概述
Code42补充了许多安全端点检测和响应(EDR)应用程序的功能。betway365通常,这些应用程序与Code42无缝地工作,不需要任何配置更改。
但是,如果EDR应用程序生成了似乎是由Code42的软件引起的假阳性警报,请使用本文来确定是否需要在EDR中创建任何异常。
第三方应用程序
端点检测和响应(EDR)应用程序示例包括:Carbon Black, CrowdStrike, ESET, Kaspersky, McAfee, SentinelOne, Sophos和Symantec。为了一致性,用这个术语功能的工具在本文中用于描述这些类型的应用程序,并包括防病毒应用程序。
Non-Code42产品
来自其他制造商的产品信息旨在作为一种资源,帮助您最大限度地利用Code42产品。但是,我们的技术支持工程师不能为这些产品提供直接的帮助。如果需要Code42以外的产品的帮助,请联系产品的制造商。
需要帮忙吗?
如需帮助,请联系您的客户成功经理(CSM)与Code42专业服务团队联系。如果你不知道你的CSM是谁,
联系我们的技术支持工程师.
注意事项
- Code42路径和文件的确切集将在不同版本之间发生变化。
- Code42应用程序部署期间的用户检测执行可以触发某些系统的警报(由于PowerShell或批处理脚本中的shell执行)。用户检测仅在部署期间发生,并且有几种不需要设置全局异常的缓解措施。有关Code42应用程序部署的帮助,请联系您的CSM与我们的专业服务团队联系。
Code42的EDR支持策略
Code42应用程序不需要EDR工具中的特定异常或配置才能正常工作。你的最佳做法是:
- 在部署时通知您的安全和端betway365点管理团队有关Code42应用程序。告诉他们如果有问题可以参考这篇文章。
- 不要主动为Code42应用程序创建排除。
如果你遇到假阳性警报由于Code42应用程序而出现的问题,请使用本文识别Code42文件路径和可执行名称。然后使用该信息帮助您决定是否需要基于环境中的特定事件创建任何异常。避免为所有Code42文件夹添加批量异常。
EDR政策、实践和配置对于每个组织的目标、目的和风险承受能力都是非常复杂和主观的。虽然Code42是Code42应用程序如何打包、分发以及运行时如何运行的专家,但我们无法提供其他解决方案。我们可以帮助诊断合法行为,但Code42的目标不是规定如何管理其他供应商的产品。
为什么Code42会产生EDR假阳性警报?
Code42应用程序需要完全的磁盘访问,读取许多文件,并自动更新自己。这些都是有价值的特性,使Code42能够提供持betway提款续监控。然而,这些活动最初可能会被使用启发式和机器学习来增强内容定义和策略的EDR工具识别为可疑行为。
在大多数情况下,EDR工具不一定会将Code42应用程序归类为恶意软件或病毒,但是没有上下文的Code42活动可能看起来足够可疑,以至于在第一次发生时产生警报。根据EDR工具的配置方式以及对初始警报的响应方式,该工具可能会学会将Code42活动正确归类为已批准和受信任的行为,也可能会错误地生成更多警报。
误报警报并非Code42应用独有。许多其他端点应用程序都受到EDR工具的同样审查,可能需要管理员在初始安装或升级后采取措施。如果环境中的其他端点应用程序需要与Code42类似的权限,则可以将它们用作响应Code42应用程序的警报和应用异常的模板。
添加EDR例外
如果您决定在EDR应用程序中创建异常,请使用以下指南。
Incydr专业,企业,地平线和政府F2
在某些情况下,即使已知和预期的活动也可能在某些EDR工具中引起事件和警报。如果检测或警报是假阳性似乎是由内部风险代理引起的,请参考EDR供应商的文档,并使用它来根据具体情况为触发行为制定最小例外,而不是广泛的可见性排除。
临时文件
内部风险代理在执行时在其目录中创建临时数据文件,也可能使用卷影复制服务(VSS)访问Windows上的锁定文件。
为内部风险代理添加EDR例外
大多数EDR工具允许您创建异常策略,以抑制特定行为或受信任应用程序的警报。定义异常策略的通用标准包括:
- 文件哈希:使用内部风险代理可执行文件的哈希值。这通常是最安全、最具限制性的方法,因为它对可执行文件的特定实例使用文件散列。然而,由于散列随着每个新补丁或更新而变化,因此这种方法需要持续维护。
- 数字签名者:为内部风险代理包或可执行文件使用签名证书的拇指指纹、散列或通用名称。此方法以密码方式证明Code42构建并签署了应用程序,而不考虑其文件名、版本号或端点上的文件路径位置。
注意:我们使用记录好的最佳实践来为应用程序签名。对于Windows,二进制文件使用与Windows和AppLocker要求一致的Authenticode进行签名。对于Mac,数字签名,包括应用程序的公证,是按照Gatekeeper的要求来实现的。
- 文件路径或模式:使用内部风险代理文件路径、目录或相关模式。这在每个版本中都不太可能发生变化,但随着新功能、品牌或操作系统发生变化,仍然可能发生变化。这种方法存在最大的安全风险,因为信任整个目录或文件名而不指定数字签名betway365或散列,可能会导致不受信任的应用程序也从该位置启动。
您的EDR工具可能为创建异常策略提供额外或不同的选项;咨询您的EDR供应商和您自己的安全团队,以构建适当的策略和配置,以避免过多的警报。betway365
根据您的风险承受能力,根据您愿意接受的最长寿属性创建策略。
测试新的内部风险代理人
版本
当新的内部风险代理版本发布时,用于上述每种类型异常的标准可能会发生变化。为了帮助您为即将到来的变化做好准备,
Code42的延迟客户端升级设置允许您在一小组设备上测试新版本,以确保异常策略是最新的。
通过首先测试一小组设备,您可以在更新Code42环境中的所有用户之前响应警报并根据需要调整EDR策略。
Code42文件路径
要创建基于文件路径或目录的异常,有选择地允许来自这些位置的活动:
窗户
- 应用程序: C:\Program Files\Code42-AAT\
- 应用程序数据: C: \ ProgramData \ Code42-AAT \
- 日志: C: \ ProgramData \ Code42-AAT \ logs \ \数据
- 进程名称: Code42 AAT服务
- 可执行文件的名字: Code42-AAT.exe
Mac
- 应用程序: / / Code42-AAT.app /应用程序
- 应用程序数据: /库/应用程序支持/Code42-AAT/
- 日志: /库/应用支持/Code42-AAT/数据/日志/
- 进程名称:
- 启动器:Code42 AAT服务
- 系统扩展名:com.code42.agent.extension
- 可执行文件的名字: Code42-AAT
Linux
- 应用程序: / opt / code42-aat /
- 应用程序数据: /var/opt/code42-aat/
- 日志: /var/opt/code42-aat/data/logs/
- 进程名称: Code42 AAT服务
- 可执行文件的名字: code42-aat
Incydr基础,高级,和政府F1
在某些情况下,即使已知和预期的活动也可能在某些EDR工具中引起事件和警报。如果检测或警报是假阳性这似乎是由Code42应用程序引起的,请参考EDR供应商的文档,并使用它来根据具体情况为触发行为制定一个最小的例外,而不是广泛的可见性排除。
为Code42应用程序添加EDR例外
大多数EDR工具允许您创建异常策略,以抑制特定行为或受信任应用程序的警报。定义异常策略的通用标准包括:
- 文件哈希:使用Code42应用程序可执行文件的哈希值。这通常是最安全、最具限制性的方法,因为它对可执行文件的特定实例使用文件散列。然而,由于散列随着每个新补丁或更新而变化,因此这种方法需要持续维护。
- 数字签名者:使用Code42应用程序包或可执行文件的签名证书的拇指指纹、散列或通用名称。此方法以密码方式证明Code42构建并签署了应用程序,而不考虑其文件名、版本号或端点上的文件路径位置。
注意:我们使用记录好的最佳实践来为应用程序签名。对于Windows,二进制文件使用与Windows和AppLocker要求一致的Authenticode进行签名。对于Mac,数字签名,包括应用程序的公证,是按照Gatekeeper的要求来实现的。
- 文件路径或模式:使用Code42应用程序文件路径、目录或相关模式。这在每个版本中都不太可能发生变化,但随着新功能、品牌或操作系统发生变化,仍然可能发生变化。这种方法存在最大的安全风险,因为信任整个目录或文件名而不指定数字签名betway365或散列,可能会导致不受信任的应用程序也从该位置启动。
您的EDR工具可能为创建异常策略提供额外或不同的选项;咨询您的EDR供应商和您自己的安全团队,以构建适当的策略和配置,以避免过多的警报。betway365
根据您的风险承受能力,根据您愿意接受的最长寿属性创建策略。
测试新的Code42应用程序版本
当新的Code42应用程序版本发布时,用于上述每种类型异常的标准可能会发生变化。为了帮助您为即将到来的变化做好准备,
Code42的延迟客户端升级设置允许您在一小组设备上测试新版本,以确保异常策略是最新的。
通过首先测试一小组设备,您可以在更新Code42环境中的所有用户之前响应警报并根据需要调整EDR策略。
为Code42备份档案和缓存添加EDR例外
从EDR监控中排除Code42存档和缓存文件。包含这些文件是没有用的,因为:
- 备份档案压缩和加密。即使备份存档包含恶意文件,EDR软件也无法检查存档的内容。此外,恶意文件在压缩和加密的形式下无法激活或传播。最重要的是,备份档案只包含已经存储在其他地方的数据。要检测恶意文件,请扫描源文件,而不是备份存档文件。
- 缓存文件Code42操作的良性记录。它们只包含关于Code42活动的信息,因此它们可以被扫描忽略。
为EDR缓存文件添加Code42备份排除
当EDR工具扫描用户设备时,它们会创建缓存文件。根据您选择的备份文件,Code42可能会尝试备份这些缓存文件。从您的选择中排除这些缓存文件,因为:
- 不太可能需要恢复这些缓存文件。
- EDR工具可能会尝试扫描Code42的缓存文件,这会导致一个无休止的循环。
从备份中排除缓存:
- 查阅您的EDR工具的文档,以找到应用程序的缓存位置。
- 登录到Code42控制台。
- 去管理>环境>组织.
- 验证使用父设备的默认值设置已为父节点下的所有组织启用。
- 选择父组织。
- 单击操作菜单,选择“编辑”。
- 单击备份选项卡。
- 使用文件选择设置以排除Code42环境中所有设备的缓存位置。
- 点击保存.
恢复的考虑
还原大量文件可能会导致EDR程序在Code42还原文件时检查每个文件。这将导致您的恢复工作比平时花费更长的时间。为了加快恢复速度,可以考虑暂时暂停EDR应用程序。
Code42文件路径
要创建基于文件路径或目录的异常,允许来自以下位置的活动:
窗户
使用 |
文件夹 |
主应用程序 |
C:\Program Files\Code42 |
服务日志文件 |
C: \ ProgramData \ CrashPlan \日志 |
用户界面日志文件 |
当地C:\Users\ <用户名> \ AppData \ \ CrashPlan \日志 |
瞬态缓存 |
C: \ ProgramData \ CrashPlan \缓存 |
身份文件 |
C: \ ProgramData \ CrashPlan \ .identity |
如果每个用户都安装Code42应用程序,排除这些文件夹代替。
Mac
使用 |
文件夹 |
主应用程序 |
/应用程序/ Code42.app / |
服务日志文件 |
/图书馆/日志/ CrashPlan |
用户界面日志文件 |
~ /图书馆/日志/ CrashPlan 要查看此隐藏文件夹,请打开Finder,按Command-Shift-G,并输入文件夹路径。 |
瞬态缓存 |
/图书馆/缓存/ CrashPlan |
Code42应用程序配置文件 |
/图书馆/ LaunchDaemons / com.code42.service.plist |
身份文件 |
/图书馆/应用支持/ CrashPlan / .identity |
如果每个用户都安装Code42应用程序,排除这些文件夹代替。
Linux
使用 |
文件夹 |
主应用程序 |
/usr/local/crashplan |
服务日志文件 |
/usr/local/crashplan/log |
用户界面日志文件 |
~ / .code42 /日志 |
瞬态缓存 |
/usr/local/crashplan/cache |
Code42应用程序配置文件 |
/usr/local/crashplan/bin/run.conf |
身份文件 |
/var/lib/crashplan/.identity |