AMP for Endpoints控制檯和「上次檢視時間」篩選器
簡介
本檔案介紹在適用於端點的進階惡意軟體防護(AMP)中引用CSCvh3117的「上次出現」篩選錯誤的說明。
作者:Caly Hess,思科工程師。
必要條件
需求
思科建議您瞭解以下主題:
-
訪問面向終端的思科AMP控制面板
採用元件
本檔案中的資訊是根據以下軟體:
- 適用於終端的思科AMP終端控制檯版本5.4.20190917
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
問題
控制檯電腦頁面上的「上次檢視時間」篩選器顯示在清單中顯示的前24小時內看到的聯結器。
原因
當前的「最後所見」資料每隔24小時就有一份工作。儘管「電腦」頁中反映的資料和「上次檢視時間」的「匯出到CSV」的輸出是即時的,但篩選器本身會從該單一job的批處理資料運行。實施該操作是為了提高結果的速度,因為即時分析大型企業環境的時間戳可能會導致超時和資料庫鎖定。
7天以上過濾器中的「最近看到的」電腦說明
在「上次出現」作業運行之前,電腦處於離線狀態7天以上。
真實示例
- HostA.randomdomain.net發生了一起不幸的事故,滿滿的咖啡杯和主機板在8月10日沒有完全恢復
- HostA.randomdomain.net現在位於維修站直至9月20日
- 在9月21日,HostA.randomdomain.net在「上次檢視時間」作業運行4小時之後返回網路,但在此時間之前的2小時,審計者會執行將過去30天內未檢視的電腦匯出到CSV操作
- HostA.randomdomain.net仍被列為「上次檢視」作業中超過30天未檢視。儘管現在該程式已完全正常運轉,而且無需咖啡,但審計人員現在仍能在他的「非活躍」出口中發現它
短期解決方案
作業本身並不需要運行完整的24小時,但至少需要12小時。為了提高篩選的準確性,目前正在開發在上一個作業完成後自動重新計畫作業,預計該作業將在批處理視窗的7-12小時時段內任何時間被縮短。
長期解決方案
「最後看到」機制的全部返工,在拉取資料時更接近即時性。該解決方案要求實施一個全新的資料庫結構,目前正在開發中,並擬於下一個日曆年發佈。
意見