Mac で HIP plist エントリのカスタム チェックを作成する方法 - グローバル プロテクト
19397
Created On 03/03/21 14:14 PM - Last Modified 08/16/24 20:27 PM
Objective
この記事では、Mac で plist エントリのカスタム チェックを作成してテストする方法について説明 HIP OS します。
Environment
Mac 上のグローバル保護 OS X
Procedure
1) テストする plist エントリを作成する (使用するエントリがまだない場合)
たとえば、"testKeyName" という名前のキーと testKeyName という名前の新しい plist エントリを作成する場合は、ターミナルを開き、次のコマンドを使用します。
user1@user1s-Mac ~ % defaults write com.pantest.plist testKeyName testKeyValこれにより 、~/ライブラリ/プリファレンスのユーザ設定フォルダに plist エントリが作成されます。mac 用クライアント https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC では GP 、ユーザー設定フォルダ (~/ライブラリ/環境設定) またはシステム環境設定フォルダ (/ライブラリ/環境設定) の plist エントリのみを読み取ることができます。
plist エントリを確認するには、デフォルトの read コマンドを使用します。
user1@user1s-Mac ~ % defaults read com.pantest.plist
{
testKeyName = testKeyVal;
}2) GW ポータル/カスタムplistとキー情報を収集するために
このステップは、エージェントの構成を選択するためにplist / キーを使用するかどうか GP 、または HIP セキュリティで使用するためにプロファイルでplist / キーを使用する場合に応じて、2つの方法のうちの1つになります policy
A 。エージェント構成の選択に使用するカスタム plist 情報を収集するようにポータルを GP 構成するには
、ポータル構成を選択し (スクリーンショットに示すように)、ポータル データコレクションを選択します。ここでは、 GP ポータルにエージェント構成選択基準で使用するカスタムチェック情報を収集するように指示できます。カスタムチェックの下で、Macを選択し、plist名を追加し(最後に.plistを含めないでください)、この例では、このplistからキーを追加します GP 。この手順で説明したように、ポータルのみの plist を構成する場合、 HIP 既存のオブジェクトがある場合でも、一致するログは表示されないことに注意 HIP してください。これはステップにのみ関連します B 。
構成がエージェントで受信されているかどうかを確認するには、次のようなエントリについて PanGPS.logを確認します。
P51675-T13059 03/03/2021 08:41:26:428 Debug( 77): Portal config criteria is restored. P51675-T13059 03/03/2021 08:41:26:428 Dump ( 101): CSC custom check: custom-checks> <mac-os> <plist> <entry name="com.pantest"> <key> <member>testKeyName</member> </key> </entry> </plist> </mac-os> </custom-checks>エージェント構成条件に一致しない場合は、ポータルへの接続が許可されていないというメッセージが表示されることがあります GlobalProtect 。PanGPS では、エージェント構成が一致していない.logポータル<portal-status>構成なし</portal-status>のエントリを持つ確認できます。
B ) HIP プロファイル/セキュリティで使用するカスタム plist 情報を収集するようにゲートウェイを構成するには policy
、ポータル構成を選択し、[エージェント] タブからエージェントの構成を選択します。[ HIP データ収集] をクリックし、[ HIP データの収集] チェックボックスがオンになっていることを確認します。次に、一番下の [カスタム チェック> Mac] を選択し、plist 値をステップで上の指示と同じ値に追加 A します。plist 名の末尾に .plist を追加しないでください。
データが収集されていることを確認するには、PanGPS を確認し.log次の情報を確認します。
P51675-T13059 03/03/2021 08:40:07:594 Debug( 71): HipCustomCheck(): check registry key com.pantest completed. Exist: yes, Value: (null) P51675-T13059 03/03/2021 08:39:59:535 Debug( 242): testKeyName is type of String. P51675-T13059 03/03/2021 08:39:59:535 Debug( 245): Preference testKeyName has string value testKeyVal
3) B セキュリティポリシーでカスタムチェックデータを使用するために上記のステップを使用する場合、 HIP firewall オブジェクトがエージェントから期待されるデータを受信していることを確認するようにオブジェクトを設定できます
オブジェクトを設定するには、 HIP オブジェクトを設定するには、 GlobalProtect オブジェクト>オブジェクト> HIP オブジェクトに移動し、オブジェクトを追加します。カスタムチェックを有効にして Plist を選択し、必要に応じてオブジェクトを作成します。"plist は存在しない" を使用して、plist がクライアントマシン上にないかどうかを確認するか、またはキー/値をブランクのままにして、plist が存在することを確認するために plist が存在しないことを選択解除することができます。これは、カスタム チェック タブの Plist のリストから否定ボタンをチェックするのと同じ効果があります。特定のキー/値ペアを確認する場合は、一致するキー名とキー値を入力します。この例では、クライアントマシン上で上記で作成したplist、キー名、キー値を使用します。キー値が特定の値であるクライアント マシンを照合する場合は NOT 、キー/値ペアの横にある negate ボタン列を確認します。
この変更をコミットし、クライアントを切断/再接続した後、[ GP モニタ> オブジェクト] のエントリが表示されます HIP 。
ここで予想される一致が表示されたら、セキュリティ HIP ポリシーで使用するプロファイルを作成できます。
Additional Information
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC
https://docs.paloaltonetworks.com/ globalprotect /9-1/ globalprotect -admin/host-information/collect-application-and-process-data-from-endpoints.html