So erstellen Sie eine benutzerdefinierte HIP Prüfung für einen laufenden Prozess

So erstellen Sie eine benutzerdefinierte HIP Prüfung für einen laufenden Prozess

24053
Created On 08/20/21 01:21 AM - Last Modified 05/17/23 03:28 AM


Objective


HIP-basierte policy Erzwingung kann den Namen laufender Prozesse auf dem System des Benutzers erfassen. Sie können Sicherheitsregeln policy so festlegen, dass nur Datenverkehr vom Benutzer zugelassen wird, wenn auf seinem System ein bestimmter Prozess ausgeführt wird. Diese Anleitung führt Sie durch die Konfiguration des GP Portals zum Erfassen laufender Prozessnamen und das anschließende Durchsetzen der Anforderung in Sicherheitsregeln policy auf dem GP Gateway.

Environment


  • GlobalProtect Agent für Windows oder Mac (Version 5.1+ wird derzeit unterstützt)
  • PAN-OS (Version 8.1+ wird derzeit unterstützt)
  • Alle Palo Alto-Netzwerke firewall , die GlobalProtect als Portal und Gateway fungieren

Procedure


  1. Bestimmen Sie, welcher Prozessname auf dem System des Benutzers ausgeführt wird, den Sie für Verbindungen zum Gateway erzwingen möchten:
    • Im folgenden Beispiel haben wir die Aktivitätsanzeige in macOS verwendet, um einen Prozess mit dem Namen "JamfDaemon" zu finden:
      ActivityMonitor in macOS
    • Wir möchten, dass 'JamfDaemon' ausgeführt wird, andernfalls möchten wir, dass das GP Gateway Sitzungen des Benutzers verweigert
    • Ähnliche Prozesse, die in Windows ausgeführt werden, finden Sie im Task-Manager:
      TaskManager in Windows
  2. Konfigurieren Sie das Portal so, dass dieser Prozessname in den HIP Bericht aufgenommen wird. Dies wird auf der Registerkarte "Agentendatenerfassung HIP " des Portals konfiguriert:

    • Netzwerk- > >Portale > [Portalkonfiguration] > Agenten-> [agent-config] > Datenerfassung > GlobalProtect benutzerdefinierte Überprüfungen
      Registerkarte "Datenerfassung"

    • Geben Sie nur den Prozessnamen wie oben gezeigt in die "Prozessliste" für das entsprechende Betriebssystem (Windows vs. Mac) ein.
  3. Erstellen eines HIP Objekts für die benutzerdefinierte Prüfung auf dem GlobalProtect Gateway

    • Objekte > > Objekte > [hip-object] > GlobalProtect HIP benutzerdefinierte Prüfungen
      hip-Objekt

    • Geben Sie den gleichen Prozessnamen, wie oben gezeigt, in die Prozessliste für benutzerdefinierte Prüfungen ein, und stellen Sie sicher, dass das Kontrollkästchen "Wird ausgeführt" aktiviert ist, wenn Sie möchten, dass dieser Prozess auf dem Benutzercomputer zur Erzwingung ausgeführt wird.
  4. Fügen Sie das Objekt zu einem HIP Profil hinzu, das HIP in Sicherheitsrichtlinien verwendet wird
    • Objekte > > GlobalProtect HIP Profile
      hip Profil
    • Fügen Sie den Namen Ihres neuen HIP Objekts zu den Übereinstimmungskriterien des Profils hinzu, wie oben gezeigt
  5. Verwenden Sie das HIP Profil in einer Sicherheitsregel policy (falls es noch nicht vorhanden ist)

    • Richtlinien > Sicherheit > [security-rule] > Benutzer-> HIP -Profilen
      Sicherheitsregel

    • Fügen Sie das HIP Profil dem HIP Abschnitt "Profile" der Registerkarte "Benutzer" hinzu, wie oben gezeigt

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMQuCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language