HIP Configuration pour la gestion des correctifs
Environment
- PAN-OS
- HIP
Resolution
Qu’est-ce que le profil d’information de l’hôte HIP ( )?
La fonction Profil d’information hôte () peut être utilisée pour recueillir des informations sur l’état de sécurité des paramètres - tels que s’ils ont installé les derniers GlobalProtect HIP correctifs de sécurité et définitions antivirus, s’ils ont activé le chiffrement du disque, ou s’il s’agit d’exécuter des logiciels spécifiques dont vous avez besoin au sein de votre organisation, y compris des applications personnalisées. Ces informations peuvent ensuite être utilisées dans les stratégies de sécurité pour décider si le point de terminaison est autorisé à accéder à une ressource spécifique ou non.
Paramètres pour configurer les HIP contrôles
Ce document donne un aperçu des différents paramètres disponibles pour configurer les contrôles pour HIP la gestion des correctifs et comment ces paramètres travaillent ensemble pour déterminer l’état HIP d’une vérification de la gestion des correctifs. Pour plus de détails sur le profil d’information de l’hôte et la façon dont cela peut être utilisé dans security Policy enforcement, consultez l’utilisation des informations hôtes dans l’application de la Policy loi
Configuration 1
HIPLorsqu’un objet est configuré avec une gravité de Aucun et qu’aucun correctif n’est répertorié, alors tout point de terminaison qui signale au moins un patch manquant dans le HIP rapport correspondra à HIP l’objet de la figure 1.
Figure 1
Avec cette configuration, la sévérité du correctif manquant n'a pas d'impact sur les résultats. Aussi la valeur check (has-any, has-none, ou has-all) n’a pas d’impact sur les résultats. Par exemple, un point de terminaison avec l’état hôte de la figure 2 correspondra à HIP cet objet parce que ce point final a au moins un patch manquant.
Figure 2
Configuration 2
Lorsqu’un HIP objet est configuré avec n’importe quelle valeur de gravité (en dehors de None) et qu’aucun correctif n’est répertorié, alors tout point final qui signale au moins un patch manquant qui correspond à cette gravité correspondra à HIP cet objet. Voir la figure 3.
Figure 3
Avec cette configuration, la sévérité du patch manquant n'a pas d'impact sur le résultat. (La gravité doit correspondre à la gravité définie dans HIP l’objet). Toutefois, la valeur Check (has-any, has-none, ou has-all ) n’apas d’impact sur les résultats. Par exemple, un point de terminaison avec l’état hôte indiqué dans la figure 4 correspondra à cet HIP objet. Nous pouvons le dire sans avoir à examiner la gravité des autres correctifs manquants sur le point final parce que le patch mis en évidence dans la figure 4 a la gravité 0 et il correspond à la définition de HIP l’objet.
Figure 4
Configuration 3A
HIPLorsqu’un objet est configuré avec les éléments suivants :
- Toute valeur de gravité (en plus de aucun)
- La valeur Check est has-any
- Les ID de patch sont répertoriés comme illustré à la figure 5.
Figure 5
Ensuite, un point de terminaison avec au moins un patch manquant qui correspond à la gravité et manque également l’un des correctifs énumérés, correspondra à cet HIP objet.
Étant donné que la gravité est définie et que les ID de correction sont répertoriés, la valeur Check (comme tout, n’a pas, ou has-all) a un effet. Lorsque la valeur Check est has-any,il ya une correspondance si ces deux conditions sont remplies:
- Au moins un patch manquant sur le client correspond à la gravité
- L’un des correctifs manquants configurés firewall pour les correspondances d’un patch manquant signalé par le client.
Par exemple, un point de terminaison avec l’état hôte de la figure 6 correspondra à cet HIP objet. Ce point final a au moins un patch dont la gravité est plus grande égale 0 et le point final est également absent l’un des correctifs énumérés (KB2592687).
(Si vous voulez ajouter patch "KB2592687" à la liste, vous devez sauter KB " et enregistrer "2592687« .)
Figure 6
Le même point de terminaison NOT correspondra à HIP l’objet de la figure 7. Même si le point final manque au moins un patch de avec une gravité de Plus Grand Égal à 0, il ne manque aucun des correctifs énumérés (KB00000 et KB00001).
Figure 7
Configuration 3b
Lorsque la valeur Check est has-all,il ya une correspondance si ces deux conditions sont remplies:
- Tous les correctifs manquants sur le point de terminaison correspondent à la gravité.
- Tous les correctifs manquants configurés sur firewall le sont inclus dans les correctifs manquants signalés par le point de terminaison.
Configuration 3c
Lorsqu’un HIP objet est configuré avec les éléments suivants :
- Toute valeur de gravité (outre Aucun).
- La valeur De contrôle est n’a-aucun.
- Les ID de patch sont répertoriés comme illustré à la figure 8.
Figure 8
Ensuite, tout point de terminaison qui répond aux deux conditions suivantes correspondra à HIP l’objet :
- Le point de terminaison ne manque aucun patch qui correspond à la gravité.
- Le point de terminaison ne manque aucun des correctifs répertoriés.
Avec cette configuration, lorsque la gravité est définie et les ID patch sont répertoriés, puis la valeur Check (has-any, has-none, has-all) a un effet.
Lorsque la valeur Check n’est pas en reste,il y a correspondance si les deux conditions suivantes sont remplies :
- Aucun des correctifs manquants sur le point de terminaison ne correspond à la gravité.
- Aucun des correctifs énumérés dans le firewall sont inclus dans les correctifs manquants signalés par le point de terminaison.
Par exemple, un point de terminaison avec l’état hôte de la figure 9 correspond à cet HIP objet. Ce point final manque tout patch qui a une gravité de Greater Equal 100 et ce point final ne manque pas non plus à la fois patch KB00000 et patch KB00001.
Conclusion
Fondamentalement, il existe deux types d’évaluations effectuées sur les correctifs manquants signalés par le GlobalProtect client. La correspondance échoue si l'une des évaluations échoue.
- Gravité--cette condition est appliquée à la liste des correctifs manquants sur le point de terminaison.
- Vérifiez (has-all, has-any, has-none) - Cette condition est appliquée contre les correctifs énumérés dans l’objet. HIP