Introduction
Ce document décrit les étapes à suivre pour installer le connecteur Advanced Malware Protection (AMP) avec AnyConnect.
AnyConnect AMP Enabler est utilisé comme support pour déployer AMP for Endpoints. Elle n'a pas la capacité de condamner la disposition des dossiers. Il envoie le logiciel AMP for Endpoints vers un terminal à partir d'ASA. Une fois installé, AMP utilise la capacité du cloud pour vérifier la disposition des fichiers. Un service AMP supplémentaire peut soumettre des fichiers à une analyse dynamique appelée ThreatGrid, afin de noter le comportement des fichiers inconnus. Ces fichiers peuvent être reconnus comme malveillants si certains artefacts sont rencontrés. Ceci est très utile pour les attaques zero-day.
Conditions préalables
Exigences
- Client AnyConnect Secure Mobility version 4.x
- FireAMP / AMP pour les terminaux
- Adaptive Security Device Manager (ASDM) version 7.3.2 ou ultérieure
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Appareil de sécurité adaptatif (ASA) 5525 avec version logicielle 9.5.1
- AnyConnect Secure Mobility Client 4.2.00096 sous Microsoft Windows 7 Professionnel 64 bits
- ASDM version 7.5.1(112)
Déploiement d'AnyConnect pour AMP Enabler via ASA
Les étapes impliquées dans la configuration sont les suivantes :
- Configurez le profil client AnyConnect AMP Enabler.
- Modifiez la stratégie de groupe VPN AnyConnect et téléchargez le profil de service AMP Enabler.
- Connectez-vous au tableau de bord AMP afin d'obtenir le lien de téléchargement de l'URL du connecteur.
- Vérifiez l'installation sur l'ordinateur utilisateur.
Étape 1 : Configuration du profil client AnyConnect AMP Enabler
- Accédez à Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile.
- Ajoutez le profil de service AMP Enabler.


Étape 2 : Modifier la stratégie de groupe pour télécharger l'activateur AnyConnect AMP
- Accédez à Configuration > Remove Access VPN > Group Policies > Edit.
- Accédez à Advanced > AnyConnect Client > Optional Client Modules to Download.
- Sélectionnez AnyConnect AMP Enabler.

Étape 3 : Télécharger la politique FireAMP
Remarque : Avant de continuer, vérifiez si votre système répond à la configuration requise pour le connecteur Windows AMP of Endpoints.
Configuration système requise pour AMP for Endpoints Connecteur Windows
Il s'agit de la configuration système minimale requise pour le connecteur FireAMP basé sur le système d'exploitation Windows. Le connecteur FireAMP prend en charge les versions 32 bits et 64 bits de ces systèmes d'exploitation. La documentation la plus récente d'AMP se trouve dans la section Déploiement d'AMP
Système d'exploitation |
Processeur |
Mémoire
|
Espace disque,
Mode cloud uniquement
|
Espace disque
|
Microsoft Windows 7
|
Processeur 1 GHz ou plus rapide
|
1 Go de RAM
|
150 Mo d'espace disque disponible - mode Cloud uniquement
|
1 Go d'espace disque disponible - TETRA
|
Microsoft Windows 8 et 8.1 (nécessite FireAMP Connector 5.1.3 ou version ultérieure)
|
Processeur 1 GHz ou plus rapide
|
512 Mo de RAM
|
150 Mo d'espace disque disponible - mode Cloud uniquement
|
1 Go d'espace disque disponible - TETRA
|
Microsoft Windows Server 2003
|
Processeur 1 GHz ou plus rapide
|
512 Mo de RAM
|
150 Mo d'espace disque disponible - mode Cloud uniquement
|
1 Go d'espace disque disponible - TETRA
|
Microsoft Windows Server 2008
|
Processeur 2 GHz ou plus rapide
|
2 Go de RAM
|
150 Mo d'espace disque disponible - mode Cloud uniquement
|
1 Go d'espace disque disponible - TETRA
|
Microsoft Windows Server 2012 (nécessite FireAMP Connector 5.1.3 ou version ultérieure)
|
Processeur 2 GHz ou plus rapide
|
2 Go de RAM
|
150 Mo d'espace disque disponible - mode Cloud uniquement
|
1 Go d'espace disque disponible - TETRA
|
Le plus souvent, le programme d'installation d'AMP doit être placé sur le serveur Web d'entreprise.
Pour télécharger le connecteur, accédez à Management > Download Connector. Ensuite, choisissez le type et Download FireAMP (Windows, Android, Mac, Linux).

La page Download Connector vous permet de télécharger les packages d'installation pour chaque type de connecteur FireAMP. Ce package peut être placé sur un partage réseau ou distribué via un logiciel de gestion.

Sélectionner un groupe
- Audit uniquement : Surveillance du système en fonction de SHA-256 calculé sur chaque fichier. Ce mode Audit uniquement ne met pas en quarantaine le programme malveillant, mais envoie un événement sous forme d'alerte.
- Protéger : Mode de protection avec mise en quarantaine des fichiers malveillants. Surveillez la copie et le déplacement des fichiers.
- Triage : Il est destiné à être utilisé sur un ordinateur déjà compromis/infecté.
- Serveur : Suite d'installation pour serveur Windows, où le connecteur s'installe sans moteur Tetra et pilote DFC. Ce groupe est conçu par son nom pour les serveurs contrôleurs autres que de domaine.
- Contrôleur de domaine : La stratégie par défaut de ce groupe est définie sur le mode audit comme dans le groupe de serveurs. Associez tous vos serveurs Active Directory dans ce groupe, ce qui signifie que le connecteur sera exécuté sur un contrôleur de domaine Windows.
Le processeur AMP dispose de la fonctionnalité appelée TETRA, qui est un moteur antivirus complet. Cette option est facultative par stratégie.
Caractéristiques
- Analyse Flash lors de l'installation : Le processus d'analyse s'exécute pendant l'installation. Il est relativement rapide à exécuter et recommandé de ne l'exécuter qu'une seule fois.
- Redistribuable : Vous devez télécharger un seul package, qui contient des programmes d'installation 32 bits et 64 bits. Au lieu d'un bootstrapper, qui est disponible en laissant cette option décochée et télécharge les fichiers d'installation, une fois exécuté.
Remarque : Vous pouvez créer votre propre groupe et configurer la stratégie qui lui est associée. L'objectif est de placer tous les serveurs Active Directory, par exemple, dans un groupe, où la stratégie est en mode audit.
Le programme d'amorçage et le programme d'installation redistribuable contiennent également un fichier policy.xml qui est utilisé comme fichier de configuration pour le connecteur AMP.
Étape 4 : Télécharger le profil du client de sécurité Web
Spécifiez un serveur Web d'entreprise ou un partage réseau avec le programme d'installation AMP. Cette méthode est généralement utilisée dans toutes les entreprises pour économiser de la bande passante et placer les installateurs approuvés dans un emplacement centralisé.
Assurez-vous que la liaison HTTPS est accessible sur les points d'extrémité sans erreur de certificat et que le certificat racine est installé dans le magasin de l'ordinateur.
Revenez au profil AMP créé précédemment sur l'ASA (étape 1) et modifiez le profil AMP Enabler :
- Pour le mode AMP, cliquez sur la case d'option Installer AMP Enabler.
- Dans le champ Windows Installer, ajoutez l'adresse IP du serveur Web et le fichier pour FireAMP.
- Les options Windows sont facultatives.
Cliquez sur OK et appliquez les modifications.

Étape 5 : Connexion à AnyConnect et vérification de l'installation du module
Lorsque des utilisateurs AnyConnect VPN se connectent, ASA envoie le module AnyConnect AMP Enabler via le VPN. Pour les utilisateurs déjà connectés, il est recommandé de se déconnecter, puis de se reconnecter pour que la fonctionnalité soit activée.
10:08:29 AM Establishing VPN session...
10:08:29 AM The AnyConnect Downloader is performing update checks...
10:08:29 AM Checking for profile updates...
10:08:29 AM Checking for product updates...
10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

Étape 6 : Démarrer l'installation de la connexion VPN AMP Enabler et du connecteur AMP
Une fois que vous avez cliqué sur le bouton connect pour démarrer le VPN, il télécharge le nouveau module de téléchargement. Cette opération utilise l'activateur AMP et télécharge le package AMP à partir du chemin d'URL que vous avez spécifié quelques étapes auparavant.

If you look at the event viewer:
AMP enabler install:
Date : 04/24/2017
Time : 10:08:34
Type : Information
Source : acvpndownloader
Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
Étape 7 : Vérifiez AnyConnect et si tout est installé
Une fois que le VPN est connecté et que la configuration du serveur Web est installée, vérifiez AnyConnect et vérifiez que tout est correctement installé.
Le fichier services.msc contient un nouveau service appelé CiscoAMP_5.1.3. La commande Powershell affiche les informations suivantes :
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"
Status Name DisplayName
------ ---- -----------
Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...

AMP Installer ajoute de nouveaux pilotes au système d'exploitation Windows. Vous pouvez utiliser la commande driverquery pour répertorier les pilotes.
C:\Windows\System32>driverquery /v | findstr immunet
ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA
LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192
ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA
LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
Étape 8 : Tester avec une chaîne Eicar contenue dans un fichier PDF Zombies
Testez avec une chaîne Eicar contenue dans un fichier PDF Zombies dans un ordinateur de test afin de vérifier que le fichier malveillant est mis en quarantaine.
Zombies.pdf contient une chaîne Eicar
Étape 9 : Résumé du déploiement
Cette page affiche la liste des installations réussies et échouées du connecteur FireAMP, ainsi que celles en cours. Vous pouvez accéder à Gestion > Résumé du déploiement.

Étape 10 : Vérification de détection de thread
Zombies.pdf a déclenché un événement de quarantaine, envoyé au tableau de bord AMP.
Événement de quarantaine
Additional Information
Pour obtenir votre compte AMP, vous pouvez vous inscrire à l'ATS University. Ce document présente les fonctionnalités d'AMP dans les travaux pratiques.
Informations connexes