Risoluzione dei problemi relativi agli eventi di analisi dei file falsi positivi in un endpoint protetto

Opzioni per il download

  • PDF     (878.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (733.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (684.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:24 aprile 2026
ID documento:215993

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come raccogliere un'analisi di file falsi positivi in Cisco Secure Endpoint.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza del dashboard di Secure Endpoint Console.

Componenti usati

Le informazioni fornite in questo documento si basano sulla versione 8.x.x e successive di Secure Endpoint.

Nota: È necessario un account con privilegi di amministratore.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Gli endpoint sicuri possono generare avvisi eccessivi su un determinato file/processo/script/SHA (Secure Hash Algorithm) 256. Se si sospetta la presenza di errori positivi nella rete, è possibile contattare Cisco TAC e il team di diagnostica procederà a un'analisi più approfondita dei file. Quando si contatta Cisco TAC, è necessario fornire le seguenti informazioni:

· Hash file SHA 256
· Copia di esempio dei file
· Acquisizione di eventi di avviso da Secure Endpoint Console

· Dettagli degli eventi JSON acquisiti da Secure Endpoint Console
· Informazioni sul file (origine e motivo della presenza nell'ambiente)
· Spiegare perché si ritiene che il file/processo possa essere un falso positivo

Cisco si impegna sempre a migliorare ed espandere le funzionalità di intelligence delle minacce per la tecnologia Secure Endpoint. Tuttavia, se la soluzione Secure Endpoint attiva un avviso erroneamente, è possibile adottare alcune misure per evitare ulteriori impatti sull'ambiente. Questo documento offre linee guida per ottenere tutti i dettagli necessari per aprire una richiesta in Cisco TAC in relazione a un problema di falso positivo. In base all'analisi dei file del team di diagnostica, la disposizione dei file può variare per arrestare gli eventi di allarme attivati su Secure Endpoint Console oppure Cisco TAC può fornire la correzione appropriata per consentire l'esecuzione del file o del processo senza problemi nell'ambiente in uso.

Risoluzione dei problemi relativi all'analisi dei file falsi positivi in un endpoint sicuro

In questa sezione vengono fornite le informazioni che è possibile utilizzare per ottenere tutti i dettagli necessari per aprire un ticket Falso positivo con Cisco TAC.

Hash SHA 256 file

Passaggio 1. Per ottenere l'hash SHA 256, passare a Secure Endpoint Console > Dashboard > Eventi.

Passaggio 2. Scegliere l'evento Alert.andFare clic su SHA256 e scegliere Copia come mostrato nell'immagine.

Event SHA256 Copy Value

Copia di esempio file

Passaggio 1. È possibile ottenere il file di esempio da Secure Endpoint Console, passare a Secure Endpoint Console > Dashboard > Eventi.

Passaggio 2. Scegliere l'evento di avviso, fare clic su SHA256 e selezionare File Recupera > Recupera file come mostrato nell'immagine.

Fetch File Menu

Passaggio 3. Scegliere la periferica in cui è stato rilevato il file e fare clic su Fetch, come mostrato nell'immagine.

Fetch File Pop-up

Nota: Per ottenere il file di esempio, è necessario che il dispositivo sia acceso.

Passaggio 4. L'utente riceve la notifica come mostrato nell'immagine.

Request Fetch

Dopo alcuni minuti si riceve una notifica e-mail quando il file è disponibile per il download, come mostrato nell'immagine.

Email

Passaggio 5. Passare a Secure Endpoint Console > Analisi > File Repository e scegliere Scarica come mostrato nell'immagine.

File Repository List

Passaggio 6. Viene visualizzata una finestra di notifica. Fare clic su Download, come mostrato nell'immagine, e il file viene scaricato come file ZIP.

Download Notification

Acquisizione di eventi di avviso da Secure Endpoint Console

Passaggio 1. Passare a Secure Endpoint Console > Dashboard > Eventi.

Passaggio 2. Scegliere l'evento di avviso e acquisire come mostrato nell'immagine.

Event Details

Dettagli eventi JSON da Secure Endpoint Console

Passaggio 1. Passare a Secure Endpoint Console > Dashboard > Eventi.

Passaggio 2. Scegliere l'evento di avviso e fare clic su Visualizza, accanto all'opzione JSON, come mostrato nell'immagine.

Event Details

Apre i dettagli JSON come mostrato nell'immagine. Per salvare il contenuto, fare clic su Download.

JSON Content

Informazioni sul file

  • Informazioni sulla provenienza del file.
  • Se il file proviene da un sito Web, condividere l'URL Web.
  • Condividere una breve descrizione del file e spiegare la funzione del file.

Spiegazione

  • Perché ritieni che l'elaborazione dei file possa essere un falso positivo?
  • Condividere i motivi dell'attendibilità del file.

Fornisci informazioni

  • Dopo aver raccolto tutti i dettagli, accedere e caricare tutte le informazioni richieste nella richiesta Cisco.
  • Accertarsi di fare riferimento al numero della richiesta di assistenza (SR).

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
4.0
24-Apr-2026
La ricertificazione e la riformattazione di intestazioni e collegamenti.
3.0
26-Mar-2026
Versione 8.x.x
1.0
02-Sep-2020
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Tecnici Cisco
    Tecnici Cisco TAC

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti