Guia de FireAMP às exclusões em Windows

Documentos relacionados
Cisco recomenda que você tem o conhecimento de como recolher logs do perfmon de CUCM.

A instalação e desinstalação do agente de usuário de Sourcefire

Cisco recomenda que você tem o conhecimento do console da nuvem de FireAMP, FireAMP para valores-limite, e o Produtos anti-vírus.

Determine a separação que é usada altamente. O comando seguinte mostra a utilização do disco:

Erro de conexão seguro da mobilidade de AnyConnect: O cliente VPN era incapaz de setup a filtração IP

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Este documento não se restringe a versões de software e hardware específicas.

Este documento descreve o procedimento para instalar o plug-in de Java múltiplo libera-se a fim alcançar o Cisco Transport Controller (CTC).

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

Introdução à Ciência da Computação ICC0001 Prof. Diego Buchinger

Pesquise defeitos edições laterais do cliente usando a ferramenta do perfilador da estação de trabalho no Gerenciador de vigilância por vídeo da Cisco

Guia do Administrador de Licenças de Usuários Autorizados do IBM SPSS Modeler IBM

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Configurar WMI no controlador do domínio do Windows para o CEM

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

Pesquise defeitos edição faltante dos seletores da velocidade no IPMA

Índice. Introdução. Pré-requisitos. Configurar. Requisitos. Componentes Utilizados. Etapa 1. Configuração básica MS SQL

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Índice. Introdução. Teste o ampère no ESA. Chaves de recurso. Serviços de segurança

As informações neste documento são baseadas nestas versões de software e hardware:

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

Este documento descreve o procedimento de upgrade e as etapas exigidos para a elevação do server do Cisco TelePresence (TS) a 4.3(1.

Adaptadores de cliente Wireless do Cisco Aironet e sistemas de Windows XP: Driveres e LEAP

Instalando e configurando Cisco IP SoftPhone no PC cliente

AVG DataCenter MSSQL (AVGAdmin 7.1)

Instale uma chave da liberação VC através do exemplo da interface da WEB e da configuração de CLI

Índice. Introdução. Pré-requisitos. Requisitos

Escrito por Jéssica França Sex, 04 de Dezembro de :48 - Última revisão Sex, 04 de Dezembro de 2015

Este documento descreve o portal da configuração e do abastecimento do certificado do motor dos serviços da funcionalidade de identidade (ISE).

Movimento do Caixa

Este é o segundo modulo, nele abordaremos os métodos de gerenciamento do Windows Server 2008.

Para otimização de segurança de sua maquina, recomendo esta opção. Depois de selecionada clique em Avançar.

Como usar o P-touch Transfer Manager

As informações neste documento são baseadas nestas versões de software e hardware:

Este documento descreve o processo da coleção do log para o Cisco Emergency Responder (CER). Um cenário comum é usado para a ilustração.

Este documento é aplicável a toda a plataforma que executar a versão 4.0 do Windows NT.

Movendo armazenamentos de mensagens de intercâmbio e registros de transações para uma unidade alternativa

Criptografia da próxima geração CUCM Criptografia elíptico da curva

FERRAMENTA DE CONFIGURAÇÃO DE PAINEL SENSÍVEL AO TOQUE MANUAL DE OPERAÇÃO

Manual Converte-MV S_Line

Este documento demonstra como configurar o Cisco VPN Client 3.x para obter um certificado digital.

Manual de Compilação/Execução da Aplicação SmartHome

Impacto do tempo do horário de verão em produtos de gerenciamento de rede em Austrália

Sistema CobCAIXA Manual de Instalação

Índice. Introdução. As limitações da autenticação remota central UCS incluem:

Gerente 6.x das comunicações unificadas: Crie uma imagem de fundo personalizada para o Cisco IP Phone

UNIVERSIDADE ESTADUAL DE GOIÁS

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Instalação e utilização do Software Pináculo SMS

CUCM 9.x+ e OLMO - Upgrade de licença e instalação

Manual do Usuário. MA300 Dispositivo de Controle de Acesso. Versão 1.0

Máquina de Bordar Suplemento ao Manual de Operações

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Como gerar uma amostra aleatória simples com o Microsoft Excel

Este documento descreve o procedimento para configurar a conformidade em Cisco Unified Presence Server (COPOS) com o uso de PostgreSQL para Windows.

Este documento explica como lançar manualmente o software do Cisco Transport Controller (CTC) do navegador da Web de um usuário.

Instalando o Driver de Impressora Custom PostScript ou PCL para Windows

Índice. Introdução. Este documento discute estes artigos:

SISTEMA OPERACIONAL WINDOWS PHONE

Transferência de arquivo ASA com exemplo de configuração FXP

Guia de instalação do REIS

CSA 5.1 com o exemplo de configuração remoto do servidor SQL

Checking SQL Server or MSDE Version and Service Pack Level

Instalação de softwares e drivers USB para controlador CP-WS13/8DI8DO2AI2AO

Instalando o driver personalizado de impressora PostScript ou PCL para Windows

Conhecendo o processo de distribuição

Versão Data de Criação: 29/07/ :20 Data de Atualização: 01/08/ :50 Técnico Responsável: Bruno Silva André Coelho Marcelo Hirano

Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

A informação neste documento é baseada em Cisco unificou Replicaiton.

Como Permitir a Navegação Usando o NetBIOS Over IP

Manual do InCD Reader

Introdução Como eu conecto meu roteador de Linksys a um roteador VoIP de Linksys? Informações Relacionadas

Título: Como configurar o gerenciador Busca NF-e no Escritório?

Instalando o Microsoft Office Versão 2.1

Início Rápido: Exibir relatórios Início Rápido: Exibir relatórios

Como usar Tabela Dinâmica (Pivot Table) Exemplo Prático. Este conteúdo faz parte da série: Excel Tabelas e Tabelas Dinâmicas Ver 5 posts dessa série

As informações neste documento são baseadas nestas versões de software e hardware:

MOBILE INSTALAÇÃO DA ATUALIZAÇÃO DO COLETOR

Procedimentos para Instalação Sisloc (Estação de Trabalho)

Verifique o LDAP sobre SSL/TLS (LDAP) e o certificado de CA usando Ldp.exe

Informática. Microsoft Outlook Professor Márcio Hunecke.

Manual de Instalação. e-tam

As informações neste documento são baseadas nestas versões de software e hardware:

Estas etapas preliminares devem ser executadas para todas as impressoras:

Manual de Migração do Banco de Dados Paradox para Firebird

Fiery Command WorkStation 5.8 com Fiery Extended Applications 4.4

Avisos legais KYOCERA Document Solutions Inc.

Configuração de VLAN em Cisco UCS

Agente Desktop fsense v Instruções de Instalação

Sistema Operacional Windows

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

LÉO MATOS INFORMÁTICA - SISTEMA OPERACIONAL WINDOWS

Emissão de Recibos. Copyright ControleNaNet

Windows 98 e Windows Me

APLICATIVO IMATION LINK MANUAL PARA DISPOSITIVO ios

Novidades da Plataforma de suporte remoto 3.0

Transcrição:

Guia de FireAMP às exclusões em Windows Índice Introdução Como encontrar arquivos detectados Arquivos de C:\Program Dados de C:\Program C:\Users C:\Windows Tipos apoiados da exclusão Quando excluir Sintoma Verificação Troubleshooting Versão 5.0+ Documentos relacionados Introdução Este documento fornece uma diretriz em como encontrar detectou arquivos e descreve um processo para exclui-los. Quando você dirige Cisco ampère para os valores-limite (igualmente conhecidos como FireAMP) em um computador, você pôde experimentar o problema de desempenho em um aplicativo ou no computador próprio. Isto pôde ocorrer devido às operações, à paginação, ou ao gerencio de leitura/gravação excessivo. Isto pode causar edições com aplicativos que exigem os identificadores de arquivo exclusivos, tais como o software do aplicativo de base de dados ou do relatório. Cuidado: A exclusão reduz sua área de cobertura. Quando você exclui um dobrador ou um arquivo, FireAMP não faz a varredura dentro desse dobrador. A fim evitar a exclusão de arquivos excessivos, você deve ser específico sempre que possível. Como encontrar arquivos detectados Quando você quer excluir arquivos, você pode tomar uma aproximação larga ou escrever uma exclusão muito específica com um convite a fim cobrir apenas um arquivo afetado. Este documento começa com uma identificação básica de diretórios de Microsoft Windows. Arquivos de C:\Program A maioria dos aplicativos são instalados neste diretório. Este dobrador é frequentemente a fonte para a atividade de arquivo no sistema e é o foco preliminar. Cisco estará na vigia para aplicativos de base de dados e os outros programas de antivirus assim como software do proprietário ou da em-casa.

Dados de C:\Program Este diretório é usado às vezes para pôr em esconderijo ou armazenar arquivos temporário. Neste dobrador, você pôde observar muitas atividades que são dependentes dos aplicativos. C:\Users Este diretório acomoda várias pastas de usuário, tais como o desktop, os documentos, as transferências, e o appdata. O dobrador do appdata é usado universalmente para arquivos temporário, arquivos da consultação do Internet, história, e assim por diante. Cuidado: Devido ao número de arquivos e de dados que são transferidos neste diretório, você deve ser cuidadoso quando você especifica uma exclusão, e tenta dever o mais específico possível combinar os arquivos seguros. C:\Windows Este diretório tem os arquivos de sistema. Você geralmente não precisa de excluir muito deste diretório enquanto é segurado pelo grupo da exclusão do padrão. Você pôde querer excluir este dobrador para pôr em esconderijo, tal como pôr em esconderijo para arquivos de registro do gerenciador de configuração (SCCM) e do Windows de System Center. Tipos apoiados da exclusão Ameaça: Este é o nome de uma ameaça que não quarantined. Nenhum arquivo que provocar um nome particular da ameaça não quarantined. Um exemplo é Win.Malware.PDF Caminho: Este é um local de sistema do arquivo único. Aqui você pode usar um trajeto específico tal como C:\Program Files\Cisco, ou você pode usar a lista especial constante do artigo ID (CSIDL). Nota: Um CSIDL é uma variável incorporado que seja reconhecida por Windows e possa ser útil nas encenações onde um trajeto poderia residir em letras da unidade diferentes. Um exemplo é CSIDL_PROGRAM_FILES \ Cisco. Este exemplo cobre C:\Program Files\Cisco e D:\Program Files\Cisco. Trabalho de CSIDLs somente em exclusões do trajeto. Refira a documentação de Windows para uma lista completa de CSIDLs disponível. Convite: Este tipo deve ser usado sempre que um convite (*) é desejado dentro da exclusão. Por exemplo: C:\Program Files\Cisco\ *.tmp Extensão de arquivo: Esta é uma exclusão simples para uma extensão de arquivo do tipo de arquivo. Um exemplo é.txt. Quando excluir Sintoma

Se você executa FireAMP e problemas de desempenho da experiência com o sistema ou com um aplicativo específico, esta poderia ser uma indicação da falta da resposta à entrada de usuário, ao desempenho lento de um processo automático, aos impactos, ou aos erros. Às vezes o aplicativo indica um erro específico. Verificação A fim determinar os arquivos ou os diretórios que são feitos a varredura e como frequentemente, siga estas etapas: Passo 1: A primeira etapa é gerar o pacote diagnóstico e extrai-lo. Este é um arquivo 7zip e exige um aplicativo extrai-lo. Passo 2: O segundo passo é alcançar o arquivo history.db do arquivo de diagnóstico. O arquivo history.db é um arquivo da base de dados de SQLite que se mantenha a par de todo o FireAMP detecte arquivos. Cada fileira inclui a disposição, o nome de arquivo, o arquivo SHA, o arquivo de origem, e a fonte SHA. A fonte é o arquivo que criou/alcançou o arquivo próprio. Isto deixa-nos ver como o aplicativo se comportou e o que fez. Neste exemplo, o comando SQLite3 é usado a fim converter o base de dados da história em um arquivo do Comma Separated Value (CSV). Transfira o binário SQLite3 PRE-compilado para seu sistema operacional. Extraia o pacote diagnóstico de FireAMP com um aplicativo tal como 7zip. Navegue ao dobrador diagnóstico extraído e encontre o arquivo history.db dentro do C_ \ arquivos de programa \ Sourcefire \ fireamp \ diretório. Dentro de um terminal ou de um comando prompt, chame o binário que SQLite3 você transferiu e forneça o arquivo history.db este comando. (Este comando o supõe que SQLite3 está em um lugar especificado em seus variáveis de ambiente para seu sistema operacional, ou precisa de ser colocado dentro do dobrador diagnóstico.) sqlite3 -csv -header history.db "select created_at,file,filename,source,sourcename from history" > history.csv Você não verá a confirmação ou output se o comando é bem sucedido. Se o comando falhou, seja certo que você especificou o lugar do binário SQLite3. Se você vê quaisquer outras mensagens com respeito ao history.db arquivar, você pôde precisar de cancelar os quatro arquivos históricos da máquina host afetada quando o serviço for parado, que permite que gerencia um grupo fresco de arquivos o serviço é começado a próxima vez que.

Passo 3: Uma vez que o arquivo CSV foi gerado você pode abri-lo com seu aplicativo de planilha preferido. Os aplicativos tais como Microsoft Excel puderam permitir que você converta o arquivo CSV a uma tabela, que lhe permitisse filtrar/tipo. Reveja a documentação Microsoft para que como use Excel. As colunas preliminares a usar-se são: nome de arquivo: Este campo mostra que o arquivo está feito a varredura por FireAMP. sourcename: Este campo mostram o processo ou executável que agarrado o punho (read/write e assim por diante). Estes dados são usados a fim determinar se os arquivos estão segurados por um aplicativo confiado ou de outra maneira. created_at: Este é o timestamp no evento para a detecção do arquivo. Troubleshooting Neste momento há um par opções: Se você apenas experimentou o problema de desempenho, você pode classificar a tabela pelo created_at que é o timestamp feito a varredura e ver a maioria de acontecimentos recentes. Você pode consultar as detecções e o trabalho para trás a fim ver o que aconteceu. Você pode igualmente procurar ou consultar para os aplicativos que puderam recentemente ter sido impactados por FireAMP. O que você quer procurar é algo como o mesmo arquivo que é feito a varredura repetidamente que pôde ter valores diferentes SHA. Você igualmente quer olhar o tipo de arquivo a fim ver se este é comportamento esperado. Neste exemplo, o arquivo foi procurado pelo escritório. Os resultados mostram aos arquivos que FireAMP fez a varredura que tido a palavra escritório no nome de arquivo ou no trajeto. Você pode igualmente ver o processo da fonte que segurou o arquivo correspondente. Neste exemplo, FireAMP faz a varredura de um arquivo relativo a um serviço do microsoft office. Se você quer excluir este, você poderia criar uma exclusão simples do trajeto tal como essa mostrada aqui: C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask Às vezes, as exclusões não são tão diretas. Ocasionalmente você vê a atividade como este em outras áreas como,

C:\Users\Username\Appdata\ Por exemplo, diga que há um aplicativo de teste esse esconderijos ao diretório do appdata com um nome de arquivo específico. Você pode excluir algo com o nome concedido. C:\Users\Test\Appdata\Temp\cookies C:\Users\Test\Appdata\Temp\cache C:\Users\Test\Appdata\Temp\Test\testcachefile20150116.tmp Este exemplo exclui arquivos de cache para o aplicativo do temp. Contudo, você não quer excluir o dobrador do temp porque os arquivos de cache do Internet como transferências/imagens poderiam residir neste diretório. Você pode igualmente reduzir para baixo o diretório ao dobrador do teste, porém o aplicativo pôde conectar ao Internet também, ou tem outros arquivos de cache que não prejudicam o desempenho nem poderiam potencialmente estar abertos arriscar. Uma curinga é usada para excluir esta. C:\Users\Test\Appdata\Temp\Test\testcachefile*.tmp Como você vê, um convite (*) foi usado para esclarecer qualquer coisa entre as letras e o ponto no nome de arquivo. Este convite exclui todo o arquivo que combinar esta expressão. Este é um exemplo de como você pode reduzir para baixo exclusões a fim impedir demasiado risco. Você pode igualmente usar curingas para nomes de caminho cheio. Está aqui um exemplo similar; C:\Users\Test\Appdata\Temp\Test\20150116\cache\testfilecache083022.tmp C:\Users\Test\Appdata\Temp\Test\20150117\cache\testfilecache092533.tmp C:\Users\Test\Appdata\Temp\Test\20150118\cache\testfilecache104431.tmp Exclusões do convite - As exclusões podem ser feitas em uma expressão do convite onde o trajeto e o nome de arquivo possam ser expressados. Isto é, se o nome de arquivo é constante, a seguir ele é o melhor forçam o convite a um trajeto específico. Assim se AIM.exe existe sempre em C:\Program arquiva (x86)\*\aim.exe olharia em todo o sub-diretório. Depois que você encontra suas exclusões desejadas de FireAMP, você pode seguir as etapas alistadas neste artigo a fim executá-las em seu painel e executar testes. Versão 5.0+ Na versão 5.0+, as atividades de arquivo são registradas já não em history.db. Uma estrutura nova para arquivos feitos a varredura e os trajetos são ficados situada em historyex.db. Um script do pitão, não apoiado pelo centro de assistência técnica da Cisco (TAC), está disponível na comunidade de CiscoSupport. Em um ambiente de Linux, o script pode converter o historyex.dbto um arquivo do Comma Separated Value (CSV). Permite que você rever as atividades para exclusões. Documentos relacionados Configurar e controle exclusões em FireAMP Revendo varreduras de arquivo em v5.0+ Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback