對安全端點中的誤報檔案分析事件進行故障排除

簡介

本文檔介紹如何在Cisco Secure Endpoint中收集誤報檔案分析。

必要條件

需求

思科建議您瞭解Secure Endpoint Console控制面板。

採用元件

本檔案中的資訊是根據Secure Endpoint 8.X.X及更新版本。

附註：需要具有管理員許可權的帳戶。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

安全終端可能會對特定檔案/流程/指令碼/安全雜湊演算法(SHA)256生成過多警報。如果您懷疑網路中存在任何誤報檢測，請聯絡思科技術支援中心(TAC)，診斷團隊會繼續深入分析檔案。當您聯絡思科TAC時，需要提供以下資訊：

·檔案SHA 256雜湊
·檔案示例複製
·從安全終端控制檯捕獲警報事件

·從安全終結點控制檯捕獲的JSON事件詳細資訊
·有關檔案的資訊（檔案來自何處，以及為何需要存在於環境中）
·解釋為什麼您認為檔案/進程可能是誤報

思科始終致力於改進和擴展安全端點技術的威脅情報，但是，如果您的安全端點解決方案錯誤地觸發了警報，則您可以採取一些措施以防止對您的環境造成任何進一步的影響。本文提供原則，以取得與Cisco TAC就False Positive問題建立案例所需的所有詳細資訊。根據診斷團隊檔案分析，檔案處置可以更改以停止在安全終端控制檯上觸發的警報事件，或者Cisco TAC可以提供正確的修復程式，讓運行檔案/進程而不會在您的環境中出現問題。

對Secure Endpoint中的誤報檔案分析進行故障排除

本節提供的資訊可用於獲取使用Cisco TAC開啟誤報票證所需的全部詳細資訊。

1.檔案SHA 256雜湊

步驟1。若要取得SHA 256雜湊，請導覽至Secure Endpoint Console > Dashboard > Events.

步驟2.選擇Alert Event and上方的按SHA256鍵，Copy選擇如下圖所示。

2.檔案示例副本

步驟1。您可以從Secure Endpoint Console獲取檔案示例，導航到Secure Endpoint Console > Dashboard > Events.

步驟2.選擇上Alert Event,的單SHA256擊，然後導File Fetch > Fetch File航至如下圖所示。

步驟3.選擇偵測到檔案的裝置，然後按一下Fetch按鈕，如下圖所示。

附註：必須開啟裝置才能成功獲取示例檔案。

步驟4.您會收到通知，如下圖所示。

幾分鐘後，檔案可供下載時，您會收到電子郵件通知，如下圖所示。

步驟5.導覽至Secure Endpoint Console > Analysis > File Repository並Download選擇如下圖所示。

步驟6.出現通知框，按一下Download，如下圖所示，並將檔案作為ZIP檔下載。

3.從安全終端控制檯捕獲警報事件

步驟1.導航至Secure Endpoint Console > Dashboard > Events.

步驟2.選擇Alert Event並擷取擷取，如下圖所示。

4.來自安全終結點控制檯的JSON事件詳細資訊

步驟1.導航至Secure Endpoint Console > Dashboard > Events.

步驟2.選擇Alert Event並單擊ViewJSON選項旁的on，如下圖所示。

它將開啟JSON詳細資訊，如下圖所示。按一下「Download」以儲存內容。

5.有關檔案的資訊

• 有關檔案來源的資訊
• 如果檔案來自網站，請共用Web URL 
• 共用一些檔案說明並解釋檔案功能

6.說明

• 為什麼您認為檔案過程可能是誤報？ 
• 分享您信任檔案的原因。

提供資訊

• 收集所有詳細資訊後，將請求的所有資訊上傳到https://mycase.cloudapps.cisco.com/case。
• 請確保您參考了服務請求(SR)編號。