AMP for Endpoints Console 및 Last Seen 필터

소개

이 문서에서는 AMP(Advanced Malware Protection) for Endpoints에서 CSCvh31177에서 참조되는 "Last Seen" 필터 버그에 대한 설명을 설명합니다.

기고자: Caly Hess, Cisco 엔지니어

사전 요구 사항 

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco AMP for Endpoints 대시보드 액세스

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어를 기반으로 합니다.

• Cisco AMP for Endpoints for Endpoints 콘솔 버전 5.4.20190917

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

문제

콘솔의 컴퓨터 페이지에서 "Last Seen"에 대한 필터는 최근 24시간 동안 목록에 표시된 커넥터를 표시합니다.

원인

현재 "Last Seen" 데이터를 가져오는 것은 24시간마다 한 가지 작업입니다.Computers(컴퓨터) 페이지에 반영되는 데이터와 "Last Seen(최종 확인)"에 대한 Export to CSV의 출력이 실시간으로 표시되지만 필터 자체는 해당 단일 작업에서 일괄 처리된 데이터에서 실행됩니다.대규모 엔터프라이즈 환경의 타임스탬프를 실시간으로 분석하면 시간 초과와 데이터베이스 잠금이 발생할 수 있으므로 결과 속도를 높이기 위해 구현되었습니다.

7일 이상 필터의 "최근에 본" 컴퓨터 설명

"마지막으로 확인한" 작업이 실행된 후 7일 이상 동안 시스템이 오프라인 상태입니다. 

실제 사례

• HostA.randomdomain.net에서 커피 머그잔을 가득 채운 불운한 사고가 발생했고 마더보드가 8월 10일 완전히 복구되지 않았습니다.
• HostA.randodomain.net이 9월 20^일까지 수리 센터에 대기 중입니다.
• 9월 21^일, HostA.randodomain.net은 "Last Seen" 작업이 실행된 후 4시간 후, 감사자가 지난 30일 동안 나타나지 않은 컴퓨터의 CSV로 내보내기를 수행하기 전 2시간 전에 네트워크로 돌아갑니다.
• HostA.randodomain.net이 여전히 "Last Seen" 작업에서 30일 이상 표시되지 않는 것으로 나열됩니다.현재는 완전히 기능적으로 작동하고 커피는 무료로 제공되지만, 감사관은 이제 "비활성" 수출에서 이를 포착합니다.

단기 솔루션

작업 자체는 실행하는 데 24시간이 소요되지 않지만 적어도 12시간이 걸릴 수 있습니다. 필터의 정확성을 높이기 위해 이전 작업이 완료된 후 작업에 대한 자동 일정 조정이 개발 중입니다. 이 작업은 배치 창에서 7-12시간의 시간에서 어느 때라도 잘릴 것으로 예상됩니다. 

장기 솔루션

데이터를 가져올 때 실시간에 가까운 "Last Seen" 메커니즘의 총 재작업.이 솔루션은 현재 다음 연도의 제안된 릴리스와 함께 개발 중인 완전히 새로운 데이터베이스 구조를 구현해야 합니다.