So erstellen Sie einen HIP benutzerdefinierten Scheck für einen plist-Eintrag auf dem Mac - Global Protect
19397
Created On 03/03/21 14:14 PM - Last Modified 08/16/24 20:27 PM
Objective
In diesem Artikel wird erläutert, wie Sie einen benutzerdefinierten Check für einen plist-Eintrag mit auf Mac erstellen und HIP OS testen.
Environment
Global Protect auf Mac OS X
Procedure
1) Erstellen Sie den plist-Eintrag zum Testen (wenn Sie noch keinen haben,
den Sie verwenden möchten) Wenn Sie z. B. einen neuen plist-Eintrag mit dem Schlüssel "testKeyName" und testKeyName mit dem Wert "testKeyVal" erstellen möchten, öffnen Sie Terminal und verwenden Sie den folgenden Befehl:
user1@user1s-Mac ~ % defaults write com.pantest.plist testKeyName testKeyValDadurch wird ein plist-Eintrag im Benutzereinstellungsordner unter .Pro https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC kann der GP Client für Mac nur plist-Einträge im Ordner "Benutzereinstellungen" ( ./Library/Preferences) oder im Ordner "Systemeinstellungen" ( /Library/Preferences ) lesen.
Um den plist-Eintrag zu bestätigen, verwenden Sie den Standardbefehl read:
user1@user1s-Mac ~ % defaults read com.pantest.plist
{
testKeyName = testKeyVal;
}2) Konfigurieren Sie das Portal / GW um die benutzerdefinierte plist und Schlüssel-Info
zu sammeln Dieser Schritt wird eine von zwei Möglichkeiten sein, je nachdem, ob Sie die plist / Schlüssel für die Auswahl einer Agentenkonfiguration verwenden GP möchten, oder wenn Sie die plist / Taste in einem Profil für die Verwendung in einer Sicherheit verwenden HIP policy möchten.
A ) Um das Portal so zu konfigurieren, dass die benutzerdefinierten plist-Informationen für die Auswahl einer GP Agentenkonfiguration
gesammelt werden, wählen Sie Ihre Portalkonfiguration aus (wie im Screenshot zu sehen), und wählen Sie Portal-Datensammlung aus.Hier können Sie das Portal anweisen, benutzerdefinierte Prüfinformationen für die Verwendung in GP Agentenkonfigurationsauswahlkriterien zu sammeln.Wählen Sie unter benutzerdefinierten Prüfungen Mac aus und fügen Sie dann den plist-Namen hinzu (schließen Sie am Ende .plist nicht ein) und in unserem Beispiel fügen wir auch einen Schlüssel aus diesem Plist hinzu, für den wir GP den Wert erhalten möchten.Beachten Sie, dass, wenn Sie den plist nur für das Portal konfigurieren, wie in diesem Schritt erwähnt, kein Protokoll für die Übereinstimmung angezeigt wird, HIP selbst wenn ein Objekt vorhanden HIP ist.Das ist nur für Schritt B relevant.
Um zu erkennen, ob die Konfiguration auf dem Agenten empfangen wird, können Sie PanGPS.log auf Einträge überprüfen, die den folgenden ähneln:
P51675-T13059 03/03/2021 08:41:26:428 Debug( 77): Portal config criteria is restored. P51675-T13059 03/03/2021 08:41:26:428 Dump ( 101): CSC custom check: custom-checks> <mac-os> <plist> <entry name="com.pantest"> <key> <member>testKeyName</member> </key> </entry> </plist> </mac-os> </custom-checks>Wenn Sie keine Agent-Konfigurationskriterien erfüllen, wird möglicherweise eine Meldung angezeigt, dass Sie nicht berechtigt sind, eine Verbindung mit GlobalProtect Portal herzustellen.Sie können bestätigen, dass in PanGPS keine Agentenkonfiguration .log mit einem Eintrag<portal-status>"Keine Portalkonfiguration</portal-status>" übereinstimmt.) So konfigurieren Sie
B das Gateway so, dass es die benutzerdefinierten plist-Informationen für die Verwendung in einem HIP Profil/Sicherheit policy
sammelt. Wählen Sie dann Ihre Portalkonfiguration aus, und dann die Agentenkonfiguration auf der Registerkarte Agent.Klicken Sie auf HIP Datensammlung, und stellen Sie sicher, dass das Kontrollkästchen Daten sammeln HIP aktiviert ist.Wählen Sie dann unten benutzerdefinierte Prüfungen > Mac aus und fügen Sie den plist-Wert in Schritt wie oben angegeben A hinzu.Fügen Sie .plist nicht am Ende des plist-Namens hinzu.
Um zu bestätigen, dass die Daten gesammelt werden, können Sie PanGPS.log überprüfen und Folgendes finden:
P51675-T13059 03/03/2021 08:40:07:594 Debug( 71): HipCustomCheck(): check registry key com.pantest completed. Exist: yes, Value: (null) P51675-T13059 03/03/2021 08:39:59:535 Debug( 242): testKeyName is type of String. P51675-T13059 03/03/2021 08:39:59:535 Debug( 245): Preference testKeyName has string value testKeyVal
3) Wenn Sie Schritt B von oben für die Verwendung von benutzerdefinierten Prüfdaten in Sicherheitsrichtlinien verwenden, können Sie ein Objekt konfigurieren, um zu HIP bestätigen, dass der die firewall erwarteten Daten vom Agenten empfängt.
Um ein HIP Objekt zu konfigurieren, gehen Sie zu Objekte > GlobalProtect > Objects und fügen Sie ein Objekt HIP hinzu.Aktivieren Sie benutzerdefinierte Prüfungen, und wählen Sie Plist aus, und erstellen Sie dann das Objekt wie gewünscht.Sie können den "plist does not exist" verwenden, um zu überprüfen, ob sich der Sockel nicht auf dem Client-Rechner befindet, oder Sie können den Schlüssel / Werte leer lassen und die Auswahl des Plists nicht deaktivieren, um zu überprüfen, ob der Sockel vorhanden ist.Dies hat den gleichen Effekt wie das Überprüfen der Schaltfläche "Negieren" aus der Liste der Plists unter der Registerkarte Benutzerdefinierte Prüfungen.Wenn Sie nach einem bestimmten Schlüssel-Wert-Paar suchen möchten, geben Sie den Schlüsselnamen und den Für eine Übereinstimmung erwarteten Schlüsselwert ein.In unserem Beispiel verwenden wir den plist, Schlüsselnamen und Schlüsselwert, den wir oben auf unserem Client-Rechner erstellt haben.Wenn Sie Client-Computern entsprechen möchten, bei denen der Schlüsselwert ein bestimmter Wert ist, aktivieren Sie die Spalte Schaltfläche NOT negieren neben dem Schlüssel-Wert-Paar.
Nachdem Sie diese Änderung festgeschrieben haben und die Clientverbindung trennen/wieder herstellen, GP sollten Einträge unter > Objekte überwachen angezeigt HIP werden.
Sobald Sie die erwarteten Übereinstimmungen hier sehen, können Sie Profile für die HIP Verwendung in Sicherheitsrichtlinien erstellen.
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC
https://docs.paloaltonetworks.com/ globalprotect /9-1/ globalprotect -admin/host-information/collect-application-and-process-data-from-endpoints.html