Erste Schritte

Die Web-Benutzeroberfläche der Juniper ATP Appliance unterstützt die Verwendung der folgenden Bildschirmauflösungen:

Um den Konfigurationsassistenten zu starten, rufen Sie den CLI-Befehlsassistenten auf.

• Geben Sie an der CLI-Eingabeaufforderung Ihren Benutzernamen und Ihr Kennwort ein. Standardmäßig lautet der Administratorbenutzername admin und das Kennwort 1JATP234.

  Stellen Sie sicher, dass Sie das Standardkennwort für das Administratorkonto nach der Ersteinrichtung ändern. Das Passwort muss mindestens 8 Zeichen lang sein.

• Geben Sie yes ein, um den Konfigurationsassistenten zu verwenden, wenn Sie dazu aufgefordert werden, und antworten Sie dann wie unten gezeigt.

• Nachdem alle Fragen beantwortet wurden, fasst der Assistent die Antworten zusammen. Um eine Antwort zu ändern, geben Sie die Schrittnummer ein. Um die Änderungen zu speichern und den Vorgang zu beenden, drücken Sie <ENTER>.

• Verwenden Sie den folgenden CLI-Befehl, um zum Konfigurationsassistenten zurückzukehren und Änderungen an der Konfiguration vorzunehmen:

• Informationen zur Befehlssyntax und -verwendung finden Sie in der CLI-Befehlsreferenz für Juniper ATP Appliance.

In diesem Abschnitt wird beschrieben, wie Sie in der Web-Benutzeroberfläche der Appliance navigieren, und es werden die Registerkarten beschrieben:

• Navigieren in der CM-Web-UI

• Zusammenfassung der Registerkarten

So navigieren Sie durch die Web-Benutzeroberfläche der Appliance:

• Verwenden Sie die Registerkarten, um auf die Hauptseiten der Webbenutzeroberfläche zuzugreifen.

• Verwenden Sie Links wie die Pfadlinks unter einer Registerkarte oder die Links im linken Bereich unter der Registerkarte Konfiguration, um zu anderen verknüpften Seiten zu navigieren.

Abbildung 2: Navigieren in der Web-Benutzeroberfläche von Juniper ATP Appliance Central Manager

• Um eine anfängliche Ansicht festzulegen, wählen Sie in der Dropdown-Liste einen Zeitraum aus, für den im Dashboard der Juniper ATP-Appliance oder auf der Registerkarte "Vorfälle" die Erkennungsergebnisse und Details zur Malware-Analyse angezeigt werden sollen. Alle Diagramme und tabellarischen Anzeigen werden durch das Steuerelement für die Auswahl des Zeitraums synchronisiert. Zu den verfügbaren Optionen für den Zeitraum gehören:

  • 24 Stunden (stündlich)

  • 1 Woche (wöchentlich)

  • 1 Monat (monatlich)

  • 3 Monate (vierteljährlich)

  • 1 Jahr (jährlich)

• Wählen Sie den Ergebnistyp aus, der in der Tabelle "Incidents" angezeigt werden soll: Bedrohungen anzeigen | Verdächtig anzeigen | Gutartig zeigen.

• Führen Sie eine Suche in der Tabelle "Incidents" durch, indem Sie Suchkriterien in das Suchfeld eingeben. Sie können nach SHA1, MD5-Summen, Collector-Namen, Bedrohungsname, Bedrohungsquelle usw. suchen.

• Klicken Sie z. B. auf eine Überschrift am oberen Rand einer Tabellenspalte auf der Registerkarte "Incidents", um die Tabelle nach dieser Spalte zu sortieren. Klicken Sie erneut, um die Sortierreihenfolge von absteigend auf aufsteigend zu ändern.

  

• Klicken Sie auf eine Zeile in der Tabelle "Incidents", um allgemeine Informationen über die Bedrohung im linken Bereich der Übersichtstabelle unten anzuzeigen. Klicken Sie wiederum auf die Teilmenge der Registerkarten auf der Registerkarte Zusammenfassung, um Ereignisdetails anzuzeigen. Erweitern Sie die Zeile, um weitere Details anzuzeigen, indem Sie auf den Pfeil klicken.

• Verwenden Sie die Menüoptionen im linken Bereich auf der Seite Konfiguration, um Konfigurationsfenster für Benachrichtigungen, Systemeinstellungen und Umgebungseinstellungen zu öffnen.

• Geben Sie auf den Konfigurationsseiten Informationen in die dafür vorgesehenen Felder ein.

Die Web-Benutzeroberfläche von Juniper ATP Appliance Central Manager

Der Zweck der einzelnen Web-UI-Registerkarten wird wie folgt beschrieben:

• Dashboard– Zeigt Informationen zum Appliance-Status sowie erkannte Bedrohungen und Vorfalltrends an. Kontextspezifische Bedrohungsansichten auf dem Operations Dashboard und dem Research Dashboard priorisieren die Bedrohungen, die Ihr Unternehmen am meisten betreffen, entsprechend Ihren Konfigurationen. Das Systemdashboard und die Collector-Dashboards (Web und E-Mail) enthalten Informationen zum System- und Collector-Integritätsstatus und zu Trends. Das Dashboard für die Ereigniszeitleiste zeigt ATA-Daten (Advanced Threat Analytics) pro Ereignis für einen bestimmten Anbieter sowie die IP-Adresse, den Hostnamen, den Benutzernamen oder die E-Mail-Adresse des Endpunkts an.

• Incidents: Zeigt detaillierte Informationen über bösartige oder verdächtige Downloads oder Infektionen in verschiedenen Kill-Chain-Phasen in Ihrem Netzwerk an. Weitere Informationen finden Sie auch Navigieren auf der Seite "Incidents ".

• File Uploads: Stellt detaillierte Informationen über alle Ergebnisse der Malware-Analyse zum Hochladen von Dateien, unabhängig davon, ob sie schädlich oder harmlos sind, an einem Speicherort der Webbenutzeroberfläche bereit. Zu den Funktionen zur Handhabung von Datei-Uploads in der Central Manager-Webbenutzeroberfläche gehören Uploads von einer neuen Registerkarte Datei-Uploads. Die erweiterte Datei-Uploads-API akzeptiert zusätzliche Metadaten für Integrationen von Drittanbietern, wie z. B. Carbon Black Response, um eine nahtlose Integration mit Vorfällen zu ermöglichen. Weitere Informationen finden Sie unter Übermitteln einer Malware-Datei zur Analyse.

• Mitigation—Präsentiert Optionen zur Risikominderung für bestimmte erkannte Bedrohungen, wie z. B. automatische Abwehr, Blockieren von Rückrufen vom Gateway oder der IPS/Next Gen Firewall oder Bereitstellung des Juniper ATP Appliance Infection Verification Package (IVP) oder der Carbon Black Response-Integration zur Bestätigung der Infektion auf dem Zielendpunkt. Weitere Informationen finden Sie unter Konfigurieren der automatischen Firewall-Abwehr.

• Reports– Ermöglicht das Generieren oder Planen von konsolidierten und detaillierten Zusammenfassungsberichten oder System-Audit-Berichten. Weitere Informationen finden Sie unter Generieren von Berichten

• Custom Rules– Zeigt benutzerdefinierte Übereinstimmungen mit Snort-Regeln auf der Registerkarte "Benutzerdefinierte Regeln" der Juniper ATP Appliance Central Manager Web-Benutzeroberfläche an; Übereinstimmungen mit korrelierten Snort-Regeln sind auf der Registerkarte "Incidents" verfügbar. Weitere Informationen zum Hinzufügen von Regeln zum System finden Sie unter Konfigurieren von benutzerdefinierten SNORT-Regeln .

• Config—Ermöglicht die Konfiguration von Appliance- und Software-Systemeinstellungen sowie die Konfiguration von Analyse-, Benachrichtigungs- und Abwehreinstellungen.

• Aktualisieren: Führt eine Aktualisierung der CM-Browseranzeige durch. Führen Sie immer eine Aktualisierung nach einem Software- oder Sicherheitsinhaltsupdate durch.

• System Health– Zeigt Zustandsindikatorprüfungen für statische und dynamische Detonations-Engines und Analysesysteme der Juniper ATP Appliance an. Alle Indikatoren sollten das grüne Häkchen anzeigen, das anzeigt, dass sich die Systeme in gutem Zustand befinden. Wenn eine rote Anzeige angezeigt wird, sind Maßnahmen zur Fehlerbehebung erforderlich.

Verhaltens-Engine		Kern-Detonations-Engine
Statischer Motor		Statische Analyse
Korrelation		Ereigniskorrelations-Engine
Web-Sammler		Verbindungsstatus der aktivierten Web Collectors
Sekundäre Kerne		Verbindungsstatus der konfigurierten Secondary Cores (Mac OSX)

• Log Out– Führt eine Abmeldung des aktuellen Benutzers der Central Manager-Web-Benutzeroberfläche durch.

In diesem Abschnitt werden drei Bereitstellungsszenarien für Advanced Threat Protection von Juniper ATP Appliance beschrieben:

• Bereitstellung einer Juniper ATP-Appliance in einer Unternehmenszentrale

• Juniper ATP Appliance Defense in einer verteilten und/oder geclusterten Unternehmensumgebung

• Juniper ATP Appliance – verteilte SaaS/OVA oder virtuelle Bereitstellung

In diesem Szenario (siehe Abbildung 5 unten) wird ein Core|Das CM-System ist in einer Unternehmenszentrale mit drei physischen Traffic Collectors installiert, die für eine breite Datenverkehrsabdeckung und Serviceintegration eingesetzt werden.

• Collector 1 für die Abdeckung des Datencenters positioniert

• Collector 2 für die Abdeckung des Web-Datenverkehrs positioniert

• Kollektor 3 an der Firewall positioniert, um Abdeckung und Abwehr/Blockierung zu gewährleisten

In diesem Einsatzszenario sorgen die Traffic Collectors für Netzabdeckung und Integration in die bestehende Infrastruktur, und der Core|CM bietet die Erkennung von Web- und E-Mail-Vorfällen und führt gleichzeitig eine risikobewusste Minderung und Blockierung an der Firewall durch.

Abbildung 3: Verteidigung der Juniper ATP-Appliance in einer Bereitstellung in einer Unternehmenszentrale

Ein verteiltes Unternehmen erfordert ein verteiltes Szenario zur Abwehr von Bedrohungen (siehe Abbildung unten). In diesem Szenario werden verschiedene physische und virtuelle Kollektoren per Fernzugriff in Zweigstellen bereitgestellt, um eine kontinuierliche Inspektion und erweiterte Netzwerktransparenz zu gewährleisten.

Abbildung 4: Verteidigung der Juniper ATP-Appliance in einer verteilten Unternehmensumgebung

Die Analyse des Datenverkehrs findet an den verteilten Kollektoren statt und die Objekte werden dann an den Core|CM, das in der Unternehmenszentrale eingesetzt wird, wo Netzwerkobjekte zur endgültigen Bedrohungsbewertung und -minderung einer Detonationskammer mit mehreren Betriebssystemen unterzogen werden.

Alternativ kann die Core|CM in dieser verteilten Bereitstellung kann auch als OVA-VM- oder SaaS-Bereitstellung konfiguriert werden. Darüber hinaus kann ein zusätzlicher Juniper ATP Appliance Core in einer öffentlichen oder privaten Unternehmens-Cloud bereitgestellt werden.

In einer verteilten SaaS/OVA-Bereitstellung werden Traffic Collectors in mehreren Zweigstellen an kritischen Überwachungsstandorten mit der Core|CM in der Zentrale und ein Collector, der als VM-OVA in der Cloud installiert wird, um alle Inhalte zu inspizieren und zu analysieren und Abwehrmaßnahmen auf konfigurierten Durchsetzungsservern wie z. B. einer PAN oder SRX-Firewall auszulösen.

Abbildung 5: Verteilte SaaS/OVA-Bereitstellung der Juniper ATP Appliance

Ein Tap ist ein Gerät, das einen ungehinderten Datenverkehrsfluss ermöglicht und gleichzeitig den gesamten Datenverkehr von einer Vollduplex-Verbindung kopiert und die Informationen zur Objektanalyse an Juniper ATP Appliance Collectors sendet. Im Tap-Modus wird ein externer Glasfaser-Tap (für GBIC-Ports) oder ein integrierter interner Tap (für 10/100/1000-Monitoring-Ports) verwendet. Im Tap-Modus überwacht der Juniper ATP Appliance Collector die Paketinformationen, während sie das Vollduplex-Netzwerksegment durchlaufen. Wie der SPAN-Modus ist auch der Tap-Modus passiv.

Verwenden Sie einen Netzwerk-Tap, um eine Kopie des Netzwerkdatenverkehrs von einem Netzwerksegment an den eth1-Netzwerküberwachungsport des Juniper ATP Appliance Collector zu senden. Der Wasserhahn stört den Verkehr nicht und lässt den Verkehr ungehindert passieren, wenn er abgeschaltet ist.

Der Switch Port Analyzer (SPAN) eines Switches ist für die Sicherheitsüberwachung vorgesehen. Damit kann eine angeschlossene Juniper ATP-Appliance eine Kopie jedes Pakets des gesamten ein- und ausgehenden Datenverkehrs empfangen, der über den Switch fließt. Hierbei handelt es sich um Portweiterleitung oder Portspiegelung. Eine passive, nicht-intrusive Paketerfassungsmethode.

Konfigurieren Sie einen Switch mit Port-Spiegelungsfunktion, um eine Kopie des eingehenden und ausgehenden Datenverkehrs, der zwischen ausgewählten Ports passiert, an SPAN-Ports auf dem Switch weiterzuleiten. Verbinden Sie dann den SPAN-Port mit der Juniper ATP-Appliance (mit der Bezeichnung eth1).

Die Juniper ATP-Appliance kann im SPAN-Modus konfiguriert werden, indem ein Switch mit Port-Spiegelungsfunktion so konfiguriert wird, dass eine Kopie des ein- und ausgehenden Datenverkehrs, der zwischen ausgewählten Ports übertragen wird, an die SPAN-Ports auf dem Switch weitergeleitet wird. Verbinden Sie dann die SPAN-Ports mit dem Collector (Ports eth1).

Die Traffic Collectors der Juniper ATP Appliance überwachen und untersuchen kontinuierlich den gesamten Netzwerkverkehr auf Malware-Objekte. Extrahieren und Senden von Objekten an den Core zur Verteilung an die Windows- oder Mac-Erkennungs-Engines.

Für Windows-Datenverkehr kann das Microsoft Exchange Server-Journaling so konfiguriert werden, dass eine Kopie (ein Journal) von Unternehmens-E-Mail-Nachrichten aufgezeichnet und dann in regelmäßigen Abständen an ein Journalpostfach auf dem Exchange Server gesendet wird.

Exchange Server 2010 kann so konfiguriert werden, dass nur Umschlagjournale unterstützt werden. Dies bedeutet, dass von jedem E-Mail-Nachrichtentext und seinen Transportinformationen eine Kopie erstellt wird. Die Transportinformationen sind im Wesentlichen ein Umschlag, der den E-Mail-Absender und alle Empfänger enthält.

Der E-Mail-Collector der Juniper ATP-Appliance fragt den Exchange-Server nach Journaleinträgen ab und ruft wie geplant alle E-Mails im Journalkonto vom Exchange-Server zum Collector ab. Der E-Mail-Collector verwendet Journaling für die anfängliche Analyse des Datenverkehrs und die Überwachung/Überprüfung von E-Mail-Anhängen. Der gesamte E-Mail-Datenverkehr (und E-Mail-Anhänge) wird vom E-Mail-Collector an den Juniper ATP Appliance Core gesendet, wo er in den Windows- oder Mac OS X-Erkennungsmodulen detoniert wird.

Wenn E-Mail-basierte Malware oder bösartige E-Mail-Anhänge erkannt werden, wird der Journaleintrag vom Central Manager der Juniper ATP-Appliance in die Analyseergebnisse integriert und als Benachrichtigung an den Administrator der Juniper ATP-Appliance gesendet, wobei die entsprechenden Maßnahmen zur Risikominderung und/oder Infektionsüberprüfung in der Web-Benutzeroberfläche des Central Managers aufgeführt sind.

Gehen Sie folgendermaßen vor, um das E-Mail-Collector-Journaling einzurichten:

• Erstellen eines Journalpostfachs auf dem Exchange-Server im nächsten Abschnitt

• Konfigurieren von Microsoft Exchange Server 2013 Journaling

• Konfigurieren des Exchange-Server-Journalabrufs über die Webbenutzeroberfläche

• Konfigurieren von Office 365-Journalen

• Gmail Journaling konfigurieren

• Gmail-Bedrohungsabwehr konfigurieren

1. Starten Sie die Microsoft Exchange-Verwaltungskonsole.

2. Erweitern Sie den Knoten Empfängerkonfiguration, und klicken Sie auf den Knoten Mailbox. Wählen Sie Neues Postfach aus. aus dem Bereich Aktionen.

3. Wählen Sie Neues Postfach aus. aus dem Bereich Aktionen.

4. Wählen Sie die Option Benutzerpostfach und klicken Sie auf Weiter.

5. Wählen Sie die Option Neuer Benutzer und klicken Sie auf Weiter.

6. Details zum Postfach eines neuen Benutzers

7. Geben Sie die "Benutzerinformationen" für den Collector ein, dem das neue Journalpostfach zugewiesen werden soll, und klicken Sie auf Weiter.

8. Geben Sie einen "Alias" für das Journalpostfach ein, und klicken Sie auf Weiter.

9. Klicken Sie erneut auf Weiter, überprüfen Sie die Zusammenfassung des neuen Postfachs für das neu zu erstellende Postfach, und klicken Sie dann auf Neu.

10. Nachdem das Journalpostfach erstellt wurde, konfigurieren Sie das Standardjournaling, indem Sie eine Postfachdatenbank konfigurieren.

• Klicken Sie in der Microsoft Exchange-Verwaltungskonsole>Serverkonfiguration auf Postfachdatenbank.

• Klicken Sie in der Toolbox Aktionen der ausgewählten Postfachdatenbank auf Eigenschaften.

• Wechseln Sie auf der Seite Eigenschaften der Postfachdatenbank zur Registerkarte Allgemein, und aktivieren Sie das Kontrollkästchen Journalempfänger, ABER bevor Sie das Kontrollkästchen aktivieren, klicken Sie zuerst auf Durchsuchen und wählen Sie aus, welches Postfach alle Nachrichten aus der Postfachdatenbank abrufen soll. Nachdem Sie Journal Recipient überprüft haben, klicken Sie auf OK, um den Vorgang abzuschließen.

1. Melden Sie sich beim MS Exchange Server Admin Center an: https://exchnageserverip/ecp/

2. Wählen Sie die Registerkarte Sendeconnectors aus.

   Abbildung 6: Exchange Admin Center

3. Navigieren Sie zu Nachrichtenfluss->>Sendeconnectors, und geben Sie die Einstellungen für den Sendeconnector ein:

   Abbildung 7: Einstellungen für Sendeconnector

4. Speichern Sie die Connector-Einstellungen.

5. Navigieren Sie zu Compliance Management>>Journalregeln, um Journalregeln zu konfigurieren.

6. Geben Sie den Postfachnamen und die IP-Adresse in das Feld "Journalberichte senden an" ein.

   Hinweis:

   Dieser sollte mit dem Postfachnamen übereinstimmen, der auf der Seite Juniper ATP Appliance Email Collector Config>System Profiles>Email Collector Web UI konfiguriert wurde.

   Abbildung 8: Festlegen von Journalregeln

Weitere Informationen zum Konfigurieren von E-Mail-Collectors finden Sie unter Konfigurieren von E-Mail-Collectors .

1. Klicken Sie in der Juniper ATP Appliance Central Manager Config>EmailNavigieren Sie zur Seite Compliance-Management->>Journalregel-Collector, klicken Sie auf die Schaltfläche Neuen E-Mail-Collector hinzufügen oder klicken Sie auf Bearbeiten für einen vorhandenen Collector, der in der Tabelle Aktuelle E-Mail-Collectors aufgeführt ist.

2. Geben Sie die E-Mail-Journaling-Einstellungen in die angezeigten Konfigurationsfelder ein und wählen Sie sie aus: E-Mail-Server [IP], Protokoll, SSL, Postfachname, Kennwort, Abfrageintervall (in Minuten), E-Mail auf Server behalten und aktiviert. [Siehe folgende Abbildung].

So richten Sie Office 365 Journaling für die E-Mail-Schutzminderung der Juniper ATP Appliance ein:

1. Melden Sie sich beim Microsoft Office 365 Admin Center an.

2. Wählen Sie im Office 365 Admin Center die Option Admin Center > Exchange aus.

   Abbildung 9: Navigieren zum Microsoft Office 365 Admin Center
   Abbildung 10: Microsoft Office 365 Admin Center

3. Wählen Sie Compliance-Management > Journalregeln aus.

   • Klicken Sie auf das +-Zeichen, um eine neue Journalregel hinzuzufügen.

   • Füllen Sie die Formularfelder für die neue Journalregel aus.

Gehen Sie wie folgt vor, um das E-Mail-Journal für Gmail zu konfigurieren:

1. Navigieren Sie unter https://admin.google.com/AdminHome zur Google Admin-Startseite.

2. Navigieren Sie im Dashboard der Google Admin-Konsole zu Apps->G Suite->Gmail->Erweiterte Einstellungen.

   Hinweis:

   Um die erweiterten Einstellungen anzuzeigen, scrollen Sie auf der Gmail-Seite nach unten.

3. Navigieren Sie zum Abschnitt "Compliance" und klicken Sie auf "Add Another Compliance Rule", um die Zustellung an den MTA der Juniper ATP Appliance einzurichten.

   Abbildung 11: Google Gmail Admin Home Journaling-Einstellungen

4. Wählen Sie die Optionen aus, die im folgenden Beispiel-Screenshot angezeigt werden (Einstellung 1 und 2):

   Abbildung 12: Journaling-Kriterien, die von Juniper ATP Appliance MTA gefordert werden

5. Stellen Sie sicher, dass Sie die Empfängerinformationen hinzufügen (dies ist die Juniper ATP Appliance MT). Zum Beispiel: JATP_mta@FQDN oder JATP_mta@ip.

   Abbildung 13: Festlegen des Juniper ATP Appliance-MTAs als Gmail-Empfänger: JATP_mta@FQDN

In Unternehmensumgebungen, die eine Google Apps-Domain verwenden, kann ein Administrator der Google Apps-Domain einer Anwendung den Zugriff auf Nutzerdaten im Namen von Nutzern in der Google Apps-Domain gestatten. Das Autorisieren eines Dienstkontos für den Zugriff auf Daten im Namen von Benutzern in einer Domäne wird manchmal als "Delegieren domänenweiter Berechtigung" an ein Dienstkonto bezeichnet.

Wenn Sie die domainweite Berechtigung an ein Gmail APIs-Dienstkonto delegieren möchten, aktivieren Sie zunächst die domainweite Delegierung für ein vorhandenes Dienstkonto auf der Seite Google APIs-Dienstkonten oder erstellen Sie ein neues Dienstkonto mit aktivierter domainweiter Delegierung.

So erstellen Sie ein neues Gmail-Dienstkonto:

1. Navigieren Sie zur Seite Google APIs-Dienstkonten.

2. Wählen Sie ein vorhandenes Projekt aus oder Erstellen Sie ein neues Projekt aus dem Dropdown-Menü Projekt in der oberen linken Ecke.

   Abbildung 14: Navigieren Sie zur Seite "Google APIs-Dienstkonto"
   Abbildung 15: Erstellen eines neuen Google APIs-Dienstkontos

3. Navigieren Sie als Nächstes zur Admin-Konsole Ihrer Google Apps-Domain.

4. Wählen Sie Sicherheit aus der Liste der Steuerelemente aus. Wenn Sicherheit nicht aufgeführt ist, wählen Sie in der grauen Leiste unten auf der Seite Weitere Steuerelemente und dann Sicherheit aus dieser Liste von Steuerelementen aus. Wenn keine Steuerelemente verfügbar sind, stellen Sie sicher, dass Sie als Administrator für die Domäne angemeldet sind.

5. Wählen Sie "Mehr anzeigen" und dann "Erweiterte Einstellungen" aus der Liste der Optionen.

6. Wählen Sie im Abschnitt Authentifizierung die Option API-Clientzugriff verwalten aus.

7. Geben Sie im Feld Clientname die Client-ID des Dienstkontos ein. Die Client-ID Ihres Dienstkontos finden Sie auf der Seite Dienstkonten.

8. Geben Sie im Feld Einer oder mehrere API-Bereiche die Liste der Bereiche ein, auf die Ihrer Anwendung Zugriff gewährt werden soll. Wenn Ihre Anwendung beispielsweise domänenweiten Zugriff auf die GMAIL-API erfordert, geben Sie Folgendes ein: https:// mail.google.com/.

   Abbildung 16: Zugriff auf das Google APIs-Dashboard
   

9. Klicken Sie auf Autorisieren.

   Hinweis:

   Stellen Sie sicher, dass Sie GMAIL-APIs aktivieren, indem Sie zur Admin Console navigieren und im Dashboard unter API-Manager für das entsprechende Projekt auf "API AKTIVIEREN" klicken. Wählen Sie GMAIL API aus und klicken Sie auf Aktivieren.

In diesem Abschnitt werden die Dashboard-Komponenten für Dashboard-Registerkarten – die Registerkarten "Operations", "Research", "System" und "Collectors-Dashboard" – beschrieben und beschrieben, wie Sie mit den verschiedenen Ansichten und anpassbaren Statistiken und Anzeigen interagieren.

Tabelle 6: Grafische Komponenten des Dashboards der Juniper ATP Appliance

Operations Filter	Filtern Sie die Ergebnisse der Bedrohungsansicht, indem Sie einen der verfügbaren Filter aus dem Dropdown-Menü auswählen: Alle | Nur neu | Bestätigt & In Bearbeitung | Vollständig	Treffen Sie eine Auswahl aus dem Dropdown-Menü.
Time Period (Betriebs-Dashboard, Forschungs-Dashboard, System-Dashboard, Collectors-Dashboard, Ereignis-Zeitleiste)	Alle Dashboard-Diagramme werden nach dem Zeitraum synchronisiert, den Sie aus dem Dropdown-Menü oben in der Tabelle auswählen. Zu den Optionen für den Zeitraum gehören: Letzte 24 Stunden Letzte Woche Letzter Monat Letzte 3 Monate Letztes Jahr	Treffen Sie eine Auswahl aus dem Dropdown-Menü.
Reset Charts (sowohl Malware-Dashboard als auch System-Dashboard)	Setzt alle Diagramme auf dem Dashboard für den ausgewählten Zeitraum auf ihren ursprünglichen Zustand zurück.	Mausklick
Infected Hosts (Betriebs-Dashboard)	Dieses Blasendiagramm ist das Herzstück der Bedrohungsansicht und zeigt alle infizierten Hosts für den angegebenen Zeitraum. Eine Blase steht für einen infizierten Host. Die x-Achse des Diagramms stellt den Zeitraum dar. Die y-Achse stellt den ermittelten Schweregrad der Infektion dar. Die Farbe der Blase stellt den abgestuften Schweregrad der auf dem Host gefundenen Malware entlang des folgenden Spektrums dar: Hoch (Rot), Mittel (Orange), Niedrig (Gelb) Die Größe der Blase stellt die Gesamtzahl der auf dem Host gefundenen Malware dar.	Bewegen Sie den Mauszeiger über eine Blase "Host" Zeigt die IP-Adresse und den Namen des infizierten Hosts sowie die Gesamtzahl der auf diesem Host gefundenen Malware im folgenden Format an: "IP/Name (X Bedrohungen)" Mausklick über eine Blase "Host" Die Blase wird hervorgehoben und die Daten zu den Hostdetails werden angezeigt, einschließlich der Daten für Malware-Ziel, Kill Chain, Incident Summary und Trigger. Außerdem wird das Malware-Trenddiagramm angepasst, um anzuzeigen, wann der ausgewählte Host kompromittiert wurde. Außerdem werden die Daten zu den am häufigsten kompromittierten Endpunkten Malware angezeigt. Doppelklicken Sie auf eine Blase, um die Registerkarte "Incidents" mit weiteren Details und Optionen zur Risikominderung zu öffnen.
Host Details (Betriebs-Dashboard)	Wenn eine einzelne Blase im Blasendiagramm der Bedrohungsansicht ausgewählt wird, werden die Host-Detaildaten für diesen Host angezeigt, einschließlich der Daten für das Malware-Ziel, den Fortschritt der Kill-Chain-Phase, die Vorfallzusammenfassung und die Auslöser. Die Kill Chain Progression enthält mehr interaktive Daten.	Mausklick: Klicke auf das blau markierte Ergebnis im Fortschritt der Kill Chain-Phase, um weitere Informationen anzuzeigen: Wenn auf eine Kill Chain Progression-Blase geklickt wird, wird die Seite "Incidents" geöffnet, auf der die Daten für die spezifischen Exploits, Downloads, Ausführungen, Infektion(en) und/oder Phishing angezeigt werden.
Malware Trend (Betriebs-Dashboard)	Zeigt den Malware-Trend für jede beliebige Malware mit einem bestimmten Zeitrahmen an.	Wählen Sie eine Blase im Blasendiagramm der Bedrohungsansicht aus, um die Zeitleiste der Trend-Malware anzupassen.
Total Malware Found (Forschungs-Dashboard)	Ein Kreisdiagramm, das den prozentualen Schweregrad der Malware in Hoch (Rot), Mittel (Orange) und Niedrig (Gelb) anzeigt	Keine Interaktivität
Top Malware Countries (Forschungs-Dashboard)	Ein geografisches Diagramm, das die Häufigkeit aktuell erkannter Malware auf der ganzen Welt anzeigt.	Öffnet die Seite "Incident-Details"
Top Compromised Endpoints (Betriebs-Dashboard)	Zeigt Status, Risiko, Host und Bedrohung pro kompromittiertem Endpunkt an.	Keine Interaktivität
Top Malware (Forschungs-Dashboard)	Listet die häufigsten Malware-Vorfälle nach Malware-Namen für den ausgewählten Zeitraum auf. Die x-Achse stellt die Anzahl der Infektionen dar. Die Y-Achse ist der Name der Malware.	Mausklick: Markieren Sie einen Malware-Namen im Diagramm Top-Malware, um die Anzeige des Bedrohungsfortschritts für diese Malware pro Endpunkthost anzuzeigen. Der Bedrohungsverlauf umfasst: Infektionen Downloads
Threat Progression (Forschungs-Dashboard)	Zeigt eine interaktive Karte der Infektionen und Downloads pro Malware-Auswahl an. Downloads auf aufeinanderfolgende Hosts im gesamten Unternehmen sind im folgenden Beispiel dargestellt.	Mausklicks: Klicken Sie auf Infektionen, um den Verlauf der infizierten Endpunkte anzuzeigen. Klicken Sie auf Downloads, um Endpunkte (angegeben durch IP-Adresse) anzuzeigen, von denen Downloads der ausgewählten Malware erfolgt sind. Klicken Sie auf die IP-Adresse eines Endpunkts, um Hostdetails für diesen Endpunkt anzuzeigen. Das kreisförmige Aufzählungszeichen für den ausgewählten Endpunkt wird orange, wenn darauf geklickt wird.
Threat Details (Forschungs-Dashboard)	Zeigt allgemeine Bedrohungsdetails für die aktuell ausgewählte Malware an. Wenn jedoch ein Endpunkt aus der Bedrohungsverlaufskarte ausgewählt wird, werden die Anzeigen angepasst, um Hostdetails anzuzeigen.	Mausklick: Klicken Sie auf die IP-Adresse eines Endpunkts, um Hostdetails für diesen Endpunkt anzuzeigen. Das kreisförmige Aufzählungszeichen für den ausgewählten Endpunkt wird orange, wenn darauf geklickt wird.
Traffic (System-Dashboard)	Zeigt den gesamten Netzwerkverkehr relativ zum analysierten Protokolldatenverkehr an, der innerhalb des ausgewählten Zeitraums in Kbit/s verarbeitet wurde. Die x-Achse stellt den Zeitraum in Monaten dar. Die y-Achse gibt Kbit/s an.	Maus mit der Maus bewegen: Führen Sie den Mauszeiger über einen beliebigen Teil des Diagramms bewegen. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Core Utilization (%) (System-Dashboard)		Maus mit der Maus bewegen: Führen Sie den Mauszeiger über einen beliebigen Teil des Diagramms bewegen. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Average Analysis Time (Protokoll) (System-Dashboard)		Maus mit der Maus bewegen: Führen Sie den Mauszeiger über einen beliebigen Teil des Diagramms bewegen. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Objects Processed (System-Dashboard)	Zeigt die Netzwerkobjekte an, die innerhalb des ausgewählten Zeitraums verarbeitet wurden. Die x-Achse stellt den Zeitraum in Monaten dar. Die y-Achse gibt die Anzahl der Objekte an.	Maus mit der Maus bewegen: Führen Sie den Mauszeiger über einen beliebigen Teil des Diagramms bewegen. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Malware Objects (System-Dashboard)	Zeigt die Malware-Objekte an, die innerhalb des ausgewählten Zeitraums verarbeitet wurden. Die x-Achse stellt den Zeitraum in Monaten dar. Die y-Achse gibt die Anzahl der Objekte an.	Maus mit der Maus bewegen: Führen Sie den Mauszeiger über einen beliebigen Teil des Diagramms bewegen. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Trend (Collectors-Dashboard)	Zeigt Statistiken für Collector-Aktivitäten und -Trends an. Die Anzeigeoptionen werden aus dem Dropdown-Menü "Trend" ausgewählt und umfassen "Gesamtverkehr", "CPU-Auslastung", "Speicherauslastung", "Gefundene Objekte" und "Malware-Objekte".	Wählen Sie die zu verfolgenden Kollektoren aus der Übersichtstabelle unterhalb des Diagramms aus. Die Werte werden alle 10 Minuten für jeden Collector aktualisiert. Klicken Sie auf das Kontrollkästchen Spalte(n) plotten, um die grafischen Informationen für ausgewählte Kollektoren darzustellen.
Vendor (Dashboard für die Ereignis-Zeitleiste)	Wählen Sie einen Anbieter aus Ihrer Sicherheitsinfrastruktur aus und zeigen Sie alle korrelierten Ereignisse für eine bestimmte Endpunkt-IP, einen Hostnamen, einen Benutzernamen oder eine E-Mail-Adresse an:

Setzen Sie das Dashboard auf den ursprünglichen Status "All-Hosts, All-Threats" zurück, indem Sie auf "Reset Charts" klicken.

• Klicken Sie auf die Registerkarte Datei-Uploads, wählen Sie im Fenster "Datei zur Analyse senden" die Datei aus, die zur Analyse hochgeladen werden soll, und klicken Sie auf die Schaltfläche Datei senden.

  Hinweis:

  Die maximale Dateigröße, die Sie zur Analyse hochladen können, beträgt 32 MB.

  Abbildung 20: Übermitteln einer Datei zur Malware-Analyse über die Registerkarte "Vorfälle"

Bei der Dateiübermittlung wird ein SHA1 angezeigt.

Die Funktion "Datei hochladen" ruft die "file_submit"-API auf und zeigt dann nach der Analyse die von der API zurückgegebenen Ergebnisse auf der Registerkarte Datei-Uploads der Central Manager-Webbenutzeroberfläche an. Die Ergebnisse werden auch in der Tabelle der Seite "Incidents" mit der Bezeichnung "Kill Chain Progression: UP" zusammen mit der Incident-sha1sum und dem Dateinamen angezeigt.

Unabhängig davon, ob eine Datei über die HTTP-API oder über die Seite "Datei-Uploads" des Central Managers zur Malware-Analyse an den Core übermittelt wird, werden die Analyseergebnisse immer auf der Seite "Datei-Uploads" angezeigt.

Für einen Netzwerk-Switch: SPAN/TAP werden zwei Arten von vCollector-Bereitstellungen unterstützt:

1. Datenverkehr, der von einem physischen Switch auf einen vCollector übertragen wird. In diesem Fall wird der Datenverkehr von PortA zu PortB verteilt. ESXi, das die vCollector-OVA der Juniper ATP-Appliance enthält, ist mit Port B verbunden. Dieses Bereitstellungsszenario ist in der obigen Abbildung dargestellt.

2. Datenverkehr von einer virtuellen Maschine, die sich auf demselben vSwitch wie der vCollector befindet. Da sich in diesem Bereitstellungsszenario der vSwitch, der den vCollector enthält, im Promiscuous-Modus befindet, befinden sich standardmäßig alle erstellten Portgruppen ebenfalls im Promiscuous-Modus. Daher werden 2 Portgruppen empfohlen, wobei PortgruppeA (vCollector) im Promiscuous-Modus dem vCollector zugeordnet ist und Port-GroupB (vTraffic) Datenverkehr darstellt, der sich nicht im Promiscuous-Modus befindet.

   Hinweis:

   Datenverkehr von einer virtuellen Maschine, die sich nicht auf demselben vSwitch wie der vCollector befindet, wird nicht unterstützt. Außerdem ist a dedicated NIC adapter für die vCollector-Bereitstellung erforderlich. Verbinden Sie die Netzwerkkarte im Promiscuous-Modus mit einem virtuellen Switch (um den gesamten Datenverkehr zu erfassen). Wenn sich ein vSwitch im Promiscuous-Modus befindet, werden standardmäßig alle Portgruppen in den Promiscuous-Modus versetzt, was bedeutet, dass andere reguläre VMs ebenfalls unnötigen Datenverkehr erhalten. Eine Problemumgehung besteht darin, eine andere Portgruppe für die anderen VMs zu erstellen und ohne promiskuitiven Modus zu konfigurieren.

   Tipp:

   Es gibt zwei verfügbare Optionen für die Bereitstellung eines Virtual Collectors (regulärer Collector sowie Collector mit kleinem Formfaktor): (1) Verwenden Sie die OVA-Installationsmethode mit vCenter; (2) Verwenden Sie OVF + VMDK ohne vCenter, indem Sie es direkt auf ESXi installieren. Es ist kein Assistent für die Bereitstellung des vCollector mit der zweiten Methode verfügbar. Konfigurieren Sie den Collector über die CLI. Für die Virtual Core-Installationen steht nur die OVA/vCenter-Methode zur Verfügung.

In der folgenden Tabelle sind die Ressourcen- und Hardwarebereitstellungen aufgeführt, die für eine OVA vCollector-Bereitstellung erforderlich sind.

Die für eine vCollector-Bereitstellung verfügbaren Größenoptionen sind unten aufgeführt.

Befolgen Sie nach der Installation des OVA vCollector die Anweisungen in der Kurzanleitung zur Konfiguration des Web- oder E-Mail-vCollectors mithilfe der Juniper ATP Appliance CLI und des Konfigurationsassistenten.

1. Laden Sie die OVA-Datei der Juniper ATP Appliance von dem von Ihrem Juniper Supportmitarbeiter angegebenen Speicherort auf ein Desktopsystem herunter, das auf VMware vCenter zugreifen kann. Siehe TIPP am Ende dieses Abschnitts, um optional die Verwendung von vCenter zu vermeiden.

2. Stellen Sie eine Verbindung zu vCenter her und klicken Sie auf Datei>OVF-Vorlage bereitstellen.

3. Durchsuchen Sie das Download-Verzeichnis, wählen Sie die OVA-Datei aus und klicken Sie dann auf Weiter, um die Seite "OVF-Vorlagendetails" anzuzeigen.

4. Klicken Sie auf Weiter, um die Seite Endbenutzer-Lizenzvereinbarung anzuzeigen und zu überprüfen.

5. Akzeptieren Sie die EULA und klicken Sie auf Weiter, um die Seite Name und Standort anzuzeigen.

6. Der Standardname für den virtuellen Kern lautet Juniper ATP Appliance Virtual Core Appliance. Geben Sie bei Bedarf einen neuen Namen für den virtuellen Kern ein.

7. Wählen Sie das Datencenter aus, in dem der virtuelle Kern bereitgestellt werden soll, und klicken Sie dann auf Weiter, um die Seite Host/Cluster anzuzeigen.

8. Wählen Sie den Host/Cluster aus, auf dem sich der virtuelle Kern befinden soll, und klicken Sie dann auf Weiter, um die Seite Speicher anzuzeigen.

9. Wählen Sie den Zieldateispeicher für die Dateien der virtuellen Maschine mit virtuellem Kern aus und klicken Sie dann auf Weiter, um die Seite "Datenträgerformat" anzuzeigen. Der Standardwert ist THIN PROVISION, LAZY ZEROED, für den 512 GB freier Speicherplatz auf dem Speichergerät erforderlich sind. Die Verwendung von Thin Disk Provisioning zum anfänglichen Sparen von Speicherplatz wird ebenfalls unterstützt.

   Klicken Sie auf Weiter, um die Seite Netzwerkzuordnung anzuzeigen.

10. Richten Sie die vCore-Schnittstelle ein:

    • Verwaltung (administrativ): Diese Schnittstelle wird für die Verwaltung und die Kommunikation mit den Datenverkehrssammlern der Juniper ATP-Appliance verwendet. Weisen Sie das Zielnetzwerk der Portgruppe zu, die über eine Verbindung zur IP-Adresse des CM-Managementnetzwerks verfügt.

    • Klicken Sie auf Weiter, um die Seite "Eigenschaften" der Juniper ATP-Appliance anzuzeigen.

11. Die IP-Zuweisungsrichtlinie kann für DHCP oder statische Adressierung konfiguriert werden – Juniper empfiehlt die Verwendung der statischen Adressierung. DHCP-Anweisungen finden Sie in Schritt 12. Führen Sie für IP-Zuordnungsrichtlinie als statisch die folgenden Zuweisungen aus:

    • IP-Adresse: Weisen Sie die IP-Adresse des Verwaltungsnetzwerks für den virtuellen Kern zu.

    • Netzmaske: Weisen Sie die Netzmaske für den virtuellen Kern zu.

    • Gateway: Weisen Sie das Gateway für den virtuellen Kern zu.

    • DNS-Adresse 1: Weisen Sie die primäre DNS-Adresse für den virtuellen Kern zu.

    • DNS-Adresse 2: Weisen Sie die sekundäre DNS-Adresse für den virtuellen Kern zu.

12. Geben Sie die Suchdomäne und den Hostnamen für den virtuellen Kern ein.

13. Gehen Sie wie folgt vor:

    Neues CLI-Administratorkennwort für die Juniper ATP-Appliance: Dies ist das Kennwort für den Zugriff auf den virtuellen Kern über die CLI.

14. Gehen Sie wie folgt vor:

    • Neues CLI-Administratorkennwort für die Juniper ATP-Appliance: Dies ist das Kennwort für den Zugriff auf den virtuellen Kern über die CLI.

    • Juniper ATP Appliance Central Manager IP-Adresse: Wenn der virtuelle Kern eigenständig (kein Clustering aktiviert) oder primär (Clustering ist aktiviert) ist, lautet die IP-Adresse 127.0.0.1. Wenn es sich bei dem virtuellen Kern um einen sekundären Kern handelt, ist die IP-Adresse des zentralen Managers die IP-Adresse des primären Kerns.

    • Gerätename der Juniper ATP-Appliance: Geben Sie einen eindeutigen Gerätenamen für den virtuellen Kern ein.

    • Gerätebeschreibung der Juniper ATP-Appliance: Geben Sie eine Beschreibung für den virtuellen Kern ein.

    • Juniper ATP Appliance Device Key Passphrase: Geben Sie die Passphrase für den virtuellen Kern ein. Sie sollte mit der Passphrase identisch sein, die im Central Manager für den Core/CM konfiguriert wurde. Klicken Sie auf Weiter, um die Seite "Bereit zum Abschließen" anzuzeigen.

15. Aktivieren Sie nicht die Option Einschalten nach der Bereitstellung, da Sie zuerst (als nächstes) die CPU- und Arbeitsspeicheranforderungen ändern müssen (je nach vCore-Modell – entweder 500 Mbit/s oder 1 Gbit/s; Informationen zur Dimensionierung finden Sie unter OVA vCollector-Größenoptionen ).

16. So konfigurieren Sie die Anzahl der vCPUs und des Arbeitsspeichers:

    1. Schalten Sie den virtuellen Kern aus.

    2. Klicken Sie mit der rechten Maustaste auf den virtuellen Kern -> Einstellungen bearbeiten

    3. Wählen Sie auf der Registerkarte Hardware die Option Arbeitsspeicher aus. Geben Sie den erforderlichen Speicher in das Kombinationsfeld Speichergröße auf der rechten Seite ein.

    4. Wählen Sie CPU auf der Registerkarte Hardware aus. Geben Sie das Kombinationsfeld für die gewünschte Anzahl virtueller CPUs auf der rechten Seite ein. Klicken Sie zum Festlegen auf OK.

17. So konfigurieren Sie die CPU- und Speicherreservierung:

    1. Für CPU-Reservierung: Klicken Sie mit der rechten Maustaste auf vCore-> Einstellungen bearbeiten:

    2. Wählen Sie die Registerkarte Ressourcen und dann CPU aus.

    3. Geben Sie unter Reservierung die garantierte CPU-Zuordnung für die VM an. Sie kann basierend auf Anzahl der vCPUs * Prozessorgeschwindigkeit berechnet werden.

    4. Für die Speicherreservierung: Klicken Sie mit der rechten Maustaste auf vCore -> Einstellungen bearbeiten.

    5. Wählen Sie auf der Registerkarte Ressourcen die Option Arbeitsspeicher aus.

    6. Geben Sie unter Reservierung die Menge an Arbeitsspeicher an, die für die VM reserviert werden soll. Er sollte mit dem Speicher identisch sein, der in der Größenanleitung angegeben ist.

18. Wenn Hyperthreading aktiviert ist, nehmen Sie die folgende Auswahl vor:

    1. Klicken Sie mit der rechten Maustaste auf vCore -> Einstellungen bearbeiten.

    2. Wählen Sie auf der Registerkarte "Ressourcen" die Option HT-Freigabe: Keine für "Erweiterte CPU" aus.

19. Schalten Sie den virtuellen Kern (vCore) ein. HINWEIS: Als zukünftige Referenz beruhen die Regeln für die Zulassungsliste auf dem normalen Herunterfahren des Dienstes, um gesichert zu werden. Durch direktes Ausschalten einer VM oder eines virtuellen Kerns geht der aktuelle Status der Zulassungsliste verloren, da die Regeln in diesem Fall nicht gespeichert werden können.

Melden Sie sich bei der CLI an und verwenden Sie den Befehl "show uuid" im Servermodus, um die UUID abzurufen. an Juniper ATP Appliance senden, um Ihre Lizenz zu erhalten.

Wenn eine OVA geklont wird, um einen anderen virtuellen sekundären Core zu erstellen, ist der Wert für die Spalte "id" in der Tabelle der Central Manager Appliance standardmäßig derselbe. Administratoren müssen die UUID zurücksetzen, um sie eindeutig zu machen. Ein neuer Virtual Core-CLI-Befehl "set id" ist verfügbar, um die UUID auf einem geklonten Virtual Core aus dem Core-Modus der CLI zurückzusetzen. In der CLI-Befehlsreferenz der Juniper ATP-Appliance finden Sie Informationen zu den neuen Befehlen "set id" und "show id" im Core-Modus.

Das Upgrade von Software- und Sicherheitsinhalten erfolgt automatisch, wenn Upgrades über die Seite Konfiguration >Systemeinstellungen >Systemeinstellungen der Webbenutzeroberfläche von Central Manager konfiguriert werden.

• Um automatische Upgrades zu aktivieren, aktivieren Sie die Optionen "Softwareupdate aktiviert" und/oder "Inhaltsupdate aktiviert" auf der Seite Systemeinstellungen.

Alle automatischen Updates aller Komponenten der Juniper ATP Appliance werden vom Juniper ATP Appliance Core koordiniert und implementiert. Laufende Updates finden in regelmäßigen Abständen statt:

• Das Core-Software- und Inhaltsupdate (falls aktiviert) sucht alle 30 Minuten nach verfügbaren Updates und überträgt neue Dateien auf die Collectors und/oder Secondary Cores.

• Die Überprüfung des Images der Core-Detonations-Engine findet täglich um Mitternacht statt.

• Juniper ATP Appliance reduziert weiterhin seinen betrieblichen Fußabdruck und benötigt für Upgrades, Telemetrie, Inhaltsaktualisierungen und andere Services nicht mehr umfangreiche externe IP-Adressen auf der Zulassungsliste.

• Firewall-Ports, die zuvor für bestimmte Dienste geöffnet wurden, können nach Abschluss eines Release-Upgrades geschlossen werden.

• Beachten Sie, dass die meisten modernen Firewalls Domänenzulassungslisten unterstützen.

• Kunden können optional nur ausgehenden Zugriff auf das Core/CM-Gerät* (keine Collectors) über HTTPS (Port 443) zulassen. In diesem Fall ist keine Domain-Zulassungsliste erforderlich.

• *Juniper ATP-Appliance hat immer empfohlen, uneingeschränkte ausgehende Kommunikation für die Core/CM-Appliance (oder All-in-One) zuzulassen, um eine Kill-Chain-Korrelation bei Sandbox-Detonationen zu ermöglichen.

• Kunden, die sich Sorgen um eine umfassende Zulassungsliste auf Port 443 machen, können die Zulassungsliste auf Amazon AWS- und S3-CIDRs beschränken - beachten Sie jedoch, dass dies immer noch ein ziemlich großer Bereich von IP-Adressen ist.

Sie können das Remotesupportkonto entweder über die Benutzeroberfläche oder die CLI aktivieren.

Aktivieren des Remote-Support-Kontos über die Benutzeroberfläche

So aktivieren Sie das Supportkonto über die Web-Benutzeroberfläche:

1. Wählen Sie Config > Systemprofile >Remote Support aus.

2. Wählen Sie auf der Seite Remote-Support die Option Remote-Support aktivieren aus.

3. Geben Sie im Feld Dauer die Zeitdauer (in Stunden) für die Sitzung ein.

4. Klicken Sie auf Support aktivieren.

   Das Support-Passwort wird mithilfe von zwei geheimen Schlüsseln generiert:

   • Wenn Remote Support aktiviert ist, ruft Juniper Support automatisch einen Schlüssel vom ATP-Appliance-Gerät ab.

   • Der andere Schlüssel wird von Juniper Networks zur Verfügung gestellt.

   Wenn Sie Remote Support aktivieren, wird die Benutzeroberfläche aktualisiert und zeigt einen neuen geheimen Schlüssel an, wie in Abbildung 22 dargestellt. Der geheime Schlüssel ist für jede Support-Sitzung einzigartig.

Abbildung 22: Remote-Support-Fenster

Aktivieren des Remote-Support-Kontos über die CLI

So aktivieren Sie das Supportkonto über die CLI:

1. T Melden Sie sich bei der CLI an, wechseln Sie in den Servermodus, und verwenden Sie dann den Befehl set cysupport enable on .

2. Geben Sie die Dauer des Remote-Supports in Stunden ein.

3. Wenn Sie den geheimen Schlüssel von der CLI abrufen müssen, verwenden Sie den Befehl show remote-access-key .

Ein Benutzer mit dem Namen "recovery" kann sich ohne Kennwort bei der Appliance anmelden und eine begrenzte Anzahl von Befehlen eingeben, einschließlich eines Befehls zum Zurücksetzen des Administratorkennworts.

Gehen Sie wie folgt vor, um das Administratorkennwort mithilfe der CLI wiederherzustellen:

1. Wenn Sie zur Anmeldung aufgefordert werden, geben Sie den Benutzernamen recovery auf der Appliance ein und drücken Sie die Eingabetaste.

   Da kein Kennwort erforderlich ist, wird der Wiederherstellungsbenutzer automatisch am Gerät angemeldet.

2. Geben Sie den reset-admin-password Befehl zum Zurücksetzen des Kennworts ein.

   Die anderen Befehle, die dem Wiederherstellungsbenutzer zur Verfügung stehen, sind: exit, help und history.

Zusätzlich zum Anzeigen von UI-Benutzern in den Überwachungsprotokollen können Sie jetzt auch Administrator- und Wiederherstellungsadministrator-CLI-Benutzer in den Überwachungsprotokollen unter Berichte in der Webbenutzeroberfläche anzeigen. Weitere Informationen finden Sie unter Anzeige der Benutzeroberfläche oder des CLI-Zugriffs in Überwachungsprotokollen .

Zusätzlich zur Überwachungsprotokollierung der Benutzeroberfläche gibt es eine Überwachungsprotokollierung für Kern- und Kollektor-CLI-Aktivitäten. Zusammen mit den Protokolldaten können Sie sehen, ob die Aktion über die Benutzeroberfläche oder die CLI ausgeführt wurde. Siehe Abbildung 24.

Sie können auch die Überwachungsprotokolle für Softwareupdates, statische Inhaltsupdates und schnelle Inhaltsupdates anzeigen, die entweder im normalen Modus oder im privaten Modus durchgeführt wurden. Siehe Abbildung 23.

Diese Protokolle sind im Benutzeroberflächenportal der ATP-Appliance auf der Registerkarte "Berichte" und auf dem Systemprotokollserver verfügbar (identisch mit früheren UI-Überwachungsprotokollen).

Abbildung 23: Systemüberwachungsbericht generieren

Abbildung 24: Audit-Protokoll