Windows-Scans für sichere Endgeräte (CSE) überprüfen

Download-Optionen

  • PDF     (1.8 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.6 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.3 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:6. April 2023
Dokument-ID:220362

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.


    Einleitung

    In diesem Dokument werden die verschiedenen Scantypen eines Windows-Connectors beschrieben.

    Voraussetzungen

    Dieses Dokument setzt Folgendes voraus:

    • Windows-Endpunkt
    • Secure Endpoint (CSE) Version v.8.0.1.21164 oder höher
    • Zugriff auf die Konsole für sichere Endgeräte

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Konsole für sichere Endgeräte
    • Windows 10-Endgerät
    • Secure Endpoint Version v.8.0.1.21164

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Die Scans wurden in einer Laborumgebung getestet, wobei die Richtlinie auf debug festgelegt war.
    Der Flash-Scan bei der Installation wurde über Connector-Download aktiviert.
    Die Scans wurden über die Secure Client-GUI und den Scheduler ausgeführt.

    Vollständige Suche

    Dieses Protokoll veranschaulicht, wenn eine vollständige Suche über die grafische Benutzeroberfläche (GUI) von CSE angefordert wird.

    Scan from User InterfaceScannen über die Benutzeroberfläche

    Hier startet der ScanInitiator-Prozess den Scan-Prozess.

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    Sie können sehen, dass Vollständige Suche die Art der auf der GUI ausgelösten Suche ist, wie im Bild gezeigt.

    Als Nächstes haben Sie die Sicherheits-ID (Security Identifier, SID), die ein Wert variabler Länge ist, der diesem bestimmten Ereignis zugewiesen ist. Diese Sicherheits-ID hilft Ihnen, den Scan in den Protokollen zu verfolgen.

    Publish EventVeröffentlichungsereignis

    Sie können dies mit dem Ereignis in der CSE-Konsole abgleichen.

    Console EventKonsolenereignis







    Als Nächstes sehen Sie in den Protokollen Folgendes:

    Publish SucceededVeröffentlichung erfolgreich



    Das bedeutet, dass die Veranstaltung erfolgreich in der CSE-Cloud veröffentlicht wurde.

    Als Nächstes führen Sie den Scan aus:


    Scan StartScan-Start




    Wie Sie feststellen können, ist die SID die gleiche, Sie befinden sich also unter dem Strom von SID 1407343.


    Dies sind die Schritte, die der Connector durchführt, wenn während des Scans eine Bedrohung erkannt wird.

    Schritt 1: Der Connector teilt Ihnen mit, welche Datei die Erkennung verursacht hat. In diesem Beispiel wird sie durch Hacksantana Trainer GLS verursacht.

    File DetectedDatei gefunden




    Schritt 2: Das Ereignis wird auf der CSE-Konsole mit dem Namen der Bedrohungserkennung und dem Pfad veröffentlicht, in dem es gefunden wurde.

    Detection NameErkennungsname





    Threat Event PublishVeröffentlichung von Bedrohungsereignissen


    Nachdem der Scan abgeschlossen ist, können Sie eine Zusammenfassung des Scans in der Ereignisanzeige anzeigen.

    Event ViewerEreignisanzeige

    Flash-Scan

    Flash-Scans sind schnell, sie dauern von Sekunden bis Minuten zu beenden.
    In diesem Beispiel sehen Sie, wann der Scan gestartet wird. Wie zuvor wird dieses Mal eine SID mit dem Wert 2458015 vergeben.


    Flash Scan StartStarten des Flash-Scans

    Als Nächstes muss die Veranstaltung in der CSE-Cloud veröffentlicht werden.


    Publish to CSE Cloud


    Wenn der Scan abgeschlossen ist, wird das Ereignis in der Cloud veröffentlicht.


    Scan Finish PublishVeröffentlichen des Scan-Abschlusses

    Das Ereignis wird in der Windows-Ereignisanzeige angezeigt. Wie Sie feststellen können, sind die Informationen die gleichen wie die Informationen in den Protokollen dargestellt.

    JSON EventJSON-Veranstaltung



    Geplante Scans


    Bei der zeitgesteuerten Suche müssen Sie eine Reihe von Aspekten berücksichtigen.

    Nachdem eine Suche geplant wurde, wird die Seriennummer geändert.

    In diesem Fall enthält die Testrichtlinie keine zeitgesteuerten Scans.

    Policy Serial NumberSeriennummer der Richtlinie

    Wenn Sie eine Suche planen möchten, klicken Sie auf Bearbeiten.

    Navigieren Sie zu Advanced Settings > Scheduled Scans.

    Advanced SettingsErweiterte Einstellungen

    Klicken Sie auf Neu.

    New Scan ConfigurationNeue Suchkonfiguration

    Folgende Optionen sind verfügbar:

    • Scan-Intervall
    • Suchzeit
    • Suchtyp

    Nachdem Sie die Suche konfiguriert haben, klicken Sie auf Hinzufügen.

    Scheduled Scan ConfigurationKonfiguration der zeitgesteuerten Suche

    Speichern Sie Ihre Richtlinienänderungen. Ein Popup-Fenster wird angezeigt, das Ihre Änderungen bestätigt.

    Pop-UpPopup

    Serial Number changeÄnderung der Seriennummer

    Serial Number changeÄnderung der Seriennummer












    Der Scan wird in der Policy konfiguriert. In diesem Beispiel sind zwei Scans konfigurierte Scans, ein Flash-Scan und ein Full-Scan.

    Policy XMLRichtlinien-XML

    Sie werden in HistoryDB einem Scheduler hinzugefügt. Die Zeichen neben dem Tag <scheduled> sind die Prozess-ID (PID), die den Scan kennzeichnet.


    Process IDProzess-ID

    Wie im Bild gezeigt, befindet sie sich in einer Warteschlange.

    Scan QueuedScan in Warteschlange gestellt

    Sie können in den Protokollen nach dem Scan suchen und feststellen, ob der Scan jetzt ausgeführt werden kann oder nicht. Ist dies der Fall, wird der Scan ausgeführt.

    Scan can ExecuteScan kann ausgeführt werden



    Sie können sehen, dass die Optionen für den Scan geladen sind und der ScanInitiator-Prozess den Start des Scans anfordert.


    Process starts the Scan




    Anschließend startet der Prozess Scan::ScanThreadProcess den Scan.


    Type of Scan id Flash

    Ähnlich wie bei früheren Veranstaltungen muss auch diese in der CSE-Cloud veröffentlicht werden. In den Protokollen wird der Scan-Typ angezeigt, in diesem Fall "Flash".


    Publish Event of Scheduled ScanEreignis der zeitgesteuerten Suche veröffentlichen

    Sie können navigieren zu Event Viewer > App and Services Registries.

    Application and Services LogsAnwendungs- und Serviceprotokolle


    Suchen Sie nach Cisco Secure Endpoint und öffnen Sie die Cloud und Veranstaltungen. Jede Registerkarte zeigt eine andere Ansicht an.

    Events:


    Event ViewEreignisansicht

    Cloud:

    Cloud ViewCloud-Ansicht

    Sobald der Scan abgeschlossen ist, können Sie das in der Cloud veröffentlichte Ereignis sehen.


    Scan Finish PublishVeröffentlichen des Scan-Abschlusses


    Geplante vollständige Suche


    In der Windows-Ereignisanzeige wird Event Scan Started angezeigt, wie im Bild dargestellt.

    Event Scan Started







    Anschließend können Sie die veröffentlichte Veranstaltung vergleichen.


    Compare the Published Event

    Sie können dies in der Ereignisanzeige von Windows aus sehen.

    Event ViewerEreignisanzeige






    Andere Scans

    Bei benutzerdefinierten oder Rootkit-Scans besteht der Hauptunterschied, den Sie bemerkt haben, in der Ereignis-Anzeige oder in den Protokollen im Scan-Typ.

    Fehlerbehebung

    Wenn eine zeitgesteuerte Suche nicht durchgeführt wird:

    • Stellen Sie sicher, dass der Endpunkt zu dem Zeitpunkt verfügbar ist, zu dem der Scan erfolgen soll.
    • Vergewissern Sie sich, dass der Scan in der Richtlinie geplant ist. Wenn dies nicht der Fall ist, starten Sie eine Synchronisierung der Richtlinie.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    06-Apr-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Uriel Tadeo Montero Casas
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.