HIP パッチ管理の構成
Environment
- PAN-OS
- HIP
Resolution
ホスト情報プロファイル ( HIP ) とは何ですか?
GlobalProtectホスト情報プロファイル ( HIP ) 機能を使用すると、最新のセキュリティパッチとウイルス対策定義がインストールされているかどうか、ディスクの暗号化が有効になっているかどうか、カスタム アプリケーションを含む組織内で必要な特定のソフトウェアが実行されているかどうかなど、エンドポイントのセキュリティ状態に関する情報を収集できます。 この情報をセキュリティポリシーで使用して、エンドポイントが特定のリソースへのアクセスを許可されているかどうかを判断することができます。
チェックを構成するための設定 HIP
このドキュメントでは、パッチ管理のチェックを構成するために使用できるさまざまな設定 HIP の概要と、これらの設定が連携して修正プログラム管理のチェックのステータスを決定する方法について説明します HIP 。 ホスト情報プロファイルの詳細とセキュリティの適用で使用できる方法については Policy 、「 Policy 実施におけるホスト情報の使用」を参照してください。
構成1
オブジェクトが HIP 「 なし」 の重大度で構成され、パッチがリストされていない場合、レポートに少なくとも 1 つの欠落パッチを報告するエンドポイント HIP は HIP 、図 1 のオブジェクトと一致します。
図 1
この構成では、不足しているパッチの重大度は結果に影響しません。 また 、チェック 値 (has-any、 has-none、または all) も結果に影響しません。 たとえば、ホスト状態が図 2 のエンドポイントでは、 HIP このエンドポイントに少なくとも 1 つのパッチが欠落しているため、このオブジェクトと一致します。
図 2
構成 2
オブジェクトが HIP 任意の重大度値 (None 以外) で 構成され、パッチがリストされていない場合、その重大度に一致する少なくとも 1 つの欠落パッチを報告するエンドポイントは、このオブジェクトと一致 HIP します。 図 3 を参照してください。
図 3
この構成では、不足しているパッチの重大度が結果に影響します。 (重大度は、オブジェクトで定義されている重大度と一致する必要があります HIP )。 ただし、 チェック 値 (has-any、 has-none、または all) は結果に影響を与えません。 たとえば、ホスト状態が図 4 に示されているエンドポイントは、このオブジェクトと一致 HIP します。 図 4 で強調表示されているパッチは重大度 0 であり、オブジェクト定義と一致するため、エンドポイント上の他の欠落しているパッチの重大度を確認しなくても、これを確認できます HIP 。
図 4
構成3a
オブジェクトが HIP 次のように構成されている場合:
- 任意の重大度値 ( なし以外)
- チェック値は 、任意の
- 図5に示すように、パッチ id が一覧表示されます。
図 5
次に、重大度に一致し、リストされているパッチのいずれかを見逃す、少なくとも 1 つの欠落したパッチを持つエンドポイントは、このオブジェクトと一致します HIP 。
重大度が設定され、パッチ ID がリストされるため、Check 値 (all として、 、 - none、または all を 持つ) が有効になります。 チェック値が [任意を持つ]の場合、次の条件の両方が満たされている場合は一致します。
- クライアント上の少なくとも1つの不足しているパッチが重大度と一致する
- クライアントが報告した欠落パッチに対応するように設定された、欠落 firewall しているパッチのいずれかが一致します。
たとえば、図 6 のホスト状態のエンドポイントは、このオブジェクトと一致 HIP します。 このエンドポイントには、重大度が 大きい等号 0 のパッチが少なくとも 1 つ含まれており、そのエンドポイントには、リストされているパッチ(KB2592687)のいずれかが欠落しています。
(一覧にKB2592687" を追加する場合は、 KB " " をスキップして "2592687"を登録する必要があります。
図 6
同じエンドポイントが NOT 図 HIP 7 のオブジェクトと一致します。 エンドポイントに、重大度が 0 に 等しいパッチが少なくとも 1 つ欠けているにもかかわらず、一覧に示されているパッチ(KB00000 および KB00001)は見つかりません。
図 7
構成3b
チェック値が allの場合、次の条件の両方が満たされている場合は一致します。
- エンドポイント上の欠落しているすべてのパッチが重大度と一致します。
- で設定された欠落しているパッチはすべて firewall 、エンドポイントによって報告される欠落パッチに含まれます。
設定 3c
HIP オブジェクトが次のように設定されている場合:
- 重大度値 ( なし以外)。
- チェック値は 、なしです。
- 図8に示すように、パッチ id が一覧表示されます。
図 8
次に、次の条件の両方を満たすエンドポイントがオブジェクトと一致 HIP します。
- エンドポイントは、重大度に一致するすべてのパッチを見逃すことはありません。
- エンドポイントは、リストされているパッチを見逃しません。
この構成では、重大度が設定され、パッチ ID がリストされている場合、チェック値( has-any 、 has-none、 has-all) が有効になります。
チェック値が [なしを含む]の場合、次の条件の両方が満たされている場合は一致します。
- エンドポイントで欠落しているパッチは、重大度と一致しません。
- にリストされているパッチ firewall は、エンドポイントによって報告された欠落しているパッチには含まれません。
たとえば、図 9 のホスト状態のエンドポイントは、このオブジェクトと一致 HIP します。 このエンドポイントには、重大度が[大きい等号] 100のパッチが見つかりません。
結論
基本的には、クライアントから報告された欠落しているパッチに対して行われる評価の 2 種類があります GlobalProtect 。 いずれかの評価が失敗すると、一致は失敗します。
- 重大度--この条件は、エンドポイントで欠落しているパッチのリストに適用されます。
- チェック (持っているすべて 、 持つ、 なし) -- この条件は、オブジェクトにリストされているパッチに適用 HIP されます。