對安全端點中的誤報檔案分析事件進行故障排除
簡介
本文檔介紹如何在Cisco Secure Endpoint中收集誤報檔案分析。
必要條件
需求
思科建議您瞭解Secure Endpoint Console控制面板。
採用元件
本檔案中的資訊是根據Secure Endpoint 8.x.x及更新版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
安全端點可能會對特定檔案/流程/指令碼/安全雜湊演算法(SHA)256生成過多警報。如果您懷疑網路中存在任何誤報檢測,可以聯絡思科TAC,而診斷小組會繼續執行更深層次的檔案分析。當您聯絡思科TAC時,您必須提供以下資訊:
·檔案SHA 256雜湊
·檔案示例複製
·從安全終端控制檯捕獲警報事件
·從安全終結點控制檯捕獲的JSON事件詳細資訊
·有關檔案的資訊(檔案來自何處,以及為何必須存在於環境中)
·解釋為什麼您認為檔案/進程可能是誤報
思科始終致力於改進和擴展安全端點技術的威脅情報,但是,如果您的安全端點解決方案錯誤地觸發了警報,則您可以採取一些措施以防止對您的環境造成任何進一步的影響。本文提供原則,以取得所有所需的詳細資訊,以便就False Positive問題向Cisco TAC建立案例。根據診斷團隊檔案分析,檔案處置可以更改以停止在安全終端控制檯上觸發的警報事件,或者Cisco TAC可以提供正確的修復程式,讓運行檔案/進程而不會在您的環境中出現問題。
對Secure Endpoint中的誤報檔案分析進行故障排除
本節提供的資訊可用於獲取使用Cisco TAC開啟誤報票證所需的全部詳細資訊。
檔案SHA 256雜湊
步驟1。若要獲取SHA 256雜湊,請導覽至安全終端主控台>儀表板>事件。
步驟2.選擇Alert and事件按一下SHA256,然後選擇Copy,如下圖所示。
檔案示例副本
步驟1。您可以從Secure Endpoint Console獲取檔案示例,導航到Secure Endpoint Console > Dashboard > Events。
步驟2.選擇Alert Event,按一下SHA256,然後導覽至File Fetch > Fetch File,如下圖所示。
步驟3.選擇偵測到檔案的裝置,然後按一下Fetch,如下圖所示。
步驟4.您會收到通知,如下圖所示。
幾分鐘後,檔案可供下載時,您會收到電子郵件通知,如下圖所示。
步驟5.導覽至Secure Endpoint Console > Analysis > File Repository,然後選擇Download,如下圖所示。
步驟6.出現通知框,按一下Download,如下圖所示,並將檔案作為ZIP檔下載。
從安全終端控制檯捕獲警報事件
步驟1.導航到安全終端控制檯>控制面板>事件。
步驟2.選擇Alert Event並獲取捕獲,如下圖所示。
來自安全終結點控制檯的JSON事件詳細資訊
步驟1.導航到安全終端控制檯>控制面板>事件。
步驟2.選擇Alert Event,然後按一下JSON選項旁邊的View,如下圖所示。
它將開啟JSON詳細資訊,如下圖所示。按一下「Download」以儲存內容。
有關檔案的資訊
- 有關檔案來源的資訊。
- 如果檔案來自網站,請共用Web URL。
- 共用一些檔案說明並解釋檔案功能。
說明
- 為什麼您認為檔案進程可能是誤報?
- 分享您信任檔案的原因。
提供資訊
- 收集所有詳細資訊後,登入並上傳要求的所有資訊到您的思科案件。
- 請確保您參考了服務請求(SR)編號。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
4.0 |
24-Apr-2026
|
標題和連結的重新認證和重新格式化。 |
3.0 |
26-Mar-2026
|
版本8.x.x |
1.0 |
02-Sep-2020
|
初始版本 |
意見