Revisar análisis de Windows de terminales seguros (CSE)

Opciones de descarga

  • PDF     (1.8 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.6 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de abril de 2023
ID del documento:220362

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).


    Introducción

    Este documento describe los diferentes tipos de análisis de un conector de Windows.

    Prerequisites

    Los requisitos previos para este documento son:

    • Extremo de Windows
    • Secure Endpoint (CSE) versión v.8.0.1.21164 o posterior
    • Acceso a Secure Endpoint Console

    Requirements

    No hay requisitos específicos para este documento.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Consola de terminal segura
    • Extremo de Windows 10
    • Versión de terminal seguro v.8.0.1.21164

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Los análisis se probaron en un entorno de laboratorio con la política establecida en debug.
    La exploración de Flash durante la instalación se habilitó mediante la descarga del conector.
    Los análisis se ejecutaron desde la GUI de Secure Client y desde Scheduler.

    Análisis completo

    Este registro se muestra cuando se solicita un análisis completo desde la interfaz gráfica de usuario (GUI) de CSE.

    Scan from User InterfaceAnalizar desde la interfaz de usuario

    Aquí, el proceso ScanInitiator comienza el proceso Scan.

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    Puede ver que Análisis completo es el tipo de Análisis activado en la GUI como se muestra en la imagen.

    A continuación, tiene el Identificador de seguridad (SID), que es un valor de longitud variable asignado a este evento en particular, este Identificador de seguridad le ayuda a realizar el seguimiento del análisis en los registros.

    Publish EventEvento Publish

    Puede relacionar esto con el evento desde la consola CSE.

    Console EventEvento de consola







    A continuación, en los registros, puede ver lo siguiente:

    Publish SucceededPublicación correcta



    Esto significa que el evento se ha publicado correctamente en la nube de CSE.

    A continuación, la siguiente acción consiste en realizar el análisis:


    Scan StartInicio del análisis




    Como puede observar, el SID es el mismo, por lo que se encuentra bajo la secuencia de SID 1407343.


    Estos son los pasos que realiza el conector cuando se detecta una amenaza durante el análisis.

    Paso 1. El conector le indica el archivo que causó la detección; en este ejemplo, es causado por Hacksantana Trainer GLS.

    File DetectedArchivo detectado




    Paso 2. El evento se publica en la consola CSE con el nombre de Threat Detection y la ruta donde se encuentra.

    Detection NameNombre de detección





    Threat Event PublishPublicación de evento de amenaza


    Una vez finalizado el análisis, puede echar un vistazo al visor de eventos para obtener un resumen del análisis.

    Event ViewerVisor de eventos

    Análisis Flash

    Las exploraciones flash son rápidas, tardan de segundos a minutos en finalizar.
    En este ejemplo, puede ver cuándo se inicia el análisis y, como en el caso anterior, se proporciona un SID, esta vez, con un valor de 2458015.


    Flash Scan StartInicio de escaneo Flash

    La siguiente acción consiste en publicar el evento en la nube de CSE.


    Publish to CSE Cloud


    Cuando finalice el análisis, el evento se publicará en la nube.


    Scan Finish PublishDigitalización Finalizar publicación

    El evento se puede ver en el visor de eventos de Windows. Como puede observar, la información es la misma que la información presentada en los registros.

    JSON EventEvento JSON



    Exploraciones programadas


    Cuando se trata de análisis programados, debe tener en cuenta una serie de aspectos.

    Después de programar un análisis, se produce un cambio en el número de serie.

    Aquí, la política de prueba no tiene ningún análisis programado.

    Policy Serial NumberNúmero de serie de política

    Si desea programar un análisis, haga clic en Editar.

    Desplácese hasta Advanced Settings > Scheduled Scans.

    Advanced SettingsConfiguración avanzada

    Haga clic en New.

    New Scan ConfigurationNueva configuración de análisis

    Las opciones son:

    • Intervalo de análisis
    • Tiempo de escaneo
    • Tipo de análisis

    Una vez configurado el análisis, haga clic en Agregar.

    Scheduled Scan ConfigurationConfiguración de análisis programada

    Guarde los cambios de directiva y aparecerá una ventana emergente que confirma los cambios.

    Pop-UpElemento Emergente

    Serial Number changeCambio del número de serie

    Serial Number changeCambio del número de serie












    El análisis se configura en la directiva; en este ejemplo, se configuran dos análisis, uno Flash y otro Full Scan.

    Policy XMLXML de política

    Se agregan a un Planificador en HistoryDB. Los caracteres junto a la etiqueta <Scheduled> son la ID de proceso (PID) que identifica el análisis.


    Process IDID de Proceso

    Como se muestra en la imagen, se coloca en cola.

    Scan QueuedAnálisis en cola

    Puede buscar el análisis en los registros y ver si el análisis se puede ejecutar ahora o no. Si es posible, el análisis se ejecuta.

    Scan can ExecuteEl análisis puede ejecutar



    Puede ver que se han cargado las opciones para el análisis y que el proceso ScanInitiator solicita que se inicie el análisis.


    Process starts the Scan




    A continuación, Process Scan::ScanThreadProcess inicia el análisis.


    Type of Scan id Flash

    Al igual que en eventos anteriores, debe publicarse en la nube de CSE. Los registros pueden indicarle el tipo de escaneo, que en este caso es Flash.


    Publish Event of Scheduled ScanEvento de publicación de análisis programado

    Puede desplazarse a Event Viewer > App and Services Registries.

    Application and Services LogsRegistros de aplicaciones y servicios


    Busque Cisco Secure Endpoint y abra Cloud and Events. Cada ficha ofrece una vista diferente.

    Eventos:


    Event ViewVista de eventos

    Nube:

    Cloud ViewCloud View

    Una vez finalizado el análisis, podrá ver el evento publicado en la nube.


    Scan Finish PublishDigitalización Finalizar publicación


    Análisis completo programado


    El visor de eventos de Windows muestra Event Scan Started, como se muestra en la imagen.

    Event Scan Started







    Una vez finalizado, puede comparar el evento publicado.


    Compare the Published Event

    Puede ver esto en el visor de eventos de Windows.

    Event ViewerVisor de eventos






    Otros análisis

    Cuando se trata de escaneos personalizados o de rootkit, la diferencia principal que ha notado es el Tipo de escaneo en el visor de eventos o en los registros.

    Troubleshoot

    Cuando no se realiza un análisis de programación:

    • Asegúrese de que el punto final esté disponible para cuando tenga lugar el análisis.
    • Asegúrese de que el análisis está programado en la directiva. Si no lo ve, active una sincronización de directivas.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    06-Apr-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Uriel Tadeo Montero Casas
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos