Configurar e identificar exclusões de endpoints seguros

Atualizado:12 de fevereiro de 2024

ID do documento:213681

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Ressalva

Overview

O que são exclusões?

Exclusões mantidas pela Cisco

Exclusões personalizadas

Tipos de Exclusões

Exclusões de Processos

MacOS e Linux

Windows

Exclusões de ameaças

Exclusões de Caminho

Correspondências de caminho parcial (somente Windows)

Exclusões de Extensão de Arquivo

Exclusões de Curinga

Windows

Exclusões de executáveis (somente Windows)

Exclusões do IOC (somente Windows)

CSIDL e KNOWNFOLDERID (somente Windows)

Preparar Conector para Ajuste de Exclusão

Identificar exclusões

MacOS e Linux

Criando exclusões de processos

Criando Caminho, Extensão de Arquivo e Exclusões de Curinga

Mecanismo de proteção comportamental (somente Linux)

Windows

Criando Regras de Exclusão no Console de Ponto de Extremidade Seguro

Melhores práticas

Exclusões não recomendadas

Informações Relacionadas

Introdução

Este documento descreve o que são exclusões, como identificar exclusões e as práticas recomendadas para criar exclusões no Cisco Secure Endpoint.

Ressalva

As informações neste documento são baseadas nos sistemas operacionais Windows, Linux e macOS.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Overview

Depois de ler este documento, você deve entender:

O que é uma exclusão e os diferentes tipos de exclusões disponíveis para o Cisco Secure Endpoint.
Como preparar seu conector para o ajuste de exclusão.
Como identificar exclusões potencialmente fortes.
Como criar novas exclusões no Cisco Secure Endpoint Console.
Quais são as melhores práticas para criar exclusões.

O que são exclusões?

Um conjunto de exclusões é uma lista de diretórios, extensões de arquivos, caminhos de arquivos, processos, nomes de ameaças, aplicativos ou indicadores de comprometimento que você não deseja que o conector examine ou condene. As exclusões precisam ser elaboradas com cuidado para garantir um equilíbrio entre desempenho e segurança em uma máquina quando a proteção de endpoint, como o Secure Endpoint, estiver habilitada. Este artigo descreve exclusões para Secure Endpoint Cloud, TETRA, SPP e MAP.

Cada ambiente é único, assim como a entidade que o controla, variando de políticas rígidas a abertas. Como tal, as exclusões devem ser adaptadas de forma única a cada situação.

As exclusões podem ser categorizadas de duas maneiras: Exclusões Mantidas pela Cisco e Exclusões Personalizadas.

Exclusões mantidas pela Cisco

As Exclusões Mantidas pela Cisco são exclusões que foram criadas com base em pesquisas e que passaram por testes rigorosos em sistemas operacionais, programas e outros softwares de segurança usados com frequência. Essas exclusões podem ser exibidas selecionando Exclusões Mantidas pela Cisco no Secure Endpoint Console na página Exclusões.
Cisco Maintained Exclusions

A Cisco monitora as listas de exclusão recomendadas publicadas pelos fornecedores de antivírus (AV) e atualiza as Exclusões Mantidas pela Cisco para incluir as exclusões recomendadas.

Observação: alguns fornecedores de antivírus podem não publicar suas exclusões recomendadas. Nesse caso, o cliente pode precisar entrar em contato com o fornecedor de antivírus para solicitar uma lista de exclusões recomendadas e, em seguida, abrir um caso de suporte para atualizar as exclusões mantidas pela Cisco.

Exclusões personalizadas

Exclusões personalizadas são exclusões criadas por um usuário para um caso de uso personalizado em um endpoint. Essas exclusões podem ser exibidas selecionando Exclusões personalizadas no Console do ponto de extremidade seguro na página Exclusões.
Custom Exclusions

Tipos de Exclusões

Exclusões de Processos

As exclusões de processos permitem que os administradores excluam processos de mecanismos compatíveis. Os mecanismos que suportam exclusões de processos em cada plataforma estão descritos na tabela a seguir:

Sistema operacional	Mecanismo
Sistema operacional	Verificação de arquivo	Proteção de processos do sistema	Proteção contra atividades mal-intencionadas	Proteção comportamental
Windows	✓	✓	✓	✓
Linux	✓	✗	✗	✓
MacOS	✓	✗	✗	✗

MacOS e Linux

Você deve fornecer um caminho absoluto ao criar uma exclusão de Processo. Você também pode fornecer um usuário opcional. Se você especificar um caminho e um usuário, ambas as condições deverão ser atendidas para que o processo seja excluído. Se você não especificar um usuário, a exclusão do processo será aplicada a todos os usuários.

Observação: no macOS e no Linux, as exclusões de processos se aplicam a todos os mecanismos.

Curingas do processo:

Os conectores Secure Endpoint Linux e macOS suportam o uso de um caractere curinga na exclusão do processo. Isso permite uma cobertura mais ampla com menos exclusões, mas também pode ser perigoso se muito for deixado indefinido. Você deve usar apenas o curinga para cobrir o número mínimo de caracteres necessários para fornecer a exclusão necessária.

Uso do curinga de processo para macOS e Linux:

O curinga é representado usando um único caractere de asterisco (*)
O curinga pode ser usado no lugar de um único caractere ou de um diretório completo.
A colocação do curinga no início do caminho é considerada inválida.
O curinga funciona entre dois caracteres definidos, barras ou alfanuméricos.

Examples:

Exclusão	Resultado esperado
`/Biblioteca/Java/Máquinas virtuais Java/*/java`	Exclui `java` em todas as subpastas de `JavaVirtualMachines`
`/Biblioteca/Jibber/j*bber`	Exclui o processo para `jabber`, `jibber`, `jobber`, etc

Windows

Você pode fornecer um caminho absoluto e/ou um SHA-256 do executável do processo ao criar uma exclusão de Processo. Se você especificar um caminho e SHA-256, ambas as condições deverão ser atendidas para que o processo seja excluído.

No Windows, você também pode usar o CSIDL ou KNOWNFOLDERID no caminho para criar exclusões de processo.

Cuidado: os processos filho criados por um processo excluído não são excluídos por padrão. Para excluir processos adicionais ao criar uma exclusão de Processo, selecione Aplicar a Processos Filho.

Limitações:

Se o tamanho do arquivo do processo for maior do que o tamanho máximo de arquivo de varredura definido em sua política, o SHA-256 do processo não será calculado e a exclusão não funcionará. Use uma exclusão de processo baseada em caminho para arquivos maiores do que o tamanho máximo de arquivo de varredura.
O conector do Windows impõe um limite de 500 exclusões de processos em todos os tipos de exclusão de processos.
- As exclusões de processo são honradas apenas até o limite, começando do topo da lista de exclusões de processo em policy.xml.
- Toda política do Windows tem uma exclusão de processo para sfc.exe, que conta contra o limite de exclusões de processo:
```
         
         
           3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48| 
         
```

Observação: no Windows, as exclusões de processo são aplicadas por mecanismo. Se a mesma exclusão deve ser aplicada a vários motores, a exclusão do processo deve ser duplicada neste caso para cada motor aplicável.

Curingas do processo:

Os conectores Windows do ponto de extremidade seguro suportam o uso de um curinga na exclusão do processo. Isso permite uma cobertura mais ampla com menos exclusões, mas também pode ser perigoso se muito for deixado indefinido. Você deve usar apenas o curinga para cobrir o número mínimo de caracteres necessários para fornecer a exclusão necessária.

Uso do Curinga do Processo para Windows:

O curinga é representado usando um único caractere asterisco () e um asterisco duplo (*)
Curinga de asterisco único (*):
- O curinga pode ser usado no lugar de um único caractere ou de um diretório completo.
- A colocação do curinga no início do caminho é considerada inválida.
- O curinga funciona entre dois caracteres definidos, barras ou alfanuméricos.
- Colocar o curinga no final de um caminho exclui todos os processos nesse diretório, mas não os subdiretórios.
Curinga de asterisco duplo (**):
- Só pode ser colocado no final de um caminho.
- Colocar o curinga no final de um caminho exclui todos os processos nesse diretório e todos os processos em subdiretórios.
- Isso permite um conjunto de exclusão muito maior com entrada mínima, mas também deixa uma brecha de segurança muito grande para a visibilidade. Use esse recurso com extremo cuidado.

Examples:

Exclusão	Resultado esperado
`C:\Windows\*\Tiworker.exe`	Exclui todos os processos `Tiworker.exe` encontrados nos subdiretórios do `Windows`
`C:\Windows\P*t.exe`	Exclui `Pot.exe`, `Pat.exe`, `P1t.exe`, etc
`C:\Windows\*galinhas.exe`	Exclui todos os processos no diretório `Windows` que terminam em `chickens.exe`
`C:\*`	Exclui todos os processos na unidade `C:`, mas não nos subdiretórios
`C:\**`	Exclui todos os processos na unidade `C:`

Exclusões de ameaças

As exclusões de ameaças permitem que você exclua um nome de ameaça específico para não acionar eventos. Você só deve usar uma exclusão de ameaça se tiver certeza de que os eventos são o resultado de uma detecção de falsos positivos. Nesse caso, use o nome exato da ameaça do evento como sua exclusão de ameaça. Lembre-se de que, se você usar esse tipo de exclusão, nem mesmo uma detecção de verdadeiro positivo do nome da ameaça será detectada, colocada em quarentena ou gerará um evento.

Observação: as exclusões de ameaças não diferenciam maiúsculas de minúsculas. Exemplo:W32.Zombies.NotAVirus e w32.zombies.notavirus correspondem ao mesmo nome de ameaça.

Aviso: não exclua ameaças a menos que uma investigação completa tenha confirmado que o nome da ameaça é falso-positivo. As ameaças excluídas não preenchem mais a guia de eventos para revisão e auditoria.

Exclusões de Caminho

As exclusões de caminho são as mais frequentemente usadas, pois os conflitos de aplicativo geralmente envolvem a exclusão de um diretório. Você pode criar uma exclusão de caminho usando um caminho absoluto. No Windows, você também pode usar o CSIDIL ou KNOWNFOLDERID para criar exclusões de caminho.

Por exemplo, para excluir um aplicativo AV no diretório Arquivos de programas no Windows, o caminho de exclusão pode ser qualquer um dos seguintes:

C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory

Observação: as exclusões de caminho são recursivas e excluem todos os subdiretórios também.

Correspondências de caminho parcial (somente Windows)

Se uma barra à direita não for fornecida na exclusão de Caminho, o conector do Windows fará uma correspondência parcial nos caminhos. O Mac e o Linux não suportam correspondências de caminho parciais.

Por exemplo, se você aplicar as seguintes exclusões de caminho no Windows:

C:\Program Files
C:\test

Em seguida, todos os seguintes caminhos serão excluídos:

C:\Program Files
C:\Program Files (x86) 
C:\test
C:\test123

Alterar a exclusão de "C:\test" para "C:\test\" impedirá que "C:\test123" seja excluída.

Exclusões de Extensão de Arquivo

Exclusões de extensão de arquivo permitem a exclusão de todos os arquivos com uma determinada extensão.

Pontos principais:

A entrada esperada no Console de Ponto de Extremidade Seguro é .extension
O Secure Endpoint Console anexa automaticamente um ponto à extensão do arquivo se nenhuma tiver sido adicionada.
As extensões não diferenciam maiúsculas de minúsculas.

Por exemplo, para excluir todos os arquivos de banco de dados do Microsoft Access, você pode criar a seguinte exclusão:

.MDB

Observação: as exclusões de extensão de arquivo padrão estão disponíveis na lista padrão. Não é recomendável excluir essas exclusões. Isso pode causar alterações de desempenho no endpoint.

Exclusões de Curinga

As exclusões de curinga são as mesmas que as exclusões de Caminho ou Extensão de Arquivo, exceto que você pode usar um caractere asterisco (*) para representar um curinga no caminho ou na extensão.

Por exemplo, se você quiser excluir as máquinas virtuais no macOS da varredura, digite esta exclusão de caminho:

/Users/johndoe/Documents/Virtual Machines/

No entanto, essa exclusão só funcionará para um usuário; portanto, em vez disso, substitua o nome de usuário no caminho por um asterisco e crie uma exclusão Curinga para excluir esse diretório para todos os usuários:

/Users/*/Documents/Virtual Machines/

Cuidado: as exclusões de curinga não param nos separadores de caminho; isso pode levar a exclusões não intencionais. Por exemploC:\*\test excludesC:\sample\test assim comoC:\1\test* ouC:\sample\test123.

Aviso: iniciar uma exclusão com um caractere asterisco pode causar problemas graves de desempenho. Remova ou altere todas as exclusões que comecem com um caractere asterisco para reduzir o impacto na CPU.

Windows

Ao criar exclusões de curinga no Windows, há uma opção para Aplicar a todas as letras de unidade. A seleção dessa opção aplica a exclusão de Curinga a todas as unidades montadas.
Windows Wildcard Apply to all Drives
Se você tivesse que criar manualmente a mesma exclusão, você precisaria anexá-la a ^[A-Za-z], por exemplo:

^[A-Za-z]\testpath

Em ambos os exemplos, C:\testpath e D:\testpath serão excluídos.

O Secure Endpoint Console gera automaticamente o ^[A-Za-z] quando Apply to all drive letters é selecionado para exclusões de curingas.

Exclusões de executáveis (somente Windows)

As exclusões de executáveis só se aplicam a conectores do Windows com a Prevenção de Exploração habilitada. Uma exclusão de Executável exclui determinados executáveis de serem protegidos pela Prevenção de Exploração. Você só deve excluir um executável da Prevenção de Exploração se estiver tendo problemas ou problemas de desempenho.

Você pode verificar a lista de processos protegidos e excluir qualquer um da proteção especificando seu nome executável no campo de exclusão de aplicativo. As exclusões de executáveis devem corresponder exatamente ao nome do executável no formato name.exe. Não há suporte para curingas.

Observação: somente aplicativos podem ser excluídos usando exclusões Executáveis através do Console de Ponto de Extremidade Seguro. Todas as exclusões relacionadas a DLLs exigem a abertura de um caso de suporte para que uma exclusão seja criada.

Encontrar as exclusões corretas para a prevenção de exploração é um processo muito mais intensivo do que qualquer outro tipo de exclusão e exige testes extensivos para minimizar quaisquer brechas de segurança prejudiciais.

Exclusões do IOC (somente Windows)

As exclusões do IOC permitem que você exclua as Indicações de comprometimento da nuvem. Isso pode ser útil se você tiver um aplicativo interno ou personalizado que pode não estar assinado e faz com que determinados IOCs sejam acionados com frequência. O Secure Endpoint Console fornece uma lista de indicadores para escolher entre as exclusões do IOC. Você pode selecionar os indicadores a serem excluídos por meio de um menu suspenso:

Windows IOC

Observação: se você excluir um IOC de gravidade alta ou crítica, perderá a visibilidade dele e poderá colocar sua empresa em risco. Você só deve excluir esses IOCs se tiver um grande número de detecções de falsos positivos.

CSIDL e KNOWNFOLDERID (somente Windows)

Os valores CSIDL e KNOWNFOLDERID são aceitos e incentivados ao gravar exclusões de caminho e processo para Windows. Os valores de CSIDL/KNOWNFOLDERID são úteis para criar exclusões de processo e caminho para ambientes que usam letras de drive alternativas.

Há limitações que precisam ser consideradas quando CSIDL/KNOWNFOLDERID é usado. Se o ambiente instalar programas em mais de uma letra de drive, o valor CSIDL/KNOWNFOLDERID se refere apenas ao drive marcado como o local de instalação padrão ou conhecido.

Por exemplo, se o SO estiver instalado em C:\, mas o caminho de instalação do Microsoft SQL tiver sido alterado manualmente para D:\, a exclusão baseada em CSIDL/KNOWNFOLDERID na lista de exclusão mantida não se aplica a esse caminho. Isso significa que uma exclusão deve ser inserida para cada exclusão de caminho ou processo não localizada no drive C:\, pois o uso de CSIDL/KNOWNFOLDERID não a mapeia.

Consulte a seguinte documentação do Windows para obter mais informações:

Observação: KNOWNFOLDERID só é suportado no conector Windows 8.1.7 e posterior. As versões anteriores do conector do Windows usam valores CSIDL.

Observação: os valores de KNOWNFOLDERID diferenciam maiúsculas e minúsculas. Por exemplo, você deve usar o valueFOLDERID_ProgramFiles e não o valueFolderID_programfiles inválido.

Preparar Conector para Ajuste de Exclusão

Para preparar seu conector para o ajuste de exclusão, você precisa:

Configure uma política e um grupo para serem executados no modo de Depuração.
Execute os computadores no novo grupo de Depuração de acordo com as operações comerciais normais, aguarde um tempo para obter dados suficientes de log do conector.
Gere dados de diagnóstico no conector para usar na identificação de exclusões.

Consulte os seguintes documentos para obter instruções sobre como ativar o Modo de Depuração e coletar dados de diagnóstico em diferentes sistemas operacionais:

Identificar exclusões

MacOS e Linux

Os dados de diagnóstico gerados no modo de depuração fornecem dois arquivos úteis para criar exclusões: fileops.txt e execs.txt. O arquivo fileops.txt é útil para criar Caminho/Extensão de Arquivo/Exclusões de Curinga e o arquivo execs.txt é útil para criar Exclusões de Processo.

Criando exclusões de processos

O arquivo execs.txt lista os caminhos executáveis que acionaram o Secure Endpoint para executar uma varredura de arquivo. Cada caminho tem uma contagem associada que indica quantas vezes ele foi examinado e a lista é classificada em ordem decrescente. Você pode usar essa lista para determinar processos com um grande volume de eventos de execução e, em seguida, usar o caminho do processo para criar exclusões. No entanto, não é recomendável excluir programas utilitários gerais (por exemplo, /usr/bin/grep) ou intérpretes (por exemplo, /usr/bin/ruby). Se um programa utilitário geral ou intérprete estiver gerando um alto volume de verificações de arquivos, você pode fazer mais investigações para tentar criar exclusões mais direcionadas:

Exclua o processo pai: determine qual aplicativo está executando o processo (por exemplo, localize o processo pai que está executando o grep) e exclua esse processo pai. Isso deve ser feito, se e somente se, o processo pai puder ser transformado com segurança em uma exclusão de processo. Se a exclusão pai se aplicar a filhos, as chamadas para quaisquer filhos do processo pai também serão excluídas.
Excluir o processo para um determinado usuário: determinar qual usuário está executando o processo. Se o processo estiver sendo executado em alto volume por um usuário específico, você poderá excluir o processo apenas para esse usuário específico (por exemplo, se um processo estiver sendo chamado em um alto volume pelo usuário "root", você poderá excluir o processo, mas somente para o usuário especificado 'root", isso permitirá que o Secure Endpoint monitore as execuções de um determinado processo por qualquer usuário que não seja "root").

Exemplo de saída de execs.txt:

33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
 9 /usr/bin/pgrep
 9 /usr/bin/kmod
 7 /usr/bin/rm
 6 /usr/lib/systemd/systemd-cgroups-agent
 6 /usr/bin/rpm
 4 /usr/bin/tr
 4 /usr/bin/sort
 4 /usr/bin/find

Criando Caminho, Extensão de Arquivo e Exclusões de Curinga

O arquivo fileops.txt lista os caminhos onde as atividades de criação, modificação e renomeação de arquivos dispararam o Secure Endpoint para executar varreduras de arquivos. Cada caminho tem uma contagem associada que indica quantas vezes ele foi examinado e a lista é classificada em ordem decrescente. Uma maneira de começar com as exclusões de caminho é encontrar os caminhos de arquivos e pastas mais frequentemente verificados em fileops.txt e, em seguida, considerar a criação de regras para esses caminhos. Embora uma contagem alta não signifique necessariamente que o caminho deve ser excluído (por exemplo, um diretório que armazena e-mails pode ser verificado com frequência, mas não deve ser excluído), a lista fornece um ponto de partida para identificar candidatos à exclusão.

Exemplo de saída de fileops.txt:

31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq

Uma boa regra prática é que qualquer coisa com uma extensão de arquivo log ou diário deve ser considerada um candidato à exclusão adequado.

Mecanismo de proteção comportamental (somente Linux)

Começando com a versão 1.22.0 do conector Linux e a introdução do mecanismo de Proteção comportamental, as exclusões de processos são aplicadas a todos os mecanismos e às varreduras de arquivos. Uma atividade do sistema muito alta pode causar falha 18 e as exclusões de processo devem ser aplicadas a processos benignos muito ativos para remediar essa falha. O arquivo top.txt, gerado pelos dados de diagnóstico do Modo de depuração, pode ser usado para determinar os processos mais ativos no sistema. Consulte a orientação Secure Endpoint Linux Connector Fault 18 para obter mais informações sobre etapas de correção.

As exclusões de processos também são úteis para silenciar detecções de proteção comportamental falso-positiva de software benigno. Se as detecções relatadas no Secure Endpoint Console forem consideradas benignas, o processo poderá ser excluído para garantir que o que é relatado seja relevante; sem resultados falsos positivos.

Windows

O sistema operacional Windows é mais complicado, mais opções de exclusão estão disponíveis devido aos processos pai e filho. Isso indica que uma análise mais profunda é necessária para identificar os arquivos que foram acessados, mas também os programas que os geraram.

Consulte esta Ferramenta de Ajuste do Windows na página GitHub da Cisco Security para obter mais detalhes sobre como analisar e otimizar o desempenho do Windows com o Secure Endpoint.

Criando Regras de Exclusão no Console de Ponto de Extremidade Seguro

Cuidado: sempre entenda os arquivos e processos antes de gravar uma exclusão para evitar vulnerabilidades de segurança no endpoint.

Conclua as etapas a seguir para criar uma nova regra de exclusão usando o Console de endpoint seguro:

No Console do ponto final seguro, navegue até a página Políticas selecionando Gerenciamento -> Exclusões. Localize (A) o conjunto de exclusões que deseja modificar e clique em Editar ou (B) clique em + Novo Conjunto de Exclusões....
No pop-up Novo conjunto de exclusões, selecione um sistema operacional para o qual criar o conjunto de exclusões. Clique em Criar.
Você será redirecionado para a página Novo conjunto de exclusões. Clique em + Adicionar exclusão e selecione o tipo de exclusão no menu suspenso Selecionar tipo.
Windows:

Mac/Linux:
Preencha os campos obrigatórios para o tipo de exclusão selecionado.
Repita as etapas 2 e 3 para adicionar mais regras ou clique em Salvar para salvar o conjunto de exclusões.

Melhores práticas

Tenha cuidado ao criar exclusões, pois elas reduzem o nível de proteção fornecido pelo Cisco Secure Endpoint. Os arquivos excluídos não são submetidos a hash, verificados ou estão disponíveis no cache ou na nuvem, a atividade não é monitorada e as informações estão ausentes nos mecanismos de back-end, na trajetória do dispositivo e na análise avançada.

As exclusões só devem ser usadas em casos específicos, como problemas de compatibilidade com aplicativos específicos ou problemas de desempenho que não podem ser melhorados de outra forma.

Algumas práticas recomendadas para criar exclusões são:

Criar exclusões somente para problemas comprovados
- Não presuma que uma exclusão é necessária, a menos que tenha sido provado que ela é um problema que não pode ser resolvido de outra forma.
- Problemas de desempenho, falsos positivos ou problemas de compatibilidade de aplicativos devem ser completamente investigados e mitigados antes da aplicação de uma exclusão.
Preferem exclusões de processos em vez de exclusões de caminho/extensão de arquivo/curinga
- As exclusões de processos fornecem uma maneira mais direta de excluir atividades de software benignas do que usar uma combinação de exclusões de caminho, extensão de arquivo e curinga para obter o mesmo resultado.
- Recomenda-se substituir as exclusões de caminho, extensão de arquivo e curinga que visam executáveis de programa por exclusões de processo correspondentes quando possível.
Evite exclusões amplas
- Não exclua grandes partes do endpoint, como toda a unidade C.
- Use o caminho totalmente qualificado para o arquivo em vez do nome do arquivo.
- Use a Trajetória do Dispositivo, Dados de Diagnóstico Seguros de Endpoint e a Ferramenta de Ajuste do Windows para investigar e determinar exclusões específicas.
Evite o uso excessivo de exclusões de caracteres curinga
- Tenha cuidado ao criar exclusões com curingas. Use exclusões mais específicas quando possível.
- Use a quantidade mínima de curingas em uma exclusão; somente as pastas que são realmente variáveis devem usar um curinga.
Evite excluir programas de utilidade geral e intérpretes
- Não é recomendável excluir programas de utilidade geral ou intérpretes.
- Se você precisar excluir um utilitário geral de exclusão de programas ou intérpretes, então forneça um usuário de processo (somente macOS/Linux).
- Por exemplo, evite escrever exclusões que incluam python, java, ruby, bash, sh, etc.
Evite exclusões duplicadas
- Antes de criar uma exclusão, verifique se a exclusão já existe nas Exclusões personalizadas ou nas Exclusões mantidas pela Cisco.
- A remoção de exclusões duplicadas melhora o desempenho e reduz o gerenciamento operacional de exclusões.
- Verifique se o caminho especificado em uma exclusão de Processo não é coberto por uma exclusão de Caminho/Extensão de Arquivo/Curinga.
Evite excluir processos que costumam ser usados em ataques de malware
- Consulte Exclusões não recomendadas para obter mais detalhes.
Remover exclusões obsoletas
- Revise e audite regularmente sua lista de exclusões e mantenha um registro do motivo pelo qual determinadas exclusões foram adicionadas.
Remover exclusões no comprometimento
- As exclusões devem ser removidas se um conector for comprometido para recuperar a segurança e a visibilidade ideais.
- Ações automatizadas podem ser usadas para aplicar políticas mais seguras aos conectores após a infecção. Se um conector for comprometido, ele deverá ser movido para um grupo que contenha uma política sem nenhuma exclusão para garantir que o mais alto nível de proteção seja aplicado.
- Consulte Identificação de Condições para Disparar Ações Automatizadas no Ponto de Extremidade Seguro para obter mais detalhes sobre como configurar proativamente a Ação Automatizada "Mover Computador para Grupo mediante Comprometimento".
Aumentar a proteção em itens excluídos
- Quando as exclusões forem absolutamente necessárias, considere quais táticas atenuantes podem ser tomadas, como ativar a proteção contra gravação para adicionar algumas camadas de proteção para os itens excluídos.
Criar exclusões de forma inteligente
- Otimize regras escolhendo o processo pai de nível mais alto que identifica exclusivamente o aplicativo a ser excluído e use a opção Aplicar ao Processo Filho para minimizar o número de regras.
Nunca excluir o processo de inicialização
- O processo de inicialização (iniciado no macOS, init ou systemd no Linux) é responsável por iniciar todos os outros processos no sistema e está no topo da hierarquia de processos.
- Excluir o processo de inicialização e todos os seus processos filhos desabilitaria efetivamente o monitoramento do Ponto de Extremidade Seguro.
Especificar o usuário do processo quando possível (somente macOS/Linux)
- Se o campo do usuário for deixado em branco, a exclusão se aplicará a qualquer processo que execute o programa especificado.
- Embora uma exclusão que se aplica a qualquer usuário seja mais flexível, esse escopo amplo pode excluir involuntariamente atividades que devem ser monitoradas.
- Especificar o usuário é especialmente importante para regras que se aplicam a programas compartilhados, como mecanismos de tempo de execução (por exemplo, java) e interpretadores de script (por exemplo, bash, python).
- Especificar o usuário limita o escopo e direciona o Ponto de Extremidade Seguro para ignorar instâncias específicas ao monitorar outras instâncias.

Exclusões não recomendadas

Embora seja impossível saber todos os possíveis vetores de ataque que um adversário pode usar, existem alguns vetores de ataque centrais que devem ser monitorados. Para manter uma boa postura de segurança e visibilidade, as seguintes exclusões não são recomendadas:

AcroRd32.exe

addinprocess.exe

addinprocess32.exe

addinutil.exe

bash.exe

bginfo.exe

bitsadmin.exe

cdb.exe

csi.exe

dbghost.exe

dbgsvc.exe

dnx.exe

dotnet.exe

excel.exe

fsi.exe

fsiAnyCpu.exe

iexplore.exe

java.exe

kd. exe

lxssmanager.dll

msbuild.exe

mshta.exe

ntkd.exe

ntsd.exe

outlook.exe

psexec.exe

powerpnt.exe

powershell.exe

rcsi.exe

svchost.exe

schtasks.exe

system.management.automation.dll

windbg.exe

winword.exe

wmic.exe

wuauclt.exe

.7z

.bat

.bin

.cab

.cmd

.com

.cpl

.dll

.exe

.fla

.gif

.gz

.hta

.inf

.java

.jar

.trabalho

.jpeg

.jpg

.js

.ko

.ko.gz

.msi

.ocx

.png

.ps1

.py

.rar

.reg

.scr

.sys

.tar

.tmp

.url

.vbe

.vbs

.wsf

.zip

bash

java

python

Python3

zsh

/bin

/sbin

/usr/lib

C :

C:\

C:\*

D:\

D:\*

C:\Program Files\Java

C:\Temp\

C:\Temp\*

C:\Users\

C:\Users\*

C:\Windows\Prefetch

C:\Windows\Prefetch\

C:\Windows\Prefetch\*

C:\Windows\System32\Spool

C:\Windows\System32\CatRoot2

C:\Windows\Temp

C:\Windows\Temp\

C:\Windows\Temp\*

C:\Program Arquivos\<nome da empresa>\

C:\Program Arquivos (x86)\<nome da empresa>\

C:\Users\<UserProfileName>\AppData\Local\Temp\

C:\Users\<UserProfileName>\AppData\LocalLow\Temp\

Observação: esta não é uma lista exaustiva de exclusões a serem evitadas, mas fornece informações sobre os principais vetores de ataque. Manter a visibilidade desses caminhos, extensões de arquivos e processos é crucial.

Informações Relacionadas

Histórico de revisões

Revisão	Data de publicação	Comentários
6.0	12-Feb-2024	Tipos de exclusão ausentes adicionados
5.0	01-Aug-2023	Proteção comportamental adicionada ao conector Linux
4.0	22-Feb-2023	Adicionada a seção "Erros comuns"
3.0	23-Mar-2022	Seção adicionada para o processo curinga
2.0	18-Feb-2022	Link atualizado para o guia do usuário
1.0	22-Aug-2021	Versão inicial

Colaborado por engenheiros da Cisco

Caly Hess
Líder técnico do PrincessX CEX
Matthew Franks
Engenheiro de escalonamento de endpoints seguros da Cisco
Mathew Huynh
Engenheiro do Cisco TAC

Este documento lhe foi útil?

Feedback

Contate a Cisco

Abrir um caso de suporte
(É necessário um Contrato de Serviço da Cisco)

Configurar e identificar exclusões de endpoints seguros

Linguagem imparcial

Sobre esta tradução

Contents

Introdução

Ressalva

Overview

O que são exclusões?

Exclusões mantidas pela Cisco

Exclusões personalizadas

Tipos de Exclusões

Exclusões de Processos

MacOS e Linux

Windows

Exclusões de ameaças

Exclusões de Caminho

Correspondências de caminho parcial (somente Windows)

Exclusões de Extensão de Arquivo

Exclusões de Curinga

Windows

Exclusões de executáveis (somente Windows)

Exclusões do IOC (somente Windows)

CSIDL e KNOWNFOLDERID (somente Windows)

Preparar Conector para Ajuste de Exclusão

Identificar exclusões

MacOS e Linux

Criando exclusões de processos

Criando Caminho, Extensão de Arquivo e Exclusões de Curinga

Mecanismo de proteção comportamental (somente Linux)

Windows

Criando Regras de Exclusão no Console de Ponto de Extremidade Seguro

Melhores práticas

Exclusões não recomendadas

Informações Relacionadas

Histórico de revisões

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

Contate a Cisco

Este documento se refere a estes produtos