Installation und Konfiguration des AMP-Moduls über AnyConnect 4.x und AMP Enabler

Einleitung

In diesem Dokument werden die Schritte zur Installation des Connectors für Advanced Malware Protection (AMP) mit AnyConnect beschrieben.

Der AnyConnect AMP Enabler wird als Medium zur Bereitstellung von AMP für Endgeräte verwendet. Sie selbst hat keine Möglichkeit, die Einstufung einer Datei zu verurteilen. Die AMP für Endgeräte-Software wird von der ASA an ein Endgerät übertragen. Sobald die AMP installiert ist, nutzt sie die Cloud-Kapazität, um den Status von Dateien zu überprüfen. Ein weiterer AMP-Service kann Dateien an eine dynamische Analyse senden, die als ThreatGrid bezeichnet wird, um das Verhalten unbekannter Dateien zu bewerten. Diese Dateien können als schädlich eingestuft werden, wenn bestimmte Artefakte beachtet werden. Dies ist vor allem bei Zero-Day-Angriffen nützlich.

Voraussetzungen

Anforderungen

• AnyConnect Secure Mobility Client Version 4.x
• FireAMP/AMP für Endgeräte
• Adaptive Security Device Manager (ASDM) Version 7.3.2 oder höher

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Adaptive Security Appliance (ASA) 5525 mit Softwareversion 9.5.1
• AnyConnect Secure Mobility Client 4.2.00096 unter Microsoft Windows 7 Professional 64-Bit
• ASDM-Version 7.5.1(112)

AnyConnect-Bereitstellung für AMP Enabler über ASA

Die Konfiguration umfasst folgende Schritte:

• Konfigurieren Sie das AnyConnect AMP Enabler-Clientprofil.
• Bearbeiten Sie die AnyConnect VPN-Gruppenrichtlinie, und laden Sie das AMP Enabler-Serviceprofil herunter.
• Melden Sie sich beim AMP-Dashboard an, um den Link zum Herunterladen der Connector-URL zu erhalten.
• Überprüfen Sie die Installation auf dem Benutzercomputer.

Schritt 1: Konfigurieren des Client-Profils für AnyConnect AMP Enabler

• Navigieren Sie zu Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile (Konfiguration > VPN für Remote-Zugriff > Netzwerkzugriff (Client) > AnyConnect-Client-Profil).
• Fügen Sie das AMP Enabler-Serviceprofil hinzu.

Phase 2: Gruppenrichtlinie bearbeiten, um den AnyConnect AMP Enabler herunterzuladen

• Navigieren Sie zu Konfiguration > Zugriff entfernen VPN > Gruppenrichtlinien > Bearbeiten. 
• Gehen Sie zu Advanced > AnyConnect Client > Optional Client Modules (Erweitert > AnyConnect-Client > Optionale Client-Module zum Herunterladen).
• Wählen Sie AnyConnect AMP Enabler.

Schritt 3: FireAMP-Richtlinie herunterladen

Anmerkung: Bevor Sie fortfahren, überprüfen Sie, ob Ihr System die Anforderungen für den AMP der Endgeräte-Windows-Connector erfüllt.

Systemanforderungen für AMP für Endgeräte Windows Connector

Dies sind die Mindestsystemanforderungen für den FireAMP Connector, die auf dem Windows-Betriebssystem basieren. Der FireAMP Connector unterstützt sowohl die 32-Bit- als auch die 64-Bit-Version dieser Betriebssysteme. Die neueste AMP-Dokumentation finden Sie in der AMP-Bereitstellung.

Am häufigsten wird der AMP-Installer auf dem Enterprise-Webserver installiert.

Um den Connector herunterzuladen, navigieren Sie zu Management > Download Connector. Wählen Sie dann Typ und Download FireAMP (Windows, Android, Mac, Linux).

Auf der Seite Download Connector (Connector herunterladen) können Sie die Installationspakete für jeden FireAMP-Connector-Typ herunterladen. Dieses Paket kann in einer Netzwerkfreigabe gespeichert oder über eine Verwaltungssoftware verteilt werden.

Gruppe auswählen

• Nur Audit: Überwachen des Systems auf der Grundlage von SHA-256, berechnet für jede Datei. Dieser Modus "Nur überwachen" stellt die Malware nicht unter Quarantäne, sendet jedoch ein Ereignis als Warnung.
• Schutz: Schutzmodus mit Quarantäne für schädliche Dateien. Überwachen Sie das Kopieren und Verschieben von Dateien.
• Einstufung: Dies ist zur Verwendung auf bereits kompromittierten/infizierten Computern vorgesehen.
• Server: Installations-Suite für Windows-Server, bei der der Connector ohne Tetra-Engine und DFC-Treiber installiert wird. Diese Gruppe wurde anhand ihres Namens für Nicht-Domänencontroller-Server entworfen.
• Domänencontroller: Die Standardrichtlinie für diese Gruppe ist auf den Überwachungsmodus wie in der Servergruppe festgelegt. Verknüpfen Sie alle Active Directory-Server in dieser Gruppe, d. h. der Connector wird auf einem Windows-Domänencontroller ausgeführt.

Die AMP verfügt über die Funktion TETRA, eine vollständige Antivirus-Engine. Diese Option ist pro Richtlinie optional.

Funktionen

• Flash-Scan bei Installation: Der Scanvorgang wird während der Installation ausgeführt. Es ist relativ schnell durchzuführen und sollte nur einmal ausgeführt werden.
• Weiterverteilbar: Sie sollten ein einzelnes Paket herunterladen, das 32-Bit- und 64-Bit-Installationsprogramme enthält. Statt eines Bootstrappers, der verfügbar ist, lässt diese Option deaktiviert und lädt die Installer-Dateien herunter, sobald sie ausgeführt wurden.

Anmerkung: Sie können eine eigene Gruppe erstellen und die ihr zugeordnete Richtlinie konfigurieren. Der Zweck besteht darin, alle Active Directory-Server in einer Gruppe zu platzieren, in der sich die Richtlinie im Überwachungsmodus befindet.
Der Bootstrapper und das verteilbare Installationsprogramm enthalten beide eine policy.xml-Datei, die als Konfigurationsdatei für den AMP-Connector verwendet wird.

Schritt 4: Profil des Web Security Clients herunterladen

Geben Sie den Unternehmenswebserver oder eine Netzwerkfreigabe mit dem AMP-Installationsprogramm an. Diese Methode wird in der Regel in Unternehmen eingesetzt, um Bandbreite zu sparen und vertrauenswürdige Installationsprogramme an einem zentralen Ort einzurichten.

Stellen Sie sicher, dass der HTTPS-Link auf den Endpunkten ohne Zertifikatfehler erreichbar ist und dass das Stammzertifikat im Computerspeicher installiert ist.

Kehren Sie zum zuvor auf der ASA erstellten AMP-Profil zurück (Schritt 1), und bearbeiten Sie das AMP Enabler-Profil:

1. Klicken Sie für den AMP-Modus auf das Optionsfeld Install AMP Enabler (AMP-Enabler installieren).
2. Fügen Sie im Feld Windows Installer die IP-Adresse für den Webserver und die Datei für FireAMP hinzu.
3. Windows-Optionen sind optional.
   
   Klicken Sie auf OK, und wenden Sie die Änderungen an.

Schritt 5: AnyConnect verwenden und die Installation des Moduls überprüfen

Wenn AnyConnect VPN-Benutzer eine Verbindung herstellen, leitet ASA das AnyConnect AMP Enabler-Modul durch das VPN. Für bereits angemeldete Benutzer wird empfohlen, sich abzumelden und anschließend wieder anzumelden, damit die Funktion aktiviert wird.

10:08:29 AM    Establishing VPN session...
10:08:29 AM    The AnyConnect Downloader is performing update checks...
10:08:29 AM    Checking for profile updates...
10:08:29 AM    Checking for product updates...
10:08:31 AM    Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM    Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM    Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

Schritt 6: VPN-Verbindung starten Installieren von AMP Enabler und AMP Connector

Sobald Sie auf die Schaltfläche zum Verbinden klicken, um das VPN zu starten, lädt es das neue Downloader-Modul herunter. Dieser enthält den AMP Enabler und lädt das AMP-Paket aus dem URL-Pfad herunter, den Sie zuvor in einigen Schritten angegeben haben.

If you look at the event viewer:

AMP enabler install:
Date        : 04/24/2017
Time        : 10:08:34
Type        : Information
Source      : acvpndownloader

Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]

Schritt 7: Überprüfen Sie AnyConnect, und prüfen Sie, ob alles installiert ist.

Wenn das VPN angeschlossen und die Konfiguration des Webservers installiert ist, überprüfen Sie AnyConnect, und stellen Sie sicher, dass alle Komponenten ordnungsgemäß installiert sind.

In der Datei services.msc finden Sie einen neuen Dienst namens CiscoAMP_5.1.3. Im Powershell-Befehl wird Folgendes angezeigt:

PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"

Status   Name               DisplayName
------   ----               -----------
Running  CiscoAMP_5.1.3     Cisco AMP for Endpoints Connector 5...

Das AMP-Installationsprogramm fügt dem Windows-Betriebssystem neue Treiber hinzu. Sie können den Befehl driverquery verwenden, um die Treiber aufzulisten.

C:\Windows\System32>driverquery /v | findstr immunet

ImmunetProte ImmunetProtectDriver   ImmunetProtectDriver   File System   System     Running    OK         TRUE        FA
LSE        4,096      69,632     0      3/17/2017 5:04:20 PM   \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192

ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System   System     Running    OK         TRUE        FA
LSE        4,096      28,672     0      3/17/2017 5:04:08 PM   \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192

Schritt 8: Testen mit einer Eicar-Zeichenfolge in einer Zombies-PDF-Datei

Testen Sie die schädliche Datei mit einer Eicar-Zeichenfolge, die in einer Zombies-PDF-Datei auf einem Testcomputer enthalten ist, um zu überprüfen, ob sie unter Quarantäne gestellt wird.

Zombies.pdf enthält Eicar-Zeichenfolge

Schritt 9: Zusammenfassung der Bereitstellung

Diese Seite zeigt Ihnen eine Liste der erfolgreichen und fehlgeschlagenen FireAMP Connector-Installationen sowie der derzeit laufenden Installationen. Gehen Sie zu Management > Deployment Summary.

Phase 10: Überprüfung der Threaderkennung

Zombies.pdf löste ein Quarantäne-Ereignis aus und wurde an das AMP-Dashboard gesendet.

Quarantäne-Ereignis

Zusätzliche Informationen

Um Ihr AMP-Konto zu erhalten, können Sie sich bei der ATS University anmelden. Dies gibt Ihnen einen Überblick über die AMP-Funktionen in Lab.

Zugehörige Informationen

• Konfigurieren von AMP Enabler
• Technischer Support und Dokumentation für Cisco Systeme