Dépannage des événements d'analyse de fichiers faux positifs dans Secure Endpoint

Options de téléchargement

  • PDF     (873.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (732.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (682.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 mars 2026
ID du document:215993

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment collecter une analyse de fichier de faux positif dans Cisco Secure Endpoint.

    Conditions préalables

    Exigences

    Cisco recommande que vous connaissiez le tableau de bord de la console Secure Endpoint.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur Secure Endpoint version 8.X.X et ultérieures.

    Remarque : Un compte doté de privilèges d'administrateur est nécessaire.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Les terminaux sécurisés peuvent générer des alertes excessives sur un certain fichier/processus/script/algorithme de hachage sécurisé (SHA) 256. Si vous suspectez des détections de faux positifs sur votre réseau, vous pouvez contacter le centre d'assistance technique Cisco (TAC), et l'équipe de diagnostic procède à une analyse approfondie des fichiers. Lorsque vous contactez le TAC Cisco, vous devez fournir les informations suivantes :


    · Fichier SHA 256 hash
    · Exemple de copie de fichier
    · Capture des événements d'alerte depuis Secure Endpoint Console

    · Détails des événements JSON capturés à partir de la console Secure Endpoint
    · Information sur le dossier (d'où il provient et pourquoi il doit être dans l'environnement)
    · Expliquez pourquoi vous croyez que le dossier ou le processus peut être un faux positif

    Cisco s'efforce toujours d'améliorer et de développer les informations sur les menaces pour la technologie Secure Endpoint. Toutefois, si votre solution Secure Endpoint déclenche une alerte par erreur, vous pouvez prendre des mesures pour empêcher tout impact supplémentaire sur votre environnement. Ce document fournit des directives pour obtenir tous les détails nécessaires pour ouvrir un dossier auprès du TAC Cisco concernant un problème de faux positif. D'après l'analyse des fichiers de l'équipe de diagnostic, la disposition des fichiers peut être modifiée pour arrêter les événements d'alerte déclenchés sur Secure Endpoint Console ou Cisco TAC peut fournir le correctif approprié pour permettre l'exécution du fichier/processus sans problème dans votre environnement.

    Dépannage de l'analyse des fichiers faux positifs dans Secure Endpoint

    Cette section fournit les informations que vous pouvez utiliser pour obtenir tous les détails nécessaires à l'ouverture d'un ticket False Positive auprès du TAC Cisco.

    1. Fichier SHA 256 Hash

    Étape 1. Pour obtenir le hachage SHA 256, accédez àSecure Endpoint Console > Dashboard > Events.


    Étape 2. SélectionnezAlert Event andle clic surSHA256la etCopysélectionnez les touches affichées dans l'image.

    Event SHA256 copy value

    2. Exemple de copie de fichier

    Étape 1. Vous pouvez obtenir l’exemple de fichier à partir de la console Secure Endpoint, naviguez jusqu’àSecure Endpoint Console > Dashboard > Events.


    Étape 2. Cliquez surAlert Event,le boutonSHA256et naviguezFile Fetch > Fetch Filejusqu’à l’image.

    Fetch file menu

    Étape 3. Sélectionnez le périphérique sur lequel le fichier a été détecté et cliquezFetchsur comme indiqué dans l’image.

    Fetch file pop-up

    Remarque : Le périphérique doit être sous tension pour obtenir le fichier d'exemple.

    Étape 4. Vous recevez la notification comme indiqué dans l’image.

    Request fetch

    Après quelques minutes, vous recevez une notification par e-mail lorsque le fichier est disponible pour téléchargement, comme illustré dans l'image.

    Email

    Étape 5. Accédez à Secure Endpoint Console > Analysis > File RepositoryetDownloadsélectionnez les options affichées dans l’image.

    File Repository list

    Étape 6. Une boîte de notification apparaît, cliquez sur Download, comme indiqué dans l'image, et le fichier est téléchargé en tant que fichier ZIP.

    download notification

    3. Capture d’événements d’alerte à partir de Secure Endpoint Console

    Étape 1. Accédez àSecure Endpoint Console > Dashboard > Events.


    Étape 2. SélectionnezAlert Eventle et effectuez la capture comme indiqué dans l’image.

    event details

    4. Détails des événements JSON à partir de la console Secure Endpoint

    Étape 1. Accédez àSecure Endpoint Console > Dashboard > Events.


    Étape 2. SélectionnezAlert Eventl'option et cliquez surViewen regard de l'option JSON, comme illustré dans l'image.

    event details

    Il ouvre les détails JSON comme indiqué dans l'image. Cliquez sur Download pour enregistrer le contenu.

    JSON content


    5. Informations relatives au dossier

    • Informations sur l'origine du fichier
    • Si le fichier provient d'un site Web, partagez l'URL Web 
    • Partagez une petite description du fichier et expliquez sa fonction

    6. Explication

    • Pourquoi croyez-vous que le processus de traitement des dossiers peut être un faux positif ? 
    • Partagez les raisons pour lesquelles vous approuvez le fichier.

    Fournir des informations

    • Une fois que vous avez collecté tous les détails, téléchargez toutes les informations demandées sur https://mycase.cloudapps.cisco.com/case.
    • Veillez à faire référence au numéro de la demande de service (SR).

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    26-Mar-2026
    Version 8.x.x
    1.0
    02-Sep-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Ingénieurs Cisco
      Ingénieurs TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits