Verifica analisi Windows Secure Endpoint (CSE)

Opzioni per il download

  • PDF     (1.8 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.6 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:6 aprile 2023
ID documento:220362

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).


    Introduzione

    In questo documento vengono descritti i diversi tipi di digitalizzazione di un connettore Windows.

    Prerequisiti

    I prerequisiti per questo documento sono:

    • Endpoint Windows
    • Secure Endpoint (CSE) versione v.8.0.1.21164 o successiva
    • Accesso a Secure Endpoint Console

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Secure Endpoint Console
    • Endpoint Windows 10
    • Secure Endpoint versione v.8.0.1.21164

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Le analisi sono state testate in un ambiente lab con il criterio impostato per il debug.
    La scansione flash durante l'installazione è stata abilitata tramite il download del connettore.
    Le scansioni sono state eseguite dall'interfaccia grafica Secure Client e dallo scheduler.

    Scansione completa

    Questo log mostra quando viene richiesta un'analisi completa dall'interfaccia grafica (GUI) CSE.

    Scan from User InterfaceScansione dall'interfaccia utente

    In questo caso, il processo ScanInitiator avvia il processo Scan.

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    Come mostrato nell'immagine, è possibile notare che viene attivata la funzione di scansione completa sulla GUI.

    A questo punto, si dispone del SID (ID di sicurezza), che è un valore di lunghezza variabile assegnato a questo particolare evento. Questo ID di sicurezza consente di tenere traccia dell'analisi nei log.

    Publish EventEvento Publish

    È possibile far corrispondere questo valore con l'evento dalla console CSE.

    Console EventEvento console







    Nei log è quindi possibile visualizzare quanto segue:

    Publish SucceededPubblicazione completata



    Questo significa che l'evento è stato pubblicato correttamente nel cloud CSE.

    L'azione successiva consiste nell'eseguire la scansione:


    Scan StartInizio analisi




    Come si può notare, il SID è lo stesso, quindi si è sotto il flusso di SID 1407343.


    Di seguito sono riportati i passaggi eseguiti dal connettore quando viene rilevata una minaccia durante l'analisi.

    Passaggio 1. Il connettore indica il file che ha causato il rilevamento. In questo esempio, è causato da Hacksantana Trainer GLS.

    File DetectedRilevato file




    Passaggio 2. L'evento viene pubblicato nella console CSE con il nome Threat Detection e il percorso in cui si trova.

    Detection NameNome rilevamento





    Threat Event PublishPubblicazione evento minaccia


    Al termine dell'analisi, è possibile esaminare il Visualizzatore eventi per un riepilogo dell'analisi.

    Event ViewerVisualizzatore eventi

    Scansione Flash

    Le scansioni Flash sono veloci e richiedono da secondi a minuti per essere completate.
    In questo esempio, è possibile vedere quando viene avviata l'analisi e, come in precedenza, viene fornito un SID, questa volta, con un valore di 2458015.


    Flash Scan StartInizio analisi flash

    L'azione successiva consiste nel pubblicare l'evento nel cloud CSE.


    Publish to CSE Cloud


    Al termine dell'analisi, l'evento viene pubblicato nel cloud.


    Scan Finish PublishFine scansione - Pubblica

    L'evento può essere visualizzato nel Visualizzatore eventi di Windows. Come si può notare, le informazioni sono identiche a quelle presentate nei log.

    JSON EventEvento JSON



    Analisi pianificate


    Quando si tratta di analisi pianificate, è necessario essere a conoscenza di una serie di aspetti.

    Una volta pianificata l'analisi, il numero di serie viene modificato.

    In questo caso, il criterio di test non dispone di analisi pianificate.

    Policy Serial NumberNumero di serie del criterio

    Se si desidera pianificare un'analisi, fare clic su Modifica.

    Passa a Advanced Settings > Scheduled Scans.

    Advanced SettingsImpostazioni avanzate

    Fare clic su New.

    New Scan ConfigurationNuova configurazione di digitalizzazione

    Le opzioni sono:

    • Intervallo di scansione
    • Tempo di scansione
    • Tipo di analisi

    Dopo aver configurato l'analisi, fare clic su Aggiungi.

    Scheduled Scan ConfigurationConfigurazione analisi pianificata

    Salvare le modifiche apportate ai criteri. Verrà visualizzato un popup che conferma le modifiche.

    Pop-UpPopup

    Serial Number changeModifica numero di serie

    Serial Number changeModifica numero di serie












    L'analisi è configurata nel criterio, in questo esempio, sono configurate due analisi, una Flash e una Full Scan.

    Policy XMLXML criteri

    Vengono aggiunti a uno scheduler in HistoryDB. I caratteri accanto al tag <pianificato> sono l'ID processo (PID) che identifica l'analisi.


    Process IDID processo

    Come mostrato nell'immagine, viene inserito in coda.

    Scan QueuedScansione in coda

    È possibile eseguire una ricerca nei log per l'analisi e verificare se l'analisi può essere eseguita ora o meno. In caso affermativo, la scansione viene eseguita.

    Scan can ExecuteEsecuzione scansione



    È possibile notare che le opzioni per l'analisi sono caricate e il processo ScanInitiator richiede l'avvio dell'analisi.


    Process starts the Scan




    Quindi, Process Scan::ScanThreadProcess avvia Scan.


    Type of Scan id Flash

    Analogamente agli eventi precedenti, deve essere pubblicato nel cloud CSE. I log possono indicare il tipo di scansione, che in questo caso è Flash.


    Publish Event of Scheduled ScanEvento di pubblicazione dell'analisi pianificata

    È possibile passare a Event Viewer > App and Services Registries.

    Application and Services LogsRegistri applicazioni e servizi


    Cercare Cisco Secure Endpoint e aprire Cloud ed eventi. Ogni scheda offre una visualizzazione diversa.

    Eventi:


    Event ViewVisualizzazione eventi

    Cloud:

    Cloud ViewVisualizzazione tramite cloud

    Al termine dell'analisi, sarà possibile visualizzare l'evento pubblicato nel cloud.


    Scan Finish PublishFine scansione - Pubblica


    Analisi completa pianificata


    Nel Visualizzatore eventi di Windows viene visualizzato Event Scan Started, come illustrato nell'immagine.

    Event Scan Started







    Al termine, sarà possibile confrontare l'evento pubblicato.


    Compare the Published Event

    È possibile visualizzarlo nel visualizzatore eventi di Windows.

    Event ViewerVisualizzatore eventi






    Altre analisi

    Quando si tratta di scansioni personalizzate o rootkit, la differenza principale che avete notato è il Tipo di scansione nel Visualizzatore eventi o nei log.

    Risoluzione dei problemi

    Se non viene eseguita un'analisi pianificata:

    • Verificare che l'endpoint sia disponibile nel momento in cui si desidera che venga eseguita l'analisi.
    • Verificare che l'analisi sia pianificata nel criterio. Se non è visibile, attivare una sincronizzazione dei criteri.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    06-Apr-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Uriel Tadeo Montero Casas
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti