HEX Objetos en Global Protect HIP Custom Check Values

• ¿Global Protect HIP policy puede comprobar los datos binarios/hexos del registro y tomar una acción apropiada?

• FW PAN-OS 9.1 y superior
• Global Protect Client 5.1.x y superior

• Resolución: Actualmente, la HIP comprobación personalizada no admite la recopilación de datos binarios/hexos por diseño.

Resultados de las pruebas de entorno de ejemplo:

<entry name="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters">
		<exist>yes</exist>
		<value></value>
		<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for binary
				</entry>
				<entry name="QwordTest">	
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="MultiStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Multi String
				</entry>
				<entry name="DWordTest">
						<exist>yes</exist>
						<value>4660</value>						<+++ It printed D-Word decimal value (even though the value set was Hex: 0x1234)
				</entry>
				<entry name="ExpandStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="StringTest">
						<exist>yes</exist>
						<value>String-1234</value>				<+++ printed String value as it is
				</entry>
		</registry-value>
</entry>

• Según el HIP informe anterior, el valor solo viene para (i) clave del Registro de tipo string y (ii) D- clave del Registro de Word que está en decimal (incluso cuando está configurado como en hexadecimal).
• El tipo de clave del Registro es binario y, según la salida anterior, la comprobación no extrae el valor, sino que solo comprueba si es existente o no.
• Estas (anteriores) eran claves del Registro con valor en el equipo cliente para el que GP se recopilaban los datos anteriores en HIP Informe.

• Con esta configuración, cualquier cliente que envíe el sí para este registro en el HIP Informe (como a continuación) coincidirá con el objeto anterior HIP

<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							
				</entry>

Solo para puntos de conexión de Windows:

1. Para comprobar los puntos de conexión de Windows para una clave de registro específica, seleccione Comprobaciones personalizadas > clave del Registro y, a continuación, Agregar la clave del Registro para que coincida. Cuando se le solicite, escriba la clave del Registro y, a continuación, configure una de las siguientes opciones:

• Para que coincida con los datos de valor predeterminados de la clave del Registro, escriba los datos de valor (predeterminados). 310 GLOBALPROTECT ADMINISTRATOR 'S GUIDE
• Para que coincidan con los puntos de conexión que no tienen la clave de registro especificada, seleccione Clave no existe ni coincide con los datos de valor especificados.

2. Para que coincida con valores específicos dentro de la clave del Registro, seleccione Comprobaciones personalizadas > clave del Registro y, a continuación, Agregue la clave del Registro para que coincida. Cuando se le solicite, escriba la clave del Registro. Haga clic en Agregar y, a continuación, configure una de las siguientes opciones:

• Para hacer coincidir valores específicos dentro de la clave del Registro, escriba el valor del Registro y los datos de valor correspondientes.
• Para hacer coincidir los extremos que no tienen un valor de registro especificado, escriba el valor del Registro y, a continuación, active la casilla Negar.

Haga clic OK para guardar el HIP objeto. Puede confirmar los cambios para ver los datos en los HIP registros de coincidencia en el siguiente check-in del dispositivo.