Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Cas d’usage implémenté : Correction automatisée des menaces avec ForeScout CounterACT et les équipements Juniper Networks de Juniper Connected Security

Ce cas d’usage montre comment intégrer et configurer une appliance de sécurité ForeScout CounterACT, un demandeur Windows 7, un pare-feu virtuel vSRX de Juniper Networks, un commutateur EX4300 de Juniper Networks et un commutateur QFX Series de Juniper Networks dans une solution Juniper Connected Security.

Pour mettre en œuvre ce cas d’utilisation pour la correction des menaces (blocage ou mise en quarantaine) des hôtes infectés avec ForeScout CounterACT, effectuez les étapes d’installation, de configuration et de vérification suivantes :

Exigences

Ce cas d’usage utilise les composants matériels et logiciels suivants :

  • Pare-feu virtuel vSRX exécutant Junos OS version 15.1X49-D110.4 ou ultérieure

  • un commutateur QFX Series exécutant Junos OS version 15.1X53-D60.4 ou ultérieure

  • commutateur EX4300 exécutant Junos OS version 15.1R5.5 ou ultérieure

  • Advanced Threat Prevention Cloud (ATP Cloud)

  • Plate-forme de gestion du réseau Junos Space, version 17.2R1 ou ultérieure

  • Junos Space Security Director, version 17.2R2 ou ultérieure

  • Log Collector, version 17.2R2 ou ultérieure

  • Policy Enforcer, version 17.2R2 ou ultérieure

  • ForeScout CounterACT version 7.0.0-513-2.3.0-1605

  • Une machine virtuelle (VM) exécutant Windows 7 avec 2 hôtes NIC doubles

Pour obtenir la liste des appareils pris en charge, reportez-vous aux notes de mise à jour de Policy Enforcer.

Topologie de cas d’utilisation

La topologie du cas d’utilisation est illustrée à la figure 1

Figure 1 : topologie des cas d’usage de Juniper Connected Security : neutralisation automatisée des menaces avec ForeScout CounterACT et équipements Juniper Networks Juniper Connected Security Automated Threat Remediation with ForeScout CounterACT and Juniper Networks Devices Use Case Topology

L’appliance de sécurité Forescout CounterACT applique une approche sans agent de la sécurité réseau et s’intègre à Juniper Connected Security pour bloquer ou mettre en quarantaine les hôtes infectés sur les équipements Juniper Networks, les commutateurs tiers et les contrôleurs d’accès sans fil qui prennent ou non en charge l’intégration du protocole 802.1X.

Dans ce cas d’usage, l’utilisateur final infecté est mis en quarantaine dans le VLAN VLAN31 de l’utilisateur sur le commutateur EX4300. Le commutateur EX4300 a activé ForeScout CounterACT et l’authentification 802.1X est activée sur ge-0/0/19. L’utilisateur final s’authentifie auprès du réseau à l’aide de la norme 802.1X.

Les événements suivants se produisent dans ce cas d’utilisation :

  1. Le point de terminaison infecté est détecté par ATP Cloud.
  2. Policy Enforcer télécharge le flux de l’hôte infecté, puis applique la stratégie de l’hôte infecté via CounterACT.
  3. CounterACT interroge le serveur pour obtenir les détails du point de terminaison de l’adresse IP de l’hôte infecté.
  4. CounterACT envoie un message au commutateur EX4300 pour lui demander de mettre fin à la session en bloquant ou en mettant en quarantaine VLAN31.
  5. L’application a lieu sur le commutateur EX4300 sur lequel le point de terminaison est authentifié.
  6. CounterACT inventorie les applications, les services et les processus en cours d’exécution sur l’appareil, vérifie la version du système d’exploitation et les paramètres de registre, et vérifie la présence d’agents de sécurité. Cela permet d’obtenir un profil complet de l’appareil et de son état de sécurité.

Installation et configuration de Junos Space, de Security Director et de Log Collector

Cette section montre comment installer et configurer Junos Space, Security Directory et Log Collector pour ces cas d’utilisation. Dans ce cas d’usage, ces applications servent à centraliser les stratégies et l’application de gestion afin d’assurer la cohérence des stratégies de sécurité réseau.

Cette section couvre les procédures suivantes :

Installer Junos Space, Security Director et Log Collector

  1. Téléchargez l’image Plate-forme de gestion du réseau Junos Space à partir de https://www.juniper.net/support/downloads/?p=space#sw.
  2. Installez Junos Space en suivant les instructions à https://www.juniper.net/documentation/en_US/junos-space17.2/information-products/pathway-pages/junos-space-virtual-appliance-pwp.html.
  3. Installez Junos Security Director en suivant les instructions de la https://www.juniper.net/documentation/en_US/junos-space17.2/topics/task/multi-task/junos-space-sd-log-collector-installing.html.
  4. Installez Log Collector en suivant les instructions de la https://www.juniper.net/documentation/en_US/junos-space17.2/topics/task/multi-task/junos-space-sd-log-collector-installing.html.

Configurer la mise en réseau Junos Space de base

Pour configurer la mise en réseau Junos Space de base dans ce cas d’utilisation :

  1. Configurez les routes, le masque de réseau, la passerelle, le DNS et le protocole NTP pertinents afin que tous les composants, à l’exception de Log Collector, puissent se connecter à Internet.
  2. Assurez-vous que tous les composants se trouvent dans le même fuseau horaire.
  3. Assurez-vous que SSH est activé.
  4. Assurez-vous que Security Director peut se connecter au serveur ATP Cloud, à Policy Enforcer et à tous les périphériques.

Pour plus d’informations sur la configuration de Junos Space, reportez-vous à la documentation de la plate-forme de gestion du réseau Junos Space.

Installez les schémas DMI requis sur Security Director

Téléchargez et installez les schémas Junos OS correspondants pour gérer les équipements Juniper Networks :

  1. Ajoutez les schémas DMI pour les appareils du Juniper Networks en suivant les instructions de la https://www.juniper.net/documentation/en_US/junos-space17.2/platform/topics/task/operational/dmi-schemas-adding-updating.html.
  2. Assurez-vous que la version du logiciel du périphérique et la version du schéma correspondent pour tous les équipements gérés (équipements SRX Series et EX Series).

Installer et configurer des équipements SRX Series, EX Series et QFX Series

Pour installer et configurer les pare-feu virtuels vSRX, les commutateurs EX Series et les commutateurs QFX Series pour ce cas d’utilisation :

  1. Configurez le périphérique vSRX comme point d’application en fonction de vos besoins. Cliquez sur Configuration CLI pour périphérique SRX Series pour consulter le code CLI Junos OS détaillé pour ce cas d’utilisation.
  2. Configurez le commutateur EX4300 selon vos besoins. Cliquez sur Configuration CLI pour commutateur EX4300 pour consulter le code CLI détaillé de Junos OS pour ce cas d’utilisation. Vous configurez l’EX4300 en tant qu’authentificateur 802.1X et transférez les informations d’identification du demandeur Windows 7 à ForeScout CounterACT via le protocole RADIUS. Le commutateur EX4300 reflète également le trafic entrant à partir du port où le demandeur Windows 7 est connecté à un port de destination connecté à l’interface « Monitor » de l’appliance virtuelle ForeScout CounterACT.
    Note:

    Pour obtenir des instructions détaillées sur le déploiement des commutateurs EX4300 et QFX , cliquez sur les liens suivants :
  3. Configurez le commutateur QFX selon vos besoins. Cliquez sur Configuration CLI pour commutateur QFX pour consulter le code CLI Junos OS détaillé pour ce cas d’utilisation. Vous configurez le commutateur QFX comme commutateur d’accès standard. Le port de liaison montante du commutateur QFX sur le commutateur EX4300 reflète également le trafic vers un port de destination connecté à l’interface de l’appliance Monitor virtuelle ForeScout CounterACT.
  4. Configurez la mise en réseau de base sur les équipements Junos :

    1. Sur tous les équipements Junos, configurez les paramètres de routage et DNS nécessaires pour activer l’accès à Internet, ainsi que la connectivité à Junos Space, Policy Enforcer et le serveur ATP Cloud.

    2. Pour l’équipement SRX, assurez-vous que l’accès à Internet est activé à la fois intrabande et hors bande.

  5. Ajouter des périphériques à la plate-forme de gestion réseau Junos Space :

    1. Dans Junos Space, découvrez et importez le périphérique SRX dans votre environnement.

    2. Dans Security Director, affectez, publiez et mettez à jour toutes les stratégies de pare-feu existantes pour vous assurer que Security Director et le périphérique SRX sont synchronisés.

Installer et configurer Microsoft Windows Server et Active Directory

Étant donné que ForeScout CounterACT ne dispose pas d’une base de données utilisateur locale à utiliser pour l’authentification 802.1X, vous devez installer et configurer un Windows Server 2008R2 avec Active Directory.

  1. Pour installer et configurer Windows Server 2008R2, cliquez sur https://docs.microsoft.com/en-us/iis/install/installing-iis-7/install-windows-server-2008-and-windows-server-2008-r2.
  2. Pour installer et configurer Active Directory, cliquez sur https://www.petri.com/installing-active-directory-windows-server-2008.
  3. Créez un compte de domaine d’utilisateur à utiliser ultérieurement lors de l’authentification 802.1X.

Télécharger, déployer et configurer une machine virtuelle Policy Enforcer

Pour télécharger, déployer et configurer la machine virtuelle Policy Enforcer :

  1. Téléchargez l’image Policy Enforcer de la machine virtuelle à partir de http://www.juniper.net/support/downloads/?p=sdpe vers la station de gestion sur laquelle vSphere Client est installé.
  2. Sur vSphere Client, sélectionnez File > Deploy OVF Template dans la barre de menus.
  3. Cliquez pour Browse localiser le fichier OVA qui a été téléchargé.
  4. Cliquez sur Next et suivez les instructions de l’assistant d’installation.
  5. Une fois l’installation terminée, connectez-vous à la machine virtuelle à l’aide du nom d’utilisateur root et abc123 du mot de passe, respectivement.
  6. Configurez les paramètres réseau, les informations NTP et les informations client, puis terminez l’assistant.

Pour obtenir des instructions plus détaillées, reportez-vous à https://www.juniper.net/documentation/en_US/release-independent/policy-enforcer/topics/task/installation/policy-enforcer-vm-config.html.

Identifier et connecter Policy Enforcer à Security Director

Pour identifier et connecter Policy Enforcer à Security Director :

  1. Dans Security Director, identifiez la machine virtuelle Policy Enforcer.
  2. Connectez-vous à Security Director et sélectionnez Administration > PE Settings.
  3. Entrez l’adresse IP de la machine virtuelle Policy Enforcer et le mot de passe racine, puis cliquez sur OK.
  4. Sélectionnez le type de prévention des menaces .Sky ATP with PE
    Note:

    À ce stade, exécutez not l’assistant/la configuration guidée.

Obtenir une licence ATP Cloud et créer un compte sur le portail Web ATP Cloud

Pour obtenir une licence ATP Cloud et créer un compte sur le portail Web ATP Cloud :

  1. ATP Cloud propose trois niveaux de service : gratuit, basique et premium. La licence gratuite offre des fonctionnalités limitées et est incluse avec le logiciel de base. Pour obtenir et installer une licence ATP Cloud de base ou premium, cliquez sur Gestion de la licence Cloud Advanced Threat Prevention.

    Pour plus de détails sur les niveaux de service et les types de licences ATP Cloud, cliquez sur Types de licences cloud d’Advanced Threat Prevention.

  2. Créez un compte sur le portail Web ATP Cloud en cliquant sur https://sky.junipersecurity.net et en renseignant les informations requises.

Installer l’autorité de certification racine sur les équipements SRX Series pris en charge par ATP Cloud

Note:

Cette section n’est requise que si vous activez l’inspection HTTPS dans le cadre d’un profil de programmes malveillants ou d’une stratégie de prévention des menaces.

Cette section aborde les sujets suivants :

Générer un certificat d’autorité de certification racine à l’aide de la CLI Junos OS ou d’OpenSSL sur un périphérique UNIX

Note:

N’utilisez qu’une seule de ces options.

Pour générer un certificat d’autorité de certification racine à l’aide de l’interface de ligne de commande Junos OS sur le périphérique SRX :

  1. Générez une paire de clés publiques ou privées PKI pour un certificat numérique local.
  2. À l’aide de la paire de clés, définissez un certificat auto-signé en fournissant le nom de domaine complet et d’autres détails.

Ou

Pour générer un certificat d’autorité de certification racine à l’aide d’OpenSSL sur un périphérique UNIX :

  1. Générez une paire de clés publiques ou privées PKI pour un certificat numérique local.

  2. Copiez la paire de clés sur le ou les périphériques SRX.

  3. Sur le(s) périphérique(s) SRX, importez la paire de clés.

  4. Appliquez le certificat chargé en tant que root-ca dans le profil proxy SSL.

Configurer un groupe de profils d’autorité de certification

Pour configurer un groupe de profils d’autorité de certification (CA).

  1. Créez le profil de l’autorité de certification.
  2. Junos OS fournit une liste par défaut de certificats d’autorité de certification approuvés que vous pouvez charger sur votre système à l’aide de l’option de commande par défaut.
  3. Vérifiez que les ssl-inspect-ca certificats sont chargés.

Exporter et importer un certificat d’autorité de certification racine dans un navigateur Web

Pour exporter et importer le certificat de l’autorité de certification racine dans un navigateur Web :

  1. Sur le périphérique SRX, exportez d’abord le certificat de l’autorité de certification racine dans un fichier .pem.
  2. Transférez le fichier .pem vers votre client Windows.
    Note:

    Si vous utilisez le périphérique UNIX avec OpenSSL, le certificat est déjà sur le périphérique et aucune action n’est requise.
  3. Importez le certificat dans un navigateur.

    Si vous utilisez un client Windows, demandez au navigateur de faire confiance au certificat racine de l’autorité de certification.

    • Internet Explorer (version 8.0) :

      1. Dans le Tools menu, sélectionnez Internet Options.

      2. Dans l’onglet Content , cliquez sur Certificates.

      3. Sélectionnez l’onglet Trusted Root Certification Authorities et cliquez sur Import.

      4. Dans le , accédez au certificat d’autorité de certification racine requis et sélectionnez-le Certificate Import Wizard.

    • Firefox (version 39.0) :

      1. Dans le Tools menu, sélectionnez Options.

      2. Dans le Advanced menu, sélectionnez l’onglet Certificates et cliquez sur View Certificate.

      3. Dans la Certificate Manager fenêtre, sélectionnez l’onglet Authorities et cliquez sur Import.

      4. Accédez au certificat de l’autorité de certification racine requis et sélectionnez-le.

    • Google Chrome (version 45.0) :

      1. Dans le Settings menu, sélectionnez Show Advanced Settings.

      2. Dans le Advanced menu, sélectionnez l’onglet Certificates et cliquez sur View Certificate.

      3. Sous HTTPS/SSL, cliquez sur Manage Certificates.

      4. Dans la Certificate fenêtre, sélectionnez Trusted Root Certification Authorities et cliquez sur Import.

      5. Dans l’Assistant Certificate Import , accédez au certificat d’autorité de certification racine requis et sélectionnez-le.

    Pour plus de détails, cliquez sur : https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/ssl-proxy-workflow-configuring.html

Ou

Si vous utilisez un périphérique UNIX, importez le certificat dans le navigateur :

Télécharger, déployer et configurer la machine virtuelle ForeScout CounterACT

Cette section aborde les sujets suivants :

Tâches prérequises

Avant de commencer cette procédure, effectuez les tâches suivantes :

  1. Obtenez une copie d’évaluation de CounterACT (version : 7.0.0-513-2.3.0-1605) à utiliser avec Policy Enforcer.
  2. Procurez-vous une clé de licence et les packages de plug-ins suivants auprès du représentant ForeScout :

    • ForeScout-dot1x-4.2.0.1010-42001010.fpi

    • ForeScout-eds-3.2.0-32000032.fpi

    • ForeScout-webapi-1.2.2-12020005.fpi

  3. Téléchargez et déployez l’OVF CounterACT (CA) ou le fichier ISO sur un hôte ESXi.

    • Si vous téléchargez et déployez le fichier ISO, procédez comme suit :

      1. Créez une machine virtuelle (VM) et sélectionnez-la other 2.6.x Linux (32bit) comme système d’exploitation invité.

      2. Téléchargez votre fichier ISO dans Datastore.

      3. Configurez votre lecteur de CD ou de DVD pour qu’il démarre à partir de Datastore ISO file.

      Note:

      Avant de mettre la machine virtuelle sous tension, vous devez activer l’option Connected at power on .

    Pour les paramètres de configuration de vSwitch et d’adaptateur réseau sur la machine virtuelle requis pour les interfaces Management, Monitor et Response, cliquez sur :

    Pour ce cas d’utilisation, le mode de déploiement standard a été utilisé avec des interfaces , , Monitoret Response distinctesManagement. Pour obtenir une meilleure visibilité sur le réseau, le commutateur EX4300 a été configuré pour mettre en miroir le trafic des ports où les hôtes Windows et Linux étaient connectés, vers un port de destination connecté à l’interface Monitor de l’appliance virtuelle ForeScout CounterACT. Ceci est également requis pour la liaison adresse IP/MAC-ID dans les déploiements de commutateurs d’accès non 802.1X lorsqu’il n’existe pas de passerelle de couche 3 (commutateur) pour collecter les informations IP.

    Seule l’interface de gestion est utilisée pour les actions de correction automatique des menaces.

  4. Modifiez les paramètres de votre machine virtuelle en fonction de vos exigences en matière de performances.

    Pour plus de détails, cliquez sur https://www.forescout.com/products/specifications/.

Installer et configurer le logiciel CounterACT

Pour installer et configurer le logiciel ForeScout CounterACT :

  1. Mettez la machine virtuelle sous tension et suivez les instructions de la console :

    1. Sélectionnez cette option Install CounterACT pour commencer l’installation. Une fois l’installation terminée, la machine virtuelle redémarre.

    2. Dans la console, sélectionnez Configure CounterACT pour configurer les paramètres réseau et système.

    3. Sélectionnez CounterACT Appliance comme type d’installation.

  2. Assurez-vous que l’interface de gestion CounterACT peut se connecter à Internet pour accéder à vos commutateurs.
  3. Utilisez un navigateur et saisissez https://pact.ly/S1lnt3 pour accéder à la version d’essai du produit Juniper CounterACT et l’installer. Entrez vos informations d’identification pour confirmer et installer la version d’essai du produit.
    Figure 2 : page d’essai du logiciel Juniper CounterACT Juniper CounterACT Trial Software Page

    Téléchargez et installez Windows ou Linux pour votre système d’exploitation.

  4. Dans le Start menu, sélectionnez ForeScout CounterACT > CounterACT Console. La page de connexion CounterACT s’affiche :
    Figure 3 : Page CounterACT Login Page de connexion à CounterACT

    1. Dans le champ, entrez le IP/Name nom IP de l’appareil CounterACT.

    2. Dans la Login Method liste, sélectionnez Password pour effectuer une authentification utilisateur standard.

    3. Dans les User Name champs et, saisissez votre nom d’utilisateur et Password votre mot de passe ForeScout.

    4. Cliquez sur Login.

  5. Téléchargez et installez la mise à jour cumulative de CounterACT.
    Figure 4 : Mise à jour CounterACT Cumulative Update cumulative de CounterACT CounterACT Cumulative Update
  6. Reconnectez-vous à la console et suivez l’assistant de configuration initiale. La Welcome page affiche le composant CounterACT auquel vous vous êtes connecté, ainsi que les informations que vous avez précédemment définies lors de l’installation du centre de données.
  7. À partir de la page, cliquez pour Install License installer la License licence du système virtuel CounterACT.

    Cliquez sur Next.

    Figure 5 : page License Installation Page d’installation de la licence
  8. À partir de la Time page, définissez les paramètres d’heure de votre appliance.
    Figure 6 : page Time Settings Page Paramètres de l’heure

    Les appareils CounterACT nécessitent une connectivité NTP (port 123 UDP) à un serveur NTP. Entrez un serveur NTP pour la connexion de votre organisation ou utilisez le serveur NTP ForeScout par défaut (ntp.foreScout.net). Cliquez sur Test pour vérifier que NTP Server renvoie une connexion réussie.

    Cliquez sur Next.

  9. CounterACT génère des messages électroniques concernant les alertes de stratégie et de protection contre les menaces, les rapports planifiés, les alertes de fonctionnement système critique et les alertes de licence à partir de la Mail page.
    Note:

    Pour ce cas d’utilisation, n’utilisez pas l’option Notifications et alertes par e-mail. Cependant, vous ne pouvez pas ignorer cette étape et devez saisir une adresse e-mail factice. Cliquez sur Next.
    Figure 7 : Page Mail Settings Page Paramètres de messagerie
  10. Pour continuer l’assistant de configuration initiale, ignorez pour l’instant la configuration des plug-ins Répertoire utilisateur, Domaines et Serveurs d’authentification. Vous les définirez plus tard dans la procédure. Cliquez sur Skip >> dans l’assistant jusqu’à ce que la page s’affiche Internal Network .
  11. À partir de la page, ajoutez la Internal Network plage d’adresses IP (10.10.10.0 à 10.10.30.255) pour le réseau interne que vous souhaitez que CounterACT gère. Cliquez sur Next.
    Figure 8 : Paramètres Internal Network Settings réseau internes
  12. Sur la Enforcement Mode page, activez NAT Detectionet acceptez les autres paramètres du mode d’application par défaut, puis cliquez sur Next.
    Figure 9 : Paramètres Enforcement Mode Settings du mode d’application
  13. À partir de la Channels page :

    1. Définissez un nouveau canal en le sélectionnant Add dans la Channels liste. Ce canal est utilisé pour faire correspondre les connexions d’interface de l’appliance qui détectent et répondent au trafic sur les interfaces réseau.

    2. Dans la Monitor liste, sélectionnez eth1 en tant qu’interface.

    3. Dans la Response liste, sélectionnez eth2 en tant qu’interface.

    4. Attribuez les deux interfaces au datacenter.

    5. Activez cette All VLANs option et vérifiez que l’interface Monitor reçoit le trafic en miroir du commutateur EX4300 configuré.

    Figure 10 : paramètres des Channels Settings canaux
  14. Pour continuer l’assistant de configuration initiale, ignorez la configuration du plug-in Switch pour l’instant. Vous les définirez plus tard dans la procédure. Cliquez sur Skip >> dans l’assistant jusqu’à ce que la page s’affiche Policy .
  15. À partir de la Policy page, acceptez le paramètre par défaut pour Classify hosts (activé) pour la classification des ressources. Cliquez sur Next.
    Figure 11 : Paramètres de Policy Settings stratégie
  16. À partir de la Inventory page, acceptez le paramètre par défaut pour Enable Inventory Discovery (activé). Cliquez sur Next.
    Figure 12 : paramètres Inventory Settings d’inventaire
  17. Sur la page, consultez le récapitulatif de configuration de l’assistant Finish . Cliquez sur Finish ce bouton pour terminer la configuration initiale. Cliquez sur Save ce bouton pour enregistrer le fichier de configuration dans le fichier externe.
    Figure 13 : page Finish Initial Setup Page de configuration initiale terminée
    Note:

    (Facultatif) Pour désactiver la fonctionnalité de la carte, sélectionnez Tools > Options > Map.
  18. Pour télécharger et installer les packages mis à jour, cliquez sur Check for updates (ou sélectionnez Tools > Check for Updates).
    Figure 14 : écran Check for Updates Screen Vérifier les mises à jour
  19. À partir de la Software Updates page :

    1. Installez le pack de mise à jour de l’infrastructure.

    2. Installez le deuxième Service Pack. Une fois l’installation du package de services terminée, CounterACT redémarre automatiquement. Cliquez sur OK ce bouton pour redémarrer la console.

      Figure 15 : écran Service Package Installation Complete Screen Installation complète du Service Package (Service Package)

    3. Connectez-vous avec vos identifiants.

    4. Cliquez sur Check for updates (ou sélectionnez Tools > Check for Updates) et installez les autres packages de mise à jour logicielle restants.

    Note:

    Pour ce cas d’utilisation, désélectionnez les packages HPS Inspection Engine et Macintosh/Linux Property Scanner. Ces éléments ne sont pas requis pour cet exemple de cas d’utilisation.

Installer et configurer les plugins CounterACT

CounterACT est livré avec plusieurs plugins fournis :

  • ForeScout-dot1x-4.2.0.1010-42001010.fpi

  • ForeScout-eds-3.2.0-32000032.fpi

  • ForeScout-webapi-1.2.2-12020005.fpi

Ces plug-ins relient CounterACT à l’infrastructure réseau (commutateurs, serveurs de domaine et répertoires d’utilisateurs) et fournissent des fonctionnalités essentielles de détection et de gestion des points de terminaison, y compris un ensemble complet de propriétés et d’actions de l’hôte.

  1. Connectez-vous à la console CounterACT et choisissez Tools > Options > Plugins d’installer les paquets.
    Figure 16 : Écran CounterACT Plugins Screen des plug-ins CounterACT
  2. Sélectionnez chaque plug-in et cliquez sur Install. Une fois l’installation terminée, cliquez sur Close.
  3. Sélectionnez cette option Tools > Options > Plugins pour vérifier que les services suivants sont en cours d’exécution :

    • Annuaire des utilisateurs

    • Interrupteur

    • 802.1X

    • Échange de données (DEX)

    • API Web

Configurer le plug-in d’annuaire utilisateur

Le plug-in User Directory résout les détails de l’utilisateur du point de terminaison et effectue l’authentification du point de terminaison par le biais de serveurs d’authentification et d’annuaire.

Pour configurer les serveurs de l’annuaire des utilisateurs :

  1. Sélectionnez Tools > Options > User Directory. Sur la page Annuaire des utilisateurs, cliquez sur Add.
  2. À partir de la Edit Server page, dans le volet, définissez les paramètres et les General fonctionnalités de base du serveur :

    1. Entrez le nom d’hôte du serveur dans le Name champ.

    2. Dans la Type liste, sélectionnez le type de serveur. Le type de serveur peut être l’un des suivants :

      Figure 17 : Options Server Type Options de type de serveur

    3. Activez les paramètres de configuration suivants pour le serveur : Use as directory, , Use for authenticationet Use for Console Login.

    4. Saisissez un commentaire sur la configuration du serveur dans le Comment champ.

    5. Cliquez sur l’onglet Settings .

  3. Dans le volet, définissez les Settings paramètres du serveur Microsoft Active Directory :

    1. Dans la section Communication, saisissez l’adresse IP du serveur dans le Address champ.

    2. Saisissez le numéro de port dans le Port champ.

    3. Activer All pour le Accessed By champ. Cela garantit que tous les appareils CounterACT peuvent communiquer et avoir accès au serveur configuré.

    4. Dans la section Répertoire, saisissez le nom de domaine dans le Domain champ.

    5. Entrez les informations d’identification pour authentifier l’annuaire afin d’interroger d’autres détails d’utilisateur dans le Administrator champ.

    6. Saisissez et vérifiez le mot de passe de l’administrateur dans les Password champs.

    7. Sélectionnez None pour le Additional Domain Aliases champ. Le système recherche un utilisateur dans cet annuaire uniquement si son nom de domaine correspond au domaine d’annuaire configuré.

    8. Cliquez sur l’onglet Test .

  4. Dans le volet, définissez les paramètres pour tester la connexion entre le Test serveur et le plug-in d’annuaire utilisateur.

    1. Dans la section Répertoire, saisissez le nom d’utilisateur à interroger dans le User champ.

    2. Dans la section Authentification, entrez dans le champ et entrez Administrator et vérifiez le User mot de passe de l’administrateur dans les Password champs.

    3. Cliquez sur OK, puis cliquez pour Apply enregistrer et appliquer les paramètres de configuration.

      Figure 18 : Paramètres User Directory Plugin Parameters du plug-in User Directory
  5. Cliquez ici Test pour tester votre configuration.
    Figure 19 : écran Configuration Test Screen de test de configuration

Configurer le plug-in de commutateur

Le plug-in Switch interroge chaque commutateur pour :

  • Attribut de port de commutateur et informations sur les points de terminaison connectés.

  • ARP pour découvrir les nouveaux points de terminaison connectés au commutateur.

Les informations peuvent être obtenues via CLI et/ou SNMP.

Pour configurer le plug-in de commutateur pour le commutateur EX4300 :

  1. Sélectionnez Tools > Options > Switch. Sur la page Changer, cliquez sur Add.
  2. Dans la Edit Switch page, dans le volet, définissez les paramètres et les General fonctionnalités de base du commutateur.

    1. Saisissez l’adresse IP ou le nom de domaine complet du commutateur dans le Address champ. La console utilise la valeur que vous entrez pour identifier l’entrée du commutateur.

    2. Dans la Connecting Appliance liste, spécifiez le périphérique CounterACT qui gérera ce commutateur.

    3. Dans la Vendor liste, spécifiez le fournisseur du périphérique réseau que vous souhaitez que le plug-in gère. Étant donné que la CLI et le SNMP sont différents d’un fournisseur, il est important de choisir le bon fournisseur. CounterACT associera alors le bon format pour le commutateur.

    4. Saisissez un commentaire sur la configuration du commutateur dans le Comment champ.

    5. Cliquez sur l’onglet CLI .

  3. Dans le volet, configurez l’utilisation de l’interface de ligne de commande pour la communication entre le CLI plug-in de commutateur et le commutateur.

    1. Activez l’option permettant d’activer l’accès Use CLI CLI.

      Note:

      SSH est le type de connexion sélectionné en permanence pour les commutateurs Juniper Networks.

    2. Saisissez un nom d’utilisateur et un mot de passe dans les User champs « et Password ». Le plug-in Switch utilise ces informations d’identification pour se connecter au commutateur.

      Note:

      Pour la gestion des plug-ins des commutateurs Juniper, l’utilisateur que vous configurez doit disposer des autorisations de superutilisateur sur les commutateurs Juniper.

      N’utilisez pas la connexion racine pour l’accès CLI aux commutateurs EX Series.

    3. Dans la section Paramètres d’accès privilégiés, activez l’option Enable privileged access permettant d’accorder les privilèges d’écriture du plug-in sur le commutateur.

    4. Sélectionnez l’option No password pour indiquer que la configuration du commutateur ne nécessite pas de mot de passe.

    5. Cliquez sur l’onglet Permissions .

  4. Dans le volet, définissez les paramètres de lecture, d’écriture et d’autorisation avancée pour le Permissions commutateur.

    1. Dans la section Autorisations MAC, activez l’option Read: MACs connected to switch port and port properties (MAC address table) . L’activation de l’autorisation de lecture MAC permet à CounterACT de lire la table des adresses MAC d’un commutateur et de découvrir les points de terminaison connectés et leur interface réseau.

    2. Activez l’option permettant d’activer l’autorisation Plug-in de commutateur pour appliquer l’action Affecter au VLAN, l’action Write: Enable Actions (Switch block, Assign to VLAN, ACL) Bloquer le commutateur et les actions ACL sur les points de terminaison détectés sur le commutateur géré.

      Note:

      La configuration de la liste de contrôle d’accès n’est pas requise pour cette configuration de cas d’utilisation.

    3. Cliquez sur l’onglet. (Ce volet ne s’affiche 802.1X que si le plug-in 802.1X est installé)

  5. Dans le volet, configurez l’authentification et l’autorisation 802.1X basées sur RADIUS pour les points de terminaison détectés lorsque vous tentez de vous connecter à un réseau Juniper Networks via un commutateur EX4300 Series.

    1. Dans les RADIUS Secret as configured in switches champs, entrez le secret RADIUS nécessaire pour permettre la communication entre le serveur RADIUS CounterACT et le commutateur géré.

    2. Cliquez sur OK, puis cliquez pour Apply enregistrer et appliquer les paramètres de configuration.

      Figure 20 : Confirmation du secret d’authentification RADIUS 802.1X 802.1X RADIUS-based Authentication Secret Confirmation
  6. Cliquez ici Test pour tester votre configuration.
    Figure 21 : écran Switch Configuration Test Screen de test de la configuration du commutateur
    Note:

    Pour configurer le commutateur QFX, répétez les mêmes étapes de configuration que pour le commutateur EX4300. Toutefois, vous devez configurer la fonctionnalité ACL pour le commutateur QFX, car QFX est déployé en tant que commutateur d’accès standard (sans 802.1X) et la correction automatique des menaces est effectuée en appliquant des ACL.

    À partir de la page Annuaire utilisateur, activez et/ou sélectionnez les champs suivants dans le volet ACL :

    • Activer l’ACL

    • Ajouter un filtre de pare-feu ACL aux ports physiques

    • Ajouter des règles d’autorisation des serveurs d’authentification CounterACT

    • Utiliser le nom défini par le système (forescout_acl)

Configurer le plug-in 802.1X

Le plug-in 802.1X permet à CounterACT d’authentifier les commutateurs 802.1X ou les connexions sans fil au réseau. Le plugin est compatible avec la spécification IEEE 802.1X et le protocole d’authentification RADIUS.

Pour configurer le plug-in 802.1X :

  1. Sélectionnez Tools > Options > 802.1x.
    Figure 22 : Options 802.1X Options 802.1X
  2. Dans la 802.1X page, dans le Authentication Sources volet, sélectionnez l’annuaire utilisateur qui valide les informations d’identification fournies lors de l’authentification du point de terminaison. Vous configurez toutes les sources d’authentification dans le plug-in User Directory.
  3. Cliquez sur l’onglet Pre-Admission Authorization et définissez un ensemble de règles hiérarchisées. Le serveur RADIUS CounterACT utilise ces règles pour évaluer les points de terminaison en vue d’une autorisation après qu’ils ont été authentifiés par le serveur RADIUS applicable (une sélection de source d’authentification).
    Figure 23 : Onglet Pre-Admission Authorization Tab Autorisation de préadmission
  4. Cliquez sur Add ce bouton pour ajouter plusieurs conditions à la règle.
    Figure 24 : Conditions Pre-Admission Authorization Conditions d’autorisation de préadmission
  5. Ajoutez vos attributs d’autorisation. Entrez VLAN en tant que type de tunnel et 31 en tant que groupe privé de tunnels. Cliquez sur OK.
    Figure 25 : Ajout d’attributs Adding Authorization Attributes d’autorisation
  6. Cliquez sur l’onglet. Activez l’option Server Certificate Use self-signed certificate .
    Figure 26 : Options Server Certificate Options de certificat de serveur
  7. Cliquez sur l’onglet. Activez l’option RADIUS Settings CounterACT RADIUS Logging et acceptez tous les autres paramètres par défaut.
    Figure 27 : paramètres RADIUS Settings RADIUS
  8. Cliquez pour Apply enregistrer et appliquer les paramètres de configuration.
    Figure 28 : application des paramètres Applying 802.1X Configuration Settings de configuration 802.1X

Configurer Windows 7 Supplicant

Vous devez avoir déjà installé Microsoft Windows Server et Active Directory. Cliquez sur Installer et configurer Microsoft Windows Server et Active Directory pour consulter les instructions.

Pour configurer Windows 7 Supplicant :

  1. Assurez-vous que le demandeur Windows 7 est configuré avec le domaine Active Directory que vous avez précédemment créé.
    Figure 29 : vérification Windows Supplicant Configuration Verification de la configuration de Windows Supplicant
  2. Assurez-vous que le service Wired AutoConfig est en cours d’exécution.
    Figure 30 : confirmation de la Wired AutoConfig Service Configuration Confirmation configuration du service Wired AutoConfig
  3. Activez l’authentification PEAP 802.1X pour la connexion au réseau local.
    Figure 31 : Confirmation d’authentification PEAP 802.1X 802.1X PEAP Authentication Confirmation
  4. Cliquez et Settings assurez-vous que l’option n’est Validate server certificate pas sélectionnée.
    Figure 32 : Propriétés Protected EAP Properties du PAE protégé
  5. Configurez les paramètres d’identification de l’utilisateur. Sélectionnez l’option Automatically use my Windows login name and password permettant d’utiliser les informations d’identification utilisateur que vous avez précédemment configurées dans Active Directory.
    Figure 33 : Confirmation Windows Login and Password Confirmation de connexion et de mot de passe Windows
  6. Cliquez sur Authentication > Additional Settings > Replace credentials et entrez les informations d’identification de l’utilisateur que vous avez créé dans Active Directory.
    Figure 34 : remplacement des informations d’identification Replacing Credentials
  7. Pour confirmer que l’authentification 802.1X fonctionne sur Windows 7 Supplicant et vérifier que l’utilisateur est correctement placé dans le VLAN utilisateur (vlan31), entrez les show dot1x interface commandes et show vlans vlan31 .
    Figure 35 : afficher l’interface dot1X et afficher la sortie show dot1X interface and show vlans Output vlan
  8. Pour consulter les informations de session (nom d’utilisateur, adresse IP et MAC-ID) sur la console CounterACT, cliquez avec le bouton droit de la souris sur votre hôte, puis sélectionnez Information > Details.
    Figure 36 : vérification Session Information Verification des informations de session

Tester et dépanner l’authentification 802.1X

Pour tester l’authentification 802.1X par rapport à ForeScout CounterACT :

  1. Connectez-vous à l’aide des informations d’identification du compte de domaine (utilisateur) que vous avez créé dans l’annuaire des utilisateurs.
    Figure 37 : Dépannage des authentifications rejetées Troubleshoot Rejected Authentications
  2. Assurez-vous que le commutateur EX4300 est correctement configuré pour l’authentification 802.1X. Cliquez sur Configuration CLI pour le commutateur EX4300 pour consulter le fichier de configuration.

Pour résoudre les problèmes d’authentification 802.1X :

  1. Dans la console ForeScout CounterACT, cliquez sur l’onglet Stratégie et créez une stratégie à l’aide du Troubleshoot Rejected Authentications modèle (répertorié sous 802.1X Enforcement).

  2. Démarrez votre stratégie pour résoudre le problème.

Pour afficher les journaux à partir de la console ForeScout CounterACT :

  1. Sélectionnez Log > Policy Log. À partir de la page Journal des stratégies, entrez l’adresse MAC ou IP de votre demandeur Windows 7.

    Figure 38 : Paramètres Policy Log Settings du journal de stratégie

  2. Cliquez sur OK. Les fichiers journaux des stratégies s’affichent.

    Figure 39 : Fichiers Policy Log Files journaux des stratégies

  3. Si l’authentification 802.1X fonctionne et que votre demandeur Windows 7 obtient une adresse IP du serveur DHCP exécuté sur SRX, vous pouvez alors générer du trafic pour vérifier que votre demandeur Windows 7 (par exemple, 10.10.30.69) apparaît dans la liste des hôtes sous l’onglet Accueil.

    Figure 40 : Confirmation d’authentification 802.1X du journal de la stratégie Policy Log 802.1X Authentication Confirmation
    Note:

    En outre, si vous avez déjà configuré l’autre hôte (système Windows ou Linux) connecté au commutateur QFX et que vous avez obtenu une adresse IP du serveur DHCP exécuté sur SRX, vous pouvez alors générer du trafic pour celui-ci, et l’adresse de l’hôte (par exemple, 10.10.30.99) apparaîtra également dans la liste des hôtes.

Configurer le plug-in d’échange de données

Le plug-in d’échange de données (DEX) permet à CounterACT d’utiliser des services Web pour communiquer avec des entités externes. CounterACT interroge des services externes et reçoit des mises à jour via le service Web CounterACT hébergé par le plug-in. Dans ce cas, DEX, en conjonction avec le connecteur ForeScout, surveillera PE pour toute communication.

Pour configurer le plug-in d’échange de données (DEX) :

  1. Sélectionnez Tools > Options > Data Exchange (DEX).
  2. Sur la page Échange de données (DEX), sélectionnez CounterACT Web Service > Accounts l’onglet.
    Figure 41 : Comptes Data Exchange Accounts d’échange de données
  3. Cliquez et Add saisissez les informations suivantes :

    1. Dans le champ, entrez le Name nom du compte de service Web CounterACT.

    2. Dans le Description champ, entrez une brève description de l’objectif du compte de service Web.

    3. Dans le champ, entrez le Username nom d’utilisateur utilisé pour autoriser CounterACT à accéder au compte de service Web.

    4. Dans le champ, entrez le Password mot de passe utilisé pour autoriser CounterACT à accéder au compte de service Web.

    5. Cliquez dessus OK pour afficher le compte dans l’onglet Compte.

  4. Cliquez sur l’onglet Properties . Sur la page Propriétés, cliquez pour Add ajouter les propriétés suivantes :

    • Bloc

    • Quarantaine

    • Test

    Note:

    Vous devez inclure la propriété Test ; sinon, vous ne pouvez pas ajouter CounterACT en tant que connecteur tiers à Policy Enforcer.

    Figure 42 : Propriétés Data Exchange Properties d’échange de données
  5. Cliquez sur l’onglet Security Settings . Une liste blanche d’adresses IP est utilisée pour autoriser l’accès au service Web CounterACT. Dans la page Paramètres de sécurité, cliquez sur Add et ajoutez la plage d’adresses IP pour le Policy Enforcer. Cliquez sur OK. L’adresse IP apparaît dans la liste Plage d’adresses IP.
    Figure 43 : Paramètres Data Exchange Security Settings de sécurité d’échange de données
  6. Sur la page Échange de données (DEX), cliquez pour Apply enregistrer et appliquer les paramètres de configuration.
    Figure 44 : Échange de données Application des paramètres Data Exchange Applying Configuration Settings de configuration

Configurer le plug-in d’API Web

Le plug-in Web API permet aux entités externes de communiquer avec CounterACT à l’aide de requêtes de service Web simples mais puissantes basées sur l’interaction HTTP. Configurez le plug-in API Web pour créer un compte pour l’intégration de Policy Enforcer.

Pour configurer le plug-in d’API Web :

  1. Sélectionnez Tools > Options > Web API.
  2. Sur la page API Web, dans la section Informations d’identification de l’utilisateur, cliquez sur Add.
    Figure 45 : Informations d’identification de l’utilisateur Web API User Credentials de l’API Web
  3. Entrez le même nom d’utilisateur et le même mot de passe que ceux que vous avez créés précédemment pour la configuration d’échange de données (DEX), puis cliquez sur OK.
  4. Cliquez sur l’onglet, Client IPs puis sur Add. Ajoutez l’adresse IP de Policy Enforcer dans la liste d’accès.

    Cliquez sur OK.

    Figure 46 : Onglet IP du client de l’API Web API Client IP Tab Web
  5. Sur la page API Web, cliquez pour Apply enregistrer et appliquer les paramètres de configuration.
    Figure 47 : API Web Application des paramètres Web API Applying Configuration Settings de configuration

Vérifier les plugins

Pour vérifier que tous les plug-ins requis sont en cours d’exécution, sélectionnez Tools > Options > Plugins. La page Plug-ins s’affiche et affiche l’état de chaque plug-in.

Figure 48 : vérification des plug-ins Verifying Plugins

Configurer des stratégies automatisées de neutralisation des menaces

À l’aide de Policy Manager, créez les stratégies de correction des menaces automatisées suivantes :

  • Stratégies NETCONF : utilisées pour connecter les hôtes au commutateur QFX.

  • Stratégies 802.1X : utilisées pour connecter les hôtes au commutateur EX4300 et utilisées pour l’authentification 802.1X.

Pour créer une stratégie NETCONF automatisée de correction des menaces ou une stratégie 802.1X :

  1. Sélectionnez Policy > Policy Manager.
  2. Sur la page Gestionnaire de stratégies, cliquez sur Add.
    Figure 49 : Page Policy Manager Page du Gestionnaire de stratégies
  3. Cliquez et Custom cliquez sur Next.

    1. Un. En fonction de vos besoins, créez les ensembles suivants de stratégies de blocage et de quarantaine SDSN pour sécuriser le trafic hôte-commutateur et commutateur-serveur 802.1X. Dans le Name champ, entrez les noms de stratégie suivants :

      • BLOC SDSN : dot1x

      • QUARANTAINE SDSN : dot1x

      • BLOC SDSN : NETCONF

      • QUARANTAINE SDSN : NETCONF

      Figure 50 : stratégies Block and Quarantine Policies de blocage et de quarantaine

    2. Dans le Description champ, entrez une description pour chaque stratégie. Cliquez sur Next.

  4. Dans la Scope page, sélectionnez l’option IP Range . Entrez la plage d’adresses IP du segment LAN en tant que points de terminaison à inspecter pour cette stratégie. Cliquez sur OK.
    Figure 51 : Plage d’adresses IP dans les stratégies IP Address Range in Block and Quarantine Policies de blocage et de quarantaine
  5. Cliquez pour Next ignorer la section Avancé et ouvrir la Main Rule page. Une règle contient un ensemble de conditions et d’actions :

    • Une condition est un ensemble de propriétés qui est interrogé lors de l’évaluation des points de terminaison.

    • Une action est la mesure prise par CounterACT au niveau des points de terminaison.

  6. À partir de la page, cliquez sur Add dans la section Condition de la Main Rule page pour ajouter une condition.
    Figure 52 : Ajout de conditions aux stratégies Adding Conditions to Block and Quarantine Policies de blocage et de quarantaine
  7. Définissez la condition de blocage ou de mise en quarantaine.
    Figure 53 : Définition des conditions pour les stratégies Defining Conditions for Block and Quarantine Policies de blocage et de quarantaine
  8. À partir de la page, cliquez sur Add dans la section Actions de la Main Rule page. À partir de la Action page, définissez les actions suivantes :

    1. SDSN BLOCK - dot1x─Sélectionnez 802.1x Authorize dans le volet de gauche et activez l’option en tant qu’action Deny Access .

      Figure 54 : blocage de l’accès par la 802.1X Blocking Access norme 802.1X

    2. SDSN QUARANTINE - dot1x─Sélectionnez 802.1x Authorize dans le volet de gauche et saisissez VLAN32 dans le VLAN champ en tant qu’action.

      Figure 55 : Trafic de quarantaine 802.1X vers un VLAN 802.1X Quarantine Traffic to a VLAN

    3. SDSN BLOCK - NETCONF─sélectionnez Endpoint Address ACL dans le volet de gauche et saisissez une liste de contrôle d’accès en tant qu’action dans l’onglet Parameters .

      Figure 56 : ACL d’accès au point de terminaison Endpoint Access ACL

    4. SDSN QUARANTINE - NETCONF─Sélectionnez Assign to VLAN dans le volet de gauche et saisissez VLAN32 dans le VLAN name champ sous l’onglet Parameters à ajouter en tant qu’action.

      Figure 57 : mise en quarantaine SDSN assignée au VLAN SDSN Quarantine Assign to VLAN
  9. Cliquez sur, puis sur OK Next. Ignorez la configuration des sous-règles sur la Sub-Rules page.
  10. Sur la page Gestionnaire de stratégies, cliquez pour Apply enregistrer et appliquer les paramètres de configuration. Passez en revue le Status de votre politique et vérifiez qu’elle est active, indiquée par une flèche et une case verte :

Configurer le connecteur Policy Enforcer pour les commutateurs tiers

  1. Connectez-vous à Security Director et accédez à Administration > Policy Enforcer > Connectors un nouveau connecteur et créez-le. Un cercle bleu de chargement/attente indique que la création du connecteur est en cours.
    Figure 58 : connecteurs Connectors
  2. Entrez les détails suivants de la page Général :

    • Name─Entrez une chaîne unique.

    • Description─Saisissez une description.

    • ConnectorType─Sélectionnez le réseau d’appareils tiers requis pour se connecter à votre fabric sécurisée et créez des stratégies pour ce réseau. Sélectionnez ForeScout CounterACT. Cliquez sur Next.

  3. Entrez les détails suivants de la page Général :

    • IP Address─Saisissez l’adresse IP (IPv4 ou IPv6) du serveur de gestion des produits.

    • Port─Sélectionnez le port à utiliser dans la liste. Si vous laissez ce champ vide, le port 443 est le port par défaut.

    • Username─Entrez le nom d’utilisateur du serveur pour le type de connecteur ForeScout CounterACT sélectionné. Par exemple, Admin.

    • Password─Entrez le mot de passe du serveur pour le type de connecteur ForeScout CounterACT sélectionné.

    • DEX User Role─Entrez le mot de passe du serveur pour le type de connecteur ForeScout CounterACT sélectionné. Par exemple, Administrateur. Celui-ci doit correspondre au champ Nom configuré à la page 58 sous le plugin DEX. Cliquez sur Next.

  4. Sur la page Détails du réseau, ajoutez des informations sur le sous-réseau à la configuration du connecteur afin de pouvoir inclure ces sous-réseaux dans des groupes, puis appliquer des stratégies à ces groupes. Cliquez sur Next.
  5. Sur la page Configuration, entrez les valeurs du nom d’utilisateur et du mot de passe de l’API Web. Cliquez sur Finish.

Configurer ATP Cloud avec des stratégies de prévention des menaces

Pour configurer ATP Cloud et mettre en place des stratégies de prévention des menaces, procédez comme suit :

  • Configurez une fabric sécurisée. Une fabric sécurisée est un ensemble de sites contenant des périphériques réseau (commutateurs, routeurs, pare-feu et autres équipements de sécurité) utilisés dans les groupes d’application des stratégies.

  • Définissez un site et ajoutez-y des points de terminaison (commutateurs et pare-feu).

  • Configurez les groupes d’application des stratégies. Un groupe d’application de stratégies est un regroupement de points de terminaison auxquels des stratégies de prévention des menaces sont appliquées.

  • Créez une stratégie de prévention des menaces.

  • Appliquer des stratégies de prévention des menaces à des groupes d’application de stratégies

Note:

Si vous utilisez Policy Enforcer pour la prévention des menaces avec ATP Cloud, l’installation guidée est le moyen le plus efficace de terminer la configuration initiale.

Pour effectuer la configuration à l’aide de la configuration guidée :

  1. Dans Security Director, accédez à Configure > Guided Setup > Threat Prevention.
    Figure 59 : configuration d’une Threat Prevention Policy Setup stratégie de prévention des menaces
  2. Cliquez et Start Setup suivez l’assistant.
    Figure 60 : Sky ATP avec configuration Sky ATP with SDSN Setup SDSN
  3. Créez un site de structure sécurisée qui inclut des points d’application pour le périphérique SRX Series uniquement et le connecteur ForeScout CounterACT. Cliquez sur Next.
    Figure 61 : configuration de la Secure Fabric Threat Prevention Policy Setup stratégie Secure Fabric Threat Prevention
  4. Créez un groupe d’application de stratégie et sélectionnez le site. Selon vos besoins, déterminez le type de points de terminaison que vous incluez dans votre groupe d’application de stratégies : adresse IP, sous-réseau ou emplacement. Les points de terminaison ne peuvent pas appartenir à plusieurs groupes d’application de stratégies. Cliquez sur Next.
    Figure 62 : Groupes Policy Enforcement Groups d’application des stratégies
  5. Ajoutez le domaine ATP Cloud en fournissant les informations pertinentes à partir de votre compte ATP Cloud.

    Avant de configurer le domaine ATP Cloud, assurez-vous d’effectuer les opérations suivantes :

    • Disposer d’un compte ATP Cloud et d’une licence associée.

    • Renseignez-vous sur le type de licence ATP Cloud dont vous disposez : gratuite, basique ou premium. La licence contrôle les fonctionnalités d’ATP Cloud disponibles. Pour plus d’informations, cliquez sur Obtenir une licence ATP Cloud et Créer un compte sur le portail Web ATP Cloud .

    • Sachez quelle région est couverte par le royaume que vous créez. Vous devez sélectionner une région lorsque vous configurez un domaine.

      Figure 63 : Royaume Sky ATP Realm Sky ATP

    Entrez Location, Username (Votre nom d’utilisateur pour ATP Cloud est votre adresse e-mail), Passwordet un nom pour le Realmfichier . Cliquez sur OK.

  6. Vérifiez que le domaine ATP Cloud a été ajouté.
    Figure 64 : Vérification de la ATP Cloud Realm Creation Verification création d’un domaine ATP Cloud

    La valeur 1 doit apparaître dans la Perimeter Firewall in Sites colonne, indiquant quATP Cloud a détecté le périphérique SRX Series.

    Note:

    Si l’ajout de domaine échoue, cela indique qu’il existe un problème de réseau et que Security Director ou Policy Enforcer ne peut pas se connecter à Internet. Assurez-vous que tous les appareils/composants peuvent se connecter à Internet et se connecter les uns aux autres.
  7. Créez une stratégie de prévention des menaces en fonction de vos besoins. Les stratégies de prévention des menaces fournissent une protection et une surveillance pour certains profils de menaces, y compris les serveurs de commande et de contrôle (C&C), les hôtes infectés et les logiciels malveillants.

    • Déterminez le type de profil à utiliser pour cette stratégie : serveur C&C, hôtes infectés ou logiciels malveillants. Vous pouvez sélectionner un ou plusieurs profils de menaces dans une stratégie.

    • Déterminez les actions à entreprendre si une menace est détectée.

    • Identifiez le groupe d’application de stratégie à ajouter à cette stratégie.

    Figure 65 : création d’une stratégie Create Threat Prevention Policy de prévention des menaces

    Cliquez sur OK.

  8. La stratégie de prévention des menaces a besoin d’un profil pour les téléchargements HTTP ; ce profil indique le type de fichiers qui doivent être analysés pour détecter les menaces. Pour ajouter un profil pour les téléchargements de fichiers HTTP, dans la Device Profile zone, développez le et sélectionnez le Realm profil requis. Cliquez sur OK.
    Figure 66 : profil d’équipement de prévention des menaces Threat Prevention Device Profile
  9. Affectez la stratégie de prévention des menaces au groupe d’application de stratégie souhaité en cliquant sur Assign to Groups.
    Figure 67 : Affectation d’une stratégie de prévention des menaces à un groupe Assigning a Threat Prevention Policy to a Policy Enforcement Group d’application de stratégie
  10. Sélectionnez le groupe d’application de la stratégie, puis cliquez sur OK.
    Figure 68 : Sélection du groupe d’application des Policy Enforcement Group Selection stratégies
  11. Le système effectue une analyse des règles et prépare les configurations des équipements qui incluent les stratégies de prévention des menaces.
    Figure 69 : Analyse des Rule Analysis règles
  12. Une fois l’analyse terminée, demandez au système d’envoyer la stratégie mise à jour et les modifications de configuration au périphérique SRX Series en cliquant sur Update.
    Figure 70 : mise à jour des modifications apportées à la stratégie et à Updating Policy and Configuration Changes la configuration
  13. Une fois l’envoi terminé, le système revient à la Policies page. Cliquez sur OK.
    Figure 71 : Confirmation de la Policy Update Confirmation mise à jour de la stratégie
    Note:

    En cas d’échec de la mise à jour, suivez le programme d’installation guidée de la stratégie de prévention des menaces. Naviguez jusqu’à Devices > Security Devices votre SRX et resynchronisez-le avec le réseau. Ensuite, accédez à , cliquez et Update Required appuyez à nouveau sur la mise à jour Si un dépannage supplémentaire est nécessaire, vous pouvez afficher les modifications de configuration appliquées à Configure > Threat Prevention -> Policiesun périphérique SRX Series en sélectionnant Monitor > Job Management.

    Modifications de configuration transmises à l’équipement SRX :

    Figure 72 : configuration SRX Configuration SRX
  14. Cliquez sur Finish ce bouton pour finaliser la configuration guidée de la stratégie de prévention des menaces.
    Figure 73 : configuration d’une Threat Prevent Policy Setup stratégie de prévention des menaces

    Le système affiche le récapitulatif de la configuration. Cliquez sur OK.

    Figure 74 : Récapitulatif de configuration de la stratégie de prévention des menaces Threat Prevention Policy Configuration Summary

Vérification des cas d’utilisation

Pour vérifier la configuration du cas d’utilisation, effectuez les actions suivantes :

Vérification de l’enrôlement des équipements dans ATP Cloud sur un équipement SRX Series

But

Vérifiez que le périphérique SRX Series est connecté au serveur ATP Cloud.

Action

Sur le périphérique SRX, utilisez la show services advanced-anti-malware status commande CLI.

Sens

La sortie CLI affiche le Connection status fichier . Connected Le Server hostname champ affiche le nom d’hôte du serveur ATP Cloud.

Vérifier l’inscription des équipements Policy Enforcer et SRX Series dans ATP Cloud

But

Vérifiez que Policy Enforcer et le périphérique SRX Series sont inscrits auprès d’ATP Cloud.

Action

Dans ATP Cloud, accédez à la page et passez en revue les informations de connexion des équipements inscrits, notamment le numéro de série, le numéro de modèle, le statut d’inscription au niveau de niveau (gratuit, basique, premium) dans ATP Cloud, la dernière activité de télémétrie et la Enrolled Devices dernière activité constatée.

Figure 75 : Vérification des équipements inscrits dans ATP Cloud Verifying Enrolled Devices in ATP Cloud

Sens

Le Host champ affiche les détails du pare-feu enrôlé (vSRX_L3_QFX) et de l’appareil Policy Enforcer. Vous pouvez cliquer sur les numéros de série pour plus de détails.

Vérifier l’enrôlement des équipements avec ATP Cloud dans Security Director

But

Vérifiez que le périphérique SRX Series est inscrit auprès d’ATP Cloud dans Security Director.

Action

Dans Répertoire de sécurité, accédez à Devices > Secure Fabric.

Figure 76 : vérification de l’inscription d’un équipement dans Security Director Verifying Device Enrollment in Security Director

Sens

Un point vert avec une coche s’affiche sur le champ et confirme l’inscription SkyATP Enroll Status du dispositif SRX Series auprès du domaine ATP Cloud.

Vérifier la fonctionnalité ForeScout CounterACT pour bloquer le point de terminaison infecté (avec authentification 802.1X)

But

Testez l’intégration et la fonctionnalité de ForeScout CounterACT lorsqu’un point de terminaison est infecté. Dans cet exemple, vous vérifiez quand la stratégie d’application est configurée pour bloquer l’hôte infecté avec l’authentification 802.1X.

Action

Note:

Une machine virtuelle cliente ou un PC physique est nécessaire pour déclencher une attaque.

Avant l’attaque, vérifiez les points suivants :

  • Vérifiez que Windows Supplicant est authentifié et dans le VLAN utilisateur (vlan31).

  • Vérifiez que le point de terminaison 10.10.30.69 peut envoyer une requête ping à Internet (adresse IP 8.8.8.8) et à la passerelle par défaut connectée de couche 2 (10.10.30.254). Avant l’attaque, le point de terminaison envoie des pings continus à d’autres points de terminaison sur le réseau local et Internet.

    Le point de terminaison envoie une requête ping au serveur C&C sur Internet à partir de Windows Supplicant (dans cet exemple, à partir de l’adresse IP 184.75.221.43).

    Figure 77 : Confirmation du ping à partir de Windows Supplicant Confirming Ping from Windows Supplicant

Après l’attaque, la session 802.1X est interrompue par RADIUS CoA sur le commutateur EX4300 initié par ForeScout CounterACT.

Confirmez les informations suivantes :

  • Vérifiez que Windows Supplicant ne peut plus se connecter à Internet ou au réseau local.

    Figure 78 : Confirmation que le ping de Windows Supplicant est bloqué après l’attaque Confirming Ping from Windows Supplicant is Blocked After the Attack

  • Après le message de déconnexion RADIUS CoA, vérifiez que le demandeur Windows ne se trouve plus dans le VLAN utilisateur (vlan31), mais dans le VLAN par défaut.

  • Vérifiez que d’autres demandes d’authentification sont rejetées par ForeScout CounterACT.

  • Confirmez la correspondance de la stratégie SDSN BLOCK (dot1x) et les détails de l’action de correction automatisée des menaces en accédant à ForeScout CounterACT > Home.

    Figure 79 : Vérification de la correspondance de la stratégie de blocage SDSN 802.1X 802.1X SDSN Block Policy Match Verification

  • Accédez à Log > Host Log. Passez en revue les détails de la stratégie SDSN BLOCK (dot1x).

    Figure 80 : journal de 802.1X Host Log l’hôte 802.1X

  • Vérifiez que l’adresse IP du demandeur Windows a également été ajoutée au flux des hôtes infectés sur le périphérique SRX Series pour bloquer l’accès à Internet.

  • Dans le portail ATP Cloud, accédez à Monitor > Hosts. Confirmez l’adresse IP de l’hôte (10.10.30.69), l’ID MAC et le port de commutation du demandeur Windows.

    Figure 81 : surveillance de l’hôte dans le cloud ATP ATP Cloud Host Monitoring

Sens

Toutes les sessions ping indiquent que le trafic est bloqué après la détection de la menace, ce qui confirme le bon fonctionnement du cas d’utilisation de correction automatisée des menaces.

La Hosts page répertorie les hôtes compromis et les niveaux de menace qui leur sont associés. La sortie confirme qu’ATP Cloud et Security Director ont détecté l’hôte infecté. Vous pouvez surveiller et atténuer les détections de logiciels malveillants pour chaque hôte.

Vérifier la fonctionnalité ForeScout CounterACT pour mettre en quarantaine le point de terminaison infecté (avec authentification 802.1X)

But

Testez l’intégration et la fonctionnalité de ForeScout CounterACT lorsqu’un point de terminaison est infecté. Dans cet exemple, vous vérifiez quand la stratégie d’application est configurée pour mettre en quarantaine l’hôte infecté avec l’authentification 802.1X.

Action

Note:

Une machine virtuelle cliente ou un PC physique est nécessaire pour déclencher une attaque.

Avant l’attaque, vérifiez les points suivants :

  • Libérez l’hôte infecté sur le portail ATP Cloud ou dans Security Director (Monitor > Threat Prevention > Hosts).

  • Assurez-vous que l’accès Internet ou LAN est rétabli pour le demandeur Windows.

  • Sur la page, remplacez les Policy Enforcer > Threat Prevention Policy actions du profil de l’hôte infecté par Quarantine vlan32 et ajoutez l’ID VLAN en tant que vlan32. Cliquez sur OK.

    Figure 82 : configuration Threat Prevention Policy Pre-Attack Configuration pré-attaque d’une stratégie de prévention des menaces

  • Vérifiez que Windows Supplicant est authentifié et dans le VLAN utilisateur (vlan31).

  • Vérifiez que le point de terminaison 10.10.30.69 peut envoyer une requête ping à Internet (adresse IP 8.8.8.8) et à la passerelle par défaut connectée de couche 2 (10.10.30.254). Avant l’attaque, le point de terminaison envoie des pings continus à d’autres points de terminaison sur le réseau local et Internet.

    Figure 83 : Confirmation du ping de Windows Supplication avant l’attaque Confirming Ping from Windows Supplication Before the Attack

    Le point de terminaison envoie une requête ping au serveur C&C sur Internet à partir de Windows Supplicant (dans cet exemple, à partir de l’adresse IP 184.75.221.43).

Après l’attaque, la session 802.1X est interrompue par RADIUS CoA sur le commutateur EX4300 initié par ForeScout CounterACT.

Confirmez les informations suivantes :

  • Vérifiez que Windows Supplicant s’authentifie à nouveau et est automatiquement déplacé vers le VLAN de quarantaine (vlan32). Par conséquent, le demandeur Windows ne peut plus se connecter à Internet ou au réseau local.

    Figure 84 : confirmation que le trafic est déplacé vers un VLAN de quarantaine après une attaque Confirm Traffic is Moved to Quarantine VLAN After Attack

  • Après le message de déconnexion du centre d’accès RADIUS et la réauthentification, vérifiez que le demandeur Windows se trouve maintenant dans le VLAN de quarantaine (vlan32).

  • Vérifiez que d’autres demandes d’authentification sont rejetées par ForeScout CounterACT.

  • Confirmez la correspondance de la stratégie SDSN QUARANTINE (dot1x) et les détails de l’action de correction automatisée des menaces en accédant à ForeScout CounterACT > Home.

    Figure 85 : correspondance de la stratégie de mise en quarantaine SDSN 802.1X 802.1X SDSN Quarantine Policy Match

  • Accédez à Log > Host Log. Passez en revue les détails de la stratégie SDSN QUARANTINE (dot1x).

    Figure 86 : journal de l’hôte de quarantaine SDSN 802.1X 802.1X SDSN Quarantine Host Log

  • Vérifiez que l’adresse IP du demandeur Windows a également été ajoutée au flux des hôtes infectés sur le périphérique SRX Series pour bloquer l’accès à Internet.

  • Dans le portail ATP Cloud, accédez à Monitor > Hosts. Confirmez l’adresse IP de l’hôte (10.10.30.69), l’ID MAC et le port de commutation du demandeur Windows.

    Figure 87 : Confirmation des détails de l’hôte dans ATP Cloud Confirming Host Details in ATP Cloud

Sens

La sortie indique que le flux de l’hôte infecté ATP Cloud contenant l’adresse IP du demandeur Windows 10.10.30.69 a été téléchargé avec succès, ce qui a conduit le périphérique SRX à effectuer une action de mise en quarantaine de l’adresse IP.

La Hosts page répertorie les hôtes compromis et les niveaux de menace qui leur sont associés. La sortie confirme qu’ATP Cloud et Security Director ont détecté et mis en quarantaine l’hôte infecté. Vous pouvez surveiller et atténuer les détections de logiciels malveillants pour chaque hôte. Vous pouvez également explorer et vérifier pourquoi l’hôte est marqué comme infecté (pour ce cas d’utilisation, l’adresse IP du serveur C&C). Pour les logiciels malveillants, les détails du fichier téléchargé s’affichent.

Vérifier la fonctionnalité ForeScout CounterACT pour bloquer le point de terminaison infecté (avec NETCONF)

But

Testez l’intégration et la fonctionnalité de ForeScout CounterACT lorsqu’un point de terminaison est infecté. Dans cet exemple, vous vérifiez lorsque la stratégie d’application est NETCONF et qu’elle est configurée pour bloquer l’hôte infecté.

Action

Note:

Une machine virtuelle cliente ou un PC physique est nécessaire pour déclencher une attaque.

Avant l’attaque, vérifiez les points suivants :

  • Sur la page, remplacez les Policy Enforcer > Threat Prevention Policy actions de profil d’hôte infecté par Drop connection silently. Cliquez sur OK.

    Figure 88 : option Drop Connection Silently Option d’interruption silencieuse de la connexion

  • Accédez à l’onglet Stratégies. À partir de la console, arrêtez les stratégies SDSN BLOCK–dot1x et SDSN QUARANTINE–dot1x, et démarrez les stratégies SDSN BLOCK–NETCONF et SDSN QUARANTINE–NETCONF.

    Figure 89 : onglet Stratégies dans le Gestionnaire de Policies Tab in Policy Manager stratégies

  • Vérifiez que l’hôte Linux se trouve dans le VLAN utilisateur (vlan31) avec l’adresse IP 10.10.30.99.

    Figure 90 : Confirmation de l’hôte Linux Host Confirmation Linux

  • Vérifiez que le point de terminaison 10.10.30.99 peut envoyer une requête ping à Internet (adresse IP 8.8.8.8) et à la passerelle par défaut connectée de couche 2 (10.10.30.254). Avant l’attaque, le point de terminaison envoie des pings continus à d’autres points de terminaison sur le réseau local et Internet.

    Figure 91 : Ping Internet Ping Internet

    Le point de terminaison envoie un ping au serveur C&C sur Internet à partir de l’hôte Linux (dans cet exemple, à partir de l’adresse IP 184.75.221.43).

    Figure 92 : Ping C&C Server Ping du serveur C&C

Après l’attaque, ForeScout CounterACT applique ACL sur le commutateur QFX à l’aide de NETCONF. Confirmez les informations suivantes :

  • Vérifiez que l’hôte Linux ne peut plus se connecter à Internet ou au réseau local.

    Figure 93 : confirmation de la déconnexion de l’hôte Confirming Disconnected Linux Host Linux

  • Confirmez la correspondance de la stratégie SDSN BLOCK (NETCONF) et les détails de l’action de correction automatisée des menaces en accédant à ForeScout CounterACT > Home.

    Figure 94 : Confirmation de la correspondance de la stratégie et détails Confirming Policy Match and Automated Threat Remediation Details de la correction automatisée des menaces

  • Accédez à Log > Host Log. Passez en revue les détails de la stratégie SDSN BLOCK (NETCONF).

    Figure 95 : journal de bloc SDSN sur l’hôte SDSN Block Host Log

  • Vérifiez que l’adresse IP de l’hôte Linux a également été ajoutée au flux des hôtes infectés sur le périphérique SRX Series pour bloquer l’accès à Internet.

  • Dans le portail ATP Cloud, accédez à Monitor > Hosts. Confirmez l’adresse IP de l’hôte (10.10.30.99), l’ID MAC et le port de commutation de l’hôte Linux.

    Figure 96 : Confirmation des informations sur l’hôte dans le portail Confirming Host Information in ATP Cloud Portal ATP Cloud

Sens

Toutes les sessions ping indiquent que le trafic est bloqué après la détection de la menace, ce qui confirme le bon fonctionnement du cas d’utilisation de correction automatisée des menaces.

La Hosts page répertorie les hôtes compromis et les niveaux de menace qui leur sont associés. La sortie confirme qu’ATP Cloud et Security Director ont détecté l’hôte infecté. Vous pouvez surveiller et atténuer les détections de logiciels malveillants pour chaque hôte.

Vérifier la fonctionnalité ForeScout CounterACT pour mettre en quarantaine le point de terminaison infecté (avec NETCONF)

But

Testez l’intégration et la fonctionnalité de ForeScout CounterACT lorsqu’un point de terminaison est infecté. Dans cet exemple, vous vérifiez lorsque la stratégie d’application NETCONF et qu’elle est configurée pour mettre en quarantaine l’hôte infecté.

Action

Note:

Une machine virtuelle cliente ou un PC physique est nécessaire pour déclencher une attaque.

Avant l’attaque, vérifiez les points suivants :

  • Libérez l’hôte infecté sur le portail ATP Cloud ou dans Security Director (Monitor > Threat Prevention > Hosts).

  • Assurez-vous que l’accès Internet ou LAN est rétabli pour l’hôte Linux.

  • Sur la page, remplacez les Policy Enforcer > Threat Prevention Policy actions du profil de l’hôte infecté par Quarantine vlan32 et ajoutez l’ID VLAN en tant que vlan32. Cliquez sur OK.

    Figure 97 : Modification de la stratégie de prévention des menaces en mise en quarantaine Changing Threat Prevention Policy to Quarantine

  • Vérifiez que l’hôte Linux se trouve dans le VLAN utilisateur (vlan31) avec l’adresse IP 10.10.30.99.

    Figure 98 : Confirmation des détails Confirming Linux Host Details de l’hôte Linux Confirming Linux Host Details

  • Vérifiez que le point de terminaison 10.10.30.99 peut envoyer une requête ping à Internet (adresse IP 8.8.8.8) et à la passerelle par défaut connectée de couche 2 (10.10.30.254). Avant l’attaque, le point de terminaison envoie des pings continus à d’autres points de terminaison sur le réseau local et Internet.

    Figure 99 : Confirmation de la connectivité Confirming Internet Connectivity Internet

    Le point de terminaison envoie un ping au serveur C&C sur Internet à partir de l’hôte Linux (dans cet exemple, à partir de l’adresse IP 184.75.221.43).

    Figure 100 : Confirmation de la connexion au serveur Confirming Connection to C&C Server C&C

Après l’attaque, ForeScout CounterACT modifie la configuration VLAN de l’interface reliant l’hôte Linux du VLAN utilisateur (vlan31) au VLAN de quarantaine (vlan32) sur le commutateur QFX à l’aide de NETCONF.

Confirmez les informations suivantes :

  • Vérifiez que l’hôte Linux ne peut plus se connecter à Internet ou au réseau local.

    Figure 101 : Confirmation que l’hôte Linux ne peut pas se connecter à Internet ou au réseau Confirming Linux Host Cannot Connect to Internet or LAN local

  • Confirmez la correspondance de la stratégie SDSN QUARANTINE (NETCONF) et les détails de l’action de correction automatisée des menaces en accédant à ForeScout CounterACT > Home.

    Figure 102 : Confirmation de la correspondance de la stratégie et détails Confirming Policy Match and Automated Threat Remediation Details de la correction automatisée des menaces

  • Accédez à Log > Host Log. Passez en revue les détails de la stratégie SDSN BLOCK (NETCONF).

    Figure 103 : journal de l’hôte de la stratégie de blocage SDSN SDSN Block Policy Host Log

  • Vérifiez que l’adresse IP de l’hôte Linux a également été ajoutée au flux des hôtes infectés sur le périphérique SRX Series pour bloquer l’accès à Internet.

  • Dans le portail ATP Cloud, accédez à Monitor > Hosts. Confirmez l’adresse IP de l’hôte (10.10.30.99), l’ID MAC et le port de commutation de l’hôte Linux.

    Figure 104 : Confirmation des détails de l’hôte dans ATP Cloud Portal Confirming Host Details in ATP Cloud Portal

Sens

Le résultat indique que le flux de l’hôte infecté ATP Cloud contenant l’adresse IP de l’hôte Linux 10.10.30.99 a été téléchargé avec succès, ce qui a conduit le périphérique SRX à mettre l’adresse IP en quarantaine.

La Hosts page répertorie les hôtes compromis et les niveaux de menace qui leur sont associés. La sortie confirme qu’ATP Cloud et Security Director ont détecté et mis en quarantaine l’hôte infecté. Vous pouvez surveiller et atténuer les détections de logiciels malveillants pour chaque hôte.

Annexe A : Configurations de l’appareil

Cette section fournit les configurations d’appareils suivantes :

Configuration CLI pour équipement SRX Series

Configuration CLI pour commutateur EX4300

Configuration CLI pour commutateur QFX

Annexe B : Dépannage de l’ajout d’un connecteur tiers

Si vous rencontrez des problèmes lors de l’ajout du connecteur tiers, consultez les fichiers journaux suivants pour obtenir des informations de dépannage.

Cette section couvre les problèmes de connecteur tiers suivants :

Dépannage de Policy Enforcer

Pour résoudre les problèmes liés à Policy Enforcer, consultez les journaux suivants :

  • /srv/feeder/connectors/forescout/logs/forescout_connector.log

  • /srv/feeder/log/controller.log

  • Si le message de journal suivant s’affiche dans le forescout_connector.log fichier :

    Accédez ensuite à l’interface de ligne de commande ForeScout CounterACT et entrez la commande suivante :

Dépannage de ForeScout CounterACT

Pour activer le débogage sur l’interface de ligne de commande pour les plug-ins DEX (eds) et Web API, entrez les commandes suivantes :

  • fstool eds debug 10

  • fstool webapi debug 10

Examinez les fichiers journaux suivants :

  • /usr/local/forescout/log/plugin/eds

  • /usr/local/forescout/log/plugin/webapi

Documentation connexe