Modifiche all'elenco di esclusione gestite da Cisco per Cisco Secure Endpoint Console

Introduzione

Questo documento descrive le modifiche aggiunte alle esclusioni gestite da Cisco.

Le esclusioni gestite da Cisco sono create e gestite da Cisco per garantire una migliore compatibilità tra Advanced Malware Protection (AMP) for Endpoints Connector e software antivirus, di sicurezza o di altro tipo. Tali esclusioni possono essere aggiunte alle nuove versioni di un'applicazione.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Esclusioni in AMP for Endpoints
• console AMP

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• AMP for Endpoints console versione 5.4.20190820

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Aspettative in caso di aggiornamento

Quando gli elenchi Cisco-Managed vengono modificati, si verifica un aggiornamento delle policy sul back-end per riflettere la modifica.  Man mano che ciascuno degli endpoint utilizza l'elenco archiviato nel proprio heartbeat, recupera il criterio aggiornato.  Queste modifiche ai criteri non vengono riflesse nel log di controllo in quanto tecnicamente rappresentano una modifica all'elenco di esclusione, non ai criteri stessi e gli elenchi di esclusione gestiti da Cisco non esistono nel normale log di controllo sulle singole console.  Per gli ambienti su larga scala, questo sembra un'ondata di aggiornamenti delle policy e il risultato finale sarà un miglioramento delle prestazioni di ogni endpoint. 

Il periodo di aggiornamento dipende da ciascun endpoint.  Se tutti i computer sono in linea, gli aggiornamenti avvengono entro 1-2 heartbeat.  Se si tratta di un ambiente globale, gli aggiornamenti continuano a verificarsi quando i computer sono in linea, quindi non sorprendetevi di vedere ulteriori aggiornamenti delle policy 24-48 ore dopo il push dell'elenco di manutenzione.

Modifiche

18 dicembre - 2024

VEEAM

Aggiunta di:

• CSIDL_PROGRAM_FILES\Veeam\Backup and Replication\Threat Hunter\

Cisco Webex

Aggiunta di:

• CSIDL_LOCAL_APPDATA\WebEx\WebEx64\Meetings\webexmta.exe
• CSIDL_PROGRAM_FILES\Cisco Spark\CiscoCollabHost.exe

Impostazioni predefinite di Microsoft Windows

Piccola modifica del processo esistente omadmclient.exe per includere i processi figlio.

4 giugno - 2025

Impostazioni predefinite di Microsoft Windows

aggiunta di:

• CSIDL_PROGRAM_FILES\Cisco\Cisco Secure Client\CM\*\CMID\*\csc_cmid.exe
• CSIDL_PROGRAM_FILES\Cisco\Cisco Secure Client\CM\*\CMPM\*\csc_pm.exe
• CSIDL_PROGRAM_FILES\Cisco\Cisco Secure Client\EVM\bin\csc_evm.exe
• CSIDL_PROGRAM_FILES\Agente di inventario dispositivi Microsoft\InventoryService\InventoryService.exe
• CSIDL_PROGRAM_FILESX86\Cisco\Cisco Secure Client\NVM\acnvmagent.exe
• CSIDL_COMMON_APPDATA\Cisco\Cisco Secure Client\EVM\*
• CSIDL_PROGRAM_FILES\Agente di inventario dispositivi Microsoft\InventoryService\

Apple macOS predefinito

aggiunta di:

• /opt/cisco/secureclient/evm/bin/csc_evm.app/Contents/MacOS/csc_evm
• /Library/Cisco/evm/Log File
• /Library/Cisco/evm/Upload\ Coda/

17 settembre - 2025

Impostazioni predefinite di Microsoft Windows

aggiunta di:

• CSIDL_PROGRAM_FILES\Cisco\Forensics\AIR\*
• CSIDL_PROGRAM_FILES\Cisco\Forensics\AIR\

Apple macOS predefinito

aggiunta di:

• /opt/cisco/forensics/air/
• /opt/cisco/forensics/air/**

Nota: Windows Secure Endpoint versioni 8.4.0+ risolve il rilevamento dei percorsi per tutte le esclusioni CSIDL.

17 dicembre - 2025

Team Microsoft

aggiunta di:

• CSIDL_PROGRAM_FILES\WindowsApps\MSTeams_*\