• No results found

Implementatie van Cisco Advanced Malware Protection voor endpoints met identiteitspersistentie

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Implementatie van Cisco Advanced Malware Protection voor endpoints met identiteitspersistentie"

Copied!
8
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 8 pagina )

Hele tekst

(1)

Implementatie van Cisco Advanced Malware Protection voor endpoints met

identiteitspersistentie

Inhoud

Inleiding Voorwaarden   Vereisten

Gebruikte componenten Hostname vs. MAC-adres Werkstroom

Configureren Verifiëren

Problemen oplossen Gerelateerde informatie

Inleiding

In dit document wordt beschreven hoe de optie Identity Persistence of Identity Synchronization op Cisco Advanced Malware Protection (AMP) voor endpoints een computerobject Universal Unity Identifier (UID) kan worden hergebruikt wanneer een computer of virtuele machine (VM) wordt hergebruikt of opnieuw wordt ingezet met een gouden afbeelding. Dit voorkomt de aanmaak van dubbele computerobjecten in een dashboard en onderhoudt aaneengesloten gegevens voor deze computerobjecten. Dit helpt ook om de endpointconnectors te onderhouden, gegevenscontinuïteit te bieden en het licentieteller in controle te houden.

Voorwaarden  

Vereisten

Cisco raadt u aan om kennis te hebben over deze onderwerpen:

Toegang tot de Cisco Advanced Malware Protection voor endpoints

Configuratie van Persistentie van de Identiteit voordat u aanvankelijk de connector implementeert

Identity Persistence wordt alleen ondersteund op Windows Operating System (OS)

Opmerking: De functie voor identiteitspersistentie moet worden ingeschakeld na overleg met het Cisco Technical Assistance Center (TAC).

Opmerking: Identity Persistence mag alleen worden gebruikt in uw Advanced Malware Protection voor uw VDI-omgeving of voor fysieke endpoints die worden uitgevoerd of opnieuw worden voorgesteld met behulp van een gouden afbeelding.

(2)

Opmerking:Er zijn twee scenario's die van toepassing kunnen zijn voor het inzetten van AMP voor eindpunten op fysieke machines:

1. Wanneer u een fysiek eindpunt implementeert of opnieuw afbeeldingen maakt met een gouden afbeelding waarbij de AMP-connector vooraf is geïnstalleerd, MOET u Identity Persistence gebruiken als u duplicaten wilt voorkomen.

2. Wanneer u een fysiek eindpunt met een gouden afbeelding implementeert of opnieuw instelt en de AMP-connector later installeert, is Identity Persistentie NIET NODIG en NIET aangeraden om anders te worden gebruikt, hetgeen problemen kan opleveren zoals:

    * Onjuiste aantal aansluitingen.

    * Onjuiste resultaten van rapportage.

    * Onjuist maken van gegevens pad.

    * Machinenaam omwisselen in auditdocumenten.

    * Connectors die willekeurig vanuit de console registreren en deregistreren.

    * connectors rapporteren niet goed aan de cloud.

    * UID-duplicatie.

    * Machinenaam Duplicatie.

    * Onconsistentie van gegevens.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco Advanced Malware Protection voor endpoints.

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Hostname vs. MAC-adres

Dingen moeten in overweging worden genomen bij het kiezen tussen ID Sync door MAC of ID Sync door Hostname:

Hoeveel gebruikers loggen er in op één machine? Is het één gebruiker per machine?  Als er per machine één gebruiker is, gebruikt u de ID Sync by Hostname. 

Heeft de machine slechts één MAC-adres? Bewaart het een andere virtuele machine?  Als er meerdere MAC-adressen zijn, gebruikt u ID Sync by Hostname

Opmerking: Sommige netwerkscanners of pakketheader zullen een NPCAP loopback adapter installeren die een andere MAC-adresingang zal maken. Dit MAC-adres is hetzelfde voor alle machines met dat gereedschap. Als u ID Sync door MAC gebruikt, zal dit resulteren in duplicaten of machines die dezelfde UID delen.

Werkstroom

Voor de optie Identity Persistence worden deze werkschema's gebruikt als dit mogelijk is:

De optie Identity Persistence is in een beleid ingesteld.

1.

De Advanced Malware Protection voor Endpoints wordt via het dashboard gegenereerd en op een nieuwe computer of VM ingezet.

2.

(3)

Er wordt een nieuw computerobject gemaakt met een UID en de vlag voor identiteitspersistentie.

3.

Registratie-controle

Wanneer de verbindingsservice wordt gestart, wordt de controle van de cloudregistratie

uitgevoerd. De registratiecontrole evalueert de informatie van de huidige machine zoals, hostname en MAC-adres. Het evalueert ook de instelling voor identiteitspersistentie in het beleid tegen de cloud om te bepalen of er een nieuwe UID moet worden gegenereerd.

Registratiecriteria

Een computerobject heeft een verborgen vlag die overeenkomt met de gebruikte instelling voor Identity Persistence. Deze vlag wordt, samen met de unieke informatie (hostname of MAC-adres) gebruikt om de bestaande UUID aan elke machine te geven die aan de criteria voldoet. Als een vlag en de unieke informatie van de machine niet overeenkomen met een bestaand

computerobject, worden er een nieuw UUID en object gegenereerd voor de machine.

Opmerking: Wanneer u hostname gebruikt, wordt de Full Qualified Domain Name (FQDN) gebruikt. Als je een machine hebt die test heet en een andere machine die test.domain.com heet, komen deze niet overeen en de UUID wordt niet opnieuw gebruikt.

Computers verplaatsen

De beweging van computers tussen groepen met verschillende instellingen voor

identiteitspersistentie creëert duplicaten. Dit is te wijten aan een verborgen vlag die bij elke instelling voor identiteitspersistentie is gekoppeld. Wanneer de instellingen niet overeenkomen, worden er duplicaten gegenereerd. Beide groepen moeten hetzelfde beleid toepassen wanneer ze met alle beleidsinstellingen werken. Als de instellingen hetzelfde zijn maar het beleid anders is, worden er duplicaten gemaakt. 

Opmerking: Als u een computer met de Cisco Advanced Malware Protection voor endpoints wilt klonen of image wilt maken, leest u dit document.

MAC-adresselectie

Een machine kan meerdere MAC-adressen hebben, maar het is niet mogelijk om het MAC- adresverkiezingsproces tijdens de connector-registratie handmatig te beïnvloeden. U moet de MAC-adresinstellingen alleen gebruiken als u kunt garanderen dat uw machines slechts één MAC- adres hebben, anders gebruikt u de hostname.

Standaardgroep

Identity Persistence moet ook worden ingesteld voor het beleid dat op uw standaardgroep wordt toegepast. Als een beleid of groep met een actieve machine wordt verwijderd, wordt de machine in de standaardgroep gezet wanneer de volgende keer een registratiecontrole wordt uitgevoerd.

Als de persistentie van de identiteit niet voor de standaardgroep is ingesteld, wordt het dubbele object gegenereerd.

Opmerking: In sommige gevallen kan een gekloonde VM in de Default Group worden geplaatst in plaats van uit de groep waarvan het is gekloond. Verplaats de VM in de juiste groep in de FireAMP-console.

(4)

Configureren

Volg hier de stappen om de connector met Identity Persistentie in te zetten:

Stap 1. Pas de gewenste instellingen voor identiteitspersistentie op uw beleid toe:

Navigeren in naar beheer > Beleid

Selecteer het gewenste beleid. Klik op Bewerken

Blader naar het tabblad Algemeen. Dit wordt standaard geselecteerd

Selecteer de Persistentie van de connector Identity. De vervolgkeuzelijst Identity Synchronization verschijnt zoals in de afbeelding.

(5)

Opmerking: Mogelijkheid om een functie in te schakelen na de installatie van endpoints kan ertoe leiden dat er voor elke machine dubbele objecten worden gegenereerd.

(6)

Selecteer een optie Identity Synchronization die het beste is voor uw omgeving. Deze opties zijn beschikbaar:

None: Functie is niet ingeschakeld. UUID’s van de connector worden onder geen enkele omstandigheid gesynchroniseerd met nieuwe connector. Elke nieuwe installatie genereert een nieuw apparaat.

Door MAC-adres voor alle bedrijven: New Connectors zoeken naar de meest recente connector die hetzelfde MAC-adres heeft om te synchroniseren over alle beleid in de onderneming dat Identity Synchronization heeft ingesteld op een waarde anders dan geen.

Indien geselecteerd, wordt een machineobject gemaakt en gemarkeerd om te synchroniseren met een machine die dat MAC-adres voor de gehele account gebruikt.

Door MAC-adres in beleid: Nieuwe connectors zoeken naar de meest recente connector die hetzelfde MAC-adres heeft om te synchroniseren met binnen hetzelfde beleid. Indien

geselecteerd, wordt een machineobject gemaakt en gemarkeerd om te synchroniseren met een machine die dat MAC-adres gebruikt en geregistreerd is tegen het specifieke beleid.

Door Host name over Business: New Connectors zoeken naar de meest recente Connector die dezelfde hostname heeft om te synchroniseren met alle beleid in de onderneming dat Identity Synchronization heeft ingesteld op een waarde anders dan geen. Indien geselecteerd, wordt een machineobject gemaakt en gemarkeerd om te synchroniseren met een machine die de hostnaam over de gehele account gebruikt. Opmerking: Als u ervoor kiest om Persistentie van de Identity te gebruiken, raadt Cisco u aan om door hostnaam voor het hele bedrijf te gebruiken. Een machine heeft één hostname, maar kan meer dan één MAC adres hebben.

De configuratie over uw bedrijf kan de complexiteit van de configuratie verminderen omdat het de objecten globaal beschikbaar maakt in plaats van per beleid.

Op hostnaam over beleid: Nieuwe connectors zoeken naar de meest recente connector met dezelfde hostname om te synchroniseren met binnen hetzelfde beleid. Indien geselecteerd, wordt een machineobject gemaakt en gemarkeerd om te synchroniseren met een machine die de hostnaam gebruikt en geregistreerd is voor het specifieke beleid.

Stap 2. Download het installatiepakket van het wolkendashboard zoals in de afbeelding:

Navigatie in naar Management > Download Connector

Selecteer de gewenste groepsnaam en -opties

Klik op Download

Gebruik herdistribueerbaar voor implementatiesoftware van derden of offline-installaties

Opmerking: Cisco ondersteunt de ontwikkeling van pakketten of installaties die gebruik maken van implementatiesoftware van derden niet.

(7)

Stap 3. Plaats de aansluiting op de machines in uw organisatie.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Om te controleren of de Persistentie van de Identiteit werkt, volgt u de volgende stappen:

Installeer de connector om een computerobject te genereren dat is gemarkeerd voor Identity Synchronization.

1.

Nadat het object is gemaakt, noteert u het <uid>bestand in het bestand local.xml in de installatiemap C:\Program Files\Sourcefire\fireAMP\local.xml. U moet een soortgelijke regel zien:

<uuid>1234567890-abcd-efgh-ijkl-mnopqrst</uuid>

2.

Installeer vervolgens de aansluiting. Kies Nee om alle bestanden uit het installatiepad te laten verwijderen.

3.

Herstart de pc en installeer de Advanced Malware Protection voor endpoints met hetzelfde pakket als voorheen.

4.

Controleer het bestand local.xml opnieuw in de eerste stappen en zorg ervoor dat het overeenkomt met de UID in het oorspronkelijke bestand Local.xml.

5.

Problemen oplossen

Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

Zorg ervoor dat de installatiepakketten en de instellingen voor identiteitspersistentie consistent zijn.

Als u Identity Persistence na de introductie mogelijk maakt en u een ouder pakket gebruikt om de connector zonder enabled-persistentie te installeren, genereert de connector duplicaten terwijl ze registreren en update het beleid met huidige instellingen.

Als uw machines een UUID lijken te delen, zorg er dan voor dat ze de unieke informatie niet delen, zoals MAC-adressen binnen gevirtualiseerde omgevingen.

Gerelateerde informatie

(8)

Advanced Malware Protection-endpoints

Technische ondersteuning en documentatie – Cisco Systems

Referenties

Download het nu ( PDF - 8 pagina - 166.16 KB )

GERELATEERDE DOCUMENTEN

Kurzweil 3000 v16 voor Mac

• Klik in het menu Lezen op Woord opzoeken of in de werkbalk (Basisonderwijs, Secundair onderwijs of VO, Hoger onderwijs, Volwassenen en Klassiek) of het venster Lezen op de knop

De Total Economic Impact van Mac in bedrijven: M1-update. Kostenbesparingen en voordelen voor het bedrijf Mogelijk gemaakt door Mac JULI 2021

Deze risicogecorrigeerde waarden van ROI, NCW en terugverdientijd zijn bepaald door toepassing van de risicocorrectiefactoren op de niet-gecorrigeerde resultaten in elke gedeelte

Secure met Advanced Malware Protection (AMP) voor endpoints en integratiegids

beveiligingsplatform voor endpoints en wordt uitgevoerd als een preventieve en onderzoekstool dat detectie- en/of reactiefuncties voor Windows-, MacOS-, Linux-, Android-

Op het juiste adres met uw adres!

Heeft de verkopende par- tij een makelaar ingeschakeld om de woning te verkopen, dan komen de kosten hiervan voor zijn rekening. De verkopende makelaar is immers

Op het juiste adres met uw adres!

Heeft de verkopende par- tij een makelaar ingeschakeld om de woning te verkopen, dan komen de kosten hiervan voor zijn rekening. De verkopende makelaar is immers

Catalyst 6500/6000 switches voor ARP- of CAMproblemen bij probleemoplossing

Normaal gesproken zetten Cisco-apparaten geen multicast MAC-adres (clusters virtueel MAC- adres) in de ARP-tabel als deze was opgelost door een unicast IP-adres (virtueel adres van

Snelstand-by routerprotocolfuncties en -functies

Deze routers gebruiken het HSRP MAC-adres wanneer ze de actieve router zijn, en hun ingebouwde adres wanneer ze dat niet zijn.. HSRP gebruikt het volgende MAC-adres op alle

CUCM RTMT-tramlokaties in CLI

Cisco Advanced Malware Protection Service Server Cisco Advanced Malware Protection Service-logboek Cisco AXL-webservice..