Configurar e identificar exclusões de endpoints seguros

Opções de download

  • PDF     (599.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (386.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (399.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de fevereiro de 2024
ID do documento:213681

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o que são exclusões, como identificar exclusões e as práticas recomendadas para criar exclusões no Cisco Secure Endpoint.

    Ressalva

    As informações neste documento são baseadas nos sistemas operacionais Windows, Linux e macOS.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Overview

    Depois de ler este documento, você deve entender:

    • O que é uma exclusão e os diferentes tipos de exclusões disponíveis para o Cisco Secure Endpoint.
    • Como preparar seu conector para o ajuste de exclusão.
    • Como identificar exclusões potencialmente fortes.
    • Como criar novas exclusões no Cisco Secure Endpoint Console.
    • Quais são as melhores práticas para criar exclusões.

    O que são exclusões?

    Um conjunto de exclusões é uma lista de diretórios, extensões de arquivos, caminhos de arquivos, processos, nomes de ameaças, aplicativos ou indicadores de comprometimento que você não deseja que o conector examine ou condene. As exclusões precisam ser elaboradas com cuidado para garantir um equilíbrio entre desempenho e segurança em uma máquina quando a proteção de endpoint, como o Secure Endpoint, estiver habilitada. Este artigo descreve exclusões para Secure Endpoint Cloud, TETRA, SPP e MAP.

    Cada ambiente é único, assim como a entidade que o controla, variando de políticas rígidas a abertas. Como tal, as exclusões devem ser adaptadas de forma única a cada situação.

    As exclusões podem ser categorizadas de duas maneiras: Exclusões Mantidas pela Cisco e Exclusões Personalizadas.

    Exclusões mantidas pela Cisco

    As Exclusões Mantidas pela Cisco são exclusões que foram criadas com base em pesquisas e que passaram por testes rigorosos em sistemas operacionais, programas e outros softwares de segurança usados com frequência. Essas exclusões podem ser exibidas selecionando Exclusões Mantidas pela Cisco no Secure Endpoint Console na página Exclusões.
    Exclusões Mantidas da Cisco

    A Cisco monitora as listas de exclusão recomendadas publicadas pelos fornecedores de antivírus (AV) e atualiza as Exclusões Mantidas pela Cisco para incluir as exclusões recomendadas.

    note-icon

    Observação: alguns fornecedores de antivírus podem não publicar suas exclusões recomendadas. Nesse caso, o cliente pode precisar entrar em contato com o fornecedor de antivírus para solicitar uma lista de exclusões recomendadas e, em seguida, abrir um caso de suporte para atualizar as exclusões mantidas pela Cisco.

    Exclusões personalizadas

    Exclusões personalizadas são exclusões criadas por um usuário para um caso de uso personalizado em um endpoint. Essas exclusões podem ser exibidas selecionando Exclusões personalizadas no Console do ponto de extremidade seguro na página Exclusões.
    Exclusões personalizadas

    Tipos de Exclusões

    Exclusões de Processos

    As exclusões de processos permitem que os administradores excluam processos de mecanismos compatíveis. Os mecanismos que suportam exclusões de processos em cada plataforma estão descritos na tabela a seguir:

    Sistema operacional Mecanismo
    Verificação de arquivo Proteção de processos do sistema Proteção contra atividades mal-intencionadas Proteção comportamental
    Windows
    Linux
    MacOS

    MacOS e Linux

    Você deve fornecer um caminho absoluto ao criar uma exclusão de Processo. Você também pode fornecer um usuário opcional. Se você especificar um caminho e um usuário, ambas as condições deverão ser atendidas para que o processo seja excluído. Se você não especificar um usuário, a exclusão do processo será aplicada a todos os usuários.

    note-icon

    Observação: no macOS e no Linux, as exclusões de processos se aplicam a todos os mecanismos.

    Curingas do processo:

    Os conectores Secure Endpoint Linux e macOS suportam o uso de um caractere curinga na exclusão do processo. Isso permite uma cobertura mais ampla com menos exclusões, mas também pode ser perigoso se muito for deixado indefinido. Você deve usar apenas o curinga para cobrir o número mínimo de caracteres necessários para fornecer a exclusão necessária.

    Uso do curinga de processo para macOS e Linux:

    • O curinga é representado usando um único caractere de asterisco (*)
    • O curinga pode ser usado no lugar de um único caractere ou de um diretório completo.
    • A colocação do curinga no início do caminho é considerada inválida.
    • O curinga funciona entre dois caracteres definidos, barras ou alfanuméricos.

    Examples:

    Exclusão Resultado esperado
    /Biblioteca/Java/Máquinas virtuais Java/*/java Exclui java em todas as subpastas de JavaVirtualMachines
    /Biblioteca/Jibber/j*bber Exclui o processo para jabber, jibber, jobber, etc

    Windows

    Você pode fornecer um caminho absoluto e/ou um SHA-256 do executável do processo ao criar uma exclusão de Processo. Se você especificar um caminho e SHA-256, ambas as condições deverão ser atendidas para que o processo seja excluído.

    No Windows, você também pode usar o CSIDL ou KNOWNFOLDERID no caminho para criar exclusões de processo.

    ícone de cuidado

    Cuidado: os processos filho criados por um processo excluído não são excluídos por padrão. Para excluir processos adicionais ao criar uma exclusão de Processo, selecione Aplicar a Processos Filho.

    Limitações:

    • Se o tamanho do arquivo do processo for maior do que o tamanho máximo de arquivo de varredura definido em sua política, o SHA-256 do processo não será calculado e a exclusão não funcionará. Use uma exclusão de processo baseada em caminho para arquivos maiores do que o tamanho máximo de arquivo de varredura.
    • O conector do Windows impõe um limite de 500 exclusões de processos em todos os tipos de exclusão de processos.
      • As exclusões de processo são honradas apenas até o limite, começando do topo da lista de exclusões de processo em policy.xml.
      • Toda política do Windows tem uma exclusão de processo para sfc.exe, que conta contra o limite de exclusões de processo: 
        <item>3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|</item>
    note-icon

    Observação: no Windows, as exclusões de processo são aplicadas por mecanismo. Se a mesma exclusão deve ser aplicada a vários motores, a exclusão do processo deve ser duplicada neste caso para cada motor aplicável.

    Curingas do processo:

    Os conectores Windows do ponto de extremidade seguro suportam o uso de um curinga na exclusão do processo. Isso permite uma cobertura mais ampla com menos exclusões, mas também pode ser perigoso se muito for deixado indefinido. Você deve usar apenas o curinga para cobrir o número mínimo de caracteres necessários para fornecer a exclusão necessária.

    Uso do Curinga do Processo para Windows:

    • O curinga é representado usando um único caractere asterisco () e um asterisco duplo (*)
    • Curinga de asterisco único (*):
      • O curinga pode ser usado no lugar de um único caractere ou de um diretório completo.
      • A colocação do curinga no início do caminho é considerada inválida.
      • O curinga funciona entre dois caracteres definidos, barras ou alfanuméricos.
      • Colocar o curinga no final de um caminho exclui todos os processos nesse diretório, mas não os subdiretórios.
    • Curinga de asterisco duplo (**):
      • Só pode ser colocado no final de um caminho.
      • Colocar o curinga no final de um caminho exclui todos os processos nesse diretório e todos os processos em subdiretórios.
      • Isso permite um conjunto de exclusão muito maior com entrada mínima, mas também deixa uma brecha de segurança muito grande para a visibilidade. Use esse recurso com extremo cuidado.

    Examples:

    Exclusão Resultado esperado
    C:\Windows\*\Tiworker.exe Exclui todos os processos Tiworker.exe encontrados nos subdiretórios do Windows
    C:\Windows\P*t.exe Exclui Pot.exe, Pat.exe, P1t.exe, etc
    C:\Windows\*galinhas.exe Exclui todos os processos no diretório Windows que terminam em chickens.exe
    C:\* Exclui todos os processos na unidade C:, mas não nos subdiretórios
    C:\** Exclui todos os processos na unidade C:

    Exclusões de ameaças

    As exclusões de ameaças permitem que você exclua um nome de ameaça específico para não acionar eventos. Você só deve usar uma exclusão de ameaça se tiver certeza de que os eventos são o resultado de uma detecção de falsos positivos. Nesse caso, use o nome exato da ameaça do evento como sua exclusão de ameaça. Lembre-se de que, se você usar esse tipo de exclusão, nem mesmo uma detecção de verdadeiro positivo do nome da ameaça será detectada, colocada em quarentena ou gerará um evento.

    note-icon

    Observação: as exclusões de ameaças não diferenciam maiúsculas de minúsculas. Exemplo:W32.Zombies.NotAVirus e w32.zombies.notavirus correspondem ao mesmo nome de ameaça.

    ícone de aviso

    Aviso: não exclua ameaças a menos que uma investigação completa tenha confirmado que o nome da ameaça é falso-positivo. As ameaças excluídas não preenchem mais a guia de eventos para revisão e auditoria.

    Exclusões de Caminho

    As exclusões de caminho são as mais frequentemente usadas, pois os conflitos de aplicativo geralmente envolvem a exclusão de um diretório. Você pode criar uma exclusão de caminho usando um caminho absoluto. No Windows, você também pode usar o CSIDIL ou KNOWNFOLDERID para criar exclusões de caminho.

    Por exemplo, para excluir um aplicativo AV no diretório Arquivos de programas no Windows, o caminho de exclusão pode ser qualquer um dos seguintes:

    C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
    note-icon

    Observação: as exclusões de caminho são recursivas e excluem todos os subdiretórios também.

    Correspondências de caminho parcial (somente Windows)

    Se uma barra à direita não for fornecida na exclusão de Caminho, o conector do Windows fará uma correspondência parcial nos caminhos. O Mac e o Linux não suportam correspondências de caminho parciais.

    Por exemplo, se você aplicar as seguintes exclusões de caminho no Windows:

    C:\Program Files
C:\test

    Em seguida, todos os seguintes caminhos serão excluídos:

    C:\Program Files
C:\Program Files (x86) 
C:\test
C:\test123

    Alterar a exclusão de "C:\test" para "C:\test\" impedirá que "C:\test123" seja excluída.

    Exclusões de Extensão de Arquivo

    Exclusões de extensão de arquivo permitem a exclusão de todos os arquivos com uma determinada extensão.

    Pontos principais:

    • A entrada esperada no Console de Ponto de Extremidade Seguro é .extension
    • O Secure Endpoint Console anexa automaticamente um ponto à extensão do arquivo se nenhuma tiver sido adicionada.
    • As extensões não diferenciam maiúsculas de minúsculas.

    Por exemplo, para excluir todos os arquivos de banco de dados do Microsoft Access, você pode criar a seguinte exclusão:

    .MDB
    note-icon

    Observação: as exclusões de extensão de arquivo padrão estão disponíveis na lista padrão. Não é recomendável excluir essas exclusões. Isso pode causar alterações de desempenho no endpoint.

    Exclusões de Curinga

    As exclusões de curinga são as mesmas que as exclusões de Caminho ou Extensão de Arquivo, exceto que você pode usar um caractere asterisco (*) para representar um curinga no caminho ou na extensão.

    Por exemplo, se você quiser excluir as máquinas virtuais no macOS da varredura, digite esta exclusão de caminho:

    /Users/johndoe/Documents/Virtual Machines/

    No entanto, essa exclusão só funcionará para um usuário; portanto, em vez disso, substitua o nome de usuário no caminho por um asterisco e crie uma exclusão Curinga para excluir esse diretório para todos os usuários:

    /Users/*/Documents/Virtual Machines/
    ícone de cuidado

    Cuidado: as exclusões de curinga não param nos separadores de caminho; isso pode levar a exclusões não intencionais. Por exemploC:\*\test excludesC:\sample\test assim comoC:\1\test** ouC:\sample\test123.

    ícone de aviso

    Aviso: iniciar uma exclusão com um caractere asterisco pode causar problemas graves de desempenho. Remova ou altere todas as exclusões que comecem com um caractere asterisco para reduzir o impacto na CPU.

    Windows

    Ao criar exclusões de curinga no Windows, há uma opção para Aplicar a todas as letras de unidade. A seleção dessa opção aplica a exclusão de Curinga a todas as unidades montadas.
    Caracter Curinga do Windows Aplicar a Todas as Unidades
    Se você tivesse que criar manualmente a mesma exclusão, você precisaria anexá-la a ^[A-Za-z], por exemplo:

    ^[A-Za-z]\testpath

    Em ambos os exemplos, C:\testpath e D:\testpath serão excluídos.

    O Secure Endpoint Console gera automaticamente o ^[A-Za-z] quando Apply to all drive letters é selecionado para exclusões de curingas.

    Exclusões de executáveis (somente Windows)

    As exclusões de executáveis só se aplicam a conectores do Windows com a Prevenção de Exploração habilitada. Uma exclusão de Executável exclui determinados executáveis de serem protegidos pela Prevenção de Exploração. Você só deve excluir um executável da Prevenção de Exploração se estiver tendo problemas ou problemas de desempenho.

    Você pode verificar a lista de processos protegidos e excluir qualquer um da proteção especificando seu nome executável no campo de exclusão de aplicativo. As exclusões de executáveis devem corresponder exatamente ao nome do executável no formato name.exe. Não há suporte para curingas.

    note-icon

    Observação: somente aplicativos podem ser excluídos usando exclusões Executáveis através do Console de Ponto de Extremidade Seguro. Todas as exclusões relacionadas a DLLs exigem a abertura de um caso de suporte para que uma exclusão seja criada.

    Encontrar as exclusões corretas para a prevenção de exploração é um processo muito mais intensivo do que qualquer outro tipo de exclusão e exige testes extensivos para minimizar quaisquer brechas de segurança prejudiciais.

    Exclusões do IOC (somente Windows)

    As exclusões do IOC permitem que você exclua as Indicações de comprometimento da nuvem. Isso pode ser útil se você tiver um aplicativo interno ou personalizado que pode não estar assinado e faz com que determinados IOCs sejam acionados com frequência. O Secure Endpoint Console fornece uma lista de indicadores para escolher entre as exclusões do IOC. Você pode selecionar os indicadores a serem excluídos por meio de um menu suspenso:

    IOC do Windows

    note-icon

    Observação: se você excluir um IOC de gravidade alta ou crítica, perderá a visibilidade dele e poderá colocar sua empresa em risco. Você só deve excluir esses IOCs se tiver um grande número de detecções de falsos positivos.

    CSIDL e KNOWNFOLDERID (somente Windows)

    Os valores CSIDL e KNOWNFOLDERID são aceitos e incentivados ao gravar exclusões de caminho e processo para Windows. Os valores de CSIDL/KNOWNFOLDERID são úteis para criar exclusões de processo e caminho para ambientes que usam letras de drive alternativas.

    Há limitações que precisam ser consideradas quando CSIDL/KNOWNFOLDERID é usado. Se o ambiente instalar programas em mais de uma letra de drive, o valor CSIDL/KNOWNFOLDERID se refere apenas ao drive marcado como o local de instalação padrão ou conhecido.

    Por exemplo, se o SO estiver instalado em C:\, mas o caminho de instalação do Microsoft SQL tiver sido alterado manualmente para D:\, a exclusão baseada em CSIDL/KNOWNFOLDERID na lista de exclusão mantida não se aplica a esse caminho. Isso significa que uma exclusão deve ser inserida para cada exclusão de caminho ou processo não localizada no drive C:\, pois o uso de CSIDL/KNOWNFOLDERID não a mapeia.

    Consulte a seguinte documentação do Windows para obter mais informações:

    note-icon

    Observação: KNOWNFOLDERID só é suportado no conector Windows 8.1.7 e posterior. As versões anteriores do conector do Windows usam valores CSIDL.

    note-icon

    Observação: os valores de KNOWNFOLDERID diferenciam maiúsculas e minúsculas. Por exemplo, você deve usar o valueFOLDERID_ProgramFiles e não o valueFolderID_programfiles inválido.

    Preparar Conector para Ajuste de Exclusão

    Para preparar seu conector para o ajuste de exclusão, você precisa:

    1. Configure uma política e um grupo para serem executados no modo de Depuração.
    2. Execute os computadores no novo grupo de Depuração de acordo com as operações comerciais normais, aguarde um tempo para obter dados suficientes de log do conector.
    3. Gere dados de diagnóstico no conector para usar na identificação de exclusões.

    Consulte os seguintes documentos para obter instruções sobre como ativar o Modo de Depuração e coletar dados de diagnóstico em diferentes sistemas operacionais:

    Identificar exclusões

    MacOS e Linux

    Os dados de diagnóstico gerados no modo de depuração fornecem dois arquivos úteis para criar exclusões: fileops.txt e execs.txt. O arquivo fileops.txt é útil para criar Caminho/Extensão de Arquivo/Exclusões de Curinga e o arquivo execs.txt é útil para criar Exclusões de Processo.

    Criando exclusões de processos

    O arquivo execs.txt lista os caminhos executáveis que acionaram o Secure Endpoint para executar uma varredura de arquivo. Cada caminho tem uma contagem associada que indica quantas vezes ele foi examinado e a lista é classificada em ordem decrescente. Você pode usar essa lista para determinar processos com um grande volume de eventos de execução e, em seguida, usar o caminho do processo para criar exclusões. No entanto, não é recomendável excluir programas utilitários gerais (por exemplo, /usr/bin/grep) ou intérpretes (por exemplo, /usr/bin/ruby). Se um programa utilitário geral ou intérprete estiver gerando um alto volume de verificações de arquivos, você pode fazer mais investigações para tentar criar exclusões mais direcionadas:

    1. Exclua o processo pai: determine qual aplicativo está executando o processo (por exemplo, localize o processo pai que está executando o grep) e exclua esse processo pai. Isso deve ser feito, se e somente se, o processo pai puder ser transformado com segurança em uma exclusão de processo. Se a exclusão pai se aplicar a filhos, as chamadas para quaisquer filhos do processo pai também serão excluídas.
    2. Excluir o processo para um determinado usuário: determinar qual usuário está executando o processo. Se o processo estiver sendo executado em alto volume por um usuário específico, você poderá excluir o processo apenas para esse usuário específico (por exemplo, se um processo estiver sendo chamado em um alto volume pelo usuário "root", você poderá excluir o processo, mas somente para o usuário especificado 'root", isso permitirá que o Secure Endpoint monitore as execuções de um determinado processo por qualquer usuário que não seja "root").

    Exemplo de saída de execs.txt:

    33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
 9 /usr/bin/pgrep
 9 /usr/bin/kmod
 7 /usr/bin/rm
 6 /usr/lib/systemd/systemd-cgroups-agent
 6 /usr/bin/rpm
 4 /usr/bin/tr
 4 /usr/bin/sort
 4 /usr/bin/find

    Criando Caminho, Extensão de Arquivo e Exclusões de Curinga

    O arquivo fileops.txt lista os caminhos onde as atividades de criação, modificação e renomeação de arquivos dispararam o Secure Endpoint para executar varreduras de arquivos. Cada caminho tem uma contagem associada que indica quantas vezes ele foi examinado e a lista é classificada em ordem decrescente. Uma maneira de começar com as exclusões de caminho é encontrar os caminhos de arquivos e pastas mais frequentemente verificados em fileops.txt e, em seguida, considerar a criação de regras para esses caminhos. Embora uma contagem alta não signifique necessariamente que o caminho deve ser excluído (por exemplo, um diretório que armazena e-mails pode ser verificado com frequência, mas não deve ser excluído), a lista fornece um ponto de partida para identificar candidatos à exclusão.

    Exemplo de saída de fileops.txt:

    31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq

    Uma boa regra prática é que qualquer coisa com uma extensão de arquivo log ou diário deve ser considerada um candidato à exclusão adequado.

    Mecanismo de proteção comportamental

    O mecanismo Behavioral Protection foi introduzido no conector Linux versão 1.22.0 e no conector macOS versão 1.24.0; começando com essas versões, o conector pode detectar uma atividade do sistema extremamente alta e, em seguida, levantar a falha 18.

    As exclusões de processos são aplicadas a todos os mecanismos e verificações de arquivos. Aplique exclusões de processos a processos benignos muito ativos para corrigir essa falha. Gerado pelos dados de diagnóstico do Modo de Depuração, o arquivo top.txt pode ser usado para determinar os processos mais ativos no sistema. Consulte a orientação Secure Endpoint Mac/Linux Connector Fault 18 para obter etapas detalhadas de correção.

    Além disso, as exclusões de processos podem silenciar detecções de proteção comportamental de falsos positivos em softwares benignos. Para detecções de falsos positivos no Secure Endpoint Console, o processo pode ser excluído para melhorar a geração de relatórios.

    Windows

    O sistema operacional Windows é mais complicado, mais opções de exclusão estão disponíveis devido aos processos pai e filho. Isso indica que uma análise mais profunda é necessária para identificar os arquivos que foram acessados, mas também os programas que os geraram.

    Consulte esta Ferramenta de Ajuste do Windows na página GitHub da Cisco Security para obter mais detalhes sobre como analisar e otimizar o desempenho do Windows com o Secure Endpoint.

    Criando Regras de Exclusão no Console de Ponto de Extremidade Seguro

    ícone de cuidado

    Cuidado: sempre entenda os arquivos e processos antes de gravar uma exclusão para evitar vulnerabilidades de segurança no endpoint.

    Conclua as etapas a seguir para criar uma nova regra de exclusão usando o Console de endpoint seguro:

    1. No Console do ponto final seguro, navegue até a página Políticas selecionando Gerenciamento -> Exclusões. Localize (A) o conjunto de exclusões que deseja modificar e clique em Editar ou (B) clique em + Novo Conjunto de Exclusões....
      Página Exclusões
    2. No pop-up Novo conjunto de exclusões, selecione um sistema operacional para o qual criar o conjunto de exclusões. Clique em Criar.
      Selecionar SO
    3. Você será redirecionado para a página Novo conjunto de exclusões. Clique em + Adicionar exclusão e selecione o tipo de exclusão no menu suspenso Selecionar tipo.
      Windows:
      Nova Exclusão do Windows
      Mac/Linux:
      Nova Exclusão de Mac Linux
    4. Preencha os campos obrigatórios para o tipo de exclusão selecionado.
    5. Repita as etapas 2 e 3 para adicionar mais regras ou clique em Salvar para salvar o conjunto de exclusões.

    Melhores práticas

    Tenha cuidado ao criar exclusões, pois elas reduzem o nível de proteção fornecido pelo Cisco Secure Endpoint. Os arquivos excluídos não são submetidos a hash, verificados ou estão disponíveis no cache ou na nuvem, a atividade não é monitorada e as informações estão ausentes nos mecanismos de back-end, na trajetória do dispositivo e na análise avançada.

    As exclusões só devem ser usadas em casos específicos, como problemas de compatibilidade com aplicativos específicos ou problemas de desempenho que não podem ser melhorados de outra forma.

    Algumas práticas recomendadas para criar exclusões são:

    • Criar exclusões somente para problemas comprovados
      • Não presuma que uma exclusão é necessária, a menos que tenha sido provado que ela é um problema que não pode ser resolvido de outra forma.
      • Problemas de desempenho, falsos positivos ou problemas de compatibilidade de aplicativos devem ser completamente investigados e mitigados antes da aplicação de uma exclusão.
    • Preferem exclusões de processos em vez de exclusões de caminho/extensão de arquivo/curinga
      • As exclusões de processos fornecem uma maneira mais direta de excluir atividades de software benignas do que usar uma combinação de exclusões de caminho, extensão de arquivo e curinga para obter o mesmo resultado.
      • Recomenda-se substituir as exclusões de caminho, extensão de arquivo e curinga que visam executáveis de programa por exclusões de processo correspondentes quando possível.
    • Evite exclusões amplas
    • Evite o uso excessivo de exclusões de caracteres curinga
      • Tenha cuidado ao criar exclusões com curingas. Use exclusões mais específicas quando possível.
      • Use a quantidade mínima de curingas em uma exclusão; somente as pastas que são realmente variáveis devem usar um curinga.
    • Evite excluir programas de utilidade geral e intérpretes
      • Não é recomendável excluir programas de utilidade geral ou intérpretes.
      • Se você precisar excluir um utilitário geral de exclusão de programas ou intérpretes, então forneça um usuário de processo (somente macOS/Linux).
      • Por exemplo, evite escrever exclusões que incluam python, java, ruby, bash, sh, etc.
    • Evite exclusões duplicadas
      • Antes de criar uma exclusão, verifique se a exclusão já existe nas Exclusões personalizadas ou nas Exclusões mantidas pela Cisco.
      • A remoção de exclusões duplicadas melhora o desempenho e reduz o gerenciamento operacional de exclusões.
      • Verifique se o caminho especificado em uma exclusão de Processo não é coberto por uma exclusão de Caminho/Extensão de Arquivo/Curinga.
    • Evite excluir processos que costumam ser usados em ataques de malware
    • Remover exclusões obsoletas
      • Revise e audite regularmente sua lista de exclusões e mantenha um registro do motivo pelo qual determinadas exclusões foram adicionadas.
    • Remover exclusões no comprometimento
      • As exclusões devem ser removidas se um conector for comprometido para recuperar a segurança e a visibilidade ideais.
      • Ações automatizadas podem ser usadas para aplicar políticas mais seguras aos conectores após a infecção. Se um conector for comprometido, ele deverá ser movido para um grupo que contenha uma política sem nenhuma exclusão para garantir que o mais alto nível de proteção seja aplicado.
      • Consulte Identificação de Condições para Disparar Ações Automatizadas no Ponto de Extremidade Seguro para obter mais detalhes sobre como configurar proativamente a Ação Automatizada "Mover Computador para Grupo mediante Comprometimento".
    • Aumentar a proteção em itens excluídos
      • Quando as exclusões forem absolutamente necessárias, considere quais táticas atenuantes podem ser tomadas, como ativar a proteção contra gravação para adicionar algumas camadas de proteção para os itens excluídos.
    • Criar exclusões de forma inteligente
      • Otimize regras escolhendo o processo pai de nível mais alto que identifica exclusivamente o aplicativo a ser excluído e use a opção Aplicar ao Processo Filho para minimizar o número de regras.
    • Nunca excluir o processo de inicialização
      • O processo de inicialização (iniciado no macOS, init ou systemd no Linux) é responsável por iniciar todos os outros processos no sistema e está no topo da hierarquia de processos.
      • Excluir o processo de inicialização e todos os seus processos filhos desabilitaria efetivamente o monitoramento do Ponto de Extremidade Seguro.
    • Especificar o usuário do processo quando possível (somente macOS/Linux)
      • Se o campo do usuário for deixado em branco, a exclusão se aplicará a qualquer processo que execute o programa especificado.
      • Embora uma exclusão que se aplica a qualquer usuário seja mais flexível, esse escopo amplo pode excluir involuntariamente atividades que devem ser monitoradas.
      • Especificar o usuário é especialmente importante para regras que se aplicam a programas compartilhados, como mecanismos de tempo de execução (por exemplo, java) e interpretadores de script (por exemplo, bash, python).
      • Especificar o usuário limita o escopo e direciona o Ponto de Extremidade Seguro para ignorar instâncias específicas ao monitorar outras instâncias.

    Exclusões não recomendadas

    Embora seja impossível saber todos os possíveis vetores de ataque que um adversário pode usar, existem alguns vetores de ataque centrais que devem ser monitorados. Para manter uma boa postura de segurança e visibilidade, as seguintes exclusões não são recomendadas:

    AcroRd32.exe
    addinprocess.exe
    addinprocess32.exe
    addinutil.exe
    bash.exe
    bginfo.exe
    bitsadmin.exe
    cdb.exe
    csi.exe
    dbghost.exe
    dbgsvc.exe
    dnx.exe
    dotnet.exe
    excel.exe
    fsi.exe
    fsiAnyCpu.exe
    iexplore.exe
    java.exe
    kd. exe
    lxssmanager.dll
    msbuild.exe
    mshta.exe
    ntkd.exe
    ntsd.exe
    outlook.exe
    psexec.exe
    powerpnt.exe
    powershell.exe
    rcsi.exe
    svchost.exe
    schtasks.exe
    system.management.automation.dll
    windbg.exe
    winword.exe
    wmic.exe
    wuauclt.exe
    .7z
    .bat
    .bin
    .cab
    .cmd
    .com
    .cpl
    .dll
    .exe
    .fla
    .gif
    .gz
    .hta
    .inf
    .java
    .jar
    .trabalho
    .jpeg
    .jpg
    .js
    .ko
    .ko.gz
    .msi
    .ocx
    .png
    .ps1
    .py
    .rar
    .reg
    .scr
    .sys
    .tar
    .tmp
    .url
    .vbe
    .vbs
    .wsf
    .zip
    bash
    java
    python
    Python3
    sh
    zsh
    /
    /bin
    /sbin
    /usr/lib
    C :
    C:\
    C:\*
    D:\
    D:\*
    C:\Program Files\Java
    C:\Temp\
    C:\Temp\*
    C:\Users\
    C:\Users\*
    C:\Windows\Prefetch
    C:\Windows\Prefetch\
    C:\Windows\Prefetch\*
    C:\Windows\System32\Spool
    C:\Windows\System32\CatRoot2
    C:\Windows\Temp
    C:\Windows\Temp\
    C:\Windows\Temp\*
    C:\Program Arquivos\<nome da empresa>\
    C:\Program Arquivos (x86)\<nome da empresa>\
    C:\Users\<UserProfileName>\AppData\Local\Temp\
    C:\Users\<UserProfileName>\AppData\LocalLow\Temp\
    note-icon

    Observação: esta não é uma lista exaustiva de exclusões a serem evitadas, mas fornece informações sobre os principais vetores de ataque. Manter a visibilidade desses caminhos, extensões de arquivos e processos é crucial.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    6.0
    12-Feb-2024
    Tipos de exclusão ausentes adicionados
    5.0
    01-Aug-2023
    Proteção comportamental adicionada ao conector Linux
    4.0
    22-Feb-2023
    Adicionada a seção "Erros comuns"
    3.0
    23-Mar-2022
    Seção adicionada para o processo curinga
    2.0
    18-Feb-2022
    Link atualizado para o guia do usuário
    1.0
    22-Aug-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Caly Hess
      Líder técnico do PrincessX CEX
    • Matthew Franks
      Engenheiro de escalonamento de endpoints seguros da Cisco
    • Mathew Huynh
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos