はじめに
このドキュメントでは、Advanced Malware Protection(AMP)for Endpointsおよびipsupporttool.exeで使用できるコマンドライン(CLI)スイッチについて説明します。
背景説明
物理的およびグラフィカルユーザインターフェイス(GUI)を介したエンドポイントとのインタラクションは、特定の環境で常に利用できるとは限りません。エンドポイント向けAMPは、対話に対して複数のアプローチを提供します。このドキュメントでは、CLI用のスイッチについて説明します。
注:インストーラのCLIスイッチは、ここから入手できます。 (https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118587-technote-fireamp-00.html))
エンドポイント向けAMPコマンドラインスイッチ
AMP sfc.exeスイッチ
- Windowsでコマンドプロンプトを開きます。
- コマンドプロンプトでフォルダに移動します。 デフォルトパス:C:\Program Files\Cisco\AMP\X.X.X\、X.X.Xはバージョン番号を表します)。
cd C:\Program Files\Cisco\AMP\6.1.7\
- 提供された使用可能なスイッチを実行します。
注:スイッチの実行時には、エコーバックされる出力はありません。
sfc.exeで使用可能なスイッチ
- -s:Immunet Protect (Windows Connector)サービスを開始します。 サービスを開始するには、すでにSCMに登録されている必要があります。
sfc.exe -s
- -k:Immunet Protect (Windows Connector)サービスを停止します。 コネクタ保護が有効な場合、は次の方法でサービスを停止できます。sfc.exe -k _password_
sfc.exe -k
sfc.exe -k examplepassword
- -i:Immunet Protect (Windows Connector)サービスをインストールします。 また、サービスがクラッシュした場合に実行するデフォルトアクションも設定します。
sfc.exe -i
- -u:Immunet Protect (Windows Connector)サービスをアンインストールします。 Windowsサービスコントロールマネージャ(SCM)でサービスの登録を解除します。 このオプションは、アンインストーラがWindowsコネクタサービスをアンインストールするために使用します。
sfc.exe -u
- -r:Immunet Protect (Windows Connector)サービスをリセットします。これは – iオプションと非常に似ていますが、サービスをインストールしません。 これは、local.xmlの破損を修正するのに役立ちます。
sfc.exe -r
- -x:このオプションは – uに似ていますが、いくつかの追加の手順を実行します。
– インストーラパッケージの「/remove 1」と同様。
- Windows Service Control Manager(SCM)でサービスの登録を解除します。
– クラウドにアンインストールイベントを送信
- Windowsセキュリティセンターへの登録を解除します
- Windowsタスクスケジューラに登録されているスケジュール済みスキャンの削除
sfc.exe -x
- -l startを有効にし、-l stopを無効にします。(トリガーは小文字のLです) – デバッグとカーネルのロギングを動的に切り替えます。 この状態は、オフに切り替えるか、サービスが再起動されるか、新しいポリシーがロギングレベルを変更するように設定されるまで続きます。
sfc.exe -I start
sfc.exe -I stop
- -unblock SHA_of_the_file:このオプションは、プロセスの実行をブロック解除します。 このコマンドスイッチを実行すると、アプリケーションはアプリケーションブロッキングリストのローカルカーネルキャッシュから削除されます。
このコマンドスイッチを使用する状況は、誤検出または誤りによりアプリケーションがブロックされた場合で、 30分待たずにアプリケーションのブロックを解除したり、マシンをリブートしたりしたい。
sfc.exe -unblock f5b6ab29506d5818a2f8d328029bb2fcb5437695702f3c9900138140f3cd980c
- -reregister (Connector v.6.2.1以降):このオプションは、サービスの実行中にlocal.xmlとレジストリからuuidとcertsをクリアし、再登録をトリガーします。Local.xmlとレジストリが新しい値で更新されます。ただし、ID Syncが有効になっている場合はブロックされ、基本的にコネクタは既存のUUIDを再度取得します。
sfc.exe -reregister
- -forceupdate (Connector v.7.2.7以降):このオプションは、コネクタにTETRA定義の更新を強制します。
sfc.exe -forceupdate
AMP ipsupporttool.exeスイッチ
- Windowsでコマンドプロンプトを開きます。
- コマンドプロンプトでフォルダに移動します。 デフォルトパス:C:\Program Files\Cisco\AMP\X.X.X\、X.X.Xはバージョン番号を表します)。
cd C:\Program Files\Cisco\AMP\6.1.7\
- 提供された使用可能なスイッチを実行します。
注:スイッチの実行時には、エコーバックされる出力はありません。
ipsupporttool.exeで使用可能なスイッチ:
注意:フォルダの選択を参照するすべてのスイッチでは、指定の前にフォルダを作成する必要があります。
- -d:Windowsサポートツールがファイルを取得するフォルダを指定します。
- 指定しない場合、サポートツールは現在のコネクタディレクトリからファイルを取得します。
ipsupporttool.exe -d C:\Program Files\Cisco\AMP\6.1.7\TestFolder\
- -o:サポートツールの出力フォルダを指定します。 このオプションが指定されていない場合、デフォルトはデスクトップです。
ipsupporttool.exe -o C:\Program Files\Cisco\AMP\6.1.7\TestFolder\
- -t:指定した時間にWindowsサポートツールから時間制限デバッグレベルの診断を実行します。 時間は分単位で指定されます。
ipsupporttool.exe -t 5
関連情報
フィードバック