エンドポイントでトラップクライアントポリシーを表示および管理する方法 (トラップエクスプローラ)

この資料では、トラップエージェントバージョン 3.3. x で保護されているエンドポイントで実行しているクライアントポリシーを表示、解釈、および管理するための手順について説明します。

1.1 エンドポイントでクライアントポリシーを表示する TrapsExplorer

エンドポイントでクライアントポリシーを表示する操作を容易にするために、TrapsExplorer ユーティリティを利用できるようにしました 。
チューニングエクスプロイト保護モジュール (EPMs) の構成が最も一般的なシナリオであるため、TrapsExplorer の現在のバージョンでは、エクスプロイト保護モジュール (EPMs) の構成のみが表示されます。この記事に添付して下さい。

管理者として TrapsExplorer ユーティリティを実行します。

• 開始時に、TrapsExplorer はすべての保護されたプロセスに適用される ' Default ' ポリシーを選択します。左側の保護されたプロセスの一覧から任意のプロセスを選択して、そのプロセスのエクスプロイト保護モジュール (EPMs) 構成を表示します。
• 終了時に、TrapsExplorer は、サービス保護の構成を初期状態に戻すために、アンインストールパスワードの入力を要求します。

注: TrapsExplorer を動作させるには、サービス保護を無効にする必要があります。レジストリの保護が有効になっている場合、TrapsExplorer は警告メッセージを表示し、ステータスバーには次のメッセージが赤色で表示されます。"レジストリの保護の状態: 有効-ここをクリックして有効にする"。ステータスバーを1回クリックすると、サービスの保護のオンとオフを切り替えることができます。アンインストールパスワードを入力する必要があります。

1.2 エンドポイントでのクライアントポリシーの表示 

トラップエクスプローラーを使用できない場合でも、クライアントポリシーを調査し、2つの場所にあるエンドポイントで見つけることができます。

1. xml ファイル ClientPolicy には、エンドポイントセキュリティマネージャー (ESM) からの完全なクライアントポリシーが格納されます。このファイルは、これらの場所で見つけることができます:
   
   windows 眺めと上: C:\ProgramData\Cyvera\LocalSystem
   windows XP: C:\Documents と Settings\All Users\Application Data\Cyvera\LocalSystem
   
   
2. エージェントの設定、悪用保護モジュール (EPMs)、およびマルウェア対策モジュール (MPMs) 構成に制限されているため、クライアントポリシーは次のレジストリパスに格納されます。これは、保護モジュールによって utlimately に適用される構成です。
   
   

   HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy
   
   

   注:上記のレジストリパスは、サービス保護 (特にレジストリの保護) がエージェントで無効になっている場合にのみ、読み取り用にアクセスできます。エンドポイントセキュリティマネージャ (ESM) コンソールの [設定] > [エージェント] > [設定] ページから、エージェントのサービス保護を設定できます。cytoolコマンドラインユーティリティを使用して、エンドポイントのサービス保護の状態を確認および制御することもできます。例を示します。
   
   

   "c:\\ プログラムの Files\Palo アルト Networks\Traps\cytool.exe" クエリを保護する

   
   cytool コマンドラインユーティリティの詳細については、バージョン 3.3. x https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-admin-guide/のトラップ管理者ガイドの「cytool」セクションを参照してください。
   troubleshooting/cytool.html

1.3 エンドポイントでのクライアントポリシーの解釈

TrapsExplorer を使用せずに、レジストリおよび ClientPolicy ファイルのクライアントポリシーから悪用保護モジュール (EPMs) およびマルウェア保護モジュール (MPMs) 構成を解釈するには、モジュールコードとレジストリキーの知識が必要です構造。簡単な概要の下で見つけなさい:

悪用保護モジュール (EPMs) およびマルウェア対策モジュール (MPMs) の構成は、保護された各プロセスごとに、またはすべての保護されたプロセスについて見つけることができます。

HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default キーは、すべての保護されたプロセスに適用する構成を格納します。
HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\ キーは、プロセス<Process_Name>が特に構成されている場合に、' Default ' 構成に適用する処理固有の構成を格納します。</Process_Name>

例を示します。

• HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default\J01 の値が "0" の DWORD を "有効" にすると、すべての保護されたプロセスに対して JIT 軽減 (J01) が既定で無効になることを意味します。
• HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\acrobat.exe\J01 で値 ' 1 ' を持つ DWORD を "有効" にすると、acrobat で JIT 軽減 (J01) が有効になることを意味します。この構成は、acrobat の既定の構成よりも優先されます。
  この例の最終的な結果は、すべての保護されたプロセスに対して JIT 軽減 (J01) が無効になっているが、acrobat で有効になっていることです。

2.1 TrapsExplorer を使用せずにエンドポイントでクライアントポリシーを管理する

エンドポイントで実行されているポリシーは、エンドポイントセキュリティマネージャー (ESM) コンソールから管理する必要があります。

状況によっては、互換性の問題の分離中に、エンドポイントで直接ポリシーを管理すると便利な場合があります。ほとんどの場合、悪用保護モジュール (EPMs) およびマルウェア対策モジュール (MPMs) の設定は、レジストリで一時的に変更して、特定の構成の結果を確認し、それをエンドポイントセキュリティマネージャ (ESM) コンソールから適用することができます。

次の手順に従って、エンドポイントのクライアントポリシーを一時的に変更します。

1. 必要に応じて、サービス保護を無効にします。
   
   これは、Windows レジストリ内の関連するキーへのアクセスを許可するために必要です。
   これは、エンドポイントセキュリティマネージャ (ESM) コンソールの [設定] > [エージェント] > [設定] ページ、または管理者特権のコマンドプロンプトから cytool ユーティリティを使用して行うことができます。 
   
   注意してください, それは、cytool ユーティリティを使用して、この手順を続行するには、アンインストールパスワードを入力する必要があります.
   
   

   "c:\\ プログラムの Files\Palo アルト Networks\Traps\cytool.exe" を無効に保護

2. トラップの Windows NT サービスを停止します。
   
   エンドポイントの管理者特権でのコマンドプロンプトから次を実行します。
   
   注: このアクティビティの全期間について、トラップサービスが停止したままであることを確認してください。必要に応じて、サービスのスタートアップの種類を "無効" に設定することができます。
   
   

   sc ストップ CyveraService

3. 構成を変更し、必要なテストを実行します。
   
   Windows レジストリにアクセスし、必要な構成に従って、次のキーの内容を変更します。
   構成の変更を適用するには、トラップを挿入するプロセスを再起動する必要があることに注意してください。この windows セッション (つまり logonui) 内で終了できない windows プロセスである場合は、ログオフまたは再起動が必要です。
   
   
4. エンドポイントを初期状態に戻します。
   
   上記の手順 (1) でサービス保護が無効になっている場合は、再度有効にしてください。これは、エンドポイントセキュリティマネージャ (ESM) コンソールの [設定] > [エージェント] > [設定] ページ、または管理者特権のコマンドプロンプトから cytool ユーティリティを使用して行うことができます。
   
   注意してください, それは、cytool ユーティリティを使用して、この手順を続行するには、アンインストールパスワードを入力する必要があります.
   
   

   "c:\\ プログラムの Files\Palo アルト Networks\Traps\cytool.exe" ポリシーを保護する

   
   エンドポイントの管理者特権でのコマンドプロンプトから次を実行します。トラップサービスが開始され、ハートビートが完了すると、クライアントポリシーはエンドポイントセキュリティマネージャ (ESM) のものに戻されます。これ以上の操作は必要ありません。
   
   注:上記の手順 (2) で変更された場合は、トラップサービスのスタートアップの種類が元の値に戻されていることを確認してください。
   
   

   sc スタート CyveraService

5. 新しい構成を適用します。
   
   分離が完了すると、エンドポイントセキュリティマネージャー (ESM) のエクスプロイト保護モジュール (EPM) 構成を新しい調査結果で更新できます。たとえば
   
   、メモ帳 + + .exe の DLL セキュリティ (DllSec) を無効にして互換性の問題を回避できることが判明した場合、この構成をエンドポイントセキュリティマネージャー (ESM) コンソールで関連するエンドポイント用に作成できるようになりました。
   
   
6. サポートするためのレポート。
   
   この調査中に見つかった情報とともに、元の問題を報告するために、パロアルトネットワークのサポートにお問い合わせください。
   https://www.paloaltonetworks.com/company/contact-support

大事な！上記の手順で注意してください。クライアントポリシーのトラブルシューティング中に、エンドポイントをネットワークから切り離し、セキュリティで保護する必要があります。トラップサービスが停止している間、山火事、制限、およびプロセスレポートは機能しません。エンドポイント保護モジュール (EPM) およびマルウェア対策モジュール (MPM) モジュールがあります。また、エージェントはエンドポイントセキュリティマネージャー (ESM) と通信しないため、CyveraService サービスがエンドポイントで停止している限り、ポリシーへの変更は適用されません。