エンドポイントコンソール用AMPと最後に確認したフィルタ

はじめに

このドキュメントでは、エンドポイント用の高度なマルウェア防御(AMP)のCSCvh31177で参照されている「最後に確認した」フィルタのバグについて説明します。

著者：Ciscoエンジニア、Caly Hess

前提条件 

要件

次の項目に関する知識があることが推奨されます。

• Cisco AMP for Endpointsダッシュボードへのアクセス

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアに基づくものです。

• Cisco AMP for Endpoints for Endpointsコンソールバージョン5.4.20190917

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

問題

コンソールのコンピュータページの「Last Seen」のフィルタには、過去24時間に確認されたコネクタがリストに表示されます。

原因

「Last Seen」データの現在のプルは、24時間ごとに単一のジョブです。「Computers」ページに反映されるデータと、「Last Seen」をCSVにエクスポートするための出力はリアルタイムですが、フィルタ自体がその単一のジョブからバッチ処理されたデータを流します。これは、大規模なエンタープライズ環境のタイムスタンプのリアルタイム分析がタイムアウトとデータベースロックにつながる可能性があるため、結果の速度を上げるために実装されました。

7日以上のフィルタで「最近見た」コンピュータを説明

「最後に確認した」ジョブが実行された後まで、マシンは7日以上オフラインでした。 

実際の例

• HostA.randomdomain.netはコーヒーのマグカップが一杯の不運な事故を起こし、マザーボードは8月10日に完全な回復をしませんでした
• HostA.randomdomain.netは9月20^日まで修理デポに収容されています。
• 9月21^日に、HostA.randomdomain.netは「Last Seen」ジョブの4時間後にネットワークに戻ります。ただし、監査役が過去30日間非表示だったコンピュータのCSV形式へのエクスポートを実行するのは、2時間前になります
• HostA.randomdomain.netは、「Last Seen」ジョブから30日以上表示されないとリストされます。今では完全に機能し、コーヒーが無料であるにもかかわらず、監査役は今、彼の「非アクティブ」輸出でそれを捕まえます

短期的なソリューション

ジョブ自体の実行には24時間かかりませんが、少なくとも12時間かかる場合があります。フィルタの精度を高めるために、前のジョブが完了した後のジョブの自動再スケジュールが開発中です。これは、バッチウィンドウの7 ～ 12時間の時間を短縮すると予想されます。 

長期的なソリューション

データがプルされたときにリアルタイムに近い「最後に確認された」メカニズムの全体的なリワーク。このソリューションでは、来年のリリースで現在開発中の、まったく新しいデータベース構造を実装する必要があります。