面向终端的AMP控制台和最近查看的过滤器

下载选项

  • PDF     (474.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (151.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (101.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 9 月 25 日
文档 ID:214893

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在面向终端的高级恶意软件防护(AMP)中引用CSCvh31177的“上次出现”过滤器漏洞的说明。

    作者:Caly Hess,思科工程师。

    先决条件 

    要求

    Cisco 建议您了解以下主题:

    • 访问面向终端的思科AMP控制面板

    使用的组件

    本文档中的信息基于以下软件:

    • 面向终端的思科AMP思科AMP思科AMP思科AMP思科AMP思科AMP 5.4.20190917

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    问题

    控制台上计算机页面的“Last Seen”(上次查看时间)过滤器显示过去24小时内在列表中显示的连接器。

    原因

    当前的“最后被看到”数据每隔24小时就有一份工作。虽然在“计算机”页面中反映的数据和“上次查看时间”的“导出到CSV”的输出是实时的,但过滤器本身会从该单一job的批数据中运行。实施此方案是为了提高结果的速度,因为实时分析大型企业环境的时间戳可能会导致超时和数据库锁定。

    7天以上过滤器中“最近出现的”计算机的说明

    计算机离线了7天以上,直到“上次查看时间”作业运行之后。 

    实际示例

    • HostA.randomdomain.net发生了一起不幸的事故,满满的咖啡杯,而且主板在8月10日没有完全恢复
    • HostA.randomdomain.net现在位于维修站,直到9月20
    • 在9月21,HostA.randomdomain.net在“Last Seen”作业运行4小时后返回网络,但在此时间的2小时内,审核员将过去30天未发现的计算机导出到CSV
    • HostA.randomdomain.net仍列在“Last Seen”作业中,表示超过30天没有看到。尽管现在它完全正常运行且无需咖啡,但审计人员现在仍从其“非活动”出口中捕获到它

    短期解决方案

    作业本身不会需要24小时才能运行,但至少需要12小时。为了提高过滤器的准确性,目前正在开发在上一个作业完成后自动重新计划作业的程序,预计该程序将在批处理时间窗口的7-12小时之内自动缩减。 

    长期解决方案

    “上次查看时间”机制的全部返工,更接近数据提取时的实时性。此解决方案需要实施一个全新的数据库结构,目前该数据库结构正在开发中,拟于下一个日历年发布。 

    修订历史记录

    版本 发布日期 备注
    1.0
    25-Sep-2019
    初始版本
    TAC Authored

    由思科工程师提供

    • 凯莉·赫斯
      思科工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品