进行妥协（IOC）扫瞄终端征兆和终端或FireAMP安培.PDFVIP

进行妥协(IOC)扫瞄的终端征兆与终端或 FireAMP的AMP 目录 简介 先决条件 要求 使用的组件 背景信息 IOC签名文件 运行在IOC签名文件的一扫描 创建IOC签名文件 上传IOC签名文件 启动扫描 简介 本文描述如何通过Mandiant IOC编辑器创建妥协(IOC)签名文件的征兆，如何上传它到思科 FireAMP控制板和如何启动终端IOC扫描。 先决条件 要求 思科建议您有自由推进空间至少一千兆字节，在您尝试运行终端IOC扫瞄前。 使用的组件 本文档中的信息根据终端IOC扫描仪，是可用的在Cisco FireAMP Windows连接器版本4.0.2和以上 。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 终端IOC扫描仪功能是使用为了扫描在多台计算机间的POST妥协指示器的一个强大的事件响应工具 。 Note:虽然FireAMP支持与Mandiant语言的IOC，没有开发也思科不支持Mandiant IOC编辑器 软件。Cisco支持不排除故障用户建立或第三方IOC。 IOC签名文件 IOC签名文件是识别已知威胁、攻击者方法，或者妥协其他证据技术特征的说明的一可扩展XML模 式。 您能通过控制台导入终端IOC从在文件特性写入为了触发例如名称、大小和哈希的基于OpenIOC的 文件，以及其他属性和系统属性例如进程信息，运行服务和Microsoft Windows注册表条目。IOC语 法可以由事件响应方用于为了查找特定人工制品或为了使用逻辑创建恶意软件家族的复杂，关联的 检测。 运行在IOC签名文件的扫描 有您必须完成为了运行在IOC签名文件的一扫描的三个步骤： 1. 创建IOC签名文件。 2. 上传IOC签名文件。 3. 启动扫描。 这些步骤在跟随的部分被扩展。 创建IOC签名文件 Note:在本例中， Mandiant IOC编辑器用于为了创建名为test.txt的文本文件的IOC签名文件。 完成这些步骤为了创建IOC签名文件： 1. 打开IOCe并且导航到File New 指示器。这提供一个空白的工作区，以便您能开始构件 IOC。 Note:为了创建特定的事的IOC，请以属性使用二进制逻辑。最初的操作员是或，是工作的最简 单的基础。这允许IOC的初始函数工作，因此您没有要求更改它。要求IOC签名文件在扫描有 至少两个属性或情况为了顺利地使用它。 2. 点击项目下拉菜单为了添加操作员。您应该添加的第一个属性是文件扩展包含。查找在项目树 菜单的属性并且点击它。 3. 在您添加一属性后，请点击在屏幕的最右端的小图标为了打开配置窗格。在此窗格内，请使用 内容字段为了匹配文件扩展。例如，请添加txt为了匹配test.txt文本文件： 4. 您必须当前添加逻辑操作员。在本例中，您将匹配测试正文文件。为了匹配此，请使用和操作 员并且添加下属性。找出文件名并且从项目树菜单选择它。在属性窗格中，请添加您要查找文 件的名称。例如，请在内容字段添加测验 ： 5. 因为另外的属性为此简单IOC不是必要的，您能当前保存文件。点击File Save ，并且有 .ioc分机的一个签名文件在system:保存 上传IOC签名文件 为了执行扫描，您必须上传IOC文件到FireAMP控制板。您能使用IOC签名文件、XML文件或者包含 多个IOC文件的邮政编码存档。控制板解压并且解析有IOC签名的文件。如果使用，您通知不正确的 语法或一不支持的属性。 提示 ：您能上传在大小上是五兆字节的文件。 完成这些步骤为了上传IOC签名文件到FireAMP控制板： 1. 登录FireAMP Cloud控制台并且导航到爆发控制安装终端IOC。 2. 点击加载 ，并且加载终端IOC窗口出现： 在IOC签名文件顺利后地上传，签名出现在列表： 3. 点击视图为了查看签名的实际XML数据： 启动扫描 在您上传签名文件后，请执行一全双工扫描。第一扫描必须是一全双工扫描，因为必须构件元数据 目录整个计算机的，能耗费1个– 2个小时。在系统通过一全双工扫描后，编目您可执行一闪存扫描 。 Note:全双工扫描非常强化中央处理。思科建议您不运行在PC的一全双工扫描，当是在使用中 的时。如果计划定期使用功能，您可每月一次执行一全双工扫描为了重建目录。 有您能使用为