So erstellen Sie eine benutzerdefinierte HIP Prüfung für einen laufenden Prozess
29213
Created On 08/20/21 01:21 AM - Last Modified 05/17/23 03:28 AM
Objective
HIP-basierte policy Erzwingung kann den Namen laufender Prozesse auf dem System des Benutzers erfassen. Sie können Sicherheitsregeln policy so festlegen, dass nur Datenverkehr vom Benutzer zugelassen wird, wenn auf seinem System ein bestimmter Prozess ausgeführt wird. Diese Anleitung führt Sie durch die Konfiguration des GP Portals zum Erfassen laufender Prozessnamen und das anschließende Durchsetzen der Anforderung in Sicherheitsregeln policy auf dem GP Gateway.
Environment
- GlobalProtect Agent für Windows oder Mac (Version 5.1+ wird derzeit unterstützt)
- PAN-OS (Version 8.1+ wird derzeit unterstützt)
- Alle Palo Alto-Netzwerke firewall , die GlobalProtect als Portal und Gateway fungieren
Procedure
- Bestimmen Sie, welcher Prozessname auf dem System des Benutzers ausgeführt wird, den Sie für Verbindungen zum Gateway erzwingen möchten:
- Im folgenden Beispiel haben wir die Aktivitätsanzeige in macOS verwendet, um einen Prozess mit dem Namen "JamfDaemon" zu finden:
- Wir möchten, dass 'JamfDaemon' ausgeführt wird, andernfalls möchten wir, dass das GP Gateway Sitzungen des Benutzers verweigert
- Ähnliche Prozesse, die in Windows ausgeführt werden, finden Sie im Task-Manager:
- Im folgenden Beispiel haben wir die Aktivitätsanzeige in macOS verwendet, um einen Prozess mit dem Namen "JamfDaemon" zu finden:
- Konfigurieren Sie das Portal so, dass dieser Prozessname in den HIP Bericht aufgenommen wird. Dies wird auf der Registerkarte "Agentendatenerfassung HIP " des Portals konfiguriert:
Netzwerk- > >Portale > [Portalkonfiguration] > Agenten-> [agent-config] > Datenerfassung > GlobalProtect benutzerdefinierte Überprüfungen
- Geben Sie nur den Prozessnamen wie oben gezeigt in die "Prozessliste" für das entsprechende Betriebssystem (Windows vs. Mac) ein.
- Erstellen eines HIP Objekts für die benutzerdefinierte Prüfung auf dem GlobalProtect Gateway
Objekte > > Objekte > [hip-object] > GlobalProtect HIP benutzerdefinierte Prüfungen
- Geben Sie den gleichen Prozessnamen, wie oben gezeigt, in die Prozessliste für benutzerdefinierte Prüfungen ein, und stellen Sie sicher, dass das Kontrollkästchen "Wird ausgeführt" aktiviert ist, wenn Sie möchten, dass dieser Prozess auf dem Benutzercomputer zur Erzwingung ausgeführt wird.
- Fügen Sie das Objekt zu einem HIP Profil hinzu, das HIP in Sicherheitsrichtlinien verwendet wird
- Objekte > > GlobalProtect HIP Profile
- Fügen Sie den Namen Ihres neuen HIP Objekts zu den Übereinstimmungskriterien des Profils hinzu, wie oben gezeigt
- Objekte > > GlobalProtect HIP Profile
- Verwenden Sie das HIP Profil in einer Sicherheitsregel policy (falls es noch nicht vorhanden ist)
Richtlinien > Sicherheit > [security-rule] > Benutzer-> HIP -Profilen
- Fügen Sie das HIP Profil dem HIP Abschnitt "Profile" der Registerkarte "Benutzer" hinzu, wie oben gezeigt
Additional Information
- Informationen zu benutzerdefinierten Registrierungsüberprüfungen finden Sie unter Konfigurieren GlobalProtect der benutzerdefinierten Registrierungsprüfung unter Windows.
- Weitere Informationen zur Erstbereitstellung von HIPfinden Sie unter HIP-basierte policy Erzwingung.