Palo Alto Networks Advanced Endpoint Protection Administrator-Leitfaden Version 3,2
Kontaktinformationen Zentrale: Palo Alto Networks 4401, Great America Parkway Santa Clara, CA 95054, USA http://www.paloaltonetworks.com/contact/contact/ Über diesen Leitfaden Dieser Leitfaden beschreibt die Erstinstallation und die grundlegende Einrichtung für Palo Alto Networks' erweiterte Endpoint-Schutz- ProtectionKomponenten, die den Endpoint Security ManagerEndpoint- Sicherheitsmanager (ESM) und Traps enthalten. Die behandelten Themen umfassen Voraussetzungen, Best Practices und Verfahren für die Installation und Verwaltung von Traps an den Endpoints Ihrer Organisation. Beachten Sie die folgenden Quellen für weitere Informationen: https://paloaltonetworks.com/documentation Technischer Publikationsund Dokumentationsstandort. https://live.paloaltonetworks.com Für den Zugriff auf die Wissensbasis, vollständige Dokumentationssets, Diskussionsforen und Videos. https://support.paloaltonetworks.com Für Supportfragen, Informationen über die Förderprogramme oder um Ihr Konto oder Ihre Geräte zu verwalten. https://support.paloaltonetworks.com/updates/softwareupdates Die aktuellen Versionshinweise finden Sie auf der Seite Software- Aktualisierungen unter Um ein Feedback über die Dokumentation zu geben, schreiben Sie uns bitte unter: documentation@paloaltonetworks.com Palo Alto Networks, Inc. www.paloaltonetworks.com 2015 Palo Alto Networks. Alle Rechte vorbehalten. Palo Alto Networks und PAN-OS sind Warenzeichen von Palo Alto Networks, Inc. Revisionsdatum: Mai 27, 2015
Inhaltsangabe Erweiterter Endpoint-Schutz im Überblick............................1 Erweiterter Endpoint-Schutz im Überblick................................................... 2 Exploit-Prävention................................................................... 2 Schadsoftware-Prävention............................................................. 4 Komponenten für den Erweiterten Endpoint-Schutz........................................... 5 Endpoint-Sicherheitsmanager-Konsole................................................... 6 Endpoint-Sicherheitsmanager Server..................................................... 6 Datenbank.......................................................................... 6 Endpoints.......................................................................... 7 Traps.............................................................................. 7 Externe Protokollierungsplattform...................................................... 8 WildFire............................................................................ 8 Forensischer Ordner.................................................................. 9 Erweiterte Endpoint-Schutz- Bereitstellungsszenarios..................11 Einzelplatzbereitstellung.................................................................. 12 Komponenten für die Einzelplatzbereitstellung........................................... 12 Anforderungen für die Einzelplatzbereitstellung.......................................... 12 Kleine Bereitstellungen................................................................... 14 Kleine Einzelplatzsystem-Bereitstellung................................................. 14 Kleine Mehrplatzsystem-Bereitstellung.................................................. 15 Große Bereitstellungen................................................................... 17 Große Einzelplatzsystem-Bereitstellung................................................. 17 Große Mehrplatzsystem-Bereitstellungen mit EinemEndpoint-Sicherheitsmanager.............. 18 Große Mehrplatzsystem-Bereitstellungen mit multiplen Endpoint-Sicherheitsmanagern.......... 19 Große Mehrplatzsystem-Bereitstellung mit Roaming-Agenten (ohne VPN).................... 21 Große Mehrplatzsystem-Bereitstellung mit Roaming-Agenten (mit VPN)...................... 22 Voraussetzungen..............................................25 Voraussetzungen für die Installatien des ESM-Servers......................................... 26 Voraussetzungen für die Installation von Traps an einem Endpoint.............................. 27 Einrichten der Traps-Infrastruktur..................................29 Einrichten der Endpoint-Infrastruktur...................................................... 30 Aktualisieren der Endpoint-Infrastruktur.................................................... 31 Einrichten des Endpoint-Sicherheitsmanager................................................. 32 Überlegungen für die Installation der Endpoint-Infrastruktur................................ 32 Aktivieren der Web-Dienste........................................................... 32 Konfigurieren von SSL auf der ESM-Konsole............................................ 35 Konfigurieren der MS-SQL-Server-Datenbank........................................... 36 Installieren der Endpoint-Sicherheitsmanager Server-Software............................... 38 Installieren der Endpoint-Sicherheitsmanager-Konsolensoftware............................. 40 Advanced Endpoint Protection Administrator-Leitfaden iii
Hochladen der Basissicherheitsrichtlinie................................................. 42 Einrichten der Endpoints................................................................ 44 Bereitstellungsschritte für Traps....................................................... 44 Überlegungen für die Traps-Installation................................................. 45 Installieren von Traps am Endpoint.................................................... 45 Installieren von Traps am Endpoint unter Verwendung von Msiexec......................... 46 Überprüfen einer erfolgreichen Installation.................................................. 48 Überprüfen der Konnektivität vom Endpoint............................................ 48 Überprüfen der Konnektivität von der ESM-Konsole..................................... 48 Verwaltung des ESM-Servers.................................... 51 Verwaltung mehrerer ESM-Server......................................................... 52 Systemanforderungen................................................................ 52 Beschränkungen.................................................................... 52 Verwaltung von ESM-Servern......................................................... 53 Verwaltung von Endpoint-Sicherheitsmanager-Lizenzen....................................... 54 Verwaltung von Endpoint-Sicherheitsmanager-Lizenzen mit Hilfe der ESM-Konsole............ 54 Verwaltung von Endpoint-Sicherheitsmanager-Lizenzen mit Hilfe des DB-Konfigurationswerkzeugs. 55 Einrichten des administrativen Zugangs..................................................... 56 Einrichten des administrativen Zugangs für den Endpoint-Sicherheitsmanager, unter Verwendung der ESM-Konsole56 Einrichten des administrativen Zugangs für den Endpoint-Sicherheitsmanager, unter Verwendung des DB-Konfigurationswerkzeugs57 Wechsel des Ninja-Modus-Kennworts unter Verwendung des DB-Konfigurationswerkzeugs..... 58 Exportieren und Importieren von Richtliniendateien.......................................... 60 Erste Schritte mit Regeln....................................... 61 Endpoint-Richtlinienregeln im Überblick.................................................... 62 Richtlinienregeltypen................................................................ 62 Die Umsetzung von Richtlinien....................................................... 63 Bekannte Regelkomponenten und -Aktionen................................................ 64 Konditionen....................................................................... 64 Zielobjekte........................................................................ 65 Benennen oder Umbenennen einer Regel................................................ 66 Speichern der Regeln................................................................ 66 Das Verwalten Gespeicherter Regeln................................................... 67 Deaktivieren oder Aktivieren Aller Schutzregeln.......................................... 68 Exploit-Prävention............................................. 69 Das Verwalten von Prozessen............................................................. 70 Prozessschutz...................................................................... 71 Hinzufügen eines Geschützten, Vorläufigen oder Ungeschützten Prozesses.................... 72 Importieren oder Exportieren eines Prozesses............................................ 73 Betrachten, Ändern oder Löschen eines Prozesses........................................ 73 Betrachten von Prozessen, die gegenwärtig durch Traps geschützt werden..................... 74 Verwalten von Exploit-Präventionsregeln................................................... 76 iv Advanced Endpoint Protection Administrator-Leitfaden
Exploit-Präventionsregeln............................................................ 76 Bestehende Exploit-Präventionsrichtlinie................................................ 78 Erstellen einer Exploit-Präventionsregel................................................. 80 Ausschluss eines Endpoints von einer Exploit-Präventionsregel.............................. 83 Schadsoftware-Prävention.......................................85 Ablauf der Schadsoftware-Prävention....................................................... 86 Phase 1: Die Bewertung der Beschränkungsrichtlinien...................................... 86 Phase 2: Bewertung von Hash-Verdikten................................................ 87 Phase 3: Beurteilung der Präventionsrichtlinien für Schadsoftware............................ 89 Phase 4: Verdikt-Management......................................................... 89 Die Verwaltung von Beschränkungen für ausführbare Dateien.................................. 91 Beschränkungsregeln................................................................ 91 Hinzufügen einer neuen Beschränkungsregel............................................. 92 Verwalten globaler weißer Listen....................................................... 94 Lokale Ordner in schwarzen Listen..................................................... 95 Netzwerkordner in weißen Listen...................................................... 96 Definieren Sie Beschränkungen für externe Medien und Ausnahmen......................... 98 Definieren Sie untergeordnete Prozess-Beschränkungen und Ausnahmen...................... 99 Definieren Sie Java-Beschränkungen und Ausnahmen..................................... 101 Definieren Sie Beschränkungen und Ausnahmen für unsignierte, ausführbare Dateien.......... 103 Das Verwalten von WildFire-Regeln und -Einstellungen....................................... 106 Aktivieren von WildFire............................................................. 106 WildFire-Regeln................................................................... 107 Konfiguration einer WildFire-Regel.................................................... 107 Verwalten Ausführbarer Hashs........................................................... 110 Betrachten und Suchen von Hashs.................................................... 110 Exportieren und Importieren von Hashs............................................... 111 Betrachten der WildFire-Berichte..................................................... 111 Außer Kraft setzen einer WildFire-Entscheidung......................................... 112 Widerruf einer WildFire-Entscheidung................................................. 113 Für eine Analyse durch WildFire hochladen............................................. 114 Verwalten von Schadsoftware-Präventionsregeln............................................. 116 Schadsoftware-Präventionsregeln..................................................... 116 Konfigurieren des Thread-Injektionsschutzes............................................ 117 Konfiguration des Suspend Guard-Schutzes............................................. 120 Die Verwaltung der Endpoints...................................125 Verwalten der Traps-Aktionsregeln........................................................ 126 Traps-Aktionsregeln................................................................ 126 Hinzufügen einer neuen Aktionsregel.................................................. 127 Das Verwalten Gesammelter Daten durch Traps......................................... 128 Herunterfahren oder Auszusetzen des EPM-Schutzes..................................... 130 Deinstallieren oder aufrüsten von Traps am Endpoint.................................... 131 Aktualisieren oder Widerrufen der Traps-Lizenz am Endpoint.............................. 132 Verwalten der Agenten-Einstellungsregeln.................................................. 134 Traps-Agenten-Einstellungsregeln..................................................... 134 Hinzufügen einer neuen Agenten-Einstellungsregel....................................... 135 Advanced Endpoint Protection Administrator-Leitfaden v
Definieren der Ereignisprotokollierungseinstellungen..................................... 137 Verbergen oder beschränken des Zugangs zur Traps-Konsole.............................. 138 Definieren der Kommunikationseinstellungen zwischen Endpoint und ESM-Server............ 140 Sammeln neuer Prozessinformationen................................................. 142 Verwalten des Dienstschutzes........................................................ 143 Ändern des Passworts für die Deinstallation............................................ 144 Erstellen einer individuellen Präventionsnachricht....................................... 145 Erstellen einer individuellen Präventionsbenachrichtigungsnachricht........................ 146 Forensische Untersuchungen................................... 149 Übersicht forensischer Untersuchungen.................................................... 150 Ablauf forensischer Untersuchungen.................................................. 150 Forensische Datentypen............................................................. 152 Das Verwalten Forensischer Regeln und Einstellungen....................................... 153 Forensische Regeln................................................................. 153 Wechsel des Standard-Forensik-Ordners............................................... 153 Erstellen Sie eine Forensik-Richtlinie.................................................. 155 Definieren der Speicherabbild-Einstellungen............................................ 157 Definieren Sie die Sammlungspräferenzen für Forensiken................................. 158 Abrufen von Daten eines Sicherheitsereignisses......................................... 160 Aktivieren Sie Die URI-Sammlung in Chrome.............................................. 162 Installieren Sie die Chrome-Erweiterung an dem Endpoint................................ 162 Installieren Sie die Chrome-Erweiterung unter Verwendung von GPO....................... 162 Berichte und Protokollierung.................................... 165 Pflegen von Endpoints und Traps........................................................ 166 Verwendung des Endpoint-Sicherheitsmanager Dashboards................................... 167 Das Überwachen von Sicherheitsereignissen................................................ 168 Verwenden Sie das Dashboard für Sicherheitsereignisse................................... 168 Betrachtung des Sicherheitsereignisprotokolls an einem Endpoint.......................... 174 Überwachung des Befindens der Endpoints................................................ 176 Betrachtung der Details über das Befinden der Endpoints................................. 176 Ansicht der Traps-Statusdetails....................................................... 177 Betrachtung des Regelverlaufs an einem Endpoint....................................... 178 Ansicht der Änderungen an der Sicherheitsrichtlinie des Endpoints......................... 179 Betrachtung des Dienststatusverlaufs an einem Endpoint.................................. 180 Entfernen eines Endpoints von der Befinden-Seite....................................... 180 Überwachung der Regeln................................................................ 182 Anzeige der Regelzusammenfassung................................................... 182 Details über Regeln betrachten....................................................... 182 Überwachung der Forensischen Wiederherstellung........................................... 184 Überwachung der Agent-Benachrichtigungen............................................... 185 Benachrichtigungen über Änderungen im Agenten-Status betrachten........................ 185 Details über Agenten-Protokolle Betrachten............................................ 185 Überwachung der Server-Benachrichtigungen............................................... 187 Benachrichtigungen Über den ESM-Server überwachen................................... 187 Details über den ESM-Server betrachten............................................... 187 vi Advanced Endpoint Protection Administrator-Leitfaden
Verwalten von Berichts- und Protokollierungspräferenzen..................................... 188 Aktivieren der externen Berichterstattung unter Verwendung der ESM-Konsole............... 188 Aktivieren der externen Berichterstattung unter Verwendung des DB-Konfigurationswerkzeugs.. 189 Festlegen der Kommunikationseinstellungen unter Verwendung der ESM-Konsole............. 190 Festlegen der Kommunikationseinstellungen unter Verwendung des DB-Konfigurationswerkzeugs191 Fehlersuche.................................................193 ErweiterterEndpointSchutz - Ressourcen für die Fehlersuche.................................. 194 Datenbank-Konfigurationswerkzeug....................................................... 195 Zugriff auf das Datenbank-Konfigurationswerkzeug...................................... 195 Cytool............................................................................... 197 Zugang für Cytool.................................................................. 197 Betrachten von Prozessen, die gegenwärtig durch Traps geschützt werden.................... 198 Verwalten der Schutzeinstellungen am Endpoint......................................... 199 Verwalten der Traps-Treiber und -Dienste am Endpoint.................................. 203 Anzeigen und Vergleichen von Sicherheitsrichtlinien an einem Endpoint..................... 206 Beheben von Traps-Problemen........................................................... 209 Wieso kann ich Traps nicht installieren?................................................ 209 Wieso kann ich Traps nicht aktualisieren oder deinstallieren?............................... 210 Wieso kann Traps sich nicht mit dem ESM-Server verbinden?.............................. 211 Wie behebe ich einen Traps-Serverzertifikatfehler?....................................... 214 Problembehandlung bei Problemen mit der ESM-Konsole..................................... 215 Warum kann ich mich nicht an der ESM-Konsole anmelden?.............................. 215 Warum bekomme ich beim Starten der ESM-Konsole einen Server-Fehler?................... 216 Warum erscheinen alle Endpoints als von der ESM-Konsole getrennt?....................... 217 Advanced Endpoint Protection Administrator-Leitfaden vii
viii Advanced Endpoint Protection Administrator-Leitfaden
Erweiterter Endpoint-Schutz im Überblick Der erweiterte Endpoint-Schutz ist eine Lösung, die erweiterte, widerstandsfähige Bedrohungen (APT) und Zero-Day-Angriffe verhindert und den Schutz Ihrer Endpoints durch die Blockierung von Angriffsvektoren aktiviert, bevor eine Schadsoftware initiiert werden kann. Die folgenden Themen beschreiben den erweiterten Endpoint-Schutz im Detail: Für die neueste erweiterte Endpoint-Schutzversion 3.2-Dokumentation, besuchen Sie bitte die Erweiterte Endpoint-Schutz-Dokumentation-Seite im Portal für Technische Dokumentation. Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz Advanced Endpoint Protection Administrator-Leitfaden 1
Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Cyber-Angriffe sind Angriffe, die auf Netzwerke oder Endpoints durchgeführt werden, um Schaden anzurichten, Informationen zu stehlen, oder andere Ziele anzustreben, welche die Kontrolle über Computersysteme zu übernehmen, die anderen gehören, beinhalten. Solche Gegner begehen Cyberangriffe entweder dadurch, dass sie Benutzer unbeabsichtigt dazu bringen, eine schadhafte, ausführbare Datei auszuführen oder indem sie eine Schwäche in einer rechtmäßigen, ausführbaren Datei ausnutzen, einen schadhaften Code hinter den Kulissen, und ohne das Wissen des Benutzers, auszuführen. Eine Möglichkeit, diese Angriffe zu verhindern ist, ausführbare Dateien, Dynamic Link Libraries (DLLs) oder andere Teile des Codes als schadhaft zu identifizieren, und dann deren Ausführung, durch Testen jedes potentiell gefährlichen Code-Moduls mittels einer Liste von spezifischen, bekannten Bedrohungssignaturen, zu verhindern. Die Schwäche dieser Methode liegt darin, dass Signatur-basierte Lösungen Zeit in Anspruch nehmen, um neu geschaffene Bedrohungen, die nur dem Angreifer (die auch als Zero-Day-Angriffe oder Exploits bekannt sind) bekannt sind, zu identifizieren und sie zu Listen bekannter Bedrohungen hinzuzufügen, und so den Endpoint als anfällig belassen, bis die Signaturen aktualisiert werden. Die Erweiterte Endpoint-Schutz-Lösung, die aus einem zentralen Endpoint-Schutzmanager und einer Endpoint-Schutzsoftware mit dem Namen Traps besteht, führt einen effektiveren Ansatz durch, um diese Angriffe zu verhindern. Anstatt zu versuchen, mit der ständig wachsenden Liste bekannter Bedrohungen Schritt zu halten, setzt Traps eine Reihe von Straßensperren ein, um die Angriffe an ihren anfänglichen Eintrittspunkte zu verhindern, wo rechtmäßige ausführbare Dateien gerade dabei sind, den Schadhaften unwissentlich Zugriff auf das System zu gewähren. Traps zielt auf Software-Schwachstellen in Prozessen ab, die nicht ausführbare Dateien öffnen, indem es Exploit Präventionstechniken einsetzt. Traps verwendet auch Schadsoftware-Präventionstechniken, um schädliche ausführbare Dateien an ihrer Ausführung zu hindern. Mit diesem zweifachen Ansatz kann die erweiterte Endpoint-Schutz-Lösung alle Arten von Angriffen verhindern, egal ob sie bekannte oder unbekannte Bedrohungen darstellen. Alle Aspekte der Endpoint-Schutzeinstellungen die Endpoints und Gruppen, auf die sie angewendet werden, die Anwendungen, die sie schützen, die festgelegten Regeln, Beschränkungen und Aktionen sind alle in hohem Maße konfigurierbar. Dies ermöglicht jeder Organisation, Traps auf seine Bedürfnisse anzupassen, so dass es einen maximalen Schutz bei minimaler Störung der tagtäglichen Aktivitäten bietet. Exploit-Prävention Schadsoftware-Prävention Exploit-Prävention Ein Exploit ist eine Folge von Befehlen, das Vorteile aus einem Fehler oder einer Schwachstelle in einer Softwareanwendung oder -prozess zieht. Angreifer verwenden Exploits als Mittel, um den Zugang und die Nutzung eines Systems zu ihrem Vorteil zu verwenden. Um die Kontrolle über ein System zu erlangen, muss der Angreifer eine Kette von Sicherheitslücken im System umgehen. Das Blockieren jedweden Versuchs, eine Schwachstelle in der Kette auszunutzen, wird den Exploitations-Versuch vollständig blockieren. In einem typischen Angriffsszenario nutzt ein Angreifer Versuche dazu, die Kontrolle über ein System zu bekommen, indem es zuerst den Versuch tätigt, die Speicherzuweisung oder den Handler zu beschädigen oder zu umgehen. Durch Verwenden von Speicherkorruptions-Techniken wie Zwischenspeicher-Überlauf und 2 Advanced Endpoint Protection Administrator-Leitfaden
Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Heap-Beschädigung, kann der Hacker dann einen Fehler in der Software auslösen oder eine Schwachstelle in einem Prozess nutzen. Der Angreifer muss danach ein Programm manipulieren, um den durch den Angreifer zur Verfügung gestellten oder angegebenen Code ausführen zu lassen und sich einer Erkennung zu entziehen. Wenn der Angreifer Zugriff auf das Betriebssystem gewinnt, kann der Angreifer einen Trojaner sowie Schadsoftware-Programme hochladen, die schadhafte, ausführbare Dateien enthalten oder auf andere Weise das System zu seinem Vorteil nutzen. Traps verhindert solche Exploit-Versuche durch den Einsatz von Straßensperren oder Fallen in jeder Phase des Exploitations-Versuchs. Wenn ein Benutzer eine nicht ausführbare Datei, wie beispielsweise ein PDF oder Word-Dokument, öffnet, dann injiziert der Traps-Agent nahtlos Treiber in die Software, welche die Datei öffnet. Die Treiber werden in einem möglichst frühen Stadium injiziert, bevor alle Dateien, die zu dem Prozess gehören, in den Speicher geladen worden sind. Wenn der Prozess, der die Datei öffnet, geschützt ist, spritzt Traps ein Codemodul, auch Exploitation-Präventionsmodule (EPM) genannt, in den Prozess. Das EPM zielt auf eine spezifische Exploitations-Technik ab und wurde entwickelt, um Angriffe auf Schwachstellen basierend auf Programmspeicherfehlern oder logischen Fehlern zu vermeiden. Beispiele für Angriffe, welche durch die EPM verhindern werden können, sind Dynamic Link Library (DLL)-Hijacking (Austausch einer legitimen DLL mit einer schadhaften gleichen Namens), Hijacking-Programmablaufsteuerung und das Einfügen eines schadhaften Codes als ein Ausnahme-Handler. Zusätzlich zum automatischen Schutz von Prozessen vor solchen Angriffen, berichtet Traps jedwede Präventionsereignisse an den Endpoint-Sicherheitsmanager, und führt zusätzliche Maßnahmen gemäß der Einstellungen der Richtlinienregeln durch. Zu den gemeinsamen Aktionen, die Traps durchführt, gehören das Sammeln forensische Daten und die Benachrichtigung des Benutzers über das Ereignis. Traps unternimmt weder ein zusätzliches Scannen noch Überwachungsmaßnahmen. Die bestehende Endpoint-Sicherheitsrichtlinie schützt die am stärksten gefährdeten und am häufigsten verwendeten Anwendungen, aber Sie können auch andere Drittanbieter- und proprietäre Anwendungen auf der Liste der geschützten Prozesse hinzuzufügen. Weitere Informationen sehen Sie unter Hinzufügen eines Geschützten, Vorläufigen oder Ungeschützten Prozesses. Weitere Informationen sehen Sie unter Exploit-Präventionsregeln. Advanced Endpoint Protection Administrator-Leitfaden 3
Erweiterter Endpoint-Schutz im Überblick Erweiterter Endpoint-Schutz im Überblick Schadsoftware-Prävention Schadhafte, ausführbare Dateien, auch als Schadsoftware bekannt, werden oft als nicht-schädliche Dateien verkleidet oder in solche eingebettet. Diese Dateien, die in manchen Fällen als Trojaner bezeichnet werden, können Computer beschädigen, indem Versuche gemacht werden, die Kontrolle zu erlangen, sensible Informationen zu sammeln oder den normalen Betrieb des Systems zu beeinträchtigen. Um die Endpoints vor schadhaften, ausführbaren Dateien zu schützen, wendet Traps die Schadsoftware-Präventionsmaschine als eine weitere Form einer Sicherheits-Straßensperre an. Die Schadsoftware-Präventionsmaschine verwendet eine Kombination von Richtlinien-basierten Beschränkungen, Schadsoftwareschutzmodulen und WildFire-Analyse, um die Oberfläche eines Angriffs zu begrenzen und die Quelle der Dateiinstallation, wie beispielsweise von externen Medien, zu steuern. Die Schadsoftware-Präventionsmaschine verwendet auch Technik-basierte Schadensminderungen, die untergeordnete Prozesse, Java-Prozesse, die in Web-Browser gestartet werden, die Erstellung von Fern-Bedrohungen und -Prozessen sowie die Ausführung von unsignierten Prozesse einschränken oder blockieren. Wenn das Sicherheitsereignis eintritt, führt Traps gemeinsame Aktionen durch, einschließlich der Verhinderung der Ausführung der Datei, dem Sammeln forensischer Daten und der Benachrichtigung des Benutzers über das Ereignis. Traps unternimmt weder ein zusätzliches Scannen noch Überwachungsmaßnahmen. Zusätzliche Informationen sehen Sie unter Ablauf der Schadsoftware-Prävention. 4 Advanced Endpoint Protection Administrator-Leitfaden
Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz Komponenten für den Erweiterten Endpoint-Schutz Die Erweiterte Endpoint-Schutz-Lösung nutzt einen zentrale Endpoint-Sicherheitsmanager (ESM), der aus ESM-Konsole, einer Datenbank und einem ESM-Server besteht, um Richtlinienregeln zu verwalten und die Sicherheitsrichtlinie an Endpoints in Ihrer Organisation zu verteilen. Die Endpoint-Sicherheitsmanager-Komponenten kommunizieren mit der Schutz-Software, Traps genannt, die an jedem Endpoint in Ihrer Organisation installiert ist. Die folgende Abbildung zeigt die Erweiterten Endpoint-Schutz-Komponenten. Die folgenden Themen beschreiben die Elemente im Detail. Endpoint-Sicherheitsmanager-Konsole Endpoint-Sicherheitsmanager Server Datenbank Endpoints Traps Externe Protokollierungsplattform WildFire Forensischer Ordner Advanced Endpoint Protection Administrator-Leitfaden 5
Komponenten für den Erweiterten Endpoint-Schutz Erweiterter Endpoint-Schutz im Überblick Endpoint-Sicherheitsmanager-Konsole Die Endpoint-Sicherheitsmanager (ESM)-Konsole ist eine Web-Schnittstelle, die ein administrierbares Dashboard für die Verwaltung von Sicherheitsereignissen, Endpoint-Befinden und Richtlinienregeln zur Verfügung stellt. Sie können die Web-Oberfläche auf dem gleichen Server wie dem ESM-Server, auf einem separaten Server oder auf einem Cloud-basierten Server installieren. Die ESM-Konsole kommuniziert mit der Datenbank, unabhängig vom ESM-Server. Endpoint-Sicherheitsmanager Server Jeder Endpoint-Sicherheitsmanager (ESM)-Server fungiert als Verbindungsserver, der Informationen zwischen den ESM-Komponenten, Traps und WildFire weiterleitet. Jeder ESM-Server unterstützt bis zu 50.000 Traps-Agenten. Der ESM-Server ruft auf regelmäßiger Basis die Sicherheitsrichtlinie aus der Datenbank auf und verteilt sie an alle Traps-Agenten. Jeder Traps-Agent leitet Informationen über Sicherheitsereignisse zurück zum ESM-Server. Die folgende Tabelle zeigt die Arten von Nachrichten, die von Traps-Agenten zum ESM-Server gesendet werden: Nachrichtentyp Traps-Status Benachrichtigungen Bezeichnung Der Traps-Agent sendet periodisch Nachrichten an den ESM-Server, um anzuzeigen, dass er in Betrieb ist, und um die neueste Sicherheitsrichtlinie anzufordern. Die Benachrichtigungen- und Befinden-Seiten im Endpoint-Sicherheitsmanager zeigen den Status für jeden Endpoint an. Die Zeitdauer zwischen den Nachrichten, auch als Heartbeat-Periode bekannt, beträgt standardmäßig fünf Minuten; die Heartbeat-Periode ist konfigurierbar. Der Traps-Agent sendet Benachrichtigungen über Änderungen innerhalb des Agenten, wie beispielsweise dem Start oder Stopp einer Dienstleistung, an den ESM-Server. Der Server protokolliert diese Meldungen in der Datenbank. Sie können diese Benachrichtigungen im Endpoint-Sicherheitsmanager betrachten. Standardmäßig sendet Traps die Benachrichtigungen alle zwei Stunden. Aktualisierungsnachrichten Ein Endbenutzer kann eine sofortige Richtlinienaktualisierung durch Klicken auf die Check-in jetzt-taste in der Traps-Konsole anfordern. Dies bewirkt, dass die Traps-Agenten die neueste Sicherheitsrichtlinie aus dem ESM-Server erhalten, ohne das Ende der Heartbeat-Periode abwarten zu müssen. Präventionsberichte Wenn ein Präventionsereignis an einem Endpoint eintritt, an dem der Traps-Agent installiert ist, meldet der Traps-Agent alle Informationen im Zusammenhang mit dem Ereignis in Echtzeit an den ESM-Server. Datenbank Die Datenbank speichert Administrierungsinformationen, Sicherheitsrichtlinienregeln, Endpoint-Verlauf und weitere Informationen über sicherheitsrelevante Ereignisse. Die Datenbank wird über die MS-SQL-Plattform verwaltet. Jede Datenbank erfordert eine Lizenz und kann mit einem oder mehreren ESM-Servern gemeinsam 6 Advanced Endpoint Protection Administrator-Leitfaden
Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz kommunizieren. Die Datenbank kann auf dem gleichen Server wie die ESM-Konsole und der ESM-Server, wie zum Beispiel in einer eigenständigen Umgebung installiert werden, jedoch ist auch eine Installation der Datenbank auf einem dedizierten Server möglich. Während der Konzeptprüfungsphase wird auch die SQLite-Datenbank unterstützt. Endpoints Ein Endpoint stellt einen Windows-basierten Computer, Server, virtuelle Maschine oder ein mobiles Gerät dar, auf dem die clientseitige Schutzanwendung namens Traps ausgeführt wird. Die Voraussetzungen sehen Sie unter Voraussetzungen für die Installation von Traps an einem Endpoint. Traps Traps besteht aus einer Konsole, die eine Benutzerschnittstellenanwendung bietet, einem Agenten, der den Endpoint schützt und kommuniziert mit dem ESM-Server sowie mit dem Dienst, der die forensischen Daten sammelt. Der Traps-Agent schützt den Endpoint durch die Umsetzung der für die Organisation im Endpoint-Sicherheitsmanagerdefinierten Sicherheitsrichtlinie. Wenn ein Benutzer einen geschützten Prozess am Endpoint erstellt oder öffnet, injiziert der Traps-Agent seine Treiber so früh wie möglich in den Prozess, bevor die Prozessdateien in den Speicher geladen werden. Der Agent schützt auch die Traps-Software davor, deaktiviert oder deinstalliert zu werden. Wenn der Traps-Agent auf ein Präventionsereignis stößt, dann sammelt der Traps-Dienst forensische Daten und überträgt die im Zusammenhang mit dem Ereignis stehenden Daten an den Endpoint-Sicherheitsmanager zurück. Der Traps-Dienst ist auch für die Kommunikation der Statusinformationen eines Endpoints auf einer regelmäßigen Basis verantwortlich. Die Traps-Konsole zeigt Informationen über geschützte Prozesse, den Ereignisverlauf und die aktuelle Sicherheitsrichtlinie an. Normalerweise benötigen Benutzer keine laufende Traps Konsole, die Informationen können jedoch für die Untersuchung eines sicherheitsrelevanten Ereignisses nützlich sein. Sie können wählen, ob Sie das Taskleisten-Konsolensymbol, das die Konsole startet, ausblenden oder Benutzer gänzlich daran hindern, diese zu starten. Weitere Informationen sehen Sie unter Verbergen oder beschränken des Zugangs zur Traps-Konsole. Advanced Endpoint Protection Administrator-Leitfaden 7
Komponenten für den Erweiterten Endpoint-Schutz Erweiterter Endpoint-Schutz im Überblick Externe Protokollierungsplattform Die Angabe einer externen Protokollierungsplattform ermöglicht eine aggregierte Sicht auf die Protokolle aller ESM-Server. Der Endpoint-Sicherheitsmanager kann, zusätzlich zur internen Speicherung seiner Protokolle, diese in eine externe Protokollierungsplattform, wie Sicherheitsinformations- und Ereignis-Management (SIEM), Dienstorganisationssteuerung (SOCs) oder Syslog schreiben. Sie können Ihre Syslog-Server auch mit Drittanbieter-Überwachungswerkzeugen wie beispielsweise Splunk integrieren, um Protokolldaten zu analysieren. Laden Sie die Splunk App für Palo Alto Networks auf https://apps.splunk.com/app/491/ herunter. Wie Sie eine externe Protokollierungsplattform hinzufügen können, finden Sie unter Aktivieren der externen Berichterstattung unter Verwendung der ESM-Konsole. WildFire Der Traps-Agent wurde entwickelt, um Angriffe zu blockieren, bevor irgendein schadhafter Code kann am Endpoint ausgeführt werden kann. Während dieser Ansatz für die Sicherheit der Daten und der Infrastruktur sorgt, ermöglicht es die Sammlung von forensischem Beweismaterial erst im Augenblick der Prävention. Somit kann es den Zweck des Angriffs oder dessen gesamten Verlaufs nicht vollständig offenbaren. Der WildFire-Dienst ist ein optionales, post-präventives Analysesystem, das forensische Analysen schadhafter Dateien durchführt. Die Aktivierung der WildFire Integration ermöglicht es Traps, einen Datei-Hash aus der ausführbaren Datei zu erstellen und sie mit der WildFire Cloud oder einem lokalen WildFire Gerät zu vergleichen. Wenn WildFire bestätigt, dass eine Datei eine bekannte Schadsoftware darstellt, blockiert der Traps-Agent die Datei für zukünftige Anzeichen und setzt den Endpoint-Sicherheitsmanager darüber in Kenntnis. Während WildFire neue Schadsoftware erkennt, generiert es innerhalb einer Stunde neue Signaturen. Palo Alto Networks Firewalls der nächsten Generation sind mit einem WildFire-Abonnement ausgestattet, das die neuen Signaturen innerhalb von 15 Minuten erhalten kann; Firewalls, die nur ein Abonnement für die Bedrohungsprävention besitzen, erhalten die neuen Signaturen während der nächsten Virensignaturaktualisierung, innerhalb von 24-48 Stunden. Wenn die WildFire-Integration in der ESM-Konsole aktiviert wurde, wird die Statusseite der Traps-Konsole ein neben der Forensischen Datensammlung anzeigen. Wenn WildFire nicht aktiviert wurde, wird die Traps-Konsole ein neben der Forensischen Datensammlung anzeigen. Weitere Informationen sehen Sie unter Aktivieren von WildFire und Ablauf der Schadsoftware-Prävention. 8 Advanced Endpoint Protection Administrator-Leitfaden
Erweiterter Endpoint-Schutz im Überblick Komponenten für den Erweiterten Endpoint-Schutz Forensischer Ordner Wenn Traps auf ein sicherheitsrelevantes Ereignis stößt, wie beispielsweise eine Dateiausführung, eine Störung des Traps-Dienstes oder ein Exploit-Angriff, dann protokolliert es forensische Details über den Endpoint in Echtzeit. Die forensischen Daten enthalten den Ereignisverlauf, das Speicherabbild und andere Informationen, die dem Ereignis zugeordnet werden können. Sie können die forensischen Daten durch die Schaffung einer Aktionsregel abrufen, um die Daten am Endpoint einzusammeln. Nachdem der Endpoint die Sicherheitsrichtlinie erhält, welche die Aktionsregel enthält, sendet der Traps-Agent alle forensischen Informationen an den forensischen Ordner, der manchmal auch als Quarantäne-Ordner bezeichnet wird. Während der Erstinstallation benennen Sie den Pfad des forensischen Ordners, die der Endpoint-Sicherheitsmanager verwendet, um forensische Informationen zu speichern, die er von den Endpoints abruft. Der Endpoint-Sicherheitsmanager unterstützt multiple forensische Ordner im Erweiterten Endpoint-Schutz 3.2 oder höher und ermöglicht während der Installation den Intelligenten Hintergrundübertragungsdienst (BITS) für den Ordner. Wenn der forensische Ordner, der während der Installation benannt wurde, nicht erreicht werden kann, ist Traps standardmäßig auf den forensischen Ordner eingestellt, welcher in der ESM-Konsole benannt wurde. Sie können den Standardordner jederzeit mit Hilfe des Endpoint-Sicherheitsmanager ändern. Advanced Endpoint Protection Administrator-Leitfaden 9
Komponenten für den Erweiterten Endpoint-Schutz Erweiterter Endpoint-Schutz im Überblick 10 Advanced Endpoint Protection Administrator-Leitfaden
Erweiterte Endpoint-Schutz- Bereitstellungsszenarios Sie können die erweiterte Endpoint Schutz-Lösung in einer Vielzahl von Umgebungen einsetzen. Die folgenden Themen beschreiben typische Einsatzszenarien, welche die Anzahl der Agenten und Standorte in Betracht ziehen: Einzelplatzbereitstellung Kleine Bereitstellungen Große Bereitstellungen Für die Installationsvoraussetzungen und Überlegungen, sehen Sie unter Voraussetzungen. Advanced Endpoint Protection Administrator-Leitfaden 11
Einzelplatzbereitstellung Erweiterte Endpoint-Schutz- Bereitstellungsszenarios Einzelplatzbereitstellung Komponenten für die Einzelplatzbereitstellung Anforderungen für die Einzelplatzbereitstellung Komponenten für die Einzelplatzbereitstellung Für einen ersten Machbarkeitsnachweis (POC) oder einem kleinen Standort mit weniger als 250 Traps-Agenten, verwenden Sie eine Einzelplatzbereitstellung, um die folgenden Endpoint-Sicherheitsmanager (ESM)-Komponenten auf einem einzelnen Server oder einer virtuellen Maschine zu installieren: ESM-Server ESM-Konsole Forensischer Ordner (Quarantäne) Database (Optional) Loadbalancer für die Verteilung des Verkehrs über die ESM-Server (Optional) Externe Protokollierungsplattform wie beispielsweise eine SIEM oder Syslog (Optional) WildFire-Integration Für Best Practices mit einem stufenweisen Ansatz für die Installation von Traps auf Endpoints, sehen Sie unter Bereitstellungsschritte für Traps. Anforderungen für die Einzelplatzbereitstellung Die folgende Tabelle zeigt die Anforderungen für den Einzelplatz-Server. 12 Advanced Endpoint Protection Administrator-Leitfaden