تمكين التحكم بالوصول في نهج الملف باستخدام البرامج الضارة
المقدمة
يوضح هذا المستند كيفية التخصيص للتطفل باستخدام عملية SFDataCorrelator لإجراء عمليات بحث SHA على الملفات التي تم اكتشافها.
المتطلبات الأساسية
- ترخيص الحماية والبرامج الضارة
- نهج الملف باستخدام البرامج الضارة
المتطلبات
- 5.3.0 وأعلى
- ASA (جميع الطرز)
- السلسلتان 7000 و 8000 (باستثناء أجهزة "AMP")
- تشغيل FTD على ASA
- تشغيل FTD على هيكل FXOS
المكونات المستخدمة
- برمجيات خبيثة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
عند تمكين نهج التحكم في الوصول باستخدام نهج الملف الذي يستخدم إما إجراء البرامج الضارة أو خيار "تخزين الملفات"، يمكن إزالة وحدة المعالجة المركزية (أو وحدتين في الطرز الأكبر) من الشخير.
تأثير الأداء
ملاحظة: عند تمكين البرامج الضارة على أجهزة الموارد الأقل، يكون تأثير الأداء أكبر.
- زمن الانتقال
- عمليات السقوط
- وحدة المعالجة المركزية (CPU) المرتفعة
- أسفل المسافة
استكشاف الأخطاء وإصلاحها
قم بإزالة نهج الملف من نهج AC أو تعطيل قاعدة AC باستخدام نهج الملف. ثم أعد تطبيق سياسة التيار المتردد لتخصيص التسلل إلى جميع مراكز وحدة المعالجة المركزية (CPU) القابلة للطيران.
ASA
root@Sourcefire3D:~# grep "SW\|MODEL" /etc/sf/ims.conf SWVERSION=5.3.1 SWBUILD=152 MODEL_CLASS="3D Sensor" MODELNUMBER=72 MODEL="ASA5545" MODEL_TYPE=Sensor MODELID=H root@Sourcefire3D:~# pmtool show affinity Received status (0): Affinity Status System CPU Affinity: 08 (desired: 08) Process CPU Affinity: Node 0: CPU 0: CPU 1: SFDataCorrelator (/usr/local/sf/bin/SFDataCorrelator) (2, desired: 2) CPU 2: d54fff2a-37f7-11e4-a1bd-d47ac274f5bf-d01 (/var/sf/detection_engines/d54fff2a-37f7-11e4-a1bd-d47ac274f5bf/snort) (4, desired: 4) CPU 3: CPU 4: d54fff2a-37f7-11e4-a1bd-d47ac274f5bf-d02 (/var/sf/detection_engines/d54fff2a-37f7-11e4-a1bd-d47ac274f5bf/snort) (10, desired: 10) CPU 5: d54fff2a-37f7-11e4-a1bd-d47ac274f5bf-d03 (/var/sf/detection_engines/d54fff2a-37f7-11e4-a1bd-d47ac274f5bf/snort) (20, desired: 20) Device Affinity (0 PENDING): kvm_ivshmem (desired: 01): 10: kvm_ivshmem (01) Process Affinity: SFDataCorrelator (desired: 02, actual: 02)
السلسلتان 7000 و800Series
root@8250a-sftac:~# grep "SW\|MODEL" /etc/sf/ims.conf SWVERSION=5.3.0 SWBUILD=571 MODEL_CLASS="3D Sensor" MODELNUMBER=63 MODEL="3D8250" MODEL_TYPE=Sensor MODELID=C root@8250a-sftac:~# pmtool show affinity Received status (0): Affinity Status System CPU Affinity: fffff0 (desired: fffff0) Process CPU Affinity: Node 0: CPU 0: CPU 2: SFDataCorrelator (/usr/local/sf/bin/SFDataCorrelator) (c, desired: c) CPU 4: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d01 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (10, desired: 10) CPU 6: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d03 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (40, desired: 40) CPU 8: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d05 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (100, desired: 100) CPU 10: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d07 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (400, desired: 400) CPU 12: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d09 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (1000, desired: 1000) CPU 14: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d10 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (4000, desired: 4000) CPU 16: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d02 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (10000, desired: 10000) CPU 18: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d04 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (40000, desired: 40000) CPU 20: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d06 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (100000, desired: 100000) CPU 22: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d08 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (400000, desired: 400000) Node 1: CPU 1: CPU 3: SFDataCorrelator (/usr/local/sf/bin/SFDataCorrelator) (c, desired: c) CPU 5: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d11 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (20, desired: 20) CPU 7: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d12 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (80, desired: 80) CPU 9: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d13 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (200, desired: 200) CPU 11: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d14 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (800, desired: 800) CPU 13: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d15 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (2000, desired: 2000) CPU 15: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d16 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (8000, desired: 8000) CPU 17: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d17 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (20000, desired: 20000) CPU 19: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d18 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (80000, desired: 80000) CPU 21: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d19 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (200000, desired: 200000) CPU 23: 3a3b8424-c8d3-11e4-98f5-1d2068538813-d20 (/var/sf/detection_engines/3a3b8424-c8d3-11e4-98f5-1d2068538813/snort) (800000, desired: 800000) Endpoint CPUs: c0e1: 0 (desired: -1) c1e1: 1 (desired: -1) Process Affinity: SFDataCorrelator (desired: 0c, actual: 0c)
نظام Firepower Threat Defense (FTD)
على أي من منصات FTD، يمكن أن يعمل الأمر السابقpmtool show affnity من نافذة مطالبة '>' الأولية بعد وصول SSH. على سبيل المثال:
Copyright 2004-2017, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Fire Linux OS v6.2.1 (build 6)
Cisco Firepower 2110 Threat Defense v6.2.1 (build 327)
> pmtool show affinity
Received status (0):
Affinity Status
System CPU Affinity: 0 (desired: 0)
Process CPU Affinity:
CPU 0:
CPU 1:
65a99306-360b-11e7-a8f4-5671cccf5a71-d01 (/ngfw/var/sf/detection_engines/65a99306-360b-11e7-a8f4-5671cccf5a71/snort) (?, desired: 1,5)
CPU 2:
65a99306-360b-11e7-a8f4-5671cccf5a71-d02 (/ngfw/var/sf/detection_engines/65a99306-360b-11e7-a8f4-5671cccf5a71/snort) (?, desired: 2,6)
CPU 3:
65a99306-360b-11e7-a8f4-5671cccf5a71-d03 (/ngfw/var/sf/detection_engines/65a99306-360b-11e7-a8f4-5671cccf5a71/snort) (?, desired: 3,7)
CPU 4:
CPU 5:
65a99306-360b-11e7-a8f4-5671cccf5a71-d01 (/ngfw/var/sf/detection_engines/65a99306-360b-11e7-a8f4-5671cccf5a71/snort) (?, desired: 1,5)
CPU 6:
65a99306-360b-11e7-a8f4-5671cccf5a71-d02 (/ngfw/var/sf/detection_engines/65a99306-360b-11e7-a8f4-5671cccf5a71/snort) (?, desired: 2,6)
CPU 7:
65a99306-360b-11e7-a8f4-5671cccf5a71-d03 (/ngfw/var/sf/detection_engines/65a99306-360b-11e7-a8f4-5671cccf5a71/snort) (?, desired: 3,7)في ملفات أستكشاف الأخطاء وإصلاحها، pmtool show affnity يكون إخراج الأمر في دليل command-output. اسم الملف: عرض USR-local-SF-bin-PMTOOL التقارب.الإخراج
يمكن أن يكون الإخراج طويلا جدا إذا تم تشغيله على أستكشاف أخطاء المنتج وإصلاحها من جهاز أكبر حجما. هنا بعض أوامر GREP لإعطائك إشارة واضحة إلى عدد وحدات المعالجة المركزية المخصصة لعمليات الشخر و SFDataCorrelator.
[user@tex command-outputs]$ grep snort usr-local-sf-bin-pmtool\ show\ affinity.output |wc -l
46[user@tex command-outputs]$ grep "/SFDataC" usr-local-sf-bin-pmtool\ show\ affinity.output |wc -l
2الإنتاج السابق من الحالي أكبر جهاز (FPR-9300 SM-44). كما ترى، هناك 46 وحدة معالجة مركزية مخصصة للشخير واثنتان مخصصتان ل SFDataCorrelator (منذ تمكين نهج البرامج الضارة).
ملاحظة: يتعذر على تحليل TS عرض رسومات DE البيانية الكاملة للأداء في هذه السيناريوهات بشكل صحيح
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
21-Jun-2024 |
الإصدار الأولي |
التعليقات