이 문서에서는 Cisco Secure Endpoint에서 오탐 파일 분석을 수집하는 방법에 대해 설명합니다.
Secure Endpoint Console 대시보드에 대한 지식이 있는 것이 좋습니다.
이 문서의 정보는 Secure Endpoint 버전 8.x.x 이상을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
보안 엔드포인트는 특정 파일/프로세스/스크립트/SHA(Secure Hash Algorithm) 256에 대해 과도한 알림을 생성할 수 있습니다. 네트워크에서 오탐이 의심되는 경우 Cisco TAC에 문의하면 진단 팀이 더욱 심층적인 파일 분석을 수행합니다. Cisco TAC에 문의할 경우 다음 정보를 제공해야 합니다.
· 파일 SHA 256 해시
· 파일 샘플 사본
· Secure Endpoint Console에서 알림 이벤트 캡처
· Secure Endpoint Console에서 캡처한 JSON 이벤트 세부 정보
· 파일에 대한 정보(파일의 출처 및 해당 파일이 환경에 있어야 하는 이유)
· 파일/프로세스가 오탐일 수 있다고 생각하는 이유 설명
Cisco는 Secure Endpoint 기술에 대한 위협 인텔리전스를 개선하고 확장하기 위해 항상 노력하고 있지만, Secure Endpoint 솔루션이 알림을 잘못 트리거하는 경우 환경에 더 이상의 영향을 주지 않도록 몇 가지 조치를 취할 수 있습니다. 이 문서에서는 오탐(False Positive) 문제와 관련하여 Cisco TAC에 케이스를 접수하기 위해 필요한 모든 세부 정보를 얻을 수 있는 지침을 제공합니다. 진단 팀 파일 분석에 따라 파일 속성을 변경하여 Secure Endpoint Console에서 트리거되는 알림 이벤트를 중지하거나 Cisco TAC에서 사용자 환경에서 문제 없이 파일/프로세스를 실행할 수 있도록 적절한 해결 방법을 제공할 수 있습니다.
이 섹션에서는 Cisco TAC에서 오탐(False Positive) 티켓을 여는 데 필요한 모든 세부 정보를 얻는 데 사용할 수 있는 정보를 제공합니다.
1단계. SHA 256 해시를 가져오려면 Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동합니다.
2단계. Alert(경고)andEvent(이벤트)를 선택하고이미지에 표시된 대로 SHA256을 클릭하고 Copy(복사)를 선택합니다.

1단계. Secure Endpoint Console(보안 엔드포인트 콘솔)에서 파일 샘플을 가져온 다음 Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동할 수 있습니다.
2단계. Alert Event(경고 이벤트)를 선택하고 SHA256을 클릭한 다음 이미지에 표시된 대로 File Fetch(파일 가져오기) > Fetch File(파일 가져오기)로 이동합니다.

3단계. 파일이 탐지된 디바이스를 선택하고 이미지에 표시된 대로 Fetch(가져오기)를 클릭합니다.

4단계. 이미지에 표시된 대로 알림을 수신합니다.

몇 분 후에 그림과 같이 파일을 다운로드할 수 있을 때 이메일 알림을 받게 됩니다.

5단계. Secure Endpoint Console(보안 엔드포인트 콘솔) > Analysis(분석) > File Repository(파일 저장소)로 이동하고 이미지에 표시된 대로 Download(다운로드)를 선택합니다.

6단계. 알림 상자가 나타나고 이미지에 표시된 것처럼 Download(다운로드)를 클릭하면 파일이 ZIP 파일로 다운로드됩니다.

1단계. Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동합니다.
2단계. Alert Event(경고 이벤트)를 선택하고 이미지에 표시된 대로 캡처를 수행합니다.

1단계. Secure Endpoint Console(보안 엔드포인트 콘솔) > Dashboard(대시보드) > Events(이벤트)로 이동합니다.
2단계. Alert Event(경고 이벤트)를 선택하고 이미지에 표시된 대로 JSON 옵션 옆의 View(보기)를 클릭합니다.

이미지에 표시된 대로 JSON 세부 정보를 엽니다. 콘텐츠를 저장하려면 Download(다운로드)를 클릭합니다.

| 개정 | 게시 날짜 | 의견 |
|---|---|---|
3.0 |
26-Mar-2026
|
버전 8.x.x |
1.0 |
02-Sep-2020
|
최초 릴리스 |