Erstellen einer erweiterten Liste benutzerdefinierter Erkennungsoptionen in Cisco Secure Endpoint

Download-Optionen

  • PDF     (224.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (213.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (231.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. Februar 2022
Dokument-ID:217688

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Schritte zum Erstellen einer erweiterten benutzerdefinierten Erkennung (ACD) in Cisco Secure Endpoint beschrieben.

    Hintergrundinformationen

    TALOS Intelligence veröffentlichte am 14. Januar 2020 als Antwort auf die dienstlichen Sicherheitslücken von Microsoft Patch einen BLOG.

    Aktualisiert am 15. Januar: ACD-Signatur für AMP hinzugefügt, die zum Erkennen der Ausnutzung von CVE-2020-0601 verwendet werden kann, indem Zertifikate getauscht werden, die als Microsoft ECC Code Signing Certificate Authority maskiert werden: https://blog.talosintelligence.com/2020/01/microsoft-patch-tuesday-jan-2020.html.

    Die Signatur der Datei im TALOS-BLOG, die in der ACD verwendet werden soll:

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Secure Endpoint Cloud Portal
    • ACD
    • TALOS-Blog

    Die Informationen in diesem Dokument wurden von Geräten in einer bestimmten Laborumgebung erstellt.  Alle verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Erweiterte benutzerdefinierte Erkennungsliste erstellen

    Nun erstellen wir die ACD, um sie abzugleichen.

    Schritt 1: Navigieren Sie zu Secure Endpoint Portal > Outbreak Control > Advanced Custom Detection wie im Bild gezeigt.

    Outbreak Control

    Schritt 2: Beginnen Sie mit einem Namen für den Signaturensatz CVE-2020-0601, wie im Bild gezeigt.

    New Custom Detection

    Schritt 3: Bearbeiten Sie anschließend diesen neuen Signatursatz, und fügen Sie die Signatur hinzu. Win.Exploit.CVE_2020_0601:1:*:06072A8648CE3D020106*06072A8648CE3D020130.

    Create Signature Set

    Schritt 4: Wählen Sie Datenbank aus Signatursatz erstellen, und die Datenbank wurde erstellt.

    Schritt 5: Wenden Sie den neuen Signatursatz auf eine Richtlinie an, und klicken Sie auf Bearbeiten> Outbreak-Kontrolle > Benutzerdefinierte Erkennungen > Erweitert wie im Bild gezeigt.

    Policy Edit

    Schritt 6: Speichern Sie die Richtlinie und Synchronisierung auf der Benutzeroberfläche des Connectors, wie im Bild gezeigt.

    Policy SyncPolicy Sync

    Schritt 7: Suchen Sie im Verzeichnis C:\Program Files\Cisco\AMP\ClamAV nach einem neuen Signaturordner, der an diesem Tag erstellt wurde, wie im Bild gezeigt.

    ClamAV Folder

    New Custom Signature Set in ClamAV

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    13-Feb-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mustafa Shukur
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.