本文描述对排除的了解,可配置排除的类型,在Cisco提前的Malware保护(AMP)最佳实践找出和创建排除终端连接器的。
贡献由Caly赫斯,马修Huynh和马修直率, Cisco技术工程师。
背景信息
了解排除
排除集是目录列表,文件扩展或者威胁名字您不希望终端连接器的AMP能扫描或判罪。 当使用终端保护例如AMP时,排除是在机器的必要保证性能平衡和安全。
每个环境是唯一以及控制它的实体,变化从严密到开放政策,后者将分类为蜂蜜。被定义的这样排除必须独特为专门制作每个情况。
不同的排除可以分类用两种方式、明显的排除和隐隐绰绰的排除。
明显的排除
明显的排除列表可用的在这里。(https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118341-configure-fireamp-00.html)
Note:推荐联系其他抗病毒(AV)供应商和请求他们推荐的排除被添加,这保证AMP终端连接器,并且作用的AV也一前一后使性能影响减到最小。
隐隐绰绰的排除
推荐创建一个复制策略避免企业安全性问题和中断。在后识别有性能问题指示器的计算机和分离他们到组使用此复制策略。
警告:在显示板的更改将需要时刻允许连接器同步。请允许心跳线更新或手工同步由于连接器的策略。
策略创建
- 终端Console>管理选项>策略的AMP
- 点击+新的策略…
- 从下拉菜单挑选为操作系统。
- 提供它一个有意义的名字允许您区分此策略和说明(可选)。
- 选择策略动作对您的需求,暂时请使用默认排除。
- 重要在先进的设置>Administrative功能,请设置连接器日志级调试。
- 点击“Save”完成策略创建。
组队创建
- 终端Console>管理选项> Groups的AMP
- 点击创建组
- 提供它一个有意义的名字允许您区分此组和说明(可选)。
- 选择您创建了的复制策略。
- 点击“Save”完成组创建。
识别排除
在复制策略和组创建,与在连接器的调试日志级别根据正常商业经营后运行计算机。请允许时刻得到足够的连接器日志数据,当程序和进程被获取了时,生成支持诊断的套件查看和识别排除。
创建诊断的套件指南不同的操作系统的是可用的:
这里Windows (https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118228-technote-fireamp-00.html)
这里Linux (https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/200877-Collection-of-Diagnostic-Data-from-a-Fir.html)
这里MAC (https://www.cisco.com/c/en/us/support/docs/security/fireamp-mac/118365-technote-fireamp-00.html)
使用MacOS或Linux
提取被压缩调试诊断套件。文件fileops.txt列出路径文件创建,修改并且给活动被触发的AMP改名进行文件扫描的地方。 每条路径有一相关计数指示多少次被扫描了,并且列表在降序被排序。 当高计数不一定意味着时应该排除路径(即,存储电子邮件可能经常被扫描不应该排除的目录,但是),列表为识别排除候选提供一个起始点。
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
使用Windows
Windows操作系统是更加复杂的,更多排除选项可用归结于父母和子进程。这表明要求更加深刻的复核识别被获取的文件,而且生成他们的程序。请参见调整从Cisco安全的GitHub页的此Windows工具关于在分析和优化Windows性能的详细资料与AMP。
写排除
警告: 请在写排除前避免安全漏洞总是了解文件和进程到计算机。
Note: 其它细节可用在用户指南,复核第3章这里。本章包括排除、我们的门户的实施和定位的种类。
此部分包括文字排除最佳实践您的环境的。
路径排除
Note: 路径排除递归,并且排除所有子目录。
这些排除是常见使用,应用程序冲突典型地介入排除目录。使用一个绝对路径或CSIDL,创建路径排除。
例如,排除在Program Files目录的一个防病毒应用程序,排除路径是:
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
没有一条落后的斜线, Windows连接器将执行在路径的部分匹配。 Mac和Linux不。
与C:\test和C:\Program文件路径排除的示例。
C:\test将被排除,和C:\test123。
C:\Program文件和C:\Program文件(x86)被排除。
更改排除从C:\test到C:\test\从被排除将终止C:\test123。
文件扩展名
Note: 标准的排除是可用的在默认值列表,它没有推荐删除这些排除,如此执行可能引起在您的计算机的性能更改。
这些排除允许所有文件排除与某一扩展名的。
关键点
- 在连接器边的期望的输入是.extension
- 如果什么都未被添加,显示板自动地加在前面周期对文件扩展。
- 扩展不区分大小写。
例如,排除所有Microsoft请通过创建以下排除访问数据库文件:
.MDB
通配符
警告:通配符排除不终止在路径分隔符,这可能导致不愿意的排除。示例: C:* \测试将排除C:\sample\test以及C:\1\2\3\4\5\6\test123
警告:开始排除从星号(*)能导致主要性能问题并且不是推荐的。
这些排除是相同的象路径或扩展名排除除了使用星号(*)字符触发器作为通配符。
例如,从被扫描请排除在MAC的虚拟机,输入此路径排除:
/Users/johndoe/Documents/Virtual Machines/
此排除为johndoe只将运作,允许多个用户匹配,用星号(*)替换在路径的用户名对通配符排除:
/Users/*/Documents/Virtual Machines/
写存在于独立的驱动的排除为路径。
示例:C:\testpath和D:\testpath将是:
^[A-Za-z]\testpath
Note: 使用^ [A-Za-z] \ testpath将排除:C:\testpath和D:\testpath、以及C:\directory\testpath和D:\directory\subdirectory\testpath
Process
进程排除允许admins排除运行进程从正常文件扫瞄(终端Windows连接器版本5.1.1和以上的AMP),系统进程保护(连接器版本6.0.5和以上),或者恶意活动保护(连接器版本6.1.5和以上)。
进程排除由完成:指定完整路径对进程可执行,进程可执行的SHA-256值或者路径和SHA-256。 路径将允许直接路径或使用CSIDL值。
警告: 一个被排除的进程创建的默认情况下子进程在排除没有包括。示例:处理MS-Word的排除,默认情况下被创建的任何另外的进程不会被排除和被扫描。要包括另外的进程,请点击复选框申请子进程。
Note: 指定路径和SHA-256将要求两个情况符合排除进程。
限制:
- 如果进程的文件大小比在您的策略设置的最大扫描文件大小极大,则不会计算进程的SHA-256,并且排除不会工作。大于最大扫描文件大小请使用基于路径的进程排除文件。
- 连接器版本早于5.x.x -请勿支持流程排除
- 连接器版本5.x.x到6.0.3 - 25进程排除限制在所有进程排除类型间的。
- 连接器版本6.0.5+ - 100进程排除限制在所有进程排除间的键入。
- 连接器在policy.xml只将尊敬进程排除至限制,从进程排除的顶端列出。
- 每个策略有sfc.exe的进程排除,计数限制。
<item>3|0||CSIDL_AMP_VERSION\sfc.exe|48|</item>
威胁
警告: 除非调查和确认到威胁名字里视为是假善意告警,请勿排除威胁。使用被排除的威胁在复核和审计的事件选项不再将填充。
这些排除允许一个特定的威胁名字从触发事件被排除。应该只使用威胁排除,当扫描结果触发假阳性检测并且确认时他们不是一个实际威胁。
添加威胁排除的文本框不区分大小写。 示例:W32.Zombies.NotAVirus或w32.zombies.notavirus两匹配同一个威胁名字。
相关信息
反馈