Erste Schritte

Die Web-Benutzeroberfläche der Juniper ATP Appliance unterstützt die Verwendung der folgenden Bildschirmauflösungen:

Um den Konfigurationsassistenten zu starten, rufen Sie den CLI-Befehlsassistenten auf.

• Geben Sie an der CLI-Eingabeaufforderung Ihren Benutzernamen und Ihr Kennwort ein. Standardmäßig lautet der Admin-Benutzername admin und das Kennwort 1JATP234.

  Stellen Sie sicher, dass Sie das Standardkennwort für das Administratorkonto nach der Ersteinrichtung ändern. Das Passwort muss mindestens 8 Zeichen lang sein.

• Geben Sie yes ein, um den Konfigurationsassistenten zu verwenden, wenn Sie dazu aufgefordert werden, und antworten Sie dann wie unten gezeigt.

• Nachdem alle Fragen beantwortet wurden, fasst der Assistent die Antworten zusammen. Um eine Antwort zu ändern, geben Sie die Schrittnummer ein. Um die Änderungen zu speichern und zu beenden, drücken Sie <Enter>.

• Verwenden Sie den folgenden CLI-Befehl, um zum Konfigurationsassistenten zurückzukehren und Änderungen an der Konfiguration vorzunehmen:

• Informationen zur Befehlssyntax und -verwendung finden Sie in der Juniper ATP Appliance CLI Command Reference.

In diesem Abschnitt wird beschrieben, wie Sie auf der Web-Benutzeroberfläche der Appliance navigieren und welche Registerkarten vorhanden sind:

• Navigieren in der CM-Web-Benutzeroberfläche

• Zusammenfassung der Registerkarten

So navigieren Sie durch die Web-Benutzeroberfläche der Appliance:

• Verwenden Sie die Registerkarten, um auf die Hauptseiten der Web-Benutzeroberfläche zuzugreifen.

• Verwenden Sie Links wie die Pfad-Links auf einer Registerkarte oder die Links im linken Bereich auf der Registerkarte "Config", um zu anderen verlinkten Seiten zu navigieren.

Abbildung 2: Navigieren in der Web-Benutzeroberfläche des Juniper ATP Appliance Central Manager

• Um eine erste Ansicht festzulegen, wählen Sie aus der Dropdown-Liste einen Zeitraum aus, für den auf dem Juniper ATP-Appliance-Dashboard oder der Registerkarte "Vorfälle" Erkennungsergebnisse und Details zur Malware-Analyse angezeigt werden sollen. Alle Diagramme und tabellarischen Darstellungen werden durch das Steuerelement zur Auswahl des Zeitraums synchronisiert. Zu den verfügbaren Optionen für den Zeitraum gehören:

  • 24 Stunden (stündlich)

  • 1 Woche (wöchentlich)

  • 1 Monat (monatlich)

  • 3 Monate (vierteljährlich)

  • 1 Jahr (jährlich)

• Wählen Sie den Ergebnistyp aus, der in der Tabelle "Vorfälle" angezeigt werden soll: Bedrohungen anzeigen | Verdächtiges anzeigen | Gutartig anzeigen.

• Führen Sie eine Suche in der Tabelle "Vorfälle" durch, indem Sie Suchkriterien in das Suchfeld eingeben. Sie können nach SHA1, MD5-Summen, Collector-Namen, Bedrohungsname, Bedrohungsquelle usw. suchen.

• Klicken Sie z. B. auf eine Kopfzeile am oberen Rand einer Tabellenspalte auf der Registerkarte "Vorfälle", um die Tabelle nach dieser Spalte zu sortieren. Klicken Sie erneut, um die Sortierreihenfolge von absteigend in aufsteigend zu ändern.

  

• Klicken Sie auf eine Zeile in der Tabelle "Vorfälle", um allgemeine Informationen über die Bedrohung in der Übersichtstabelle unten im linken Bereich anzuzeigen. Klicken Sie auf die Teilmenge der Registerkarten auf der Registerkarte Zusammenfassung, um Ereignisdetails anzuzeigen. Erweitern Sie die Zeile für weitere Details, indem Sie auf den Pfeil klicken.

• Verwenden Sie die Menüoptionen im linken Bereich auf der Seite "Konfiguration", um Konfigurationsfenster für Benachrichtigungen, Systemeinstellungen und Umgebungseinstellungen zu öffnen.

• Geben Sie auf den Konfigurationsseiten Informationen in die dafür vorgesehenen Felder ein.

Die Web-Benutzeroberfläche von Juniper ATP Appliance Central Manager

Der Zweck der einzelnen Web-UI-Registerkarten wird wie folgt beschrieben:

• Dashboard– Zeigt Informationen zum Appliance-Status sowie erkannte Bedrohungen und Vorfallstrends an. Kontextspezifische Bedrohungsansichten auf dem Betriebs-Dashboard und dem Forschungs-Dashboard priorisieren die Bedrohungen, die Ihr Unternehmen entsprechend Ihren Konfigurationen am stärksten betreffen. Das Systemdashboard und die Collector-Dashboards (Web und E-Mail) bieten Informationen über den System- und Collector-Integritätsstatus und -Trends. Das Event Timeline Dashboard zeigt Advanced Threat Analytics (ATA)-Daten pro Ereignis für einen bestimmten Anbieter und die IP-Adresse, den Hostnamen, den Benutzernamen oder die E-Mail-Adresse des Endgeräts an.

• IncidentsZeigt detaillierte Informationen zu bösartigen oder verdächtigen Downloads oder Infektionen in verschiedenen Phasen der Notfallkette in Ihrem Netzwerk an. Weitere Informationen finden Sie auch unter Navigieren auf der Seite "Vorfälle ".

• File Uploads– Bietet detaillierte Informationen über alle Analyseergebnisse von Malware zum Hochladen von Dateien, ob bösartig oder gutartig, an einem Speicherort auf der Webbenutzeroberfläche. Zu den Funktionen für die Handhabung von Dateiuploads in der Central Manager-Webbenutzeroberfläche gehören Uploads von einer neuen Registerkarte "Dateiuploads". Die erweiterte Datei-Uploads-API akzeptiert zusätzliche Metadaten für die Integration von Drittanbietern, wie z. B. Carbon Black Response, um eine nahtlose Integration mit Vorfällen zu ermöglichen. Weitere Informationen finden Sie unter Übermitteln einer Malware-Datei zur Analyse.

• MitigationBietet Risikominderungsoptionen für bestimmte erkannte Bedrohungen, wie z. B. automatische Bedrohungsabwehr, das Blockieren von Rückrufen vom Gateway oder der IPS/Firewall der nächsten Generation oder die Bereitstellung des Juniper ATP Appliance Infection Verification Package (IVP) oder der Carbon Black Response-Integration zur Bestätigung einer Infektion auf dem Zielendgerät. Weitere Informationen finden Sie unter Konfigurieren der automatischen Firewall-Entschärfung.

• Reports– Ermöglicht das Generieren oder Planen von konsolidierten und detaillierten Zusammenfassungsberichten oder System-Audit-Berichten. Weitere Informationen finden Sie unter Generieren von Berichten

• Custom Rules– Zeigt benutzerdefinierte Übereinstimmungen mit Snort-Regeln auf der Registerkarte Benutzerdefinierte Regeln der Webbenutzeroberfläche der Juniper ATP Appliance Central Manager an. korrelierte Übereinstimmungen mit Snort-Regeln sind auf der Registerkarte "Incidents" verfügbar. Weitere Informationen zum Hinzufügen von Regeln zum System finden Sie unter Konfigurieren von benutzerdefinierten SNORT-Regeln .

• Config– Ermöglicht die Konfiguration von Appliance- und Software-Systemeinstellungen sowie die Konfiguration von Analyse-, Benachrichtigungs- und Risikominderungseinstellungen.

• Aktualisieren (Refresh) – Führt eine Aktualisierung der CM-Browser-Anzeige durch. Führen Sie eine Aktualisierung immer nach der Aktualisierung von Software- oder Sicherheitsinhalten durch.

• System Health– Zeigt Zustandsindikatoren für statische und dynamische Detonationsengines und Analysesysteme von Juniper ATP-Appliances an. Alle Indikatoren sollten ein grünes Häkchen aufweisen, das anzeigt, dass sich die Systeme in einem guten Zustand befinden. Wenn eine rote Anzeige angezeigt wird, sind Maßnahmen zur Fehlerbehebung erforderlich.

Verhaltens-Engine		Core Detonation Engine
Statische Engine		Statische Analyse
Korrelation		Engine für Ereigniskorrelation
Web-Collectors		Verbindungsstatus der aktivierten Web Collectors
Sekundäre Kerne		Verbindungsstatus der konfigurierten sekundären Kerne (Mac OSX)

• Log Out– Führt eine Abmeldung vom aktuellen Central Manager-Webbenutzeroberflächenbenutzer durch.

In diesem Abschnitt werden drei Bereitstellungsszenarien für Advanced Threat Protection von Juniper ATP Appliance beschrieben:

• Bereitstellung einer Juniper ATP-Appliance in einem Hauptsitz eines Unternehmens

• Schutz der ATP-Appliance von Juniper in einer verteilten und/oder geclusterten Unternehmensumgebung

• Juniper ATP-Appliance Verteilte SaaS/OVA oder virtuelle Bereitstellung

In diesem Szenario (siehe Abbildung 5 unten) wird eine Core|Das CM-System wird in einer Unternehmenszentrale mit drei physischen Datenverkehrssammlern installiert, die für eine breite Verkehrsabdeckung und Serviceintegration eingesetzt werden.

• Kollektor 1 für Datencenter-Abdeckung positioniert

• Kollektor 2 für die Abdeckung des Web-Datenverkehrs positioniert

• Kollektor 3 an der Firewall positioniert, um Abdeckung und Abwehr/Blockierung zu gewährleisten

In diesem Bereitstellungsszenario sorgen die Datenverkehrskollektoren für eine Netzwerkabdeckung und lassen sich in die bestehende Infrastruktur integrieren.CM ermöglicht die Erkennung von Web- und E-Mail-Vorfällen und führt gleichzeitig risikobewusste Abwehr- und Blockierungsmaßnahmen an der Firewall durch.

Abbildung 3: Verteidigung der Juniper ATP-Appliance in einer Bereitstellung am Unternehmenssitz

Ein verteiltes Unternehmen erfordert ein verteiltes Bedrohungsabwehrszenario (siehe Abbildung unten). In diesem Szenario werden verschiedene physische und virtuelle Kollektoren remote in Zweigstellen eingesetzt, um eine kontinuierliche Inspektion und eine erweiterte Netzwerkvisibilität zu gewährleisten.

Abbildung 4: Schutz der Juniper ATP-Appliance in einer verteilten Unternehmensumgebung

Die Datenverkehrsanalyse findet an den verteilten Kollektoren statt und die Objekte werden dann an den Core|CM, das in der Unternehmenszentrale eingesetzt wird, wo Netzwerkobjekte zur abschließenden Bedrohungsbewertung und -abwehr einer Multi-OS-Detonationskammerausführung unterzogen werden.

Alternativ kann die Core|CM in dieser verteilten Bereitstellung kann auch als OVA-VM- oder SaaS-Bereitstellung konfiguriert werden. Darüber hinaus kann ein zusätzlicher Juniper ATP Appliance Core in einer öffentlichen oder privaten Unternehmens-Cloud bereitgestellt werden.

In einer verteilten SaaS/OVA-Bereitstellung werden Traffic Collectors in mehreren Zweigstellen an kritischen Überwachungsstandorten mit dem Core|CM in der Zentrale und ein Collector, der als VM-OVA in der Cloud installiert wird, um alle Inhalte zu untersuchen und zu analysieren und Abhilfemaßnahmen auf konfigurierten Durchsetzungsservern wie z. B. einer PAN- oder SRX-Firewall auszulösen.

Abbildung 5: Verteilte SaaS/OVA-Bereitstellung der ATP-Appliance von Juniper

Ein TAP ist ein Gerät, das einen ungehinderten Datenverkehrsfluss ermöglicht, während gleichzeitig der gesamte Datenverkehr von einer Vollduplex-Verbindung kopiert und die Informationen zur Objektanalyse an Juniper ATP Appliance Collectors gesendet werden. Der Tap-Modus verwendet einen externen Glasfaser-Tap (für GBIC-Ports) oder einen eingebauten internen Tap (für 10/100/1000 Monitoring-Ports). Im Tap-Modus überwacht der Juniper ATP Appliance Collector die Paketinformationen auf dem Weg durch das Vollduplex-Netzwerksegment. Wie der SPAN-Modus ist auch der Tap-Modus passiv.

Verwenden Sie einen Netzwerktipp, um eine Kopie des Netzwerkdatenverkehrs von einem Netzwerksegment an den eth1-Netzwerküberwachungsport des Juniper ATP Appliance Collector zu senden. Der Wasserhahn stört den Verkehr nicht und lässt bei Abschaltung den Verkehr ungehindert passieren.

Der SPAN-Port (Switch Port Analyzer) eines Switches ist für die Sicherheitsüberwachung vorgesehen. Sie ermöglicht es einer angeschlossenen Juniper ATP-Appliance, eine Kopie jedes Pakets aus dem gesamten ein- und ausgehenden Datenverkehr zu empfangen, der sich über den Switch bewegt. Dabei handelt es sich um Portweiterleitung oder Portspiegelung. Eine passive, nicht-intrusive Paketerfassungsmethode.

Konfigurieren Sie einen Switch mit Port-Spiegelungsfunktion, um eine Kopie des ein- und ausgehenden Datenverkehrs, der zwischen ausgewählten Ports übertragen wird, an SPAN-Ports auf dem Switch weiterzuleiten. Verbinden Sie dann den SPAN-Port mit der Juniper ATP-Appliance (Bezeichnung eth1).

Die Juniper ATP-Appliance kann im SPAN-Modus konfiguriert werden, indem ein Switch mit Port-Spiegelungsfunktion konfiguriert wird, um eine Kopie des ein- und ausgehenden Datenverkehrs, der zwischen ausgewählten Ports übertragen wird, an SPAN-Ports auf dem Switch weiterzuleiten. Verbinden Sie dann die SPAN-Ports mit dem Collector (Ports eth1).

ATP-Appliance-Datenverkehrssammler von Juniper überwachen und untersuchen kontinuierlich den gesamten Netzwerkverkehr auf Malware-Objekte. Extrahieren und Senden von Objekten an den Core zur Verteilung an die Windows- oder Mac-Erkennungsmodule.

Für Windows-Datenverkehr kann das Microsoft Exchange Server-Journal so konfiguriert werden, dass eine Kopie (ein Journal) von Unternehmens-E-Mail-Nachrichten aufgezeichnet und diese dann regelmäßig an ein Journalpostfach auf dem Exchange Server gesendet werden.

Exchange Server 2010 kann so konfiguriert werden, dass nur Umschlagjournale unterstützt werden. Dies bedeutet, dass von jedem E-Mail-Nachrichtentext und seinen Transportinformationen eine Kopie erstellt wird. Bei den Transportinformationen handelt es sich im Wesentlichen um einen Umschlag, der den E-Mail-Absender und alle Empfänger enthält.

Der Juniper ATP Appliance Email Collector fragt den Exchange Server nach Journalbuchungen ab und ruft wie geplant alle E-Mails im Journalkonto vom Exchange-Server zum Collector ab. Der E-Mail-Collector verwendet Journale für die anfängliche Datenverkehrsanalyse und die Überwachung/Prüfung von E-Mail-Anhängen. Der gesamte E-Mail-Datenverkehr (und E-Mail-Anhänge) wird vom E-Mail-Collector an den Juniper ATP Appliance Core gesendet, wo diese in den Erkennungs-Engines von Windows oder Mac OS X detoniert werden.

Wenn E-Mail-basierte Malware oder bösartige E-Mail-Anhänge erkannt werden, wird der Journaleintrag vom Juniper ATP Appliance Central Manager in die Analyseergebnisse aufgenommen und als Benachrichtigung an den Juniper ATP Appliance-Administrator gesendet, wobei die entsprechenden Maßnahmen zur Risikominderung und/oder Infektionsüberprüfung in der Central Manager-Webbenutzeroberfläche aufgeführt sind.

Gehen Sie folgendermaßen vor, um Email Collector Journaling einzurichten:

• Erstellen eines Journalpostfachs auf dem Exchange-Server im nächsten Abschnitt

• Konfigurieren der Microsoft Exchange Server 2013-Journalerstellung

• Konfigurieren der Exchange-Server-Journalabfrage über die Webbenutzeroberfläche

• Konfigurieren von Office 365-Journalen

• Konfigurieren des Gmail-Journals

• Konfigurieren der Gmail-Bedrohungsabwehr

1. Starten Sie die Microsoft Exchange-Verwaltungskonsole.

2. Erweitern Sie den Knoten Empfängerkonfiguration, und klicken Sie auf den Knoten Postfach. Wählen Sie Neues Postfach... im Bereich "Aktionen".

3. Wählen Sie Neues Postfach... im Bereich "Aktionen".

4. Wählen Sie die Option Benutzerpostfach und klicken Sie auf Weiter.

5. Wählen Sie die Option Neuer Benutzer aus und klicken Sie auf Weiter.

6. Details zum neuen Benutzerpostfach

7. Geben Sie die Details "Benutzerinformationen" für den Collector ein, dem das neue Journalpostfach zugewiesen wird, und klicken Sie auf Weiter.

8. Geben Sie einen "Alias" für das Journalpostfach ein, und klicken Sie auf Weiter.

9. Klicken Sie erneut auf Weiter, überprüfen Sie die Zusammenfassung des neuen Postfachs für das neu zu erstellende Postfach, und klicken Sie dann auf Neu.

10. Nachdem das Journalpostfach erstellt wurde, konfigurieren Sie die Standardjournalerstellung, indem Sie eine Postfachdatenbank konfigurieren.

• Klicken Sie in der Microsoft Exchange-Verwaltungskonsole>Serverkonfiguration auf Postfachdatenbank.

• Klicken Sie in der Toolbox Aktionen der ausgewählten Postfachdatenbank auf Eigenschaften.

• Gehen Sie auf der Seite Eigenschaften der Postfachdatenbank zur Registerkarte Allgemein und aktivieren Sie das Kontrollkästchen Journalempfänger, ABER bevor Sie das Kontrollkästchen aktivieren, klicken Sie zuerst auf Durchsuchen und wählen Sie aus, welches Postfach alle Nachrichten aus der Postfachdatenbank erhalten soll. Nachdem Sie Journalempfänger aktiviert haben, klicken Sie auf OK, um den Vorgang abzuschließen.

1. Melden Sie sich beim MS Exchange Server Admin Center an: https://exchnageserverip/ecp/

2. Wählen Sie die Registerkarte Sendeconnectors aus.

   Abbildung 6: Exchange Admin Center

3. Navigieren Sie zu Nachrichtenfluss->>Sendeconnectors, und geben Sie Sendeconnectoreinstellungen ein:

   Abbildung 7: Sendeconnector-Einstellungen

4. Speichern Sie die Konnektoreinstellungen.

5. Navigieren Sie zu Compliance Management>>Journalregeln, um Journalregeln zu konfigurieren.

6. Geben Sie den Postfachnamen und die IP-Adresse in das Feld "Journalberichte senden an" ein.

   Anmerkung:

   Dieser sollte mit dem Postfachnamen übereinstimmen, der auf der Seite Juniper ATP Appliance Email Collector Config>System Profiles>Email Collector Web UI konfiguriert wurde.

   Abbildung 8: Festlegen von Journalregeln

Weitere Informationen zum Konfigurieren von E-Mail-Collectors finden Sie unter Konfigurieren von E-Mail-Collectors .

1. Navigieren Sie im Juniper ATP Appliance Central Manager Config>E-Mailzur Seite Compliance-Management>>Journalregeln Collector auf die Schaltfläche Neuen E-Mail-Collector hinzufügen oder klicken Sie auf Bearbeiten für einen vorhandenen Collector, der in der Tabelle Aktuelle E-Mail-Collectors aufgeführt ist.

2. Geben Sie die Einstellungen für das E-Mail-Journaling in die angezeigten Konfigurationsfelder ein und wählen Sie sie aus: E-Mail-Server [IP], Protokoll, SSL, Postfachname, Kennwort, Abfrageintervall (in Minuten), E-Mail auf Server beibehalten und Aktiviert. [Siehe folgende Abbildung].

So richten Sie Office 365 Journaling für Juniper ATP Appliance E-Mail-Eindämmung ein:

1. Melden Sie sich beim Microsoft Office 365 Admin Center an.

2. Wählen Sie im Office 365 Admin Center die Option Admin Center > Exchange aus.

   Abbildung 9: Navigieren zum Microsoft Office 365 Admin Center
   Abbildung 10: Microsoft Office 365 Admin Center

3. Wählen Sie Compliance-Management > Journalregeln aus.

   • Klicken Sie auf das +-Zeichen, um eine neue Journalregel hinzuzufügen.

   • Füllen Sie die Formularfelder für neue Journalregeln aus.

Gehen Sie wie folgt vor, um das E-Mail-Journal für Gmail zu konfigurieren:

1. Rufen Sie unter https://admin.google.com/AdminHome die Google Admin-Startseite auf.

2. Navigieren Sie im Dashboard der Google Admin-Konsole zu Apps->G Suite->Gmail->Erweiterte Einstellungen.

   Anmerkung:

   Um die erweiterten Einstellungen aufzurufen, scrollen Sie auf der Gmail-Seite nach unten.

3. Navigieren Sie zum Abschnitt "Compliance" und klicken Sie auf "Weitere Compliance-Regel hinzufügen", um die Zustellung an den Juniper ATP-Appliance-MTA einzurichten.

   Abbildung 11: Google Gmail-Admin-Home-Journaling-Einstellungen

4. Wählen Sie die Optionen aus, wie im Beispiel-Screenshot unten dargestellt (Einstellung 1 und 2):

   Abbildung 12: Journaling-Kriterien, die für den Juniper ATP-Appliance-MTA erforderlich sind

5. Stellen Sie sicher, dass Sie die Empfängerinformationen hinzufügen (dies ist die Juniper ATP-Appliance-MT). Zum Beispiel: JATP_mta@FQDN oder JATP_mta@ip.

   Abbildung 13: Festlegen des MTA der Juniper ATP-Appliance als Gmail-Empfänger: JATP_mta@FQDN

In Unternehmensumgebungen, die eine Google Apps-Domain verwenden, kann ein Administrator der Google Apps-Domain eine Anwendung für den Zugriff auf Nutzerdaten im Namen von Nutzern in der Google Apps-Domain autorisieren. Das Autorisieren eines Dienstkontos für den Zugriff auf Daten im Namen von Benutzern in einer Domäne wird manchmal als "Delegieren der domänenweiten Autorität" an ein Dienstkonto bezeichnet.

Wenn Sie die domainweite Autorität an ein Gmail APIs-Dienstkonto delegieren möchten, aktivieren Sie zunächst die domainweite Delegierung für ein vorhandenes Dienstkonto auf der Seite Google APIs-Dienstkonten oder erstellen Sie ein neues Dienstkonto mit aktivierter domainweiter Delegierung.

So erstellen Sie ein neues Gmail-Dienstkonto:

1. Rufen Sie die Seite Google APIs-Dienstkonten auf.

2. Wählen Sie ein vorhandenes Projekt aus oder erstellen Sie ein neues Projekt im Dropdown-Menü Projekt in der oberen linken Ecke.

   Abbildung 14: Navigieren Sie zur Seite "Google APIs-Dienstkonto"
   Abbildung 15: Erstellen eines neuen Google APIs-Dienstkontos

3. Navigieren Sie als Nächstes zur Admin-Konsole Ihrer Google Apps-Domain.

4. Wählen Sie Sicherheit aus der Liste der Steuerelemente aus. Wenn Sicherheit nicht aufgeführt ist, wählen Sie in der grauen Leiste unten auf der Seite die Option Weitere Steuerelemente aus, und wählen Sie dann Sicherheit aus dieser Liste der Steuerelemente aus. Wenn keine Steuerelemente verfügbar sind, stellen Sie sicher, dass Sie als Administrator für die Domäne angemeldet sind.

5. Wählen Sie Mehr anzeigen und dann Erweiterte Einstellungen aus der Liste der Optionen aus.

6. Wählen Sie im Abschnitt Authentifizierung die Option API-Client-Zugriff verwalten aus.

7. Geben Sie im Feld Clientname die Client-ID des Dienstkontos ein. Die Client-ID Ihres Dienstkontos finden Sie auf der Seite Dienstkonten.

8. Geben Sie im Feld Ein oder mehrere API-Bereiche die Liste der Bereiche ein, auf die Ihrer Anwendung Zugriff gewährt werden soll. Wenn Ihre Anwendung beispielsweise domänenweiten Zugriff auf die GMAIL API erfordert, geben Sie Folgendes ein: https:// mail.google.com/.

   Abbildung 16: Zugriff auf das Google APIs-Dashboard
   

9. Klicken Sie auf Autorisieren.

   Anmerkung:

   Stellen Sie sicher, dass Sie GMAIL APIs aktivieren, indem Sie zur Admin Console navigieren und im Dashboard unter API Manager für das entsprechende Projekt auf "API aktivieren" klicken. Wählen Sie GMAIL API aus und klicken Sie auf Aktivieren.

In diesem Abschnitt werden die Dashboard-Komponenten für Dashboard-Registerkarten – die Registerkarten "Operations", "Research", "System" und "Collectors" – sowie die Interaktion mit den verschiedenen Ansichten und anpassbaren Statistiken und Anzeigen beschrieben.

Tabelle 6: Grafische Komponenten des Juniper ATP-Appliance-Dashboards

Operations Filter	Filtern Sie die Ergebnisse der Bedrohungsansicht, indem Sie einen der verfügbaren Filter aus dem Dropdown-Menü auswählen: Alle | Nur neu | Bestätigt & In Bearbeitung | Vollständig	Treffen Sie eine Auswahl aus dem Dropdown-Menü.
Time Period (Betriebs-Dashboard, Forschungs-Dashboard, System-Dashboard, Collectors-Dashboard, Ereigniszeitleiste)	Alle Dashboard-Diagramme werden nach dem Zeitraum synchronisiert, den Sie im Dropdown-Menü oben in der Tabelle auswählen. Zu den Optionen für den Zeitraum gehören: Letzte 24 Stunden Letzte Woche Letzter Monat Letzte 3 Monate Letztes Jahr	Treffen Sie eine Auswahl aus dem Dropdown-Menü.
Reset Charts (sowohl Malware-Dashboard als auch System-Dashboard)	Setzt alle Diagramme auf dem Dashboard für den ausgewählten Zeitraum auf ihren ursprünglichen Zustand zurück.	Mausklick
Infected Hosts (Betriebs-Dashboard)	Dieses Blasendiagramm ist das Herzstück der Bedrohungsansicht und stellt alle infizierten Hosts für den angegebenen Zeitraum dar. Eine Blase steht für einen infizierten Wirt. Die x-Achse des Diagramms stellt den Zeitraum dar. Die y-Achse stellt den ermittelten Schweregrad der Infektion dar. Die Farbe der Blase stellt den abgestuften Schweregrad der auf dem Host gefundenen Malware entlang des folgenden Spektrums dar: Hoch (Rot), Mittel (Orange), Niedrig (Gelb) Die Größe der Blase stellt die Gesamtzahl der auf dem Host gefundenen Malware dar.	Bewegen Sie den Mauszeiger über einen Bubble-"Host" Zeigt die IP-Adresse und den Namen des infizierten Hosts sowie die Gesamtzahl der auf diesem Host gefundenen Malware im folgenden Format an: "IP/Name (X Bedrohungen)" Klicken Sie mit der Maus über eine Blase "Host" Die Blase wird hervorgehoben und die Hostdetails-Daten werden angezeigt, einschließlich Daten für Malware-Ziel, Kill Chain, Vorfallszusammenfassung und Auslöser. Außerdem wird das Diagramm "Malware-Trend" angepasst, um anzuzeigen, wann der ausgewählte Host kompromittiert wurde. Und die am häufigsten kompromittierten Endpunkte Malware-Daten werden angezeigt. Doppelklicken Sie auf eine Blase, um die Registerkarte "Vorfälle" zu öffnen, auf der weitere Details und Abhilfeoptionen angezeigt werden.
Host Details (Betriebs-Dashboard)	Wenn eine einzelne Blase im Blasendiagramm der Bedrohungsansicht ausgewählt ist, werden die Hostdetails-Daten für diesen Host angezeigt, einschließlich Daten für das Malware-Ziel, den Kill Chain-Phasenfortschritt, die Vorfallszusammenfassung und Auslöser. Die Kill Chain Progression enthält weitere interaktive Daten.	Mausklick: Klicken Sie auf das hervorgehobene blaue Ergebnis im Kill Chain-Stufenfortschritt, um weitere Informationen anzuzeigen: Wenn auf eine Kill Chain Progression-Blase geklickt wird, wird die Seite "Vorfälle" geöffnet, auf der die Daten für die spezifischen Exploits, Downloads, Ausführungen, Infektionen und/oder Phishing angezeigt werden.
Malware Trend (Betriebs-Dashboard)	Zeigt den Malware-Trend für jede beliebige Malware mit einem bestimmten Zeitrahmen an.	Wählen Sie eine Blase im Blasendiagramm "Bedrohungsansicht" aus, um die Zeitachse der Trend-Malware anzupassen.
Total Malware Found (Forschungs-Dashboard)	Ein Kreisdiagramm, das den prozentualen Schweregrad der Malware in Hoch (Rot), Mittel (Orange) und Niedrig (Gelb) anzeigt	Keine Interaktivität
Top Malware Countries (Forschungs-Dashboard)	Ein geografisches Diagramm, das die Häufigkeit aktuell erkannter Malware auf der ganzen Welt anzeigt.	Öffnet die Seite "Incidents-Details"
Top Compromised Endpoints (Betriebs-Dashboard)	Zeigt Status, Risiko, Host und Bedrohung pro kompromittiertem Endgerät an.	Keine Interaktivität
Top Malware (Forschungs-Dashboard)	Listet die wichtigsten Schadsoftwarevorfälle nach Schadsoftwarenamen für den ausgewählten Zeitraum auf. Die x-Achse stellt die Anzahl der Infektionen dar. Die Y-Achse ist der Name der Malware.	Mausklick: Markieren Sie einen Malware-Namen im Diagramm Top-Malware, um den Bedrohungsfortschritt für diese Malware pro Endgeräte-Host anzuzeigen. Der Bedrohungsfortschritt umfasst: Infektionen Downloads
Threat Progression (Forschungs-Dashboard)	Zeigt eine interaktive Karte der Infektionen und Downloads pro Malwareauswahl an. Downloads auf aufeinanderfolgende Hosts im gesamten Unternehmen sind im folgenden Beispiel dargestellt.	Mausklicks: Klicken Sie auf Infektionen, um den Fortschritt infizierter Endpunkte anzuzeigen. Klicken Sie auf Downloads, um die Endpunkte (angegeben durch die IP-Adresse) anzuzeigen, von denen Downloads der ausgewählten Malware stattgefunden haben. Klicken Sie auf die IP-Adresse eines Endpunkts, um die Hostdetails für diesen Endpunkt anzuzeigen. Das Kreisaufzählungszeichen für den ausgewählten Endpunkt wird orange, wenn darauf geklickt wird.
Threat Details (Forschungs-Dashboard)	Zeigt allgemeine Bedrohungsdetails für die aktuell ausgewählte Malware an. Wenn jedoch ein Endpunkt aus der Karte "Bedrohungsfortschritt" ausgewählt wird, werden die Anzeigen angepasst, um Hostdetails anzuzeigen.	Mausklick: Klicken Sie auf die IP-Adresse eines Endpunkts, um die Hostdetails für diesen Endpunkt anzuzeigen. Das Kreisaufzählungszeichen für den ausgewählten Endpunkt wird orange, wenn darauf geklickt wird.
Traffic (System-Dashboard)	Zeigt den gesamten Netzwerkverkehr im Verhältnis zum analysierten Protokolldatenverkehr an, der innerhalb des ausgewählten Zeitraums in KBit/s verarbeitet wurde. Die x-Achse stellt den Zeitraum in Monaten dar. Die y-Achse gibt KBit/s an.	Bewegen Sie den Mauszeiger: Bewegen Sie den Mauszeiger über einen beliebigen Teil des Diagramms. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Core Utilization (%) (System-Dashboard)		Bewegen Sie den Mauszeiger: Bewegen Sie den Mauszeiger über einen beliebigen Teil des Diagramms. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Average Analysis Time (Protokoll) (System-Dashboard)		Bewegen Sie den Mauszeiger: Bewegen Sie den Mauszeiger über einen beliebigen Teil des Diagramms. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Objects Processed (System-Dashboard)	Zeigt die Netzwerkobjekte an, die innerhalb des ausgewählten Zeitraums verarbeitet wurden. Die x-Achse stellt den Zeitraum in Monaten dar. Die Y-Achse gibt die Anzahl der Objekte an.	Bewegen Sie den Mauszeiger: Bewegen Sie den Mauszeiger über einen beliebigen Teil des Diagramms. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Malware Objects (System-Dashboard)	Zeigt die Malwareobjekte an, die innerhalb des ausgewählten Zeitraums verarbeitet wurden. Die x-Achse stellt den Zeitraum in Monaten dar. Die Y-Achse gibt die Anzahl der Objekte an.	Bewegen Sie den Mauszeiger: Bewegen Sie den Mauszeiger über einen beliebigen Teil des Diagramms. Der Mauszeiger verwandelt sich in ein Fadenkreuz: Ziehen Sie die Maus innerhalb des Diagramms, um das Intervall (x-Achse) für jede der drei Komponenten zu ändern.
Trend (Collectors-Dashboard)	Zeigt Statistiken für Aktivitäten und Trends von Kollektoren an. Die Anzeigeoptionen werden aus dem Dropdown-Menü "Trend" ausgewählt und umfassen "Gesamtdatenverkehr", "CPU-Auslastung", "Speicherauslastung", "Gefundene Objekte" und "Malware-Objekte"	Wählen Sie die zu verfolgenden Kollektoren aus der Übersichtstabelle unter dem Diagramm aus. Die Werte werden alle 10 Minuten für jeden Kollektor aktualisiert. Klicken Sie auf das Kontrollkästchen Spalten(n) zeichnen, um die grafischen Informationen für ausgewählte Kollektoren zu zeichnen.
Vendor (Dashboard "Zeitachse" für Ereignisse)	Wählen Sie einen Anbieter aus Ihrer Sicherheitsinfrastruktur aus und zeigen Sie alle korrelierten Ereignisse für eine bestimmte Endgeräte-IP, einen bestimmten Hostnamen, Benutzernamen oder eine bestimmte E-Mail-Adresse an:

Setzen Sie das Dashboard auf den ursprünglichen Status "Alle Hosts, alle Bedrohungen" zurück, indem Sie auf "Diagramme zurücksetzen" klicken.

• Klicken Sie auf die Registerkarte Datei-Uploads, wählen Sie im Fenster "Datei zur Analyse einreichen" die Datei aus, die zur Analyse hochgeladen werden soll, und klicken Sie auf die Schaltfläche Datei senden.

  Anmerkung:

  Die maximale Dateigröße, die Sie zur Analyse hochladen können, beträgt 32 MB.

  Abbildung 20: Übermitteln einer Datei für die Malwareanalyse über die Registerkarte " Vorfälle"

Bei der Übermittlung der Datei wird ein SHA1 angezeigt.

Die Funktion "Datei hochladen" ruft die "file_submit"-API auf und zeigt dann nach der Analyse die Ergebnisse an, die von der API auf der Registerkarte Dateiuploads der Central Manager-Webbenutzeroberfläche zurückgegeben werden. Die Ergebnisse werden auch in der Tabelle "Vorfälle" mit der Bezeichnung "Kill Chain Progression": UP zusammen mit der Vorfalls-SHA1sum und dem Dateinamen angezeigt.

Unabhängig davon, ob eine Datei über die HTTP-API oder über die Central Manager-Seite "Datei-Uploads" zur Malware-Analyse an den Core gesendet wird, werden die Analyseergebnisse immer auf der Seite "Datei-Uploads" angezeigt.

Für einen Netzwerk-Switch werden zwei Arten von vCollector-Bereitstellungen SPAN/TAP unterstützt:

1. Datenverkehr, der von einem physischen Switch zu einem vCollector geleitet wird. In diesem Fall wird der Datenverkehr von Port A zu Port B verteilt. ESXi, das die vCollector-OVA der Juniper ATP-Appliance enthält, ist mit Port B verbunden. Dieses Bereitstellungsszenario ist in der obigen Abbildung dargestellt.

2. Datenverkehr von einer virtuellen Maschine, die sich auf demselben vSwitch wie der vCollector befindet. Da sich der vSwitch, der den vCollector enthält, in diesem Bereitstellungsszenario im promiskuitiven Modus befindet, befinden sich standardmäßig auch alle erstellten Portgruppen im promiskuitiven Modus. Daher werden 2 Portgruppen empfohlen, wobei Portgruppe A (vCollector) im promiskuitiven Modus dem vCollector zugeordnet ist und Portgruppe B (vTraffic) Datenverkehr darstellt, der sich nicht im promiskuitiven Modus befindet.

   Anmerkung:

   Datenverkehr von einer virtuellen Maschine, die sich nicht auf demselben vSwitch wie der vCollector befindet, wird nicht unterstützt. Außerdem ist a dedicated NIC adapter für die vCollector-Bereitstellung erforderlich: Schließen Sie die NIC im promiskuitiven Modus (um den gesamten Datenverkehr zu erfassen) an einen virtuellen Switch an. Wenn sich ein vSwitch im promiskuitiven Modus befindet, werden standardmäßig alle Portgruppen in den promiskuitiven Modus versetzt, was bedeutet, dass auch andere reguläre VMs unnötigen Datenverkehr erhalten. Eine Problemumgehung besteht darin, eine andere Portgruppe für die anderen VMs zu erstellen und ohne promiskuitiven Modus zu konfigurieren.

   Trinkgeld:

   Es stehen zwei Optionen für die Bereitstellung eines virtuellen Kollektors zur Verfügung (sowohl ein regulärer als auch ein Collector mit kleinem Formfaktor): (1) Verwenden Sie die OVA-Installationsmethode mithilfe von vCenter; (2) Verwenden Sie OVF + VMDK ohne vCenter, indem Sie es direkt auf ESXi installieren. Es ist kein Assistent für die Bereitstellung des vCollector mit der zweiten Methode verfügbar. Konfigurieren Sie den Kollektor über die CLI. Für die Virtual Core-Installationen ist nur die OVA/vCenter-Methode verfügbar.

In der folgenden Tabelle sind die Ressourcen- und Hardwarebereitstellung aufgeführt, die für eine OVA vCollector-Bereitstellung erforderlich ist.

Die für eine vCollector-Bereitstellung verfügbaren Größenoptionen sind unten aufgeführt.

Befolgen Sie nach der Installation des OVA vCollector die Anweisungen in der Schnellstartanleitung für die Konfiguration des Web- oder E-Mail-vCollectors mithilfe der Juniper ATP Appliance CLI und des Konfigurationsassistenten.

1. Laden Sie die OVA-Datei der Juniper ATP-Appliance von dem von Ihrem Juniper Supportmitarbeiter angegebenen Speicherort auf ein Desktop-System herunter, das auf VMware vCenter zugreifen kann. Siehe TIPP am Ende dieses Abschnitts, um optional die Verwendung von vCenter zu vermeiden.

2. Stellen Sie eine Verbindung zu vCenter her und klicken Sie auf Datei>OVF-Vorlage bereitstellen.

3. Durchsuchen Sie das Verzeichnis "Downloads", wählen Sie die OVA-Datei aus und klicken Sie dann auf "Weiter", um die Seite "OVF-Vorlagendetails" anzuzeigen.

4. Klicken Sie auf Weiter, um die Seite Endbenutzer-Lizenzvertrag anzuzeigen und zu überprüfen.

5. Akzeptieren Sie die EULA und klicken Sie auf Weiter, um die Seite Name und Speicherort anzuzeigen.

6. Der Standardname für den virtuellen Core lautet Juniper ATP Appliance Virtual Core Appliance. Geben Sie bei Bedarf einen neuen Namen für den virtuellen Kern ein.

7. Wählen Sie das Datencenter aus, in dem der virtuelle Kern bereitgestellt werden soll, und klicken Sie dann auf Weiter, um die Seite Host/Cluster anzuzeigen.

8. Wählen Sie den Host/Cluster aus, auf dem sich der virtuelle Kern befinden soll, und klicken Sie dann auf Weiter, um die Seite Speicher anzuzeigen.

9. Wählen Sie den Zieldateispeicher für die Dateien des virtuellen virtuellen Computers zum virtuellen virtuellen virtuellen Computer aus, und klicken Sie dann auf Weiter, um die Seite Datenträgerformat anzuzeigen. Die Standardeinstellung ist THIN PROVISION LAZY ZEROED, was 512 GB freien Speicherplatz auf dem Speichergerät erfordert. Die Verwendung von Thin Disk Provisioning, um anfänglich Speicherplatz zu sparen, wird ebenfalls unterstützt.

   Klicken Sie auf Weiter, um die Seite Netzwerkzuordnung anzuzeigen.

10. Richten Sie die V-Kern-Schnittstelle ein:

    • Verwaltung (administrativ): Diese Schnittstelle wird für die Verwaltung und die Kommunikation mit den Juniper ATP Appliance Traffic Collectors verwendet. Weisen Sie das Zielnetzwerk der Portgruppe zu, die mit der IP-Adresse des CM-Verwaltungsnetzwerks verbunden ist.

    • Klicken Sie auf Weiter, um die Seite "Juniper ATP Appliance Properties" aufzurufen.

11. Die IP-Zuweisungsrichtlinie kann für DHCP oder statische Adressierung konfiguriert werden – Juniper empfiehlt die Verwendung einer statischen Adressierung. DHCP-Anweisungen erhalten Sie, wenn Sie mit Schritt 12 fortfahren. Führen Sie für die IP-Zuweisungsrichtlinie als statisch die folgenden Zuweisungen durch:

    • IP-Adresse: Weisen Sie die IP-Adresse des Verwaltungsnetzwerks für den virtuellen Kern zu.

    • Netzmaske: Weisen Sie die Netzmaske für den virtuellen Kern zu.

    • Gateway: Weisen Sie das Gateway für den virtuellen Kern zu.

    • DNS-Adresse 1: Weisen Sie die primäre DNS-Adresse für den virtuellen Kern zu.

    • DNS-Adresse 2: Weisen Sie die sekundäre DNS-Adresse für den virtuellen Kern zu.

12. Geben Sie die Suchdomäne und den Hostnamen für den virtuellen Kern ein.

13. Schließen Sie die Einstellungen für den virtuellen Kern der Juniper ATP-Appliance ab:

    Neues Juniper ATP Appliance CLI Admin-Kennwort: Dies ist das Kennwort für den Zugriff auf den virtuellen Kern über die CLI.

14. Schließen Sie die Einstellungen für den virtuellen Kern der Juniper ATP-Appliance ab:

    • Neues Juniper ATP Appliance CLI Admin-Kennwort: Dies ist das Kennwort für den Zugriff auf den virtuellen Kern über die CLI.

    • IP-Adresse des Juniper ATP Appliance Central Managers: Wenn es sich bei dem virtuellen Core um einen eigenständigen Core (kein Clustering aktiviert) oder einen primären Core (Clustering ist aktiviert) handelt, lautet die IP-Adresse 127.0.0.1. Wenn es sich bei dem virtuellen Core um einen sekundären Core handelt, ist die IP-Adresse des Central Managers die IP-Adresse des primären Cores.

    • Gerätename der Juniper ATP-Appliance: Geben Sie einen eindeutigen Gerätenamen für den virtuellen Kern ein.

    • Juniper ATP-Appliance Gerätebeschreibung: Geben Sie eine Beschreibung für den virtuellen Kern ein.

    • Juniper ATP Appliance Geräteschlüssel-Passphrase: Geben Sie die Passphrase für den virtuellen Kern ein. Sie sollte mit der Passphrase identisch sein, die im Central Manager für den Core/CM konfiguriert wurde. Klicken Sie auf Weiter, um die Seite Bereit zum Abschließen anzuzeigen.

15. Aktivieren Sie nicht die Option Einschalten nach Bereitstellung, da Sie zuerst (als nächstes) die CPU- und Arbeitsspeicheranforderungen ändern müssen (je nach V-Kern-Modell entweder 500 Mbit/s oder 1 Gbit/s; Informationen zur Größenanpassung finden Sie unter OVA vCollector-Größenoptionen ).

16. So konfigurieren Sie die Anzahl der vCPUs und des Arbeitsspeichers:

    1. Schalten Sie den virtuellen Kern aus.

    2. Klicken Sie mit der rechten Maustaste auf den virtuellen Kern -> Einstellungen bearbeiten

    3. Wählen Sie auf der Registerkarte "Hardware" die Option Arbeitsspeicher aus. Geben Sie den erforderlichen Speicher in das Kombinationsfeld Speichergröße auf der rechten Seite ein.

    4. Wählen Sie auf der Registerkarte "Hardware" die Option "CPU" aus. Geben Sie das Kombinationsfeld für die erforderliche Anzahl virtueller CPUs auf der rechten Seite ein. Klicken Sie zum Festlegen auf OK.

17. So konfigurieren Sie die CPU- und Speicherreservierung:

    1. Für CPU-Reservierung: Klicken Sie mit der rechten Maustaste auf vCore-> Einstellungen bearbeiten:

    2. Wählen Sie die Registerkarte Ressourcen und dann CPU aus.

    3. Geben Sie unter Reservierung die garantierte CPU-Zuordnung für die VM an. Sie kann basierend auf der Anzahl der vCPUs *Prozessorgeschwindigkeit berechnet werden.

    4. Für die Speicherreservierung: Klicken Sie mit der rechten Maustaste auf vCore -> Einstellungen bearbeiten.

    5. Wählen Sie auf der Registerkarte Ressourcen die Option Arbeitsspeicher aus.

    6. Geben Sie unter Reservierung die Menge an Arbeitsspeicher an, die für die VM reserviert werden soll. Er sollte mit dem Speicher identisch sein, der im Dimensionierungshandbuch angegeben ist.

18. Wenn Hyperthreading aktiviert ist, führen Sie die folgende Auswahl aus:

    1. Klicken Sie mit der rechten Maustaste auf die Einstellungen für den virtuellen Kern -> Bearbeiten.

    2. Wählen Sie auf der Registerkarte Ressourcen die Option HT-Freigabe: Keine für erweiterte CPU aus.

19. Schalten Sie den virtuellen Core (vCore) ein. HINWEIS: Als zukünftige Referenz basieren die Regeln für die Zulassungsliste darauf, dass der normale Dienst heruntergefahren wird, um gesichert zu werden. Durch das direkte Ausschalten einer VM oder eines virtuellen Kerns wird der aktuelle Status der Zulassungsliste verloren, da die Regeln in diesem Fall nicht gespeichert werden können.

Melden Sie sich bei der CLI an und verwenden Sie den Servermodusbefehl "show uuid", um die UUID zu erhalten. an Juniper ATP Appliance senden, um Ihre Lizenz zu erhalten.

Wenn eine OVA auf einen Create Another Virtual Secondary Core geklont wird, ist der Wert für die Spalte "id" in der Central Manager Appliance-Tabelle standardmäßig derselbe. Administratoren müssen die UUID zurücksetzen, um sie eindeutig zu machen. Ein neuer Virtual Core CLI-Befehl "set id" ist verfügbar, um die UUID auf einem geklonten virtuellen Core aus dem Core-Modus der CLI zurückzusetzen. In der Juniper ATP Appliance CLI Command Reference finden Sie Informationen zu den neuen Befehlen für den Core-Modus "set id" und "show id".

Die Aktualisierung von Software- und Sicherheitsinhalten erfolgt automatisch, wenn Upgrades auf der Seite "Konfigurations->Systemeinstellungen>Systemeinstellungen der Central Manager-Webbenutzeroberfläche konfiguriert werden.

• Um automatische Upgrades zu aktivieren, aktivieren Sie die Optionen "Software-Update aktiviert" und/oder "Inhaltsaktualisierung aktiviert" auf der Seite "Systemeinstellungen".

Alle automatischen Updates aller Komponenten der Juniper ATP Appliance werden vom Juniper ATP Appliance Core koordiniert und implementiert. Laufende Updates finden regelmäßig statt:

• Das Core-Software- und Inhaltsupdate (falls aktiviert) sucht alle 30 Minuten nach verfügbaren Updates und überträgt neue Dateien an die Kollektoren und/oder sekundären Cores.

• Die Image-Upgrade-Prüfung der Core-Detonations-Engine findet täglich um Mitternacht statt.

• Die ATP-Appliance von Juniper reduziert ihren betrieblichen Fußabdruck weiter und benötigt keine umfangreichen externen IP-Adressen mehr auf der Zulassungsliste für Upgrades, Telemetriedaten, Inhaltsaktualisierungen und andere Services.

• Firewall-Ports, die zuvor für bestimmte Dienste geöffnet wurden, können nach Abschluss eines Release-Upgrades geschlossen werden.

• Beachten Sie, dass die meisten modernen Firewalls Domain-Zulassungslisten unterstützen.

• Kunden können optional nur den ausgehenden Zugriff auf das Core/CM-Gerät* (keine Collectors) über HTTPS (Port 443) zulassen. In diesem Fall ist keine Domain-Zulassungsliste erforderlich.

• *Juniper ATP Appliance hat immer empfohlen, ungehinderte ausgehende Kommunikation für die Core/CM-Appliance (oder All-in-One-Appliance) zuzulassen, um eine Kill-Chain-Korrelation bei Sandbox-Detonationen zu ermöglichen.

• Kunden, die sich Sorgen um eine umfassende Zulassungsliste auf Port 443 machen, können die Zulassungsliste auf Amazon AWS- und S3-CIDRs beschränken - beachten Sie jedoch, dass dies immer noch ein recht großer Bereich von IP-Adressen ist.

Sie können das Remote-Support-Konto entweder über die Benutzeroberfläche oder die CLI aktivieren.

Aktivieren des Remote-Support-Kontos über die Benutzeroberfläche

So aktivieren Sie das Supportkonto über die Webbenutzeroberfläche:

1. Wählen Sie Konfigurations- > Systemprofile >Remote-Support aus.

2. Wählen Sie auf der Seite "Remote-Support" die Option "Remote-Support aktivieren " aus.

3. Geben Sie im Feld Dauer die Zeitdauer (in Stunden) für die Sitzung ein.

4. Klicken Sie auf Support aktivieren.

   Das Support-Passwort wird mit zwei geheimen Schlüsseln generiert:

   • Wenn Remote Support aktiviert ist, ruft der Juniper Support automatisch einen Schlüssel vom ATP Appliance-Gerät ab.

   • Der andere Schlüssel wird von Juniper Networks bereitgestellt.

   Wenn Sie die Remoteunterstützung aktivieren, wird die Benutzeroberfläche aktualisiert, um einen neuen geheimen Schlüssel anzuzeigen, wie in Abbildung 22 dargestellt. Der geheime Schlüssel ist für jede Supportsitzung eindeutig.

Abbildung 22: Remote-Support-Fenster

Aktivieren des Remote-Support-Kontos über die CLI

So aktivieren Sie das Support-Konto über die CLI:

1. T Melden Sie sich bei der CLI an, wechseln Sie in den Servermodus und verwenden Sie dann den Befehl set cysupport enable on .

2. Geben Sie die Dauer des Remote-Supports in Stunden ein.

3. Wenn Sie den geheimen Schlüssel über die CLI abrufen müssen, verwenden Sie den Befehl show remote-access-key .

Ein Benutzer mit dem Namen "recovery" kann sich ohne Kennwort bei der Appliance anmelden und eine begrenzte Anzahl von Befehlen eingeben, einschließlich eines Befehls zum Zurücksetzen des Administratorkennworts.

Um das Administratorkennwort mithilfe der CLI wiederherzustellen, gehen Sie wie folgt vor:

1. Wenn Sie zur Anmeldung aufgefordert werden, geben Sie die Wiederherstellung des Benutzernamens auf der Appliance ein und drücken Sie die Eingabetaste.

   Da kein Kennwort erforderlich ist, wird der Wiederherstellungsbenutzer automatisch am Gerät angemeldet.

2. Geben Sie den reset-admin-password Befehl zum Zurücksetzen des Kennworts ein.

   Die anderen Befehle, die dem Wiederherstellungsbenutzer zur Verfügung stehen, sind: exit, help und history.

Zusätzlich zum Anzeigen von Benutzeroberflächenbenutzern in den Überwachungsprotokollen können Sie jetzt auch Admin- und Wiederherstellungsadministrator-CLI-Benutzer in den Überwachungsprotokollen unter Berichte in der Webbenutzeroberfläche anzeigen. Weitere Informationen finden Sie unter Audit-Protokolle, Anzeige der Benutzeroberfläche oder des CLI-Zugriffs .

Zusätzlich zur Protokollierung von UI-Audits gibt es eine CLI-Audit-Protokollierung für Core- und Collector-CLI-Aktivitäten. Zusammen mit den Protokolldaten können Sie sehen, ob die Aktion über die Benutzeroberfläche oder die CLI ausgeführt wurde. Siehe Abbildung 24.

Sie können auch die Überwachungsprotokolle für Softwareupdates, Aktualisierungen statischer Inhalte und schnelle Inhaltsaktualisierungen anzeigen, die entweder im normalen Modus oder im privaten Modus durchgeführt wurden. Siehe Abbildung 23.

Diese Protokolle sind im Portal der Benutzeroberfläche der ATP-Appliance auf der Registerkarte "Berichte" und auf dem Systemprotokollserver verfügbar (identisch mit den vorherigen Überwachungsprotokollen der Benutzeroberfläche).

Abbildung 23: Generieren des Systemüberwachungsberichts

Abbildung 24: Audit-Protokoll