Configurazione e identificazione delle esclusioni degli endpoint sicuri

Introduzione

In questo documento vengono descritte le esclusioni, come identificarle e le best practice per crearle sull'endpoint sicuro Cisco.

Esclusione di responsabilità

Le informazioni fornite in questo documento si basano sui sistemi operativi Windows, Linux e macOS.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Panoramica

Dopo aver letto questo documento, dovresti comprendere:

• Definizione di esclusione e tipi di esclusione disponibili per Cisco Secure Endpoint.
• Come preparare il connettore per l'ottimizzazione dell'esclusione.
• Come identificare le esclusioni potenzialmente forti.
• Come creare nuove esclusioni in Cisco Secure Endpoint Console.
• Quali sono le procedure ottimali per creare esclusioni?

Che cosa sono le esclusioni?

Un set di esclusione è un elenco di directory, estensioni di file, percorsi di file, processi, nomi di minacce, applicazioni o indicatori di compromissione che non si desidera vengano analizzati o condannati dal connettore. Le esclusioni devono essere create con attenzione per garantire un equilibrio tra prestazioni e sicurezza in un computer quando è abilitata la protezione degli endpoint, ad esempio Secure Endpoint. In questo articolo vengono descritte le esclusioni per Secure Endpoint Cloud, TETRA, SPP e MAP.

Ogni ambiente è unico, così come l'entità che lo controlla, che varia da regole rigide a regole aperte. Le esclusioni devono pertanto essere adattate a ogni situazione.

Le esclusioni possono essere classificate in due modi, Esclusioni gestite da Cisco ed Esclusioni personalizzate.

Esclusioni gestite da Cisco

Le esclusioni gestite da Cisco sono esclusioni create sulla base di ricerche e che sono state sottoposte a test rigorosi su sistemi operativi, programmi e altri software di sicurezza di uso comune. È possibile visualizzare queste esclusioni selezionando Cisco-Maintain Exclusions (Esclusioni gestite da Cisco) in Secure Endpoint Console nella pagina Esclusioni.

Cisco monitora gli elenchi di esclusione consigliati pubblicati dai fornitori di antivirus e aggiorna le esclusioni gestite da Cisco in modo da includere le esclusioni consigliate.

Esclusioni personalizzate

Le esclusioni personalizzate sono esclusioni create da un utente per uno Use Case personalizzato in un endpoint. È possibile visualizzare queste esclusioni selezionando Esclusioni personalizzate nella Console endpoint sicuro nella pagina Esclusioni.

Tipi di esclusione

Esclusioni di processo

Le esclusioni dei processi consentono agli amministratori di escludere i processi dai motori supportati. I motori che supportano le esclusioni di processo su ciascuna piattaforma sono descritti nella tabella seguente:

Sistema operativo	Motore
	Scansione dei file	Protezione dei processi di sistema	Protezione da attività dannose	Protezione comportamentale
Windows	ľaddio	ľaddio	ľaddio	ľaddio
Linux	ľaddio	}	}	ľaddio
macOS	ľaddio	}	}	}

MacOS e Linux

Quando si crea un'esclusione di processo, è necessario specificare un percorso assoluto. È inoltre possibile specificare un utente facoltativo. Se si specifica sia un percorso che un utente, è necessario che siano soddisfatte entrambe le condizioni per escludere il processo. Se non si specifica un utente, l'esclusione dei processi verrà applicata a tutti gli utenti.

Caratteri jolly processo:

I connettori Secure Endpoint Linux e macOS supportano l'utilizzo di un carattere jolly all'interno dell'esclusione Process. Questo permette una copertura più ampia con meno esclusioni, ma può anche essere pericoloso se troppo viene lasciato indefinito. È necessario utilizzare il carattere jolly solo per includere il numero minimo di caratteri necessario per l'esclusione.

Uso del carattere jolly per macOS e Linux:

• Il carattere jolly è rappresentato da un unico asterisco (*)
• È possibile utilizzare il carattere jolly al posto di un singolo carattere o di una directory completa.
• Il posizionamento del carattere jolly all'inizio del percorso non è considerato valido.
• Il carattere jolly funziona tra due caratteri definiti, barre o caratteri alfanumerici.

Esempi:

Esclusione	Risultato previsto
/Libreria/Java/JavaVirtualMachines/*/java	Esclude Java in tutte le sottocartelle di JavaVirtualMachines
/Library/Jibber/j*bber	Esclude il processo per jabber, jibber, jobber, ecc.

Windows

Quando si crea un'esclusione di processo, è possibile fornire un percorso assoluto e/o un SHA-256 dell'eseguibile di processo. Se si specificano sia un percorso che SHA-256, affinché il processo venga escluso è necessario che siano soddisfatte entrambe le condizioni.

In Windows, è inoltre possibile utilizzare CSIDL o KNOWNFOLDERID all'interno del percorso per creare esclusioni di processo.

Limitazioni:

• Se le dimensioni del file del processo sono maggiori delle dimensioni massime del file di analisi impostate nel criterio, l'SHA-256 del processo non verrà calcolato e l'esclusione non funzionerà. Utilizzare un'esclusione di processo basata su percorso per i file di dimensioni superiori alla dimensione massima del file di digitalizzazione.
• Windows Connector impone un limite di 500 esclusioni di processo per tutti i tipi di esclusione di processo.
  • Le esclusioni di processo vengono rispettate solo fino al limite massimo, a partire dall'inizio dell'elenco di esclusioni di processo in policy.xml.
  • A ogni criterio di Windows è associata un'esclusione di processo per sfc.exe, che viene conteggiata rispetto al limite di esclusione di processo:

    
             
             
               3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48| 
             
    

Caratteri jolly processo:

I connettori di Windows per endpoint sicuri supportano l'utilizzo di un carattere jolly nell'esclusione Process. Questo permette una copertura più ampia con meno esclusioni, ma può anche essere pericoloso se troppo viene lasciato indefinito. È necessario utilizzare il carattere jolly solo per includere il numero minimo di caratteri necessario per l'esclusione.

Utilizzo del carattere jolly per Windows:

• Il carattere jolly viene rappresentato utilizzando un singolo asterisco () e un doppio asterisco (*)
• Unico asterisco (*):
  • È possibile utilizzare il carattere jolly al posto di un singolo carattere o di una directory completa.
  • Il posizionamento del carattere jolly all'inizio del percorso non è considerato valido.
  • Il carattere jolly funziona tra due caratteri definiti, barre o caratteri alfanumerici.
  • L'inserimento del carattere jolly alla fine di un percorso esclude tutti i processi in tale directory ma non le sottodirectory.
• Doppio asterisco (**):
  • Può essere posizionato solo alla fine di un tracciato.
  • L'inserimento del carattere jolly alla fine di un percorso esclude tutti i processi in tale directory e tutti i processi nelle sottodirectory.
  • Questo permette un set di esclusione molto più grande con input minimo, ma lascia anche un buco di sicurezza molto grande per la visibilità. Utilizzare questa funzione con estrema cautela.

Esempi:

Esclusione	Risultato previsto
C:\Windows\*\Tiworker.exe	Esclude tutti i processi di Tiworker.exe trovati nelle sottodirectory di Windows
C:\Windows\P*t.exe	Esclude Pot.exe, Pat.exe, P1t.exe, ecc.
C:\Windows\*chickens.exe	Esclude tutti i processi nella directory di Windows che terminano con chickens.exe
C:\*	Esclude tutti i processi nell'unità C: ma non nelle sottodirectory
C:\**	Esclude tutti i processi sull'unità C:.

Esclusioni di minacce

Le esclusioni delle minacce consentono di escludere un particolare nome di minaccia dall'attivazione degli eventi. È consigliabile utilizzare l'esclusione di minacce solo se si è certi che gli eventi siano il risultato di un rilevamento di falsi positivi. In questo caso, utilizzare il nome esatto della minaccia dall'evento come esclusione di minaccia. Tenere presente che se si utilizza questo tipo di esclusione anche un rilevamento vero-positivo del nome della minaccia non verrà rilevato, messo in quarantena o generato un evento.

Esclusioni di percorsi

Le esclusioni di percorso sono quelle utilizzate più di frequente, in quanto i conflitti tra applicazioni in genere comportano l'esclusione di una directory. Potete creare un'esclusione di tracciato utilizzando un tracciato assoluto. In Windows è inoltre possibile utilizzare CSIDIL o KNOWNFOLDERID per creare esclusioni di percorso.

Ad esempio, per escludere un'applicazione AV nella directory Programmi di Windows, il percorso di esclusione potrebbe essere uno dei seguenti:

C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory

Corrispondenze parziali percorso (solo Windows)

Se nell'esclusione del percorso non è specificata una barra finale, il connettore di Windows eseguirà una corrispondenza parziale nei percorsi. Mac e Linux non supportano corrispondenze parziali di percorso.

Ad esempio, se si applicano le seguenti esclusioni di Percorso in Windows:

C:\Program Files
C:\test

Verranno esclusi tutti i seguenti percorsi:

C:\Program Files
C:\Program Files (x86) 
C:\test
C:\test123

La modifica dell'esclusione da "C:\test" a "C:\test\" impedirà l'esclusione da "C:\test123".

Esclusioni estensione file

Le esclusioni delle estensioni di file consentono di escludere tutti i file con una determinata estensione.

Considerazioni principali:

• L'input previsto in Secure Endpoint Console è .extension
• Se non è stato aggiunto alcun punto, la Secure Endpoint Console lo precede automaticamente all'estensione del file.
• Nelle estensioni non viene fatta distinzione tra maiuscole e minuscole.

Ad esempio, per escludere tutti i file di database di Microsoft Access, è possibile creare l'esclusione seguente:

.MDB

Esclusioni con caratteri jolly

Le esclusioni di caratteri jolly sono uguali alle esclusioni di Percorso o Estensione file, con la differenza che è possibile utilizzare un asterisco (*) per rappresentare un carattere jolly all'interno del percorso o dell'estensione.

Ad esempio, se si desidera escludere le macchine virtuali su macOS dall'analisi, è possibile immettere la seguente Esclusione percorso:

/Users/johndoe/Documents/Virtual Machines/

Tuttavia, questa esclusione funzionerà solo per un utente, quindi sostituire il nome utente nel percorso con un asterisco e creare un'esclusione con caratteri jolly invece di escludere questa directory per tutti gli utenti:

/Users/*/Documents/Virtual Machines/

Windows

Quando si creano esclusioni con caratteri jolly in Windows, è possibile scegliere Applica a tutte le lettere di unità. Se si seleziona questa opzione, l'esclusione dei caratteri jolly viene applicata a tutte le unità collegate.

Se si dovesse creare manualmente la stessa esclusione, sarebbe necessario anteporla a ^[A-Za-z], ad esempio:

^[A-Za-z]\testpath

In entrambi gli esempi saranno esclusi C:\testpath e D:\testpath.

Secure Endpoint Console genera automaticamente ^[A-Za-z] quando è selezionata l'opzione Applica a tutte le lettere di unità per l'esclusione dei caratteri jolly.

Esclusioni eseguibili (solo Windows)

Le esclusioni dei file eseguibili si applicano solo ai connettori Windows con la prevenzione degli attacchi abilitata. L'esclusione di un eseguibile esclude alcuni eseguibili dalla protezione mediante la prevenzione degli attacchi. È consigliabile escludere un eseguibile da Exploit Prevention solo se si verificano problemi o problemi di prestazioni.

È possibile controllare l'elenco dei processi protetti ed escludere dalla protezione specificandone il nome eseguibile nel campo Esclusione applicazione. Le esclusioni degli eseguibili devono corrispondere esattamente al nome dell'eseguibile nel formato name.exe. I caratteri jolly non sono supportati.

Trovare le esclusioni corrette per la prevenzione dell'utilizzo è un processo molto più intenso rispetto a qualsiasi altro tipo di esclusione e richiede test approfonditi per ridurre al minimo eventuali problemi di sicurezza.

Esclusioni IOC (solo Windows)

Le esclusioni IOC consentono di escludere le indicazioni cloud di compromessi. Ciò può essere utile se si dispone di un'applicazione personalizzata o interna che potrebbe non essere firmata e causare l'attivazione frequente di determinati COI. Secure Endpoint Console fornisce un elenco di indicatori tra cui scegliere per le esclusioni IOC. È possibile selezionare gli indicatori da escludere mediante un elenco a discesa:

CSIDL e KNOWNFOLDERID (solo Windows)

I valori CSIDL e KNOWNFOLDERID vengono accettati e incoraggiati durante la scrittura delle esclusioni di percorsi e processi per Windows. I valori CSIDL/KNOWNFOLDERID sono utili per creare esclusioni di processi e percorsi per ambienti che utilizzano lettere di unità alternative.

Quando si utilizza CSIDL/KNOWNFOLDERID, è necessario tenere in considerazione alcune limitazioni. Se nell'ambiente i programmi vengono installati su più di una lettera di unità, il valore CSIDL/KNOWNFOLDERID fa riferimento solo all'unità contrassegnata come posizione di installazione predefinita o nota.

Ad esempio, se il sistema operativo è installato in C:\ ma il percorso di installazione di Microsoft SQL è stato modificato manualmente in D:\, l'esclusione basata su CSIDL/KNOWNFOLDERID nell'elenco di esclusione gestito non si applica a tale percorso. Ciò significa che è necessario immettere un'esclusione per ogni esclusione di percorso o di processo non presente nell'unità C:\, in quanto l'utilizzo di CSIDL/KNOWNFOLDERID non ne esegue il mapping.

Per ulteriori informazioni, fare riferimento alla seguente documentazione di Windows:

• CSIDL
• IDCARTELLA CONOSCIUTA

Prepara connettore per sintonizzazione esclusione

Per preparare il connettore per l'ottimizzazione dell'esclusione, è necessario:

1. Impostare un gruppo e un criterio da eseguire in modalità di debug.
2. Eseguire i computer nel nuovo gruppo di debug in base alle normali operazioni aziendali, concedendo il tempo necessario per ottenere dati di registro del connettore sufficienti.
3. Genera dati diagnostici sul connettore da utilizzare per identificare le esclusioni.

Per istruzioni sull'attivazione della modalità di debug e sulla raccolta di dati di diagnostica su sistemi operativi diversi, consultare i seguenti documenti:

• Cisco Secure Endpoint Connector per raccolta dati di diagnostica Mac
• Cisco Secure Endpoint Connector per la raccolta dei dati di diagnostica di Linux
• Analyze AMP Diagnostic Bundle for High CPU (Windows)

Identifica esclusioni

MacOS e Linux

I dati diagnostici generati in modalità di debug forniscono due file utili per la creazione delle esclusioni: fileops.txt ed excs.txt. Il file fileops.txt è utile per la creazione di Esclusioni percorso/estensione file/caratteri jolly, mentre il file excs.txt è utile per la creazione di Esclusioni processo.

Creazione di esclusioni di processo

Il file excs.txt elenca i percorsi eseguibili che hanno attivato Secure Endpoint per eseguire un'analisi dei file. A ogni percorso è associato un conteggio che indica quante volte è stato digitalizzato e l'elenco è ordinato in ordine decrescente. È possibile utilizzare questo elenco per determinare i processi con un volume elevato di eventi di esecuzione e quindi utilizzare il percorso del processo per le esclusioni dell'artigianato. Tuttavia, non è consigliabile escludere programmi di utilità generale (ad esempio /usr/bin/grep) o interpreti (ad esempio /usr/bin/ruby). Se un programma di utilità generale o un interprete sta generando un volume elevato di scansioni di file, è possibile eseguire ulteriori ricerche per cercare di creare esclusioni più mirate:

1. Escludere il processo padre: determinare l'applicazione che sta eseguendo il processo (ad esempio, trovare il processo padre che sta eseguendo grep) ed escludere questo processo padre. Ciò dovrebbe essere fatto, se e solo se, il processo padre può essere trasformato in una esclusione di processo sicura. Se l'esclusione padre si applica ai figli, verranno escluse anche le chiamate a qualsiasi figlio dal processo padre.
2. Escludi il processo per un determinato utente: determinare quale utente sta eseguendo il processo. Se il processo viene eseguito a un volume elevato da un utente specifico, è possibile escludere il processo solo per tale utente specifico (ad esempio, se un processo viene chiamato a un volume elevato dall'utente "root", è possibile escludere il processo, ma solo per l'utente "root" specificato, ciò consentirà a Secure Endpoint di monitorare gli esecuzioni di un determinato processo da parte di qualsiasi utente che non sia "root").

Output di esempio di excs.txt:

33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
 9 /usr/bin/pgrep
 9 /usr/bin/kmod
 7 /usr/bin/rm
 6 /usr/lib/systemd/systemd-cgroups-agent
 6 /usr/bin/rpm
 4 /usr/bin/tr
 4 /usr/bin/sort
 4 /usr/bin/find

Creazione di esclusioni di percorsi, estensioni di file e caratteri jolly

Il file fileops.txt elenca i percorsi in cui le attività di creazione, modifica e ridenominazione dei file attivate da Secure Endpoint consentono di eseguire scansioni dei file. A ogni percorso è associato un conteggio che indica quante volte è stato digitalizzato e l'elenco è ordinato in ordine decrescente. Un modo per iniziare a utilizzare le esclusioni di percorso consiste nel trovare i percorsi di file e cartelle digitalizzati più di frequente dal file fileops.txt e quindi valutare la possibilità di creare regole per tali percorsi. Sebbene un conteggio elevato non significhi necessariamente che il percorso deve essere escluso (ad esempio, una directory che memorizza i messaggi di posta elettronica può essere analizzata spesso ma non deve essere esclusa), l'elenco fornisce un punto di partenza per identificare i candidati all'esclusione.

Output di esempio di fileops.txt:

31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq

Una buona regola pratica consiste nel considerare qualsiasi elemento con un'estensione di file di registro o di diario come candidato di esclusione appropriato.

Behavioral Protection Engine (solo Linux)

A partire dalla versione 1.2.0 del connettore Linux e dall'introduzione del motore di protezione comportamentale, le esclusioni dei processi vengono applicate a tutti i motori e alle scansioni dei file. Un'attività di sistema estremamente elevata può causare errori 18 e per correggere questo errore è necessario applicare le esclusioni dei processi ai processi benigni molto attivi. Il file top.txt, generato dai dati di diagnostica della modalità di debug, può essere utilizzato per determinare i processi più attivi del sistema. Per ulteriori informazioni sulla procedura di correzione, consultare la guida Secure Endpoint Linux Connector Fault 18.

Le esclusioni dei processi sono utili anche per silenziare i rilevamenti di protezione comportamentale falsi positivi da software innocui. Se i rilevamenti segnalati nella Secure Endpoint Console sono ritenuti innocui, il processo può essere escluso per garantire che ciò che viene segnalato sia rilevante, senza falsi risultati positivi.

Windows

Il sistema operativo Windows è più complesso, sono disponibili più opzioni di esclusione a causa dei processi padre e figlio. Ciò indica che è necessaria una revisione più approfondita per identificare i file a cui si è avuto accesso, ma anche i programmi che li hanno generati.

Fare riferimento a questo Windows Tuning Tool dalla pagina GitHub di Cisco Security per ottenere ulteriori dettagli su come analizzare e ottimizzare le prestazioni di Windows con Secure Endpoint.

Creazione di regole di esclusione in Secure Endpoint Console

Per creare una nuova regola di esclusione utilizzando Secure Endpoint Console, completare i passaggi seguenti:

1. In Secure Endpoint Console passare alla pagina Criteri selezionando Gestione -> Esclusioni. (A) individuare la serie di esclusione che si desidera modificare e fare clic su Modifica oppure (B) fare clic su + Nuovo set di esclusione....
   
2. Nel popup Nuovo set di esclusione, selezionare un sistema operativo per cui creare il set di esclusione. Fare clic su Crea.
   
3. L'utente verrà reindirizzato a una pagina Nuovo set di esclusione. Fare clic su + Aggiungi esclusione e selezionare il tipo di esclusione dall'elenco a discesa Seleziona tipo.
   Windows:
   
   Mac/Linux:
   
4. Compilare i campi obbligatori per il tipo di esclusione selezionato.
5. Ripetere i passaggi 2 e 3 per aggiungere altre regole oppure fare clic su Salva per salvare il set di esclusione.

Procedure ottimali

Prestare attenzione quando si creano esclusioni in quanto riducono il livello di protezione fornito da Cisco Secure Endpoint. I file esclusi non vengono sottoposti a hashing, non vengono scansionati o non sono disponibili nella cache o nel cloud, l'attività non viene monitorata e mancano informazioni dai motori di back-end, dalla traiettoria del dispositivo e dall'analisi avanzata.

Le esclusioni devono essere utilizzate solo in istanze mirate, ad esempio problemi di compatibilità con applicazioni specifiche o problemi di prestazioni che altrimenti non potrebbero essere migliorati.

Di seguito sono riportate alcune procedure consigliate da seguire quando si creano esclusioni:

• Crea esclusioni solo per problemi comprovati
  • Non presumere che un'esclusione sia necessaria a meno che non sia stato dimostrato che si è trattato di un problema che non può essere affrontato altrimenti.
  • I problemi di prestazioni, i falsi positivi o i problemi di compatibilità delle applicazioni devono essere esaminati attentamente e risolti prima di applicare un'esclusione.
• Preferire le esclusioni di processo alle esclusioni di percorso/estensione di file/caratteri jolly
  • Le esclusioni dei processi consentono di escludere in modo più diretto attività software innocue rispetto all'utilizzo di una combinazione di esclusioni di percorsi, estensioni di file e caratteri jolly per ottenere lo stesso risultato.
  • Si consiglia di sostituire le esclusioni Path, File Extension e Wildcard che riguardano gli eseguibili dei programmi con le corrispondenti esclusioni Process, quando possibile.
• Evitare le esclusioni generali
  • Non escludere parti grandi dell'endpoint, ad esempio l'intera unità C.
  • Utilizzare il percorso completo del file anziché il solo nome.
  • Utilizzare la traiettoria del dispositivo, Secure Endpoint Diagnostics Data e Windows Tuning Tool per analizzare e determinare le esclusioni specifiche.
• Evitare di utilizzare in modo eccessivo le esclusioni dei caratteri jolly
  • Prestare attenzione quando si creano esclusioni con caratteri jolly. Utilizzare esclusioni più specifiche quando possibile.
  • Utilizzare la quantità minima di caratteri jolly in un'esclusione. Solo le cartelle che sono effettivamente variabili devono utilizzare un carattere jolly.
• Evitare di escludere Programmi di utilità generali e interpreti
  • Non è consigliabile escludere programmi di utilità generale o interpreti.
  • Se non è necessario escludere programmi di utilità generali o interpreti, fornire un utente di processo (solo macOS/Linux).
  • Ad esempio, evitare di scrivere esclusioni che includono python, java, ruby, bash, sh, ecc.
• Evitare esclusioni duplicate
  • Prima di creare un'esclusione, verificare se l'esclusione esiste già nelle esclusioni personalizzate o nelle esclusioni gestite da Cisco.
  • La rimozione delle esclusioni duplicate migliora le prestazioni e riduce la gestione operativa delle esclusioni.
  • Verificare che il percorso specificato in un'esclusione di processo non sia coperto da un'esclusione di percorso/estensione di file/carattere jolly.
• Evitare di escludere i processi utilizzati comunemente negli attacchi di malware
  • Per ulteriori informazioni, vedere Esclusioni non consigliate.
• Rimuovi esclusioni non aggiornate
  • Controlla regolarmente l'elenco di esclusione e conserva traccia del motivo per cui sono state aggiunte alcune esclusioni.
• Rimuovi esclusioni per compromissione
  • È necessario rimuovere le esclusioni se un connettore è compromesso per riottenere la massima sicurezza e visibilità.
  • Le azioni automatizzate possono essere utilizzate per applicare policy più sicure ai connettori dopo l'infezione. Se un connettore viene compromesso, deve essere spostato in un gruppo che contiene un criterio senza esclusioni per garantire il massimo livello di protezione.
  • Per ulteriori informazioni su come configurare in modo proattivo l'azione automatizzata "Sposta il computer in un gruppo dopo un compromesso", fare riferimento a Identificazione delle condizioni per l'attivazione di azioni automatiche in un endpoint sicuro.
• Aumenta la protezione per gli elementi esclusi
  • Quando le esclusioni sono assolutamente necessarie, prendere in considerazione quali tattiche di mitigazione possono essere adottate, ad esempio abilitando la protezione da scrittura per aggiungere alcuni livelli di protezione per gli elementi esclusi.
• Creare esclusioni in modo intelligente
  • Ottimizzare le regole scegliendo il processo padre di livello più alto che identifica in modo univoco l'applicazione da escludere e utilizzare l'opzione Applica a processo figlio per ridurre al minimo il numero di regole.
• Non escludere mai il processo di avvio
  • Il processo di avvio (avviato su macOS, init o system su Linux) è responsabile dell'avvio di tutti gli altri processi sul sistema e si trova in cima alla gerarchia dei processi.
  • L'esclusione del processo di avvio e di tutti i relativi processi secondari disabiliterebbe in modo efficace il monitoraggio degli endpoint sicuri.
• Specificare l'utente del processo quando possibile (solo macOS/Linux)
  • Se il campo utente viene lasciato vuoto, l'esclusione si applica a qualsiasi processo che esegue il programma specificato.
  • Mentre un'esclusione che si applica a qualsiasi utente è più flessibile, questo ampio ambito potrebbe involontariamente escludere attività che devono essere monitorate.
  • La specifica dell'utente è particolarmente importante per le regole che si applicano a programmi condivisi, quali motori di runtime (ad esempio, java) e interpreti di script (ad esempio, bash, python).
  • Se si specifica l'ambito dei limiti utente e si indica a Secure Endpoint di ignorare istanze specifiche durante il monitoraggio di altre istanze.

Esclusioni non consigliate

Anche se è impossibile conoscere ogni possibile vettore di attacco che un avversario può utilizzare, ci sono alcuni vettori di attacco core che devono essere monitorati. Per mantenere una buona postura di sicurezza e una buona visibilità, si sconsiglia di utilizzare le seguenti esclusioni:

AcroRd32.exe

addinprocess.exe

addinprocess32.exe

addinutil.exe

bash.exe

bginfo.exe

bitsadmin.exe

cdb.exe

csi.exe

dbghost.exe

dbgsvc.exe

dnx.exe

dotnet.exe

excel.exe

fsi.exe

fsiAnyCpu.exe

iexplore.exe

java.exe

kd.exe

lxssmanager.dll

msbuild.exe

mshta.exe

ntkd.exe

ntsd.exe

outlook.exe

psexec.exe

powerpnt.exe

powershell.exe

rcsi.exe

svchost.exe

schtasks.exe

system.management.automation.dll

windbg.exe

winword.exe

wmic.exe

wuauclt.exe

0,7z

bat

bin

.cab

cmd

.com

cpl

DLL

exe

fla

gif

.gz

hta

inf

java

jar

job

.jpeg

.jpg

js

ko

.ko.gz

msi

ocx

png

ps1

py

.rar

reg

scr

sys

.tar

tmp

url

vbe

vbs

wsf

.zip

sbattere

java

pitone

pitone 3

sh

zsh

/

/bin

/sbin

/usr/lib

C:

C:\

C:\*

D:\

D:\*

C:\Program Files\Java

C:\Temp\

C:\Temp\*

C:\Users\

C:\Users\*

C:\Windows\Prefetch

C:\Windows\Prefetch\

C:\Windows\Prefetch\*

C:\Windows\System32\Spool

C:\Windows\System32\CatRoot2

C:\Windows\Temp

C:\Windows\Temp\

C:\Windows\Temp\*

C:\Program Files\<nome società>\

C:\Program Files (x86)\<nome società>\

C:\Users\<NomeProfiloUtente>\AppData\Local\Temp\

C:\Users\<NomeProfiloUtente>\AppData\LocalLow\Temp\

Informazioni correlate

• Documentazione e supporto tecnico – Cisco Systems
• Cisco Secure Endpoint - Note tecniche
• Cisco Secure Endpoint - Guida per l'utente
• Risoluzione dei problemi di Exploit Prevention in Secure Endpoint
• Identificazione delle condizioni per l'attivazione di azioni automatizzate in un endpoint sicuro