مراجعة عمليات مسح Windows لنقطة النهاية الآمنة (CSE)

خيارات التنزيل

  • PDF     (1.8 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.6 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٦ أبريل ٢٠٢٣
معرّف المستند:220362

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).


    المقدمة

    يصف هذا المستند الأنواع المختلفة من عمليات الفحص لموصل Windows.

    المتطلبات الأساسية

    المتطلبات الأساسية لهذا المستند هي:

    • نقطة نهاية Windows
    • Secure Endpoint (CSE)، الإصدار v.8.0.1.21164 أو إصدار أحدث
    • الوصول إلى وحدة تحكم نقطة النهاية الآمنة

    المتطلبات

    لا توجد متطلبات خاصة لهذا المستند.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • وحدة التحكم في نقطة النهاية الآمنة
    • نقطة نهاية Windows 10
    • Secure Endpoint الإصدار v.8.0.1.21164

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تم إختبار عمليات المسح على بيئة معملية مع تعيين النهج على تصحيح الأخطاء.
    تم تمكين ميزة المسح الضوئي على "التثبيت" من خلال تنزيل Connector.
    تم تنفيذ عمليات المسح من واجهة المستخدم الرسومية (GUI) الخاصة بالعميل الآمن ومن أداة الجدولة.

    فحص كامل

    يوضح هذا السجل عندما يتم طلب مسح كامل من واجهة مستخدم رسومات CSE (GUI).

    Scan from User Interfaceالمسح الضوئي من واجهة المستخدم

    هنا، تبدأ عملية ScanInitiator عملية المسح الضوئي.

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    يمكنك أن ترى أن المسح الضوئي الكامل هو نوع المسح الضوئي الذي تم تشغيله على واجهة المستخدم الرسومية (GUI) كما هو موضح في الصورة.

    بعد ذلك، يكون لديك معرف الأمان (SID)، والذي يعد قيمة لطول المتغير تم تعيينها لهذا الحدث المعين، يساعدك معرف الأمان هذا على تعقب المسح الضوئي في السجلات.

    Publish Eventنشر الحدث

    يمكنك مطابقة هذا مع الحدث من وحدة تحكم CSE.

    Console Eventحدث وحدة التحكم







    بعد ذلك، في السجلات، يمكنك رؤية ما يلي:

    Publish Succeededنجح النشر



    هذا يعني أنه تم نشر الحدث بنجاح إلى مجموعة CSE.

    ثم، الإجراء التالي هو في الواقع إجراء المسح الضوئي:


    Scan Startبدء الفحص




    وكما تلاحظون، ال SID هو نفسه، لذلك انتم تحت تيار ال SID 1407343.


    هذه هي الخطوات التي يقوم الموصل بتنفيذها عند اكتشاف تهديد أثناء الفحص.

    الخطوة 1. يخبرك الموصل بأن الملف الذي تسبب في الكشف، في هذا المثال، سببه GLS ل Hacksantana Training.

    File Detectedتم الكشف عن الملف




    الخطوة 2. يتم نشر الحدث إلى وحدة تحكم CSE باستخدام اسم اكتشاف التهديد والمسار حيث يتم العثور عليه.

    Detection Nameاسم الكشف





    Threat Event Publishنشر حدث التهديد


    بعد انتهاء الفحص، يمكنك إلقاء نظرة على عارض الأحداث للحصول على ملخص للمسح الضوئي.

    Event Viewerعارض الأحداث

    مسح ضوئي

    المسح الضوئي للفلاش سريع، ويستغرق من ثوان إلى دقائق للانتهاء.
    في هذا المثال، يمكنك أن ترى متى يبدأ المسح الضوئي، ومثل السابق، يتم توفير معرف أمان (SID)، هذه المرة، بقيمة 2458015.


    Flash Scan Startبدء فحص Flash

    الإجراء التالي هو نشر الحدث إلى سحابة CSE.


    Publish to CSE Cloud


    عندما ينتهي الفحص، يتم نشر الحدث إلى السحابة.


    Scan Finish Publishإنهاء المسح الضوئي للنشر

    يمكن رؤية الحدث في عارض أحداث Windows. وكما تلاحظون، تكون المعلومات هي نفسها المعلومات المقدمة في السجلات.

    JSON Eventحدث JSON



    مسوحات مجدولة


    عندما يتعلق الأمر بعمليات الفحص المجدولة، يجب أن تكون على دراية بمجموعة من الجوانب.

    بعد جدولة الفحص، يحدث تغيير في الرقم التسلسلي.

    هنا، لا يحتوي نهج الاختبار على أي عمليات مسح مجدولة.

    Policy Serial Numberالرقم التسلسلي للنهج

    إذا كنت تريد جدولة الفحص، انقر فوق تحرير.

    انتقل إلى Advanced Settings > Scheduled Scans.

    Advanced Settingsإعدادات متقدمة

    انقر فوق جديد.

    New Scan Configurationتكوين الفحص الجديد

    الخيارات هي:

    • الفاصل الزمني للمسح
    • وقت المسح
    • نوع المسح

    بعد تكوين الفحص، انقر فوق إضافة.

    Scheduled Scan Configurationتكوين الفحص المجدول

    حفظ تغييرات النهج، يظهر إطار منبثق يؤكد التغييرات.

    Pop-Upمنبثق

    Serial Number changeتغيير الرقم التسلسلي

    Serial Number changeتغيير الرقم التسلسلي












    تم تكوين الفحص في "النهج"، في هذا المثال، تم تكوين مسحين ضوئيين، وفحص Flash، وفحص كامل.

    Policy XMLXML للنهج

    تتم إضافتها إلى مجدول في HistoryDB. الحروف المجاورة لعلامة <scheduled> هي معرف العملية (PID) الذي يعرف المسح الضوئي.


    Process IDمعرف العملية

    كما هو موضح في الصورة، تم وضع اسمه في قائمة الانتظار.

    Scan Queuedالمسح الضوئي في قائمة الانتظار

    يمكنك البحث في السجلات عن المسح الضوئي، ولاحظ ما إذا كان يمكن تشغيل الفحص الآن أم لا. إذا كان ذلك ممكنا، يتم تنفيذ الفحص.

    Scan can Executeيمكن تنفيذ المسح الضوئي



    يمكنك أن ترى أن خيارات المسح الضوئي يتم تحميلها وأن عملية ScanInitiator تطلب بدء المسح.


    Process starts the Scan




    ثم تبدأ العملية المسح الضوئي::ScanThreadProcess في إجراء المسح الضوئي.


    Type of Scan id Flash

    وكما هو الحال مع الأحداث السابقة، يجب نشره في سحابة CSE. يمكن أن تخبرك السجلات نوع الفحص، والذي في هذه الحالة هو Flash.


    Publish Event of Scheduled Scanنشر حدث الفحص المجدول

    يمكنك الانتقال إلى Event Viewer > App and Services Registries.

    Application and Services Logsسجلات التطبيقات والخدمات


    البحث عن نقطة النهاية الآمنة من Cisco والسحابة المفتوحة والأحداث. كل علامة تبويب تمنحك طريقة عرض مختلفة.

    الأحداث:


    Event Viewعرض الحدث

    السحابة:

    Cloud Viewمنظر السحابة

    بمجرد انتهاء الفحص، يمكنك رؤية الحدث المنشور على السحابة.


    Scan Finish Publishإنهاء المسح الضوئي للنشر


    فحص كامل مجدول


    يظهر عارض أحداث Windows بدء فحص الحدث، كما هو موضح في الصورة.

    Event Scan Started







    وبمجرد انتهائها، يمكنك مقارنة الحدث المنشور.


    Compare the Published Event

    يمكنك رؤية ذلك في عارض الأحداث من Windows.

    Event Viewerعارض الأحداث






    عمليات مسح أخرى

    عندما يتعلق الأمر بمسحات مخصصة أو مسحات مجموعة المواد الأولية، فإن الاختلاف الرئيسي كما لاحظته هو نوع المسح في عارض الأحداث أو في السجلات.

    استكشاف الأخطاء وإصلاحها

    عند عدم إجراء فحص الجدول الزمني:

    • تأكد من توفر نقطة النهاية في الوقت الذي يفترض فيه حدوث المسح.
    • تأكد من جدولة الفحص في النهج. إذا لم تكن ترى ذلك، قم بتشغيل مزامنة النهج.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    06-Apr-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Uriel Tadeo Montero Casas
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات