CSE(Secure Endpoint) Windows 스캔 검토

소개

이 문서에서는 Windows 커넥터의 다양한 스캔 유형에 대해 설명합니다.

사전 요구 사항

이 문서의 전제 조건은 다음과 같습니다.

• Windows 엔드포인트
• CSE(Secure Endpoint) 버전 v.8.0.1.21164 이상
• Secure Endpoint Console 액세스

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 보안 엔드포인트 콘솔
• Windows 10 엔드포인트
• Secure Endpoint 버전 v.8.0.1.21164

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

스캔은 Policy가 debug로 설정된 랩 환경에서 테스트되었습니다.
Connector 다운로드를 통해 설치 시 플래시 스캔을 활성화했습니다.
스캔은 Secure Client GUI 및 Scheduler에서 실행되었습니다.

전체 스캔

이 로그는 CSE GUI(Graphic User Interface)에서 전체 스캔이 요청되는 경우를 보여줍니다.

사용자 인터페이스에서 스캔

여기서 ScanInitiator 프로세스는 Scan 프로세스를 시작합니다.

(1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

이미지에 표시된 대로 Full Scan(전체 스캔)이 GUI에서 트리거된 스캔 유형임을 확인할 수 있습니다.

다음으로 SID(Security Identifier)가 있습니다. 이는 이 특정 이벤트에 할당된 변수 길이의 값입니다. 이 보안 식별자는 로그에서 스캔을 추적하는 데 도움이 됩니다.

이벤트 게시

이를 CSE 콘솔의 이벤트와 일치시킬 수 있습니다.

콘솔 이벤트







다음으로, 로그에서 다음을 확인할 수 있습니다.

게시 성공

이는 이벤트가 CSE 클라우드에 성공적으로 게시되었음을 의미합니다.

그런 다음 실제로 스캔을 수행합니다.

스캔 시작

알 수 있듯이 SID는 동일하므로 SID 1407343 스트림 아래에 있습니다.

다음은 스캔 중에 위협이 탐지될 때 커넥터가 수행하는 단계입니다.

1단계. 커넥터는 탐지를 일으킨 파일을 알려줍니다. 이 예에서는 Hacksantana Trainer GLS로 인해 탐지됩니다.

파일이 탐지됨

2단계. 이벤트는 위협 탐지 이름 및 발견된 경로를 사용하여 CSE 콘솔에 게시됩니다.

탐지 이름

위협 이벤트 게시

스캔이 완료되면 이벤트 뷰어에서 스캔의 요약을 확인할 수 있습니다.

이벤트 뷰어

플래시 스캔

플래시 스캔은 빠르고, 몇 초에서 몇 분 만에 끝납니다.
이 예에서는 스캔이 언제 시작되는지 볼 수 있으며, 이전과 마찬가지로 이번에는 값이 2458015인 SID가 제공됩니다.

플래시 스캔 시작

다음 작업은 CSE 클라우드에 이벤트를 게시하는 것입니다.

스캔이 완료되면 이벤트가 클라우드에 게시됩니다.

스캔 완료 게시

Windows 이벤트 뷰어에서 이벤트를 볼 수 있습니다. 알 수 있듯이, 정보는 로그에 표시되는 정보와 동일합니다.

JSON 이벤트

예약된 스캔

예약 스캔에 대해서는 일련의 측면을 알고 있어야 합니다.

스캔이 예약되면 일련 번호가 변경됩니다.

여기서 테스트 정책에는 예약된 스캔이 없습니다.

정책 일련 번호

스캔을 예약하려면 Edit를 클릭합니다.

탐색 Advanced Settings > Scheduled Scans.

고급 설정

새로 만들기를 클릭합니다.

새 스캔 컨피그레이션

옵션은 다음과 같습니다.

• 스캔 간격
• 스캔 시간
• 스캔 유형

Scan을 구성한 후 Add를 클릭합니다.

예약된 스캔 컨피그레이션

정책 변경 사항을 저장하면 변경 사항을 확인하는 팝업이 나타납니다.

팝업

일련 번호 변경

일련 번호 변경

스캔은 Policy(정책)에서 구성되며, 이 예에서는 Flash(플래시) 스캔과 Full Scan(전체 스캔)의 두 스캔이 구성됩니다.

정책 XML

HistoryDB의 스케줄러에 추가됩니다. <scheduled> 태그 옆의 문자는 스캔을 식별하는 Process ID(PID)입니다.

프로세스 ID

그림에 표시된 것처럼 대기열에 추가됩니다.

스캔 대기 중

로그에서 스캔을 검색할 수 있으며, 스캔을 지금 실행할 수 있는지 여부를 확인할 수 있습니다. 가능한 경우 스캔이 실행됩니다.

스캔 실행 가능

스캔 옵션이 로드되어 있고 ScanInitiator 프로세스에서 스캔을 시작하도록 요청합니다.

그런 다음 Process Scan::ScanThreadProcess에서 스캔을 시작합니다.

이전 이벤트와 마찬가지로 CSE 클라우드에 게시해야 합니다. 로그는 Scan의 유형을 알려주며, 이 경우 Flash입니다.

예약된 스캔의 이벤트 게시

다음 위치로 이동 Event Viewer > App and Services Registries.

애플리케이션 및 서비스 로그

Cisco Secure Endpoint를 검색하고 클라우드 및 이벤트를 엽니다. 각 탭은 서로 다른 보기를 제공합니다.

이벤트:

이벤트 보기

클라우드:

클라우드 뷰

스캔이 완료되면 클라우드에 게시된 이벤트를 볼 수 있습니다.

스캔 완료 게시

예약된 전체 스캔

Windows 이벤트 뷰어는 이미지에 표시된 대로 Event Scan Started(이벤트 스캔 시작됨)를 표시합니다.

완료되면 게시된 이벤트를 비교할 수 있습니다.

Windows의 이벤트 뷰어에서 이를 볼 수 있습니다.

이벤트 뷰어

기타 스캔

사용자 지정 또는 루트킷 스캔의 경우 이벤트 뷰어 또는 로그의 스캔 유형이 주된 차이점입니다.

문제 해결

Schedule Scan이 발생하지 않는 경우:

• 스캔이 수행될 때까지 엔드포인트를 사용할 수 있는지 확인합니다.
• Policy(정책)에서 Scan(스캔)이 예약되었는지 확인합니다. 표시되지 않으면 정책 동기화를 트리거합니다.