea posible: Si el campo Usuario se deja en blanco, la exclusión se aplica a cualquier proceso que ejecute el programa especificado. Si bien una regla que se aplica a cualquier usuario puede ser más flexible, este amplio alcance podría excluir involuntariamente la actividad que debería ser monitoreada. La especificación del Usuario es especialmente importante para las normas que se aplican a programas compartidos, como motores en tiempo de ejecución (por ejemplo, `java`) e intérpretes de secuencias de comandos (por ejemplo, `bash`, `python`). La especificación del usuario limita el alcance y dirige a AMP a ignorar instancias específicas mientras se monitorean otras instancias.
    • Evite la superposición entre las reglas de exclusión de procesos y de extensión/extensión de archivos/comodín: Al excluir la ejecución de un programa del escaneo, una buena salvaguardia para mantener es detectar modificaciones de ese programa de confianza y activar análisis de archivos. Asegurarse de que la ruta especificada en una regla de exclusión de procesos no esté cubierta por una regla de ruta/extensión de archivo/comodín garantiza que la modificación del archivo no se excluirá de la exploración de forma involuntaria. 
    • Minimizar el número de reglas: Aunque los conectores Mac y Linux no imponen un número máximo de reglas de exclusión de procesos, más reglas pueden generar sobrecarga de evaluación adicional. Elija el proceso primario de nivel más alto que identifica de forma única la aplicación para excluir y utilice la opción Aplicar al proceso secundario para minimizar el número de reglas.     

    Diferencias con la implementación de Windows

    Al agregar compatibilidad con la exclusión de procesos y reducir el alcance de las reglas Path, File Extension y Wildcard, se agregan las exclusiones de MacOS y Linux en una alineación más estrecha con Windows. Sin embargo, todavía hay importantes diferencias en la implementación:

    1. Las reglas de exclusión de procesos de MacOS y Linux aceptan un nombre de usuario opcional para acompañar la ruta completa del ejecutable del proceso, mientras que Windows acepta un valor hash SHA-256 opcional. Excluir un proceso por su valor hash SHA-256 no es soportado actualmente en MacOS y Linux.
    2. Los motores de actividad maliciosa y proceso del sistema son exclusivos de Windows y, por lo tanto, esos tipos de exclusión no están disponibles en MacOS y Linux.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    25-Feb-2022
    Renovación de la marca del conector
    1.0
    19-Jul-2019
    Versión inicial

    Contribución realizada por

    • Anthony Chan
      Engineering Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos