查看安全终端(CSE)Windows扫描

下载选项

  • PDF     (1.9 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.3 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 4 月 6 日
文档 ID:220362

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。


    简介

    本文档介绍Windows连接器的不同扫描类型。

    先决条件

    本文档的前提条件如下:

    • Windows终结点
    • 安全终端(CSE)版本v.8.0.1.21164或更高版本
    • 访问安全终端控制台

    要求

    本文档没有任何特定的要求。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 安全终端控制台
    • Windows 10终端
    • 安全终端版本8.0.1.21164

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    扫描是在策略设置为debug的实验室环境中测试的。
    安装时闪存扫描已通过连接器下载启用。
    扫描是从安全客户端GUI和计划程序执行的。

    完全扫描

    此日志演示何时从CSE图形用户界面(GUI)请求完全扫描。

    Scan from User Interface从用户界面扫描

    此处,ScanInitiator进程开始扫描进程。

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    您可以看到Full Scan是GUI上触发的扫描类型,如图所示。

    接下来,您有安全标识符(SID),它是分配给此特定事件的可变长度值,此安全标识符可帮助您跟踪日志中的扫描。

    Publish Event发布事件

    您可以通过CSE控制台将此事件与事件进行匹配。

    Console Event控制台事件







    接下来,在日志中,您可以看到以下内容:

    Publish Succeeded发布成功



    这意味着事件已成功发布到CSE云。

    然后,下一步操作实际上是执行扫描:


    Scan Start扫描开始




    您可以看到,SID是相同的,因此您处于SID流下1407343。


    以下是扫描期间检测到威胁时连接器执行的步骤。

    步骤1:连接器将告诉您导致检测的文件,在本示例中,该检测是由Hacksantana Trainer GLS导致的

    File Detected检测到文件




    第二步:事件将发布到CSE控制台,其中包含威胁检测名称和发现该事件的路径。

    Detection Name检测名称





    Threat Event Publish威胁事件发布


    扫描完成后,您可以查看“事件查看器”,了解扫描的摘要。

    Event Viewer事件查看器

    Flash扫描

    闪存扫描速度很快,需要几秒到几分钟才能完成。
    在此示例中,您可以看到扫描何时开始,并且与之前一样,这次指定了一个SID,其值为2458015。


    Flash Scan StartFlash扫描开始

    下一步操作是将事件发布到CSE云。


    Publish to CSE Cloud


    扫描完成后,事件将发布到云。


    Scan Finish Publish扫描完成发布

    可以在Windows事件查看器中看到该事件。您会发现,该信息与日志中显示的信息相同。

    JSON EventJSON事件



    计划扫描


    当涉及到计划扫描时,您必须了解一系列方面。

    安排扫描后,序列号将发生变化。

    此处,测试策略没有任何计划扫描。

    Policy Serial Number策略序列号

    如果要安排扫描,请点击编辑。

    导航至 Advanced Settings > Scheduled Scans.

    Advanced Settings高级设置

    单击 New。

    New Scan Configuration新扫描配置

    选项有:

    • 扫描间隔
    • 扫描时间
    • 扫描类型

    配置扫描后,单击Add

    Scheduled Scan Configuration计划扫描配置

    保存策略更改,系统将显示一个弹出窗口,确认您的更改。

    Pop-Up弹出窗口

    Serial Number change序列号更改

    Serial Number change序列号更改












    扫描在策略中配置,在本示例中,两个扫描是配置的扫描,一个是闪存扫描,另一个是完全扫描。

    Policy XML策略XML

    它们将添加到HistoryDB中的调度程序。<scheduled>标记旁的字符是标识扫描的进程ID(PID)。


    Process ID进程 ID

    如图所示,它会排队。

    Scan Queued扫描已排队

    您可以在日志中搜索扫描,并注意扫描是否可以立即运行。如果可以,则执行扫描。

    Scan can Execute可以执行扫描



    您可以看到已加载扫描的选项,并且ScanInitiator进程请求开始扫描。


    Process starts the Scan




    然后,Process Scan::ScanThreadProcess将启动扫描。


    Type of Scan id Flash

    与之前的活动相似,需要在CSE云中发布该报告。日志可以告诉您扫描的类型,在本例中为Flash


    Publish Event of Scheduled Scan发布计划扫描事件

    您可以导航至 Event Viewer > App and Services Registries.

    Application and Services Logs应用和服务日志


    搜索思科安全终端,并打开云和事件。每个选项卡都为您提供不同的视图。

    事件:


    Event View事件视图

    云:

    Cloud View云视图

    扫描完成后,您可以看到发布到云的事件。


    Scan Finish Publish扫描完成发布


    计划的完全扫描


    Windows事件查看器显示Event Scan Started,如图所示。

    Event Scan Started







    完成后,您可以比较已发布的事件。


    Compare the Published Event

    您可以在Windows的事件查看器中看到此消息。

    Event Viewer事件查看器






    其他扫描

    说到自定义扫描或rootkit扫描,您注意到的主要区别是事件查看器或日志中的扫描类型。

    故障排除

    计划扫描未发生时:

    • 确保端点在扫描发生时可用。
    • 确保在策略中安排了扫描。如果未看到它,则触发策略同步。

    修订历史记录

    版本 发布日期 备注
    1.0
    06-Apr-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 乌里埃尔·塔德奥·蒙特罗·卡萨斯
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品