簡介
本文檔介紹Windows聯結器的不同掃描型別。
必要條件
本檔案的前提條件如下:
- Windows終結點
- 安全終結點(CSE)版本8.0.1.0或21164高版本
- 對安全終端控制檯的訪問
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 安全終端主控台
- Windows 10終結點
- 安全終結點版本8.0.1.21164
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在策略設定為debug的實驗室環境中測試了掃描。
已通過聯結器下載啟用安裝時的快閃記憶體掃描。
掃描是從安全客戶端GUI和計畫程式執行的。
完全掃描
此日誌演示何時從CSE圖形使用者介面(GUI)請求完全掃描。
從使用者介面掃描
此處,ScanInitiator進程將開始掃描進程。
(1407343, +0 ms) Aug 23 18:06:01 [9568]: ScanInitiator::RequestScan: Attempting to start scan: dConnected: TRUE, FileName: , Options: 0, PID: 0, Type: 5
您可以看到,Full Scan是GUI上觸發的掃描型別,如下圖所示。
接下來,您將具有安全識別符號(SID),這是一個指定給此特定事件的長度可變的值,此安全識別符號可幫助您跟蹤日誌中的掃描。
發佈事件
您可以將此項與CSE控制檯中的事件進行匹配。
控制檯事件
接下來,在日誌中,您可以看到以下內容:
發佈成功
這表示事件已成功發佈到CSE雲。
接下來,下一步是實際執行掃描:
掃描開始
您可以注意到,SID是相同的,因此您處於SID流的1407343下。
這些是在掃描期間檢測到威脅時聯結器執行的步驟。
步驟 1.聯結器會告訴您導致檢測的檔案,在本示例中,該檢測是由Hacksantana Trainer GLS引起的。
檢測到檔案
步驟 2.該事件將發佈到CSE控制檯,其中包含威脅檢測名稱和發現該事件的路徑。
檢測名稱
威脅事件發佈
掃描完成後,您可以檢視「事件檢視器」,瞭解掃描的摘要。
事件檢視器
Flash掃描
快閃記憶體掃描速度很快,需要幾秒鐘到幾分鐘才能完成。
在此示例中,您可以看到掃描何時開始,並且與前面一樣,這次給定了SID,其值為2458015。
Flash掃描開始
下一步操作是將事件發佈到CSE雲。
![Publish to CSE Cloud](/c/dam/en/us/support/docs/security/secure-endpoint/220362-review-secure-endpoint-cse-windows-sca-10.png)
掃描完成後,事件將發佈到雲。
掃描完成發佈
可在Windows事件檢視器中看到該事件。您可以發現,該資訊與日誌中顯示的資訊相同。
JSON事件
計畫的掃描
當涉及到預設掃描時,您必須瞭解一系列方面。
安排掃描後,序列號將發生變化。
在這裡,測試策略沒有任何計畫的掃描。
策略序列號
如果要安排掃描,請按一下編輯。
導航至 Advanced Settings > Scheduled Scans.
高級設定
按一下「New」。
新掃描配置
選項包括:
配置掃描後,按一下Add。
計畫掃描配置
儲存策略更改,系統將顯示一個彈出視窗,確認您的更改。
快顯視窗
序列號更改
序列號更改
掃描在「策略」中配置,在本示例中,兩個掃描是已配置的掃描,一個是快閃記憶體掃描,另一個是完全掃描。
策略XML
它們被新增到HistoryDB中的排程程式。<scheduled>標籤旁邊的字元是標識掃描的進程ID(PID)。
進程ID
如圖所示,它會排隊。
掃描已排隊
您可以在日誌中搜尋掃描,並注意掃描是否可以立即運行。如果可以,則執行掃描。
可以執行掃描
您可以看到已載入掃描的選項,並且ScanInitiator進程請求開始掃描。
![Process starts the Scan](/c/dam/en/us/support/docs/security/secure-endpoint/220362-review-secure-endpoint-cse-windows-sca-24.png)
然後,Process Scan::ScanThreadProcess將啟動掃描。
![Type of Scan id Flash](/c/dam/en/us/support/docs/security/secure-endpoint/220362-review-secure-endpoint-cse-windows-sca-25.png)
與先前的事件類似,需要在CSE雲中發佈該事件。日誌可以告訴您掃描的型別,在本例中為Flash。
發佈計畫掃描事件
您可以導航至 Event Viewer > App and Services Registries.
應用和服務日誌
搜尋思科安全終端,並開啟雲和事件。每個頁籤都為您提供不同的檢視。
活動:
事件檢視
雲:
雲端檢視
掃描完成後,您可以看到發佈到雲中的事件。
掃描完成發佈
計畫的完全掃描
Windows事件檢視器顯示「Event Scan Started」,如下圖所示。
![Event Scan Started](/c/dam/en/us/support/docs/security/secure-endpoint/220362-review-secure-endpoint-cse-windows-sca-31.png)
完成後,您可以比較已發佈的事件。
![Compare the Published Event](/c/dam/en/us/support/docs/security/secure-endpoint/220362-review-secure-endpoint-cse-windows-sca-32.png)
您可以在Windows的事件檢視器中看到這一點。
事件檢視器
其他掃描
說到自定義掃描或rootkit掃描,您注意到的主要區別是事件檢視器或日誌中的掃描型別。
疑難排解
計畫掃描未發生時:
- 確保端點在掃描發生時可用。
- 確保在策略中安排了掃描。如果您沒有看到它,則觸發策略同步。