HEX Objekte in Global Protect HIP Custom Check Values

• Kann Global Protect HIP policy die Binär-/Hex-Daten der Registrierung überprüfen und eine entsprechende Aktion ergreifen?

• FW PAN-OS 9.1 und höher
• Global Protect Client 5.1.x und höher

• Lösung: Derzeit unterstützt die HIP benutzerdefinierte Prüfung das Sammeln von Binär-/Hex-Daten nicht nach Design.

Beispielumgebungstestergebnisse:

<entry name="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters">
		<exist>yes</exist>
		<value></value>
		<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for binary
				</entry>
				<entry name="QwordTest">	
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="MultiStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Multi String
				</entry>
				<entry name="DWordTest">
						<exist>yes</exist>
						<value>4660</value>						<+++ It printed D-Word decimal value (even though the value set was Hex: 0x1234)
				</entry>
				<entry name="ExpandStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="StringTest">
						<exist>yes</exist>
						<value>String-1234</value>				<+++ printed String value as it is
				</entry>
		</registry-value>
</entry>

• Wie oben HIP Bericht, der Wert kommt nur für (i) String-Typ Registrierungsschlüssel und (ii) D- Word-Registrierungsschlüssel, der in Dezimalwert ist (auch wenn es wie in Hex konfiguriert ist).
• Der Registrierungsschlüsseltyp ist binär, und gemäß der obigen Ausgabe ruft die Prüfung keinen Wert ab, sondern prüft nur, ob er vorhanden ist oder nicht.
• Dabei handelte es sich um Registrierungsschlüssel mit Einem Wert auf dem Clientcomputer, für GP den die oben genannten Daten in Report gesammelt HIP wurden.

• Mit dieser Konfiguration stimmt jeder Client, der das Ja für diese Registrierung im Bericht sendet HIP (wie unten), mit dem obigen Objekt überein. HIP

<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							
				</entry>

Nur für Windows-Endpunkte:

1. Um Windows-Endpunkte auf einen bestimmten Registrierungsschlüssel zu überprüfen, wählen Sie Benutzerdefinierte Prüfungen > Registrierungsschlüssel aus, und fügen Sie dann den Registrierungsschlüssel hinzu, der übereinstimmen soll. Wenn Sie dazu aufgefordert werden, geben Sie den Registrierungsschlüssel ein, und konfigurieren Sie dann eine der folgenden Optionen:

• Um die Standardwertdaten für den Registrierungsschlüssel abzugleichen, geben Sie die (Standard-)Wertdaten ein. 310 GLOBALPROTECT ADMINISTRATOR 'S GUIDE
• Um Endpunkten zu entsprechen, die nicht über den angegebenen Registrierungsschlüssel verfügen, ist die Option Schlüssel nicht vorhanden oder stimmt mit den angegebenen Wertdaten überein.

2. Um bestimmten Werten innerhalb des Registrierungsschlüssels zu entsprechen, wählen Sie Benutzerdefinierte Prüfungen > Registrierungsschlüssel aus, und fügen Sie dann den Registrierungsschlüssel hinzu, der übereinstimmen soll. Wenn Sie dazu aufgefordert werden, geben Sie den Registrierungsschlüssel ein. Klicken Sie auf Hinzufügen, und konfigurieren Sie dann eine der folgenden Optionen:

• Um bestimmten Werten innerhalb des Registrierungsschlüssels zu entsprechen, geben Sie den Registrierungswert und die entsprechenden Wertdaten ein.
• Um Endpunkte abzugleichen, die keinen angegebenen Registrierungswert haben, geben Sie den Registrierungswert ein, und aktivieren Sie dann das Kontrollkästchen Negieren.

Klicken Sie OK hier, um das Objekt zu HIP speichern. Sie können die Änderungen übernehmen, um die Daten in den HIP Match-Protokollen beim nächsten Geräteeinchecken anzuzeigen.