تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند ما هي الاستبعادات، وكيفية تحديد الاستبعادات، وأفضل الممارسات لإنشاء الاستبعادات على نقطة نهاية Cisco الآمنة.
أسست المعلومة في هذا وثيقة على Windows، Linux و MacOS.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
بعد قراءة هذا المستند، يجب أن تفهم ما يلي:
مجموعة الاستثناء هي قائمة من الأدلة، امتدادات الملفات، مسارات الملفات، العمليات، أسماء التهديدات، التطبيقات، أو مؤشرات التسوية التي لا تريد من الموصل مسحها أو إدانتها. يجب صياغة الاستبعادات بعناية لضمان تحقيق التوازن بين الأداء والأمان على الجهاز عند تمكين حماية نقطة النهاية مثل نقطة النهاية الآمنة. تصف هذه المقالة إستثناءات لسحابة نقطة النهاية الآمنة و TETRA و SPP و MAP.
وكل بيئة فريدة من نوعها، فضلا عن الكيان الذي يسيطر عليها، وهي تتنوع من السياسات الصارمة إلى السياسات المفتوحة. وعلى هذا النحو، يجب أن تكون الاستبعادات مصممة بشكل فريد لكل حالة.
يمكن تصنيف الاستبعادات بطريقتين، الاستبعادات والاستبعادات المخصصة التي تحافظ عليها Cisco.
الاستثناءات التي يتم صيانتها من Cisco هي استبعادات تم إنشاؤها بناء على أبحاث وخضعت لاختبار دقيق على أنظمة التشغيل والبرامج وبرامج الأمان الأخرى الشائعة الاستخدام. يمكن عرض هذه الاستبعادات من خلال تحديد الاستبعادات
التي يتم صيانتها من قبل Cisco
في وحدة تحكم نقطة النهاية الآمنة على صفحة الاستبعادات
.
تراقب Cisco قوائم الاستبعاد الموصى بها التي ينشرها موردو برامج مكافحة الفيروسات (AV) وتقوم بتحديث الاستثناءات التي يتم صيانتها من Cisco لتضمين الاستثناءات الموصى بها.
ملاحظة: قد لا ينشر بعض بائعي الصوت والفيديو استبعاداتهم الموصى بها. في هذه الحالة، قد يحتاج العميل إلى الوصول إلى مورد الصوت والفيديو (AV) لطلب قائمة بالاستبعادات الموصى بها ثم فتح حالة دعم للحصول على تحديث الاستثناءات التي يتم صيانتها من Cisco.
الاستبعادات المخصصة هي استبعادات تم إنشاؤها بواسطة مستخدم لحالة إستخدام مخصص على نقطة نهاية. يمكن عرض هذه الاستبعادات من خلال تحديد استبعادات مخصصة
في وحدة تحكم نقطة النهاية الآمنة في صفحة الاستبعادات
.
تسمح إستثناءات العملية للمسؤولين باستبعاد العمليات من المحركات المدعومة. يتم توضيح المحركات التي تدعم استبعادات العملية على كل منصة في الجدول التالي:
نظام تشغيل | محرك | |||
فحص الملف | حماية عملية النظام | حماية الأنشطة الضارة | الحماية السلوكية | |
Windows | ✓ | ✓ | ✓ | ✓ |
لينكس | ✓ | ✗ | ✗ | ✓ |
ماك أو إس | ✓ | ✗ | ✗ | ✓ |
يجب عليك توفير مسار مطلق عند إنشاء إستثناء Process، كما يمكنك توفير مستخدم إختياري. إذا قمت بتحديد كل من المسار والمستخدم، فيجب استيفاء كلا الشرطين لاستبعاد العملية. إذا لم تقم بتحديد مستخدم، فسيتم تطبيق إستثناء العملية على كافة المستخدمين.
ملاحظة: في أنظمة التشغيل MacOS و Linux، تنطبق إستثناءات العملية على جميع المحركات.
معالجة أحرف البدل:
تدعم نقاط النهاية الآمنة Linux وموصلات MacOS إستخدام حرف بدل ضمن إستثناء العملية. وهذا يسمح بتغطية أوسع باستثناءات أقل، ولكنه قد يكون خطيرا أيضا إذا لم يتم تعريف الكثير جدا. يجب فقط إستخدام حرف البدل لتغطية الحد الأدنى لعدد الأحرف المطلوب لتوفير الاستثناء المطلوب.
إستخدام حرف البدل للعملية من أجل MacOS و Linux:
الأمثلة:
إستبعاد | النتيجة المتوقعة |
/Library/Java/JavaVirtualMachines/*/Java |
يستثني Java ضمن كل المجلدات الفرعية ل JavaVirtualMachine |
/المكتبة/Jibber/j*bber |
تستثني العملية ل Jabber وjibber وjobber ، وما إلى ذلك |
يمكنك توفير مسار مطلق و/أو SHA-256 للعمليات القابلة للتنفيذ عند إنشاء إستثناء العملية. إذا قمت بتحديد كل من المسار و SHA-256، فيجب استيفاء كلا الشرطين لاستبعاد العملية.
على Windows، يمكنك أيضا إستخدام CSIDL أو KNOWwFolderID ضمن المسار لإنشاء استبعادات العملية.
تحذير: لا يتم إستبعاد الإعداد الافتراضي للعمليات التابعة التي تم إنشاؤها بواسطة عملية مستبعدة. لاستبعاد عمليات إضافية عند إنشاء إستثناء عملية، حدد تطبيق على العملية التابعة
.
القيود:
policy.xml
.sfc.exe
، والذي يتم إحتسابه مقابل حد إستثناءات العملية: <item>3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|</item>
ملاحظة: في Windows، يتم تطبيق إستثناءات العملية لكل محرك. إذا كان يجب تطبيق نفس الاستثناء على محركات متعددة، فيجب تكرار إستثناء العملية في هذه الحالة لكل محرك قابل للتطبيق.
معالجة أحرف البدل:
دعم نقاط النهاية الآمنة ل Windows Connectors باستخدام حرف بدل ضمن إستثناء العملية. وهذا يسمح بتغطية أوسع باستثناءات أقل، ولكنه قد يكون خطيرا أيضا إذا لم يتم تعريف الكثير جدا. يجب فقط إستخدام حرف البدل لتغطية الحد الأدنى لعدد الأحرف المطلوب لتوفير الاستثناء المطلوب.
إستخدام حرف البدل للعملية ل Windows:
الأمثلة:
إستبعاد | النتيجة المتوقعة |
C:\Windows\*\Tiworker.exe |
يستثني كل عمليات Tiworker.exe الموجودة في الأدلة الفرعية ل Windows |
C:\Windows\P*t.exe |
لا يشمل Pot.exe وpat.exe وP1t.exe ، إلخ |
C:\Windows\*chickens.exe |
يستثني كافة العمليات في دليل Windows التي تنتهي بالدجاج.exe |
C:\* |
يستثني كل العمليات في محرك الأقراص C: لكن ليس في المجلدات الفرعية |
C:\** |
يستثني كل عملية على محرك الأقراص C: |
تمكنك استبعادات التهديد من إستبعاد اسم تهديد معين من التسبب في وقوع الأحداث. يجب عليك إستخدام إستثناء التهديد في أي وقت فقط إذا كنت متأكدا من أن الأحداث هي نتيجة لاكتشاف إيجابي كاذب. في هذه الحالة، أستخدم اسم التهديد المحدد من الحدث على أنه إستثناء للتهديد الذي تمثله. كن على علم بأنه إذا كنت تستخدم هذا النوع من الاستثناء فإنه حتى الكشف الإيجابي الحقيقي لاسم التهديد لن يتم اكتشافه، أو وضعه في الحجر الصحي، أو إنشاءه لحدث.
ملاحظة: تعتبر إستثناءات التهديد غير حساسة لحالة الأحرف. مثال:W32.Zombies.NotAVviruses و
32.zombies.notavirus كلاهما يطابق نفس اسم التهديد.
تحذير: لا تستبعدوا التهديدات إلا إذا أكد تحقيق شامل أن إسم التهديد إيجابي كاذب. لم تعد التهديدات المستبعدة تقوم بملء علامة التبويب "الأحداث" للمراجعة والمراجعة.
استبعادات المسار هي الأكثر إستخداما، نظرا لأن تعارضات التطبيقات تتضمن عادة إستبعاد دليل. يمكنك إنشاء إستثناء مسار باستخدام مسار مطلق. على Windows، يمكنك أيضا إستخدام CSIDIL أو KNOWwFolderId لإنشاء استبعادات للمسار.
على سبيل المثال، لاستبعاد تطبيق AV في دليل ملفات البرامج
على Windows، يمكن أن يكون مسار الاستبعاد أي مما يلي:
C:\Program Files\MyAntivirusAppDirectory
CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory
FOLDERID_ProgramFiles\MyAntivirusAppDirectory
ملاحظة: استبعادات المسار تكرارية وتستبعد كل الدلائل الفرعية أيضا.
إذا لم يتم توفير شرطة مائلة في إستثناء المسار، يقوم موصل Windows بإجراء تطابق جزئي على المسارات. لا يدعم كل من Mac و Linux تطابقات جزئية للمسار.
على سبيل المثال، إذا قمت بتطبيق إستثناءات المسار التالية على Windows:
C:\Program Files
C:\test
بعد ذلك سيتم إستبعاد كافة المسارات التالية:
C:\Program Files
C:\Program Files (x86)
C:\test
C:\test123
سيؤدي تغيير الاستثناء من "C:\test"
إلى "C:\test\"
إلى منع C:\test123"
من الاستبعاد.
تسمح إستثناءات ملحق الملف باستبعاد كافة الملفات ذات الملحق المحدد.
النقاط الرئيسية:
.extension
على سبيل المثال، لاستبعاد كافة ملفات قاعدة بيانات Microsoft Access، يمكنك إنشاء الاستثناء التالي:
.MDB
ملاحظة: تتوفر استبعادات امتداد الملف القياسية في القائمة الافتراضية، ولا يوصى بحذف هذه الاستبعادات، وقد يؤدي ذلك إلى تغييرات في الأداء على نقطة النهاية الخاصة بك.
إستثناءات أحرف البدل هي نفسها إستثناءات المسار أو امتداد الملف باستثناء أنه يمكنك إستخدام حرف نجمي (*) لتمثيل حرف بدل داخل المسار أو الملحق.
على سبيل المثال، إذا كنت تريد إستبعاد الأجهزة الافتراضية على MacOS من أن يتم مسحها ضوئيا، فقد تقوم بإدخال إستثناء المسار:
/Users/johndoe/Documents/Virtual Machines/
ومع ذلك، سيعمل هذا الاستبعاد فقط لمستخدم واحد، لذلك بدلا من ذلك استبدل اسم المستخدم في المسار بنجمة وإنشاء إستثناء حرف بدل لاستبعاد هذا الدليل لجميع المستخدمين:
/Users/*/Documents/Virtual Machines/
تحذير: لا تتوقف إستثناءات أحرف البدل عند فواصل المسار، قد يؤدي ذلك إلى إستثناءات غير مقصودة. على سبيل المثالC:\*\test يستثنيC:\sample\test
بالإضافة إلى C:\1\test** أوC:\sample\test123
.
تحذير: يمكن أن يؤدي بدء الاستبعاد بحرف نجمي إلى مشاكل كبيرة في الأداء. قم بإزالة جميع الاستثناءات التي تبدأ بحرف علامة نجمية أو تغييرها لتقليل تأثير وحدة المعالجة المركزية (CPU).
عند إنشاء إستثناءات أحرف البدل على Windows، هناك خيار للتطبيق على كافة أحرف محرك الأقراص
. تحديد هذا الخيار يطبق إستثناء حرف البدل على كل محركات الأقراص المحملة.
إذا كنت ستقوم بصنع نفس الاستبعاد يدويا ستحتاج إلى ترجيحه باستخدام ^[A-Za-z]
، على سبيل المثال:
^[A-Za-z]\testpath
في كلا المثالين، سيتم إستبعاد C:\testpath وD:\testpath.
تقوم وحدة التحكم في نقطة النهاية الآمنة تلقائيا بإنشاء ^[A-ZA-z]
عند تحديد تطبيق على جميع أحرف الأقراص
لاستثناءات أحرف البدل.
تنطبق الاستثناءات القابلة للتنفيذ فقط على موصلات Windows مع تمكين منع الاستغلال. إستثناء قابل للتنفيذ يستبعد بعض الملفات التنفيذية من أن تكون محمية من خلال منع الاستغلال. يجب إستبعاد الملف التنفيذي من Exploit Prevention فقط إذا كنت تواجه مشاكل أو مشاكل في الأداء.
يمكنك التحقق من قائمة العمليات المحمية واستبعاد أي من الحماية بتحديد اسمها التنفيذي في حقل إستثناء التطبيق. يجب أن تتطابق الاستبعادات القابلة للتنفيذ مع اسم الملف التنفيذي تماما في اسم التنسيق.exe
. أحرف البدل غير مدعومة.
ملاحظة: يمكن إستبعاد التطبيقات فقط باستخدام إستثناءات قابلة للتنفيذ عبر وحدة تحكم نقطة النهاية الآمنة. تتطلب أي إستثناءات متعلقة بشبكات DLL فتح حالة دعم لإنشاء إستثناء.
يعتبر العثور على الاستثناءات الصحيحة لمنع الاستغلال عملية أكثر كثافة بكثير من أي نوع آخر من أنواع الاستبعاد ويتطلب إختبارا مكثفا لتقليل أي ثغرات أمنية ضارة إلى الحد الأدنى.
تسمح لك استبعادات اللجنة الأوقيانوغرافية الحكومية الدولية باستبعاد إشارات السحابة للتسوية. يمكن أن يكون هذا مفيدا إذا كان لديك تطبيق مخصص أو داخلي قد لا يكون موقع ويتسبب في تشغيل بعض IOCs بشكل متكرر. توفر "وحدة التحكم في نقطة النهاية الآمنة" قائمة بالمؤشرات للاختيار من بينها لاستثناءات IOC. يمكنك تحديد المؤشرات التي سيتم إستبعادها من خلال القائمة المنسدلة:
ملاحظة: إذا استبعدت اللجنة الأولمبية الدولية ذات الخطورة العالية أو الحرجة، ستفقد إمكانية الرؤية فيها وقد تترك مؤسستك في خطر. يجب إستبعاد هذه اللجنة الأولمبية الدولية فقط إذا واجهت عددا كبيرا من عمليات الكشف الإيجابي الكاذبة.
يتم قبول قيم CSIDL و KNOWwFolderID وتشجيعها عند كتابة إستثناءات المسار والمعالجة ل Windows. تكون قيم CSIDL/KNOWnfolderid مفيدة لإنشاء استبعادات للعملية والمسار للبيئات التي تستخدم أحرف محركات أقراص بديلة.
هناك قيود يجب مراعاتها عند إستخدام CSIDL/KNOWwFolderID. إذا قامت البيئة الخاصة بك بتثبيت البرامج على أكثر من حرف محرك أقراص، فإن قيمة CSIDL/KNOWNnfolderid تشير فقط إلى محرك الأقراص الذي تم وضع علامة عليه كموقع التثبيت الافتراضي أو المعروف.
على سبيل المثال، إذا تم تثبيت نظام التشغيل على C:\
ولكن تم تغيير مسار التثبيت ل Microsoft SQL يدويا إلى D:\
، فإن الاستثناء المستند إلى CSIDL/KNOWNwFolderID في قائمة الاستبعاد التي تم الاحتفاظ بها لا ينطبق على هذا المسار. وهذا يعني أنه يجب إدخال إستثناء واحد لكل مسار أو إستثناء عملية غير موجود على محرك الأقراص C:\
حيث أن إستخدام CSIDL/KNOWwFolderID لا يرسمها.
راجع وثائق Windows التالية للحصول على مزيد من المعلومات:
ملاحظة: لا يتم دعم KNOWNnfolderid إلا في Windows Connector 8.1.7 والإصدارات اللاحقة. تستخدم الإصدارات السابقة من موصل Windows قيم CSIDL.
ملاحظة: تعد قيم KNOWNnfolderID حساسة لحالة الأحرف. على سبيل المثال، يجب إستخدام valueFOLDERID_ProgramFiles
وليس valueFolderID_ProgramFiles
غير الصحيح.
لإعداد الموصل الخاص بك لموالفة الاستبعاد، يجب:
ارجع إلى المستندات التالية للحصول على تعليمات حول تمكين وضع تصحيح الأخطاء وتجميع البيانات التشخيصية على أنظمة التشغيل المختلفة:
توفر بيانات التشخيص التي تم إنشاؤها في وضع تصحيح الأخطاء ملفين مفيدين لإنشاء الاستثناءات: fileops.txt وexec.txt. يكون ملف fileops.txt مفيدا لإنشاء إستثناءات المسار/امتداد الملف/حرف البدل ويكون ملف execS.txt مفيدا لإنشاء إستثناءات العملية.
يسرد الملف exs.txt المسارات القابلة للتنفيذ التي أدت إلى تشغيل نقطة النهاية الآمنة لإجراء فحص الملف. يحتوي كل مسار على عدد مرتبط يشير إلى عدد المرات التي تم مسحه فيها والقائمة التي تم فرزها بترتيب تنازلي. يمكنك إستخدام هذه القائمة لتحديد العمليات ذات الحجم الكبير لأحداث التنفيذ ثم إستخدام مسار العملية لصياغة الاستبعادات. غير أنه لا يوصى باستبعاد برامج المرافق العامة (مثل /usr/bin/grep) أو المترجمين الشفويين (مثل /usr/bin/ruby). إذا كان برنامج منفعة عامة أو مترجم شفوي يقوم بإنشاء حجم كبير من عمليات مسح الملفات، فيمكنك إجراء المزيد من التحقيقات لمحاولة صياغة استبعادات أكثر إستهدافا:
مثال إخراج exec.txt:
33 /usr/bin/bash
23 /usr/bin/gawk
21 /usr/bin/wc
21 /usr/bin/sleep
21 /usr/bin/ls
19 /usr/bin/pidof
17 /usr/bin/sed
14 /usr/bin/date
13 /usr/libexec/gdb
13 /usr/bin/iconv
11 /usr/bin/cat
10 /usr/bin/systemctl
9 /usr/bin/pgrep
9 /usr/bin/kmod
7 /usr/bin/rm
6 /usr/lib/systemd/systemd-cgroups-agent
6 /usr/bin/rpm
4 /usr/bin/tr
4 /usr/bin/sort
4 /usr/bin/find
يسرد الملف fileops.txt المسارات حيث يقوم الملف بإنشاء الأنشطة التي تم تشغيل نقطة النهاية الآمنة لها وتعديلها وإعادة تسميتها لإجراء عمليات مسح الملفات. يحتوي كل مسار على عدد مرتبط يشير إلى عدد المرات التي تم مسحه فيها والقائمة التي تم فرزها بترتيب تنازلي. إحدى الطرق للبدء مع إستثناءات المسار هي العثور على مسارات الملفات والمجلد التي تم مسحها ضوئيا بشكل متكرر من fileops.txt ثم النظر في إنشاء قواعد لتلك المسارات. بينما لا يعني العدد المرتفع بالضرورة إستبعاد المسار (على سبيل المثال، الدليل الذي يخزن رسائل البريد الإلكتروني يمكن مسحه غالبا ولكن يجب عدم إستبعاده)، توفر القائمة نقطة بداية لتحديد المرشحين للاستبعاد.
مثال إخراج من fileops.txt:
31 /Users/eugene/Library/Cookies/Cookies.binarycookies
24 /Users/eugene/.zhistory
9 /Users/eugene/.vim/.temp/viminfo
9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
5 /Users/eugene/Library/Cookies/HSTS.plist
5 /Users/eugene/.vim/.temp/viminfo.tmp
4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
3 /Library/Logs/Cisco/supporttool.log
2 /private/var/db/locationd/clients.plist
2 /Users/eugene/Desktop/.DS_Store
2 /Users/eugene/.dropbox/instance1/config.dbx
2 /Users/eugene/.DS_Store
2 /Library/Catacomb/DD94912/biolockout.cat
2 /.fseventsd/000000000029d66b
1 /private/var/db/locationd/.dat.nosync0063.arg4tq
هناك قاعدة صحيحة للتجربة وهي أن أي شيء يحتوي على ملحق ملف سجل أو ملف دفتر يومية يجب اعتباره مرشح إستبعاد مناسب.
تم إدخال محرك الحماية السلوكية في الإصدار 1.22.0 من موصل Linux والإصدار 1.24.0 من موصل MacOS، بدءا من هذه الإصدارات، يمكن للموصل اكتشاف نشاط النظام المرتفع بشكل كبير جدا ثم رفع الخطأ 18.
يتم تطبيق استبعادات العملية على جميع المحركات والملفات المسحية. تطبيق إستثناءات العملية على عمليات حميدة نشطة للغاية من أجل إصلاح هذا الخطأ. يمكن إستخدام الملف top.txt الذي تم إنشاؤه بواسطة بيانات تشخيص وضع التصحيح لتحديد العمليات الأكثر نشاطا على النظام. يرجى الرجوع إلى إرشادات خطأ موصل Mac/Linux لنقطة النهاية الآمنة 18 للحصول على خطوات الإصلاح التفصيلية.
بالإضافة إلى ذلك، يمكن لاستثناءات العملية إسكات عمليات الكشف عن الحماية السلوكية الإيجابية الزائفة من البرامج الحميدة. بالنسبة لعمليات الكشف عن موجبة خاطئة في وحدة تحكم نقطة النهاية الآمنة، يمكن إستبعاد العملية لتحسين إعداد التقارير.
نظام تشغيل Windows أكثر تعقيدا، يتوفر المزيد من خيارات الاستبعاد بسبب العمليات الأصلية والتابعة. ويشير ذلك إلى أنه يلزم إجراء إستعراض أعمق لتحديد الملفات التي تم الوصول إليها، وكذلك البرامج التي تمخضت عنها.
الرجاء الرجوع إلى أداة ضبط Windows هذه من صفحة GitHub الخاصة بأمان Cisco للحصول على مزيد من التفاصيل حول كيفية تحليل أداء Windows وتحسينه باستخدام نقطة نهاية آمنة.
تحذير: فهم الملفات والعمليات دائما قبل كتابة إستثناء لتجنب نقاط ضعف الأمان على نقطة النهاية.
أكمل الخطوات التالية لإنشاء قاعدة إستثناء جديدة باستخدام وحدة تحكم نقطة النهاية الآمنة:
Management
->الاستبعاد
. إما (أ) حدد موقع مجموعة الاستثناء التي ترغب في تعديلها وانقر فوق تحرير
، أو (ب) انقر + مجموعة إستبعاد جديدة...
.مجموعة الاستثناء الجديدة
، حدد نظام تشغيل لإنشاء مجموعة الاستثناء الخاصة به. طقطقة يخلق
.مجموعة إستثناء جديدة
. انقر فوق + إضافة إستثناء
وحدد نوع الاستثناء من القائمة المنسدلة تحديد نوع
.حفظ
لحفظ مجموعة الاستثناء.توخ الحذر عند إنشاء الاستبعاد لأنها تقلل مستوى الحماية الذي توفره نقطة النهاية الآمنة من Cisco. لا يتم تجزئة الملفات المستبعدة أو مسحها ضوئيا أو توفرها في ذاكرة التخزين المؤقت أو السحابة، ولا يتم مراقبة النشاط، ولا تتوفر المعلومات من محركات الخلفية ومسار الجهاز والتحليل المتقدم.
يجب إستخدام الاستثناءات فقط في الحالات المستهدفة مثل مشاكل التوافق مع تطبيقات محددة أو مشاكل الأداء التي لا يمكن تحسينها بطريقة أخرى.
بعض أفضل الممارسات التي يجب اتباعها عند إنشاء الاستبعاد هي:
Java
، Ruby
، bash
، sh، وما إلى ذلك.تطبيق على العملية الفرعية
لتقليل عدد القواعد إلى الحد الأدنى.بدء التشغيل
على نظام التشغيل MacOS أو Init
أو System
على نظام التشغيل Linux) مسؤولة عن بدء جميع العمليات الأخرى على النظام وهي على قمة التسلسل الهرمي للعملية.Java
) ومترجمي البرامج النصية (على سبيل المثال، Bash
وPython
).على الرغم من أنه من المستحيل معرفة أي متجه هجوم محتمل قد يستخدمه الخصم، إلا أن هناك بعض نواقل الهجوم الأساسية التي يجب مراقبتها. للحفاظ على وضعية أمان جيدة وإمكانية رؤية فائقة، لا يوصى بالاستثناءات التالية:
AcroRd32.exe |
addinprocess.exe |
addinprocess32.exe |
addinutil.exe |
base.exe |
bginfo.exe |
bitsadmin.exe |
cdb.exe |
csi.exe |
dbghost.exe |
dbgsvc.exe |
dnx.exe |
dotnet.exe |
excel.exe |
fsi.exe |
fsiAnyCpu.exe |
iexplore.exe |
Java.exe |
kd.exe |
lxssmanager.dll |
msbuild.exe |
mshta.exe |
ntkd.exe |
ntsd.exe |
outlook.exe |
psexec.exe |
powerpnt.exe |
powershell.exe |
rcsi.exe |
svchost.exe |
chtasks.exe |
system.management.automation.dll |
windbg.exe |
winword.exe |
wmic.exe |
wuauclt.exe |
.7z |
.bat |
.bin |
.CAB |
.cmd |
.com |
.cpl |
.dll |
.exe |
.fla |
.gif |
.gz |
.hta |
.inf |
.Java |
.جرة |
.وظيفة |
.jpeg |
.jpg |
.js |
.كو |
.ko.gz |
.msi |
.ocx |
.png |
.ps1 |
.بي |
.rar |
.reg |
.scr |
.sys |
.tar |
.tmp |
.url |
.vbe |
.vbs |
.wsf |
.zip |
باش |
Java |
بايثون |
بايثون 3 |
ش |
زش |
/ |
/bin |
/sbin |
/usr/lib |
ج: |
C:\ |
C:\* |
|
D:\ |
D:\* |
C:\Program Files\Java |
C:\Temp\ |
C:\Temp\* |
C:\Users\ |
C:\Users\* |
C:\Windows\Prefetch |
C:\Windows\Prefetch\ |
C:\Windows\Prefetch\* |
C:\Windows\System32\Spool |
C:\Windows\System32\CatRoot2 |
C:\Windows\Temp |
C:\Windows\Temp\ |
C:\Windows\Temp\* |
C:\Program الملفات\<اسم الشركة>\ |
C:\Program ملفات (x86)\<اسم الشركة>\ |
C:\Users\<UserProfileName>\AppData\Local\Temp\ |
C:\Users\<UserProfileName>\AppData\LocalLow\Temp\ |
ملاحظة: هذه ليست قائمة شاملة للاستبعادات لتجنبها، ولكنها توفر رؤية متعمقة لمتجهات الهجمات الأساسية. يعد الحفاظ على إمكانية الرؤية في هذه المسارات وملحقات الملفات والعمليات أمرا بالغ الأهمية.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
6.0 |
12-Feb-2024 |
أنواع الاستثناء المضافة المفقودة |
5.0 |
01-Aug-2023 |
حماية سلوكية إضافية لموصل لينوكس |
4.0 |
22-Feb-2023 |
أضاف قسم "الأخطاء الشائعة" |
3.0 |
23-Mar-2022 |
مقطع مضاف لعملية حرف البدل |
2.0 |
18-Feb-2022 |
تحديث الارتباط بدليل المستخدم |
1.0 |
22-Aug-2021 |
الإصدار الأولي |