Creazione di un elenco avanzato di rilevamento personalizzato in Cisco Secure Endpoint

Opzioni per il download

PDF (224.6 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (212.1 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (229.3 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:12 febbraio 2022

ID documento:217688

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Premesse

Prerequisiti

Requisiti

Componenti usati

Crea elenco di rilevamento personalizzato avanzato

Informazioni correlate

Introduzione

In questo documento viene descritto come creare un Advanced Custom Detection (ACD) in Cisco Secure Endpoint.

Premesse

Talos Intelligence ha pubblicato un BLOG il 14 gennaio 2020 in risposta a Microsoft Patch Tuesday Vulnerability Disclosures.

Aggiornato il 15 gennaio: È stata aggiunta una firma ACD per AMP che può essere utilizzata per rilevare lo sfruttamento di CVE-2020-0601 mediante lo spoofing dei certificati mascherati da autorità di certificazione del codice Microsoft ECC: https://blog.talosintelligence.com/2020/01/microsoft-patch-tuesday-jan-2020.html.

Firma del file trovato nel BLOG TALOS da utilizzare nell'ACD:

Win.Exploit.CVE_2020_0601:1:*:06072A8648CE3D020106*06072A8648CE3D020130
https://alln-extcloud-storage.cisco.com/blogs/1/2020/01/CVE-2020-0601.txt

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Cisco Secure Endpoint Cloud Portal
ACD
Blog TALOS

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Tutti i dispositivi utilizzati sono stati avviati con una configurazione ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Crea elenco di rilevamento personalizzato avanzato

Ora, creiamo l'ACD per farla corrispondere.

Passaggio 1. Passare a Secure Endpoint Portal > Outbreak Control > Advanced Custom Detection, come mostrato nell'immagine.

Outbreak Control

Passaggio 2. Iniziare con un nome per il set di firme CVE-2020-0601 come mostrato nell'immagine.

New Custom Detection

Passaggio 3. Quindi, modificare il nuovo set di firme e aggiungere la firma. Win.Exploit.CVE_2020_0601:1:*:06072A8648CE3D020106*06072A8648CE3D020130.

Create Signature Set

Passaggio 4. Selezionare Crea database dal set di firme e il database è stato creato.

Passaggio 5. Applicare il nuovo set di firme a un criterio, fare clic su Modifica> Controllo epidemie > Rilevamenti personalizzati > Avanzate come mostrato nell'immagine.

Policy Edit

Passaggio 6. Salvare il criterio e sincronizzarlo nell'interfaccia utente del connettore come mostrato nell'immagine.

Policy Sync

Passaggio 7. Cercare nella directory C:\Program Files\Cisco\AMP\ClamAV una nuova cartella Signature creata quel giorno, come mostrato nell'immagine.

ClamAV Folder

New Custom Signature Set in ClamAV

Informazioni correlate

La build utilizzata per il test è Windows 10 1909, che non è influenzato dalla vulnerabilità secondo MSKB; https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
https://support.microsoft.com/en-us/help/4534273/windows-10-update-kb4534273
Si applica a: Windows 10, versione 1809, Windows Server versione 1809, Windows Server 2019, tutte le versioni
Documentazione e supporto tecnico – Cisco Systems

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
1.0	13-Feb-2022	Versione iniziale

Contributo dei tecnici Cisco

Mustafa Shukur
Cisco TAC Engineer

Creazione di un elenco avanzato di rilevamento personalizzato in Cisco Secure Endpoint

Opzioni per il download

Linguaggio senza pregiudizi

Informazioni su questa traduzione

Sommario

Introduzione

Premesse

Prerequisiti

Requisiti

Componenti usati

Crea elenco di rilevamento personalizzato avanzato

Informazioni correlate

Cronologia delle revisioni

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

Contattaci

Questo documento si applica a questi prodotti