如何创建自定义HIP检查正在运行的进程
24051
Created On 08/20/21 01:21 AM - Last Modified 05/17/23 03:28 AM
Objective
HIP-基于policyenforcement 可以收集用户系统上正在运行的进程的名称。 你可以设置安全policy规则只允许来自用户的流量,如果他们的系统正在运行某个进程。 本操作指南将逐步介绍如何配置GP用于收集正在运行的进程名称然后执行安全要求的门户policy的规则GP网关。
Environment
- GlobalProtect 适用于 Windows 或 Mac 的代理程序(当前支持 5.1+ 版本)
- PAN-OS (目前支持 8.1+ 版本)
- 任何帕洛阿尔托网络firewall作为一个GlobalProtect门户和网关
Procedure
- 确定要强制连接到网关的用户系统上正在运行的进程名称:
- 在下面的示例中,我们使用 macOS 中的活动监视器来查找名为“JamfDaemon”的进程:
- 我们希望“JamfDaemon”正在运行,否则我们希望GP拒绝用户会话的网关
- 您可以使用任务管理器找到在 Windows 中运行的类似进程:
- 在下面的示例中,我们使用 macOS 中的活动监视器来查找名为“JamfDaemon”的进程:
- 配置门户以将此进程名称包含在HIP报告。 这是在门户网站中配置的代理人HIP数据收集选项卡:
网络 >GlobalProtect > 门户 > [门户配置] > 代理 > [代理配置] > 数据收集 > 自定义检查
- 如上所示,在相应操作系统(Windows 与 Mac)的“进程列表”中仅输入进程名称。
- 创建一个HIP自定义检查的对象在GlobalProtect网关
对象 >GlobalProtect >HIP对象 > [hip -object] > 自定义检查
- 如上所示,在自定义检查进程列表中输入相同的进程名称,如果您希望用户计算机运行此进程以强制执行,请确保选中“运行”框。
- 添加HIP反对一个HIP轮廓将用于安全策略
- 对象 >GlobalProtect >HIP简介
- 添加新的名称HIP对象进入配置文件的匹配条件,如上所示
- 对象 >GlobalProtect >HIP简介
- 使用HIP在一个配置文件安全policy规则(如果它还不存在)
策略 > 安全 > [安全规则] > 用户 >HIP简介
- 添加HIP个人资料进入HIP用户选项卡的配置文件部分,如上所示
Additional Information
- 对于自定义注册表检查,请参阅如何配置GlobalProtect用于 Windows 上的自定义注册表检查.
- 有关初始部署的更多详细信息HIP, 请参阅HIP-基于policy执法.