Cisco Secure Endpoint Console의 Cisco 유지 관리 제외 목록 변경 사항

소개

이 문서에서는 Cisco 유지 관리 제외에 추가된 변경 사항에 대해 설명합니다.

Cisco는 Cisco에서 Advanced Malware Protection(AMP) for Endpoints Connector와 안티바이러스, 보안 또는 기타 소프트웨어 간의 호환성을 높이기 위해 Cisco에서 Exclusions를 생성 및 유지 관리하며, 이러한 제외를 애플리케이션의 새로운 버전에 추가할 수 있습니다.

기고자: Caly Hess, Cisco 엔지니어

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• AMP for Endpoints의 제외
• AMP 콘솔

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• AMP for Endpoints 콘솔 버전 5.4.20190820

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

업데이트 시 기대

Cisco 유지 관리 목록이 변경되면 백엔드에서 정책 업데이트가 발생하여 변경 사항이 반영됩니다.  각 엔드포인트에서 하트비트에서 해당 목록을 체크 인하면서 업데이트된 정책을 가져옵니다.  이러한 정책 변경 사항은 정책 자체가 아니라 제외 목록의 변경 사항이므로 감사 로그에 반영되지 않으며, Cisco에서 유지 관리하는 제외 목록은 개별 콘솔의 일반 감사 로그 내에 존재하지 않습니다.  대규모 환경에서는 정책 업데이트가 넘쳐나는 것처럼 보이며, 최종 결과는 각 엔드포인트에서 더 우수한 성능을 발휘합니다. 

업데이트 기간은 각 엔드포인트에 따라 다릅니다.  모든 시스템이 온라인 상태인 경우 1-2 하트비트 내에서 업데이트가 수행됩니다.  글로벌 환경인 경우 시스템이 온라인 상태가 되면 업데이트가 계속 수행되므로 유지 관리 목록이 푸시된 후 24-48시간 후에 추가 정책 업데이트를 볼 수 있으므로 놀라지 마십시오.

변경 사항

2019년 8월 28일 -

Microsoft Windows 기본값:

제거:

• CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\edb*.log
• CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
• CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log

이유: 반복. 기본 집합의 또 다른 제외는 이를 다룹니다.

추가:

• C:\$WINDOWS~BT\Sources\SetupHost.exe

이유: Windows 10 업데이트가 프로세스 검사 때문에 간헐적으로 실패했습니다.

N-Able Solar Winds - Windows:

추가:

• C:\Program Files (x86)\n가능한 기술\Windows Agent\bin\agent.exe
• C:\Program Files (x86)\BeAnywhere 지원 Express\GetSupportService_N-Central\BASupSrvc.exe
• C:\Program Files (x86)\n-able Technologies\PatchManagement\ThirdPartyPatch\ThirdPartyPatch.exe

Docker - Mac:

제거:

• /Users/*/Library/Containers/com.docker.docker/Data/vms/*/Docker.*
• /usr/local/bin/docker

이유: 추가 테스트를 통해 보안에 대한 우려가 제기되어 개발에서 더 나은 제외를 찾아냈습니다.

추가:

• /Applications/Docker.app/Contents/MacOS/Docker
• /Applications/Docker.app/Contents/Resources/bin/docker

새 목록 생성:

Linux:

• Docker - 커넥터 1.10.2
• Docker - 커넥터 1.11+
• 자브릭스

Mac:

• 가상 박스
• 디지털 보호자

2019년 9월 18일 -

Apple MacOS 기본값:

추가:

• /Applications/Time Machine.app/Contents/MacOS/Time Machine
• /System/Library/CoreServices/Spotlight.app/Contents/MacOS/Spotlight

McAfee - Mac

추가:

• /Library/McAfee/Agent/bin/CmdAgent

Cisco Jabber - Mac

제거:

• /usr/bing/grep
• /bin/ps

이유:  프로세스 기반 제외의 향상된 보안 및 추가 기능

추가:

• /Applications/Cisco Jabber.app/Contents/MacOS/Cisco Jabber

Crashplan - Mac

추가:

• /Applications/CrashPlan.app/Contents/Library/LaunchServices/CrashPlanService.app/Contents/MacOS/CrashPlanService

JAMF 캐스퍼 - Mac

제거:

• /usr/bin/sw_vers

이유:  프로세스 기반 제외의 향상된 보안 및 추가 기능

추가:

• /Library/Application Support/JAMF/Jamf.app/Contents/MacOS/JamfDaemon.app/Contents/MacOS/JamfDaemon
• /usr/local/jamf/bin/jamfAgent
• /usr/local/jamf/bin/jamf
• /Library/Application Support/JAMF/Jamf.app/Contents/MacOS/JamfAgent.app/Contents/MacOS/JamfAgent

VMWare Fusion - Mac

추가:

• /Applications/VMware Fusion.app/Contents/MacOS/VMware Fusion

Xcode - Mac

추가:

• /Applications/Xcode.app/Contents/SharedFrameworks/XCBuild.framework/Versions/A/PlugIns/XCBBuildService.bundle/Contents/MacOS/XCBBuildService
• /Applications/Xcode.app/Contents/Developer/usr/bin/xcodebuild

단일 드라이브 - Windows 

사소한 변경:

• C:\*\Users\OneDrive\ (보안을 강화하기 위해 백슬래시를 추가함)

Citrix ICA 클라이언트 - Windows

추가:

• CSIDL_PROGRAM_FILES\Citrix\User Profile Manager\UserProfileManager.exe
• CSIDL_PROGRAM_FILES\Citrix\Virtual Desktop Agent\BrokerAgent.exe
• CSIDL_PROGRAM_FILES\Citrix\ICAService\picaSvc2.exe
• CSIDL_PROGRAM_FILES\Citrix\ICAService\CpSvc.exe

이유:  Citrix의 최근 업데이트에서는 제외가 권장되었습니다.

새 목록 생성:

윈도우

• Citrix 프로비저닝 서버
• Citrix 클라우드 커넥터

2019년 12월 11일 -

단일 드라이브 - Windows

추가:

• CSIDL_LOCAL_APPDATA\Microsoft\OneDrive\OneDrive.exe

Splunk - Windows

추가:

• CSIDL_PROGRAM_FILE\splunkforwarder\bin\splunk-winevtlog.exe
• CSIDL_PROGRAM_FILE\splunkforwarder\bin\splunkd.exe

Splunk - Linux

추가:

• /opt/splunkforwarder/bin/splunk
• /opt/splunk/bin/splunk

새 목록 생성:

Azure - Linux

바간트 - Mac

2020년 2월 12일 -

Microsoft Windows 기본값 - Windows

추가:

• C:\Program Files\Cisco\Orbital\osqueryd.exe
• C:\Program Files\Cisco\Orbital\orbital-ampwin.exe

Websense - Windows

추가:

• [여러 드라이브]:\Program Files*\Websense\
• C:\Program Files (x86)\Websense\Websense Endpoint\dserui.exe
• C:\Program Files\Websense\Websense Endpoint\dserui.exe
• C:\Program Files (x86)\Websense\Websense Endpoint\EndPointClassifier.exe
• C:\Program Files (x86)\Websense\Websense Endpoint\FilterSDK\kvoop.exe
• C:\Program Files (x86)\Websense\Websense Endpoint\wepsvc.exe

Microsoft SQL Server - Windows

추가: 

• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL\FTDATA\
• .sql

2020년 6월 10일

Malwarebytes - Windows

사소한 변경:

• C:\ProgramData\Malwarebytes Endpoint Agent\
• C:\ProgramData\Malwarebytes\MBAMService\

Microsoft Office - Windows

추가:

• C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe

IIS - Windows

추가:

• C:\Windows\SysWOW64\inetsrv\w3wp.exe
• C:\Windows\System32\inetsrv\w3wp.exe

Altiris by Symantec - Windows

추가:

• C:\Program Files\Altiris\Altiris Agent\AeXNSAgent.exe

McAfee - Windows

추가:

• C:\Program Files\McAfee\Endpoint Security\Adaptive Threat Protection\mfeatp.exe

새 목록 생성:

NetScout - Windows

IBM - Windows

2020년 7월 15일 -

도메인 컨트롤러 - Windows

추가:

• CSIDL_WINDOWS\System32\dfsr.exe
• CSIDL_WINDOWS\System32\dfsrs.exe
• CSIDL_WINDOWS\System32\dns.exe
• CSIDL_WINDOWS\System32\ntfrs.exe

Microsoft Teams - Windows

추가:

• CSIDL_LOCAL_APPDATA\Microsoft\Teams\current\teams.exe
• CSIDL_LOCAL_APPDATA\Microsoft\Teams\update.exe

새 목록 작성

제어

2020년 8월 26일

**추가 테스트로 인해 원래 릴리스 날짜는 19일에서 26일로 연장되었습니다.

Microsoft SQL Server - Windows

교체:

• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.3\보고 Services\ReportServer\Bin\ReportingServicesService.exe

추가: 

• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.11\MSSQL\Binn\SQLServr.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.12\MSSQL\Binn\SQLServr.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.13\MSSQL\Binn\SQLServr.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.11\OLAP\Bin\MSMDSrv.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.12\OLAP\Bin\MSMDSrv.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.13\OLAP\Bin\MSMDSrv.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.11\보고 Services\ReportServer\Bin\ReportingServicesService.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.12\보고 Services\ReportServer\Bin\ReportingServicesService.exe
• CSIDL_PROGRAM_FILES\Microsoft SQL Server\MSSQL.13\보고 Services\ReportServer\Bin\ReportingServicesService.exe

2020년 9월 30일

Malwarebytes - Windows

추가: 

• CSIDL_PROGRAM_FILES\Malwarebytes' Anti-Malware\mbam.exe
• CSIDL_PROGRAM_FILESX86\Malwarebytes' Anti-Malware\mbam.exe

디지털 보호자 - Mac

추가: 

• /usr/local/dgagent
• /dgagent

새 목록 작성

디지털 보호자 - Windows

2021년 3월 3일

Kaspersky - Windows

추가: 

• CSIDL_PROGRAM_FILESX86\Kaspersky Lab\Kaspersky Endpoint Security for Windows\avp.exe
• CSIDL_PROGRAM_FILESX86\Kaspersky Lab\NetworkAgent\klnagent.exe

SCCM - Windows

제거: 

• WINDOWS\CCM\ServiceData - 중복 경로
• 프로그램 파일\Microsoft Configuration Manager\EasySetupPayload - 중복 경로

Symantec - Windows

추가: 

• CSIDL_PROGRAM_FILES\Symantec\Endpoint Agent\edpa.exe
• CSIDL_PROGRAM_FILESX86\Symantec\Symantec Endpoint Protection\12.1.4013.4013.105\Bin64\Smc.exe
• CSIDL_PROGRAM_FILESX86\Symantec\Symantec Endpoint Protection\12.1.6608.6300.105\Bin\ccSvcHst.exe
• CSIDL_PROGRAM_FILESX86\Symantec\Symantec Endpoint Protection\12.1.7061.6600.105\Bin\ccSvcHst.exe
• CSIDL_PROGRAM_FILESX86\Symantec\Symantec Endpoint Protection\12.1.7385.6902.105\Bin\ccSvcHst.exe
• CSIDL_PROGRAM_FILESX86\Symantec\Symantec Endpoint Protection\
• CSIDL_PROGRAM_FILES\Symantec\Endpoint Agent\brkrprcs64.exe

새 목록 생성

Cisco AnyConnect - Windows

Microsoft Defender ATP - Windows

2021년 6월 30일

Microsoft Windows 기본값

추가:

• CSIDL_WINDOWS\System32\GroupPolicy\User\registry.pol
• CSIDL_WINDOWS\System32\GroupPolicy\Machine\registry.pol

Citrix ICA 클라이언트

추가:

• CSIDL_PROGRAM_FILES\Citrix\Broker\Service\BrokerService.exe
• CSIDL_PROGRAM_FILES\Citrix\Broker\Service\HighAvailabilityService.exe
• CSIDL_PROGRAM_FILES\Citrix\ConfigSync\ConfigSyncService.exe
• CSIDL_PROGRAM_FILESX86\Citrix\ICA Client\

Citrix 프로비저닝 서버

제거:

• C:\System32\drivers\CfsDep2.sys
• C:\System32\drivers\CvhdBusP6.sys
• C:\System32\drivers\CVhdMp.sys

추가:

• CSIDL_WINDOWS\System32\drivers\CfsDep2.sys
• CSIDL_WINDOWS\System32\drivers\CvhdBusP6.sys
• CSIDL_WINDOWS\System32\drivers\CVhdMp.sys
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\BNTFTP.EXE
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\PVSTSB.EXE
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\StreamService.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\StreamProcess.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\soapserver.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\Inventory.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\Notifier.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\MgmntDaemon.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\BNPXE.exe
• CSIDL_PROGRAM_FILES\Citrix\Provisioning Services\BNDevice.exe

새 목록 생성

Commvault - Windows

Citrix 세션 녹음 - Windows

2021년 9월 29일

Cisco Webex - Windows

추가:

• CSIDL_LOCAL_APPDATA\CiscoSparkLauncher\CiscoCollabHost.exe
• CSIDL_LOCAL_APPDATA\CiscoSparkLauncher\
• CSIDL_LOCAL_APPDATA\WebEx\WebEx\Meetings_01\atmgr.exe
• CSIDL_LOCAL_APPDATA\WebEx\WebEx\Meetings_02\atmgr.exe
• CSIDL_LOCAL_APPDATA\WebEx\WebEx\Meetings_03\atmgr.exe
• CSIDL_LOCAL_APPDATA\WebEx\WebEx\Meetings_04\atmgr.exe
• CSIDL_LOCAL_APPDATA\WebEx\WebEx\Meetings_*\

Crashplan - Windows

추가:

• CSIDL_PROGRAM_FILES\Code42\Code42Service.exe

Crashplan - Mac

추가:

• /Applications/Code42.app/Contents/Library/LaunchServices/Code42Service.app/Contents/MacOS/Code42Service

VMware - Windows

추가:

• CSIDL_PROGRAM_FILESX86\VMware\VMware DaaS Agent\service\DaaSAgent.exe