Revisar verificações do Windows do Secure Endpoint (CSE)

Opções de download

  • PDF     (1.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.6 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de abril de 2023
ID do documento:220362

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.


    Introdução

    Este documento descreve os diferentes tipos de varreduras de um conector do Windows.

    Pré-requisitos

    Os pré-requisitos para este documento são:

    • Ponto de Extremidade do Windows
    • Secure Endpoint (CSE) versão v.8.0.1.21164 ou posterior
    • Acesso ao console de endpoint seguro

    Requisitos

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Console de endpoint seguro
    • Ponto de Extremidade do Windows 10
    • Secure Endpoint versão v.8.0.1.21164

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    As varreduras foram testadas em um ambiente de laboratório com a Política definida para depuração.
    A varredura flash na instalação foi ativada por meio de download do Connector.
    As varreduras foram executadas na GUI do Secure Client e no Agendador.

    Verificação completa

    Esse registro demonstra quando uma verificação completa é solicitada na interface gráfica do usuário (GUI) do CSE.

    Scan from User InterfaceDigitalizar a partir da interface do usuário

    Aqui, o processo ScanInitiator inicia o processo Scan.

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    Você pode ver que Varredura completa é o tipo de Varredura acionada na GUI, como mostrado na imagem.

    Em seguida, você tem o Identificador de Segurança (SID), que é um valor de tamanho variável atribuído a esse evento específico, esse Identificador de Segurança ajuda a controlar a varredura nos logs.

    Publish EventPublicar evento

    Você pode fazer a correspondência disso com o evento no console do CSE.

    Console EventEvento de console







    Em seguida, nos logs, você pode ver isso:

    Publish SucceededPublicação Bem-sucedida



    Isso significa que o evento foi publicado com êxito no CSE Cloud.

    Em seguida, a próxima ação é, na verdade, executar a varredura:


    Scan StartInício da varredura




    Como você pode observar, o SID é o mesmo, então você está sob o fluxo do SID 1407343.


    Estas são as etapas que o conector executa quando uma ameaça é detectada durante a Varredura.

    Etapa 1. O conector informa o arquivo que causou a detecção. Neste exemplo, ele é causado pelo Hacksantana Trainer GLS.

    File DetectedArquivo detectado




    Etapa 2. O evento é publicado no console do CSE com o nome da detecção de ameaças e o caminho onde é encontrado.

    Detection NameNome da detecção





    Threat Event PublishPublicação de evento de ameaça


    Após a conclusão da varredura, você pode dar uma olhada no Visualizador de eventos para obter um resumo da varredura.

    Event ViewerVisualizador de eventos

    Verificação em Flash

    As varreduras em flash são rápidas e levam de segundos a minutos para serem concluídas.
    Neste exemplo, você pode ver quando a Varredura é iniciada e, como anteriormente, um SID é fornecido, desta vez, com um valor de 2458015.


    Flash Scan StartInício da varredura flash

    A próxima ação é publicar o evento na nuvem do CSE.


    Publish to CSE Cloud


    Quando a Varredura é concluída, o Evento é publicado na nuvem.


    Scan Finish PublishVerificação Concluir Publicação

    O evento pode ser visto no Visualizador de Eventos do Windows. Como você pode observar, as informações são as mesmas apresentadas nos logs.

    JSON EventEvento JSON



    Varreduras programadas


    Quando se trata de varreduras programadas, você deve estar ciente de um conjunto de aspectos.

    Depois que uma varredura é programada, ocorre uma alteração no número de série.

    Aqui, a política de teste não tem nenhuma varredura programada.

    Policy Serial NumberNúmero de série da política

    Para agendar uma Varredura, clique em Editar.

    Navegue até Advanced Settings > Scheduled Scans.

    Advanced SettingsConfigurações avançadas

    Clique em New.

    New Scan ConfigurationNova Configuração de Verificação

    As opções são:

    • Intervalo de verificação
    • Tempo de Verificação
    • Tipo de Verificação

    Depois de configurar a Varredura, clique em Adicionar.

    Scheduled Scan ConfigurationConfiguração da varredura programada

    Salve suas alterações de política, uma janela pop-up será exibida confirmando suas alterações.

    Pop-UpPop-up

    Serial Number changeAlteração do número de série

    Serial Number changeAlteração do número de série












    A varredura é configurada na Política, neste exemplo, duas varreduras são configuradas, uma varredura Flash e uma Varredura completa.

    Policy XMLXML de política

    Eles são adicionados a um Agendador no HistoryDB. Os caracteres ao lado da marca <schedule> são o ID do processo (PID) que identifica a verificação.


    Process IDID de Processo

    Como mostrado na imagem, ele está na fila.

    Scan QueuedVerificação na Fila

    Você pode pesquisar nos registros a varredura e observar se ela pode ser executada agora ou não. Se puder, a varredura será executada.

    Scan can ExecuteA varredura pode ser executada



    Você pode ver que as opções para a varredura são carregadas e o processo ScanInitiator solicita que a varredura seja iniciada.


    Process starts the Scan




    Em seguida, o Processo Scan::ScanThreadProcess inicia a Varredura.


    Type of Scan id Flash

    Semelhante aos eventos anteriores, ele precisa ser publicado na nuvem do CSE. Os registros podem informar o tipo de varredura, que, nesse caso, é Flash.


    Publish Event of Scheduled ScanPublicar evento de verificação agendada

    Você pode navegar até Event Viewer > App and Services Registries.

    Application and Services LogsLogs de aplicativos e serviços


    Procure o Cisco Secure Endpoint e abra a nuvem e os eventos. Cada guia oferece uma exibição diferente.

    Eventos:


    Event ViewExibição de Evento

    Nuvem:

    Cloud ViewExibição em nuvem

    Quando a verificação for concluída, você poderá ver o evento publicado na nuvem.


    Scan Finish PublishVerificação Concluir Publicação


    Verificação completa agendada


    O visualizador de eventos do Windows mostra Event Scan Started, como mostrado na imagem.

    Event Scan Started







    Quando terminar, você poderá comparar o evento publicado.


    Compare the Published Event

    Você pode ver isso no visualizador de eventos do Windows.

    Event ViewerVisualizador de Eventos






    Outras varreduras

    Quando se trata de varreduras personalizadas ou de rootkit, a principal diferença observada é o Tipo de varredura no Visualizador de eventos ou nos registros.

    Troubleshooting

    Quando uma Varredura programada não ocorrer:

    • Certifique-se de que o endpoint esteja disponível no momento em que a Varredura deve ocorrer.
    • Certifique-se de que a varredura esteja programada na Política. Se você não o vir, acione uma Sincronização de política.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    06-Apr-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Uriel Tadeo Montero Casas
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos