Introdução
Este documento aborda as etapas para instalar o conector Advanced Malware Protection (AMP) com o AnyConnect.
O AnyConnect AMP Enabler é usado como um meio para implantar o AMP para endpoints. Ele mesmo não tem qualquer capacidade de condenar a disposição do arquivo. Ele envia o software AMP for Endpoints para um endpoint do ASA. Depois de instalada, a AMP usa a capacidade da nuvem para verificar a disposição dos arquivos. Além disso, o serviço AMP pode enviar arquivos para análise dinâmica chamada ThreatGrid, para pontuar o comportamento de arquivos desconhecidos. Esses arquivos podem ser considerados mal-intencionados se determinados artefatos forem encontrados. Isso é amplamente útil para ataques de dia zero.
Pré-requisitos
Requisitos
- AnyConnect Secure Mobility Client versão 4.x
- FireAMP/AMP para endpoints
- Adaptive Security Device Manager (ASDM) versão 7.3.2 ou posterior
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Adaptive Security Appliance (ASA) 5525 com versão de software 9.5.1
- AnyConnect Secure Mobility Client 4.2.00096 no Microsoft Windows 7 Professional de 64 bits
- ASDM Versão 7.5.1(112)
Implantação do AnyConnect para o AMP Enabler por meio do ASA
As etapas envolvidas na configuração são as seguintes:
- Configure o perfil do cliente do AnyConnect AMP Enabler.
- Edite a política de grupo do AnyConnect VPN e faça download do Perfil de serviço do AMP Enabler.
- Faça login no painel do AMP para obter o link de download do URL do conector.
- Verifique a instalação no computador do usuário.
Passo 1: Configurar o perfil do cliente do AnyConnect AMP Enabler
- Navegue até Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile.
- Adicione o AMP Enabler Service Profile.


Passo 2: Edite a política de grupo para baixar o AnyConnect AMP Enabler
- Navegue até Configuration > Remove Access VPN > Group Policies > Edit.
- Vá para Avançado > AnyConnect Client > Módulos de cliente opcionais para fazer download.
- Escolha AnyConnect AMP Enabler.

Passo 3: Faça o download da política do FireAMP
Note: Antes de continuar, verifique se o sistema atende aos requisitos do Conector do Windows da AMP de Endpoints.
Requisitos do sistema para o conector Windows do AMP for Endpoints
Esses são os requisitos mínimos de sistema para o FireAMP Connector com base no sistema operacional Windows. O FireAMP Connector oferece suporte às versões de 32 e 64 bits desses sistemas operacionais. A documentação mais recente da AMP pode ser encontrada na implantação da AMP
Sistema operacional |
Processador |
Memória
|
Espaço em disco,
Modo Somente Nuvem
|
Espaço em disco
|
Microsoft Windows 7
|
Processador de 1 GHz ou mais rápido
|
1 GB de RAM
|
150 MB de espaço disponível no disco rígido - modo somente de nuvem
|
1 GB de espaço disponível em disco rígido - TETRA
|
Microsoft Windows 8 e 8.1 (requer FireAMP Connector 5.1.3 ou posterior)
|
Processador de 1 GHz ou mais rápido
|
512 MB de RAM
|
150 MB de espaço disponível no disco rígido - modo somente de nuvem
|
1 GB de espaço disponível em disco rígido - TETRA
|
Microsoft Windows Server 2003
|
Processador de 1 GHz ou mais rápido
|
512 MB de RAM
|
150 MB de espaço disponível no disco rígido - modo somente de nuvem
|
1 GB de espaço disponível em disco rígido - TETRA
|
Microsoft Windows Server 2008
|
Processador de 2 GHz ou mais rápido
|
2 GB de RAM
|
150 MB de espaço disponível no disco rígido - modo somente de nuvem
|
1 GB de espaço disponível em disco rígido - TETRA
|
Microsoft Windows Server 2012 (requer FireAMP Connector 5.1.3 ou posterior)
|
Processador de 2 GHz ou mais rápido
|
2 GB de RAM
|
150 MB de espaço disponível no disco rígido - modo somente de nuvem
|
1 GB de espaço disponível em disco rígido - TETRA
|
O mais comum é ter o instalador do AMP no servidor da Web da empresa.
Para baixar o conector, navegue para Gerenciamento > Conector de Download. Em seguida, selecione o tipo e Download FireAMP (Windows, Android, Mac, Linux).

A página Download Connector permite que você faça download dos pacotes de instalação para cada tipo de conector FireAMP. Este pacote pode ser colocado em um compartilhamento de rede ou distribuído através de software de gerenciamento.

Selecionar um grupo
- Somente auditoria: Monitorando o sistema com base em SHA-256 calculado sobre cada arquivo. Esse modo Somente auditoria não coloca o malware em quarentena, mas envia um evento como um alerta.
- Proteger: Modo de proteção com arquivos mal-intencionados em quarentena. Monitore a cópia e a movimentação de arquivos.
- Triagem: Destina-se ao uso em um computador já comprometido/infectado.
- Servidor: Conjunto de instalação para Windows Server, onde o conector é instalado sem o mecanismo Tetra e o driver DFC. Este grupo foi criado pelo nome para servidores que não são controladores de domínio.
- Controlador de domínio: A política padrão para este grupo está definida para o modo de auditoria como no grupo de servidores. Associe todos os servidores do Ative Diretory a este grupo, o que significa que o conector será executado em um Controlador de Domínio do Windows.
O AMP tem o recurso chamado TETRA, que é um mecanismo antivírus completo. Essa opção é opcional de acordo com a política.
Recursos
- Verificação em Flash durante a instalação: O processo de varredura é executado durante a instalação. É relativamente rápido de executar e recomendado executá-lo apenas uma vez.
- Redistribuível: Você deve baixar um único pacote, que contém instaladores de 32 e 64 bits. Em vez de um bootstrapper, que está disponível deixando esta opção desmarcada e faz o download dos arquivos do instalador, uma vez executado.
Note: Você pode criar seu próprio grupo e configurar a política associada a ele. A finalidade é colocar todos os servidores Ative Diretory, por exemplo, em um grupo, onde a política está no modo de auditoria.
O bootstrapper e o instalador redistribuível também contêm um arquivo policy.xml que é usado como um arquivo de configuração para o conector AMP.
Passo 4: Baixar o Web Security Client Profile
Especifique o servidor Web da empresa ou um compartilhamento de rede com o instalador do AMP. Isso é mais comumente usado em empresas para economizar largura de banda e colocar instaladores confiáveis em um local centralizado.
Verifique se o link HTTPS pode ser acessado nos pontos de extremidade sem qualquer erro de certificado e se o certificado raiz está instalado no armazenamento do computador.
Volte para o perfil do AMP criado antes no ASA (etapa 1) e edite o perfil do AMP Enabler:
- Para o modo AMP, clique no botão de opção Install AMP Enabler.
- No campo Windows Installer, adicione o IP do servidor da Web e o arquivo do FireAMP.
- As opções do Windows são opcionais.
Clique em OK e aplique as alterações.

Passo 5: Conectar-se ao AnyConnect e verificar a instalação do módulo
Quando os usuários do AnyConnect VPN se conectam, o ASA envia o módulo AnyConnect AMP Enabler pela VPN. Para usuários já conectados, é recomendável fazer logoff e depois logon novamente para que a funcionalidade seja habilitada.
10:08:29 AM Establishing VPN session...
10:08:29 AM The AnyConnect Downloader is performing update checks...
10:08:29 AM Checking for profile updates...
10:08:29 AM Checking for product updates...
10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

Passo 6: Iniciar conexão VPN instalar o AMP Enabler e o conector AMP
Quando você pressionar o botão connect para iniciar a VPN, ele fará o download do novo módulo do downloader. Isso terá o ativador do AMP e fará o download do pacote do AMP no caminho de URL especificado antes.

If you look at the event viewer:
AMP enabler install:
Date : 04/24/2017
Time : 10:08:34
Type : Information
Source : acvpndownloader
Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
Passo 7: Verifique o AnyConnect e se tudo está instalado
Quando a VPN estiver conectada e a configuração do servidor Web estiver instalada, verifique o AnyConnect e verifique se tudo está instalado corretamente.
No services.msc, você pode encontrar um novo serviço chamado CiscoAMP_5.1.3. No comando Powershell, vemos:
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"
Status Name DisplayName
------ ---- -----------
Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...

O instalador do AMP adiciona novos drivers ao sistema operacional Windows. Você pode usar o comando driverquery para listar os drivers.
C:\Windows\System32>driverquery /v | findstr immunet
ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA
LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192
ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA
LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
Passo 8: Teste com uma sequência de caracteres Eicar contida em um arquivo PDF Zombies
Teste com uma sequência de caracteres Eicar contida em um arquivo PDF Zombies em um computador de teste para verificar se o arquivo mal-intencionado está em quarentena.
Zombies.pdf contém cadeia de caracteres Eicar
Etapa 9: Resumo da Implantação
Esta página mostra uma lista de instalações bem-sucedidas e com falha do conector do FireAMP, bem como aquelas em andamento no momento. Você pode ir para Gerenciamento > Resumo da implantação.

Etapa 10: Verificação de Detecção de Thread
O Zombies.pdf acionou um evento de quarentena, envie para o painel do AMP.
Evento de quarentena
Informações adicionais
Para obter sua conta da AMP, você pode se inscrever na Universidade ATS. Com isso, você terá uma visão geral da funcionalidade da AMP no LAB.
Informações Relacionadas