Identificazione delle condizioni per l'attivazione di azioni automatizzate in un endpoint sicuro

Aggiornato:1 febbraio 2023
ID documento:220184

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritte le condizioni che è necessario soddisfare per attivare le azioni automatiche.

    Premesse

    Le azioni automatizzate vengono attivate in caso di compromissione (ciò significa che una macchina non compromessa diventa una macchina compromessa). Se una macchina già compromessa attiva un nuovo rilevamento, questo rilevamento viene aggiunto al compromesso, ma poiché non si tratta di un nuovo compromesso, non attiva un'azione automatizzata.

    Un'eccezione è rappresentata dal livello di gravità. Le azioni automatizzate vengono attivate in base a criteri che sono la gravità, tuttavia, i compromessi non hanno gravità di per sé (solo i rilevamenti individuali lo fanno). Se un'azione automatizzata è configurata con un livello di gravità elevato e un rilevamento viene attivato come livello medio, l'azione non viene attivata. Se al compromesso elevato viene aggiunto un evento successivo, l'azione viene attivata poiché il nuovo rilevamento si trova nel compromesso già esistente.

    Che cos'è una macchina compromessa?

    Un computer compromesso è un endpoint a cui è associato un compromesso attivo. Una macchina compromessa può, per progettazione, avere un solo compromesso attivo alla volta.

    Applicabilità 

    Windows, Mac

    Azioni automatizzate disponibili

    1. Acquisire un'istantanea forense su un compromesso: esegue un'istantanea forense di un computer quando si verifica un compromesso. Un evento di compromissione è sostanzialmente un evento inviato da un connettore che notifica l'esistenza di un evento potenzialmente dannoso.

      Condizioni per l'attivazione dell'azione automatica: gli eventi con la gravità selezionata o superiore attivano l'azione automatica.

      Automated Actions Available

      Conditions to Trigger Automated Action

      Questo è un esempio di macchina compromessa:

      Example of a Compromised Machine

      Registro dell'azione automatica (dalla scheda Registro di controllo)

      Log of the Automated Action

    2. Isolare un computer in caso di compromissione: isola i computer in caso di compromissione.

      Condizioni per l'attivazione dell'azione automatica: gli eventi con la gravità selezionata o superiore attivano l'azione automatica. Il Limite di velocità protegge l'utente da falsi positivi rilevati. La funzione Limite di velocità esamina il numero totale di isolamenti in una finestra mobile di 24 ore. Se il numero di isolamenti è superiore al limite, non vengono attivati altri isolamenti. I computer vengono nuovamente isolati quando il numero di eventi di compromissione scende al di sotto del limite indicato nella finestra di rotazione di 24 ore o quando si interrompe l'isolamento nei computer che sono stati isolati automaticamente.

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      Questo è un esempio di macchina compromessa:

      Example of a Compromised Machine

      Registro dell'azione automatica (dalla scheda Registro di controllo):

      Log of the Automated Action From Audit Log Tab



    3. Invia per proteggere analisi malware al rilevamento: inviare un file a Secure Malware Analytics per l'analisi dei file quando viene rilevato.

      Condizioni per l'attivazione dell'azione automatica: gli eventi con la gravità selezionata o superiore attivano l'azione automatica.

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      Esempio di macchina compromessa:

      Example of Compromised Machine with Malware Detected

      In questo caso, il file è stato inviato in precedenza a Secure Malware Analytics, quindi l'analisi del file è già stata eseguita. Esempio:

      File Already Done as Malware Previously Submitted

      note-icon

      Nota: questa azione automatizzata non è associata a compromessi ed è eseguita per rilevamento.

    4. Sposta computer in gruppo in caso di compromissione: sposta i computer dai gruppi correnti a un altro gruppo quando viene attivata l'azione. In questo modo è possibile spostare i computer compromessi in un gruppo con un criterio che prevede impostazioni del motore e di analisi più aggressive per risolvere il problema.

    Condizioni per l'attivazione dell'azione automatica: gli eventi con la gravità selezionata o superiore attivano l'azione automatica.

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    Questo è il computer nel gruppo originale:

    Computer in the Original Group

    Questi sono gli eventi di compromesso:

    Events of the Compromise

    Registro dell'azione automatica (dalla scheda Registro di controllo):

    Log of the Automated Action (from Audit Log Tab)

    Il computer è stato spostato nel gruppo specificato nell'impostazione Azione automatica:

    Computer Moved to Specified Group in the Automated Action Setting

    Log azioni

    Di seguito è riportato l'elenco completo dei log delle azioni automatiche disponibili nella scheda Azioni automatiche:

    Automated Action Logs

    Informazioni correlate

    Guida per l'utente di Secure Endpoint

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    01-Feb-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Isaac Cardenas
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti