Cisco lanceerde onlangs twee pakketten voor AMP voor Endpoints: Hoofdzaak en voordeel. Orbital Advanced Search is een belangrijke optie in het Advanced-pakket. Alle bestaande klanten kunnen vanaf de datum van de lancering (8 januari 2020) ervoor kiezen deze gedurende de resterende looptijd van hun contract zonder kosten te gebruiken. Deze FAQ heeft meer informatie over de pakketten en hoe deze bestaande klanten beïnvloedt vanaf de lanceerdatum.

Orbital Advanced Search is een nieuwe geavanceerde mogelijkheid in Cisco Advanced Malware Protection voor endpoints, ontworpen om beveiligingsonderzoek en bedreigingsjacht eenvoudig te maken door meer dan honderd catalogusvragen te beantwoorden. Dit stelt u in staat om snel complexe vragen op om het even welke of alle eindpunten te stellen. Dit stelt je ook in staat om dieper zicht te krijgen op wat er op elk eindpunt gebeurde op een bepaald moment door een momentopname te nemen van zijn huidige status.

Met Orbital Advanced Search kunt u de volgende belangrijke taken beter en sneller uitvoeren: 

• Bedreigende jacht. Zoek in real-time naar kwaadaardige artefacten om uw jacht op bedreigingen te versnellen.
• Onderzoek naar ongevallen. Ga snel naar de diepere oorzaak van het incident, versnelt het herstel.
• IT. U kunt eenvoudig schijfruimte, geheugen en andere IT-handelingen bijhouden.
• Kwetsbaarheid en naleving. Controleer snel de status van besturingssystemen op versies en patchupdates, zodat uw endpoints in overeenstemming zijn met het huidige beleid.

Dit document biedt een stapsgewijze handleiding om u door te lopen hoe u kunt kiezen voor de nieuwe functie en deze op uw eindpunten kunt inschakelen. Er is ook een volledige gebruikershandleiding beschikbaar. Advanced Search kan dankzij AMP voor endpoints eenvoudig worden ingeschakeld als er op uw endpoints al een connector is geïnstalleerd (7.1.5 of hoger). Zie het Help-onderwerp van de Advanced Malware Protection voor endpoints op Orbital voor de meest recente Connector en andere informatie. Orbital Advanced Search wordt momenteel ondersteund door 64-bits Windows 10-hosts versie 1703 (update creaties) of hoger.

Nadat u deze stappen hebt voltooid, raadpleegt u de Quick Start guide voor een gedetailleerdere beschrijving van de manier waarop u met Orbital Advanced Search kunt beginnen.

Stap 1: Geavanceerd zoeken in- of uitschakelen

Als u niet eerder in de Advanced Search beta van Orbital hebt ingeschreven of expliciet hebt geselecteerd, kunt u dit doen via de Licentieinformpagina in de AMP for Endpoints console. Als u wilt opt-in naar Orbital Advanced Search, logt u in de Advanced Malware Protection voor Endpoints en selecteert u de uitrollijst met Account > Licentiegegevens. Op deze pagina kunt u op Inschrijven in orbital klikken om toegang tot deze optie te krijgen.

OPMERKING: U moet een bevoorrechte (admin) gebruiker zijn om te kiezen voor Orbital Advanced Search.

Stap 2: Geavanceerd zoeken in combinatie met bestaand beleid inschakelen

Als uw eindpunten al een connector hebben geïnstalleerd (versie 7.1.5 of hoger), kunt u eenvoudig Orbital Advanced Search inschakelen in een bestaand beleid voor uw endpoints.

• Ga naar de Advanced Malware Protection voor endpoints. Selecteer in Beheer > Beleid het beleid dat u wilt instellen voor Geavanceerd zoeken in de orbitale modus en klik op de knop Bewerken om het beleid bewerken te openen onder Geavanceerd Instellingen en selecteer Orbital Advanced Search en controleer of Geavanceerd zoeken is ingeschakeld. Het vakje Geavanceerd zoeken inschakelen moet zijn ingeschakeld. Als dit niet het geval is, schakelt u het vakje in.

Op dit punt zullen alle connectors die met dit beleid zijn geïnstalleerd, automatisch Orbital Advanced Search op dat eindpunt mogelijk maken.

Stap 3: Geavanceerd zoeken in orbital inschakelen in een nieuw beleid en een groep computers (optioneel)

Zoals hierboven beschreven, zodra u Orbital Advanced Search in een bestaand beleid hebt ingeschakeld, zullen alle connectors die dat beleid gebruiken Orbital Advanced Search ingeschakeld hebben en zullen alle nieuwe connectors die u installeert, die dat beleid gebruiken, ook Orbital Advanced Search ingeschakeld hebben. Als u bijvoorbeeld 1000 computers in uw "Protect"-groep hebt, zal het eenvoudig inschakelen van Orbital Advanced Search in dat beleid automatisch Orbital Advanced Search op deze endpoints mogelijk maken zolang Connector versie 7.1.5 of hoger is geïmplementeerd.

Het maken van nieuwe beleidslijnen en groepen is optioneel. Als u echter Orbital Advanced Search wilt gebruiken op een specifieke groep endpoints door middel van een nieuw beleid en een nieuwe groep, dan volgt u de productdocumentatie gewoon om een nieuw beleid en/of een nieuwe groep te maken en zorg ervoor dat Orbital Advanced Search in het beleid is ingeschakeld zoals hierboven wordt getoond.

Stap 4:  Verken de Orbital Console

Nadat u Orbital Advanced Search in een beleid hebt ingeschakeld met een connector die hoger is dan 7.1.5 en op ten minste één eindpunt is geïnstalleerd, kunt u nu vragen op een eindpunt uitvoeren om informatie te verzamelen.

• Ga naar Beheer > Computers en plaats een computer met Geavanceerd orbitaal zoeken in het venster en klik op Orbital Query. (U kunt ook toegang krijgen tot de Orbital console door te gaan naar Analyse > Geavanceerd zoeken voor orbital).
• Het Orbital-console is geladen in een nieuw browser-tabblad. Klik indien nodig op Meld u aan bij Cisco Security om de bestaande AMP-console-aanmeldingsgegevens te echt te maken.

OPMERKING: U kunt ook rechtstreeks toegang krijgen tot Orbital Advanced Search op https://orbital.amp.cisco.com

• Het veld Endpoints laat zien welke computer(s) u vraagt. U kunt een specifieke oundpositie in of al in dit veld invoeren om elk eindpunt in uw organisatie te vragen die Geavanceerd zoeken in Orbital heeft ingeschakeld. Als u een willekeurige steekproef van eindpunten wilt nemen, klik op de ellips (...) om het dialoogvenster Random Endpoints toevoegen te openen.
• U kunt aangepaste SELECT-verklaringen in het SQL-veld invoeren, of op Bladeren Query-Catalogus klikken om de Query-Catalogus te openen, die tientallen vragen bevat die u aan uw query kunt toevoegen. U hoeft niet te weten hoe u een SQL SELECT statement moet schrijven om Orbital te gebruiken.

• Klik op Query. De query wordt uitgevoerd tegen de opgegeven eindpunten en de resultaten worden weergegeven in het rechter deelvenster. U kunt de query bewerken en opnieuw uitvoeren. U kunt de resultaten downloaden. U kunt de query opslaan als een taak die u op een geplande basis wilt uitvoeren, zodat u deze kunt configureren.
• Ga voor meer informatie die gestart wordt met Orbital Advanced Search naar de Quick Start