Configurar e gerenciar exclusões no Cisco Secure Endpoint Connector

Opções de download

  • PDF     (911.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (839.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (545.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de junho de 2023
ID do documento:215418

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como criar a exclusão para os diferentes mecanismos no console do Cisco Secure Endpoint.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modificar e aplicar uma lista de exclusão a uma política no console do Secure Endpoint
    • convenção CSIDL do Windows

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Console Cisco Secure Endpoint 5.4.20211013
    • Guia do usuário do Secure Endpoint revisão 15 de outubro de 2021

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Fluxo de trabalho de endpoint seguro

    Em um alto nível de operações, o Cisco Secure Endpoint processa um arquivo Secure Hash Algorithm (SHA) nesta ordem através dos principais componentes do conector:

    • Exclusões
    • Mecanismo Tetra
    • Controle de aplicativos (Lista de permissões/Lista de bloqueio)
    • Mecanismo SHA
    • Prevenção de exploração (Exprev) / Proteção contra atividades mal-intencionadas (MAP) / Proteção de processos do sistema / Mecanismo de rede (Correlação de fluxo de dispositivos)

    Observação: a exclusão ou a criação de Permitir/Bloquear lista depende de qual mecanismo detectou o arquivo.

    Exclusões Mantidas da Cisco

    As Exclusões Mantidas pela Cisco são criadas e mantidas pela Cisco para fornecer melhor compatibilidade entre o Secure Endpoint Connector e o antivírus, e produtos de segurança ou outros softwares.

    Esses conjuntos de exclusões contêm diferentes tipos de exclusões para garantir o funcionamento adequado.

    Você pode acompanhar as alterações executadas nessas exclusões no artigo Cisco-Mainheld Exclusion List Changes for Cisco Secure Endpoint Console.

    Exclusões personalizadas

    Mecanismo de endpoint seguro

    Verificação de arquivos (uso da CPU / detecções de arquivos) pelo mecanismo Tetra & SHA:

    Use esses tipos de exclusões para evitar a detecção/quarentena de um arquivo ou para mitigar a alta utilização da CPU do Secure Endpoint.

    O evento no console do Secure Endpoint é como mostrado na imagem.

    1 amp engine

    Observação: o CSIDL pode ser usado para exclusões. Consulte este documento da Microsoft para obter mais informações sobre o CSIDL.

    Exclusão de Caminho

    2 path

    Exclusão de Curinga

    3 wildcard

    Observação: a opção Apply to all drive letters é usada para aplicar também a exclusão a unidades [A-Z] conectadas ao sistema.

    Exclusão de Extensão de Arquivo

    File_extension_exclusion

    Cuidado: use esse tipo de exclusão com cuidado, pois ele exclui todos os arquivos com a extensão de arquivo das varreduras, independentemente do local do caminho.

    Processo: Exclusão de Verificação de Arquivo

    5 file scan

    Proteção de processos do sistema (SPP)

    O mecanismo System Process Protection está disponível no conector versão 6.0.5 e protege os próximos processos do Windows:

    • Subsistema do Gerenciador de Sessões (smss.exe)
    • Subsistema de Tempo de Execução Cliente/Servidor (csrss.exe)
    • Subsistema de autoridade de segurança local (lsass.exe)
    • Aplicativo de Logon do Windows (winlogon.exe)
    • Aplicativo de Inicialização do Windows (wininit.exe)

    Esta imagem mostra um evento SPP.

    Systemp_Process_event_W

    Exclusão SPP

    System_Process_exclusion_1

    System_process_exclusion_2

    Proteção contra atividades mal-intencionadas (MAP)

    Mecanismo de proteção contra atividades mal-intencionadas (MAP), defende seu endpoint contra um ataque de ransomware. Ele identifica ações ou processos mal-intencionados quando são executados e protege seus dados contra criptografia.

    Um evento MAP é mostrado nesta imagem.

    Malicious_activity_W

    Exclusão de MAP

    MAP_exclusion

    Cuidado: use esse tipo de exclusão com cuidado e depois de confirmar que a detecção realmente não é mal-intencionada.

    Prevenção de exploração (Exprev)

    O mecanismo de prevenção de exploração defende seus endpoints contra ataques de injeção de memória comumente usados por malware e outros ataques de dia zero em software sem patches
    vulnerabilidades. Ao detectar um ataque contra um processo protegido, ele será bloqueado e gerará um evento, mas não haverá uma quarentena.

    Um evento Exprev é mostrado nesta imagem.

    Screenshot 2023-06-07 123347

    Exclusão de Exprev

    Exprev-exclusion

    Cuidado: use esta exclusão sempre que confiar na atividade no módulo/aplicativo afetado. 

    Proteção comportamental (BP)

    O mecanismo de proteção comportamental aprimora a capacidade de detectar e interromper ameaças de forma comportamental. Ele aumenta a capacidade de detectar ataques "vivendo fora da terra" e oferece
    resposta mais rápida às mudanças no cenário de ameaças por meio de atualizações de assinaturas.

    Um evento BP é mostrado nesta imagem.

    BP.event

    Exclusão BP

    BP.exclusion

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    08-Jun-2023
    Adicionadas as exclusões Exprev e BP.
    1.0
    21-Apr-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Luis Velazquez
      Engenheiro do Cisco TAC
    • Jorge Navarrete
      Engenheiro do Cisco TAC
    • Editado por Yeraldin Sanchez
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos