Re: Cisco Secure Endpointの自動分離機能について

utilit · ‎2023-03-15

Cisco Secure Endpoint(CSE)のアウトブレイク制御の機能を利用し、端末でマルウェア検知後、対象端末をネットワークから
自動分離する機能の導入に向けた検証を行っております。
疑似マルウェアをDL・検知後、自動で分離状態(Endpoint isolation)となることを確認したのですが、
分離状態を解除後、同様の手順でネットワーク分離が再現しなくなりました。
マルウェアの検知とファイルの隔離は行われているが、端末のネットワークから分離されない状態です。
再度分離できるようにするためにはどのようなオペレーションが必要かご教示願えますでしょうか。

なお、以下を確認しております。
・別端末で試しても初回は分離成功、2度目以降分離NGの状態
・手動での分離は可能
・レート制限には達していない
・24H以上経過後しても分離NG状態が継続
・ポリシーを再度作成し、端末に適用しても分離NG状態が継続

Kenichiro Kato · ‎2023-03-15

こんにちは。手動ででの分離は問題ないということであれば、Automated Actionが動作していないと考えられるのですが、24時間以上経過してもそれが不可能な状態が続くということであれば、現時点では想定できる内容はありません。
個別に調査が必要な事案だと思われますため、可能であればTACへのケースオープンをいただけますと幸いです。

また、もう一点確認するべきポイントとしては、Automated ActionsのメニューのAction Logsの部分がどう表示されているのかと、Computers上の隔離させたい端末の隔離状況を確認いただきたいと存じます。