Stand: 230606
Rückmeldungen an: Tom
Listet die Event-Logs von Cisco AMP
Liefert:
-
Alle 'Malicious' Activity Events mit der Angabe, welcher Detektor den 'Schädling' entdekt hat
-
Alle Files, die in die Quarantäne verschoben wurden
-
Alle Events
Beispiele:
1) Alle 'Malicious' Activity Events abrufen.
Zeigt an, welcher Detektor den 'Schädling' entdekt hat
Aufruf aus einer PowerShell:
# Event-Logs lesen
$ResAMPMaliciousActivity = iex "& { $(irm 'https://www.akros.ch/it/Scripts/Get-CiscoAMP-Events.ps1') } -GetMaliciousActivity"
# Resultat ausgaben
$ResAMPMaliciousActivity | select -First 2 TimeCreated, DetectorName, File
# Ausgabe:
TimeCreated DetectorName File
----------- ------------ ----
05.06.2023 12:15:29 Heur.BZC.PZQ.Boxter.919.8C125CB7 D:\Scripts\…
05.06.2023 12:15:29 Heur.BZC.PZQ.Boxter.919.22FB8DD2 D:\Scripts\…
2) Alle Files anzeigen, die in die Quarantäne verschoben wurden
Aufruf aus einer PowerShell:
# Event-Logs lesen
$ResAMPQuarantinedFiles = iex "& { $(irm 'https://www.akros.ch/it/Scripts/Get-CiscoAMP-Events.ps1') } -GetQuarantinedFile"
# Resultat ausgaben
$ResAMPQuarantinedFiles | select -First 2 TimeCreated, Msg, File
# Ausgabe
TimeCreated Msg File
----------- --- ----
05.06.2023 12:15:29 Quarantined D:\Scripts\…
05.06.2023 12:15:29 Quarantined D:\Scripts\…
3) Alle Cisco AMP Events auslesen
Aufruf aus einer PowerShell:
# Event-Logs lesen
$ResAMPEvents = iex "& { $(irm 'https://www.akros.ch/it/Scripts/Get-CiscoAMP-Events.ps1') }"
# Resultat ausgaben
$ResAMPEvents
# Ausgabe
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
05.06.2023 12:19:22 1249 Informationen Scan (Full Scan) completed successfully. A total of …
05.06.2023 12:15:29 1300 Informationen Malicious activity detected (D:\Scripts\…)[Heur.BZC.PZQ.Boxter.919.8C125CB7].
05.06.2023 12:15:29 1310 Informationen Quarantine of malicious file (D:\Scripts\…) successful.