Solucionar problemas de eventos de análise de arquivo com falsos positivos em um endpoint seguro

Introdução

Este documento descreve como coletar uma análise de arquivo Falso Positivo no Cisco Secure Endpoint.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento do painel do Secure Endpoint Console.

Componentes Utilizados

As informações neste documento são baseadas no Secure Endpoint versão 8.x.x e posterior.

Note: É necessária uma conta com privilégios de administrador.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Os Pontos de Extremidade Seguros podem gerar alertas excessivos sobre um determinado arquivo/processo/script/Algoritmo de Hash Seguro (SHA) 256. Se você suspeitar de qualquer detecção de Positivo Falso em sua rede, poderá entrar em contato com o TAC da Cisco, e a Equipe de Diagnóstico prosseguirá para executar uma análise de arquivo mais profunda. Ao entrar em contato com o TAC da Cisco, você deverá fornecer estas informações:

· Hash SHA 256 do arquivo
· Cópia de exemplo de arquivo
· Captura de eventos de alerta a partir do Secure Endpoint Console

· Detalhes de eventos JSON capturados do console de endpoint seguro
· Informações sobre o arquivo (de onde ele veio e por que ele deve estar no ambiente)
· Explicar por que você acredita que o arquivo/processo pode ser um falso positivo

A Cisco sempre se esforça para melhorar e expandir a inteligência de ameaças para a tecnologia de endpoint seguro. No entanto, se a sua solução de endpoint seguro acionar um alerta incorretamente, você poderá tomar algumas medidas para evitar qualquer impacto adicional no seu ambiente. Este documento fornece uma diretriz para obter todos os detalhes necessários para abrir um caso com o TAC da Cisco com relação a um problema de falso positivo. Com base na análise do arquivo da equipe de diagnóstico, a disposição do arquivo pode mudar para interromper os eventos de alerta acionados no Secure Endpoint Console ou o Cisco TAC pode fornecer a correção adequada para permitir que o arquivo/processo seja executado sem problemas no seu ambiente.

Solucionar problemas de análise de arquivos com falsos positivos em endpoints seguros

Esta seção fornece as informações que você pode usar para obter todos os detalhes necessários para abrir um ticket de False Positive no Cisco TAC.

1. Hash SHA 256 do arquivo

Etapa 1. Para obter o hash SHA 256, navegue até Secure Endpoint Console > Dashboard > Events.

Etapa 2. Escolha oandEvento Alert Clique em SHA256 e escolha Copiar como mostrado na imagem.

2. Cópia de Amostra de Arquivo

Etapa 1. Você pode obter o exemplo de arquivo no Secure Endpoint Console, navegue até Secure Endpoint Console > Dashboard > Events.

Etapa 2. Escolha o Evento de Alerta, clique em SHA256 e navegue até File Fetch > Fetch File como mostrado na imagem.

Etapa 3. Escolha o dispositivo onde o arquivo foi detectado e clique em Fetch como mostrado na imagem.

Note: O dispositivo deve ser ligado para obter com êxito o arquivo de exemplo.

Etapa 4. Você recebe a notificação conforme mostrado na imagem.

Após alguns minutos, você receberá uma notificação por e-mail quando o arquivo estiver disponível para download, como mostrado na imagem.

Etapa 5. Navegue até Secure Endpoint Console > Analysis > File Repository e escolha Download como mostrado na imagem.

Etapa 6. Uma caixa de notificação é exibida, clique em Download, conforme mostrado na imagem, e o arquivo é baixado como um arquivo ZIP.

3. Captura de Evento de Alerta a partir do Console de Endpoint Seguro

Etapa 1. Navegue até Secure Endpoint Console > Dashboard > Events.

Etapa 2. Escolha o Evento de Alerta e faça a captura como mostrado na imagem.

4. Detalhes de Evento JSON do Console de Ponto de Extremidade Seguro

Etapa 1. Navegue até Secure Endpoint Console > Dashboard > Events.

Etapa 2. Escolha o Evento de Alerta e clique em Exibir, ao lado da opção JSON, conforme mostrado na imagem.

Abre os detalhes do JSON conforme mostrado na imagem. Clique em Download para salvar o conteúdo.

5. Informações sobre o processo

• Informações sobre a origem do arquivo.
• Se o arquivo vier de um site, compartilhe o URL da Web.
• Compartilhe uma pequena descrição do arquivo e explique a função do arquivo.

6. Explicação

• Por que você acredita que o processo de arquivo pode ser um Falso Positivo?
• Compartilhe os motivos pelos quais você confia no arquivo.

Fornecer informações

• Depois de coletar todos os detalhes, carregue todas as informações solicitadas em https://mycase.cloudapps.cisco.com/case.
• Certifique-se de fazer referência ao número da Solicitação de Serviço (SR).