Configurazione e identificazione delle esclusioni degli endpoint sicuri

Opzioni per il download

  • PDF     (598.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (388.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (402.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:12 febbraio 2024
ID documento:213681

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritte le esclusioni, come identificarle e le best practice per crearle sull'endpoint sicuro Cisco.

    Esclusione di responsabilità

    Le informazioni fornite in questo documento si basano sui sistemi operativi Windows, Linux e macOS.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Panoramica

    Dopo aver letto questo documento, dovresti comprendere:

    • Definizione di esclusione e tipi di esclusione disponibili per Cisco Secure Endpoint.
    • Come preparare il connettore per l'ottimizzazione dell'esclusione.
    • Come identificare le esclusioni potenzialmente forti.
    • Come creare nuove esclusioni in Cisco Secure Endpoint Console.
    • Quali sono le procedure ottimali per creare esclusioni?

    Che cosa sono le esclusioni?

    Un set di esclusione è un elenco di directory, estensioni di file, percorsi di file, processi, nomi di minacce, applicazioni o indicatori di compromissione che non si desidera vengano analizzati o condannati dal connettore. Le esclusioni devono essere create con attenzione per garantire un equilibrio tra prestazioni e sicurezza in un computer quando è abilitata la protezione degli endpoint, ad esempio Secure Endpoint. In questo articolo vengono descritte le esclusioni per Secure Endpoint Cloud, TETRA, SPP e MAP.

    Ogni ambiente è unico, così come l'entità che lo controlla, che varia da regole rigide a regole aperte. Le esclusioni devono pertanto essere adattate a ogni situazione.

    Le esclusioni possono essere classificate in due modi, Esclusioni gestite da Cisco ed Esclusioni personalizzate.

    Esclusioni gestite da Cisco

    Le esclusioni gestite da Cisco sono esclusioni create sulla base di ricerche e che sono state sottoposte a test rigorosi su sistemi operativi, programmi e altri software di sicurezza di uso comune. È possibile visualizzare queste esclusioni selezionando Cisco-Maintain Exclusions (Esclusioni gestite da Cisco) in Secure Endpoint Console nella pagina Esclusioni.
    Esclusioni gestite da Cisco

    Cisco monitora gli elenchi di esclusione consigliati pubblicati dai fornitori di antivirus e aggiorna le esclusioni gestite da Cisco in modo da includere le esclusioni consigliate.

    note-icon

    Nota: alcuni fornitori AV potrebbero non pubblicare le esclusioni consigliate. In questo caso, il cliente potrebbe dover contattare il fornitore AV per richiedere un elenco di esclusioni consigliate e quindi aprire una richiesta di assistenza per aggiornare le esclusioni gestite da Cisco.

    Esclusioni personalizzate

    Le esclusioni personalizzate sono esclusioni create da un utente per uno Use Case personalizzato in un endpoint. È possibile visualizzare queste esclusioni selezionando Esclusioni personalizzate nella Console endpoint sicuro nella pagina Esclusioni.
    Esclusioni personalizzate

    Tipi di esclusione

    Esclusioni di processo

    Le esclusioni dei processi consentono agli amministratori di escludere i processi dai motori supportati. I motori che supportano le esclusioni di processo su ciascuna piattaforma sono descritti nella tabella seguente:

    Sistema operativo Motore
    Scansione dei file Protezione dei processi di sistema Protezione da attività dannose Protezione comportamentale
    Windows ľaddio ľaddio ľaddio ľaddio
    Linux ľaddio } } ľaddio
    macOS ľaddio } } ľaddio

    MacOS e Linux

    Quando si crea un'esclusione di processo, è necessario specificare un percorso assoluto. È inoltre possibile specificare un utente facoltativo. Se si specifica sia un percorso che un utente, è necessario che siano soddisfatte entrambe le condizioni per escludere il processo. Se non si specifica un utente, l'esclusione dei processi verrà applicata a tutti gli utenti.

    note-icon

    Nota: su macOS e Linux, le esclusioni dei processi si applicano a tutti i motori.

    Caratteri jolly processo:

    I connettori Secure Endpoint Linux e macOS supportano l'utilizzo di un carattere jolly all'interno dell'esclusione Process. Questo permette una copertura più ampia con meno esclusioni, ma può anche essere pericoloso se troppo viene lasciato indefinito. È necessario utilizzare il carattere jolly solo per includere il numero minimo di caratteri necessario per l'esclusione.

    Uso del carattere jolly per macOS e Linux:

    • Il carattere jolly è rappresentato da un unico asterisco (*)
    • È possibile utilizzare il carattere jolly al posto di un singolo carattere o di una directory completa.
    • Il posizionamento del carattere jolly all'inizio del percorso non è considerato valido.
    • Il carattere jolly funziona tra due caratteri definiti, barre o caratteri alfanumerici.

    Esempi:

    Esclusione Risultato previsto
    /Libreria/Java/JavaVirtualMachines/*/java Esclude Java in tutte le sottocartelle di JavaVirtualMachines
    /Library/Jibber/j*bber Esclude il processo per jabber, jibber, jobber, ecc.

    Windows

    Quando si crea un'esclusione di processo, è possibile fornire un percorso assoluto e/o un SHA-256 dell'eseguibile di processo. Se si specificano sia un percorso che SHA-256, affinché il processo venga escluso è necessario che siano soddisfatte entrambe le condizioni.

    In Windows, è inoltre possibile utilizzare CSIDL o KNOWNFOLDERID all'interno del percorso per creare esclusioni di processo.

    icona di attenzione

    Attenzione: i processi figlio creati da un processo escluso non sono esclusi per impostazione predefinita. Per escludere processi aggiuntivi durante la creazione di un'esclusione di processo, selezionare Applica a processo figlio.

    Limitazioni:

    • Se le dimensioni del file del processo sono maggiori delle dimensioni massime del file di analisi impostate nel criterio, l'SHA-256 del processo non verrà calcolato e l'esclusione non funzionerà. Utilizzare un'esclusione di processo basata su percorso per i file di dimensioni superiori alla dimensione massima del file di digitalizzazione.
    • Windows Connector impone un limite di 500 esclusioni di processo per tutti i tipi di esclusione di processo.
      • Le esclusioni di processo vengono rispettate solo fino al limite massimo, a partire dall'inizio dell'elenco di esclusioni di processo in policy.xml.
      • A ogni criterio di Windows è associata un'esclusione di processo per sfc.exe, che viene conteggiata rispetto al limite di esclusione di processo: 
        <item>3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|</item>
    note-icon

    Nota: in Windows, le esclusioni di processo vengono applicate per motore. Se la stessa esclusione deve essere applicata a più motori, l'esclusione Process deve essere duplicata in questo caso per ogni motore applicabile.

    Caratteri jolly processo:

    I connettori di Windows per endpoint sicuri supportano l'utilizzo di un carattere jolly nell'esclusione Process. Questo permette una copertura più ampia con meno esclusioni, ma può anche essere pericoloso se troppo viene lasciato indefinito. È necessario utilizzare il carattere jolly solo per includere il numero minimo di caratteri necessario per l'esclusione.

    Utilizzo del carattere jolly per Windows:

    • Il carattere jolly viene rappresentato utilizzando un singolo asterisco () e un doppio asterisco (*)
    • Unico asterisco (*):
      • È possibile utilizzare il carattere jolly al posto di un singolo carattere o di una directory completa.
      • Il posizionamento del carattere jolly all'inizio del percorso non è considerato valido.
      • Il carattere jolly funziona tra due caratteri definiti, barre o caratteri alfanumerici.
      • L'inserimento del carattere jolly alla fine di un percorso esclude tutti i processi in tale directory ma non le sottodirectory.
    • Doppio asterisco (**):
      • Può essere posizionato solo alla fine di un tracciato.
      • L'inserimento del carattere jolly alla fine di un percorso esclude tutti i processi in tale directory e tutti i processi nelle sottodirectory.
      • Questo permette un set di esclusione molto più grande con input minimo, ma lascia anche un buco di sicurezza molto grande per la visibilità. Utilizzare questa funzione con estrema cautela.

    Esempi:

    Esclusione Risultato previsto
    C:\Windows\*\Tiworker.exe Esclude tutti i processi di Tiworker.exe trovati nelle sottodirectory di Windows
    C:\Windows\P*t.exe Esclude Pot.exe, Pat.exe, P1t.exe, ecc.
    C:\Windows\*chickens.exe Esclude tutti i processi nella directory di Windows che terminano con chickens.exe
    C:\* Esclude tutti i processi nell'unità C: ma non nelle sottodirectory
    C:\** Esclude tutti i processi sull'unità C:.

    Esclusioni di minacce

    Le esclusioni delle minacce consentono di escludere un particolare nome di minaccia dall'attivazione degli eventi. È consigliabile utilizzare l'esclusione di minacce solo se si è certi che gli eventi siano il risultato di un rilevamento di falsi positivi. In questo caso, utilizzare il nome esatto della minaccia dall'evento come esclusione di minaccia. Tenere presente che se si utilizza questo tipo di esclusione anche un rilevamento vero-positivo del nome della minaccia non verrà rilevato, messo in quarantena o generato un evento.

    note-icon

    Nota: le esclusioni di minacce non fanno distinzione tra maiuscole e minuscole. Esempio:W32.Zombies.NotAVirus e w32.zombies.notavirus corrispondono entrambi allo stesso nome di minaccia.

    icona di avviso

    Avvertenza: non escludere minacce a meno che un'indagine approfondita non abbia confermato che il nome della minaccia è falso positivo. Le minacce escluse non vengono più inserite nella scheda Eventi per la revisione e il controllo.

    Esclusioni di percorsi

    Le esclusioni di percorso sono quelle utilizzate più di frequente, in quanto i conflitti tra applicazioni in genere comportano l'esclusione di una directory. Potete creare un'esclusione di tracciato utilizzando un tracciato assoluto. In Windows è inoltre possibile utilizzare CSIDIL o KNOWNFOLDERID per creare esclusioni di percorso.

    Ad esempio, per escludere un'applicazione AV nella directory Programmi di Windows, il percorso di esclusione potrebbe essere uno dei seguenti:

    C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
    note-icon

    Nota: le esclusioni di percorso sono ricorsive ed escludono anche tutte le sottodirectory.

    Corrispondenze parziali percorso (solo Windows)

    Se nell'esclusione del percorso non è specificata una barra finale, il connettore di Windows eseguirà una corrispondenza parziale nei percorsi. Mac e Linux non supportano corrispondenze parziali di percorso.

    Ad esempio, se si applicano le seguenti esclusioni di Percorso in Windows:

    C:\Program Files
C:\test

    Verranno esclusi tutti i seguenti percorsi:

    C:\Program Files
C:\Program Files (x86) 
C:\test
C:\test123

    La modifica dell'esclusione da "C:\test" a "C:\test\" impedirà l'esclusione da "C:\test123".

    Esclusioni estensione file

    Le esclusioni delle estensioni di file consentono di escludere tutti i file con una determinata estensione.

    Considerazioni principali:

    • L'input previsto in Secure Endpoint Console è .extension
    • Se non è stato aggiunto alcun punto, la Secure Endpoint Console lo precede automaticamente all'estensione del file.
    • Nelle estensioni non viene fatta distinzione tra maiuscole e minuscole.

    Ad esempio, per escludere tutti i file di database di Microsoft Access, è possibile creare l'esclusione seguente:

    .MDB
    note-icon

    Nota: le esclusioni di estensioni di file standard sono disponibili nell'elenco predefinito. Non è consigliabile eliminare tali esclusioni, in quanto potrebbero causare modifiche alle prestazioni dell'endpoint.

    Esclusioni con caratteri jolly

    Le esclusioni di caratteri jolly sono uguali alle esclusioni di Percorso o Estensione file, con la differenza che è possibile utilizzare un asterisco (*) per rappresentare un carattere jolly all'interno del percorso o dell'estensione.

    Ad esempio, se si desidera escludere le macchine virtuali su macOS dall'analisi, è possibile immettere la seguente Esclusione percorso:

    /Users/johndoe/Documents/Virtual Machines/

    Tuttavia, questa esclusione funzionerà solo per un utente, quindi sostituire il nome utente nel percorso con un asterisco e creare un'esclusione con caratteri jolly invece di escludere questa directory per tutti gli utenti:

    /Users/*/Documents/Virtual Machines/
    icona di attenzione

    Attenzione: le esclusioni con caratteri jolly non si fermano ai separatori di percorso e possono causare esclusioni non intenzionali. Ad esempioC:\*\test excludesC:\sample\test e C:\1\test** oC:\sample\test123.

    icona di avviso

    Avviso: l'inizio di un'esclusione con un asterisco può causare problemi di prestazioni. Rimuovere o modificare tutte le esclusioni che iniziano con un asterisco per ridurre l'impatto sulla CPU.

    Windows

    Quando si creano esclusioni con caratteri jolly in Windows, è possibile scegliere Applica a tutte le lettere di unità. Se si seleziona questa opzione, l'esclusione dei caratteri jolly viene applicata a tutte le unità collegate.
    Applicazione del carattere jolly di Windows a tutte le unità
    Se si dovesse creare manualmente la stessa esclusione, sarebbe necessario anteporla a ^[A-Za-z], ad esempio:

    ^[A-Za-z]\testpath

    In entrambi gli esempi saranno esclusi C:\testpath e D:\testpath.

    Secure Endpoint Console genera automaticamente ^[A-Za-z] quando è selezionata l'opzione Applica a tutte le lettere di unità per l'esclusione dei caratteri jolly.

    Esclusioni eseguibili (solo Windows)

    Le esclusioni dei file eseguibili si applicano solo ai connettori Windows con la prevenzione degli attacchi abilitata. L'esclusione di un eseguibile esclude alcuni eseguibili dalla protezione mediante la prevenzione degli attacchi. È consigliabile escludere un eseguibile da Exploit Prevention solo se si verificano problemi o problemi di prestazioni.

    È possibile controllare l'elenco dei processi protetti ed escludere dalla protezione specificandone il nome eseguibile nel campo Esclusione applicazione. Le esclusioni degli eseguibili devono corrispondere esattamente al nome dell'eseguibile nel formato name.exe. I caratteri jolly non sono supportati.

    note-icon

    Nota: è possibile escludere solo le applicazioni utilizzando le esclusioni dei file eseguibili tramite Secure Endpoint Console. Qualsiasi esclusione relativa alle DLL richiede l'apertura di una richiesta di assistenza per la creazione di un'esclusione.

    Trovare le esclusioni corrette per la prevenzione dell'utilizzo è un processo molto più intenso rispetto a qualsiasi altro tipo di esclusione e richiede test approfonditi per ridurre al minimo eventuali problemi di sicurezza.

    Esclusioni IOC (solo Windows)

    Le esclusioni IOC consentono di escludere le indicazioni cloud di compromessi. Ciò può essere utile se si dispone di un'applicazione personalizzata o interna che potrebbe non essere firmata e causare l'attivazione frequente di determinati COI. Secure Endpoint Console fornisce un elenco di indicatori tra cui scegliere per le esclusioni IOC. È possibile selezionare gli indicatori da escludere mediante un elenco a discesa:

    IOC Windows

    note-icon

    Nota: se si esclude un IOC con severità alta o critica, si perde la visibilità su di esso e l'organizzazione potrebbe essere a rischio. Escludere questi IOC solo se si verifica un numero elevato di rilevamenti di falsi positivi per esso.

    CSIDL e KNOWNFOLDERID (solo Windows)

    I valori CSIDL e KNOWNFOLDERID vengono accettati e incoraggiati durante la scrittura delle esclusioni di percorsi e processi per Windows. I valori CSIDL/KNOWNFOLDERID sono utili per creare esclusioni di processi e percorsi per ambienti che utilizzano lettere di unità alternative.

    Quando si utilizza CSIDL/KNOWNFOLDERID, è necessario tenere in considerazione alcune limitazioni. Se nell'ambiente i programmi vengono installati su più di una lettera di unità, il valore CSIDL/KNOWNFOLDERID fa riferimento solo all'unità contrassegnata come posizione di installazione predefinita o nota.

    Ad esempio, se il sistema operativo è installato in C:\ ma il percorso di installazione di Microsoft SQL è stato modificato manualmente in D:\, l'esclusione basata su CSIDL/KNOWNFOLDERID nell'elenco di esclusione gestito non si applica a tale percorso. Ciò significa che è necessario immettere un'esclusione per ogni esclusione di percorso o di processo non presente nell'unità C:\, in quanto l'utilizzo di CSIDL/KNOWNFOLDERID non ne esegue il mapping.

    Per ulteriori informazioni, fare riferimento alla seguente documentazione di Windows:

    note-icon

    Nota: KNOWNFOLDERID è supportato solo in Windows Connector 8.1.7 e versioni successive. Nelle versioni precedenti di Windows Connector vengono utilizzati valori CSIDL.

    note-icon

    Nota: i valori KNOWNFOLDERID fanno distinzione tra maiuscole e minuscole. Ad esempio, è necessario utilizzare il valoreFOLDERID_ProgramFiles e non il valoreFolderID_programfiles non valido.

    Prepara connettore per sintonizzazione esclusione

    Per preparare il connettore per l'ottimizzazione dell'esclusione, è necessario:

    1. Impostare un gruppo e un criterio da eseguire in modalità di debug.
    2. Eseguire i computer nel nuovo gruppo di debug in base alle normali operazioni aziendali, concedendo il tempo necessario per ottenere dati di registro del connettore sufficienti.
    3. Genera dati diagnostici sul connettore da utilizzare per identificare le esclusioni.

    Per istruzioni sull'attivazione della modalità di debug e sulla raccolta di dati di diagnostica su sistemi operativi diversi, consultare i seguenti documenti:

    Identifica esclusioni

    MacOS e Linux

    I dati diagnostici generati in modalità di debug forniscono due file utili per la creazione delle esclusioni: fileops.txt ed excs.txt. Il file fileops.txt è utile per la creazione di Esclusioni percorso/estensione file/caratteri jolly, mentre il file excs.txt è utile per la creazione di Esclusioni processo.

    Creazione di esclusioni di processo

    Il file excs.txt elenca i percorsi eseguibili che hanno attivato Secure Endpoint per eseguire un'analisi dei file. A ogni percorso è associato un conteggio che indica quante volte è stato digitalizzato e l'elenco è ordinato in ordine decrescente. È possibile utilizzare questo elenco per determinare i processi con un volume elevato di eventi di esecuzione e quindi utilizzare il percorso del processo per le esclusioni dell'artigianato. Tuttavia, non è consigliabile escludere programmi di utilità generale (ad esempio /usr/bin/grep) o interpreti (ad esempio /usr/bin/ruby). Se un programma di utilità generale o un interprete sta generando un volume elevato di scansioni di file, è possibile eseguire ulteriori ricerche per cercare di creare esclusioni più mirate:

    1. Escludere il processo padre: determinare l'applicazione che sta eseguendo il processo (ad esempio, trovare il processo padre che sta eseguendo grep) ed escludere questo processo padre. Ciò dovrebbe essere fatto, se e solo se, il processo padre può essere trasformato in una esclusione di processo sicura. Se l'esclusione padre si applica ai figli, verranno escluse anche le chiamate a qualsiasi figlio dal processo padre.
    2. Escludi il processo per un determinato utente: determinare quale utente sta eseguendo il processo. Se il processo viene eseguito a un volume elevato da un utente specifico, è possibile escludere il processo solo per tale utente specifico (ad esempio, se un processo viene chiamato a un volume elevato dall'utente "root", è possibile escludere il processo, ma solo per l'utente "root" specificato, ciò consentirà a Secure Endpoint di monitorare gli esecuzioni di un determinato processo da parte di qualsiasi utente che non sia "root").

    Output di esempio di excs.txt:

    33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
 9 /usr/bin/pgrep
 9 /usr/bin/kmod
 7 /usr/bin/rm
 6 /usr/lib/systemd/systemd-cgroups-agent
 6 /usr/bin/rpm
 4 /usr/bin/tr
 4 /usr/bin/sort
 4 /usr/bin/find

    Creazione di esclusioni di percorsi, estensioni di file e caratteri jolly

    Il file fileops.txt elenca i percorsi in cui le attività di creazione, modifica e ridenominazione dei file attivate da Secure Endpoint consentono di eseguire scansioni dei file. A ogni percorso è associato un conteggio che indica quante volte è stato digitalizzato e l'elenco è ordinato in ordine decrescente. Un modo per iniziare a utilizzare le esclusioni di percorso consiste nel trovare i percorsi di file e cartelle digitalizzati più di frequente dal file fileops.txt e quindi valutare la possibilità di creare regole per tali percorsi. Sebbene un conteggio elevato non significhi necessariamente che il percorso deve essere escluso (ad esempio, una directory che memorizza i messaggi di posta elettronica può essere analizzata spesso ma non deve essere esclusa), l'elenco fornisce un punto di partenza per identificare i candidati all'esclusione.

    Output di esempio di fileops.txt:

    31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq

    Una buona regola pratica consiste nel considerare qualsiasi elemento con un'estensione di file di registro o di diario come candidato di esclusione appropriato.

    Motore di protezione comportamentale

    Il motore di protezione comportamentale è stato introdotto in Linux Connector versione 1.2.0 e in macOS Connector versione 1.24.0; a partire da queste versioni, il connettore è in grado di rilevare un'attività di sistema prevalentemente elevata e quindi sollevare il guasto 18.

    Le esclusioni dei processi vengono applicate a tutti i motori e alle scansioni dei file. Applicare l'esclusione dei processi ai processi benigni molto attivi per correggere questo errore. Generato dai dati di diagnostica della modalità di debug, il file top.txt può essere utilizzato per determinare i processi più attivi del sistema. Fare riferimento alle linee guida Secure Endpoint Mac/Linux Connector Fault 18 per i passaggi di correzione dettagliati.

    Inoltre, le esclusioni dei processi possono impedire il rilevamento di difetti comportamentali falsi positivi da software innocui. Per i rilevamenti di falsi positivi in Secure Endpoint Console, è possibile escludere il processo per migliorare la creazione di report.

    Windows

    Il sistema operativo Windows è più complesso, sono disponibili più opzioni di esclusione a causa dei processi padre e figlio. Ciò indica che è necessaria una revisione più approfondita per identificare i file a cui si è avuto accesso, ma anche i programmi che li hanno generati.

    Fare riferimento a questo Windows Tuning Tool dalla pagina GitHub di Cisco Security per ottenere ulteriori dettagli su come analizzare e ottimizzare le prestazioni di Windows con Secure Endpoint.

    Creazione di regole di esclusione in Secure Endpoint Console

    icona di attenzione

    Attenzione: comprendere sempre i file e i processi prima di scrivere un'esclusione per evitare vulnerabilità della sicurezza sull'endpoint.

    Per creare una nuova regola di esclusione utilizzando Secure Endpoint Console, completare i passaggi seguenti:

    1. In Secure Endpoint Console passare alla pagina Criteri selezionando Gestione -> Esclusioni. (A) individuare la serie di esclusione che si desidera modificare e fare clic su Modifica oppure (B) fare clic su + Nuovo set di esclusione....
      Pagina Esclusioni
    2. Nel popup Nuovo set di esclusione, selezionare un sistema operativo per cui creare il set di esclusione. Fare clic su Crea.
      Seleziona sistema operativo
    3. L'utente verrà reindirizzato a una pagina Nuovo set di esclusione. Fare clic su + Aggiungi esclusione e selezionare il tipo di esclusione dall'elenco a discesa Seleziona tipo.
      Windows:
      Nuova esclusione di Windows
      Mac/Linux:
      Nuova esclusione Mac Linux
    4. Compilare i campi obbligatori per il tipo di esclusione selezionato.
    5. Ripetere i passaggi 2 e 3 per aggiungere altre regole oppure fare clic su Salva per salvare il set di esclusione.

    Procedure ottimali

    Prestare attenzione quando si creano esclusioni in quanto riducono il livello di protezione fornito da Cisco Secure Endpoint. I file esclusi non vengono sottoposti a hashing, non vengono scansionati o non sono disponibili nella cache o nel cloud, l'attività non viene monitorata e mancano informazioni dai motori di back-end, dalla traiettoria del dispositivo e dall'analisi avanzata.

    Le esclusioni devono essere utilizzate solo in istanze mirate, ad esempio problemi di compatibilità con applicazioni specifiche o problemi di prestazioni che altrimenti non potrebbero essere migliorati.

    Di seguito sono riportate alcune procedure consigliate da seguire quando si creano esclusioni:

    • Crea esclusioni solo per problemi comprovati
      • Non presumere che un'esclusione sia necessaria a meno che non sia stato dimostrato che si è trattato di un problema che non può essere affrontato altrimenti.
      • I problemi di prestazioni, i falsi positivi o i problemi di compatibilità delle applicazioni devono essere esaminati attentamente e risolti prima di applicare un'esclusione.
    • Preferire le esclusioni di processo alle esclusioni di percorso/estensione di file/caratteri jolly
      • Le esclusioni dei processi consentono di escludere in modo più diretto attività software innocue rispetto all'utilizzo di una combinazione di esclusioni di percorsi, estensioni di file e caratteri jolly per ottenere lo stesso risultato.
      • Si consiglia di sostituire le esclusioni Path, File Extension e Wildcard che riguardano gli eseguibili dei programmi con le corrispondenti esclusioni Process, quando possibile.
    • Evitare le esclusioni generali
      • Non escludere parti grandi dell'endpoint, ad esempio l'intera unità C.
      • Utilizzare il percorso completo del file anziché il solo nome.
      • Utilizzare la traiettoria del dispositivo, Secure Endpoint Diagnostics Data e Windows Tuning Tool per analizzare e determinare le esclusioni specifiche.
    • Evitare di utilizzare in modo eccessivo le esclusioni dei caratteri jolly
      • Prestare attenzione quando si creano esclusioni con caratteri jolly. Utilizzare esclusioni più specifiche quando possibile.
      • Utilizzare la quantità minima di caratteri jolly in un'esclusione. Solo le cartelle che sono effettivamente variabili devono utilizzare un carattere jolly.
    • Evitare di escludere Programmi di utilità generali e interpreti
      • Non è consigliabile escludere programmi di utilità generale o interpreti.
      • Se non è necessario escludere programmi di utilità generali o interpreti, fornire un utente di processo (solo macOS/Linux).
      • Ad esempio, evitare di scrivere esclusioni che includono python, java, ruby, bash, sh, ecc.
    • Evitare esclusioni duplicate
      • Prima di creare un'esclusione, verificare se l'esclusione esiste già nelle esclusioni personalizzate o nelle esclusioni gestite da Cisco.
      • La rimozione delle esclusioni duplicate migliora le prestazioni e riduce la gestione operativa delle esclusioni.
      • Verificare che il percorso specificato in un'esclusione di processo non sia coperto da un'esclusione di percorso/estensione di file/carattere jolly.
    • Evitare di escludere i processi utilizzati comunemente negli attacchi di malware
    • Rimuovi esclusioni non aggiornate
      • Controlla regolarmente l'elenco di esclusione e conserva traccia del motivo per cui sono state aggiunte alcune esclusioni.
    • Rimuovi esclusioni per compromissione
      • È necessario rimuovere le esclusioni se un connettore è compromesso per riottenere la massima sicurezza e visibilità.
      • Le azioni automatizzate possono essere utilizzate per applicare policy più sicure ai connettori dopo l'infezione. Se un connettore viene compromesso, deve essere spostato in un gruppo che contiene un criterio senza esclusioni per garantire il massimo livello di protezione.
      • Per ulteriori informazioni su come configurare in modo proattivo l'azione automatizzata "Sposta il computer in un gruppo dopo un compromesso", fare riferimento a Identificazione delle condizioni per l'attivazione di azioni automatiche in un endpoint sicuro.
    • Aumenta la protezione per gli elementi esclusi
      • Quando le esclusioni sono assolutamente necessarie, prendere in considerazione quali tattiche di mitigazione possono essere adottate, ad esempio abilitando la protezione da scrittura per aggiungere alcuni livelli di protezione per gli elementi esclusi.
    • Creare esclusioni in modo intelligente
      • Ottimizzare le regole scegliendo il processo padre di livello più alto che identifica in modo univoco l'applicazione da escludere e utilizzare l'opzione Applica a processo figlio per ridurre al minimo il numero di regole.
    • Non escludere mai il processo di avvio
      • Il processo di avvio (avviato su macOS, init o system su Linux) è responsabile dell'avvio di tutti gli altri processi sul sistema e si trova in cima alla gerarchia dei processi.
      • L'esclusione del processo di avvio e di tutti i relativi processi secondari disabiliterebbe in modo efficace il monitoraggio degli endpoint sicuri.
    • Specificare l'utente del processo quando possibile (solo macOS/Linux)
      • Se il campo utente viene lasciato vuoto, l'esclusione si applica a qualsiasi processo che esegue il programma specificato.
      • Mentre un'esclusione che si applica a qualsiasi utente è più flessibile, questo ampio ambito potrebbe involontariamente escludere attività che devono essere monitorate.
      • La specifica dell'utente è particolarmente importante per le regole che si applicano a programmi condivisi, quali motori di runtime (ad esempio, java) e interpreti di script (ad esempio, bash, python).
      • Se si specifica l'ambito dei limiti utente e si indica a Secure Endpoint di ignorare istanze specifiche durante il monitoraggio di altre istanze.

    Esclusioni non consigliate

    Anche se è impossibile conoscere ogni possibile vettore di attacco che un avversario può utilizzare, ci sono alcuni vettori di attacco core che devono essere monitorati. Per mantenere una buona postura di sicurezza e una buona visibilità, si sconsiglia di utilizzare le seguenti esclusioni:

    AcroRd32.exe
    addinprocess.exe
    addinprocess32.exe
    addinutil.exe
    bash.exe
    bginfo.exe
    bitsadmin.exe
    cdb.exe
    csi.exe
    dbghost.exe
    dbgsvc.exe
    dnx.exe
    dotnet.exe
    excel.exe
    fsi.exe
    fsiAnyCpu.exe
    iexplore.exe
    java.exe
    kd.exe
    lxssmanager.dll
    msbuild.exe
    mshta.exe
    ntkd.exe
    ntsd.exe
    outlook.exe
    psexec.exe
    powerpnt.exe
    powershell.exe
    rcsi.exe
    svchost.exe
    schtasks.exe
    system.management.automation.dll
    windbg.exe
    winword.exe
    wmic.exe
    wuauclt.exe
    0,7z
    bat
    bin
    .cab
    cmd
    .com
    cpl
    DLL
    exe
    fla
    gif
    .gz
    hta
    inf
    java
    jar
    job
    .jpeg
    .jpg
    js
    ko
    .ko.gz
    msi
    ocx
    png
    ps1
    py
    .rar
    reg
    scr
    sys
    .tar
    tmp
    url
    vbe
    vbs
    wsf
    .zip
    sbattere
    java
    pitone
    pitone 3
    sh
    zsh
    /
    /bin
    /sbin
    /usr/lib
    C:
    C:\
    C:\*
    D:\
    D:\*
    C:\Program Files\Java
    C:\Temp\
    C:\Temp\*
    C:\Users\
    C:\Users\*
    C:\Windows\Prefetch
    C:\Windows\Prefetch\
    C:\Windows\Prefetch\*
    C:\Windows\System32\Spool
    C:\Windows\System32\CatRoot2
    C:\Windows\Temp
    C:\Windows\Temp\
    C:\Windows\Temp\*
    C:\Program Files\<nome società>\
    C:\Program Files (x86)\<nome società>\
    C:\Users\<NomeProfiloUtente>\AppData\Local\Temp\
    C:\Users\<NomeProfiloUtente>\AppData\LocalLow\Temp\
    note-icon

    Nota: non si tratta di un elenco esaustivo di esclusioni da evitare, ma fornisce informazioni dettagliate sui vettori di attacco di base. Mantenere la visibilità di percorsi, estensioni di file e processi è fondamentale.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    6.0
    12-Feb-2024
    Aggiunti tipi di esclusione mancanti
    5.0
    01-Aug-2023
    Aggiunta della protezione comportamentale al connettore Linux
    4.0
    22-Feb-2023
    Aggiunta la sezione "Errori comuni"
    3.0
    23-Mar-2022
    Sezione aggiunta per l'elaborazione con caratteri jolly
    2.0
    18-Feb-2022
    Collegamento aggiornato alla guida per l'utente
    1.0
    22-Aug-2021
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Caly Hess
      PrincessX CEX Technical Leader
    • Matthew Franks
      Cisco Secure Endpoint Escalation Engineer
    • Mathew Huynh
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti