HEX グローバルプロテクト HIP カスタムチェック値内のオブジェクト

HEX グローバルプロテクト HIP カスタムチェック値内のオブジェクト

11221
Created On 08/18/20 00:02 AM - Last Modified 07/11/25 20:05 PM


Question


  • グローバルプロテクト HIP policy は、レジストリバイナリ/16進データをチェックし、適切なアクションを実行できますか?

Environment


  • FW PAN-OS 9.1以上
  • グローバルプロテクトクライアント 5.1.x 以上

Answer


  • 解決策: 現在、 HIP カスタム チェックでは、バイナリ/16 進データの収集は、仕様ではサポートされていません。

サンプル環境テスト結果:

<entry name="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters">
		<exist>yes</exist>
		<value></value>
		<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for binary
				</entry>
				<entry name="QwordTest">	
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="MultiStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Multi String
				</entry>
				<entry name="DWordTest">
						<exist>yes</exist>
						<value>4660</value>						<+++ It printed D-Word decimal value (even though the value set was Hex: 0x1234)
				</entry>
				<entry name="ExpandStringTest">
						<exist>yes</exist>
						<value></value>							<+++ no value for Q-Word
				</entry>
				<entry name="StringTest">
						<exist>yes</exist>
						<value>String-1234</value>				<+++ printed String value as it is
				</entry>
		</registry-value>
</entry>
 
  • HIP上記のレポートに従って、値は(i)文字列型のレジストリキーと(ii)10 D- 進数のWordレジストリキー(16進数のように構成されている場合でも)に対してのみ来ます。
  • レジストリ キーの種類はバイナリであり、上記の出力に従って、チェックは値をプルするのではなく、既存であるかどうかをチェックするだけです。
  • 上記のレジストリ キーは、レポートで上記のデータを収集したクライアント コンピュータ GP 上の値を持つレジストリ キーです HIP 。

 

レジストリ キーの名前を構成し、スクリーンショットのように値を入力しない

 

  • この構成では、レポートでこのレジストリに yes を送信するクライアント HIP (以下のように) は、上記のオブジェクトと一致 HIP します。
<registry-value>
				<entry name="BinaryTest">
						<exist>yes</exist>
						<value></value>							
				</entry>

Additional Information


Windows エンドポイントの場合のみ:

 

1. Windows エンドポイントで特定のレジストリ キーを確認するには、[レジストリ キー>カスタム チェック] を選択し、一致するレジストリ キーを追加します。 プロンプトが表示されたら、レジストリ キーを入力し、次のいずれかのオプションを構成します。

  • レジストリ キーの既定値のデータを照合するには、(既定の) 値のデータを入力します。 310 GLOBALPROTECT ADMINISTRATOR 'S GUIDE
  • 指定したレジストリ キーを持たないエンドポイントと一致するには、[キーが存在しないか、指定した値のデータと一致する] を選択します。

 

2. レジストリ キー内の特定の値を照合するには、[レジストリ キー>カスタム チェック] を選択し、一致するレジストリ キーを追加します。 プロンプトが表示されたら、レジストリ キーを入力します。 [追加] をクリックし、次のいずれかのオプションを構成します。

  • レジストリ キー内の特定の値を照合するには、レジストリ値と対応する値のデータを入力します。
  • 指定したレジストリ値を持たないエンドポイントと一致するには、[レジストリ値] を入力し、[否定] チェック ボックスをオンにします。

 

OKクリックしてオブジェクトを保存 HIP します。 変更をコミットすると、次回のデバイス チェックイン時に Match Logs のデータを表示できます HIP 。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAPRCA4&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language