面向终端的AMP控制台和上次查看的过滤器
简介
本文档介绍终端高级恶意软件防护(AMP)中引用的CSCvh31177的“上次看到”过滤器漏洞的说明。
作者:思科工程师Caly Hess。
先决条件
要求
Cisco 建议您了解以下主题:
-
访问面向终端的思科AMP控制面板
使用的组件
本文档中的信息基于以下软件:
- 面向终端的思科AMP面向终端的终端控制台版本5.4.20190917
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
问题
控制台上计算机页面中“上次显示”的过滤器显示过去24小时内显示在列表中的连接器。
原因
“上次查看”数据的当前拉动是每24小时一次的工作。尽管“计算机”页面中反映的数据和“最后看到”的导出为CSV输出是实时的,但过滤器本身会从该单个作业中运行批处理数据。这是为了提高结果的速度,因为实时分析大型企业环境的时间戳可能会导致超时和数据库锁定。
7天以上过滤器中“最近见到”计算机的说明
计算机脱机7天以上,直到运行“上次查看”作业。
实际示例
- HostA.randomain.net在8月10日发生了一起不幸的事故,一个满咖啡杯,主板未完全恢复
- HostA.randomomain.net现在位于维修站,直到9月20日
- 9月21日,HostA.randomain.net在“上次查看”作业运行4小时后返回网络,但在审计员执行过去30天未看到的计算机的CSV导出操作2小时后返回网络
- HostA.randomain.net仍从“上次查看”作业中列出为超过30天未查看。尽管现在它功能齐全,无咖啡,但审计人员现在在“非活跃”出口中发现了它
短期解决方案
为了提高筛选器的准确性,正在开发上一个完成后的自动重新计划。
长期解决方案
“上次查看时间”机制的全部返工,在提取数据时更接近实时。此解决方案需要实施一个全新的数据库结构,该结构目前正在开发中,建议在下一日历年发布。
反馈