简介
本文档介绍在安全终端上查找和创建例外项的最佳实践。
作者:Caly Hess、Mathew Huynh和Matthew Franks,思科工程师。
先决条件
要求
Cisco 建议您了解以下主题:
- 访问安全终端门户
- 具有管理员权限的帐户
- 有关客户环境的工作知识。
使用的组件
本文档中的信息基于Windows、Linux和MacOS操作系统。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
如何理解排除
排除集是目录、文件扩展名或威胁名称的列表,您不希望安全终端连接器扫描或定罪。 启用终端保护(如安全终端)时,排除是确保机器上性能和安全平衡的必要条件。本文描述安全终端云、TETRA、SPP和MAP的例外情况。
每个环境都是独一无二的,控制它的实体也各不相同,从严格的政策到开放的政策,后者被归类为蜜罐。因此,必须针对每种情况单独定义此类例外情况。
不同的排除可以分为两种:明显排除和模糊排除。
明显的排除项
明显排除项是根据对常用操作系统、程序和其他安全软件进行研究和测试而创建的排除项。 这些例外项可在控制台的Cisco维护例外项列表中找到。
注意:建议联系其他防病毒(AV)供应商并请求添加其推荐的例外项,这样可确保安全终端和AV同时运行,同时最大程度地降低性能影响。
模糊排除
建议创建重复策略,以避免业务安全问题和中断,以识别具有性能问题指示符的计算机,并将这些计算机分成组来使用此重复策略。
警告:控制面板上的配置更改需要时间才能允许连接器同步策略。请允许心跳更新或手动同步连接器上的策略。
策略创建
- 安全终端控制台>管理选项卡>策略
- 点击+新策略……
- 从操作系统的下拉菜单中选择。
- 为其提供一个有意义的名称,以便您能够区分此策略和说明(可选)。
- 根据您的要求选择策略操作,立即使用默认排除项。
- 重要信息在Advanced Settings > Administrative Features中,将Connector log level设置为Debug。
- 单击Save完成策略创建。
组创建
- Secure Endpoint Console > Management选项卡> Groups
- 单击Create Group
- 为其提供一个有意义的名称,以便您能够区分此组和说明(可选)。
- 选择已创建的重复策略。
- 单击Save完成组创建。
如何识别排除
在重复策略和组创建后,连接器上的调试日志级别根据正常业务操作运行计算机。在访问程序和进程时留出时间获取足够的连接器日志数据,生成支持诊断包以审核和识别例外项。
为不同的操作系统创建诊断捆绑包的指南:
MacOS或Linux
提取压缩调试诊断包。文件 fileops.txt 列出文件创建、修改和重命名活动触发安全端点执行文件扫描的路径。 每条路径都有一个关联的计数,该计数指示该路径被扫描的次数,并且列表按降序排序。 虽然高计数不一定表示应排除路径(例如,存储电子邮件的目录可能经常被扫描,但决不能排除),但列表提供了识别排除候选的起点。
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
Windows 窗口版本
Windows操作系统更加复杂,由于父进程和子进程,有更多排除选项可用。这表示需要进行更深入的审查,以识别已访问的文件以及生成这些文件的程序。请参阅思科安全解决方案的GitHub页面上的此Windows调整工具,以获取有关如何分析和优化安全终端的Windows性能的详细信息。
如何创建排除
本节介绍编写环境例外项的最佳实践。
注意:在写入例外项之前始终了解文件和进程,以避免计算机存在安全漏洞。
注:更多详细信息请参阅《用户指南》中的第3章,此处。本章介绍安全终端门户的排除、实施和导航的类型。
CSIDL路径和流程
CSIDL是一种被接受和鼓励的排除方法。 CSIDL允许使用备用驱动器号的环境确认进程例外项,并且当该路径特定于用户时,可以绕过通配符的需要(因为进程例外项不允许通配符)。 有关CSIDL的详细信息。 但是,在使用CSIDL时需要考虑一些限制。 如果您的环境将程序安装在多个驱动器盘符上,则CSIDL路径仅引用标记为默认安装位置的驱动器,例如,如果操作系统安装在C:\上,但Microsoft SQL的安装路径手动更改为D:\,则维护的排除列表中的基于CSIDL的排除项不适用于该路径。 对于进程排除,这意味着对于不在C:\驱动器上的每个进程必须输入一个排除,因为使用CSIDL不会映射它。
路径排除
这些排除项是最常用的,应用程序冲突通常涉及目录排除。使用绝对路径或CSIDL创建路径排除。
例如,要在Program Files目录中排除防病毒应用程序,排除路径可能是:
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
如果没有尾随斜杠,Windows连接器在路径上执行部分匹配,而Mac和Linux则不执行部分匹配。
例如,如果应用以下路径排除"C:\Program Files"和作为"C:\test":
C:\Program文件和C:\Program文件(x86)被排除:
C:\Program Files
C:\Program Files (x86)
C:\test被排除,如C:\test123:
C:\test
C:\test123
您可以将排除项从“C:\test”更改为“C:\test\”,这样会阻止“C:\test123”被排除。
注意:路径排除是递归的,并且也排除所有子目录。
文件扩展名
这些例外允许排除具有特定扩展名的所有文件。
关键点
- 连接器侧的预期输入为.extension
- 如果未添加任何文件扩展名,控制面板会自动在文件扩展名前添加一个句点。
- 分机不区分大小写。
例如,要排除所有Microsoft Access数据库文件,可以创建以下排除:
.MDB
注意:标准例外项在默认列表中可用,不建议删除这些例外项,否则可能导致计算机性能更改。
通配符
除了使用星号(*)字符触发器作为通配符外,这些例外项与路径或扩展例外项相同。
警告:通配符排除不会止于路径分隔符,这可能会导致意外排除。示例:C:\*\test不包括C:\sample\test和C:\1\2\3\4\5\6\test123。
警告:以星号(*)开始排除可能会导致严重的性能问题。 对于7.5.3+,添加通配符进程例外项会导致星号领先的例外项出现额外的性能问题。 请删除或更改此格式的所有例外项,以缓解cpu的影响。
例如,如果将MAC上的虚拟机排除在扫描范围之外,请输入以下路径排除项:
/Users/johndoe/Documents/Virtual Machines/
此排除项仅适用于johndoe,要允许多个用户匹配,请使用星号(*)替换路径中的用户名作为通配符排除:
/Users/*/Documents/Virtual Machines/
为存在于不同驱动器中的路径写入例外项。
示例:C:\testpath和D:\testpath是:
^[A-Za-z]\testpath
从Exclusion Type下拉列表中选择通配符后,“Apply to all drive letters”被选中时,系统会自动生成^[A-Za-z],如图所示:

Process
进程排除允许管理员从正常文件扫描(安全终端Windows Connector版本5.1.1及更高版本)、系统进程保护(连接器版本6.0.5及更高版本)或恶意活动保护(连接器版本6.1.5及更高版本)中排除正在运行的进程。
进程排除由下列任一方法完成:指定进程可执行文件的完整路径、进程可执行文件的SHA-256值,或同时指定路径和SHA-256。路径允许两个直接路径或使用CSIDL值。
注意:默认情况下,排除进程创建的子进程不包括在排除中。示例:默认情况下,MS Word的进程排除不会排除由Word.exe创建的任何其他进程,并且会进行扫描。要包含其他进程,请点击Apply for Child Processes复选框。 此外,不建议排除Word.exe,因为恶意软件会经常隐藏在现代.docx文件中。
注意:要排除进程,必须同时指定路径和SHA-256两个条件。
限制:
- 如果进程的文件大小大于策略中设置的最大扫描文件大小,则不计算进程的SHA-256,并且排除不起作用。对大于最大扫描文件大小的文件使用基于路径的进程排除
- 连接器版本5.x.x到6.0.3 — 所有进程排除类型中限制为25个进程排除
- 连接器版本6.0.5+ — 所有进程排除类型限制为100个进程排除。
- 连接器版本7.x.+ — 所有进程排除类型的进程排除项限制为500个。
- 连接器仅从policy.xml中进程排除列表顶部的进程排除数达到限制
- 每个策略都有针对sfc.exe的进程排除,该排除根据限制计算
-
3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|
威胁
这些排除允许从触发事件中排除特定威胁名称。仅当扫描结果触发误报检测并确认它们不是实际威胁时,才应使用威胁排除。
用于添加威胁排除的文本框不区分大小写。例如:W32.Zombies.NotAVirus或w32.zombies.notavirus都匹配相同的威胁名称。
警告:除非对威胁名称的调查和确认被视为误报,否则不要排除威胁。排除的威胁不再填充在“事件”选项卡中以供审阅和审核。
进程通配符
Windows 窗口版本
终端7.5.3+允许使用进程例外项中的通配符功能进行其他例外项。 这允许更宽泛的覆盖范围,较少地排除某些内容,但如果对太多内容不加界定,也可能会带来危险。 您应该只使用通配符来包含提供所需例外项所需的最小字符数。
在Windows进程通配符中使用(*):
- (*)可以代替单个字符或完整目录。 不能将其放置在路径的开头,将被判定无效。 通配符将在两个已定义的字符、斜杠或字母数字之间起作用。 将其放置在路径的末尾,将排除该目录中的进程,但不排除子目录。
- (**)可用于在路径末尾排除该目录中的所有进程和子目录中的进程。 这允许使用最小输入创建更大的排除集,但也会为可视性留下很大的安全漏洞。 请谨慎使用此功能。
示例:
C:\Windows\*\Tiworker.exe - Excludes all Tiworker.exe found in the subfolders of 'Windows'
C:\Windows\P*t.exe - Excludes Pot.exe, Pat.exe, P1t.exe Etc.
C:\Windows\*chickens.exe - Excludes all Processes in 'Windows' folder ending in chickens.exe
C:\* - Excludes all Processes in the C: drive in the top layer of folders but not the subfolders.
C:\** - Excludes every Process on the C: drive.
MacOS和Linux
终端1.15.2+允许使用进程排除项中的通配符功能进行其他排除。 这允许更宽泛的覆盖范围,较少地排除某些内容,但如果对太多内容不加界定,也可能会带来危险。您应该只使用通配符来包含提供所需例外项所需的最小字符数。
在Mac的进程通配符中使用(*):
- (*)可以代替单个字符或完整目录。 不能将其放置在路径的开头,将被判定无效。 通配符将在两个已定义的字符、斜杠或字母数字之间起作用。
示例:
/Library/Java/JavaVirtualMachines/*/java - Excludes Java within all subfolders of JavaVirtualMachines
/Library/Jibber/j*bber - Excludes the Process for jabber, jibber, jobber, etc.
漏洞防御排除(应用)
Windows 窗口版本
安全终端7.5.1+使用漏洞防御引擎的V5,控制台现在允许在当前的排除列表功能中配置应用排除。 这目前仅限应用程序使用,任何与DLL相关的排除操作仍必须通过打开支持案例来完成。
查找正确的漏洞防御排除项是一个比任何其他排除类型要复杂得多的过程,需要进行大量测试以最大限度地减少任何有害的安全漏洞。
相关信息