Comment créer une vérification personnalisée HIP pour un processus en cours d’exécution
29213
Created On 08/20/21 01:21 AM - Last Modified 05/17/23 03:27 AM
Objective
HIPpolicy peut collecter le nom des processus en cours d'exécution sur le système de l'utilisateur. Vous pouvez définir des règles de sécurité policy pour n’autoriser le trafic de l’utilisateur que si un certain processus est en cours d’exécution sur son système. Ce guide pratique guide la configuration du portail pour collecter les noms de processus en cours d’exécution, puis l’application de l’exigence dans les GP règles de sécurité policy sur la GP passerelle.
Environment
- GlobalProtect Agent pour Windows ou Mac (version 5.1+ actuellement prise en charge)
- PAN-OS (version 8.1+ actuellement prise en charge)
- Tout réseau firewall Palo Alto fonctionnant comme un portail et une GlobalProtect passerelle
Procedure
- Déterminez le nom de processus en cours d'exécution sur le système de l'utilisateur que vous souhaitez appliquer pour les connexions à la passerelle :
- Dans l'exemple ci-dessous, nous avons utilisé le moniteur d'activité sous macOS pour trouver un processus nommé 'JamfDaemon':
- Nous voulons que 'JamfDaemon' soit en cours d'exécution, sinon nous voulons que la passerelle refuse les GP sessions de l'utilisateur
- Vous pouvez trouver des processus similaires en cours d’exécution dans Windows à l’aide du Gestionnaire des tâches:
- Dans l'exemple ci-dessous, nous avons utilisé le moniteur d'activité sous macOS pour trouver un processus nommé 'JamfDaemon':
- Configurez le portail pour inclure ce nom de processus dans le HIP rapport. Ceci est configuré dans l'onglet Collecte de données de l'agent HIPdu portail :
Portails > > réseau > [configuration du portail] > > GlobalProtect agent [configuration-agent] > Collecte de données > vérifications personnalisées
- Entrez le nom du processus uniquement, comme indiqué ci-dessus, dans la « Liste des processus » pour le système d'exploitation approprié (Windows ou Mac).
- Créer un HIP objet pour la vérification personnalisée sur la GlobalProtect passerelle
Objets > > Objets > [hip-objet] > GlobalProtect HIP Vérifications personnalisées
- Entrez le même nom de processus, comme indiqué ci-dessus, dans la liste des processus de contrôles personnalisés et assurez-vous que la case « en cours d'exécution » est cochée si vous souhaitez que l'ordinateur utilisateur ait ce processus en cours d'exécution pour l'application.
- Ajouter l’objet HIP à un HIP profil qui sera utilisé dans les stratégies de sécurité
- Objets > profils > GlobalProtect HIP
- Ajoutez le nom de votre nouvel HIP objet dans les critères de correspondance du profil, comme indiqué ci-dessus
- Objets > profils > GlobalProtect HIP
- Utiliser le HIP profil dans une règle de sécurité policy (s'il n'y figure pas déjà)
Stratégies > > de sécurité [règle de sécurité] > profils > HIP utilisateur
- Ajoutez le HIP profil dans la HIP section Profils de l’onglet Utilisateur, comme indiqué ci-dessus
Additional Information
- Pour les vérifications de Registre personnalisées, reportez-vous à Comment configurer GlobalProtect pour la vérification personnalisée du Registre sous Windows.
- Pour plus d’informations sur le déploiement initial de HIP, reportez-vous à la HIPsection Application basée policy sur .