Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

用例实施:Juniper Connected Security 借助 ForeScout CounterACT 和瞻博网络设备实现自动威胁修复

此用例展示了如何将 ForeScout CounterACT 安全设备、Windows 7 请求方、瞻博网络 vSRX 虚拟防火墙、瞻博网络 EX4300 交换机和瞻博网络 QFX 系列交换机集成和配置为瞻博网络 Connected Security。

要使用 ForeScout CounterACT 实现此用例以修复(阻止或隔离)受感染主机的威胁,请执行以下一组必需的安装、配置和验证步骤:

要求

此用例使用以下硬件和软件组件:

  • 运行 Junos OS 版本 15.1X49-D110.4 或更高版本的 vSRX 虚拟防火墙

  • 运行 Junos OS 版本 15.1X53-D60.4 或更高版本的 QFX 系列交换机

  • 运行 Junos OS 15.1R5.5 或更高版本的 EX4300 交换机

  • 高级威胁防御云(ATP 云)

  • Junos Space 网络管理平台,版本 17.2R1 或更高版本

  • Junos Space Security Director,版本 17.2R2 或更高版本

  • 日志收集器,版本 17.2R2 或更高版本

  • 策略实施器,版本 17.2R2 或更高版本

  • ForeScout CounterACT 版本 7.0.0-513-2.3.0-1605

  • 运行 Windows 7 且具有 2 个双 NIC 主机的虚拟机 (VM)

有关受支持设备的列表,请参阅 策略实施器发行说明

用例拓扑

用例拓扑如图 1 所示

图 1:使用 ForeScout CounterACT 和瞻博网络设备实施的 Juniper Connected Security 自动威胁修复用例拓扑 Juniper Connected Security Automated Threat Remediation with ForeScout CounterACT and Juniper Networks Devices Use Case Topology

Forescout CounterACT 安全设备采用无代理方法保障网络安全,并与 Juniper Connected Security 集成,以阻止或隔离瞻博网络设备、第三方交换机和支持和不支持 802.1X 协议集成的无线接入控制器上的受感染主机。

在此用例中,受感染的最终用户被隔离到 EX4300 交换机上的用户 VLAN31 中。EX4300 交换机已启用 ForeScout CounterACT,并在 ge-0/0/19 上启用了 802.1X 身份验证。最终用户使用 802.1X 向网络进行身份验证。

此用例中会发生以下事件:

  1. ATP 云检测到受感染的端点。
  2. 策略实施器下载受感染的主机源,然后通过 CounterACT 强制实施受感染的主机策略。
  3. CounterACT 向服务器查询受感染主机 IP 地址的端点详细信息。
  4. CounterACT 向 EX4300 交换机发送消息,告知交换机通过阻止或隔离 vlan31 来终止会话。
  5. 强制执行发生在对终端进行身份验证的 EX4300 交换机上。
  6. CounterACT 清点设备上运行的应用程序、服务和进程,检查操作系统版本和注册表设置,并验证是否存在安全客户端。结果,可以获得设备的完整配置文件及其安全状态。

安装和配置 Junos Space、Security Director 和日志收集器

本节介绍如何为此用例安装和配置 Junos Space、安全目录和日志收集器。在此用例中,这些应用程序用于提供集中式策略和管理应用程序,以实现一致的网络安全策略。

本节介绍以下过程:

配置基本 Junos Space 网络

要在此用例中配置基本的 Junos Space 网络:

  1. 配置相关路由、网络掩码、网关、DNS 和 NTP,以便除日志收集器之外的所有组件都可以连接到互联网。
  2. 确保所有组件位于同一时区。
  3. 确保已启用 SSH。
  4. 确保 Security Director 可以连接到 ATP 云服务器、策略实施器和所有设备。

有关配置 Junos Space 的其他信息,请参阅 Junos Space 网络管理平台文档

在 Security Director 上安装所需的 DMI 架构

下载并安装匹配的正确 Junos OS 架构来管理瞻博网络的设备:

  1. 按照 https://www.juniper.net/documentation/en_US/junos-space17.2/platform/topics/task/operational/dmi-schemas-adding-updating.html 中的说明添加瞻博网络设备的 DMI 架构。
  2. 确保所有受管理设备(SRX 系列和 EX 系列设备)的设备软件版本和架构版本匹配。

安装和配置 SRX 系列、EX 系列和 QFX 系列设备

要为此用例安装和配置 vSRX 虚拟防火墙、EX 系列交换机和 QFX 系列交换机,请执行以下操作:

  1. 根据您的要求将 vSRX 设备配置为实施点。单击 SRX 系列设备的 CLI 配置 ,查看此用例的详细 Junos OS CLI 代码。
  2. 根据您的要求配置 EX4300 交换机。单击 EX4300 交换机的 CLI 配置 ,查看此用例的详细 Junos OS CLI 代码。您将 EX4300 配置为 802.1X 身份验证器,并通过 RADIUS 协议将 Windows 7 请求方的凭据转发给 ForeScout CounterACT。EX4300 交换机还会将从 Windows 7 请求方连接的端口进入的流量镜像到连接到 ForeScout CounterACT 虚拟设备的“监视器”接口的目标端口。
    注意:

    有关如何部署 EX4300 交换机和 QFX 交换机的详细说明,请单击以下链接:
  3. 根据您的要求配置 QFX 交换机。单击 QFX 交换机的 CLI 配置 ,查看此用例的详细 Junos OS CLI 代码。您将 QFX 交换机配置为标准接入交换机。EX4300 交换机上的 QFX 交换机上行链路端口还会将流量镜像到连接到 ForeScout CounterACT 虚拟设备接口的目标 Monitor 端口。
  4. 在 Junos 设备上配置基本网络连接:

    1. 在所有 Junos 设备上,配置必要的路由和 DNS 设置以启用互联网访问以及与 Junos Space、策略实施器和 ATP 云服务器的连接。

    2. 对于 SRX 设备,请确保在带内和带外都启用了互联网访问。

  5. 将设备添加到 Junos Space 网络管理平台:

    1. 在 Junos Space 中,发现并导入环境中的 SRX 设备。

    2. 在 Security Director 中,分配、发布和更新任何现有防火墙策略,以确保 Security Director 和 SRX 设备保持同步。

安装和配置 Microsoft Windows Server 和 Active Directory

由于 ForeScout CounterACT 没有用于 802.1X 身份验证的本地用户数据库,因此您必须安装和配置 Windows Server 2008R2 with Active Directory。

  1. 若要设置和配置 Windows Server 2008R2,请单击“ https://docs.microsoft.com/en-us/iis/install/installing-iis-7/install-windows-server-2008-and-windows-server-2008-r2”。
  2. 若要设置和配置 Active Directory,请单击“ https://www.petri.com/installing-active-directory-windows-server-2008”。
  3. 创建用户域帐户,以便稍后在 802.1X 身份验证期间使用。

下载、部署和配置策略实施器虚拟机

要下载、部署和配置策略实施器虚拟机,请执行以下操作:

  1. 将策略实施器虚拟机映像从 http://www.juniper.net/support/downloads/?p=sdpe 下载到安装了 vSphere 客户端的管理工作站。
  2. 在 vSphere 客户端上,从菜单栏中选择 File > Deploy OVF Template
  3. 单击 Browse 以找到已下载的 OVA 文件。
  4. 单击 Next 并按照安装向导中的说明进行操作。
  5. 安装完成后,分别使用 root 和 作为 abc123 用户名和密码登录到虚拟机。
  6. 配置网络设置、NTP 信息和客户信息,然后完成向导。

有关更详细的说明,请参阅 https://www.juniper.net/documentation/en_US/release-independent/policy-enforcer/topics/task/installation/policy-enforcer-vm-config.html

识别策略实施器并将其连接到 Security Director

要识别策略实施器并将其连接到 Security Director,请执行以下操作:

  1. 在 Security Director 中,标识策略实施器虚拟机。
  2. 登录到 Security Director 并选择 Administration > PE Settings
  3. 输入策略实施器虚拟机的 IP 地址和 root 密码,然后单击 OK
  4. 选择“威胁防御类型”作为 Sky ATP with PE
    注意:

    此时,请 not 运行向导/引导式安装程序。

获取 ATP 云许可证并创建 ATP 云 Web 门户帐户

要获取 ATP 云许可证并创建 ATP 云 Web 门户帐户,请执行以下操作:

  1. ATP 云有三个服务级别:免费、基本和特优。免费许可证提供有限的功能,并包含在基本软件中。要获取并安装 ATP 云基本或高级许可证,请单击 管理高级威胁防御云许可证

    有关 ATP 云服务级别和许可证类型的更多详细信息,请单击 高级威胁防御云许可证类型

  2. 通过单击 “https://sky.junipersecurity.net ”并填写所需信息来创建 ATP 云 Web 门户帐户。

在 ATP 云支持的 SRX 系列设备上安装根 CA

注意:

仅当在恶意软件配置文件或威胁防御策略中启用 HTTPS 检查时,才需要此部分。

本节介绍以下主题:

在 UNIX 设备上使用 Junos OS CLI 或 OpenSSL 生成根 CA 证书

注意:

仅使用这些选项之一。

要在 SRX 设备上使用 Junos OS CLI 生成根 CA 证书:

  1. 为本地数字证书生成 PKI 公钥或私钥对。
  2. 使用密钥对,通过提供 FQDN 和其他详细信息来定义自签名证书。

要在 UNIX 设备上使用 OpenSSL 生成根 CA 证书,请执行以下操作:

  1. 为本地数字证书生成 PKI 公钥或私钥对。

  2. 将密钥对复制到一个或多个 SRX 设备上。

  3. 在 SRX 设备上,导入密钥对。

  4. 在 SSL 代理配置文件中将加载的证书作为 root-ca 应用。

配置证书颁发机构配置文件组

配置证书颁发机构 (CA) 配置文件组。

  1. 创建 CA 配置文件。
  2. Junos OS 提供受信任 CA 证书的默认列表,您可以使用默认命令选项将这些证书加载到系统上。
  3. 验证是否已加载证书 ssl-inspect-ca

将根 CA 证书导出和导入到 Web 浏览器中

要将根 CA 证书导出并导入到 Web 浏览器中,请执行以下操作:

  1. 在 SRX 设备上,首先将根 CA 证书导出到 .pem 文件。
  2. 将 .pem 文件传输到您的 Windows 客户端。
    注意:

    如果将 UNIX 设备与 OpenSSL 配合使用,则证书已在设备上,无需执行任何操作。
  3. 将证书导入浏览器。

    如果您使用的是 Windows 客户端,请指示浏览器信任 CA 根证书。

    • Internet Explorer(版本 8.0):

      1. Tools从菜单中,选择 Internet Options

      2. Content 选项卡上,单击 Certificates

      3. Trusted Root Certification Authorities选择选项卡并单击 Import

      4. Certificate Import Wizard在 中,导航到所需的根 CA 证书并选择它。

    • 火狐浏览器(版本 39.0):

      1. Tools从菜单中,选择 Options

      2. Advanced从菜单中选择选项卡Certificates,然后单击 View Certificate

      3. Certificate Manager 窗口中,选择 Authorities 选项卡并单击 Import

      4. 导航到所需的根 CA 证书并选择它。

    • 谷歌浏览器(版本 45.0):

      1. Settings从菜单中,选择 Show Advanced Settings

      2. Advanced从菜单中选择选项卡Certificates,然后单击 View Certificate

      3. 在“HTTPS/SSL”下,单击 Manage Certificates

      4. Certificate 窗口中,选择并单击 Trusted Root Certification Authorities Import

      5. 在向导中 Certificate Import ,导航到所需的根 CA 证书并选择它。

    有关更多详细信息,请单击: https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/ssl-proxy-workflow-configuring.html

如果您使用的是 UNIX 设备,请将证书导入浏览器:

下载、部署和配置 ForeScout CounterACT 虚拟机

本节介绍以下主题:

先决条件任务

在开始此过程之前,请完成以下任务:

  1. 获取 CounterACT 的评估副本(版本:7.0.0-513-2.3.0-1605)以与策略实施器一起使用。
  2. 从 ForeScout 代表处获取许可证密钥和以下插件包:

    • ForeScout-dot1x-4.2.0.1010-42001010.fpi

    • ForeScout-eds-3.2.0-32000032.fpi

    • ForeScout-webapi-1.2.2-12020005.fpi

  3. 在 ESXi 主机上下载并部署 CounterACT (CA) OVF 或 ISO 文件。

    • 如果下载并部署 ISO 文件,则:

      1. 创建新的虚拟机 (VM) 并选择作为 other 2.6.x Linux (32bit) 来宾操作系统。

      2. 将您的 ISO 文件 Datastore上传到 。

      3. 配置要从 引导 Datastore ISO file的 CD 或 DVD 驱动器。

      注意:

      在打开虚拟机电源之前,必须启用该 Connected at power on 选项。

    有关管理、监控和响应界面所需的虚拟机上的 vSwitch 和网络适配器配置设置,请单击:

    对于此用例,标准部署模式与单独的 ManagementMonitorResponse 接口一起使用。为了获得更高的网络可见性,EX4300 交换机配置为将流量从连接 Windows 和 Linux 主机的端口镜像到连接到 ForeScout CounterACT 虚拟设备的监视器接口的目标端口。在非 802.1X 接入交换机部署中,当不存在用于收集 IP 信息的第 3 层网关(交换机)时,IP 地址/MAC-ID 绑定也需要这样做。

    只有管理界面用于自动威胁修复操作。

  4. 根据性能要求编辑 VM 设置。

    有关更多详细信息,请单击 https://www.forescout.com/products/specifications/

安装和配置 CounterACT 软件

要安装和配置 ForeScout CounterACT 软件:

  1. 打开虚拟机电源并按照控制台上的说明进行操作:

    1. 选择开始 Install CounterACT 安装。安装完成后,VM 将重新启动。

    2. 从控制台中,选择以 Configure CounterACT 配置网络和系统设置。

    3. 选择作为 CounterACT Appliance 安装类型。

  2. 确保 CounterACT 管理接口可以连接到互联网以访问您的交换机。
  3. 使用浏览器并输入 https://pact.ly/S1lnt3 以访问和安装瞻博网络 CounterACT 产品试用软件。输入您的凭据以确认并安装产品试用软件。
    图 2:瞻博网络 CounterACT 试用软件页面 Juniper CounterACT Trial Software Page

    为您的操作系统下载并安装 Windows 或 Linux。

  4. Start从菜单中,选择 ForeScout CounterACT > CounterACT Console。此时将显示“CounterACT 登录”页面:
    图 3:CounterACT 登录页 CounterACT Login Page

    1. 在该 IP/Name 字段中,输入 CounterACT 设备 IP 名称。

    2. Login Method从列表中选择以Password执行标准用户身份验证。

    3. User Name在和Password字段中,输入您的 ForeScout 用户名和密码。

    4. 单击 Login

  5. 下载并安装 CounterACT 累积更新。
    图 4:CounterACT 累积更新 CounterACT Cumulative Update CounterACT Cumulative Update
  6. 再次登录到控制台并按照初始设置向导进行操作。该 Welcome 页面显示您登录的 CounterACT 组件,以及您之前在数据中心安装过程中定义的信息。
  7. 在页面中 License ,单击 Install License 以安装 CounterACT 虚拟系统许可证。

    单击 Next

    图 5:许可证安装页面 License Installation Page
  8. 在页面中 Time ,定义设备的时间设置。
    图 6:时间设置页面 Time Settings Page

    CounterACT 设备需要 NTP 连接(端口 123 UDP)到 NTP 服务器。为组织的连接输入 NTP 服务器,或使用默认的 ForeScout NTP 服务器 (ntp.foreScout.net)。单击测试以验证 NTP 服务器是否返回成功的连接。

    单击 Next

  9. CounterACT 从 Mail 页面生成有关策略和威胁防护警报、计划报告、关键系统操作警报和许可证警报的电子邮件。
    注意:

    对于此用例,请勿使用电子邮件通知和警报选项。但是,您不能跳过此步骤,并且必须输入虚拟电子邮件地址。单击 Next
    图7:邮件设置页面 Mail Settings Page
  10. 要继续初始设置向导,请暂时跳过设置用户目录、域和认证服务器插件。您将在此过程的后面部分定义它们。从向导中单击 Skip >> ,直到 Internal Network 页面出现。
  11. 在页面中 Internal Network ,添加您希望 CounterACT 管理的内部网络的 IP 地址范围(10.10.10.0 到 10.10.30.255)。单击 Next
    图 8:内部网络设置 Internal Network Settings
  12. 在页面中 Enforcement Mode ,启用 NAT Detection并接受其他默认强制模式设置,然后单击 Next
    图 9:强制模式设置 Enforcement Mode Settings
  13. Channels 页面:

    1. 通过从Channels列表中选择来Add定义新通道。此通道用于匹配检测和响应网络接口上流量的设备接口连接。

    2. Monitor从列表中选择为eth1接口。

    3. Response从列表中选择为eth2接口。

    4. 在数据中心分配两个接口。

    5. All VLANs启用该选项并验证接口是否Monitor从已配置的 EX4300 交换机接收镜像流量。

    图10:通道设置 Channels Settings
  14. 要继续初始设置向导,请暂时跳过设置交换机插件。您将在此过程的后面部分定义它们。从向导中单击 Skip >> ,直到 Policy 页面出现。
  15. 在页面中 Policy ,接受资产分类的默认设置 Classify hosts (已启用)。单击 Next
    图 11:策略设置 Policy Settings
  16. 在页面中 Inventory ,接受默认设置 Enable Inventory Discovery (已启用)。单击 Next
    图 12:库存设置 Inventory Settings
  17. 在该 Finish 页面中,查看向导配置摘要。单击 Finish 以完成初始设置。单击此项 Save 可将配置文件保存到外部文件。
    图 13:完成初始设置页面 Finish Initial Setup Page
    注意:

    (可选)要禁用地图功能,请选择 Tools > Options > Map
  18. 要下载并安装更新的软件包,请单击 Check for updates (或选择 Tools > Check for Updates)。
    图 14:检查更新屏幕 Check for Updates Screen
  19. Software Updates 页面:

    1. 安装基础结构更新包。

    2. 安装第二个服务包。服务包安装完成后,CounterACT 将自动重新启动。单击以 OK 重新启动控制台。

      图 15:服务包安装完整屏幕 Service Package Installation Complete Screen

    3. 使用您的凭据登录。

    4. 单击( Check for updates 或选择 Tools > Check for Updates)并安装其他剩余的软件更新包。

    注意:

    对于此用例,请取消选择 HPS 检查引擎和 Macintosh/Linux 属性扫描程序软件包。这些对于此用例示例不是必需的。

安装和配置反行动插件

CounterACT 随附多个捆绑插件:

  • ForeScout-dot1x-4.2.0.1010-42001010.fpi

  • ForeScout-eds-3.2.0-32000032.fpi

  • ForeScout-webapi-1.2.2-12020005.fpi

这些插件将 CounterACT 链接到网络基础架构(交换机、域服务器和用户目录),并提供核心端点检测和管理功能,包括一组全面的主机属性和操作。

  1. 登录到 CounterACT 控制台并选择 Tools > Options > Plugins 安装软件包。
    图 16:CounterACT 插件屏幕 CounterACT Plugins Screen
  2. 选择每个插件,然后单击 Install。安装完成后,单击 Close
  3. 选择此选项 Tools > Options > Plugins 可验证以下服务是否正在运行:

    • 用户目录

    • 开关

    • 802.1X

    • 数据交换 (DEX)

    • 网络接口

配置用户目录插件

用户目录插件解析端点用户详细信息,并通过身份验证和目录服务器执行端点身份验证。

要配置用户目录服务器:

  1. 选择 Tools > Options > User Directory。在“用户目录”页面中,单击 Add
  2. Edit Server在页面General的窗格中,定义基本的服务器参数和功能:

    1. Name 字段中输入服务器的主机名。

    2. Type从列表中选择服务器类型。服务器类型可以是以下任一类型:

      图 17:服务器类型选项 Server Type Options

    3. 为服务器启用以下配置参数: Use as directoryUse for authenticationUse for Console Login

    4. Comment 字段中输入有关服务器配置的注释。

    5. Settings单击选项卡。

  3. Settings 窗格中,定义 Microsoft Active Directory 服务器参数:

    1. 在“通信”部分中,在字段中输入服务器的 Address IP 地址。

    2. Port 字段中输入端口号。

    3. Accessed By字段启用All。这可确保所有 CounterACT 设备都可以通信并有权访问配置的服务器。

    4. 在目录部分中,在 Domain 字段中输入域名。

    5. 输入凭据以验证目录,以便在字段中查询其他用户详细信息 Administrator

    6. Password 字段中输入并验证管理员的密码。

    7. Additional Domain Aliases字段选择None。仅当用户的域名与配置的目录域匹配时,系统才会在此目录中查找该用户。

    8. Test单击选项卡。

  4. Test 窗格中,定义用于测试服务器和用户目录插件之间连接的参数。

    1. 在目录部分中,输入要在字段中查询 User 的用户名。

    2. 在“身份验证”部分中,在字段中输入,然后在字段中输入AdministratorUser并验证管理员的密码Password

    3. 单击 OK,然后单击以 Apply 保存并应用配置设置。

      图 18:用户目录插件参数 User Directory Plugin Parameters
  5. 单击 Test 以测试您的配置。
    图 19:配置测试屏幕 Configuration Test Screen

配置交换机插件

交换机插件会查询每个交换机的以下内容:

  • 交换机端口属性和有关已连接端点的信息。

  • ARP 表用于发现连接到交换机的新终端。

可以通过 CLI 和/或 SNMP 获取相关信息。

要为 EX4300 交换机配置交换机插件:

  1. 选择 Tools > Options > Switch。在“切换”页面中,单击 Add
  2. Edit Switch在页面General的窗格中,定义基本交换机参数和功能。

    1. Address 字段中输入交换机的 IP 地址或 FQDN。控制台使用您输入的值来标识交换机条目。

    2. 从列表中 Connecting Appliance ,指定将管理此交换机的 CounterACT 设备。

    3. Vendor从列表中,指定您希望插件管理的网络设备的供应商。由于每个供应商的 CLI 和 SNMP 都不同,因此选择合适的供应商非常重要。然后,CounterACT 将为交换机关联正确的格式。

    4. Comment 字段中输入有关交换机配置的注释。

    5. CLI单击选项卡。

  3. CLI 窗格中,配置使用 CLI 进行从交换机插件到交换机的通信。

    1. 启用激活 Use CLI CLI 访问的选项。

      注意:

      SSH 是瞻博网络交换机永久选择的连接类型。

    2. UserPassword 字段中输入用户名和密码。交换机插件使用这些凭据登录交换机。

      注意:

      对于瞻博网络交换机的插件管理,您配置的用户必须具有瞻博网络交换机的超级用户权限。

      请勿使用 root 登录名通过 CLI 访问 EX 系列交换机。

    3. 在“特权访问参数”部分中,启用选项以 Enable privileged access 在交换机上提供插件写入权限。

    4. 选择该 No password 选项以指示交换机设置不需要密码。

    5. Permissions单击选项卡。

  4. Permissions 窗格中,定义交换机的读取、写入和高级权限设置。

    1. 在“MAC 权限”部分中,启用 Read: MACs connected to switch port and port properties (MAC address table) 该选项。启用 MAC 读取权限允许 CounterACT 读取交换机的 MAC 地址表并发现连接的端点及其网络接口。

    2. Write: Enable Actions (Switch block, Assign to VLAN, ACL)启用该选项以启用交换机插件权限,以在托管交换机上检测到的终端上应用分配给 VLAN 操作、交换机阻止操作和 ACL 操作。

      注意:

      此用例配置不需要 ACL 配置。

    3. 802.1X单击选项卡。(仅当安装了 802.1X 插件时,此窗格才会显示)

  5. 在窗格中 802.1X ,尝试通过 EX4300 系列交换机连接到瞻博网络网络时,为检测到的端点配置基于 RADIUS 的身份验证和授权。

    1. RADIUS Secret as configured in switches 字段中,输入必要的 RADIUS 密钥,以允许 CounterACT RADIUS 服务器和管理交换机之间的通信。

    2. 单击 OK,然后单击以 Apply 保存并应用配置设置。

      图 20:基于 802.1X RADIUS 的身份验证密钥确认 802.1X RADIUS-based Authentication Secret Confirmation
  6. 单击 Test 以测试您的配置。
    图 21:交换机配置测试屏幕 Switch Configuration Test Screen
    注意:

    要配置 QFX 交换机,请重复与 EX4300 交换机相同的配置步骤。但是,您必须为 QFX 交换机配置 ACL 功能,因为 QFX 部署为标准接入交换机(无 802.1X),并且通过应用 ACL 来执行自动威胁修复。

    在“用户目录”页面中,启用和/或从 ACL 窗格中选择以下字段:

    • 启用 ACL

    • 将 ACL 防火墙过滤器添加到物理端口

    • 添加 CounterACT 身份验证服务器允许规则

    • 使用系统定义的名称 (forescout_acl)

配置 802.1X 插件

802.1X 插件使 CounterACT 能够验证 802.1X 交换机或与网络的无线连接。该插件与 IEEE 802.1X 规范和 RADIUS 身份验证协议兼容。

要配置 802.1X 插件:

  1. 选择 Tools > Options > 802.1x
    图 22:802.1X 选项 802.1X Options
  2. 802.1X从页面的Authentication Sources窗格中,选择用于验证在终结点身份验证期间提供的凭据的用户目录。您可以在用户目录插件中配置所有认证源。
  3. Pre-Admission Authorization单击选项卡并定义一组优先级规则。CounterACT RADIUS 服务器使用这些规则在终结点通过适用的 RADIUS 服务器(身份验证源选择)进行身份验证后评估终结点的授权。
    图 23:“准入前授权”选项卡 Pre-Admission Authorization Tab
  4. 单击 Add 此项可为规则添加多个条件。
    图 24:准入前授权条件 Pre-Admission Authorization Conditions
  5. 添加授权属性。输入 VLAN 为隧道类型和 31 隧道专用组。单击 OK
    图 25:添加授权属性 Adding Authorization Attributes
  6. Server Certificate单击选项卡。启用Use self-signed certificate该选项。
    图 26:服务器证书选项 Server Certificate Options
  7. RADIUS Settings单击选项卡。启用CounterACT RADIUS Logging该选项,并接受所有其他默认设置。
    图 27:RADIUS 设置 RADIUS Settings
  8. 单击 Apply 以保存并应用配置设置。
    图 28:应用 802.1X 配置设置 Applying 802.1X Configuration Settings

配置 Windows 7 请求方

您应该已经安装了Microsoft Windows Server和Active Directory。单击“ 安装和配置 Microsoft Windows Server 和 Active Directory ”以查看说明。

要配置 Windows 7 请求方,请执行以下操作:

  1. 确保 Windows 7 请求方配置了您之前创建的 Active Directory 域。
    图 29:Windows 请求方配置验证 Windows Supplicant Configuration Verification
  2. 确保有线自动配置服务正在运行。
    图 30:有线自动配置服务配置确认 Wired AutoConfig Service Configuration Confirmation
  3. 为本地连接启用 802.1X PEAP 身份验证。
    图 31:802.1X PEAP 身份验证确认 802.1X PEAP Authentication Confirmation
  4. 单击 Settings 并确保未选择该 Validate server certificate 选项。
    图 32:受保护的 EAP 属性 Protected EAP Properties
  5. 配置用户凭据设置。选择使用 Automatically use my Windows login name and password 您之前在 Active Directory 中配置的用户凭据的选项。
    图 33:Windows 登录名和密码确认 Windows Login and Password Confirmation
  6. 单击 Authentication > Additional Settings > Replace credentials 并输入您在 Active Directory 中创建的用户的凭据。
    图 34:替换凭据 Replacing Credentials
  7. 要确认 802.1X 身份验证是否适用于 Windows 7 请求方并验证用户是否已正确置于用户 VLAN (vlan31) 中,请输入 show dot1x interfaceshow vlans vlan31 命令。
    图 35:显示 dot1X 接口并显示 VLAN 输出 show dot1X interface and show vlans Output
  8. 若要在 CounterACT 控制台上查看会话信息(用户名、IP 地址和 MAC-ID),请右键单击主机,然后选择 Information > Details
    图 36:会话信息验证 Session Information Verification

测试 802.1X 身份验证并对其进行故障排除

要针对 ForeScout CounterACT 测试 802.1X 身份验证,请执行以下操作:

  1. 使用您在用户目录中创建的域帐户(用户)的凭据登录。
    图 37:对被拒绝的身份验证 Troubleshoot Rejected Authentications进行故障排除
  2. 确保为 802.1X 身份验证正确配置 EX4300 交换机。单击 EX4300 交换机的 CLI 配置 以查看配置文件。

要解决 802.1X 身份验证问题,请执行以下操作:

  1. 在 ForeScout CounterACT 控制台中,单击“策略”选项卡并使用 Troubleshoot Rejected Authentications 模板创建策略(列在 下 802.1X Enforcement)。

  2. 启动策略以排查问题。

若要从 ForeScout CounterACT 控制台查看日志,请执行以下操作:

  1. 选择 Log > Policy Log。在“策略日志”页面中,输入 Windows 7 请求方的 MAC 或 IP 地址。

    图 38:策略日志设置 Policy Log Settings

  2. 单击 OK。此时将显示策略日志文件。

    图 39:策略日志文件 Policy Log Files

  3. 如果 802.1X 身份验证有效,并且您的 Windows 7 请求方从 SRX 上运行的 DHCP 服务器获取 IP 地址,则可以生成一些流量来验证您的 Windows 7 请求方(例如,10.10.30.69)是否显示在“主页”选项卡下的“主机”列表中。

    图 40:策略日志 802.1X 身份验证确认 Policy Log 802.1X Authentication Confirmation
    注意:

    此外,如果您已配置连接到 QFX 交换机的其他主机(Windows 或 Linux 系统),并从 SRX 上运行的 DHCP 服务器获取 IP 地址,则可以为其生成一些流量,并且主机地址(例如 10.10.30.99)也将显示在主机列表中。

配置数据交换插件

数据交换 (DEX) 插件使 CounterACT 能够使用 Web 服务与外部实体进行通信。CounterACT 查询外部服务并通过插件托管的 CounterACT Web 服务接收更新。在这种情况下,DEX 与 ForeScout 连接器一起将监控 PE 的任何通信。

要配置数据交换 (DEX) 插件,请执行以下操作:

  1. 选择 Tools > Options > Data Exchange (DEX)
  2. 在“数据交换 (DEX)”页中,选择选项卡 CounterACT Web Service > Accounts
    图 41:数据交换帐户 Data Exchange Accounts
  3. 单击 Add 并输入以下信息:

    1. 在该 Name 字段中,输入 CounterACT Web 服务帐户的名称。

    2. 在该 Description 字段中,输入 Web 服务帐户用途的简要说明。

    3. 在该 Username 字段中,输入用于授权 CounterACT 访问 Web 服务帐户的用户名。

    4. 在该 Password 字段中,输入用于授权 CounterACT 访问 Web 服务帐户的密码。

    5. 单击, OK 该帐户将显示在“帐户”选项卡中。

  4. Properties单击选项卡。在“属性”页中,单击以Add添加以下属性:

    • 检疫

    • 测试

    注意:

    必须包含“测试”属性;否则,您无法将 CounterACT 作为第三方连接器成功添加到策略实施器。

    图 42:数据交换属性 Data Exchange Properties
  5. Security Settings单击选项卡。IP 地址白名单用于允许访问 CounterACT Web 服务。在“安全设置”页中,单击Add并添加策略实施器的 IP 地址范围。单击 OK。IP 地址将显示在“IP 地址范围”列表中。
    图 43:数据交换安全设置 Data Exchange Security Settings
  6. 在“数据交换 (DEX)”页面中,单击 Apply 以保存并应用配置设置。
    图 44:应用配置设置 Data Exchange Applying Configuration Settings的数据交换

配置 Web API 插件

Web API 插件使外部实体能够使用基于 HTTP 交互的简单但功能强大的 Web 服务请求与 CounterACT 进行通信。配置 Web API 插件以创建用于策略实施器集成的帐户。

要配置 Web API 插件,请执行以下操作:

  1. 选择 Tools > Options > Web API
  2. 在“Web API”页的“用户凭据”部分,单击 Add
    图 45:Web API 用户凭据 Web API User Credentials
  3. 输入之前为数据交换 (DEX) 配置创建的相同用户名和密码,然后单击 OK
  4. Client IPs单击选项卡,然后单击 Add。将策略实施器 IP 地址添加到访问列表中。

    单击 OK

    图 46:“Web API 客户端 IP”选项卡 Web API Client IP Tab
  5. 在“Web API”页中,单击 Apply 以保存并应用配置设置。
    图 47:Web API 应用配置设置 Web API Applying Configuration Settings

验证插件

要验证所有必需的插件是否都在运行,请选择 Tools > Options > Plugins。此时将显示“插件”页面,其中显示了每个插件的状态。

图 48:验证插件 Verifying Plugins

配置自动威胁修复策略

使用策略管理器创建以下自动威胁修复策略:

  • NETCONF 策略 – 用于将主机连接到 QFX 交换机。

  • 802.1X 策略 – 用于将主机连接到 EX4300 交换机,并用于 802.1X 身份验证。

要创建自动威胁修复 NETCONF 策略或 802.1X 策略,请执行以下操作:

  1. 选择 Policy > Policy Manager
  2. 在“策略管理器”页面中,单击 Add
    图 49:策略管理器页面 Policy Manager Page
  3. 单击 Custom 并单击 Next

    1. a.根据您的要求,创建以下几组 SDSN 阻止和隔离策略,以保护主机到交换机和交换机到 802.1X 服务器流量。在该 Name 字段中,输入以下策略名称:

      • SDSN 块 - dot1x

      • SDSN 隔离 - dot1x

      • SDSN 块 — NETCONF

      • SDSN 隔离 — 网络会议

      图 50:阻止和隔离策略 Block and Quarantine Policies

    2. 在该 Description 字段中,输入每个策略的描述。单击 Next

  4. Scope从页面中,选择IP Range选项。输入 LAN 分段的 IP 地址范围作为要检查此策略的端点。单击 OK
    图 51:阻止和隔离策略 IP Address Range in Block and Quarantine Policies中的 IP 地址范围
  5. 单击 Next 以跳过“高级”部分并打开 Main Rule 页面。规则包含一组条件和操作:

    • 条件是在评估终结点时查询的一组属性。

    • 操作是 CounterACT 在端点采取的措施。

  6. 在页面中 Main Rule ,单击 Add 页面的“条件”部分以添加条件。
    图 52:向阻止和隔离策略 Adding Conditions to Block and Quarantine Policies添加条件
  7. 定义阻止或隔离的条件。
    图 53:定义阻止和隔离策略 Defining Conditions for Block and Quarantine Policies的条件
  8. 在页面中 Main Rule ,单击 Add 页面的操作部分。在页面中 Action ,定义以下操作:

    1. SDSN BLOCK - dot1x─在左窗格中选择 802.1x Authorize 并启用该 Deny Access 选项作为操作。

      图 54:802.1X 阻止访问 802.1X Blocking Access

    2. SDSN QUARANTINE - dot1x─在左窗格中选择, 802.1x Authorize 然后在字段中输入 VLAN32 VLAN 作为操作。

      图 55:到 VLAN 的 802.1X 隔离流量 802.1X Quarantine Traffic to a VLAN

    3. SDSN BLOCK - NETCONF─在左窗格中选择, Endpoint Address ACL 然后在选项卡中输入 ACL 作为操作 Parameters

      图 56:端点访问 ACL Endpoint Access ACL

    4. SDSN QUARANTINE - NETCONF─在左窗格中选择,Assign to VLAN然后在要添加为操作的选项卡下的Parameters字段中输入 VLAN32VLAN name

      图 57:分配给 VLAN SDSN Quarantine Assign to VLAN 的 SDSN 隔离区
  9. 单击 OK ,然后单击 Next。跳过在页面上配置子规则 Sub-Rules
  10. 在“策略管理器”页面中,单击 Apply 以保存并应用配置设置。查看策略的 , Status 并验证它是否处于活动状态,并用箭头和绿色框指示:

为第三方交换机配置策略实施器连接器

  1. 登录到 Security Director 并导航到 Administration > Policy Enforcer > Connectors 并创建一个新连接器。蓝色的加载/等待圆圈表示正在创建连接器。
    图 58:连接器 Connectors
  2. 输入以下“常规”页面详细信息:

    • Name─输入唯一字符串。

    • Description─输入描述。

    • ConnectorType─选择连接到安全交换矩阵所需的第三方设备网络,并为此网络创建策略。选择 ForeScout CounterACT。单击 Next

  3. 输入以下“常规”页面详细信息:

    • IP Address─输入产品管理服务器的 IP(IPv4 或 IPv6)地址。

    • Port─从列表中选择要使用的端口。如果将此留空,则端口 443 是默认值。

    • Username─输入所选 ForeScout CounterACT 连接器类型的服务器用户名。例如,管理员。

    • Password─输入所选 ForeScout CounterACT 连接器类型的服务器密码。

    • DEX User Role─输入所选 ForeScout CounterACT 连接器类型的服务器密码。例如,管理员。这必须与 DEX 插件下第 58 页上配置的名称字段匹配。单击 Next

  4. 在“网络详细信息”页上,将子网信息添加到连接器配置,以便将这些子网包含在组中,然后将策略应用于这些组。单击 Next
  5. 在“配置”页上,输入 Web API 用户名和密码的值。单击 Finish

使用威胁防御策略配置 ATP 云

要配置 ATP 云并设置威胁防御策略,请执行以下操作:

  • 配置安全交换矩阵。安全交换矩阵是包含策略实施组中使用的网络设备(交换机、路由器、防火墙和其他安全设备)的站点集合。

  • 定义站点并向其添加端点(交换机和防火墙)。

  • 配置策略实施组。策略实施组是应用威胁防御策略的一组端点。

  • 创建威胁防御策略。

  • 将威胁防御策略应用于策略实施组

注意:

如果您通过 ATP 云使用策略实施器进行威胁防御,则引导式设置是完成初始配置的最有效方法。

要使用引导式设置执行配置:

  1. 在 Security Director 中,导航到 Configure > Guided Setup > Threat Prevention
    图 59:威胁防御策略设置 Threat Prevention Policy Setup
  2. 单击 Start Setup 并按照向导进行操作。
    图 60:设置 SDSN Sky ATP with SDSN Setup 的 Sky ATP
  3. 创建一个安全交换矩阵站点,该站点仅包含 SRX 系列设备和 ForeScout CounterACT 连接器的实施点。单击 Next
    图 61:安全交换矩阵威胁防御策略设置 Secure Fabric Threat Prevention Policy Setup
  4. 创建策略实施组并选择站点。根据您的要求,确定要包含在策略实施组中的终结点类型:IP 地址、子网或位置。端点不能属于多个策略实施组。单击 Next
    图 62:策略实施组 Policy Enforcement Groups
  5. 通过提供您的 ATP 云帐户中的相关详细信息来添加 ATP 云领域。

    在配置 ATP 云域之前,请确保:

    • 拥有具有关联许可证的 ATP 云帐户。

    • 了解您拥有的 ATP 云许可证类型:免费、基本或特优。许可证控制哪些 ATP 云功能可用。单击获取 ATP 云许可证和创建 ATP 云 Web 门户帐户 以了解更多详细信息。

    • 了解您正在创建的领域涵盖哪个区域。配置领域时,必须选择一个区域。

      图 63:天空 ATP 领域 Sky ATP Realm

    输入 LocationUsername (您的 ATP 云用户名就是您的电子邮件地址) Password和 的名称 Realm。单击 OK

  6. 验证是否已添加 ATP 云域。
    图 64:ATP 云领域创建验证 ATP Cloud Realm Creation Verification

    该值 1 应显示在列中 Perimeter Firewall in Sites ,表示 ATP 云已检测到 SRX 系列设备。

    注意:

    如果领域添加不成功,则表示存在网络问题,Security Director 或策略实施器无法连接到互联网。确保所有设备/组件都可以连接到互联网并相互连接。
  7. 根据您的要求创建威胁防御策略。威胁防御策略为选定的威胁配置文件提供保护和监视,包括命令和控制 (C&C) 服务器、受感染的主机和恶意软件。

    • 确定要用于此策略的配置文件类型:C&C 服务器、受感染的主机或恶意软件。您可以在策略中选择一个或多个威胁配置文件。

    • 确定发现威胁时要采取的操作。

    • 了解要添加到此策略的策略实施组。

    图 65:创建威胁防御策略 Create Threat Prevention Policy

    单击 OK

  8. 威胁防御策略需要一个用于 HTTP 下载的配置文件;此配置文件指示需要扫描威胁的文件类型。要为 HTTP 文件下载添加配置文件,请在该区域 Device Profile 中展开并选择 Realm 所需的配置文件。单击 OK
    图 66:威胁防御设备配置文件 Threat Prevention Device Profile
  9. 通过单击 Assign to Groups将威胁防御策略分配给所需的策略实施组。
    图 67:将威胁防御策略分配给策略实施组 Assigning a Threat Prevention Policy to a Policy Enforcement Group
  10. 选择策略实施组,然后单击 OK
    图 68:策略实施组选择 Policy Enforcement Group Selection
  11. 系统执行规则分析,并准备包含威胁防御策略的设备配置。
    图 69:规则分析 Rule Analysis
  12. 分析完成后,通过单击 Update指示系统将更新的策略和配置更改推送到 SRX 系列设备。
    图 70:更新策略和配置更改 Updating Policy and Configuration Changes
  13. 推送完成后,系统将返回到 Policies 页面。单击 OK
    图 71:策略更新确认 Policy Update Confirmation
    注意:

    如果更新失败,请完成威胁防御策略引导式设置。导航到 Devices > Security Devices SRX 并将其与网络重新同步。然后,导航到 Configure > Threat Prevention -> Policies,单击 Update Required 并再次推送更新 如果需要进行其他故障排除,您可以通过选择 Monitor > Job Management查看推送到 SRX 系列设备上的配置更改。

    配置更改推送到 SRX 设备:

    图 72:SRX 配置 SRX Configuration
  14. 单击 Finish 以完成威胁防御策略引导式设置。
    图 73:威胁防御策略设置 Threat Prevent Policy Setup

    系统将显示配置摘要。单击 OK

    图 74:威胁防御策略配置摘要 Threat Prevention Policy Configuration Summary

用例验证

要验证用例配置,请执行以下操作:

验证 SRX 系列设备上的 ATP 云中的设备注册

目的

验证 SRX 系列设备是否已连接到 ATP 云服务器。

行动

在 SRX 设备上,使用 show services advanced-anti-malware status CLI 命令。

意义

CLI 输出将显示为 Connection status Connected。该 Server hostname 字段显示 ATP 云服务器主机名。

验证策略实施器和 SRX 系列设备在 ATP 云中的注册

目的

验证策略实施器和 SRX 系列设备是否已在 ATP 云中注册。

行动

在 ATP 云中,导航到 Enrolled Devices 页面并查看已注册设备的连接信息,包括序列号、型号、ATP 云中的层级(免费、基本、高级)注册状态、上次遥测活动和上次看到的活动。

图 75:验证 ATP 云 Verifying Enrolled Devices in ATP Cloud中的已注册设备

意义

Host 字段显示已注册防火墙 (vSRX_L3_QFX) 和策略实施器设备的详细信息。您可以单击序列号以获取更多详细信息。

在 Security Director 中验证使用 ATP 云的设备注册

目的

验证 SRX 系列设备是否已在 Security Director 中注册 ATP 云。

行动

在“安全目录”中,导航到 Devices > Secure Fabric

图 76:在 Security Director Verifying Device Enrollment in Security Director 中验证设备注册

意义

字段中会显示 SkyATP Enroll Status 一个带有复选标记的绿点,用于确认 SRX 系列设备已注册到 ATP 云领域。

验证 ForeScout CounterACT 功能以阻止受感染的端点(使用 802.1X 身份验证)

目的

在端点受到感染时测试 ForeScout CounterACT 集成和功能。在此示例中,您将验证何时将实施策略配置为使用 802.1X 身份验证阻止受感染的主机。

行动

注意:

需要客户端 VM 或物理 PC 才能触发攻击。

攻击前,请确认以下内容:

  • 确认 Windows 请求方已通过身份验证且位于用户 VLAN (vlan31) 中。

  • 确认端点 10.10.30.69 可以 ping 到互联网(IP 地址 8.8.8.8)和第 2 层连接的默认网关 (10.10.30.254)。在攻击之前,端点开始对 LAN 和互联网上的其他端点执行连续 ping 操作。

    端点从 Windows 请求方(在本例中从 IP 地址 184.75.221.43)对 Internet 上的 C&C 服务器执行 ping 操作。

    图 77:从 Windows 请求方 Confirming Ping from Windows Supplicant确认 Ping

攻击发生后,802.1X 会话将终止,并由 ForeScout CounterACT 发起的 EX4300 交换机上的 RADIUS CoA。

确认以下内容:

  • 确认 Windows 请求方无法再连接到互联网或 LAN。

    图 78:攻击后确认来自 Windows 请求方的 ping 被阻止 Confirming Ping from Windows Supplicant is Blocked After the Attack

  • 在 RADIUS CoA 断开连接消息后,确认 Windows 请求方不再位于用户 VLAN (vlan31) 中,而是位于默认 VLAN 中。

  • 确认 ForeScout CounterACT 拒绝了进一步的身份验证请求。

  • 导航到 确认 SDSN 阻止 (dot1x) 策略匹配和自动威胁补救操作详细信息 ForeScout CounterACT > Home

    图 79:802.1X SDSN 块策略匹配验证 802.1X SDSN Block Policy Match Verification

  • 导航到 Log > Host Log。查看 SDSN 块 (dot1x) 策略的详细信息。

    图 80:802.1X 主机日志 802.1X Host Log

  • 确认 Windows 请求方的 IP 地址也已添加到 SRX 系列设备上的受感染主机源中,以阻止互联网访问。

  • 在 ATP 云门户中,导航到 Monitor > Hosts。确认 Windows 请求方的主机 IP 地址 (10.10.30.69)、MAC-ID 和交换机端口。

    图 81:ATP 云主机监控 ATP Cloud Host Monitoring

意义

所有 ping 会话都显示流量在检测到威胁后被阻止,从而确认自动威胁修复用例工作正常。

Hosts 页面列出了遭到入侵的主机及其关联的威胁级别。输出确认 ATP 云和安全控制器已检测到受感染的主机。您可以基于每个主机监视和缓解恶意软件检测。

验证 ForeScout CounterACT 功能以隔离受感染的端点(使用 802.1X 身份验证)

目的

在端点受到感染时测试 ForeScout CounterACT 集成和功能。在此示例中,您将验证何时将实施策略配置为使用 802.1X 身份验证隔离受感染的主机。

行动

注意:

需要客户端 VM 或物理 PC 才能触发攻击。

攻击前,请确认以下内容:

  • 在 ATP 云门户或 Security Director 中释放受感染的主机 (Monitor > Threat Prevention > Hosts)。

  • 确保为 Windows 请求方恢复互联网或 LAN 访问。

  • Policy Enforcer > Threat Prevention Policy 页面上,将受感染的主机配置文件操作更改为 Quarantine VLAN ID 并将 VLAN ID 添加为 vlan32。单击 OK

    图 82:威胁防御策略攻击前配置 Threat Prevention Policy Pre-Attack Configuration

  • 确认 Windows 请求方已通过身份验证且位于用户 VLAN (vlan31) 中。

  • 确认端点 10.10.30.69 可以 ping 到互联网(IP 地址 8.8.8.8)和第 2 层连接的默认网关 (10.10.30.254)。在攻击之前,端点开始对 LAN 和互联网上的其他端点执行连续 ping 操作。

    图 83:在攻击 Confirming Ping from Windows Supplication Before the Attack之前从 Windows 请求确认 Ping

    端点从 Windows 请求方(在本例中从 IP 地址 184.75.221.43)对 Internet 上的 C&C 服务器执行 ping 操作。

攻击发生后,802.1X 会话将终止,并由 ForeScout CounterACT 发起的 EX4300 交换机上的 RADIUS CoA。

确认以下内容:

  • 确认 Windows 请求方重新进行身份验证并自动移入隔离 VLAN (vlan32)。因此,Windows 请求方无法再连接到互联网或 LAN。

    图 84:攻击 Confirm Traffic is Moved to Quarantine VLAN After Attack后确认流量已移至隔离区 VLAN

  • 在 RADIUS CoA 断开连接消息并重新进行身份验证后,确认 Windows 请求方现在处于隔离 VLAN (vlan32) 中。

  • 确认 ForeScout CounterACT 拒绝了进一步的身份验证请求。

  • 导航到 确认 SDSN 隔离 (dot1x) 策略匹配和自动威胁补救操作详细信息 ForeScout CounterACT > Home

    图 85:802.1X SDSN 隔离策略匹配 802.1X SDSN Quarantine Policy Match

  • 导航到 Log > Host Log。查看 SDSN 隔离 (dot1x) 策略的详细信息。

    图 86:802.1X SDSN 隔离主机日志 802.1X SDSN Quarantine Host Log

  • 确认 Windows 请求方的 IP 地址也已添加到 SRX 系列设备上的受感染主机源中,以阻止互联网访问。

  • 在 ATP 云门户中,导航到 Monitor > Hosts。确认 Windows 请求方的主机 IP 地址 (10.10.30.69)、MAC-ID 和交换机端口。

    图 87:确认 ATP 云 Confirming Host Details in ATP Cloud中的主机详细信息

意义

输出显示已成功下载包含 Windows 请求方 IP 地址 10.10.30.69 的 ATP 云感染主机源,从而导致 SRX 设备采取措施隔离 IP 地址。

Hosts 页面列出了遭到入侵的主机及其关联的威胁级别。输出确认 ATP 云和安全控制器已检测并隔离受感染的主机。您可以基于每个主机监视和缓解恶意软件检测。您还可以向下钻取并验证主机被标记为受感染的原因(对于此用例,C&C 服务器 IP 地址)。对于恶意软件,将显示已下载文件的详细信息。

验证 ForeScout CounterACT 功能以阻止受感染的端点(使用 NETCONF)

目的

在端点受到感染时测试 ForeScout CounterACT 集成和功能。在此示例中,您将验证实施策略何时为 NETCONF,并且已配置为阻止受感染的主机。

行动

注意:

需要客户端 VM 或物理 PC 才能触发攻击。

攻击前,请确认以下内容:

  • Policy Enforcer > Threat Prevention Policy 页面上,将受感染的主机配置文件操作更改为 Drop connection silently。单击 OK

    图 88:以静默方式断开连接选项 Drop Connection Silently Option

  • 导航到“策略”选项卡。在控制台中,停止 SDSN BLOCK–dot1x 和 SDSN QUARANTINE–dot1x 策略,并启动 SDSN BLOCK–NETCONF 和 SDSN QUARANTINE–NETCONF 策略。

    图 89:策略管理器中的“策略” Policies Tab in Policy Manager选项卡

  • 确认 Linux 主机位于 IP 地址为 10.10.30.99 的用户 VLAN (vlan31) 中。

    图 90:Linux 主机确认 Linux Host Confirmation

  • 确认端点 10.10.30.99 可以 ping 到互联网(IP 地址 8.8.8.8)和第 2 层连接的默认网关 (10.10.30.254)。在攻击之前,端点开始对 LAN 和互联网上的其他端点执行连续 ping 操作。

    图 91:互联网 Ping Internet Ping

    端点从Linux主机(在本例中为IP地址184.75.221.43)对互联网上的C&C服务器执行ping操作。

    图92:C&C服务器Ping C&C Server Ping

攻击发生后,ForeScout CounterACT 使用 NETCONF 在 QFX 交换机上应用 ACL。确认以下内容:

  • 确认 Linux 主机无法再连接到互联网或 LAN。

    图 93:确认已断开连接的 Linux 主机 Confirming Disconnected Linux Host

  • 导航到 确认 SDSN BLOCK (NETCONF) 策略匹配和自动威胁修复操作详细信息 ForeScout CounterACT > Home

    图 94:确认策略匹配和自动威胁修复详细信息 Confirming Policy Match and Automated Threat Remediation Details

  • 导航到 Log > Host Log。查看 SDSN BLOCK (NETCONF) 策略的详细信息。

    图 95:SDSN 块主机日志 SDSN Block Host Log

  • 确认 Linux 主机的 IP 地址也已添加到 SRX 系列设备上的受感染主机源中,以阻止互联网访问。

  • 在 ATP 云门户中,导航到 Monitor > Hosts。确认 Linux 主机的主机 IP 地址 (10.10.30.99)、MAC-ID 和交换机端口。

    图 96:在 ATP 云门户 Confirming Host Information in ATP Cloud Portal中确认主机信息

意义

所有 ping 会话都显示流量在检测到威胁后被阻止,从而确认自动威胁修复用例工作正常。

Hosts 页面列出了遭到入侵的主机及其关联的威胁级别。输出确认 ATP 云和安全控制器已检测到受感染的主机。您可以基于每个主机监视和缓解恶意软件检测。

验证 ForeScout 反行动功能以隔离受感染的端点(使用 NETCONF)

目的

在端点受到感染时测试 ForeScout CounterACT 集成和功能。在此示例中,您将验证实施策略何时进行 NETCONF,并将其配置为隔离受感染的主机。

行动

注意:

需要客户端 VM 或物理 PC 才能触发攻击。

攻击前,请确认以下内容:

  • 在 ATP 云门户或 Security Director 中释放受感染的主机 (Monitor > Threat Prevention > Hosts)。

  • 确保 Linux 主机的互联网或 LAN 访问已恢复。

  • Policy Enforcer > Threat Prevention Policy 页面上,将受感染的主机配置文件操作更改为 Quarantine VLAN ID 并将 VLAN ID 添加为 vlan32。单击 OK

    图 97:将威胁防御策略更改为隔离 Changing Threat Prevention Policy to Quarantine

  • 确认 Linux 主机位于 IP 地址为 10.10.30.99 的用户 VLAN (vlan31) 中。

    图 98:确认 Linux 主机详细信息 Confirming Linux Host Details Confirming Linux Host Details

  • 确认端点 10.10.30.99 可以 ping 到互联网(IP 地址 8.8.8.8)和第 2 层连接的默认网关 (10.10.30.254)。在攻击之前,端点开始对 LAN 和互联网上的其他端点执行连续 ping 操作。

    图 99:确认互联网连接 Confirming Internet Connectivity

    端点从Linux主机(在本例中为IP地址184.75.221.43)对互联网上的C&C服务器执行ping操作。

    图100:确认与C&C服务器 Confirming Connection to C&C Server的连接

攻击发生后,ForeScout CounterACT 使用 NETCONF 将连接 Linux 主机的接口的 VLAN 配置从用户 VLAN (vlan31) 更改为 QFX 交换机上的隔离 VLAN (vlan32)。

确认以下内容:

  • 确认 Linux 主机无法再连接到互联网或 LAN。

    图 101:确认 Linux 主机无法连接到互联网或 LAN Confirming Linux Host Cannot Connect to Internet or LAN

  • 导航到 确认 SDSN 隔离 (NETCONF) 策略匹配和自动威胁修复操作详细信息 ForeScout CounterACT > Home

    图 102:确认策略匹配和自动威胁修复详细信息 Confirming Policy Match and Automated Threat Remediation Details

  • 导航到 Log > Host Log。查看 SDSN BLOCK (NETCONF) 策略的详细信息。

    图 103:SDSN 块策略主机日志 SDSN Block Policy Host Log

  • 确认 Linux 主机的 IP 地址也已添加到 SRX 系列设备上的受感染主机源中,以阻止互联网访问。

  • 在 ATP 云门户中,导航到 Monitor > Hosts。确认 Linux 主机的主机 IP 地址 (10.10.30.99)、MAC-ID 和交换机端口。

    图 104:在 ATP 云门户 Confirming Host Details in ATP Cloud Portal中确认主机详细信息

意义

输出显示已成功下载包含 Linux 主机 IP 地址 10.10.30.99 的 ATP 云感染主机源,从而导致 SRX 设备采取措施隔离 IP 地址。

Hosts 页面列出了遭到入侵的主机及其关联的威胁级别。输出确认 ATP 云和安全控制器已检测并隔离受感染的主机。您可以基于每个主机监视和缓解恶意软件检测。

附录 A:设备配置

本节提供以下设备配置:

SRX 系列设备的 CLI 配置

EX4300 交换机的 CLI 配置

QFX 交换机的 CLI 配置

附录 B:添加第三方连接器疑难解答

如果在添加第三方连接器时遇到问题,请查看以下日志文件以获取故障排除信息。

本节介绍以下第三方连接器问题:

策略实施器疑难解答

若要对策略实施器进行故障排除,请查看以下日志:

  • /srv/feeder/connectors/forescout/logs/forescout_connector.log

  • /srv/feeder/log/controller.log

  • 如果文件中显示 forescout_connector.log 以下日志消息:

    然后导航到 ForeScout CounterACT CLI 并输入以下命令:

ForeScout CounterACT 疑难解答

要在 CLI 上为 DEX (eds) 和 Web API 插件启用调试,请输入以下命令:

  • fstool eds debug 10

  • fstool webapi debug 10

查看以下日志文件:

  • /usr/local/forescout/log/plugin/eds

  • /usr/local/forescout/log/plugin/webapi

相关文档