Beoordeel Secure Endpoint (CSE) Windows-scans

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:6 april 2023
Document-id:220362

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.


    Inleiding

    Dit document beschrijft de verschillende typen scans van een Windows-connector.

    Voorwaarden

    De voorwaarden voor dit document zijn:

    • Windows-endpoint
    • Secure Endpoint (CSE) versie v.8.0.1.21164 of hoger
    • Toegang tot Secure Endpoint-console

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Secure Endpoint-console
    • Windows 10-endpoint
    • Secure Endpoint versie v.8.0.1.21164

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiƫle impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De scans werden getest op een lab-omgeving met Policy ingesteld om te debuggen.
    Flash scan on install was ingeschakeld via Connector download.
    De scans zijn uitgevoerd vanuit de Secure Client GUI en vanuit de Scheduler.

    Volledig scannen

    Dit logbestand toont aan wanneer een volledige scan wordt aangevraagd via de GUI (Graphic User Interface - grafische gebruikersinterface) van CSE.

    Scan from User InterfaceScannen vanaf gebruikersinterface

    Hier begint het ScanInitiator-proces met het scanproces.

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    U kunt zien dat Full Scan het type Scannen is dat op de GUI is geactiveerd, zoals in de afbeelding wordt weergegeven.

    Vervolgens hebt u de Security Identifier (SID), die een waarde is van variabele lengte toegewezen aan deze bepaalde gebeurtenis, deze Security Identifier helpt u de scan in de logbestanden te volgen.

    Publish EventPublicatiegebeurtenis

    U kunt dit afstemmen op de gebeurtenis vanuit de CSE-console.

    Console EventConsole-gebeurtenis







    Daarna, in de logboeken, kunt u dit zien:

    Publish SucceededGeslaagd publiceren



    Dit betekent dat het evenement met succes is gepubliceerd in de CSE Cloud.

    Dan is de volgende actie eigenlijk het scannen:


    Scan StartScannen start




    Zoals u kunt opmerken, is de SID hetzelfde, zodat u zich onder de stroom van SID 1407343 bevindt.


    Dit zijn de stappen die de -aansluiting uitvoert wanneer tijdens de scan een bedreiging wordt gedetecteerd.

    Stap 1. De connector vertelt u het bestand dat de detectie heeft veroorzaakt, in dit voorbeeld wordt het veroorzaakt door Hacksantana Trainer GLS.

    File DetectedBestand gedetecteerd




    Stap 2. De gebeurtenis wordt gepubliceerd op de CSE-console met de naam Threat Detection en het pad waar deze is gevonden.

    Detection NameDetectienaam





    Threat Event PublishThreat Event publiceren


    Nadat de scan is voltooid, kunt u een kijkje nemen in de Event viewer, voor een samenvatting van de Scan.

    Event ViewerEvent viewer

    Flash scan

    Flash scans zijn snel, ze nemen van seconden tot minuten om te voltooien.
    In dit voorbeeld kunt u zien wanneer het Scannen start, en zoals eerder, wordt deze keer een SID gegeven, met een waarde van 2458015.


    Flash Scan StartFlash scan start

    De volgende actie is om het evenement te publiceren naar de CSE cloud.


    Publish to CSE Cloud


    Wanneer de scan is voltooid, wordt de Event gepubliceerd in de cloud.


    Scan Finish PublishScannen Voltooien publiceren

    De gebeurtenis is te zien in de Windows Event viewer. Zoals u kunt opmerken, is de informatie hetzelfde als de informatie die in de logboeken wordt gepresenteerd.

    JSON EventJSON Event



    Geplande scans


    Wanneer het gaat om Geplande scans, moet u zich bewust zijn van een reeks aspecten.

    Nadat een scan is gepland, verandert het serienummer.

    Op dit punt is het testbeleid niet voorzien van geplande scans.

    Policy Serial NumberSerienummer beleid

    Als u een Scannen wilt plannen, klikt u op Bewerken.

    Naar navigeren Advanced Settings > Scheduled Scans.

    Advanced SettingsGeavanceerde instellingen

    Klik op New (Nieuw).

    New Scan ConfigurationNieuwe scanconfiguratie

    De opties zijn:

    • Scaninterval
    • Scantijd
    • Scantype

    Klik op Toevoegen nadat u de scan hebt geconfigureerd.

    Scheduled Scan ConfigurationGeplande scanconfiguratie

    Sla uw beleidswijzigingen op. Er verschijnt een pop-up die uw wijzigingen bevestigt.

    Pop-Uppop-up

    Serial Number changeWijziging serienummer

    Serial Number changeWijziging serienummer












    De scan is ingesteld in het beleid, in dit voorbeeld worden twee scans geconfigureerd, een Flash scan en een Full Scan.

    Policy XMLBeleids-XML

    Ze worden toegevoegd aan een Scheduler in HistoryDB. De tekens naast de <geplande>tag zijn de proces-ID (PID) die de scan identificeert.


    Process IDProces-ID

    Zoals in de afbeelding, wordt deze wachtrij geplaatst.

    Scan QueuedScanwachtrij

    U kunt in de logboeken zoeken naar de scan en u kunt zien of de scan nu kan worden uitgevoerd of niet. Als dit kan, wordt de scan uitgevoerd.

    Scan can ExecuteScannen kan uitvoeren



    U kunt zien dat de opties voor de scan worden geladen en in het ScanInitiator-proces wordt gevraagd om te beginnen met scannen.


    Process starts the Scan




    Vervolgens wordt de processcan::ScanThreadProcess gestart met de scan.


    Type of Scan id Flash

    Net als bij eerdere evenementen moet het worden gepubliceerd in de CSE-cloud. De logboeken kunnen u vertellen het type van Scannen, dat in dit geval Flash is.


    Publish Event of Scheduled ScanGebeurtenis tijdens gepland scannen publiceren

    U kunt navigeren naar Event Viewer > App and Services Registries.

    Application and Services LogsLogboeken voor toepassingen en services


    Zoek naar Cisco Secure Endpoint en open Cloud en Events. Elk tabblad geeft je een andere weergave.

    Gebeurtenissen:


    Event ViewGebeurtenisweergave

    Cloud:

    Cloud ViewCloudweergave

    Als de scan is voltooid, kunt u de gebeurtenis zien die wordt gepubliceerd in de cloud.


    Scan Finish PublishScannen Voltooien publiceren


    Geplande volledige scan


    In de Windows-gebeurtenisviewer wordt Event Scan gestart, zoals in de afbeelding wordt getoond.

    Event Scan Started







    Als het klaar is, kun je het gepubliceerde evenement vergelijken.


    Compare the Published Event

    U kunt dit zien in de gebeurtenisviewer vanuit Windows.

    Event ViewerEvent Viewer






    Andere scans

    Wanneer het gaat om aangepaste of rootkit scans, het belangrijkste verschil zoals u hebt opgemerkt is het Scantype in de Event viewer of in de logboeken.

    Problemen oplossen

    Als er geen schema-scan wordt uitgevoerd:

    • Zorg ervoor dat het eindpunt beschikbaar is op het moment dat de scan bedoeld is voor te komen.
    • Zorg ervoor dat de Scannen is gepland in het beleid. Als u deze niet ziet, activeert u een Policy Sync.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    06-Apr-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Uriel Tadeo Montero Casas
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten