HEX Les objets dans Global Protect HIP Custom Check Values

• Global Protect HIP policy peut-il être en mesure de vérifier les données binaires/hex du registre et de prendre les mesures appropriées ?

• FW PAN-OS 9.1 et au-dessus
• Global Protect Client 5.1.x et plus

• Résolution : Actuellement, la vérification HIP personnalisée ne prend pas en charge la collecte de données binaires/hex par conception.

Résultats des tests d’environnement de l’échantillon :

<entry name="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters">
		<exist>yes</exist>
		<value></value>
		<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for binary
				</entry>
				<entry name="QwordTest">	
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="MultiStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Multi String
				</entry>
				<entry name="DWordTest">
						<exist>yes</exist>
						<value>4660</value>						<+++ It printed D-Word decimal value (even though the value set was Hex: 0x1234)
				</entry>
				<entry name="ExpandStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="StringTest">
						<exist>yes</exist>
						<value>String-1234</value>				<+++ printed String value as it is
				</entry>
		</registry-value>
</entry>

• Selon rapport HIP ci-dessus, la valeur ne vient que pour (i) Clé de registre de type chaîne et (ii) D- Clé de registre word qui est en décimale (même quand il est configuré comme dans hex).
• Le type de clé de registre est binaire, et selon la sortie ci-dessus, le chèque ne tire pas de valeur, mais seulement vérifier si elle existe ou non.
• Il s’agissait (ci-dessus) de clés de registre ayant une valeur sur la machine cliente pour GP laquelle elles ont recueilli les données ci-dessus dans le HIP rapport.

• Avec cette configuration, tout client envoyant le oui pour ce registre dans le rapport HIP (comme ci-dessous) correspondra à l’objet HIP ci-dessus

<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							
				</entry>

Pour les points de terminaison Windows seulement :

1. Pour vérifier les paramètres Windows d’une clé de registre spécifique, sélectionnez vérifications personnalisées > clé de registre, puis ajoutez la clé du registre pour correspondre. Lorsque vous êtes invité, entrez la clé du registre, puis configurez l’une des options suivantes :

• Pour correspondre aux données de valeur par défaut de la clé de registre, entrez les données de valeur (par défaut). 310 GLOBALPROTECT ADMINISTRATOR 'S GUIDE
• Pour faire correspondre les points de terminaison qui n’ont pas la clé de registre spécifiée, sélectionnez Clé n’existe pas ou ne correspond pas aux données de valeur spécifiées.

2. Pour correspondre à des valeurs spécifiques dans la clé du registre, sélectionnez vérifications personnalisées > clé de registre, puis ajoutez la clé du registre pour correspondre. Lorsque vous êtes invité, entrez la clé du registre. Cliquez sur Ajouter puis configurer l’une des options suivantes :

• Pour correspondre à des valeurs spécifiques dans la clé du registre, entrez la valeur du registre et les données de valeur correspondantes.
• Pour faire correspondre les points de terminaison qui n’ont pas de valeur de registre spécifiée, entrez la valeur du registre, puis sélectionnez la case à cochée Negate.

Cliquez OK pour enregistrer HIP l’objet. Vous pouvez valider les modifications pour afficher les données dans les journaux HIP de correspondance lors de l’enregistrement suivant de l’appareil.