Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Pulse Policy Secure 与瞻博网络 Connected Security 集成

概述

本主题提供有关如何将第三方设备 Pulse Policy Secure (PPS) 与瞻博网络 Connected Security 解决方案集成以修复来自受感染主机的威胁的说明。Juniper Connected Security 解决方案提供端到端网络可见性,使企业能够保护其整个物理网络和虚拟网络。PPS 通过检测和持续监控网络来提供网络可见性。通过使用威胁检测和策略实施,PPS 和 Juniper Connected Security 解决方案可在多供应商环境下自动执行网络安全并支持集中管理。

PPS 通过 RESTful API 与瞻博网络 Connected Security 解决方案集成,并根据准入控制政策采取适当的措施。PPS 与 Juniper Connected Security 解决方案集成,可检测并实施威胁防御策略,并提供一种协作的综合方法,实现全面的网络安全。它使用户能够利用现有的可信威胁源源,在不同环境中提供一致的自动化防御。

Pulse 策略的优势 与 Juniper Connected Security 安全集成

  • PPS 可以更清楚地看到连接到网络的端点。

  • PPS 根据从 Juniper Connected Security 收到的威胁告警,在端点级别进行隔离或行动,从而增强安全性。

借助 Juniper Connected Security 部署 Pulse Policy Secure

以下简要工作流程介绍了如何使用 Juniper Connected Security 部署 PPS。PPS 接收来自 Juniper Connected Security 解决方案的威胁告警信息,并根据准入控制策略对端点采取措施。

  1. 用户成功通过PPS服务器进行身份验证。

  2. 用户从 Internet 下载文件。外围防火墙(SRX 系列设备)扫描文件,并根据用户定义的策略,将扫描的文件发送到瞻博网络 ATP 云进行分析。

  3. 瞻博网络 ATP 云检测到文件包含恶意软件,将端点识别为受感染的主机,并通知 SRX 系列设备和策略实施器。

  4. 策略实施器下载受感染的主机源并向 PPS 发送威胁作。

  5. PPS 服务器隔离或阻止端点。

    PPS 会跟踪受感染的主机,在对端点进行消毒之前,不允许受感染的主机获取完全访问权限。当主机被清理并从瞻博网络 ATP 云或策略实施器中清除时,PPS 会收到 clear 来自策略实施器连接器的事件。收到 clear 事件后,PPS 会移除受感染的主机。主机现在已通过身份验证,并为其分配了适当的角色。

使用 Juniper Connected Security 配置 Pulse Policy Secure

网络安全设备配置了PPS,用于准入访问控制。

下面简要概述了设置和运行集成所需的配置步骤:

  1. 管理员配置PPS基本配置,如创建认证服务器、认证领域、用户角色、角色映射规则等。要了解有关配置 PPS 的更多信息,请参阅 Pulse Policy 安全管理指南

  2. 在 PPS 中将策略实施器配置为客户端。PPS 充当策略实施器的 RESTful API 服务器。

    管理员用户的 RESTful API 访问必须通过访问串行控制台或从 PPS 管理用户界面 (UI) 启用。选择 “Authentication>Auth Server>Administrators>Users”。单击 “管理员 ”并启用 “允许访问 REST API” 选项。

  3. 配置 PPS 以根据威胁防御策略阻止或隔离端点。

    您必须配置准入控制客户端以获取将事件发送到 PPS 的策略实施器 IP 地址和准入控制策略,以了解 PPS 事件类型,例如 events-block-endpoint、quarantine-endpoint、clear-blocked-endpoint 和 clear-quarantine-endpoint。

  4. 在 PPS 中选择 Endpoint Policy>Network Access>Radius Clients>New Radius Client,将交换机或 WLC 配置为 RADIUS 客户端。交换机配置了 PPS 作为 RADIUS 服务器。

  5. 配置 RADIUS 返回属性策略,以在收到隔离事件时定义作。

    • 使用 VLAN 隔离:

      当收到隔离端点事件时,PPS 确定要发送到 RADIUS 客户端的隔离 VLAN,如 图 1 所示。

      图 1:quarantine-host Pulse Secure configuration interface under Endpoint Policy for Quarantine_Host, showing network access, RADIUS, VLAN control, and session timeout settings. 的 RADIUS 返回属性

    • 使用 ACL 隔离:

      对于具有扁平 VLAN 的环境,PPS 通过应用预配置的防火墙过滤器来提供隔离用户的功能。此外,在对终端设备使用静态 IP 地址分配的环境中,这也是首选方法。

      以下示例显示了交换机上的防火墙过滤器配置。然后,防火墙过滤器名称作为 RADIUS 返回属性传递,如 图 2 所示。

      使用以下命令配置交换机上的 PERMIT-PULSE-ONLY 和 PERMIT-ALL 防火墙过滤器:

      set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term pps from destination-address 10.92.81.113/32

      set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term pps then accept

      set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term dhcp_allow from destination-port 67

      set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term dhcp_allow then accept

      set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term pps-discard then discard

      deactivate firewall family ethernet-switching filter PERMIT-PULSE-ONLY

      set firewall family ethernet-switching filter PERMIT-ALL term ALLOW-ALL from destination-address 0.0.0.0/0

      set firewall family ethernet-switching filter PERMIT-ALL term ALLOW-ALL then accept

      deactivate firewall family ethernet-switching filter PERMIT-ALL

    要在 PPS 中分配这些过滤器,请选择端点策略>网络访问>Radius 属性>返回属性

    图 2:Clear-Quarantine Pulse Secure interface showing Clear_Quarantine policy setup. Default location group. RADIUS attributes: Filter-id, Juniper-Firewall-name, value PERMIT-ALL. 的 RADIUS 返回属性
注意:

  • 确保 PPS 具有终结点 IP 地址,以便强制执行正常工作。

  • 由于终结点 IP 地址是必需的,因此用户位于 NAT 后面的部署可能无法按预期工作。这是因为 PPS 可能具有实际 IP 地址,而 Juniper Connected Security 可能会发送 NAT 的 IP 地址。

  • 要通过 PPS 接收端点 IP 地址(记帐信息),当端点连接到 EX4300 系列交换机时,必须在端点上使用 Pulse Secure 客户端。

准入控制模板

准入控制模板提供了可从网络安全设备接收的可能事件列表,以及用于分析消息的正则表达式。该模板还提供了可以对事件执行的可能作。

PPS 加载了策略实施器的默认模板。管理员可以为其他安全设备创建模板并上传这些模板。

要查看准入控制模板,请选择 Endpoint Policy>Admission Control>Templates,如 图 3 所示。您可以查看已配置的集成模板列表,其中包含网络安全设备列表和支持的协议类型。

图 3:Pulse Secure 模板页面 Configuration interface for managing templates, listing template details like Name, File Name, Protocol Type, Vendor, and Device Type. Highlighted: juniper-policy-engine-http.tmpl using HTTP protocol for Juniper Policy Engine. Options to create, delete, restore defaults, search, and adjust records per page.

准入控制政策

准入控制策略定义了要在 PPS 上为用户会话执行的作列表。这些作基于事件以及从网络安全设备收到的信息的严重性。

要查看并添加新的集成策略,请执行以下作:

  1. 选择终结点策略>准入控制>策略
  2. 单击“新建策略”

    此时将显示 New Policy 页面,如 图 4 所示。

    图 4:Pulse Secure - 新建策略页面 Configuration interface for creating a new policy in a network security system with fields for Policy Name, Template selection, Rule options, and Events.
  3. 输入策略名称。
  4. 选择“瞻博网络策略实施器”作为模板。
  5. 在“接收时的规则”部分中,选择以下事件类型和严重性级别之一。事件类型和严重性级别基于所选模板。

    会话支持以下事件类型:

    • Block-endpoint — 永久阻止 PPS 上的主机 MAC 地址。如果管理员选择清除被阻止的端点,则可以使用 Junos Space Security Director 应用或使用 PPS 管理用户界面来清除该端点。

    • 隔离端点(更改用户角色)— 更改在 PPS 上分配给用户的角色,以便可以更改用户的限制或权限。管理员可以选择永久或临时应用这些角色。如果是永久性的,则无论系统连接到哪个网络,系统都会被直接隔离。

    • 清除被阻止的端点 — 清除之前被阻止的 MAC 地址。

    • 清除隔离的端点 — 清除之前隔离的 MAC 地址。

  6. 在“然后执行此作”部分中,选择以下所需作:

    • 选择一个角色并将其分配给终结点,以将该终结点放入隔离网络。

    • 在“分配此角色”选项中,指定以下作:

      • 永久 - 永久应用角色分配。这是推荐的选项。选择此选项可使作保留。

      • 仅适用于此会话 - 仅为当前会话应用角色分配。

  7. 在“角色”部分中,指定以下选项:

    • 策略应用于所有角色 - 将策略应用于所有用户。

    • 策略应用于选定角色 - 仅将此策略应用于映射到选定角色列表中角色的用户。您必须从“可用角色”列表中将角色添加到此列表中。

    • 策略适用于除下面选择的角色以外的所有角色 - 将此策略应用于所有用户,但映射到所选角色列表中角色的用户除外。您必须从“可用角色”列表中将角色添加到此列表中。

    注意:

    这些选项适用于隔离和阻止作。
  8. 单击保存更改

创建策略后,您可以看到摘要页面。 图 5 显示了为具有不同用户角色的不同事件创建的不同策略。

图 5:Pulse Secure - 策略配置页面 User interface for network policies management, showing a policy table with columns for name, protocol, vendor, device type, event, severity, action, and applicable roles. Includes buttons to create, duplicate, delete policies, a search bar, and a records per page dropdown.

准入控制客户端

准入控制客户端是启用了系统日志转发的网络安全设备。这些消息由 PPS 上运行的 syslog 服务器模块接收。

要添加客户端,请执行以下作:

  1. 选择 Endpoint Policy>Admission Control>Clients
  2. 单击“新建客户端”

    此时将显示 New Client 页面,如 图 6 所示。

    图 6:Pulse Secure - 新客户端页面 Configuration interface for setting up a new client: fields for client name, description, IP address; template selection; active Endpoint Policy tab.
  3. 输入瞻博网络策略实施器的名称。这是作为客户端添加到 PPS 中的。
  4. 输入描述。
  5. 输入客户端的 IP 地址。
  6. 选择客户端使用的模板:JuniperNerworks-策略实施器-HTTP-JSON。
  7. 单击保存更改

    策略实施器是在 PPS 中添加一个新客户端。

在 Security Director 中创建脉冲策略安全连接器

在 PPS 中将策略实施器添加为客户端后,请为 PPS 创建一个连接器,以便将 Juniper Connected Security 配置为发送事件信息。

要使用 Security Director 为 PPS 创建连接器并配置 Juniper Connected Security:

  1. 选择“Security Director>Administration>策略实施器>Connectors”。

    此时将显示“连接器”页面。

  2. 单击创建图标 (+)。

    此时将显示 Create Connector 页面,如 图 7 所示。

    图 7:创建连接器页面 Configuration interface for creating a connector in Junos Space Security Director's Policy Enforcer. Current step: General details for Pulse Policy Secure integration.
  3. 在“常规”选项卡中,在“连接器类型”列表中选择“脉冲策略安全”。
  4. 在“IP 地址/URL”字段中,输入 PPS 的 IP 地址。
  5. 保留默认端口号为 443。
  6. 输入PPS的用户名和密码。

    请注意,您必须在 PPS 上启用 REST API 访问(身份验证>身份验证服务器>管理员>用户>单击“admin”,启用允许访问 REST API)。

  7. 单击“下一步”。
  8. 在 Network Details (网络详细信息) 部分中,配置 IP 子网,如图 8 所示。
    图 8:创建连接器网络详细信息页 Screenshot of Juniper Security Director's network connector creation interface, Step 2 Network Details. Two subnets listed: 10.204.88.0/22 Engineering Subnet and 10.96.64.0/19. Options to upload, add, or edit subnets. Navigation buttons Next and Cancel.
  9. 在“配置”选项卡中,提供此特定连接器连接所需的任何其他信息。
  10. 单击 Finish

    配置成功后,将显示以下页面,如 图 9 所示。

    图 9:连接器页面 Screenshot of Juniper Security Director's Connectors section under Policy Enforcer. Three Pulse Policy Secure connectors are active with port 443. A green banner indicates a successful update.
  11. 验证策略实施器和 PPS 之间的通信是否正常。

    安装 PPS 并配置连接器后,在 PPS UI 中为 PPS 创建策略,以便在受感染的主机上采取必要的措施。

故障 排除

提供以下故障排除日志:

  • 要验证 PPS 上的事件日志,请选择 System>Log/Monitoring>Events

    您可以验证每次从策略实施器接收事件时是否都会生成事件日志,如 图 10 所示。

    图 10:Pulse Secure Events 页面 Pulse Secure interface showing Logs section under Events tab with options to view filter and manage logs including saving clearing or exporting logs.

  • 要验证与用户登录相关的日志,例如领域、角色、用户名和 IP 地址,请选择 系统>日志和监控>用户访问

  • 若要验证报告,请选择“System>Reports>Infected Hosts”。

    您可以验证隔离或阻止的主机是否列在“受感染的设备”报告中。此报告列出了 MAC 地址、IP 地址和设备状态,如 图 11 所示。

    图 11:受感染主机报告页面 Pulse Secure management interface showing Infected Hosts Report with filter options, table of infected devices, and download buttons.

  • 要启用用于故障排除的调试日志,请选择 Maintenance>Troubleshooting>Monitoring>Debug Log,如 图 12 所示。

    图 12:调试日志监控页面 Pulse Secure interface displaying Debug Log section under Troubleshooting via Maintenance tab for network issue troubleshooting.

  • 要解决策略实施器上的任何问题,请从 Security Director>Administration>策略实施器>Settings 页面下载并验证策略实施器日志,如 图 13 所示。

    图 13:策略实施器设置页面 Settings page for Policy Enforcer with fields for IP address, username, password, and options for certificate-based authentication, ATP cloud configuration, and polling timers. Includes settings for feed purges and purge history duration. Sidebar with management options like Users and Roles, Logging Management, and License Management. Download Policy Enforcer Logs button at the bottom.

  • 管理员还可以验证瞻博网络 ATP 云中的 Hosts 表,以检查主机的状态,如 图 14 所示。

    如果“调查状态”字段值为“已解决-已修复”,则可以清除主机条目。

    图 14:瞻博网络 ATP 云主机页面 Pulse Secure cybersecurity interface showing hosts list with details like Host Identifier, IP, Threat Level, and investigation status.