Cisco Secure Endpoint Linux Primer

Options de téléchargement

  • PDF     (147.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (81.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (68.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 juillet 2021
ID du document:215554

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Vous trouverez ci-dessous quelques notions de base et une présentation générale du connecteur Cisco Secure Endpoint Linux.

Configuration système nécessaire

Les systèmes d'exploitation suivants sont pris en charge : Compatibilité du système d'exploitation du connecteur Linux Cisco Secure Endpoint
  • Un minimum de 1,5 Go d'espace disque disponible est requis pour le bon fonctionnement du connecteur de point de terminaison sécurisé.

Exigences en matière de connectivité réseau

Voir Required-Server-Addresses-for-Advanced-Malware-Protection-AMP

Installation 

 Résultats de l'installation locale réussie sur CentOS version 6.4 (Final)

/var/log/messages 
Mar  3 14:47:34 vmc stabulic: cisco-amp: starting rpm pre scriptlet (1)
Mar  3 14:47:34 vmc stabulic: cisco-amp: rpm pre scriptlet done
Mar  3 14:47:35 vmc stabulic: cisco-amp: starting rpm post scriptlet (1)
Mar  3 14:47:35 vmc stabulic: cisco-amp: skip installing redirfs since it is already installed
Mar  3 14:47:35 vmc stabulic: Mar 03 14:47:35 vmc AMPInstaller[2107]: Info: executing post
Mar  3 14:47:35 vmc stabulic: Mar 03 14:47:35 vmc AMPInstaller[2107]: Info: sending event
Mar  3 14:47:35 vmc ampinsthelper: Set minimum reported log level to error
Mar  3 14:47:36 vmc ampinsthelper: Shutdown file logger for module:ampsupport
Mar  3 14:47:36 vmc stabulic: Mar 03 14:47:36 vmc AMPInstaller[2107]: Info: event sent
Mar  3 14:47:36 vmc stabulic: Mar 03 14:47:36 vmc AMPInstaller[2107]: Info: starting connector
Mar  3 14:47:36 vmc kernel: Kernel logging (proc) stopped.
Mar  3 14:47:36 vmc rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1133" x-info="http://www.rsyslog.com"] exiting on signal 15.
Mar  3 14:47:37 vmc kernel: imklog 5.8.10, log source = /proc/kmsg started.
Mar  3 14:47:37 vmc rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="2136" x-info="http://www.rsyslog.com"] start
Mar  3 14:47:37 vmc init: /etc/init.conf: Unable to load configuration: No such file or directory
Mar  3 14:47:37 vmc init: cisco-amp pre-start: redirfs already loaded
Mar  3 14:47:37 vmc init: cisco-amp pre-start: loading avflt
Mar  3 14:47:37 vmc kernel: Cisco Anti-Virus Filter for the RedirFS Framework 1.0. Based on RedirFS AVFlt 0.6 <www.redirfs.org>
Mar  3 14:47:37 vmc init: cisco-amp pre-start: avflt loaded
Mar  3 14:47:37 vmc init: cisco-amp pre-start: loading ampnetworkflow
Mar  3 14:47:37 vmc init: cisco-amp pre-start: ampnetworkflow loaded
Mar  3 14:47:37 vmc init: cisco-amp pre-start: done
Mar  3 14:47:37 vmc ampdaemon: Set minimum reported log level to notice
Mar  3 14:47:37 vmc stabulic: Mar 03 14:47:37 vmc AMPInstaller[2107]: Info: connector started
Mar  3 14:47:37 vmc stabulic: cisco-amp: rpm post scriptlet done
Mar  3 14:47:37 vmc yum[1995]: Installed: ciscoampconnector-1.0.0.184-1.el6.x86_64 [root@vmc cisco]# ps aux | grep -i amp root        825  0.0  1.1 203376 11532 ?        Ssl  13:47   0:00 /opt/cisco/amp/bin/ampmon -addr=
root       2166  0.0  0.0      0     0 ?        S    14:47   0:00 [csco_amp_msg_wq]
root       2167  0.0  0.0      0     0 ?        S    14:47   0:00 [csco_amp_prc_wq]
root       2170  1.4  3.7 814824 37540 ?        Ssl  14:47   0:02 /opt/cisco/amp/bin/ampdaemon
root       2264  0.0  0.0 103240   884 pts/0    S+   14:50   0:00 grep -i amp
 [root@vmc amp]# lsof -p 825 COMMAND PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
ampmon  825 root  cwd    DIR  253,0     4096      2 /
ampmon  825 root  rtd    DIR  253,0     4096      2 /
ampmon  825 root  txt    REG  253,0  6775183 262792 /opt/cisco/amp/bin/ampmon (deleted)
ampmon  825 root  mem    REG  253,0  1921216 654097 /lib64/libc-2.12.so
ampmon  825 root  mem    REG  253,0   142640 654121 /lib64/libpthread-2.12.so
ampmon  825 root  mem    REG  253,0   154664 654085 /lib64/ld-2.12.so
ampmon  825 root    0u   CHR    1,3      0t0   4418 /dev/null
ampmon  825 root    1u   CHR    1,3      0t0   4418 /dev/null
ampmon  825 root    2u   CHR    1,3      0t0   4418 /dev/null
ampmon  825 root    3r   REG  253,0    26555 393043 /var/log/cisco/ampdaemon.log (deleted)
ampmon  825 root    5r   DIR   0,10        0      1 inotify
ampmon  825 root    6w   REG  253,0     1508 393591 /var/log/cisco/ampmon.log [root@vmc amp]# lsof -p 2170 COMMAND    PID USER   FD   TYPE             DEVICE SIZE/OFF   NODE NAME
ampdaemon 2170 root  cwd    DIR              253,0     4096      2 /
ampdaemon 2170 root  rtd    DIR              253,0     4096      2 /
ampdaemon 2170 root  txt    REG              253,0  7717228 262795 /opt/cisco/amp/bin/ampdaemon
ampdaemon 2170 root  mem    REG              253,0    27424 654111 /lib64/libnss_dns-2.12.so
ampdaemon 2170 root  mem    REG              253,0    65928 654113 /lib64/libnss_files-2.12.so
ampdaemon 2170 root  mem    REG              253,0  1921216 654097 /lib64/libc-2.12.so
ampdaemon 2170 root  mem    REG              253,0    67592 654184 /lib64/libbz2.so.1.0.4
ampdaemon 2170 root  mem    REG              253,0   110960 654123 /lib64/libresolv-2.12.so
ampdaemon 2170 root  mem    REG              253,0   596272 654105 /lib64/libm-2.12.so
ampdaemon 2170 root  mem    REG              253,0   142640 654121 /lib64/libpthread-2.12.so
ampdaemon 2170 root  mem    REG              253,0    16304 654201 /lib64/libuuid.so.1.3.0
ampdaemon 2170 root  mem    REG              253,0    19536 654103 /lib64/libdl-2.12.so
ampdaemon 2170 root  mem    REG              253,0    43880 654125 /lib64/librt-2.12.so
ampdaemon 2170 root  mem    REG              253,0    88600 654152 /lib64/libz.so.1.2.3
ampdaemon 2170 root  mem    REG              253,0   206672 654199 /lib64/libidn.so.11.6.1
ampdaemon 2170 root  mem    REG              253,0   154664 654085 /lib64/ld-2.12.so
ampdaemon 2170 root    0u   CHR                1,3      0t0   4418 /dev/null
ampdaemon 2170 root    1u   CHR                1,3      0t0   4418 /dev/null
ampdaemon 2170 root    2u   CHR                1,3      0t0   4418 /dev/null
ampdaemon 2170 root    3u  unix 0xffff88003d8e1c80      0t0  17076 socket
ampdaemon 2170 root    4w   REG              253,0     1871 393045 /var/log/cisco/ampdaemon.log
ampdaemon 2170 root    5r   CHR                1,9      0t0   4423 /dev/urandom
ampdaemon 2170 root    6u   REG              253,0    46080 262812 /opt/cisco/amp/etc/cloud_query.cache
ampdaemon 2170 root    7u   REG              253,0     2048 262813 /opt/cisco/amp/etc/events.db
ampdaemon 2170 root    8u  sock                0,6      0t0  17096 can't identify protocol
ampdaemon 2170 root    9r  FIFO                0,8      0t0  17118 pipe
ampdaemon 2170 root   10w  FIFO                0,8      0t0  17118 pipe
ampdaemon 2170 root   11r   REG                0,3        0  17119 /proc/2170/mounts
ampdaemon 2170 root   12u   CHR              248,0      0t0  17062 /dev/ampavflt
ampdaemon 2170 root   13u   REG              253,0     8192 262819 /opt/cisco/amp/etc/quarantine/quarantine.db
ampdaemon 2170 root   14u   REG              253,0    27648 262844 /opt/cisco/amp/etc/quarantine/retrospective.db
ampdaemon 2170 root   15u  unix 0xffff88003b5503c0      0t0  17121 /var/run/sfampd
ampdaemon 2170 root   17r  IPv4              17549      0t0    TCP 172.16.168.139:48668->ec2-46-51-181-139.eu-west-1.compute.amazonaws.com:https (ESTABLISHED)
ampdaemon 2170 root   18r  IPv4              17182      0t0    TCP 172.16.168.139:49661->ec2-52-16-63-115.eu-west-1.compute.amazonaws.com:https (CLOSE_WAIT)
ampdaemon 2170 root   19u  sock                0,6      0t0  17194 can't identify protocol
 root@vmc cisco]# ls -al /var/log/cisco/ total 16
drwxr-xr-x. 2 root root 4096 Mar  3 14:47 .
drwxr-xr-x. 4 root root 4096 Mar  3 14:47 ..
-rw-------. 1 root root    0 Mar  3 14:47 ampcli.log
-rw-------. 1 root root 1871 Mar  3 14:47 ampdaemon.log
-rw-------. 1 root root    0 Mar  3 14:47 ampinstaller.log
-rw-------. 1 root root 1256 Mar  3 14:50 ampmon.log binaries in /opt/cisco/amp/bin/
[root@vmc ~]# initctl start cisco-amp
cisco-amp start/running, process 1567
[root@vmc ~]# /opt/cisco/amp/bin/ampcli status
[logger] Set minimum reported log level to notice
Trying to connect...
Connected.
Status: Connected
Scan: Ready for scan
Last Scan: 2016-05-02 08:01 PM
Policy: Protect Policy for FireAMP Linux (#446)
[root@vmc ~]# initctl stop cisco-amp
cisco-amp stop/waiting

Désactiver le service amp sur rhel 6

# initctl stop cisco-amp
# mv /etc/init/cisco-amp.conf /etc/init/cisco-amp.conf.disabled
# mv /etc/init/cisco-ampupdater.conf /etc/init/cisco-ampupdater.conf.disabled
# chmod -x /etc/cron.hourly/cisco-ampupdater.cron

Stratégie de connecteur 

Les clients verront 2 stratégies créées automatiquement dans leur liste de stratégies Cisco Secure Console.
Politique d'audit pour le connecteur Linux de point de terminaison sécurisé Cisco
Politique de protection pour le connecteur Cisco Secure Endpoint Linux
La seule différence entre les deux politiques est le mode de condamnation des fichiers 
Fichier -> Modes -> Condamnation de fichier 
Audit - Audit
Protection - Quarantaine
Les clients peuvent modifier ces stratégies, copier les stratégies pour la configuration ou créer une nouvelle stratégie.
Principales différences de configuration par rapport aux autres connecteurs
Aucune configuration d'interface utilisateur client
Port de communication uniquement 443
File -> Mode -> On Execute Mode est “ Passive ” Only
Network -> DFC -> Detection Action est “ Audit ” uniquement

Stratégies - Mode fichier
En mode Exécution

Ne permet pas le mode actif qui peut entraîner une dégradation extrême des performances.
En mode passif, l'exécution est autorisée pendant que la disposition est déterminée - le processus s'est terminé si la disposition est malveillante.


Taille maximale du fichier d'analyse : 5 Mo
Taille maximale des archives de numérisation - 50 Mo
Remarque : ces tailles peuvent changer à l'avenir. Ces tailles sont identiques aux paramètres de stratégie Mac/OSX.

Politiques - DFC (Device Flow Correlation)
L'action de détection est définie par défaut sur “ ” d'audit et n'est pas configurable. Les événements DFC seront générés en cas de détection, mais le flux réseau ne sera pas interrompu pour le moment. C'est par conception
Stratégies - Moteurs hors connexion
ClamAV
ClamAV est un moteur hors ligne intégré au connecteur Linux - il est activé par défaut.
Au total, cela signifie qu'il doit y avoir environ 200 Mo d'espace disque pour l'installation et disponible pour s'assurer qu'il y a suffisamment de place pour les définitions de ClamAV.

Fonctionnalités actuellement indisponibles
TETRA
Il n'y a pas de moteur TETRA, car il n'y en a que pour Windows.
SPERO & Ethos
Les moteurs SPERO et Ethos ne s'appliquent également qu'aux fichiers Windows et ne sont pas implémentés dans le connecteur Linux.
L'intelligence de ces moteurs sera traduite en correspondances 1:1 dans le nuage AMP — le connecteur Linux aura une couverture pour ceux-ci car 1:1 est utilisé pour faire beaucoup de travail intensif.

Forum aux questions:

Q : Y aura-t-il d'autres versions de Linux prises en charge ?
A : Il y aura d'autres versions de Linux ajoutées dans le futur. 
Q : Le cloud privé est-il pris en charge ?
R : Oui, puisque VPC 2.4.1 Mac et Linux sont pris en charge.
Q : Les noyaux personnalisés sont-ils pris en charge ?
A : Oui. Le connecteur Secure Endpoint Linux peut être en mesure de compiler des modules de noyau personnalisés pour les noyaux actuellement non pris en charge. Pour plus d'informations, reportez-vous à Création de modules de noyau de connecteur Cisco Secure Endpoint Linux. Le connecteur Secure Endpoint Linux peut ne pas être installé correctement sur les noyaux personnalisés. Si vous avez un noyau personnalisé, contactez le support avant d'essayer d'installer.

Historique de révision

Révision Date de publication Commentaires
1.0
28-May-2020
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits