Cách thu thập dữ liệu để khắc phục sự cố đe dọa bảo mật đầu cuối

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 255

Môi trường dữ liệu

  • McAfee Endpoint Security (ENS) Threat Intelligence 10.5.x
  • McAfee ENS Threat Prevention 10.5.x

Tóm tắt

Bài viết này mô tả cách thu thập dữ liệu để khắc phục sự cố ENS Threat Intelligence.

Cách thu thập ghi nhật ký gỡ lỗi ENS Threat Intelligence:

Thực hiện các bước sau để bật ghi nhật ký gỡ lỗi. Sau đó, thu thập các bản ghi sau từ% programdata% \ McAfee \ Endpoint Security \:

Tên nhật ký Description
ThreatIntelligence_Activity.log Tệp nhật ký chính cho Threat Intelligence Exchange.
ThreatIntelligence_Debug.log Gỡ lỗi tệp nhật ký và không hiển thị theo mặc định.
ThreatIntelligence_Comm.log Tệp nhật ký lưu lượng truy cập thông tin liên lạc Threat Intelligence Exchange và không được hiển thị theo mặc định.
EndpointSecurityPlatform_Additional Chứa lỗi từ tất cả các sản phẩm ENS.

Bật ghi nhật ký gỡ lỗi để tạo ThreatIntelligence_Debug.log.

Từ bảng điều khiển ePO:

  1. Nhấp vào Menu, chính sách, danh mục chính sách.
  2. Chọn bảo mật đầu cuối chung từ danh sách sản phẩm thả xuống.
  3. Nhấp vào tên chính sách.
  4. Nhấp vào hiển thị nâng cao.
  5. Trong phần ghi nhật ký gỡ lỗi, hãy chọn bật để ngăn chặn mối đe dọa và bật cho thông báo về mối đe dọa.

LƯU Ý: Trong các phiên bản cũ hơn, khi bạn bật ghi nhật ký gỡ lỗi cho bất kỳ công nghệ ngăn chặn đe dọa nào, nó cũng bật ghi nhật ký gỡ lỗi cho ENS Threat Intelligence. Bật cả hai, nếu tùy chọn tồn tại.

  • Từ bảng điều khiển cục bộ: Điều hướng đến cài đặt, trong phần chung, ghi nhật ký ứng dụng khách và chọn bật ghi nhật ký thông minh về mối đe dọa.

Đặt khóa đăng ký sau, để ghi nhật ký gỡ lỗi, tạo ra ThreatIntelligence_Comm.log.

THẬN TRỌNG: Bài viết này chứa thông tin về cách mở hoặc sửa đổi sổ đăng ký.

  • Thông tin sau dành cho quản trị viên hệ thống. Việc sửa đổi sổ đăng ký là không thể thay đổi được và có thể gây ra lỗi hệ thống, nếu thực hiện không đúng cách.
  • Trước khi tiếp tục, bộ phận hỗ trợ kỹ thuật thực sự khuyên bạn nên sao lưu sổ đăng ký của mình và hiểu quy trình khôi phục. Để biết thêm thông tin, hãy xem bài viết thông tin đăng ký Microsoft Windows cho người dùng nâng cao.
  • Không chạy tệp REG chưa được xác nhận là tệp nhập sổ đăng ký chính hãng.
  1. Tắt tự bảo vệ ENS:
  • Từ bảng điều khiển ePO:
  1. Nhấp vào Menu, chính sách, danh mục chính sách.
  2. Chọn bảo mật đầu cuối chung từ danh sách sản phẩm thả xuống.
  3. Nhấp vào tên chính sách.
  4. Nhấp vào hiển thị nâng cao.
  5. Trong phần tự bảo vệ, bỏ chọn bật tự bảo vệ.
  • Từ bảng điều khiển cục bộ: Điều hướng đến Cài đặt, chung và tắt tự bảo vệ.
  1. Đặt giá trị đăng ký sau:
  2. Nhấn Windows + R, nhập regedit.exe và bấm OK.
  3. Điều hướng đến HKEY_LOCAL_MACHINE \ SOFTWARE \ McAfee \ Endpoint \ TIE \ EnableCommLog.
  4. Đặt giá trị này thành 1.
  5. Thoát khỏi trình chỉnh sửa sổ đăng ký.
  6. Bật lại tự bảo vệ ENS bằng cách chọn Bật tự bảo vệ (xem bước 1 để biết vị trí).

Cách thu thập dữ liệu AMTrace:

AMTrace là một công cụ nội bộ để thu thập dữ liệu ghi nhật ký từ AMCore. Tải xuống AMTrace từ phần Tệp đính kèm trong KB86691. Bài viết cũng có hướng dẫn sử dụng AMTrace. Trong hầu hết các trường hợp, chỉ cần chạy AMTrace.exe từ lời nhắc cmd quản trị viên, mà không cần bất kỳ công tắc nào. Công cụ này sẽ bắt đầu ghi nhật ký và lời nhắc cmd sẽ ghi ‘Đang ghi nhật ký’ Nhấn Enter để dừng.

Cách thu thập dữ liệu Process Monitor (Procmon):

Procmon là một tiện ích Sysinternals của Microsoft. Tải xuống và hướng dẫn đầy đủ có sẵn tại https://technet.microsoft.com/en-us/sysinternals/processmonitor. Sau khi chạy chụp Procmon, hãy lưu Tất cả sự kiện ở định dạng PML gốc.

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: