自動操作 — 調查分析快照

下載選項

PDF (2.3 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (2.3 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.5 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2021 年 10 月 15 日

文件 ID:217463

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹了安全終端中的自動操作功能與危害概唸緊密相關。瞭解危害的生命週期和管理對於理解自動化操作的功能至關重要。本文回答有關這些概念的術語和功能的問題。

常見問題

什麼是受損的機器？

受危害的電腦是與其關聯的活動危害的終結點。根據設計，受危害的電腦一次只能有一個危害處於活動狀態。

什麼是妥協？

危害是在電腦上一個或多個檢測的集合。大多數檢測事件（檢測到的威脅、危害表現等）可能會生成危害或與之關聯。但是，有成對的事件可能不會觸發新的危害。例如，當「檢測到威脅」事件發生，但發生相關威脅隔離事件後不久，不會觸發新的危害。從邏輯上講，這是因為安全端點已處理了潛在的危害（我們隔離了威脅）。

在受侵害的電腦上發生新檢測時，會發生什麼情況？

檢測事件會新增到現有危害中。不建立任何新的危害。

在哪裡可以檢視和管理折衷方案？

在安全終端控制檯的「收件箱」頁籤(北美雲為https://console.amp.cisco.com/compromises)中管理危害。受危害的電腦列在需要注意部分下，可以按Mark Resolved清除其危害。此外，在一個月後將自動清除危害行為。

如何觸發自動操作*?

在遭受危害時（即非受損電腦成為受損電腦）觸發自動操作。如果已經受損的電腦遇到新檢測，該檢測將被新增到危害中，但由於這不是新危害，因此不會觸發自動操作。

如何重新觸發自動操作？

在嘗試重新觸發自動操作之前，必須「清除」危害。請記住，檢測到的威脅+隔離威脅事件不足以生成新的危害事件（因此不足以觸發新的自動化操作）。

*異常：「向ThreatGrid提交檔案」自動操作與危害無關，並且根據檢測運行

#1:如我們在FAQ部分中所述。只有在「洩露」的情況下才拍攝調查快照。換句話說，如果我們嘗試從TEST站點訪問和下載惡意檔案，並且該檔案在下載時被標籤並被隔離，這不會被視為危害並且不會觸發操作。

附註：DFC檢測、隔離失敗以及邏輯上屬於危害事件類別的所有內容都應建立取證快照。

#2:您只能對唯一的受感染事件生成一次調查快照，除非您在收件箱中解析受感染電腦，否則不會生成快照。如果不解決受損事件，則不會生成任何其他快照。

範例：在本實驗中，指令碼會生成惡意活動，而且由於檔案在建立後即被刪除，安全終結點無法隔離該檔案，因此該檔案屬於危害類別。

在此測試中，您可以檢視自動操作下的內容以及基於設定發生的3件事。

已建立快照
提交內容已傳送到Threat Grid(TG)
端點被移動到已建立並稱為ISOLATION的獨立組

您可以在此輸出中看到所有這些內容，如下圖所示。

現在，由於此端點受到危害，下一步測試將用類似的惡意檔案使用不同的名稱來證明該理論，如下圖所示。

但是，由於未解決此危害，因此您只能建立TG提交。未記錄其他事件，也在此第2次測試之前關^閉隔離。

附註：請注意檢測到威脅並觸發自動操作的時間。

除非已解析損壞的終結點，否則無法重試事件。在這種情況下，儀表板如下所示。請注意百分比和「標籤已解決」按鈕以及受危害事件。無論觸發多少個事件，您都只能建立一個快照，並且大百分比的數字始終不變。該數字表示組織內部的危害，它基於組織中的終端總數。它只能用另一台受損的機器來改變。在本例中，由於實驗中只有16台裝置，因此該數字很高。另請注意，危害事件在達到31天時會自動清除。