Problemen met fout-positieve bestandanalysegebeurtenissen oplossen in Secure Endpoint

Inleiding

In dit document wordt beschreven hoe u een analyse van een fout-positief bestand kunt verzamelen in Cisco Secure Endpoint.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van het Secure Endpoint Console-dashboard.

Gebruikte componenten

De informatie in dit document is gebaseerd op Secure Endpoint versie 8.x.x en hoger.

Opmerking: een account met beheerdersbevoegdheden is vereist.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Beveiligde eindpunten kunnen buitensporige waarschuwingen genereren voor een bepaald bestand/proces/script/Secure Hash Algorithm (SHA) 256. Als u vermoedt dat er vals-positieve detecties in uw netwerk zijn, kunt u contact opnemen met de Cisco TAC en gaat het diagnostische team verder met het uitvoeren van een diepere bestandsanalyse. Wanneer u contact opneemt met Cisco TAC, moet u deze informatie verstrekken:

· Bestand SHA 256 hash
· Kopie van bestandsvoorbeeld
· Opname van gebeurtenissen met waarschuwing vanaf Secure Endpoint Console

· JSON-gebeurtenisgegevens vastgelegd vanaf Secure Endpoint Console
· Informatie over het bestand (waar het vandaan komt en waarom het in de omgeving moet zijn)
· Leg uit waarom je gelooft dat het bestand / proces een vals positief kan zijn

Cisco streeft er altijd naar om de bedreigingsinformatie voor Secure Endpoint-technologie te verbeteren en uit te breiden, maar als uw Secure Endpoint-oplossing een waarschuwing ten onrechte activeert, kunt u enkele acties ondernemen om verdere impact op uw omgeving te voorkomen. Dit document bevat een richtlijn voor het verkrijgen van alle vereiste details om een zaak met Cisco TAC te openen met betrekking tot een fout-positief probleem. Op basis van de bestandsanalyse van het diagnostische team kan de bestandsdispositie worden gewijzigd om de waarschuwingsgebeurtenissen te stoppen die zijn geactiveerd op Secure Endpoint Console of Cisco TAC kan de juiste oplossing bieden om het bestand/proces zonder problemen in uw omgeving te laten uitvoeren.

Problemen oplossen met fout-positieve bestandsanalyse in Secure Endpoint

Deze sectie bevat de informatie die u kunt gebruiken om alle details te krijgen die nodig zijn om een vals positief ticket te openen met Cisco TAC.

1. Bestand SHA 256-hash

Stap 1. Om de SHA 256 hash te krijgen, navigeert u naar Secure Endpoint Console > Dashboard > Events.

Stap 2. Kies de waarschuwingandGebeurtenisKlik op de SHA256 en kies Kopiëren zoals weergegeven in de afbeelding.

2. Kopie van bestandsmonster

Stap 1. U kunt het bestandsvoorbeeld ophalen van Secure Endpoint Console en naar Secure Endpoint Console > Dashboard > Events navigeren.

Stap 2. Kies de gebeurtenis Waarschuwing, klik op de SHA256 en navigeer naar Bestand ophalen > Bestand ophalen zoals weergegeven in de afbeelding.

Stap 3. Kies het apparaat waarop het bestand is gedetecteerd en klik op Ophalen zoals weergegeven in de afbeelding.

Opmerking: het apparaat moet zijn ingeschakeld om het voorbeeldbestand te verkrijgen.

Stap 4. U ontvangt de melding zoals weergegeven in de afbeelding.

Na een paar minuten ontvangt u een e-mailmelding wanneer het bestand beschikbaar is om te downloaden, zoals weergegeven in de afbeelding.

Stap 5. Navigeer naar Secure Endpoint Console > Analysis > File Repository en kies Download zoals weergegeven in de afbeelding.

Stap 6. Er verschijnt een meldingsvak, klik op Downloaden, zoals weergegeven in de afbeelding, en het bestand wordt gedownload als een ZIP-bestand.

3. Opname van gebeurtenissen via een waarschuwingssignaal vanaf de beveiligde eindpuntconsole

Stap 1. Navigeer naar Secure Endpoint Console > Dashboard > Events.

Stap 2. Kies de waarschuwingsgebeurtenis en neem de opname zoals weergegeven in de afbeelding.

4. JSON-gebeurtenisgegevens van Secure Endpoint Console

Stap 1. Navigeer naar Secure Endpoint Console > Dashboard > Events.

Stap 2. Kies de gebeurtenis Waarschuwing en klik op Weergave, naast de optie JSON zoals weergegeven in de afbeelding.

Het opent JSON details zoals weergegeven in de afbeelding. Klik op Download om de inhoud op te slaan.

5. Informatie over het bestand

• Informatie over waar het bestand vandaan komt.
• Als het bestand afkomstig is van een website, deelt u de web-URL.
• Deel een kleine bestandsbeschrijving en leg de bestandsfunctie uit.

6. TOELICHTING

• Waarom denkt u dat het bestandsproces vals positief kan zijn?
• Deel de redenen waarom u het bestand vertrouwt.

Informatie verstrekken

• Zodra u alle gegevens hebt verzameld, uploadt u alle gevraagde informatie naar https://mycase.cloudapps.cisco.com/case.
• Zorg ervoor dat u verwijst naar het Service Request (SR)-nummer.