Introducción
Este documento describe los pasos para instalar el conector de protección frente a malware avanzado (AMP) con AnyConnect.
AnyConnect AMP Enabler se utiliza como medio para implementar AMP para terminales. En sí mismo no tiene ninguna capacidad para condenar la disposición del archivo. Lleva el software AMP para terminales a un terminal desde ASA. Una vez que AMP está instalado, utiliza la capacidad de la nube para comprobar la disposición de los archivos. Otros servicios de AMP pueden enviar archivos a un análisis dinámico denominado ThreatGrid para puntuar el comportamiento de los archivos desconocidos. Estos archivos pueden ser declarados maliciosos si se cumplen ciertos artefactos. Esto resulta muy útil para los ataques de día cero.
Prerequisites
Requirements
- AnyConnect Secure Mobility Client versión 4.x
- FireAMP/AMP para terminales
- Adaptive Security Device Manager (ASDM) versión 7.3.2 o posterior
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Dispositivo de seguridad adaptable (ASA) 5525 con versión de software 9.5.1
- AnyConnect Secure Mobility Client 4.2.00096 en Microsoft Windows 7 Professional de 64 bits
- ASDM versión 7.5.1(112)
Implementación de AnyConnect para AMP Enabler a través de ASA
Los pasos que intervienen en la configuración son los siguientes:
- Configure el perfil de cliente de AnyConnect AMP Enabler.
- Edite la política de grupo de VPN de AnyConnect y descargue el perfil de servicio del habilitador de AMP.
- Inicie sesión en el panel de AMP para obtener el enlace de descarga de la URL del conector.
- Compruebe la instalación en el equipo del usuario.
Paso 1: Configuración del perfil de cliente de AnyConnect AMP Enabler
- Vaya a Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile.
- Agregue el perfil de servicio de AMP Enabler.


Paso 2: Edite la política de grupo para descargar AnyConnect AMP Enabler
- Vaya a Configuration > Remove Access VPN > Group Policies > Edit.
- Vaya a Advanced > AnyConnect Client > Optional Client Modules to Download .
- Elija AnyConnect AMP Enabler.

Paso 3: Descargue la política de FireAMP
Nota: Antes de continuar, compruebe que el sistema cumple los requisitos del conector de Windows de AMP de terminales.
Requisitos del sistema para el conector de Windows de AMP para terminales
Estos son los requisitos mínimos del sistema para el conector de FireAMP basado en el sistema operativo Windows. El conector FireAMP admite versiones de 32 y 64 bits de estos sistemas operativos. Puede encontrar la documentación más reciente de AMP en la implementación de AMP
Sistema operativo |
Procesador |
Memoria
|
Espacio en disco,
Modo solo nube
|
Espacio en disco
|
Microsoft Windows 7
|
Procesador de 1 GHz o superior
|
1 GB de RAM
|
150 MB de espacio libre en el disco duro (modo solo en la nube)
|
1 GB de espacio de disco duro disponible - TETRA
|
Microsoft Windows 8 y 8.1 (requiere FireAMP Connector 5.1.3 o posterior)
|
Procesador de 1 GHz o superior
|
512 MB de RAM
|
150 MB de espacio libre en el disco duro (modo solo en la nube)
|
1 GB de espacio de disco duro disponible - TETRA
|
Microsoft Windows Server 2003
|
Procesador de 1 GHz o superior
|
512 MB de RAM
|
150 MB de espacio libre en el disco duro (modo solo en la nube)
|
1 GB de espacio de disco duro disponible - TETRA
|
Microsoft Windows Server 2008
|
Procesador de 2 GHz o superior
|
2 GB de RAM
|
150 MB de espacio libre en el disco duro (modo solo en la nube)
|
1 GB de espacio de disco duro disponible - TETRA
|
Microsoft Windows Server 2012 (requiere FireAMP Connector 5.1.3 o posterior)
|
Procesador de 2 GHz o superior
|
2 GB de RAM
|
150 MB de espacio libre en el disco duro (modo solo en la nube)
|
1 GB de espacio de disco duro disponible - TETRA
|
Lo más habitual es que el instalador de AMP se coloque en el servidor web de la empresa.
Para descargar el conector, navegue hasta Administración > Conector de descarga. A continuación, seleccione el tipo y descargue FireAMP (Windows, Android, Mac, Linux).

La página Conector de descarga permite descargar los paquetes de instalación para cada tipo de conector FireAMP. Este paquete se puede colocar en un recurso compartido de red o distribuirse mediante software de gestión.

Seleccionar un grupo
- Sólo auditoría: Monitoreo del sistema basado en SHA-256 calculado sobre cada archivo. Este modo de solo auditoría no pone en cuarentena el malware, pero envía un evento como alerta.
- Proteger: Modo de protección con cuarentena de archivos maliciosos. Supervisar la copia y el movimiento de archivos.
- Triage: Se usa en equipos que ya están comprometidos o infectados.
- Servidor: Conjunto de instalación para el servidor Windows, donde el conector se instala sin el motor Tetra y el controlador DFC. Este grupo está diseñado por su nombre para servidores de controladores que no son de dominio.
- Controlador de dominio: La directiva predeterminada para este grupo está establecida en el modo auditoría como en el grupo Servidor. Asocie todos los servidores de Active Directory de este grupo, lo que significa que el conector se ejecutará en un controlador de dominio de Windows.
AMP cuenta con la función TETRA, que es un motor antivirus completo. Esta opción es opcional por directiva.
Funciones
- Análisis de Flash al instalar: El proceso de análisis se ejecuta durante la instalación. Es relativamente rápido de realizar y se recomienda ejecutar solo una vez.
- Redistribuible: Debe descargar un solo paquete, que contiene instaladores de 32 y 64 bits. En lugar de un bootstrapper, que está disponible dejando esta opción sin marcar y descarga los archivos del instalador, una vez ejecutados.
Nota: Puede crear su propio grupo y configurar la política asociada para él. El objetivo es colocar todos los servidores de directorios activos, por ejemplo, en un grupo, donde la política está en modo auditoría.
El instalador de arranque y el instalador redistribuible también contienen un archivo policy.xml que se utiliza como archivo de configuración para el conector de AMP.
Paso 4: Descargue el perfil de cliente de Web Security
Especifique el servidor web de la empresa o un recurso compartido de red con el instalador de AMP. Esto se suele utilizar en las empresas para ahorrar ancho de banda y colocar los instaladores de confianza en una ubicación centralizada.
Asegúrese de que el enlace HTTPS se puede alcanzar en los terminales sin ningún error de certificado y que el certificado raíz está instalado en el almacén del equipo.
Vuelva al perfil de AMP creado anteriormente en ASA (paso 1) y edite el perfil de habilitación de AMP:
- Para el modo AMP, haga clic en el botón de opción Install AMP Enabler.
- En el campo Windows Installer, agregue la dirección IP del servidor web y el archivo de FireAMP.
- Las opciones de Windows son opcionales.
Haga clic en Aceptar y aplique los cambios.

Paso 5: Conecte con AnyConnect y verifique la instalación del módulo
Cuando los usuarios de VPN de AnyConnect se conectan, ASA envía el módulo AnyConnect AMP Enabler a través de la VPN. Para los usuarios que ya han iniciado sesión, se recomienda cerrar la sesión y volver a iniciarla para habilitar la funcionalidad.
10:08:29 AM Establishing VPN session...
10:08:29 AM The AnyConnect Downloader is performing update checks...
10:08:29 AM Checking for profile updates...
10:08:29 AM Checking for product updates...
10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

Paso 6: Inicio de la conexión VPN Instalación del habilitador AMP y el conector AMP
Una vez que presiona el botón de conexión para iniciar la VPN, se descarga el nuevo módulo de descarga. Tendrá el habilitador de AMP y descargará el paquete de AMP de la ruta de URL especificada un par de pasos antes.

If you look at the event viewer:
AMP enabler install:
Date : 04/24/2017
Time : 10:08:34
Type : Information
Source : acvpndownloader
Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
Paso 7: Compruebe AnyConnect y si está todo instalado
Una vez que la VPN esté conectada y la configuración del servidor web esté instalada, verifique AnyConnect y verifique que todo esté instalado correctamente.
En services.msc puede encontrar un nuevo servicio llamado CiscoAMP_5.1.3. En el comando Powershell vemos:
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"
Status Name DisplayName
------ ---- -----------
Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...

El instalador de AMP agrega nuevos controladores al sistema operativo Windows. Puede utilizar el comando driverquery para enumerar los controladores.
C:\Windows\System32>driverquery /v | findstr immunet
ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA
LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192
ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA
LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
Paso 8: Prueba con una cadena Eicar contenida en un archivo PDF Zombies
Pruebe con una cadena Eicar contenida en un archivo PDF Zombies en un equipo de prueba para verificar que el archivo malicioso está en cuarentena.
Zombies.pdf contiene la cadena Eicar
Paso 9: Resumen de implementación
Esta página muestra una lista de instalaciones del conector FireAMP correctas y erróneas, así como de las que están en curso. Puede ir a Administración > Resumen de implementación.

Paso 10: Verificación de detección de subprocesos
Zombies.pdf desencadenó un evento de cuarentena, que se envía al panel de AMP.
Evento de cuarentena
Additional Information
Para obtener su cuenta de AMP, puede inscribirse en ATS University. Esto le ofrece una descripción general de la funcionalidad de AMP en LAB.
Información Relacionada