概要
このドキュメントでは、Advanced Malware Protection(AMP)for EndpointsでCSCvh31177に参照される「最後に見られた」フィルタバグについて説明します。
著者:シスコエンジニア、Caly Hess
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアに基づいています。
- Cisco AMP for Endpoints for Endpointsコンソールバージョン5.4.20190917
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題
コンソールの[Computers]ページから[Last Seen]のフィルタを使用すると、過去24時間に表示されたコネクタがリストに表示されます。
原因
「Last Seen」データの現在のプルは、24時間ごとに1つのジョブです。[Computers]ページに反映されたデータと[Export to CSV for "Last Seen"の出力はリアルタイムですが、フィルタ自体はその特定のジョブからバッチされたデータを取り除きます。これは、大規模企業環境のタイムスタンプのリアルタイム分析がタイムアウトとデータベースのロックを引き起こす可能性があるため、結果の速度を向上させるために実装されました。
7日以上のフィルタに含まれる「最近見られた」コンピュータの説明
「Last Seen」ジョブが実行されるまで、マシンは7日間以上オフラインでした。
実際の例
- HostA.randodomain.netでコーヒーのマグが完全に入り、マザーボードが8月10日に完全な回復を行わなかったという不幸な事故が発生しました
- HostA.randodomain.netは9月20日まで修理デポに配置されました
- 9月21日stに、HostA.randodomain.netは「Last Seen」ジョブが実行されてから4時間後にネットワークに戻りますが、Auditorが過去30日間に見られなかったコンピュータのCSVへのエクスポートを2時間前に実行します
- HostA.randodomain.netは、「Last Seen」ジョブから30日以上表示されないものとしてリストされます。現在は完全に機能し、コーヒーを使用していませんが、監査役は「非アクティブ」輸出でそれをキャッチしています
短期ソリューション
ジョブ自体の実行には24時間かかりません。フィルタの精度を上げるには、以前のジョブが完了した後のジョブの自動再スケジュールが開発中です。これは、バッチウィンドウから7~12時間の時間短縮が期待されます。
長期的なソリューション
データがプルされたときにリアルタイムに近い「Last Seen」メカニズムのトータルリワーク。このソリューションには、来年のリリースを提案して現在開発中の全く新しいデータベース構造を実装する必要があります。