Geplande scans op FireAMP/AMP starten voor endpoints
Inhoud
Inleiding Voorwaarden Vereisten
Voordat u begint Configuratie Verificatie
Probleemoplossing
Het beleid is bijgewerkt, maar een geplande taak is niet gevonden De taak is gemaakt, maar wordt niet uitgevoerd
Inleiding
U kunt Geplande scans op FireAMP dagelijks, wekelijks of maandelijks uitvoeren, afhankelijk van uw vereisten. Wanneer u geplande scans maakt, moet u administratieve gebruikersgeloofsbrieven voor uw machines verstrekken. Dit document richt zich op de vereiste rechten van de
gebruikersaccount voor succesvolle geplande scans.
Voorwaarden
Vereisten
Toegang tot het FirePOWER-dashboard
●
Credentials voor een Administrator-account voor Windows-pc’s
●
FirePOWER AMP 3.x voor Windows XP of hoger - geplande scans
●
FirePOWER AMP 4.x voor Windows XP of hoger - geplande scans en endpoints IOC-scans
●
Voordat u begint
Wanneer u een geplande scan in een FireAMP-beleid toevoegt, wordt het beleid serienummer verhoogd. De eindpunten trekken het nieuwe beleid omlaag als ze hartslag sturen. Met de meegeleverde aanmeldingsgegevens maakt FireAMP een geplande taak binnen Windows en wordt de taak later uitgevoerd. Vanwege dit ontwerp moeten we ervoor zorgen dat de rekening die we gebruiken de juiste permissies heeft.
Voordat we een geplande scan maken, zijn er twee belangrijke vereisten voor een
gebruikersaccount die u wilt gebruiken.
Opmerking: Deze rechten zijn ook van toepassing op Endpoint IOC-scans.
De rekening moet een administrateur-rekening zijn. Dit kan een lokale beheerder of een domeinbeheerder zijn.
1.
De account moet in staat zijn in te loggen als partij.
2.
Het inloggen als lot is ingesteld met behulp van groepsbeleid. Als dit niet voor uw domein is
ingesteld, kunnen administratieve rekeningen standaard in staat zijn om in te loggen als batch. Als deze ingesteld is voor uw domein, moet de account behoren tot een groep die gedefinieerd is binnen de Group Policy Object (GPO).
Configuratie
De volgende stappen zijn van toepassing op een domeincontroller met Windows Server 2008 R2:
Voorzichtig: Het is uw verantwoordelijkheid om te zorgen voor de juiste configuratie van het groepsbeleid op de Windows server. Cisco is niet verantwoordelijk voor problemen die worden veroorzaakt door onjuiste configuraties van het groepsbeleid.
Ga naar Start >Administratieve hulpmiddelen > Groepsbeleidsbeheer.
1.
Vouw het bos > domeinen > Your_Domain_Name > Group Policy Objects uit.
2.
Klik met de rechtermuisknop op het beleid dat u wilt wijzigen en kies "Bewerken".
3.
Navigeer naar computerconfiguratie > Beleid > Windows-instellingen >
Beveiligingsinstellingen > Plaatselijk beleid > Toewijzing van gebruikersrechten.
4.
Dubbelklik op Log in als batchtaak.
5.
Selecteer Gebruiker of groep toevoegen.
6.
Klik op Bladeren en voer vervolgens de gewenste gebruiker of groepsnaam in.
7.
Klik op Naam controleren om deze te laten gevalideerd.
8.
Klik op OK totdat u teruggaat naar de groepsbeleidsbeheereditor.
9.
Pas het groepsbeleid op uw domein of groep toe als dit nog niet is toegepast. Nu we de
gebruikersaccount hebben ingesteld, zullen we de scan in het FireAMP-dashboard configureren.
Meld u aan bij het FireAMP Dashboard.
1.
Navigeer naar management > beleid.
2.
Bewerk het gewenste beleid.
3.
Navigeer naar het tabblad Bestand > Geplande scans. Voer een gebruikersnaam en wachtwoord in.
4.
Opmerking: De gebruikersnaam moet in de bestandsindeling voor het domein\gebruikersnaam zijn. Domain suffix is niet nodig.
Configureer het schema. Gebruik het potlood, plus en minus pictogrammen om scans aan te passen, toe te voegen, te verwijderen. Je kunt hier meerdere schema's invoeren. U kunt naast een tijd van 24 uur voor het openen van de scan ofwel Dagelijks, Weekelijks of Maandelijks selecteren. U kunt ook het Scantype kiezen (Flitser of Volledig).
5.
Selecteer Opslaan en selecteer Update bijwerken om de beleidswijzigingen vast te leggen.
6.
Verificatie
Nadat het beleid op de machines is bijgewerkt, dient u een of meer taken in de Windows Task Scheduler te zien met de naam Immunet zoals in het onderstaande scherm:
Probleemoplossing
Het beleid is bijgewerkt, maar een geplande taak is niet gevonden
Als uw beleid wordt bijgewerkt maar u geen geplande taak ziet, is dit waarschijnlijk te danken aan de account die u heeft gebruikt, of aan de ontoereikende toestemming om taken te maken (geen beheerder).
De taak is gemaakt, maar wordt niet uitgevoerd
Als de taak is gemaakt maar niet wordt uitgevoerd, kan de account naar alle waarschijnlijkheid niet in- of uitloggen als batch. Controleer de bovenstaande configuratiestappen om er zeker van te zijn dat uw account correct is geconfigureerd.