Palo Alto Networks. Advanced Endpoint Protection Administrator-Leitfaden Version 3,2

Transkript

1 Palo Alto Networks Advanced Endpoint Protection Administrator-Leitfaden Version 3,2

2 Kontaktinformationen Zentrale: Palo Alto Networks 4401, Great America Parkway Santa Clara, CA 95054, USA Über diesen Leitfaden Dieser Leitfaden beschreibt die Erstinstallation und die grundlegende Einrichtung für Palo Alto Networks' erweiterte Endpoint-Schutz- ProtectionKomponenten, die den Endpoint Security ManagerEndpoint- Sicherheitsmanager (ESM) und Traps enthalten. Die behandelten Themen umfassen Voraussetzungen, Best Practices und Verfahren für die Installation und Verwaltung von Traps an den Endpoints Ihrer Organisation. Beachten Sie die folgenden Quellen für weitere Informationen: Technischer Publikationsund Dokumentationsstandort. Für den Zugriff auf die Wissensbasis, vollständige Dokumentationssets, Diskussionsforen und Videos. Für Supportfragen, Informationen über die Förderprogramme oder um Ihr Konto oder Ihre Geräte zu verwalten. Die aktuellen Versionshinweise finden Sie auf der Seite Software- Aktualisierungen unter Um ein Feedback über die Dokumentation zu geben, schreiben Sie uns bitte unter: Palo Alto Networks, Inc Palo Alto Networks. Alle Rechte vorbehalten. Palo Alto Networks und PAN-OS sind Warenzeichen von Palo Alto Networks, Inc. Revisionsdatum: Mai 27, 2015

3 Inhaltsangabe Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Exploit-Prävention Schadsoftware-Prävention Komponenten für den Erweiterten Endpoint-Schutz Endpoint-Sicherheitsmanager-Konsole Endpoint-Sicherheitsmanager Server Datenbank Endpoints Traps Externe Protokollierungsplattform WildFire Forensischer Ordner Erweiterte Endpoint-Schutz- Bereitstellungsszenarios Einzelplatzbereitstellung Komponenten für die Einzelplatzbereitstellung Anforderungen für die Einzelplatzbereitstellung Kleine Bereitstellungen Kleine Einzelplatzsystem-Bereitstellung Kleine Mehrplatzsystem-Bereitstellung Große Bereitstellungen Große Einzelplatzsystem-Bereitstellung Große Mehrplatzsystem-Bereitstellungen mit EinemEndpoint-Sicherheitsmanager Große Mehrplatzsystem-Bereitstellungen mit multiplen Endpoint-Sicherheitsmanagern Große Mehrplatzsystem-Bereitstellung mit Roaming-Agenten (ohne VPN) Große Mehrplatzsystem-Bereitstellung mit Roaming-Agenten (mit VPN) Voraussetzungen Voraussetzungen für die Installatien des ESM-Servers Voraussetzungen für die Installation von Traps an einem Endpoint Einrichten der Traps-Infrastruktur Einrichten der Endpoint-Infrastruktur Aktualisieren der Endpoint-Infrastruktur Einrichten des Endpoint-Sicherheitsmanager Überlegungen für die Installation der Endpoint-Infrastruktur Aktivieren der Web-Dienste Konfigurieren von SSL auf der ESM-Konsole Konfigurieren der MS-SQL-Server-Datenbank Installieren der Endpoint-Sicherheitsmanager Server-Software Installieren der Endpoint-Sicherheitsmanager-Konsolensoftware Advanced Endpoint Protection Administrator-Leitfaden iii

4 Hochladen der Basissicherheitsrichtlinie Einrichten der Endpoints Bereitstellungsschritte für Traps Überlegungen für die Traps-Installation Installieren von Traps am Endpoint Installieren von Traps am Endpoint unter Verwendung von Msiexec Überprüfen einer erfolgreichen Installation Überprüfen der Konnektivität vom Endpoint Überprüfen der Konnektivität von der ESM-Konsole Verwaltung des ESM-Servers Verwaltung mehrerer ESM-Server Systemanforderungen Beschränkungen Verwaltung von ESM-Servern Verwaltung von Endpoint-Sicherheitsmanager-Lizenzen Verwaltung von Endpoint-Sicherheitsmanager-Lizenzen mit Hilfe der ESM-Konsole Verwaltung von Endpoint-Sicherheitsmanager-Lizenzen mit Hilfe des DB-Konfigurationswerkzeugs. 55 Einrichten des administrativen Zugangs Einrichten des administrativen Zugangs für den Endpoint-Sicherheitsmanager, unter Verwendung der ESM-Konsole56 Einrichten des administrativen Zugangs für den Endpoint-Sicherheitsmanager, unter Verwendung des DB-Konfigurationswerkzeugs57 Wechsel des Ninja-Modus-Kennworts unter Verwendung des DB-Konfigurationswerkzeugs Exportieren und Importieren von Richtliniendateien Erste Schritte mit Regeln Endpoint-Richtlinienregeln im Überblick Richtlinienregeltypen Die Umsetzung von Richtlinien Bekannte Regelkomponenten und -Aktionen Konditionen Zielobjekte Benennen oder Umbenennen einer Regel Speichern der Regeln Das Verwalten Gespeicherter Regeln Deaktivieren oder Aktivieren Aller Schutzregeln Exploit-Prävention Das Verwalten von Prozessen Prozessschutz Hinzufügen eines Geschützten, Vorläufigen oder Ungeschützten Prozesses Importieren oder Exportieren eines Prozesses Betrachten, Ändern oder Löschen eines Prozesses Betrachten von Prozessen, die gegenwärtig durch Traps geschützt werden Verwalten von Exploit-Präventionsregeln iv Advanced Endpoint Protection Administrator-Leitfaden

5 Exploit-Präventionsregeln Bestehende Exploit-Präventionsrichtlinie Erstellen einer Exploit-Präventionsregel Ausschluss eines Endpoints von einer Exploit-Präventionsregel Schadsoftware-Prävention Ablauf der Schadsoftware-Prävention Phase 1: Die Bewertung der Beschränkungsrichtlinien Phase 2: Bewertung von Hash-Verdikten Phase 3: Beurteilung der Präventionsrichtlinien für Schadsoftware Phase 4: Verdikt-Management Die Verwaltung von Beschränkungen für ausführbare Dateien Beschränkungsregeln Hinzufügen einer neuen Beschränkungsregel Verwalten globaler weißer Listen Lokale Ordner in schwarzen Listen Netzwerkordner in weißen Listen Definieren Sie Beschränkungen für externe Medien und Ausnahmen Definieren Sie untergeordnete Prozess-Beschränkungen und Ausnahmen Definieren Sie Java-Beschränkungen und Ausnahmen Definieren Sie Beschränkungen und Ausnahmen für unsignierte, ausführbare Dateien Das Verwalten von WildFire-Regeln und -Einstellungen Aktivieren von WildFire WildFire-Regeln Konfiguration einer WildFire-Regel Verwalten Ausführbarer Hashs Betrachten und Suchen von Hashs Exportieren und Importieren von Hashs Betrachten der WildFire-Berichte Außer Kraft setzen einer WildFire-Entscheidung Widerruf einer WildFire-Entscheidung Für eine Analyse durch WildFire hochladen Verwalten von Schadsoftware-Präventionsregeln Schadsoftware-Präventionsregeln Konfigurieren des Thread-Injektionsschutzes Konfiguration des Suspend Guard-Schutzes Die Verwaltung der Endpoints Verwalten der Traps-Aktionsregeln Traps-Aktionsregeln Hinzufügen einer neuen Aktionsregel Das Verwalten Gesammelter Daten durch Traps Herunterfahren oder Auszusetzen des EPM-Schutzes Deinstallieren oder aufrüsten von Traps am Endpoint Aktualisieren oder Widerrufen der Traps-Lizenz am Endpoint Verwalten der Agenten-Einstellungsregeln Traps-Agenten-Einstellungsregeln Hinzufügen einer neuen Agenten-Einstellungsregel Advanced Endpoint Protection Administrator-Leitfaden v

6 Definieren der Ereignisprotokollierungseinstellungen Verbergen oder beschränken des Zugangs zur Traps-Konsole Definieren der Kommunikationseinstellungen zwischen Endpoint und ESM-Server Sammeln neuer Prozessinformationen Verwalten des Dienstschutzes Ändern des Passworts für die Deinstallation Erstellen einer individuellen Präventionsnachricht Erstellen einer individuellen Präventionsbenachrichtigungsnachricht Forensische Untersuchungen Übersicht forensischer Untersuchungen Ablauf forensischer Untersuchungen Forensische Datentypen Das Verwalten Forensischer Regeln und Einstellungen Forensische Regeln Wechsel des Standard-Forensik-Ordners Erstellen Sie eine Forensik-Richtlinie Definieren der Speicherabbild-Einstellungen Definieren Sie die Sammlungspräferenzen für Forensiken Abrufen von Daten eines Sicherheitsereignisses Aktivieren Sie Die URI-Sammlung in Chrome Installieren Sie die Chrome-Erweiterung an dem Endpoint Installieren Sie die Chrome-Erweiterung unter Verwendung von GPO Berichte und Protokollierung Pflegen von Endpoints und Traps Verwendung des Endpoint-Sicherheitsmanager Dashboards Das Überwachen von Sicherheitsereignissen Verwenden Sie das Dashboard für Sicherheitsereignisse Betrachtung des Sicherheitsereignisprotokolls an einem Endpoint Überwachung des Befindens der Endpoints Betrachtung der Details über das Befinden der Endpoints Ansicht der Traps-Statusdetails Betrachtung des Regelverlaufs an einem Endpoint Ansicht der Änderungen an der Sicherheitsrichtlinie des Endpoints Betrachtung des Dienststatusverlaufs an einem Endpoint Entfernen eines Endpoints von der Befinden-Seite Überwachung der Regeln Anzeige der Regelzusammenfassung Details über Regeln betrachten Überwachung der Forensischen Wiederherstellung Überwachung der Agent-Benachrichtigungen Benachrichtigungen über Änderungen im Agenten-Status betrachten Details über Agenten-Protokolle Betrachten Überwachung der Server-Benachrichtigungen Benachrichtigungen Über den ESM-Server überwachen Details über den ESM-Server betrachten vi Advanced Endpoint Protection Administrator-Leitfaden

7 Verwalten von Berichts- und Protokollierungspräferenzen Aktivieren der externen Berichterstattung unter Verwendung der ESM-Konsole Aktivieren der externen Berichterstattung unter Verwendung des DB-Konfigurationswerkzeugs Festlegen der Kommunikationseinstellungen unter Verwendung der ESM-Konsole Festlegen der Kommunikationseinstellungen unter Verwendung des DB-Konfigurationswerkzeugs191 Fehlersuche ErweiterterEndpointSchutz - Ressourcen für die Fehlersuche Datenbank-Konfigurationswerkzeug Zugriff auf das Datenbank-Konfigurationswerkzeug Cytool Zugang für Cytool Betrachten von Prozessen, die gegenwärtig durch Traps geschützt werden Verwalten der Schutzeinstellungen am Endpoint Verwalten der Traps-Treiber und -Dienste am Endpoint Anzeigen und Vergleichen von Sicherheitsrichtlinien an einem Endpoint Beheben von Traps-Problemen Wieso kann ich Traps nicht installieren? Wieso kann ich Traps nicht aktualisieren oder deinstallieren? Wieso kann Traps sich nicht mit dem ESM-Server verbinden? Wie behebe ich einen Traps-Serverzertifikatfehler? Problembehandlung bei Problemen mit der ESM-Konsole Warum kann ich mich nicht an der ESM-Konsole anmelden? Warum bekomme ich beim Starten der ESM-Konsole einen Server-Fehler? Warum erscheinen alle Endpoints als von der ESM-Konsole getrennt? Advanced Endpoint Protection Administrator-Leitfaden vii

8 viii Advanced Endpoint Protection Administrator-Leitfaden

9 Erweiterter Endpoint-Schutz im Überblick Der erweiterte Endpoint-Schutz ist eine Lösung, die erweiterte, widerstandsfähige Bedrohungen (APT) und Zero-Day-Angriffe verhindert und den Schutz Ihrer Endpoints durch die Blockierung von Angriffsvektoren aktiviert, bevor eine Schadsoftware initiiert werden kann. Die folgenden Themen beschreiben den erweiterten Endpoint-Schutz im Detail: Für die neueste erweiterte Endpoint-Schutzversion 3.2-Dokumentation, besuchen Sie bitte die Erweiterte Endpoint-Schutz-Dokumentation-Seite im Portal für Technische Dokumentation. Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz Advanced Endpoint Protection Administrator-Leitfaden 1

10 Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Cyber-Angriffe sind Angriffe, die auf Netzwerke oder Endpoints durchgeführt werden, um Schaden anzurichten, Informationen zu stehlen, oder andere Ziele anzustreben, welche die Kontrolle über Computersysteme zu übernehmen, die anderen gehören, beinhalten. Solche Gegner begehen Cyberangriffe entweder dadurch, dass sie Benutzer unbeabsichtigt dazu bringen, eine schadhafte, ausführbare Datei auszuführen oder indem sie eine Schwäche in einer rechtmäßigen, ausführbaren Datei ausnutzen, einen schadhaften Code hinter den Kulissen, und ohne das Wissen des Benutzers, auszuführen. Eine Möglichkeit, diese Angriffe zu verhindern ist, ausführbare Dateien, Dynamic Link Libraries (DLLs) oder andere Teile des Codes als schadhaft zu identifizieren, und dann deren Ausführung, durch Testen jedes potentiell gefährlichen Code-Moduls mittels einer Liste von spezifischen, bekannten Bedrohungssignaturen, zu verhindern. Die Schwäche dieser Methode liegt darin, dass Signatur-basierte Lösungen Zeit in Anspruch nehmen, um neu geschaffene Bedrohungen, die nur dem Angreifer (die auch als Zero-Day-Angriffe oder Exploits bekannt sind) bekannt sind, zu identifizieren und sie zu Listen bekannter Bedrohungen hinzuzufügen, und so den Endpoint als anfällig belassen, bis die Signaturen aktualisiert werden. Die Erweiterte Endpoint-Schutz-Lösung, die aus einem zentralen Endpoint-Schutzmanager und einer Endpoint-Schutzsoftware mit dem Namen Traps besteht, führt einen effektiveren Ansatz durch, um diese Angriffe zu verhindern. Anstatt zu versuchen, mit der ständig wachsenden Liste bekannter Bedrohungen Schritt zu halten, setzt Traps eine Reihe von Straßensperren ein, um die Angriffe an ihren anfänglichen Eintrittspunkte zu verhindern, wo rechtmäßige ausführbare Dateien gerade dabei sind, den Schadhaften unwissentlich Zugriff auf das System zu gewähren. Traps zielt auf Software-Schwachstellen in Prozessen ab, die nicht ausführbare Dateien öffnen, indem es Exploit Präventionstechniken einsetzt. Traps verwendet auch Schadsoftware-Präventionstechniken, um schädliche ausführbare Dateien an ihrer Ausführung zu hindern. Mit diesem zweifachen Ansatz kann die erweiterte Endpoint-Schutz-Lösung alle Arten von Angriffen verhindern, egal ob sie bekannte oder unbekannte Bedrohungen darstellen. Alle Aspekte der Endpoint-Schutzeinstellungen die Endpoints und Gruppen, auf die sie angewendet werden, die Anwendungen, die sie schützen, die festgelegten Regeln, Beschränkungen und Aktionen sind alle in hohem Maße konfigurierbar. Dies ermöglicht jeder Organisation, Traps auf seine Bedürfnisse anzupassen, so dass es einen maximalen Schutz bei minimaler Störung der tagtäglichen Aktivitäten bietet. Exploit-Prävention Schadsoftware-Prävention Exploit-Prävention Ein Exploit ist eine Folge von Befehlen, das Vorteile aus einem Fehler oder einer Schwachstelle in einer Softwareanwendung oder -prozess zieht. Angreifer verwenden Exploits als Mittel, um den Zugang und die Nutzung eines Systems zu ihrem Vorteil zu verwenden. Um die Kontrolle über ein System zu erlangen, muss der Angreifer eine Kette von Sicherheitslücken im System umgehen. Das Blockieren jedweden Versuchs, eine Schwachstelle in der Kette auszunutzen, wird den Exploitations-Versuch vollständig blockieren. In einem typischen Angriffsszenario nutzt ein Angreifer Versuche dazu, die Kontrolle über ein System zu bekommen, indem es zuerst den Versuch tätigt, die Speicherzuweisung oder den Handler zu beschädigen oder zu umgehen. Durch Verwenden von Speicherkorruptions-Techniken wie Zwischenspeicher-Überlauf und 2 Advanced Endpoint Protection Administrator-Leitfaden

11 Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Heap-Beschädigung, kann der Hacker dann einen Fehler in der Software auslösen oder eine Schwachstelle in einem Prozess nutzen. Der Angreifer muss danach ein Programm manipulieren, um den durch den Angreifer zur Verfügung gestellten oder angegebenen Code ausführen zu lassen und sich einer Erkennung zu entziehen. Wenn der Angreifer Zugriff auf das Betriebssystem gewinnt, kann der Angreifer einen Trojaner sowie Schadsoftware-Programme hochladen, die schadhafte, ausführbare Dateien enthalten oder auf andere Weise das System zu seinem Vorteil nutzen. Traps verhindert solche Exploit-Versuche durch den Einsatz von Straßensperren oder Fallen in jeder Phase des Exploitations-Versuchs. Wenn ein Benutzer eine nicht ausführbare Datei, wie beispielsweise ein PDF oder Word-Dokument, öffnet, dann injiziert der Traps-Agent nahtlos Treiber in die Software, welche die Datei öffnet. Die Treiber werden in einem möglichst frühen Stadium injiziert, bevor alle Dateien, die zu dem Prozess gehören, in den Speicher geladen worden sind. Wenn der Prozess, der die Datei öffnet, geschützt ist, spritzt Traps ein Codemodul, auch Exploitation-Präventionsmodule (EPM) genannt, in den Prozess. Das EPM zielt auf eine spezifische Exploitations-Technik ab und wurde entwickelt, um Angriffe auf Schwachstellen basierend auf Programmspeicherfehlern oder logischen Fehlern zu vermeiden. Beispiele für Angriffe, welche durch die EPM verhindern werden können, sind Dynamic Link Library (DLL)-Hijacking (Austausch einer legitimen DLL mit einer schadhaften gleichen Namens), Hijacking-Programmablaufsteuerung und das Einfügen eines schadhaften Codes als ein Ausnahme-Handler. Zusätzlich zum automatischen Schutz von Prozessen vor solchen Angriffen, berichtet Traps jedwede Präventionsereignisse an den Endpoint-Sicherheitsmanager, und führt zusätzliche Maßnahmen gemäß der Einstellungen der Richtlinienregeln durch. Zu den gemeinsamen Aktionen, die Traps durchführt, gehören das Sammeln forensische Daten und die Benachrichtigung des Benutzers über das Ereignis. Traps unternimmt weder ein zusätzliches Scannen noch Überwachungsmaßnahmen. Die bestehende Endpoint-Sicherheitsrichtlinie schützt die am stärksten gefährdeten und am häufigsten verwendeten Anwendungen, aber Sie können auch andere Drittanbieter- und proprietäre Anwendungen auf der Liste der geschützten Prozesse hinzuzufügen. Weitere Informationen sehen Sie unter Hinzufügen eines Geschützten, Vorläufigen oder Ungeschützten Prozesses. Weitere Informationen sehen Sie unter Exploit-Präventionsregeln. Advanced Endpoint Protection Administrator-Leitfaden 3

12 Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Schadsoftware-Prävention Schadhafte, ausführbare Dateien, auch als Schadsoftware bekannt, werden oft als nicht-schädliche Dateien verkleidet oder in solche eingebettet. Diese Dateien, die in manchen Fällen als Trojaner bezeichnet werden, können Computer beschädigen, indem Versuche gemacht werden, die Kontrolle zu erlangen, sensible Informationen zu sammeln oder den normalen Betrieb des Systems zu beeinträchtigen. Um die Endpoints vor schadhaften, ausführbaren Dateien zu schützen, wendet Traps die Schadsoftware-Präventionsmaschine als eine weitere Form einer Sicherheits-Straßensperre an. Die Schadsoftware-Präventionsmaschine verwendet eine Kombination von Richtlinien-basierten Beschränkungen, Schadsoftwareschutzmodulen und WildFire-Analyse, um die Oberfläche eines Angriffs zu begrenzen und die Quelle der Dateiinstallation, wie beispielsweise von externen Medien, zu steuern. Die Schadsoftware-Präventionsmaschine verwendet auch Technik-basierte Schadensminderungen, die untergeordnete Prozesse, Java-Prozesse, die in Web-Browser gestartet werden, die Erstellung von Fern-Bedrohungen und -Prozessen sowie die Ausführung von unsignierten Prozesse einschränken oder blockieren. Wenn das Sicherheitsereignis eintritt, führt Traps gemeinsame Aktionen durch, einschließlich der Verhinderung der Ausführung der Datei, dem Sammeln forensischer Daten und der Benachrichtigung des Benutzers über das Ereignis. Traps unternimmt weder ein zusätzliches Scannen noch Überwachungsmaßnahmen. Zusätzliche Informationen sehen Sie unter Ablauf der Schadsoftware-Prävention. 4 Advanced Endpoint Protection Administrator-Leitfaden

13 Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz Komponenten für den Erweiterten Endpoint-Schutz Die Erweiterte Endpoint-Schutz-Lösung nutzt einen zentrale Endpoint-Sicherheitsmanager (ESM), der aus ESM-Konsole, einer Datenbank und einem ESM-Server besteht, um Richtlinienregeln zu verwalten und die Sicherheitsrichtlinie an Endpoints in Ihrer Organisation zu verteilen. Die Endpoint-Sicherheitsmanager-Komponenten kommunizieren mit der Schutz-Software, Traps genannt, die an jedem Endpoint in Ihrer Organisation installiert ist. Die folgende Abbildung zeigt die Erweiterten Endpoint-Schutz-Komponenten. Die folgenden Themen beschreiben die Elemente im Detail. Endpoint-Sicherheitsmanager-Konsole Endpoint-Sicherheitsmanager Server Datenbank Endpoints Traps Externe Protokollierungsplattform WildFire Forensischer Ordner Advanced Endpoint Protection Administrator-Leitfaden 5

14 Komponenten für den Erweiterten Endpoint-Schutz Erweiterter Endpoint-Schutz im Überblick Endpoint-Sicherheitsmanager-Konsole Die Endpoint-Sicherheitsmanager (ESM)-Konsole ist eine Web-Schnittstelle, die ein administrierbares Dashboard für die Verwaltung von Sicherheitsereignissen, Endpoint-Befinden und Richtlinienregeln zur Verfügung stellt. Sie können die Web-Oberfläche auf dem gleichen Server wie dem ESM-Server, auf einem separaten Server oder auf einem Cloud-basierten Server installieren. Die ESM-Konsole kommuniziert mit der Datenbank, unabhängig vom ESM-Server. Endpoint-Sicherheitsmanager Server Jeder Endpoint-Sicherheitsmanager (ESM)-Server fungiert als Verbindungsserver, der Informationen zwischen den ESM-Komponenten, Traps und WildFire weiterleitet. Jeder ESM-Server unterstützt bis zu Traps-Agenten. Der ESM-Server ruft auf regelmäßiger Basis die Sicherheitsrichtlinie aus der Datenbank auf und verteilt sie an alle Traps-Agenten. Jeder Traps-Agent leitet Informationen über Sicherheitsereignisse zurück zum ESM-Server. Die folgende Tabelle zeigt die Arten von Nachrichten, die von Traps-Agenten zum ESM-Server gesendet werden: Nachrichtentyp Traps-Status Benachrichtigungen Bezeichnung Der Traps-Agent sendet periodisch Nachrichten an den ESM-Server, um anzuzeigen, dass er in Betrieb ist, und um die neueste Sicherheitsrichtlinie anzufordern. Die Benachrichtigungen- und Befinden-Seiten im Endpoint-Sicherheitsmanager zeigen den Status für jeden Endpoint an. Die Zeitdauer zwischen den Nachrichten, auch als Heartbeat-Periode bekannt, beträgt standardmäßig fünf Minuten; die Heartbeat-Periode ist konfigurierbar. Der Traps-Agent sendet Benachrichtigungen über Änderungen innerhalb des Agenten, wie beispielsweise dem Start oder Stopp einer Dienstleistung, an den ESM-Server. Der Server protokolliert diese Meldungen in der Datenbank. Sie können diese Benachrichtigungen im Endpoint-Sicherheitsmanager betrachten. Standardmäßig sendet Traps die Benachrichtigungen alle zwei Stunden. Aktualisierungsnachrichten Ein Endbenutzer kann eine sofortige Richtlinienaktualisierung durch Klicken auf die Check-in jetzt-taste in der Traps-Konsole anfordern. Dies bewirkt, dass die Traps-Agenten die neueste Sicherheitsrichtlinie aus dem ESM-Server erhalten, ohne das Ende der Heartbeat-Periode abwarten zu müssen. Präventionsberichte Wenn ein Präventionsereignis an einem Endpoint eintritt, an dem der Traps-Agent installiert ist, meldet der Traps-Agent alle Informationen im Zusammenhang mit dem Ereignis in Echtzeit an den ESM-Server. Datenbank Die Datenbank speichert Administrierungsinformationen, Sicherheitsrichtlinienregeln, Endpoint-Verlauf und weitere Informationen über sicherheitsrelevante Ereignisse. Die Datenbank wird über die MS-SQL-Plattform verwaltet. Jede Datenbank erfordert eine Lizenz und kann mit einem oder mehreren ESM-Servern gemeinsam 6 Advanced Endpoint Protection Administrator-Leitfaden

15 Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz kommunizieren. Die Datenbank kann auf dem gleichen Server wie die ESM-Konsole und der ESM-Server, wie zum Beispiel in einer eigenständigen Umgebung installiert werden, jedoch ist auch eine Installation der Datenbank auf einem dedizierten Server möglich. Während der Konzeptprüfungsphase wird auch die SQLite-Datenbank unterstützt. Endpoints Ein Endpoint stellt einen Windows-basierten Computer, Server, virtuelle Maschine oder ein mobiles Gerät dar, auf dem die clientseitige Schutzanwendung namens Traps ausgeführt wird. Die Voraussetzungen sehen Sie unter Voraussetzungen für die Installation von Traps an einem Endpoint. Traps Traps besteht aus einer Konsole, die eine Benutzerschnittstellenanwendung bietet, einem Agenten, der den Endpoint schützt und kommuniziert mit dem ESM-Server sowie mit dem Dienst, der die forensischen Daten sammelt. Der Traps-Agent schützt den Endpoint durch die Umsetzung der für die Organisation im Endpoint-Sicherheitsmanagerdefinierten Sicherheitsrichtlinie. Wenn ein Benutzer einen geschützten Prozess am Endpoint erstellt oder öffnet, injiziert der Traps-Agent seine Treiber so früh wie möglich in den Prozess, bevor die Prozessdateien in den Speicher geladen werden. Der Agent schützt auch die Traps-Software davor, deaktiviert oder deinstalliert zu werden. Wenn der Traps-Agent auf ein Präventionsereignis stößt, dann sammelt der Traps-Dienst forensische Daten und überträgt die im Zusammenhang mit dem Ereignis stehenden Daten an den Endpoint-Sicherheitsmanager zurück. Der Traps-Dienst ist auch für die Kommunikation der Statusinformationen eines Endpoints auf einer regelmäßigen Basis verantwortlich. Die Traps-Konsole zeigt Informationen über geschützte Prozesse, den Ereignisverlauf und die aktuelle Sicherheitsrichtlinie an. Normalerweise benötigen Benutzer keine laufende Traps Konsole, die Informationen können jedoch für die Untersuchung eines sicherheitsrelevanten Ereignisses nützlich sein. Sie können wählen, ob Sie das Taskleisten-Konsolensymbol, das die Konsole startet, ausblenden oder Benutzer gänzlich daran hindern, diese zu starten. Weitere Informationen sehen Sie unter Verbergen oder beschränken des Zugangs zur Traps-Konsole. Advanced Endpoint Protection Administrator-Leitfaden 7

16 Komponenten für den Erweiterten Endpoint-Schutz Erweiterter Endpoint-Schutz im Überblick Externe Protokollierungsplattform Die Angabe einer externen Protokollierungsplattform ermöglicht eine aggregierte Sicht auf die Protokolle aller ESM-Server. Der Endpoint-Sicherheitsmanager kann, zusätzlich zur internen Speicherung seiner Protokolle, diese in eine externe Protokollierungsplattform, wie Sicherheitsinformations- und Ereignis-Management (SIEM), Dienstorganisationssteuerung (SOCs) oder Syslog schreiben. Sie können Ihre Syslog-Server auch mit Drittanbieter-Überwachungswerkzeugen wie beispielsweise Splunk integrieren, um Protokolldaten zu analysieren. Laden Sie die Splunk App für Palo Alto Networks auf herunter. Wie Sie eine externe Protokollierungsplattform hinzufügen können, finden Sie unter Aktivieren der externen Berichterstattung unter Verwendung der ESM-Konsole. WildFire Der Traps-Agent wurde entwickelt, um Angriffe zu blockieren, bevor irgendein schadhafter Code kann am Endpoint ausgeführt werden kann. Während dieser Ansatz für die Sicherheit der Daten und der Infrastruktur sorgt, ermöglicht es die Sammlung von forensischem Beweismaterial erst im Augenblick der Prävention. Somit kann es den Zweck des Angriffs oder dessen gesamten Verlaufs nicht vollständig offenbaren. Der WildFire-Dienst ist ein optionales, post-präventives Analysesystem, das forensische Analysen schadhafter Dateien durchführt. Die Aktivierung der WildFire Integration ermöglicht es Traps, einen Datei-Hash aus der ausführbaren Datei zu erstellen und sie mit der WildFire Cloud oder einem lokalen WildFire Gerät zu vergleichen. Wenn WildFire bestätigt, dass eine Datei eine bekannte Schadsoftware darstellt, blockiert der Traps-Agent die Datei für zukünftige Anzeichen und setzt den Endpoint-Sicherheitsmanager darüber in Kenntnis. Während WildFire neue Schadsoftware erkennt, generiert es innerhalb einer Stunde neue Signaturen. Palo Alto Networks Firewalls der nächsten Generation sind mit einem WildFire-Abonnement ausgestattet, das die neuen Signaturen innerhalb von 15 Minuten erhalten kann; Firewalls, die nur ein Abonnement für die Bedrohungsprävention besitzen, erhalten die neuen Signaturen während der nächsten Virensignaturaktualisierung, innerhalb von Stunden. Wenn die WildFire-Integration in der ESM-Konsole aktiviert wurde, wird die Statusseite der Traps-Konsole ein neben der Forensischen Datensammlung anzeigen. Wenn WildFire nicht aktiviert wurde, wird die Traps-Konsole ein neben der Forensischen Datensammlung anzeigen. Weitere Informationen sehen Sie unter Aktivieren von WildFire und Ablauf der Schadsoftware-Prävention. 8 Advanced Endpoint Protection Administrator-Leitfaden

17 Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz Forensischer Ordner Wenn Traps auf ein sicherheitsrelevantes Ereignis stößt, wie beispielsweise eine Dateiausführung, eine Störung des Traps-Dienstes oder ein Exploit-Angriff, dann protokolliert es forensische Details über den Endpoint in Echtzeit. Die forensischen Daten enthalten den Ereignisverlauf, das Speicherabbild und andere Informationen, die dem Ereignis zugeordnet werden können. Sie können die forensischen Daten durch die Schaffung einer Aktionsregel abrufen, um die Daten am Endpoint einzusammeln. Nachdem der Endpoint die Sicherheitsrichtlinie erhält, welche die Aktionsregel enthält, sendet der Traps-Agent alle forensischen Informationen an den forensischen Ordner, der manchmal auch als Quarantäne-Ordner bezeichnet wird. Während der Erstinstallation benennen Sie den Pfad des forensischen Ordners, die der Endpoint-Sicherheitsmanager verwendet, um forensische Informationen zu speichern, die er von den Endpoints abruft. Der Endpoint-Sicherheitsmanager unterstützt multiple forensische Ordner im Erweiterten Endpoint-Schutz 3.2 oder höher und ermöglicht während der Installation den Intelligenten Hintergrundübertragungsdienst (BITS) für den Ordner. Wenn der forensische Ordner, der während der Installation benannt wurde, nicht erreicht werden kann, ist Traps standardmäßig auf den forensischen Ordner eingestellt, welcher in der ESM-Konsole benannt wurde. Sie können den Standardordner jederzeit mit Hilfe des Endpoint-Sicherheitsmanager ändern. Advanced Endpoint Protection Administrator-Leitfaden 9

18 Komponenten für den Erweiterten Endpoint-Schutz Erweiterter Endpoint-Schutz im Überblick 10 Advanced Endpoint Protection Administrator-Leitfaden

19 Erweiterte Endpoint-Schutz- Bereitstellungsszenarios Sie können die erweiterte Endpoint Schutz-Lösung in einer Vielzahl von Umgebungen einsetzen. Die folgenden Themen beschreiben typische Einsatzszenarien, welche die Anzahl der Agenten und Standorte in Betracht ziehen: Einzelplatzbereitstellung Kleine Bereitstellungen Große Bereitstellungen Für die Installationsvoraussetzungen und Überlegungen, sehen Sie unter Voraussetzungen. Advanced Endpoint Protection Administrator-Leitfaden 11

20 Einzelplatzbereitstellung Erweiterte Endpoint-Schutz- Bereitstellungsszenarios Einzelplatzbereitstellung Komponenten für die Einzelplatzbereitstellung Anforderungen für die Einzelplatzbereitstellung Komponenten für die Einzelplatzbereitstellung Für einen ersten Machbarkeitsnachweis (POC) oder einem kleinen Standort mit weniger als 250 Traps-Agenten, verwenden Sie eine Einzelplatzbereitstellung, um die folgenden Endpoint-Sicherheitsmanager (ESM)-Komponenten auf einem einzelnen Server oder einer virtuellen Maschine zu installieren: ESM-Server ESM-Konsole Forensischer Ordner (Quarantäne) Database (Optional) Loadbalancer für die Verteilung des Verkehrs über die ESM-Server (Optional) Externe Protokollierungsplattform wie beispielsweise eine SIEM oder Syslog (Optional) WildFire-Integration Für Best Practices mit einem stufenweisen Ansatz für die Installation von Traps auf Endpoints, sehen Sie unter Bereitstellungsschritte für Traps. Anforderungen für die Einzelplatzbereitstellung Die folgende Tabelle zeigt die Anforderungen für den Einzelplatz-Server. 12 Advanced Endpoint Protection Administrator-Leitfaden