如何 HIP 为 Mac 上的点条目创建自定义检查 - 全球保护

如何 HIP 为 Mac 上的点条目创建自定义检查 - 全球保护

19391
Created On 03/03/21 14:14 PM - Last Modified 08/16/24 20:27 PM


Objective


本文将讨论如何创建和测试一个自定义检查的点条目与 HIP Mac上 OS 。

Environment


Mac 上的全球保护 OS X

Procedure


1) 创建 plist 条目以测试(如果您还没有想要使用的条目),

例如,如果您想要创建一个具有名为"测试关键名称"的键的新 plist 条目,并使用具有"测试KeyVal"值的测试KeyName,请打开终端并使用以下命令:
user1@user1s-Mac ~ % defaults write com.pantest.plist testKeyName testKeyVal
这将在 ~/库/首选项的用户首选项文件夹中创建一个点列表条目。按 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC Mac GP 的客户端只能读取用户首选项文件夹 (~/库/首选项)或系统首选项文件夹 (/库/首选项)中的plist 条目。

要确认点列表条目,请使用默认读取命令:
user1@user1s-Mac ~ % defaults read com.pantest.plist
{
    testKeyName = testKeyVal;
}


2) 配置门户/ GW 收集自定义点列表和关键信息
此步骤将是两种方式之一,具体取决于您是否要使用 plist/密钥来选择 GP 代理配置,或者如果您想在配置文件中使用 plist/键 HIP 用于安全 policy 。

A要配置门户以收集用于选择 GP 代理配置的自定义点列表信息   
,请选择您的门户配置(如屏幕截图所示),并选择"门户数据收集"。在这里,您可以指示门户收集自定义检查信息,用于 GP 代理配置选择标准。在自定义检查下,选择 Mac,然后添加 plist 名称(末尾不包括 。plist),在我们的示例中,我们还将从此 plist 中添加一个密钥,我们希望该键 GP 获得其值。请注意,如果您仅按照此步骤中提到的为门户配置点列表,即使存在对象,您也不会看到匹配日志 HIP HIP 。这仅与步骤相关 B 。
 
在门户上配置自定义检查                 在门户2上配置自定义检查

要判断代理上是否收到该配置,您可以检查 PanGPS .log是否有类似以下条目:
P51675-T13059 03/03/2021 08:41:26:428 Debug(  77): Portal config criteria is restored.
P51675-T13059 03/03/2021 08:41:26:428 Dump ( 101): CSC custom check: custom-checks>
	<mac-os>
		<plist>
			<entry name="com.pantest">
				<key>
					<member>testKeyName</member>
				</key>
			</entry>
		</plist>
	</mac-os>
</custom-checks>
如果您不符合任何代理配置标准,则可能会看到一条消息,说明您无权连接到 GlobalProtect Portal。您可以确认在 PanGPS 中未匹配代理配置.log"<portal-status>无门户配置</portal-status>"条目。


B )要配置网关以收集用于 HIP 配置文件/安全性的自定义点列表信息    policy
,请选择门户配置,然后从代理选项卡进行代理配置。单击 HIP "数据收集",确保 HIP 选中"收集数据框"。然后,在底部选择自定义检查> Mac,并添加与上面指示的点值相同的步骤 A 。不要在列表名称的末尾添加。plist。  
HIP用于代理配置的配置集合

要确认正在收集的数据,您可以检查 PanGPS .log并找到以下情况:
P51675-T13059 03/03/2021 08:40:07:594 Debug(  71): HipCustomCheck(): check registry key com.pantest completed. Exist: yes, Value: (null)

P51675-T13059 03/03/2021 08:39:59:535 Debug( 242): testKeyName is type of String.
P51675-T13059 03/03/2021 08:39:59:535 Debug( 245): Preference testKeyName has string value testKeyVal



3) 如果使用 B 从上面的步骤来使用安全策略中的自定义检查数据,则可以配置对象 HIP 以确认 firewall 正在接收代理的预期数据
以配置 HIP 对象 GlobalProtect >> HIP 对象并添加对象。启用自定义检查,并选择 Plist,然后根据需要创建对象。您可以使用"不存在的plist"来检查plist是否在客户端计算机上,或者您可以将密钥/值留空,并取消选择不存在的点列表,以检查点列表是否存在。这与在自定义检查选项卡下从 Plists 列表中检查否定按钮具有相同的效果。如果您想要检查特定的密钥/值对,请输入匹配预期的关键名称和关键值。在我们的示例中,我们将使用我们在客户端机器上创建的点列表、密钥名称和关键值。如果您想匹配密钥值为特定值的客户端计算机 NOT ,请检查密钥/值对旁边的否定按钮列。
 
 HIP 对象创建1        HIP 对象创建2


在您承诺此更改并让客户端断开/重新连接后 GP ,您应该会看到监视器>对象下的 HIP 条目。 
 
HIP 匹配日志

一旦您在此处看到预期匹配项,就可以创建 HIP 用于安全策略的配置文件。
 

Additional Information



globalprotect https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClwnCAC https://docs.paloaltonetworks.com//9-1/-admin/host-information/collect-application-and-process-data-from-endpoints.html globalprotect

Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UgDCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language