在安全终端中排除误报文件分析事件

简介

本文档介绍如何在思科安全终端中收集误报文件分析。

先决条件

要求

思科建议您了解安全终端控制台控制面板。

使用的组件

本文档中的信息基于安全终端版本8.X.X及更高版本。

注意：需要具有管理员权限的帐户。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

安全终端可能会生成有关特定文件/进程/脚本/安全哈希算法(SHA)256的过度警报。如果您怀疑网络中存在任何误报检测，您可以联系思科技术支持中心(TAC)，诊断团队会继续执行更深入的文件分析。当您联系思科TAC时，需要提供以下信息：

·文件SHA 256哈希
·文件示例副本
·从安全终端控制台捕获警报事件

·从安全终端控制台捕获的JSON事件详细信息
·有关文件的信息（文件来自何处以及为何需要存在于环境中）
·解释为什么您认为文件/进程可能是误报

思科始终致力于改进和扩展安全终端技术的威胁情报，但是，如果您的安全终端解决方案错误地触发了警报，您可以采取一些措施以防止对您的环境造成任何进一步的影响。本文档提供了获取所有所需详细信息以向Cisco TAC提交有关误报问题的支持请求。根据诊断组文件分析，文件性质可以更改以停止在安全终端控制台上触发的警报事件，或者Cisco TAC可提供适当的修复程序，让运行文件/进程时不会在您的环境中出现问题。

排除安全终端中的误报文件分析故障

此部分提供可用于获取通过Cisco TAC打开误报票证所需的所有详细信息。

1.文件SHA 256哈希

步骤1.要获取SHA 256散列，请导航至Secure Endpoint Console > Dashboard > Events.

步骤2.选择上Alert Event and的点击SHA256并Copy选择如图所示。

2.文件示例副本

步骤1.您可以从安全终端控制台获取文件示例，导航至Secure Endpoint Console > Dashboard > Events.

步骤2.选择Alert Event,单击它SHA256并导File Fetch > Fetch File航至如图所示。

步骤3.选择检测到文件的设备，然后单击Fetch打开，如图所示。

注意：必须打开设备才能成功获取示例文件。

步骤4.您收到通知，如图所示。

几分钟后，当文件可供下载时，您会收到电子邮件通知，如图所示。

步骤5.导航到图Secure Endpoint Console > Analysis > File Repository像Download所示的选项并选定。

第6步：出现通知框，点击下载（如图所示），该文件将下载为ZIP文件。

3.从安全终端控制台捕获警报事件

步骤1.导航至Secure Endpoint Console > Dashboard > Events.

步骤2.选择Alert Event并捕获图像，如图所示。

4.来自安全终端控制台的JSON事件详细信息

步骤1.导航至Secure Endpoint Console > Dashboard > Events.

步骤2.选择Alert Event并单View击JSON选项旁边的on，如图所示。

它将打开JSON详细信息，如图所示。单击Download保存内容。

5.有关文件的信息

• 有关文件来源的信息
• 如果文件来自某个网站，请共享该Web URL 
• 共享一些文件说明并解释文件功能

6.解释

• 为什么您认为文件过程可能是误报？ 
• 分享您信任文件的原因。

提供信息

• 收集所有详细信息后，将请求的所有信息上传到https://mycase.cloudapps.cisco.com/case。
• 确保您参考了服务请求(SR)编号。