檢視安全終結點(CSE)Windows掃描

下載選項

  • PDF     (1.9 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.3 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 4 月 6 日
文件 ID:220362

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。


    簡介

    本文檔介紹Windows聯結器的不同掃描型別。

    必要條件

    本檔案的前提條件如下:

    • Windows終結點
    • 安全終結點(CSE)版本8.0.1.0或21164高版本
    • 對安全終端控制檯的訪問

    需求

    本文件沒有特定需求。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 安全終端主控台
    • Windows 10終結點
    • 安全終結點版本8.0.1.21164

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    在策略設定為debug的實驗室環境中測試了掃描。
    已通過聯結器下載啟用安裝時的快閃記憶體掃描。
    掃描是從安全客戶端GUI和計畫程式執行的。

    完全掃描

    此日誌演示何時從CSE圖形使用者介面(GUI)請求完全掃描。

    Scan from User Interface從使用者介面掃描

    此處,ScanInitiator進程將開始掃描進程。

    (1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5

    您可以看到,Full Scan是GUI上觸發的掃描型別,如下圖所示。

    接下來,您將具有安全識別符號(SID),這是一個指定給此特定事件的長度可變的值,此安全識別符號可幫助您跟蹤日誌中的掃描。

    Publish Event發佈事件

    您可以將此項與CSE控制檯中的事件進行匹配。

    Console Event控制檯事件







    接下來,在日誌中,您可以看到以下內容:

    Publish Succeeded發佈成功



    這表示事件已成功發佈到CSE雲。

    接下來,下一步是實際執行掃描:


    Scan Start掃描開始




    您可以注意到,SID是相同的,因此您處於SID流的1407343


    這些是在掃描期間檢測到威脅時聯結器執行的步驟。

    步驟 1.聯結器會告訴您導致檢測的檔案,在本示例中,該檢測是由Hacksantana Trainer GLS引起的

    File Detected檢測到檔案




    步驟 2.該事件將發佈到CSE控制檯,其中包含威脅檢測名稱和發現該事件的路徑。

    Detection Name檢測名稱





    Threat Event Publish威脅事件發佈


    掃描完成後,您可以檢視「事件檢視器」,瞭解掃描的摘要。

    Event Viewer事件檢視器

    Flash掃描

    快閃記憶體掃描速度很快,需要幾秒鐘到幾分鐘才能完成。
    在此示例中,您可以看到掃描何時開始,並且與前面一樣,這次給定了SID,其值為2458015。


    Flash Scan StartFlash掃描開始

    下一步操作是將事件發佈到CSE雲。


    Publish to CSE Cloud


    掃描完成後,事件將發佈到雲。


    Scan Finish Publish掃描完成發佈

    可在Windows事件檢視器中看到該事件。您可以發現,該資訊與日誌中顯示的資訊相同。

    JSON EventJSON事件



    計畫的掃描


    當涉及到預設掃描時,您必須瞭解一系列方面。

    安排掃描後,序列號將發生變化。

    在這裡,測試策略沒有任何計畫的掃描。

    Policy Serial Number策略序列號

    如果要安排掃描,請按一下編輯。

    導航至 Advanced Settings > Scheduled Scans.

    Advanced Settings高級設定

    按一下「New」。

    New Scan Configuration新掃描配置

    選項包括:

    • 掃描間隔
    • 掃描時間
    • 掃描型別

    配置掃描後,按一下Add

    Scheduled Scan Configuration計畫掃描配置

    儲存策略更改,系統將顯示一個彈出視窗,確認您的更改。

    Pop-Up快顯視窗

    Serial Number change序列號更改

    Serial Number change序列號更改












    掃描在「策略」中配置,在本示例中,兩個掃描是已配置的掃描,一個是快閃記憶體掃描,另一個是完全掃描。

    Policy XML策略XML

    它們被新增到HistoryDB中的排程程式。<scheduled>標籤旁邊的字元是標識掃描的進程ID(PID)。


    Process ID進程ID

    如圖所示,它會排隊。

    Scan Queued掃描已排隊

    您可以在日誌中搜尋掃描,並注意掃描是否可以立即運行。如果可以,則執行掃描。

    Scan can Execute可以執行掃描



    您可以看到已載入掃描的選項,並且ScanInitiator進程請求開始掃描。


    Process starts the Scan




    然後,Process Scan::ScanThreadProcess將啟動掃描。


    Type of Scan id Flash

    與先前的事件類似,需要在CSE雲中發佈該事件。日誌可以告訴您掃描的型別,在本例中為Flash


    Publish Event of Scheduled Scan發佈計畫掃描事件

    您可以導航至 Event Viewer > App and Services Registries.

    Application and Services Logs應用和服務日誌


    搜尋思科安全終端,並開啟雲和事件。每個頁籤都為您提供不同的檢視。

    活動:


    Event View事件檢視

    雲:

    Cloud View雲端檢視

    掃描完成後,您可以看到發佈到雲中的事件。


    Scan Finish Publish掃描完成發佈


    計畫的完全掃描


    Windows事件檢視器顯示「Event Scan Started」,如下圖所示。

    Event Scan Started







    完成後,您可以比較已發佈的事件。


    Compare the Published Event

    您可以在Windows的事件檢視器中看到這一點。

    Event Viewer事件檢視器






    其他掃描

    說到自定義掃描或rootkit掃描,您注意到的主要區別是事件檢視器或日誌中的掃描型別。

    疑難排解

    計畫掃描未發生時:

    • 確保端點在掃描發生時可用。
    • 確保在策略中安排了掃描。如果您沒有看到它,則觸發策略同步。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    06-Apr-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Uriel Tadeo Montero Casas
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品