HIP Konfiguration für die Patchverwaltung

Was ist das Hostinformationsprofil ( HIP )?

Die GlobalProtect HIP Hostinformationsprofilfunktion ( ) kann verwendet werden, um Informationen über den Sicherheitsstatus der Endpunkte zu sammeln, z. B. ob die neuesten Sicherheitspatches und Antivirusdefinitionen installiert sind, ob sie die Festplattenverschlüsselung aktiviert haben oder ob bestimmte Software ausgeführt wird, die Sie in Ihrer Organisation benötigen, einschließlich benutzerdefinierter Anwendungen. Diese Informationen können dann in Sicherheitsrichtlinien verwendet werden, um zu entscheiden, ob der Endpunkt auf eine bestimmte Ressource zugreifen darf oder nicht.

Einstellungen zum Konfigurieren von HIP Prüfungen

Dieses Dokument bietet einen Überblick über die verschiedenen Einstellungen, die für die Konfiguration von Prüfungen für die Patchverwaltung verfügbar sind, HIP und wie diese Einstellungen zusammenarbeiten, um den Status einer Überprüfung für die Patchverwaltung zu HIP bestimmen. Weitere Informationen zum Hostinformationsprofil und deren Verwendung in der Policy Sicherheitserzwingung finden Sie unter Verwenden von Hostinformationen in Policy Enforcement

Konfiguration 1

Wenn ein HIP Objekt mit dem Schweregrad Keine konfiguriert ist und keine Patches aufgeführt sind, stimmt jeder Endpunkt, der mindestens einen fehlenden Patch im Bericht meldet, mit dem Objekt in Abbildung HIP 1 HIP überein.

Abbildung 1

Mit dieser Konfiguration wirkt sich die Schwere des fehlenden Patches nicht auf die Ergebnisse aus. Auch der Check-Wert (has-any, has-none, oder has-all) wirkt sich nicht auf die Ergebnisse aus. Beispielsweise stimmt ein Endpunkt mit dem Hoststatus in Abbildung 2 mit diesem Objekt überein, HIP da auf diesem Endpunkt mindestens ein Patch fehlt.

Abbildung 2

Konfiguration 2
Wenn ein HIP Objekt mit einem beliebigen Schweregradwert konfiguriert ist (außer Keine) und keine Patches aufgelistet sind, wird jeder Endpunkt, der mindestens einen fehlenden Patch meldet, der diesem Schweregrad entspricht, mit diesem HIP Objekt übereinstimmen. Siehe Abbildung 3.
 

Abbildung 3

Mit dieser Konfiguration wirkt sich die Schwere des fehlenden Patches auf das Ergebnis aus. (Der Schweregrad sollte mit dem im Objekt definierten Schweregrad HIP übereinstimmen). Der Check-Wert (has-any, has-none, oder has-all) wirkt sich jedoch nicht auf die Ergebnisse aus. Beispielsweise stimmt ein Endpunkt mit dem in Abbildung 4 dargestellten Hoststatus mit diesem HIP Objekt überein. Wir können dies feststellen, ohne den Schweregrad anderer fehlender Patches auf dem Endpunkt untersuchen zu müssen, da der in Abbildung 4 hervorgehobene Patch den Schweregrad 0 hat und mit der HIP Objektdefinition übereinstimmt.

Abbildung 4

Konfiguration 3a

Wenn ein HIP Objekt wie folgt konfiguriert ist:

• Jeder Schweregradwert (außer Keine)
• Der Prüfwert ist has-any
• Die Patch-IDs sind wie in Abbildung 5 dargestellt aufgelistet.

Abbildung 5

Dann stimmt ein Endpunkt mit mindestens einem fehlenden Patch, der dem Schweregrad entspricht und auch einen der aufgeführten Patches verfehlt, mit diesem HIP Objekt überein. 

Da der Schweregrad festgelegt ist und Patch-IDs aufgelistet sind, hat der Prüfwert (as-any, has-noneoder has-all) einen Effekt. Wenn der Check-Wert has-anyist, gibt es eine Übereinstimmung, wenn beide bedingungen erfüllt sind:

• Mindestens ein fehlender Patch auf dem Client entspricht der schwere
• Alle fehlenden Patches, die für die Übereinstimmungen konfiguriert sind, firewall ein fehlender Patch, der vom Client gemeldet wurde.

Beispielsweise stimmt ein Endpunkt mit dem Hoststatus in Abbildung 6 mit diesem HIP Objekt überein. Dieser Endpunkt hat mindestens einen Patch, dessen Schweregrad Größer gleich 0 ist, und dem Endpunkt fehlt auch einer der aufgeführten Patches (KB2592687).

(Wenn Sie Patch hinzufügen möchten"KB2592687" zur Liste, müssen Sie überspringen " KB " und registrieren "2592687".)

Abbildung 6


Derselbe Endpunkt NOT entspricht dem HIP Objekt in Abbildung 7. Obwohl dem Endpunkt mindestens ein Patch mit dem Schweregrad Größer gleich 0fehlt, fehlen keine der aufgeführten Patches (KB00000 und KB00001).

Abbildung 7

Konfiguration 3B

Wenn der Check-Wert has-allist, gibt es eine Übereinstimmung, wenn beide Bedingungen erfüllt sind:

• Alle fehlenden Patches am Endpunkt entsprechen der schwere.
• Alle fehlenden Patches, die auf der konfiguriert firewall sind, sind in den fehlenden Patches enthalten, die vom Endpunkt gemeldet werden.

 
Konfiguration 3c
Wenn ein Objekt wie folgt konfiguriert HIP ist:

• Beliebiger Schweregradwert (außer Keine).
• Der Prüfwert ist has-none.
• Die Patch-IDs sind wie in Abbildung 8 dargestellt aufgeführt.

Abbildung 8

Dann stimmt jeder Endpunkt, der beide der folgenden Bedingungen erfüllt, mit dem HIP Objekt überein:

• Der Endpunkt verpasst keinen Patch, der der schwere entspricht.
• Der Endpunkt verpasst keinen der aufgelisteten Patches.

Wenn bei dieser Konfiguration der Schweregrad festgelegt und die Patch-IDs aufgelistet sind, hat der Prüfwert (has-any, has-none, has-all) einen Effekt.

Wenn der Prüfwert has-noneist, gibt es eine Übereinstimmung, wenn beide der folgenden Bedingungen erfüllt sind:

• Keines der Patches, die auf dem Endpunkt fehlen, entspricht der schwere.
• Keiner der patches, die in der aufgeführt firewall sind, ist in den fehlenden Patches enthalten, die vom Endpunkt gemeldet werden.

Beispielsweise stimmt ein Endpunkt mit dem Hoststatus in Abbildung 9 mit diesem HIP Objekt überein. Dieser Endpunkt fehlt jeder Patch mit dem Schweregrad "Größer gleich 100", und dieser Endpunkt fehlt auch nicht sowohl auf Patch KB00000 als auch auf Patch KB00001.

Fazit
Grundsätzlich gibt es zwei Arten von Bewertungen auf den fehlenden Patches, die vom Client gemeldet GlobalProtect werden. Die Partie scheitert, wenn eine der Auswertungen ausfällt.

• Schwere-diese Bedingung wird auf die Liste der Patches angewendet, die am Endpunkt fehlen.
• Check (has-all, has-any, has-none) -- Diese Bedingung wird auf die im Objekt aufgeführten Patches HIP angewendet.