Avez-vous un compte?
Ce document décrit comment créer une indication de fichier de signatures de la compromission (COI) par l'intermédiaire de l'éditeur COI de Mandiant, comment le télécharger au tableau de bord de Cisco FireAMP, et comment initier un COI de point final balayez.
Cisco recommande que vous ayez au moins un giga de l'espace lecteur libre avant que vous tentiez d'exécuter les balayages COI de point final.
Les informations dans ce document sont basées sur le module de balayage COI de point final, qui est disponible dans les versions 4.0.2 et ultérieures de connecteur de Cisco FireAMP Windows.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
La caractéristique de scanner COI de point final est un outil puissant de réponse d'incident qui est utilisé afin de balayer des indicateurs de POST-compromission à travers de plusieurs ordinateurs.
Le fichier de signatures COI est un schéma XML extensible pour la description des caractéristiques techniques qui identifient une menace connue, une méthodologie d'attaquant, ou d'autres preuves de compromission.
Vous pouvez importer le point final iocs par la console des fichiers basés sur OpenIOC qui sont écrits afin de déclencher sur des propriétés de fichier telles que le nom, la taille, et les informations parasites, aussi bien que d'autres attributs et propriétés de système telles que les informations sur le processus, des services courants, et des entrées dans le registre de Microsoft Windows. La syntaxe COI peut être utilisée par des responders d'incident afin de trouver les objets façonnés spécifiques ou afin d'employer la logique pour créer des détections sophistiquées et corrélées pour des familles de malware.
Il y a trois étapes que vous devez se terminer afin d'exécuter un balayage sur un fichier de signatures COI :
Ces étapes sont développées au moment dans les sections qui suivent.
Terminez-vous ces étapes afin de créer un fichier de signatures COI :
Afin d'exécuter un balayage, vous devez télécharger un COI classez au tableau de bord de FireAMP. Vous pouvez utiliser un fichier de signatures COI, un fichier XML, ou des archives de zip qui contiennent de plusieurs fichiers COI. Le tableau de bord décompresse et analyse le fichier avec les signatures COI. On vous annonce si une syntaxe incorrecte ou une propriété non vérifiée est utilisée.
Terminez-vous ces étapes afin de télécharger le fichier de signatures COI au tableau de bord de FireAMP :
Après que vous téléchargiez un fichier de signatures, exécutez un plein balayage. Le premier balayage doit être un plein balayage parce qu'il doit construire un catalogue des métadonnées pour l'ordinateur entier, qui peut prendre 1 – 2 heures. Vous pouvez exécuter un balayage instantané après que le système soit catalogué par un plein balayage.
Il y a deux différentes méthodes que vous pouvez employer afin de diriger un COI balayez. La première méthode est d'exécuter un balayage immédiat d'un événement ou du tableau de bord. Ceci est déclenché la prochaine fois qu'un PC envoie à une pulsation au nuage.
La deuxième méthode est de créer un COI programmé de point final balayent du menu de contrôle d'épidémie du tableau de bord. Cette option pourrait être idéale quand vous désirez exécuter des balayages pendant des heures creuses. Vous devez fournir les qualifications d'un compte qui a l'autorisation sur l'ordinateur donné afin de créer des tâches programmées et permettre le login en tant qu'autorisation de stratégie de groupe en lots.
Quand vous programmez un balayage COI de point final, ce message d'avertissement apparaît :
La prochaine fois que ce votre PC envoie une pulsation, et si vos qualifications sont valides, vous devriez voir un travail semblable à ceci dans le programmateur de tâche de Windows :
Quand le balayage commence, ce message apparaît :
Quand le balayage est complet, vous pouvez visualiser le COI de point final analysez le résumé de détection. Cet exemple affiche une correspondance pour le fichier de signatures COI de test.txt :