Comment créer une vérification HIP personnalisée pour une entrée de liste sur Mac - Global Protect
19395
Created On 03/03/21 14:14 PM - Last Modified 08/16/24 20:27 PM
Objective
Cet article discutera de la façon de créer et de tester une vérification personnalisée pour une entrée de liste avec HIP sur Mac OS .
Environment
Global Protect sur Mac OS X
Procedure
1) Créez l’entrée plist pour tester avec (si vous n’en avez pas déjà une que vous souhaitez utiliser)
Par exemple, si vous souhaitez créer une nouvelle entrée plist avec une clé nommée « testKeyName » et testKeyName avec une valeur de « testKeyVal », ouvrez terminal et utilisez la commande suivante:
user1@user1s-Mac ~ % defaults write com.pantest.plist testKeyName testKeyValCela créera une entrée de liste plist dans le dossier de préférence de l’utilisateur à ~/Library/Preferences.Par https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC client pour Mac ne peut lire GP que les entrées de liste plist dans le dossier préférences de l’utilisateur ( ~/Bibliothèque/Préférences) ou le dossier préférences système ( /Bibliothèque/Préférences).
Pour confirmer l’entrée de la liste plist, utilisez la commande lecture par défaut :
user1@user1s-Mac ~ % defaults read com.pantest.plist
{
testKeyName = testKeyVal;
}2) Configurer le portail / GW pour recueillir la liste de plist personnalisée
et les informations clés Cette étape sera l’une des deux façons, selon si vous voulez utiliser la liste plist / clé pour sélectionner une configuration GP d’agent, ou si vous voulez utiliser la liste plist / clé dans un HIP profil pour une utilisation dans une sécurité . policy
A ) Pour configurer le portail pour collecter les informations de liste personnalisées pour une utilisation dans la sélection GP d’une configuration d’agent
Sélectionnez votre configuration de portail (comme on le voit dans la capture d’écran) et sélectionnez Portal Data Collection.C’est là que vous pouvez diriger le portail pour recueillir des informations de vérification personnalisées pour une utilisation dans GP les critères de sélection de config agent.En vertu de contrôles personnalisés, sélectionnez Mac, puis ajoutez le nom de la liste plist (n’incluez pas .plist à la fin) et dans notre exemple, nous ajouterons également une clé de cette liste, pour laquelle nous voulons obtenir GP la valeur pour.Notez que si vous configurez la liste plist pour le portail seulement, comme mentionné dans cette étape, vous ne verrez pas un journal pour HIP la correspondance, même s’il ya un objet HIP existant.C’est pertinent pour B l’étape seulement.
Pour savoir si le config est reçu sur l’agent, vous pouvez vérifier panGPS.log pour les entrées similaires à ce qui suit:
P51675-T13059 03/03/2021 08:41:26:428 Debug( 77): Portal config criteria is restored. P51675-T13059 03/03/2021 08:41:26:428 Dump ( 101): CSC custom check: custom-checks> <mac-os> <plist> <entry name="com.pantest"> <key> <member>testKeyName</member> </key> </entry> </plist> </mac-os> </custom-checks>Si vous ne correspondez à aucun critère de config d’agent, vous pouvez voir un message indiquant que vous n’êtes pas autorisé à vous connecter à GlobalProtect Portal.Vous pouvez confirmer qu’aucune configuration d’agent n’a été appariée dans PanGPS.log avec<portal-status>une entrée « Pas de configuration</portal-status>de portail ».
B ) Configurer la passerelle pour collecter les informations de liste plist personnalisées pour une utilisation dans un HIP profil / sécurité policy
Sélectionnez votre configuration de portail, puis la configuration de l’agent à partir de l’onglet Agent.Cliquez HIP sur Collecte de données et assurez-vous que la case Collect Data est HIP cochée.Ensuite, en bas sélectionnez les contrôles personnalisés > Mac et ajoutez la valeur de la liste plist la même que indiquée ci-dessus dans l’étape A .N’ajoutez pas de .plist à la fin du nom de la liste.
Pour confirmer que les données sont collectées, vous pouvez vérifier panGPS.log et trouver les éléments suivants:
P51675-T13059 03/03/2021 08:40:07:594 Debug( 71): HipCustomCheck(): check registry key com.pantest completed. Exist: yes, Value: (null) P51675-T13059 03/03/2021 08:39:59:535 Debug( 242): testKeyName is type of String. P51675-T13059 03/03/2021 08:39:59:535 Debug( 245): Preference testKeyName has string value testKeyVal
3) Si vous utilisez B l’étape ci-dessus pour l’utilisation de données de contrôle personnalisées dans les stratégies de sécurité, vous pouvez configurer un objet pour confirmer que les données attendues de HIP firewall l’agent
Pour configurer un HIP objet, allez aux objets > GlobalProtect > Objets et ajoutez un HIP objet.Activez les contrôles personnalisés et sélectionnez Plist, puis créez l’objet comme vous le souhaitez.Vous pouvez utiliser la « liste plist n’existe pas » pour vérifier si la liste plist n’est pas sur la machine cliente, ou vous pouvez laisser la clé / valeurs vierges et désélectionner la liste n’existe pas pour vérifier que la liste plist existe.Cela a le même effet que la vérification du bouton annuler de la liste des plistes sous l’onglet contrôles personnalisés.Si vous souhaitez vérifier une paire clé/valeur spécifique, entrez le nom clé et la valeur clé attendue pour une correspondance.Dans notre exemple, nous utiliserons la liste, le nom clé et la valeur clé que nous avons créés ci-dessus sur notre machine cliente.Si vous souhaitez faire correspondre les machines clientes où la valeur clé NOT est une valeur spécifique, vérifiez la colonne de bouton de négoison à côté de la clé / paire de valeur.
Après avoir commis ce changement, et avoir le client déconnecter / reconnecter GP à , vous devriez voir les entrées sous Monitor > HIP Objets.
Une fois que vous voyez les correspondances attendues ici, vous pouvez créer des HIP profils pour une utilisation dans les stratégies de sécurité.
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC
https://docs.paloaltonetworks.com/ globalprotect /9-1/ globalprotect -admin/host-information/collect-application-and-process-data-from-endpoints.html