Déploiement d'AMP de Cisco pour des points finaux avec la persistance d'identité

Introduction

La caractéristique de persistance d'identité sur l'AMP de Cisco pour des points finaux permet un objet UUID (universellement identifiant unique) d'ordinateur à réutiliser quand un ordinateur ou un virtual machine est réimagé ou redéployé. Ceci empêche créer les objets en double d'ordinateur dans un tableau de bord, et met à jour des données contiguës pour ces objets d'ordinateur. Ceci aide également à mettre à jour les connecteurs de point final, à fournir la continuité des données, et à maintenir le compte de permis dans le contrôle.

Conditions préalables

Conditions requises

• Access à l'AMP de Cisco pour le tableau de bord de points finaux.
• Configurez la persistance d'identité avant de déployer au commencement le connecteur.
• La persistance d'identité est seulement prise en charge sur des systèmes d'exploitation Windows.

Note: La caractéristique de persistance d'identité doit être activée en contactant Cisco TAC.

Composants utilisés

• AMP de Cisco pour le tableau de bord de points finaux

Processus

L'option de persistance d'identité utilise le processus suivant quand c'est enable :

1. L'option de persistance d'identité est configurée dans une stratégie.
2. L'AMP pour l'installateur de points finaux est généré du tableau de bord et déployé sur un nouveau ordinateur ou virtual machine.
3. Un nouvel objet d'ordinateur est créé avec un UUID et l'indicateur de persistance d'identité.

Contrôle d'enregistrement : Quand les débuts de service de connecteur, le contrôle d'enregistrement de nuage est exécutés. Le contrôle d'enregistrement évalue les informations de l'ordinateur en cours, comme, de l'adresse Internet et de l'adresse MAC. Il évalue également la configuration de persistance d'identité dans la stratégie contre le nuage pour déterminer si un nouvel UUID doit être généré.

Critères d'enregistrement : Un objet d'ordinateur a un positionnement masqué d'indicateur correspondant à la configuration de persistance d'identité utilisée. Cet indicateur, avec les seules informations (adresse Internet ou adresse MAC) est utilisé pour fournir l'UUID existant à n'importe quel ordinateur qui apparie les critères. Si un indicateur et les seules informations de l'ordinateur ne s'assortit avec aucun objet existant d'ordinateur, un nouveaux UUID et objet sont générés pour l'ordinateur.

Note: En utilisant l'adresse Internet, le nom de domaine complet (FQDN) est utilisé. Si vous avez un ordinateur nommé test et des autres test.domain.com nommé par ordinateur, ils ne s'assortissent pas, et l'UUID n'est pas réutilisé.

Ordinateurs mobiles : Les ordinateurs mobiles entre les groupes avec différentes configurations de persistance d'identité crée des doublons. C'est dû à un indicateur masqué qui est associé avec chaque configuration de persistance d'identité. Quand les configurations ne s'assortissent pas, des doublons sont générés. Les deux groupes doivent faire appliquer la même stratégie en fonctionnant avec à travers des paramètres de la stratégie. Si les configurations sont identiques mais les stratégies sont différentes, des doublons sont créés. 

Note: Si vous voulez copier ou image un ordinateur avec l'AMP de Cisco pour des points finaux installés, lisez s'il vous plaît ce document.

Élection d'adresse MAC : Un ordinateur peut avoir des plusieurs adresses MAC, cependant, il n'est pas possible d'influencer manuellement le processus d'élection d'adresse MAC pendant l'enregistrement de connecteur. Vous devriez utiliser les configurations d'adresse MAC seulement si vous pouvez garantir que vos ordinateurs auront seulement une adresse MAC, autrement utilisez l'adresse Internet.

Groupe par défaut : La persistance d'identité devrait également être configurée pour la stratégie appliquée à votre groupe par défaut. Au cas où une stratégie ou un groupe serait supprimée avec un ordinateur actif, l'ordinateur est placé dans le groupe par défaut quand un contrôle d'enregistrement est exécuté la fois prochaine. Si la persistance d'identité n'est pas configurée pour le groupe par défaut, alors l'objet de doublon est généré.

Note: Dans certains cas un virtual machine copié peut être placé au groupe par défaut plutôt que le groupe qu'il a été copié de. Si ceci se produit, entrez le virtual machine dans le groupe correct dans la console de FireAMP.

Configuration

Suivez les étapes ci-dessous pour déployer le connecteur avec la persistance d'identité :

Étape 1 : Appliquez-vous la persistance désirée d'identité plaçant à vos stratégies :

• Naviguez vers la Gestion > les stratégies.
• Sélectionnez la stratégie désirée. Cliquez sur Edit.
• Allez à l'onglet Général. Il est sélectionné, par défaut.
• Sélectionnez la persistance d'identité de connecteur. La synchronisation d'identité chutent apparaît vers le bas.

Note:  Activation d'une caractéristique après installation des objets en double de causes de points finaux à générer pour chaque ordinateur. 

Sélectionnez une option de synchronisation d'Indentity qui est le meilleur pour votre environnement. Les options suivantes sont disponibles :

• Aucun : La caractéristique n'est pas activée. Le connecteur UUIDs ne sont pas synchronisés avec le nouveau connecteur n'installe sous aucune circonstance. Chaque nouvelle installation génère un nouvel objet d'ordinateur.
  
  
• Par l'adresse MAC à travers l'entreprise : Les nouveaux connecteurs recherchent le connecteur le plus récent qui a la même adresse MAC à synchroniser à travers toutes les stratégies dans l'entreprise qui ont la synchronisation d'identité réglée à une valeur autre qu'aucun. Une fois sélectionné, un objet d'ordinateur est créé et signalé pour synchroniser avec n'importe quel ordinateur qui utilise cette adresse MAC à travers le compte entier.
  
  
• Par l'adresse MAC à travers la stratégie : Les nouveaux connecteurs recherchent le connecteur le plus récent qui a la même adresse MAC à synchroniser avec dans la même stratégie. Une fois sélectionné, un objet d'ordinateur est créé et signalé pour synchroniser avec n'importe quel ordinateur qui utilise cette adresse MAC et est assigné enregistré contre la stratégie spécifique.
  
  
• Par l'adresse Internet à travers l'entreprise : Les nouveaux connecteurs recherchent le connecteur le plus récent qui a la même adresse Internet à synchroniser avec à travers toutes les stratégies dans l'entreprise qui ont la synchronisation d'identité réglée à une valeur autre qu'aucun. Une fois sélectionné, un objet d'ordinateur est créé et signalé pour synchroniser avec n'importe quel ordinateur qui utilise cette adresse Internet à travers le compte entier.
  

  Note: Si vous choisissez d'utiliser la persistance d'identité, Cisco recommandent utilisant par l'adresse Internet à travers l'entreprise. Un ordinateur a une adresse Internet, mais peut avoir plus d'une adresse MAC. En configurant à travers votre entreprise, il réduit la complexité de la configuration en rendant les objets globalement disponibles plutôt que par stratégie.

• Par l'adresse Internet à travers la stratégie : Les nouveaux connecteurs recherchent le connecteur le plus récent qui a la même adresse Internet à synchroniser avec dans la même stratégie. Une fois sélectionné, un objet d'ordinateur est créé et signalé pour synchroniser à n'importe quel ordinateur qui utilise cette adresse Internet et enregistré à la stratégie spécifique.

Étape 2 : Téléchargez le module d'installation du tableau de bord de nuage :

• Naviguez vers le connecteur de Gestion > de téléchargement.
• Sélectionnez le nom de groupe désiré, et les options.
• Cliquez sur Download.
• Utilisez le redistribuable pour le logiciel de déploiement de tiers, ou les installations hors ligne.

Note: Cisco ne prend en charge pas la création des modules ou de l'installation utilisant le logiciel de déploiement de tiers.

3. Déployez le connecteur vers les ordinateurs dans votre organisation.

Vérification

Afin de vérifier si la persistance d'identité fonctionne, suivez les étapes ci-dessous :

1. Installez le connecteur pour générer un objet d'ordinateur qui est signalé pour la synchronisation d'identité.
2. Après que l'objet ait été créé notez le <uuid> à partir du local.xml classer dans le répertoire d'installation C:\Program Files\Sourcefire\fireAMP\local.xml. Vous devriez voir une ligne semblable à ce qui suit :
   

   <uuid>1234567890-abcd-efgh-ijkl-mnopqrst</uuid>

3. Désinstallez après le connecteur. Choisissez non d'avoir tous les fichiers retirés du chemin d'installation.
4. Redémarrez le PC et réinstallez l'AMP pour des points finaux avec le même module qu'avant.
5. Vérifiez le fichier local.xml de nouveau par étapes ci-dessus et assurez-vous qu'il apparie l'UUID de l'original local.xmlfile.

Dépannage

• Assurez-vous que les modules d'installation et les configurations de persistance d'identité sont cohérents.
• Si vous activez le POST-déploiement de persistance d'identité, et employez un module plus ancien pour installer le connecteur sans persistance d'identité activée, le connecteur génère des doublons pendant qu'ils s'enregistrent, et met à jour les stratégies avec des configurations actuelles.
• Si vos ordinateurs semblent partager un UUID, assurez-vous qu'ils ne partagent pas les seules informations, telles que des adresses MAC dans les environnements virtualisés.

Documents connexes