AMP for Endpoints Console 및 Last Seen 필터

소개

이 문서에서는 AMP(Advanced Malware Protection) for Endpoints에서 CSCvh31177에 참조되는 "Last Seen" 필터 버그에 대한 설명을 설명합니다.

기고자: Cisco 엔지니어 Caly Hess.

사전 요구 사항 

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco AMP for Endpoints 대시보드 액세스

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어를 기반으로 합니다.

• Cisco AMP for Endpoints 콘솔 버전 5.4.20190917

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

문제

콘솔의 컴퓨터 페이지에 있는 "마지막 표시됨" 필터에는 목록에 표시되는 지난 24시간 동안의 커넥터가 표시됩니다.

원인

"Last Seen" 데이터의 현재 풀은 24시간마다 하나의 작업입니다. Computers(컴퓨터) 페이지에 반영되는 데이터와 "Last Seen(마지막 확인)"에 대한 CSV로 내보내기 출력은 실시간으로 표시되지만 필터 자체는 해당 단일 작업에서 일괄 처리된 데이터를 실행합니다. 이는 대기업 환경의 타임스탬프를 실시간으로 분석하면 시간 초과와 데이터베이스 잠금이 발생할 수 있으므로 결과의 속도를 높이기 위해 구현되었습니다.

7일 이상의 필터에서 "최근에 본" 컴퓨터에 대한 설명

"마지막 확인" 작업이 실행된 후 까지 컴퓨터가 7일 이상 오프라인 상태였습니다. 

실제 예

• HostA.randomdomain.net에서 커피잔이 가득 찬 불행한 사고가 발생했으며 마더보드는 8월 10일에 완전히 복구되지 않았습니다
• HostA.randomdomain.net은 9월 20^일까지 수리 창고에 있습니다
• 9월 21^일에 HostA.randomdomain.net은 "마지막 확인" 작업이 실행된 후 4시간이 지난 후 감사자가 지난 30일 동안 표시되지 않은 컴퓨터의 CSV로 내보내기를 수행하기 2시간 전에 네트워크로 돌아갑니다
• HostA.randomdomain.net은 여전히 "마지막 확인" 작업에서 30일 이상 표시되지 않은 것으로 나열됩니다. 이제 완전히 기능적이고 커피가 무료임에도 불구하고, 감사관은 이제 그의 "비활성" 수출에서 그것을 포착한다

단기 솔루션

작업 자체는 실행하는 데 전체 24시간이 걸리지는 않지만 적어도 12시간이 걸릴 수 있습니다. 필터의 정확성을 높이기 위해 이전 작업이 완료된 후 작업에 대한 자동 일정 조정이 개발 중에 있으므로 배치 창에서 7-12시간의 시간이 단축될 수 있습니다. 

장기 솔루션

데이터를 가져올 때 실시간에 가까운 "마지막 확인" 메커니즘의 전체 재작업입니다. 이 솔루션은 다음 해에 제안된 릴리스와 함께 현재 개발 중인 완전히 새로운 데이터베이스 구조를 구현해야 합니다.