自动操作 — 取证快照

下载选项

PDF (2.2 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.3 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.5 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2021 年 10 月 15 日

文档 ID:217463

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍安全终端中的自动操作功能与危害的概念有关。了解危害的生命周期和管理对于理解自动化操作的功能至关重要。本文回答有关这些概念的术语和功能的问题。

常见问题

什么是受危害的机器？

受感染的计算机是与其关联的活动危害的终端。按照设计，受感染的机器一次只能激活一个危害。

什么是妥协？

危害是计算机上一个或多个检测的集合。大多数检测事件（检测到威胁、危害表现等）都可以生成或与危害关联。但是，有对事件可能不会触发新的危害。例如，当检测到威胁事件发生，但在其发生关联的威胁隔离事件后不久，这不会触发新的危害。从逻辑上讲，这是因为安全终端已处理了潜在危害（我们隔离了威胁）。

在受感染的计算机上发生新检测时会发生什么情况？

检测事件将添加到现有危害。未创建新危害。

我在哪里可以看到和管理危害？

危害在安全终端控制台的“收件箱”(Inbox)选项卡中进行管理(北美云为https://console.amp.cisco.com/compromises)。受损计算机列在“需要注意”部分下，可通过按“已解决标记”来清除其危害。此外，一个月后，威胁会自动消除。

如何触发自动操作*?

在危害（即未受危害的机器成为受危害的机器时）触发自动操作。如果已受损的计算机遇到新检测，则此检测会添加到危害中，但由于这不是新的危害，因此不会触发自动操作。

如何重新触发自动操作？

在尝试重新触发自动操作之前，必须“清除”危害。请记住，Threat Detected + Threat Quarantined事件不足以生成新的危害事件（因此不足以触发新的自动操作）。

*异常：“向ThreatGrid提交文件”自动操作与危害无关，并运行每次检测

#1:正如我们在常见问题部分中所述。调查分析快照仅在“危害”时拍摄。换句话说，如果我们尝试从TEST站点访问和下载恶意文件，并且下载时会标记该文件并将其隔离，而不被视为危害，并且不会触发操作。

注意：DFC检测、隔离故障以及几乎任何逻辑属于危害事件类别的内容都应创建取证快照。

#2:只能在唯一受危害事件上生成一次取证快照，它不会生成快照，除非您在收件箱中解析受危害的计算机。如果不解决受危害事件，则不生成任何其他快照。

示例：在本实验中，脚本会生成恶意活动，并且因为文件一旦创建即被删除，并且安全终端无法隔离其属于危害类别的文件。

在本测试中，您可以根据设置查看自动操作和发生的3件事。

已创建快照
提交文件已发送到Threat Grid(TG)
终端已移至创建并称为ISOLATION的单独组

您可以在此输出中看到所有这些，如图所示。

现在，由于此终端已受到危害，下一次测试将用类似的恶意文件证明该理论，但名称不同，如图所示。

但是，由于此危害未解决，您只能创建TG提交。没有记录其他事件，也在此第2次测试之前关闭^隔离。

注意：请注意检测到威胁并触发自动操作的时间。

除非已解决受危害的终端，否则无法检索事件。在本例中，控制面板如下所示。请注意百分比和“标记已解决”按钮以及受危害事件。无论触发了多少个事件，您只能创建一个快照，且大百分比数量从未更改。该数字表示您组织内部的危害，并且取决于您组织中终端的总数量。它仅与另一台受危害的计算机一起更改。在本例中，由于实验中只有16台设备，因此该数字很高。另请注意，危害事件在达到31天时自动清除。