Inleiding
Dit document beschrijft uitsluitingen, hoe uitsluitingen kunnen worden geïdentificeerd en de beste praktijken voor het maken van uitsluitingen op het Cisco Secure Endpoint.
disclaimer
De informatie in dit document is gebaseerd op Windows, Linux en macOS besturingssystemen.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Overzicht
Na het lezen van dit document, moet u begrijpen:
- Wat is een uitsluiting en de verschillende soorten uitsluitingen die beschikbaar zijn voor Cisco Secure Endpoint.
- Hoe u uw connector voorbereidt op het afstemmen van uitsluitingen.
- Hoe potentieel sterke uitsluitingen te identificeren.
- Hoe maak je nieuwe uitsluitingen in de Cisco Secure Endpoint Console.
- Wat de beste praktijken zijn voor het maken van uitsluitingen.
Wat zijn uitsluitingen?
Een uitsluitingsset is een lijst met mappen, bestandsextensies, bestandspaden, processen, bedreigingsnamen, toepassingen of indicatoren van compromis die u niet wilt dat de connector scant of veroordeelt. Uitsluitingen moeten zorgvuldig worden gemaakt om een evenwicht tussen prestaties en beveiliging op een machine te garanderen wanneer eindpuntbeveiliging zoals Secure Endpoint is ingeschakeld. Dit artikel beschrijft uitsluitingen voor Secure Endpoint Cloud, TETRA, SPP en MAP.
Elke omgeving is uniek, evenals de entiteit die het beheert, variërend van een streng tot open beleid. Als zodanig moeten uitsluitingen op unieke wijze worden afgestemd op elke situatie.
Uitsluitingen kunnen op twee manieren worden gecategoriseerd: Cisco-Maintained Exclusions en Custom Exclusions.
Cisco-onderhield uitsluitingen
Uitsluitingen die door Cisco worden onderhouden, zijn uitsluitingen die zijn gemaakt op basis van onderzoek en die rigoureus zijn getest op veelgebruikte besturingssystemen, programma's en andere beveiligingssoftware. Deze uitsluitingen kunnen worden weergegeven door Cisco-Maintained Exclusions te selecteren in de Secure Endpoint Console op de pagina Exclusions:
Cisco controleert de aanbevolen uitsluitingslijsten die zijn gepubliceerd door leveranciers van antivirusprogramma's (AV's) en werkt de door Cisco onderhouden uitsluitingen bij met de aanbevolen uitsluitingen.
Opmerking: sommige AV-leveranciers publiceren hun aanbevolen uitsluitingen niet. In dit geval moet u contact opnemen met de AV-leverancier om een lijst met aanbevolen uitsluitingen op te vragen en vervolgens een ondersteuningscase openen om de Cisco-onderhield uitsluitingen bijgewerkt te krijgen.
Aangepaste uitsluitingen
Aangepaste uitsluitingen zijn uitsluitingen die door een gebruiker zijn gemaakt voor een aangepaste use case op een eindpunt. Deze uitsluitingen kunnen worden weergegeven door Aangepaste uitsluitingen te selecteren in de Secure Endpoint Console op de pagina Uitsluitingen.

Soorten uitsluitingen
Procesuitsluitingen
Met procesuitsluitingen kunnen beheerders processen uitsluiten van ondersteunde engines. De engines die Process-uitsluitingen op elk platform ondersteunen, worden in deze tabel beschreven:
besturingssysteem |
motor |
Bestandsscan |
Systeemprocesbeveiliging |
bescherming tegen kwaadwillige activiteiten |
gedragsbescherming |
Windows |
✓ |
✓ |
✓ |
✓ |
Linux |
✓ |
✗ |
✗ |
✓ |
macOS |
✓ |
✗ |
✗ |
✓ |
MacOS en Linux
U moet een absoluut pad opgeven bij het maken van een procesuitsluiting, u kunt ook een optionele gebruiker opgeven. Als u zowel een pad als een gebruiker opgeeft, moet aan beide voorwaarden worden voldaan om het proces uit te sluiten. Als u geen gebruiker opgeeft, is de uitsluiting van het proces van toepassing op alle gebruikers.
Opmerking: Op macOS en Linux zijn procesuitsluitingen van toepassing op alle engines.
Procesjokertekens:
Beveiligde Endpoint Linux- en macOS-connectors ondersteunen het gebruik van een jokerteken binnen de uitsluiting van het proces. Dit zorgt voor een bredere dekking met minder uitsluitingen, maar kan ook gevaarlijk zijn als te veel ongedefinieerd wordt gelaten. U mag de jokertekens alleen gebruiken om het minimum aantal tekens te dekken dat vereist is om de vereiste uitsluiting te bieden.
Gebruik van Process Wildcard voor macOS en Linux:
- De jokertekens worden weergegeven met één sterretje (*)
- De wildcard kan worden gebruikt in plaats van een enkel teken of een volledige directory.
- Het plaatsen van de joker aan het begin van het pad wordt als ongeldig beschouwd.
- De jokertekens werken tussen twee gedefinieerde tekens, slashes of alfanumerieke tekens.
Voorbeelden:
uitsluiting |
verwacht resultaat |
/Library/Java/JavaVirtualMachines/*/java |
Hiermee wordt java uitgesloten in alle submappen van JavaVirtualMachines |
/Library/Jibber/j*bber |
Exclusief het proces voor jabber, jibber, jobber, etc |
Windows
U kunt een absoluut pad en/of een SHA-256 van het uitvoerbare proces opgeven bij het maken van een procesuitsluiting. Als u zowel een pad als SHA-256 opgeeft, moet aan beide voorwaarden worden voldaan om het proces uit te sluiten.
In Windows kunt u ook de CSIDL- of KNOWNFOLDERID gebruiken in het pad om procesuitsluitingen te maken.
Let op: onderliggende processen die zijn gemaakt door een uitgesloten proces, zijn standaard niet uitgesloten. Als u extra processen wilt uitsluiten bij het maken van een procesuitsluiting, selecteert u Toepassen op onderliggende processen.
Beperkingen:
- Als de bestandsgrootte van het proces groter is dan de maximale scanbestandsgrootte die in uw beleid is ingesteld, wordt de SHA-256 van het proces niet berekend en werkt de uitsluiting niet. Gebruik een op een pad gebaseerde procesuitsluiting voor bestanden die groter zijn dan de maximale scanbestandsgrootte.
- De Windows-connector legt een limiet op van 500 procesuitsluitingen voor alle procesuitsluitingstypen.
Opmerking: In Windows worden per engine procesuitsluitingen toegepast. Als dezelfde uitsluiting moet worden toegepast op meerdere motoren, moet de uitsluiting van het proces in dit geval voor elke toepasselijke motor worden gedupliceerd.
Procesjokertekens:
Beveiligde Windows Endpoint-connectors ondersteunen het gebruik van een jokerteken in de uitsluiting van het proces. Dit zorgt voor een bredere dekking met minder uitsluitingen, maar kan ook gevaarlijk zijn als te veel ongedefinieerd wordt gelaten. U mag de jokertekens alleen gebruiken om het minimum aantal tekens te dekken dat vereist is om de vereiste uitsluiting te bieden.
Gebruik van Process Wildcard voor Windows:
- De jokertekens worden weergegeven met één sterretje (*) of twee sterretjes (**)
- jokerteken met één sterretje (*):
- De wildcard kan worden gebruikt in plaats van een enkel teken of een volledige directory.
- Het plaatsen van de joker aan het begin van het pad wordt als ongeldig beschouwd.
- De jokertekens werken tussen twee gedefinieerde tekens, slashes of alfanumerieke tekens.
- Als u de jokertekens aan het einde van een pad plaatst, worden alle processen in die directory uitgesloten, maar niet de subdirectory's.
- Jokerteken met dubbele asterisk (**):
- Kan alleen aan het einde van een pad worden geplaatst.
- Als u de jokertekens aan het einde van een pad plaatst, worden alle processen in die directory en alle processen in subdirectory's uitgesloten.
- Dit zorgt voor een veel grotere uitsluitingsset met minimale invoer, maar laat ook een zeer groot beveiligingsgat achter voor zichtbaarheid. Gebruik deze functie met uiterste voorzichtigheid.
Voorbeelden:
uitsluiting |
verwacht resultaat |
C:\Windows\*\Tiworker.exe |
Sluit alle Tiworker.exe-processen uit die in de submappen van Windows worden gevonden |
C:\Windows\P*t.exe |
Exclusief Pot.exe, Pat.exe, P1t.exe, enz |
C:\Windows\*Chickens.exe |
Sluit alle processen in Windows-directory uit die eindigen op chickens.exe |
C:\* |
Hiermee worden alle processen in station C: uitgesloten, maar niet in de subdirectory's |
C:\** |
Sluit elk proces op de C: -schijf uit |
Uitsluitingen van bedreigingen
Met bedreigingsuitsluitingen kunt u een bepaalde bedreigingsnaam uitsluiten van het activeren van gebeurtenissen. U mag een Threat-uitsluiting alleen gebruiken als u zeker weet dat de gebeurtenissen het gevolg zijn van een vals-positieve detectie. Gebruik in dit geval de exacte bedreigingsnaam van de gebeurtenis als uw Threat-uitsluiting. Houd er rekening mee dat als u dit type uitsluiting gebruikt, zelfs een waarheidsgetrouwe detectie van de bedreigingsnaam niet wordt gedetecteerd, in quarantaine geplaatst of een gebeurtenis genereert.
Opmerking: Uitsluitingen van bedreigingen zijn hoofdlettergevoelig. Voorbeeld: W32.Zombies.NotAVirus en w32.zombies.notavirus komen beide overeen met dezelfde bedreigingsnaam.
Waarschuwing: sluit bedreigingen niet uit, tenzij een grondig onderzoek heeft bevestigd dat de naam van de bedreiging vals-positief is. Uitgesloten bedreigingen vullen niet langer het tabblad Gebeurtenissen in voor controle en controle.
Uitsluitingen van pad
Uitsluitingen van paden worden het vaakst gebruikt, omdat toepassingsconflicten meestal betrekking hebben op de uitsluiting van een directory. U kunt een uitsluitingspad maken met een absoluut pad. In Windows kunt u ook de CSIDIL of KNOWNFOLDERID gebruiken om paduitsluitingen te maken.
Als u bijvoorbeeld een AV-toepassing wilt uitsluiten in de directory Program Files onder Windows, kan het uitsluitingspad een van de volgende paden zijn:
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
Opmerking: Path Exclusions zijn recursief en sluiten ook alle subdirectory's uit.
Partiële padovereenkomsten (alleen Windows)
Als er geen trailing slash is opgegeven in de uitsluiting van paden, komt de Windows-connector gedeeltelijk overeen op paden. Mac en Linux ondersteunen geen gedeeltelijke path matches.
Als u bijvoorbeeld de volgende paduitsluitingen toepast op Windows:
C:\Program Files
C:\test
Al deze wegen zijn uitgesloten:
C:\Program Files
C:\Program Files (x86)
C:\test
C:\test123
Het wijzigen van de uitsluiting van C:\test naar C:\test\ voorkomt dat C:\test123 wordt uitgesloten.
Uitsluitingen voor bestandsextensie
Uitsluitingen van bestandsextensies staan de uitsluiting van alle bestanden met een bepaalde extensie toe.
Belangrijkste punten:
- Verwachte invoer in de Secure Endpoint Console is .extension
- De Secure Endpoint Console stelt automatisch een periode in voor de bestandsextensie als er geen is toegevoegd.
- Extensies zijn hoofdletterongevoelig.
Als u bijvoorbeeld alle databasebestanden van Microsoft Access wilt uitsluiten, kunt u deze uitsluiting maken:
.MDB
Opmerking: Standaard bestandsextensie-uitsluitingen zijn beschikbaar in de standaardlijst, het wordt niet aanbevolen om deze uitsluitingen te verwijderen, hierdoor kunnen prestatiewijzigingen op uw eindpunt worden veroorzaakt.
Uitsluitingen voor jokertekens
Uitsluitingen voor jokertekens zijn hetzelfde als uitsluitingen voor paden of bestandsextensies, behalve dat u een sterretje (*) kunt gebruiken om een jokerteken binnen het pad of de extensie weer te geven.
Als u bijvoorbeeld uw virtuele machines op macOS wilt uitsluiten van het scannen, kunt u deze paduitsluiting invoeren:
/Users/johndoe/Documents/Virtual Machines/
Deze uitsluiting werkt echter alleen voor één gebruiker, dus vervang in plaats daarvan de gebruikersnaam in het pad door een sterretje en maak in plaats daarvan een Wildcard-uitsluiting om deze map uit te sluiten voor alle gebruikers:
/Users/*/Documents/Virtual Machines/
Let op: Wildcard-uitsluitingen stoppen niet bij padscheiders, dit kan leiden tot onbedoelde uitsluitingen. BijvoorbeeldC:\*\test sluit C:\sample\test uit, evenalsC:\1\test** ofC:\sample\test123.
Waarschuwing: Het starten van een uitsluiting met een asterisk karakter kan leiden tot grote problemen met de prestaties. Verwijder of wijzig alle uitsluitingen die beginnen met een asterisk om de impact op de CPU te beperken.
Windows
Bij het maken van Wildcard-uitsluitingen op Windows is er een optie om op alle stationsletters toe te passen. Als u deze optie selecteert, wordt de Wildcard-uitsluiting toegepast op alle gekoppelde stations.

Als je handmatig dezelfde uitsluiting zou maken, zou je het moeten voorbereiden met ^[A-Za-z], bijvoorbeeld:
^[A-Za-z]\testpath
In beide voorbeelden zijn de C:\testpath en D:\testpath uitgesloten.
De Secure Endpoint Console genereert automatisch de ^[A-Za-z] wanneer Toepassen op alle stationsletters is geselecteerd voor jokeruitsluitingen.
Uitvoerbare uitsluitingen (alleen Windows)
Uitsluitingen voor uitvoerbare bestanden zijn alleen van toepassing op Windows-connectors waarvoor Exploit Prevention is ingeschakeld. Een uitvoerbare uitsluiting sluit bepaalde uitvoerbare bestanden uit van bescherming door Exploit Prevention. U moet een uitvoerbaar bestand alleen uitsluiten van Exploit Prevention als u problemen of prestatieproblemen ondervindt.
U kunt de lijst met beschermde processen controleren en elke bescherming uitsluiten door de uitvoerbare naam op te geven in het veld Uitsluiting van toepassing. Uitvoerbare uitsluitingen moeten exact overeenkomen met de uitvoerbare naam in de bestandsnaam .exe. Wildcards worden niet ondersteund.
Opmerking: Alleen toepassingen kunnen worden uitgesloten met behulp van uitvoerbare uitsluitingen via Secure Endpoint Console. Voor uitsluitingen met betrekking tot DLL's moet een supportcase worden geopend voor het maken van een uitsluiting.
Het vinden van de juiste uitsluitingen voor Exploit Prevention is een veel intensiever proces dan elk ander uitsluitingstype en vereist uitgebreide tests om eventuele schadelijke beveiligingslekken te minimaliseren.
IOC-uitsluitingen (alleen voor Windows)
Met IOC-uitsluitingen kunt u Cloud Indications of Compromise uitsluiten. Dit kan handig zijn als u een aangepaste of interne toepassing hebt die niet kan worden ondertekend en ervoor zorgt dat bepaalde IOC's vaak worden geactiveerd. Secure Endpoint Console biedt een lijst met indicatoren waaruit u kunt kiezen voor IOC-uitsluitingen.
U kunt selecteren welke indicatoren u wilt uitsluiten via een vervolgkeuzelijst:

Opmerking: als u een IOC met hoge of kritieke ernst uitsluit, verliest u zichtbaarheid en kunt u uw organisatie in gevaar brengen. U moet deze IOC's alleen uitsluiten als u er een groot aantal vals-positieve detecties voor ervaart.
CSIDL en KNOWNFOLDERID (alleen voor Windows)
CSIDL- en KNOWNFOLDERID-waarden worden geaccepteerd en aangemoedigd bij het schrijven van uitsluitingen van paden en processen voor Windows. CSIDL-/KNOWNFOLDERID-waarden zijn handig voor het maken van proces- en paduitsluitingen voor omgevingen die alternatieve stationsletters gebruiken.
Er zijn beperkingen waarmee rekening moet worden gehouden wanneer CSIDL/KNOWNFOLDERID wordt gebruikt. Als uw omgeving programma's op meer dan één stationsletter installeert, verwijst de waarde CSIDL/KNOWNFOLDERID alleen naar het station dat is gemarkeerd als de standaard- of bekende installatielocatie.
Als het besturingssysteem bijvoorbeeld is geïnstalleerd op C:\, maar het installatiepad voor Microsoft SQL handmatig is gewijzigd in D:\
, is de uitsluiting op basis van CSIDL/KNOWNFOLDERID in de lijst met onderhouden uitsluitingen niet van toepassing op dat pad. Dit betekent dat er één uitsluiting moet worden ingevoerd voor elk pad of elke procesuitsluiting die zich niet op het station C:\ bevindt, omdat het gebruik van CSIDL/KNOWNFOLDERID deze niet in kaart brengt.
Raadpleeg deze Windows-documentatie voor meer informatie:
Opmerking: KNOWNFOLDERID wordt alleen ondersteund in Windows-connector 8.1.7 en hoger. Eerdere versies van de Windows-connector gebruiken CSIDL-waarden.
Opmerking: de waarden voor KNOWNFOLDERID zijn hoofdlettergevoelig. U moet bijvoorbeeld de waarde FOLDERID_ProgramFiles gebruiken en niet de ongeldige valueFolderID_programfiles.
Connector voorbereiden voor afstemming van uitsluitingen
Om uw connector voor te bereiden op het afstemmen van uitsluitingen, moet u:
- Stel een beleid en groep in die in de foutopsporingsmodus moeten worden uitgevoerd.
- Voer de computers in de nieuwe Debug-groep uit volgens de normale bedrijfsvoering, geef tijd om voldoende loggegevens van de connector te verkrijgen.
- Diagnostische gegevens genereren op de connector die moet worden gebruikt voor het identificeren van uitsluitingen.
Raadpleeg deze documenten voor instructies over het inschakelen van de foutopsporingsmodus en het verzamelen van diagnostische gegevens op verschillende besturingssystemen:
Uitsluitingen identificeren
MacOS en Linux
De diagnostische gegevens die in de Debug-modus worden gegenereerd, bieden twee bestanden die nuttig zijn voor het maken van uitsluitingen: fileops.txt en execs.txt. Het bestand fileops.txt is handig voor het maken van Path/File Extension/Wildcard Exclusions en het bestand execs.txt is handig voor het maken van Process Exclusions.
Procesuitsluitingen maken
Het bestand execs.txt geeft de uitvoerbare paden weer die Secure Endpoint hebben geactiveerd om een bestandsscan uit te voeren. Elk pad heeft een bijbehorende telling die aangeeft hoe vaak het is gescand en de lijst is gesorteerd in aflopende volgorde. U kunt deze lijst gebruiken om processen te bepalen met een hoog volume aan uitgevoerde gebeurtenissen en vervolgens het procespad gebruiken om uitsluitingen te maken. Het wordt echter niet aanbevolen om algemene hulpprogramma's (zoals /usr/bin/grep) of tolken (zoals /usr/bin/ruby) uit te sluiten.
Als een algemeen hulpprogramma of tolk een hoog volume bestandsscans genereert, kunt u wat meer onderzoek doen om te proberen meer gerichte uitsluitingen te maken:
- Het bovenliggende proces uitsluiten: bepalen welke toepassing het proces uitvoert (zoals zoeken naar het bovenliggende proces dat grep uitvoert) en dit bovenliggende proces uitsluiten. Dit moet worden gedaan, als en alleen als het ouderproces veilig kan worden omgezet in een proces van uitsluiting. Als de ouderuitsluiting van toepassing is op kinderen, zijn ook de oproepen naar kinderen uit het ouderproces uitgesloten.
- Sluit het proces voor een bepaalde gebruiker uit: bepaal welke gebruiker het proces uitvoert. Als het proces wordt uitgevoerd op een hoog volume door een specifieke gebruiker, kunt u het proces uitsluiten voor alleen die specifieke gebruiker (zoals als een proces wordt aangeroepen op een hoog volume door gebruiker root, kunt u het proces uitsluiten, maar alleen voor opgegeven gebruiker root, dit maakt Secure Endpoint om de uitvoering van een bepaald proces door een gebruiker die niet root te controleren).
Voorbeeld van uitvoer van execs.txt:
33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
9 /usr/bin/pgrep
9 /usr/bin/kmod
7 /usr/bin/rm
6 /usr/lib/systemd/systemd-cgroups-agent
6 /usr/bin/rpm
4 /usr/bin/tr
4 /usr/bin/sort
4 /usr/bin/find
Path-, bestandsextensie- en wildcard-uitsluitingen maken
In het bestand fileops.txt worden de paden weergegeven waar activiteiten voor het maken, wijzigen en hernoemen van bestanden door Secure Endpoint zijn geactiveerd om bestanden te scannen. Elk pad heeft een bijbehorende telling die aangeeft hoe vaak het is gescand en de lijst is gesorteerd in aflopende volgorde. Een manier om aan de slag te gaan met Path-uitsluitingen is het vinden van de meest gescande bestands- en mappaden van fileops.txt en dan overwegen om regels voor die paden te maken. Hoewel een hoog aantal niet noodzakelijkerwijs betekent dat het pad moet worden uitgesloten (zoals een directory waarin e-mails worden opgeslagen die vaak kunnen worden gescand, maar niet mogen worden uitgesloten), biedt de lijst een startpunt om uitsluitingskandidaten te identificeren.
Voorbeeld van uitvoer van fileops.txt:
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
Een goede vuistregel is dat alles met een log of journal bestandsextensie moet worden beschouwd als een geschikte uitsluiting kandidaat.
Behavioral Protection Engine
De Behavioral Protection-engine werd geïntroduceerd in Linux-connector versie 1.22.0 en in macOS-connector versie 1.24.0; te beginnen met deze versies, kan de connector overweldigend hoge systeemactiviteit detecteren en vervolgens fout 18 verhogen.
Procesuitsluitingen worden toegepast op alle engines en bestandsscans. Pas procesuitsluitingen toe op zeer actieve goedaardige processen om deze fout te verhelpen. Gegenereerd door de diagnostische gegevens van de foutopsporingsmodus, kan het bestand top.txt worden gebruikt om de meest actieve processen op het systeem te bepalen. Raadpleeg de Secure Endpoint Mac/Linux Connector Fault 18-richtlijnen voor gedetailleerde herstelstappen.
Bovendien kunnen procesuitsluitingen vals-positieve gedragsbeschermingsdetecties van goedaardige software het zwijgen opleggen. Voor foutpositieve detecties in de Secure Endpoint Console kan het proces worden uitgesloten om de rapportage te verbeteren.
Windows
Het Windows-besturingssysteem is ingewikkelder, er zijn meer uitsluitingsopties beschikbaar vanwege de bovenliggende en onderliggende processen. Dit wijst erop dat een grondiger onderzoek nodig is om de bestanden te identificeren die zijn geopend, maar ook de programma's die deze hebben gegenereerd.
Raadpleeg deze Windows Tuning Tool van de GitHub-pagina van Cisco Security voor meer informatie over het analyseren en optimaliseren van Windows-prestaties met Secure Endpoint.
Uitsluitingsregels maken in de Secure Endpoint Console
Waarschuwing: begrijp altijd de bestanden en processen voordat u een uitsluiting schrijft om beveiligingsproblemen op het eindpunt te voorkomen.
Voer deze stappen uit om een nieuwe uitsluitingsregel te maken met de Secure Endpoint Console:
- Navigeer in de Secure Endpoint Console naar de pagina Beleid door Beheer -> Uitsluitingen te selecteren. Ofwel:
(A) zoek de uitsluitingsset die u wilt wijzigen en klik op Bewerken, of
(B) Klik op + Nieuwe uitsluitingsset....

- Selecteer in het pop-upvenster Nieuwe uitsluitingsset een besturingssysteem om de uitsluitingsset voor te maken. Klik op Maken.

- U wordt doorgestuurd naar een pagina Nieuwe uitsluitingsset. Klik op + Uitsluiting toevoegen en selecteer het uitsluitingstype in de keuzelijst Selecteer type.
Windows:

Mac/Linux:

- Vul de vereiste velden in voor het geselecteerde uitsluitingstype.
- Herhaal stap 2 en 3 om meer regels toe te voegen of klik op Opslaan om de uitsluitingsset op te slaan.
beste praktijken
Waarschuwing: wees voorzichtig bij het maken van uitsluitingen omdat deze het beschermingsniveau van Cisco Secure Endpoint verlagen. Uitgesloten bestanden worden niet gehasht, gescand of beschikbaar in de cache of cloud, de activiteit wordt niet bewaakt en er ontbreekt informatie in backend-engines, apparaattraject en geavanceerde analyse.
Uitsluitingen mogen alleen worden gebruikt in specifieke gevallen, zoals compatibiliteitsproblemen met specifieke toepassingen of prestatieproblemen die niet op een andere manier kunnen worden verbeterd.
Enkele best practices om te volgen bij het maken van uitsluitingen zijn:
- Maak alleen uitsluitingen voor bewezen problemen.
- Ga er niet van uit dat een uitsluiting noodzakelijk is, tenzij is bewezen dat het een probleem is dat niet op een andere manier kan worden aangepakt.
- Prestatieproblemen, fout-positieve resultaten of compatibiliteitsproblemen met toepassingen moeten grondig worden onderzocht en beperkt voordat een uitsluiting wordt toegepast.
- Geef de voorkeur aan procesuitsluitingen boven uitsluitingen van Path/File Extension/Wildcard.
- Procesuitsluitingen bieden een directere manier om goedaardige softwareactiviteiten uit te sluiten dan een combinatie van Path-, File Extension- en Wildcard-uitsluitingen te gebruiken om hetzelfde resultaat te bereiken.
- Het wordt aanbevolen om Path-, File Extension- en Wildcard-uitsluitingen die gericht zijn op programma-uitvoerbare bestanden te vervangen door overeenkomstige Process-uitsluitingen indien mogelijk.
- Vermijd brede uitsluitingen.
- Sluit grote delen van het eindpunt niet uit, zoals de gehele C-schijf.
- Gebruik het volledig gekwalificeerde pad naar het bestand in plaats van alleen de bestandsnaam.
- Gebruik Device Trajectory, Secure Endpoint Diagnostics Data en de Windows Tuning Tool om specifieke uitsluitingen te onderzoeken en te bepalen.
- Vermijd overmatig gebruik van wildcard-uitsluitingen.
- Wees voorzichtig bij het maken van uitsluitingen met jokertekens. Gebruik indien mogelijk meer specifieke uitsluitingen.
- Gebruik het minimale aantal jokertekens in een uitsluiting; alleen de mappen die echt variabel zijn, moeten een jokerteken gebruiken.
- Vermijd het uitsluiten van algemene hulpprogramma's en tolken.
- Het wordt niet aanbevolen om programma's of tolken van algemeen nut uit te sluiten.
- Als u algemene hulpprogramma's of tolken moet uitsluiten, moet u een procesgebruiker opgeven (alleen macOS/Linux).
- Vermijd bijvoorbeeld het schrijven van uitsluitingen die python, java, ruby, bash en sh bevatten.
- Vermijd dubbele uitsluitingen.
- Controleer voordat u een uitsluiting maakt of de uitsluiting al bestaat in de aangepaste uitsluitingen of de Cisco-onderhouden uitsluitingen.
- Het verwijderen van dubbele uitsluitingen verbetert de prestaties en vermindert het operationele beheer van uitsluitingen.
- Zorg ervoor dat het pad dat is opgegeven in een uitsluiting van het proces niet wordt gedekt door een uitsluiting van Path/File Extension/Wildcard.
- Vermijd processen waarvan bekend is dat ze vaak worden gebruikt bij malware-aanvallen.
- Verouderde uitsluitingen verwijderen
- Controleer en controleer regelmatig uw uitsluitingslijst en houd bij waarom bepaalde uitsluitingen zijn toegevoegd.
- Uitsluitingen bij compromis verwijderen
- Uitsluitingen moeten worden verwijderd als een connector in het gedrang komt om optimale beveiliging en zichtbaarheid te herwinnen.
- Geautomatiseerde acties kunnen worden gebruikt om een veiliger beleid toe te passen op connectoren na infectie. Als een connector in gevaar komt, moet deze worden verplaatst naar een groep die een beleid bevat zonder uitsluitingen om ervoor te zorgen dat het hoogste beschermingsniveau wordt toegepast.
- Zie Voorwaarden identificeren om geautomatiseerde acties in Secure Endpoint te activeren voor meer informatie over het proactief instellen van de geautomatiseerde actie "Computer naar groep verplaatsen bij compromis".
- Verhoog de bescherming voor uitgesloten objecten
- Als uitsluitingen absoluut noodzakelijk zijn, overweeg dan welke verzachtende tactieken kunnen worden genomen, zoals het mogelijk maken van schrijfbeveiliging om enkele beschermingslagen voor de uitgesloten items toe te voegen.
- Maak op een intelligente manier uitsluitingen
- Regels optimaliseren door het bovenliggende proces op het hoogste niveau te kiezen dat de toepassing uniek identificeert om de optie Toepassen op onderliggende processen uit te sluiten en te gebruiken om het aantal regels te minimaliseren.
- Sluit het opstartproces nooit uit
- Het opstartproces (gestart op macOS, init of systemd op Linux) is verantwoordelijk voor het starten van alle andere processen op het systeem en staat bovenaan de proceshiërarchie.
- Het uitsluiten van het opstartproces en alle onderliggende processen zou effectief Secure Endpoint-bewaking uitschakelen.
- Geef waar mogelijk de procesgebruiker op (alleen macOS/Linux)
- Als het veld Gebruiker leeg blijft, is de uitsluiting van toepassing op elk proces dat het opgegeven programma uitvoert.
- Hoewel een uitsluiting die op elke gebruiker van toepassing is, flexibeler is, kan deze brede reikwijdte onbedoeld activiteiten uitsluiten die moeten worden gecontroleerd.
- Het specificeren van de gebruiker is vooral belangrijk voor regels die van toepassing zijn op gedeelde programma's zoals runtime-engines (bijvoorbeeld java) en scripttolken (bijvoorbeeld bash, python).
- Het opgeven van de gebruiker beperkt het bereik en geeft Secure Endpoint de opdracht om specifieke instanties te negeren terwijl andere instanties worden bewaakt.
Niet aanbevolen uitsluitingen
Hoewel het onmogelijk is om elke mogelijke aanvalsvector te kennen die een tegenstander kan gebruiken, zijn er enkele kernaanvalsvectoren die moeten worden gemonitord. Om een goede veiligheidshouding en zichtbaarheid te behouden, worden deze uitsluitingen niet aanbevolen:
AcroRd32.exe |
addinprocess.exe |
addinprocess32.exe |
addinutil.exe |
bash.exe |
bginfo.exe |
bitsadmin.exe |
cdb.exe |
csi.exe |
dbghost.exe |
dbgsvc.exe |
DNX.EXE |
dotnet.exe |
Excel.exe |
FSI.exe |
fsiAnyCpu.exe |
iExplore.exe |
Java.exe |
Kd.exe |
lxssmanager.dll |
msbuild.exe |
mshta.exe |
ntkd.exe |
NTSD.EXE |
Outlook.exe |
psexec.exe |
PowerPoint.exe |
PowerShell.exe |
rcsi.exe |
svchost.exe |
schtasks.exe |
system.management.automation.dll |
windbg.exe |
Winword.exe |
wmic.exe |
wuauclt.exe |
.7z |
.bat |
.bin |
.cab |
.cmd |
.com |
.cpl |
.dll |
.exe |
.fla |
.gif |
.gz |
.hta |
.inf |
.java |
.jar |
.job |
.jpeg |
.jpg |
.js |
.ko |
.ko.gz |
.msi |
.ocx |
.png |
.ps1 |
.py |
.rar |
.reg |
.scr |
.sys |
.tar |
.tmp |
.url |
.vbe |
.vbs |
.wsf |
.zip |
opdonder |
Java |
python |
Python3 |
sh |
zsh |
/ |
/bin |
/sbin |
/usr/lib |
C: |
C:\ |
C:\* |
|
D:\ |
D:\* |
C:\Program Files\Java |
C:\Temp\ |
C:\Temp\* |
C:\Users\ |
C:\Users\* |
C:\Windows\Prefetch |
C:\Windows\Prefetch\ |
C:\Windows\Prefetch\* |
C:\Windows\System32\Spool |
C:\Windows\System32\CatRoot2 |
C:\Windows\Temp |
C:\Windows\Temp\ |
C:\Windows\Temp\* |
C:\Program Files\<bedrijfsnaam>\ |
C:\Program Bestanden (x86)\<bedrijfsnaam>\ |
C:\Users\<UserProfileName>\AppData\Local\Temp\ |
C:\Users\<UserProfileName>\AppData\LocalLow\Temp\ |
Opmerking: Dit is geen uitputtende lijst met uitsluitingen om te vermijden, maar het biedt inzicht in de kernaanvalsvectoren. Het is van cruciaal belang dat deze paden, bestandsextensies en processen zichtbaar blijven.
Gerelateerde informatie