Installatie en configuratie van AMP-module via AnyConnect 4.x en AMP-inschakelaar

Inleiding

In dit document worden de stappen doorlopen voor de installatie van de AMP-connector (Advanced Malware Protection) met AnyConnect.

De AnyConnect AMP Enabler wordt gebruikt als medium voor de implementatie van AMP voor eindpunten. Op zichzelf heeft het geen mogelijkheid om de beschikkingsbevoegdheid van het dossier te veroordelen. Het duwt de AMP voor Endpoints-software naar een eindpunt van ASA. Zodra het AMP is geïnstalleerd, gebruikt het cloudcapaciteit om te controleren op de verwijdering van bestanden. Verdere AMP-service kan bestanden indienen voor dynamische analyse genaamd ThreatGrid, om onbekend bestandsgedrag te scoren. Deze bestanden kunnen als kwaadaardig worden veroordeeld als aan bepaalde artefacten wordt voldaan. Dit is zeer nuttig voor zero-day-aanvallen.

Voorwaarden

Vereisten

• AnyConnect Secure Mobility Client versie 4.x
• FireAMP / AMP voor Eindpunten
• Adaptive Security Device Manager (ASDM) versie 7.3.2 of hoger

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Adaptive Security Appliance (ASA) 5525 met softwareversie 9.5.1
• AnyConnect Secure Mobility Client 4.2.00096 op Microsoft Windows 7 Professional 64-bits
• ASDM versie 7.5.1(112)

AnyConnect-implementatie voor AMP-enabler via ASA

De stappen voor de configuratie zijn als volgt:

• Configureer het AnyConnect AMP Enabler-clientprofiel.
• Bewerk het AnyConnect VPN-groepsbeleid en download het AMP-serviceprofiel.
• Meld u aan bij het AMP-dashboard om de link voor het downloaden van de connector-URL te krijgen.
• Controleer de installatie op het gebruikerssysteem.

Stap 1: Het AnyConnect AMP-clientprofiel configureren

• Ga naar Configuratie > Externe toegang VPN > Netwerktoegang (client) > AnyConnect-clientprofiel.
• Voeg het AMP-serviceprofiel toe.

Stap 2: Bewerk het groepsbeleid om de AMP-inschakelaar voor AnyConnect te downloaden

• Navigeer naar Configuratie > Access VPN verwijderen > Groepsbeleid > Bewerken. 
• Ga naar Geavanceerd > AnyConnect-client > Optionele clientmodules om te downloaden.
• Kies AnyConnect AMP-inschakelaar.

Stap 3: Download het FireAMP-beleid

Opmerking: controleer voordat u doorgaat of uw systeem voldoet aan de vereisten voor het AMP van Windows Endpoints Connector.

Systeemvereisten voor AMP Endpoints voor Windows Connector

Dit zijn de minimale systeemvereisten voor de FireAMP Connector op basis van het Windows-besturingssysteem. De FireAMP Connector ondersteunt zowel 32-bits als 64-bits versies van deze besturingssystemen. De nieuwste AMP-documentatie is te vinden in AMP-implementatie

De meest voorkomende is om het AMP-installatieprogramma op de zakelijke webserver te laten plaatsen.

Als u de connector wilt downloaden, gaat u naar Beheer > Connector downloaden. Kies vervolgens type en Download FireAMP (Windows, Android, Mac, Linux).

Op de pagina Download Connector kunt u de installatiepakketten voor elk type FireAMP-connector downloaden. Dit pakket kan op een netwerkshare worden geplaatst of via beheersoftware worden gedistribueerd.

Selecteer een groep

• Alleen audit: Monitoring van het systeem op basis van SHA-256 berekend over elk bestand. In deze modus Alleen controle wordt de malware niet in quarantaine geplaatst, maar wordt een gebeurtenis als waarschuwing verzonden.
• Beveiligen: Bescherm de modus met schadelijke quarantainebestanden. Kopiëren en verplaatsen van bestanden controleren.
• Triage: Dit is voor gebruik op reeds gecompromitteerde/geïnfecteerde computer.
• Server: installatiesuite voor Windows-server, waarbij de connector wordt geïnstalleerd zonder Tetra-engine en DFC-stuurprogramma. Deze groep is ontworpen met de naam voor niet-domeincontrollerservers.
• Domeincontroller: het standaardbeleid voor deze groep is ingesteld op de controlemodus zoals in de servergroep. Koppel al uw Active Directory-servers in deze groep, wat betekent dat de connector wordt uitgevoerd op een Windows Domain Controller.

De AMP heeft de functie genaamd TETRA, dat is een volledige antivirus-engine. Deze optie is optioneel per beleid.

Kenmerken

• Flash-scan bij installatie: het scanproces wordt uitgevoerd tijdens de installatie. Het is relatief snel uit te voeren en aanbevolen om slechts één keer uit te voeren.
• Herdistribueerbaar: U moet één pakket downloaden, dat 32-bits en 64-bits installateurs bevat. In plaats van een bootstrapper, die beschikbaar is waardoor deze optie niet aangevinkt en downloadt de installer bestanden, eenmaal uitgevoerd.

Opmerking: U kunt uw eigen groep maken en het bijbehorende beleid configureren. Het doel is om alle bijvoorbeeld Active Directory-servers in één groep te plaatsen, waarbij het beleid in de auditmodus staat.
De bootstrapper en het herdistribueerbare installatieprogramma bevatten ook beide een policy.xml-bestand dat wordt gebruikt als een configuratiebestand voor de AMP-connector.

Stap 4: Download het clientprofiel voor webbeveiliging

Geef een bedrijfswebserver of een netwerkshare met het AMP-installatieprogramma op. Dit wordt het meest gebruikt in bedrijven om bandbreedte te besparen en vertrouwde installateurs op een gecentraliseerde locatie te plaatsen.

Zorg ervoor dat de HTTPS-koppeling zonder certificaatfout op de eindpunten kan worden bereikt en dat het rootcertificaat in het systeemarchief is geïnstalleerd.

Ga terug naar het AMP-profiel dat eerder is gemaakt in de ASA (stap 1) en bewerk het AMP-inschakelaarprofiel:

1. Klik in de AMP-modus op het keuzerondje AMP-inschakelaar installeren.
2. Voeg in het veld Windows Installer het IP-adres voor de webserver en het bestand voor de FireAMP toe.
3. Windows-opties zijn optioneel.
   
   Klik op OK en pas de wijzigingen toe.

Stap 5: Maak verbinding met AnyConnect en controleer de installatie van de module

Wanneer AnyConnect VPN-gebruikers verbinding maken, duwt ASA de AnyConnect AMP Enabler-module door de VPN. Voor reeds ingelogde gebruikers wordt aanbevolen om af te melden en vervolgens weer in te loggen om de functionaliteit in te schakelen.

10:08:29 AM    Establishing VPN session...
10:08:29 AM    The AnyConnect Downloader is performing update checks...
10:08:29 AM    Checking for profile updates...
10:08:29 AM    Checking for product updates...
10:08:31 AM    Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM    Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM    Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

Stap 6: VPN Connection installeren AMP Enabler en AMP-connector starten

Zodra u op de verbindingstoets drukt om de VPN te starten, wordt de nieuwe downloader-module gedownload. Dit zal AMP enabler hebben en downloadt het AMP-pakket van het URL-pad dat u een paar stappen eerder hebt opgegeven.

If you look at the event viewer:

AMP enabler install:
Date        : 04/24/2017
Time        : 10:08:34
Type        : Information
Source      : acvpndownloader

Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]

Stap 7: Controleer AnyConnect en controleer of alles is geïnstalleerd

Als de VPN is verbonden en de configuratie van de webserver is geïnstalleerd, controleert u AnyConnect en controleert u of alles goed is geïnstalleerd.

In de services.msc kunt u een nieuwe service vinden met de naam CiscoAMP_5.1.3. In het Powershell commando zien we:

PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"

Status   Name               DisplayName
------   ----               -----------
Running  CiscoAMP_5.1.3     Cisco AMP for Endpoints Connector 5...

Het AMP Installer voegt nieuwe drivers toe aan het Windows-besturingssysteem. U kunt de opdracht driverquery gebruiken om de stuurprogramma's weer te geven.

C:\Windows\System32>driverquery /v | findstr immunet

ImmunetProte ImmunetProtectDriver   ImmunetProtectDriver   File System   System     Running    OK         TRUE        FA
LSE        4,096      69,632     0      3/17/2017 5:04:20 PM   \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192

ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System   System     Running    OK         TRUE        FA
LSE        4,096      28,672     0      3/17/2017 5:04:08 PM   \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192

Stap 8: Test met een Eicar String in een Zombies PDF-bestand

Test met een Eicar-tekenreeks in een Zombies PDF-bestand op een testcomputer om te controleren of het schadelijke bestand in quarantaine is geplaatst.

Zombies.pdf bevat Eicar string

Stap 9: Overzicht van implementatie

Op deze pagina ziet u een lijst met succesvolle en mislukte FireAMP-connectorinstallaties en de momenteel lopende installaties. Ga naar Beheer > Implementatieoverzicht.

Stap 10: verificatie van draaddetectie

Zombies.pdf activeerde een quarantaine-evenement, te verzenden naar het AMP-dashboard.

Quarantainegebeurtenis

Aanvullende informatie

Om uw AMP-account te krijgen, kunt u zich aanmelden voor de ATS University. Dit geeft u een overzicht van AMP-functionaliteit in LAB.

Gerelateerde informatie

• AMP-inschakelaar configureren
• Technische ondersteuning en documentatie – Cisco Systems