HEX 全球保护 HIP 自定义检查值中的对象
11211
Created On 08/18/20 00:02 AM - Last Modified 07/11/25 20:05 PM
Question
- 全球保护 HIP policy 能够检查注册表二进制/六进制数据并采取适当行动吗?
Environment
- FW PAN-OS 9.1及以上
- 全球保护客户端 5.1.x 及以上
Answer
- 分辨率:目前, HIP 自定义检查不支持按设计收集二进制/六角数据。
示例环境测试结果:
<entry name="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters"> <exist>yes</exist> <value></value> <registry-value> <entry name="BinaryTest"> <exist>yes</exist> <value></value> <+++ no value for binary </entry> <entry name="QwordTest"> <exist>yes</exist> <value></value> <+++ no value for Q-Word </entry> <entry name="MultiStringTest"> <exist>yes</exist> <value></value> <+++ no value for Multi String </entry> <entry name="DWordTest"> <exist>yes</exist> <value>4660</value> <+++ It printed D-Word decimal value (even though the value set was Hex: 0x1234) </entry> <entry name="ExpandStringTest"> <exist>yes</exist> <value></value> <+++ no value for Q-Word </entry> <entry name="StringTest"> <exist>yes</exist> <value>String-1234</value> <+++ printed String value as it is </entry> </registry-value> </entry>
- 根据上述 HIP 报告,该值仅用于 (i) 字符串类型注册表密钥和 (ii) D- 以小数值表示的字形注册表密钥(即使它被配置为十六进制)。
- 注册表项类型是二进制的,根据上面的输出,检查不会拉取值,而只检查它是否存在。
- 这些(上图)是客户端机器上具有价值的注册表密钥,用于 GP 收集报告中的上述数据 HIP 。
- 使用此配置,在报告中为此注册表发送"是"的任何客户端 HIP (如下所示)将匹配上述 HIP 对象
<registry-value> <entry name="BinaryTest"> <exist>yes</exist> <value></value> </entry>
Additional Information
仅适用于 Windows 终结点:
1. 要检查 Windows 终结点中特定注册表项,请选择"自定义>注册表项,然后添加注册表项以匹配。 当出现提示时,输入注册表项,然后配置以下选项之一:
- 若要匹配注册表项的默认值数据,请输入(默认)值数据。 310' GLOBALPROTECT ADMINISTRATORS GUIDE
- 若要匹配没有指定注册表项的终结点,请选择"键不存在"或匹配指定的值数据。
2. 要匹配注册表项中的特定值,请选择"自定义>注册表项,然后添加注册表项以匹配。 出现提示时,请输入注册表项。 单击"添加"然后配置以下选项之一:
- 若要匹配注册表项中的特定值,请输入注册表值和相应的值数据。
- 若要匹配没有指定注册表值的终结点,请输入注册表值,然后选择"Negate"复选框。
单击 OK 以保存 HIP 对象。 您可以提交更改,以便 HIP 在下一个设备签入时查看匹配日志中的数据。