Probleemoplossing voor fout-positieve bestandanalysegebeurtenissen in Cisco Secure-endpoint

Downloadopties

  • PDF     (483.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (390.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (493.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:25 mei 2020
Document-id:215993

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een foute positieve bestandsanalyse kunt verzamelen in Advanced Malware Protection (AMP) voor endpoints.

    Bijgedragen door Jezus Javier Martinez, Cisco TAC Engineer.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van deze onderwerpen:

    • AMP-console dashboard
    • Een account met administratorrechten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco Advanced Malware Protection voor endpoints, versie 6.X.X en hoger.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    AMP voor endpoints kan buitensporige waarschuwingen genereren op een bepaald bestand/proces/Secure Hash Algorithm (SHA) 256. Als u foutieve positieve detecties in uw netwerk vermoedt, kunt u contact opnemen met het Cisco Technical Assistance Center (TAC) en gaat het diagnostische team verder om een diepere bestandsanalyse uit te voeren. Wanneer u contact opneemt met Cisco TAC, moet u deze informatie verstrekken:


    ・ File SHA 256 shash
    ・ Kopie voor bestandstaal
    ・ Waarschuwingsgebeurtenissen bij opname in AMP-console
    ・ Event Details van AMP-console
    ・ Informatie over het bestand (waar het vandaan komt en waarom het in de omgeving moet zijn)
    ・ Leg uit waarom u gelooft dat het bestand/proces verkeerd-positief kan zijn

    Probleemoplossing fout positieve bestandsanalyse in Advanced Malware Protection voor endpoints

    Deze sectie verschaft informatie die u kunt gebruiken om alle informatie te verkrijgen die nodig is om een vals positief ticket met Cisco TAC te openen.

    Bestand SHA 256 Hash

    Stap 1. Ga voor de SHA 256-hash naar AMP-console > Dashboard > Events.


    Stap 2. Selecteer de gebeurtenis in het alarmsignaal, klik op SHA256 en selecteer Kopie zoals in de afbeelding.

    Kopie bestand voorbeeld

    Stap 1. U kunt de bestandssteekproef van AMP-console ophalen, navigeer naar AMP-console > Dashboard > Events.


    Stap 2. Selecteer de gebeurtenis in het alarmsignaal, klik op SHA256 en navigeer naar bestandsgrootte> bestandsgrootte zoals in de afbeelding.

    Stap 3. Selecteer het apparaat waar het bestand is gedetecteerd en klik op Fetch zoals in de afbeelding (het apparaat moet ingeschakeld zijn) zoals in de afbeelding. 

    Stap 4. U ontvangt het bericht zoals in de afbeelding.

    Na een paar minuten ontvangt u een e-mailbericht wanneer het bestand kan worden gedownload zoals in de afbeelding wordt weergegeven.

    Stap 5. Navigeer naar AMP-console > Analysis > File Repository en selecteer het bestand en klik op Download zoals in de afbeelding.

    Stap 6. Het vakje voor melding verschijnt, klik op Downloaden, zoals in de afbeelding, en het bestand wordt gedownload in een ZIP-bestand.

    Alert Event Capture van AMP-console

    Stap 1. Navigeer naar AMP-console > Dashboard > gebeurtenissen.


    Stap 2. Selecteer de gebeurtenis in de waarschuwing en neem de opname zoals in de afbeelding.

    Event Details Capture of AMP-console

    Stap 1. Navigeer naar AMP-console > Dashboard > gebeurtenissen.


    Stap 2. Selecteer de gewenste gebeurtenis en klik op de optie Apparaattraject zoals in de afbeelding.

    Het is gericht op de details van het apparaattraject zoals in de afbeelding.

    Stap 3. Neem een opnamen van Event Details zoals in de afbeelding.

    Stap 4. Als dit nodig is, scrollen en neem dan een aantal opnamen om alle informatie over gebeurtenissen in de afbeelding te verkrijgen.

    Informatie over het bestand

    • Informatie over waar het bestand vandaan kwam.
    • Als het bestand van een website komt, deelt u de URL van het web. 
    • Geef een kleine bestandsindeling en leg de bestandfunctie uit.

    verklaring

    • Waarom denk je dat het bestandsproces een fout-positief kan zijn? 
    • Geef de redenen aan waarom u op het bestand vertrouwt.

    Informatie verstrekken

    • Nadat u alle gegevens hebt verzameld, uploadt u alle gevraagde informatie naar https://cway.cisco.com/csc/.
    • Zorg ervoor dat u het nummer van de serviceaanvraag raadpleegt.

    Conclusie

    Cisco streeft er altijd naar de bedreigingsintelligentie voor AMP voor endpoints-technologie te verbeteren en uit te breiden, maar als uw AMP voor Endpoints-oplossing onjuist een waarschuwing oproept, kunt u bepaalde acties ondernemen om verdere impact op uw omgeving te voorkomen. Dit document biedt een richtlijn om alle vereiste details te verkrijgen om een case met Cisco TAC te openen voor een valse positieve kwestie. Gebaseerd op de diagnostische teamanalyse kan de bestandsindeling veranderen om de waarschuwingsgebeurtenissen te stoppen die zijn geactiveerd op AMP Console of Cisco TAC kan de juiste oplossing bieden om het bestand/proces te laten uitvoeren zonder problemen in uw omgeving.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    02-Sep-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jesus Javier Martinez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten