簡介
本文檔介紹網路安全裝置(WSA)的高級惡意軟體防護(AMP)引擎的資訊和調試日誌級別中的ampverdict部分。
必要條件
需求
思科建議您瞭解以下主題:
- 已安裝WSA
- 已啟用檔案信譽和檔案分析
- 高級惡意軟體防護
- 思科安全網路裝置
- SSH客戶端
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
WSA提供與面向終端的AMP和本地AMP引擎的整合。AMP透過檔案信譽和檔案分析功能提供針對零日惡意軟體的惡意軟體防護。WSA包括一個預分類引擎,該引擎在內部負責公共雲檢查之前的檔案掃描。下一部分中描述的日誌與WSA上的AMP引擎有關,而與AMP雲或Threat Grid無關。
排除WSA AMP日誌故障
訪問AMP日誌。透過CLI登入並跟蹤或grep amp日誌:
1. 透過SSH客戶端登入到CLI。
2. 鍵入命令grep並按Enter鍵。
3. 輸入訂購的amp_logs編號。
4. 回答以下選項(如果運行即時流量,則選擇跟蹤日誌的選項)。
5. 按Enter鍵。
6. 顯示日誌。
WSA AMP日誌存在於不同的資訊級別中,您可以選擇INFO級別或DEBUG結果,這些結果在下一部分中會有細微差異。
注意:需要在WSA上安裝AMP許可證才能選擇AMP日誌。
AMP INFO級別日誌:
Wed Apr 27 12:21:26 2022 Info: Txn 18210 Binary scan on instance[0] Id[1345]: AMP allocated memory = 0, AMP used memory = 0, Scans in flight = 1, Active faster connections = 1, Active slower connections = 0
Wed Apr 27 12:21:35 2022 Info: Binary scan on instance[0] id[1345]: filename[npp.8.4.Installer.x64.exe] filemime[application/x-dosexec] file_extension[exe] length[4493047b] ampverdict[(1, 1, 'amp', '', 0, 0, True)] scanverdict[0] malwareverdict[0] spyname[] SHA256[ecdcf497418a1988ebf20c647acadc9eca7bc8569fd980713582acd0de011ba1] From[Cloud] uploadreason[Enqueued in the local queue for submission to upload] verdict_str[FILE UNKNOWN] is_slow[0] scans_in_flight[0] Active faster connections[0] Active slower connections[0]
Wed Apr 27 12:22:28 2022 Info: File uploaded for analysis. Server: https://panacea.threatgrid.com, SHA256: ecdcf497418a1988ebf20c647acadc9eca7bc8569fd980713582acd0de011ba1, Filename: npp.8.4.Installer.x64.exeTimestamp: 1651044116 sampleid[]
AMP INFO層級記錄(AMPVERDICT):
ampverdict[(1, 1, 'amp', '', 0, 0, True)]
(analysis_Action, scan_verdict, ‘verdict_source', ‘spyname’, malware_verdict, file_reputation, upload_action)]
AMP調試級別日誌:
Fri Apr 29 01:38:40 2022 Debug: Binary scan: proxid[3951] filename[favicon.ico] len[41566b] readtime[109.721680ms] scantime[2.205322ms] ampverdict[(1, 1, 'amp', '', 0, 0, False)] scanverdict[0] malwareverdict[0] SHA256[e7a2345c75a03e63202b12301c29bb8b6bae7cef9e191ed58797ec028def7c4f] From[Cloud] FileName[favicon.ico] FileMime[application/octet-stream]
AMP調試級別日誌(AMPVERDICT):
ampverdict[(1, 1, 'amp', '', 0, 0, False)]
ampverdict[(analysis_action, scan_verdict,disposition, ‘spyname: policy name if amp registered with console’, file_reputation, upload_action, ‘sha256', ‘threat_name’)]
詳細欄位與值選項:
| 欄位 |
價值 |
| 分析_操作 |
「0」表示高級惡意軟體防護未請求上傳檔案進行分析 「1」表示高級惡意軟體防護請求上傳檔案進行分析 |
| Scan_verdict |
0:檔案不是惡意的
1:由於檔案型別的原因,未掃描該檔案
2:檔案掃描超時
3:掃描錯誤
大於3:檔案是惡意的 |
| Verdict_source |
amp:檔案分析 |
| 處置 |
1:未知
2:清除
3:惡意(amp)
4:無法掃描(無法掃描) |
| Spyname |
空白:如果未使用AMP爆發策略
Simple_Custom_Detection:如果使用AMP爆發策略 |
| 上傳_操作 |
True:檔案設為沙箱
False:檔案未傳送至安全執行程式 |
| Sha256 |
SHA256 |
| 威脅名稱 |
基於AMP威脅型別的威脅名稱 |
相關資訊
意見