Bepaal de voorwaarden waaronder geautomatiseerde acties kunnen worden uitgevoerd in een beveiligd endpoint

Bijgewerkt:1 februari 2023
Document-id:220184

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de voorwaarden waaraan moet zijn voldaan om geautomatiseerde acties te kunnen starten.

    Achtergrondinformatie

    Geautomatiseerde acties worden geactiveerd bij een compromis (dit betekent dat een niet-gecompromitteerde machine een gecompromitteerde machine wordt). Als een reeds gecompromitteerde machine een nieuwe detectie activeert, wordt deze detectie toegevoegd aan het compromis, maar omdat dit geen nieuw compromis is, wordt er geen geautomatiseerde actie gestart.

    Een uitzondering hierop is de ernst. Geautomatiseerde acties worden geactiveerd op basis van criteria die strengheid is, maar compromissen hebben geen strengheid op zich (alleen individuele detecties). Als een geautomatiseerde actie is ingesteld op een hoog prioriteitsniveau en een detectie als middelmatig niveau wordt geactiveerd, wordt de actie niet geactiveerd. Als een volgende gebeurtenis aan het compromis wordt toegevoegd dat hoog is, brengt de actie teweeg aangezien deze nieuwe opsporing in het compromis is dat reeds bestaat.

    Wat is een gecompromitteerde machine?

    Een gecompromitteerde machine is een eindpunt dat een actief compromis verbonden aan het heeft. Een gecompromitteerde machine kan, door ontwerp, slechts één compromis actief in één keer hebben.

    Toepasbaarheid 

    Windows, Mac

    Geautomatiseerde acties beschikbaar

    1. Neem een forensische snapshot op Compromis: neemt een forensische snapshot van een computer wanneer er een compromis is. Een compromitterende gebeurtenis is in principe een gebeurtenis die door een connector wordt gestuurd die een melding maakt van iets dat mogelijk kwaadaardig is.

      Voorwaarden om deze geautomatiseerde actie te activeren: Gebeurtenissen die de geselecteerde ernst of hoger zijn, activeren de geautomatiseerde actie.

      Automated Actions Available

      Conditions to Trigger Automated Action

      Dit is een voorbeeld van een gecompromitteerde machine:

      Example of a Compromised Machine

      Dit is het logbestand van de geautomatiseerde actie (van het tabblad Auditlogboek)

      Log of the Automated Action

    2. Isoleer een computer op compromis: Isoleert computers wanneer een compromis voorkomt.

      Voorwaarden om deze geautomatiseerde actie te activeren: Gebeurtenissen die de geselecteerde ernst of hoger zijn, activeren de geautomatiseerde actie. De snelheidslimiet beschermt u tegen valse positieve detecties. De functie Snelheidslimiet bekijkt het totale aantal isolaties in een 24-uurs glooiend venster. Indien het aantal isolaties groter is dan de grenswaarde, worden geen verdere isolaties geactiveerd. Computers worden weer geïsoleerd zodra het aantal compromisgebeurtenissen tot minder dan de limiet in het 24-uurs glijvenster daalt of u stopt de isolatie op computers die automatisch werden geïsoleerd.

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      Dit is een voorbeeld van een gecompromitteerde machine:

      Example of a Compromised Machine

      Dit is het logbestand van de geautomatiseerde actie (van het tabblad Auditlogboek):

      Log of the Automated Action From Audit Log Tab



    3. Verzenden naar Secure Malware Analytics bij Detectie: Verzend een bestand naar Secure Malware Analytics voor bestandsanalyse wanneer een detectie optreedt.

      Voorwaarden om deze geautomatiseerde actie te activeren: Gebeurtenissen die de geselecteerde ernst of hoger zijn, activeren de geautomatiseerde actie.

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      Voorbeeld van een gecompromitteerde machine

      Example of Compromised Machine with Malware Detected

      In dit geval is het bestand eerder naar Secure Malware-analyses verzonden, zodat de bestandsanalyse al is uitgevoerd. Voorbeeld:

      File Already Done as Malware Previously Submitted

      note-icon

      Opmerking: deze geautomatiseerde actie is niet verbonden met compromissen en voert een automatische detectie uit.

    4. Computer naar groep op compromis verplaatsen: computers van hun huidige groepen naar een andere groep verplaatsen wanneer de actie wordt gestart. Dit stelt u in staat om gecompromitteerde computers te verplaatsen naar een groep met een beleid dat agressiever scannen en engine instellingen heeft om het compromis te herstellen.

    Voorwaarden om deze geautomatiseerde actie te activeren: Gebeurtenissen die de geselecteerde ernst of hoger zijn, activeren de geautomatiseerde actie.

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    Dit is de computer in de oorspronkelijke groep:

    Computer in the Original Group

    Dit zijn de compromissen:

    Events of the Compromise

    Dit is het logbestand van de geautomatiseerde actie (van het tabblad Auditlogboek):

    Log of the Automated Action (from Audit Log Tab)

    In de instelling Geautomatiseerde actie is de computer naar een bepaalde groep verplaatst:

    Computer Moved to Specified Group in the Automated Action Setting

    Actielogboeken

    Dit is de volledige lijst van Geautomatiseerde actielogboeken van het tabblad Geautomatiseerde acties:

    Automated Action Logs

    Gerelateerde informatie

    Gebruikershandleiding Secure Endpoint

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    01-Feb-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Isaac Cardenas
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten