Dell Endpoint Security Suite Enterprise Manuale del proprietario

Tipo
Manuale del proprietario
Endpoint Security Suite Enterprise for Linux
Guida dell'amministratore v2.1
Messaggi di N.B., Attenzione e Avvertenza
N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto.
ATTENZIONE: Un messaggio di ATTENZIONE indica un danno potenziale all'hardware o la perdita di dati, e spiega come evitare il
problema.
AVVERTENZA: Un messaggio di AVVERTENZA indica un rischio di danni materiali, lesioni personali o morte.
© 2012-2018 Dell Inc. Tutti i diritti riservati. Dell, EMC e gli altri marchi sono marchi commerciali di Dell Inc. o delle sue sussidiarie. Gli altri
marchi possono essere marchi dei rispettivi proprietari.Marchi registrati e marchi commerciali utilizzati nella serie di documenti Dell
Encryption, Endpoint Security Suite Enterprise e Data Guardian: Dell™ e il logo Dell, Dell Precision™, OptiPlex™, ControlVault™, Latitude™,
XPS® e KACE™ sono marchi commerciali di Dell Inc. Cylance®, CylancePROTECT e il logo Cylance sono marchi registrati di Cylance, Inc.
negli Stati Uniti e in altri Paesi. McAfee® e il logo McAfee sono marchi commerciali o marchi registrati di McAfee, Inc. negli Stati Uniti e in
altri Paesi. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® e Xeon® sono marchi registrati di Intel Corporation negli Stati Uniti e in altri
Paesi. Adobe®, Acrobat® e Flash® sono marchi registrati di Adobe Systems Incorporated. Authen tec® e Eikon® sono marchi registrati di
Authen tec. AMD® è un marchio registrato di Advanced Micro Devices, Inc. Microsoft®, Windows® e Windows Server®, Internet
Explorer®, Windows Vista®, Windows 7®, Windows 10®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-
V®, Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server® e Visual C++® sono marchi commerciali o marchi registrati di Microsoft
Corporation negli Stati Uniti e/o in altri Paesi. VMware® è un marchio registrato o marchio commerciale di VMware, Inc. negli Stati Uniti o in
altri Paesi. Box® è un marchio registrato di Box. Dropboxè un marchio di servizio di Dropbox, Inc. Google™, Android™, Google™
Chrome™, Gmail™ e Google™ Play sono marchi commerciali o marchi registrati di Google Inc. negli Stati Uniti e in altri Paesi. Apple®, App
Store, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod touch®, iPod shue® e iPod nano®,
Macintosh® e Safari® sono marchi di servizio, marchi commerciali o marchi registrati di Apple, Inc. negli Stati Uniti e/o in altri Paesi.
EnCase™ e Guidance Software® sono marchi commerciali o marchi registrati di Guidance Software. Entrust® è un marchio registrato di
Entrust®, Inc. negli Stati Uniti e in altri Paesi. Mozilla® Firefox® è un marchio registrato di Mozilla Foundation negli Stati Uniti e/o in altri
Paesi. iOS® è un marchio commerciale o un marchio registrato di Cisco Systems, Inc. negli Stati Uniti e in alcuni altri Paesi ed è concesso in
licenza. Oracle® e Java® sono marchi registrati di Oracle e/o suoi aliate. Travelstar® è un marchio registrato di HGST, Inc. negli Stati Uniti
e in altri Paesi. UNIX® è un marchio registrato di The Open Group. VALIDITY™ è un marchio commerciale di Validity Sensors, Inc. negli Stati
Uniti e in altri Paesi. VeriSign® e altri marchi correlati sono marchi commerciali o marchi registrati di VeriSign, Inc. o sue aliate o liali negli
Stati Uniti e in altri Paesi, ed è concesso in licenza a Symantec Corporation. KVM on IP® è un marchio registrato di Video Products. Yahoo!
® è un marchio registrato di Yahoo! Inc. Bing® è un marchio registrato di Microsoft Inc. Ask® è un marchio registrato di IAC Publishing,
LLC. Altri nomi possono essere marchi commerciali dei rispettivi proprietari.
2018 - 11
Rev. A01
Sommario
1 Introduzione................................................................................................................................................... 4
Panoramica......................................................................................................................................................................... 4
Contattare Dell ProSupport.............................................................................................................................................. 4
2 Requisiti.........................................................................................................................................................5
Hardware.............................................................................................................................................................................5
Software..............................................................................................................................................................................5
Porte.................................................................................................................................................................................... 5
Endpoint Security Suite Enterprise for Linux e dipendenze..........................................................................................6
Compatibilità....................................................................................................................................................................... 6
3 Attività...........................................................................................................................................................9
L'installazione...................................................................................................................................................................... 9
Prerequisiti.................................................................................................................................................................... 9
Installazione dalla riga di comando............................................................................................................................. 9
Visualizzazione dei dettagli.........................................................................................................................................11
Verica dell'installazione...................................................................................................................................................12
Risoluzione dei problemi...................................................................................................................................................14
Disattivazione di un certicato di attendibilità SSL.................................................................................................14
Aggiungere l'inventario XML e le modiche ai criteri per la cartella Accessi.......................................................14
Raccogliere i le di registro..............................................................................................................................................15
Provisioning di un tenant................................................................................................................................................. 15
Eseguire il provisioning di un tenant......................................................................................................................... 15
Risoluzione dei problemi del provisioning.......................................................................................................................15
Provisioning e comunicazione agente...................................................................................................................... 15
Sommario
3
Introduzione
La Guida dell'amministratore di Endpoint Security Suite Enterprise per Linux fornisce le informazioni necessarie per installare e distribuire il
software client.
Panoramica
Endpoint Security Suite Enterprise per Linux ore Advanced Threat Prevention a livello di sistema operativo e memoria, il tutto gestito
centralmente da Dell Server. Grazie alla gestione centralizzata, alla creazione di report di conformità consolidati e agli avvisi di minaccia alla
console, le organizzazioni possono facilmente applicare e dimostrare la conformità degli endpoint. L'esperienza della protezione è integrata
con diverse funzioni, come ad esempio criteri predeniti e modelli di rapporto, per aiutare le aziende a ridurre i costi di gestione IT e la
complessità.
Security Management Server o Security Management Server Virtual - assicura l'amministrazione centralizzata dei criteri di sicurezza, si
integra con le directory aziendali esistenti e crea rapporti. Ai ni del presente documento, entrambi i server sono indicati come Dell Server, a
meno che non sia necessario indicare una versione specica (ad esempio, se una procedura è diversa quando si utilizza Security
Management Server Virtual).
Advanced Threat Prevention per Linux ha un le tar.gz, che contiene i tre RPM.
Contattare Dell ProSupport
Per assistenza telefonica sui prodotti Dell, chiamare il numero 877-459-7304, interno 4310039, 24h su 24, 7 giorni su 7.
Inoltre, il supporto online per i prodotti Dell è disponibile all'indirizzo dell.com/support. L'assistenza online comprende driver, manuali,
consulenze tecniche, FAQ e problemi emergenti.
Assicurarsi di avere a portata di mano il codice di matricola o il codice di servizio rapido per essere messi rapidamente in contatto con
l'esperto tecnico più adatto.
Per i numeri di telefono al di fuori degli Stati Uniti, vedere Numeri di telefono internazionali di Dell ProSupport.
1
4 Introduzione
Requisiti
In questo capitolo sono specicati i requisiti hardware e software client. Prima di continuare con le attività di distribuzione, accertarsi che
l'ambiente di distribuzione soddis i requisiti.
Hardware
La tabella seguente descrive in dettaglio l'hardware minimo supportato.
Hardware
Almeno 500 MB di spazio libero su disco
2 GB RAM
Scheda di interfaccia di rete 10/100/1000 o Wi-Fi
N.B.: IPv6 non è attualmente supportato.
Software
La tabella seguente descrive in dettaglio il software supportato.
Sistemi operativi (kernel a 64 bit)
CentOS Linux v7.1 - v7.5
Red Hat Enterprise Linux v7.1 - v7.5
Porte
La porta 443 (https) viene utilizzata per le comunicazioni e deve essere aperta sul rewall anché gli agenti possano comunicare con la
Management Console. Se la porta 443 è bloccata per qualsiasi motivo, è impossibile scaricare gli aggiornamenti, quindi i computer
potrebbero non disporre della protezione più recente. Accertarsi che i computer client abbiano accesso a quanto riportato di seguito:
Utilizzo
Protocollo
dell'applicazione
Protocollo di
trasporto
Numero di
porta
Destinazione Direzione
Tutte le
comunicazioni
HTTPS TCP 443 Consentire tutto il traco https per
*.cylance.com
In uscita
Comunicazioni
con Dell Core
Server
HTTPS TCP 8888 Consente le comunicazioni con Dell Core
Server
In entrata/in uscita
Per ulteriori informazioni, vedere SLN303898.
2
Requisiti 5
Endpoint Security Suite Enterprise for Linux e
dipendenze
Endpoint Security Suite Enterprise for Linux utilizza Mono e le relative dipendenze per l'installazione e l'attivazione sul sistema operativo
Linux. Il programma di installazione scaricherà e installerà le dipendenze richieste. Dopo l'estrazione del pacchetto, è possibile visualizzare le
dipendenze utilizzate mediante il comando seguente:
./showdeps.sh
Compatibilità
La tabella seguente descrive in dettaglio la compatibilità con Windows, Mac e Linux.
n/d - La tecnologia non è applicata a questa piattaforma.
Campo vuoto - Il criterio non è supportato con Endpoint Security Suite Enterprise.
Funzioni Criteri Windows macOS Linux
Azioni le
Quarantena automatica
(non sicuro)
x x x
Quarantena automatica
(anomalo)
x x x
Caricamento automatico
x x x
Criterio Elenco le sicuri
x x x
Azioni memoria
Protezione della memoria x x x
Sfruttamento
Manipolazione dello stack x x x
Protezione dello stack x x x
Sovrascrivi codice x n/d
RAM scraping x n/d
Payload dannoso x
Aggiunta di processo
Allocazione remota di
memoria
x x n/d
Mapping remoto di
memoria
x x n/d
Scrittura remota in
memoria
x x n/d
Scrittura remota di PE in
memoria
x n/d n/d
6 Requisiti
Funzioni Criteri Windows macOS Linux
Codice di sovrascrittura
remoto
x n/d
Annullamento mapping
remoto di memoria
x n/d
Creazione remota di thread x x
APC remoto pianicato x n/d n/d
Aggiunta di DYLD x x
Escalation
Lettura di LSASS x n/d n/d
Allocazione di zero x x
Impostazioni protezione
Controllo delle esecuzioni x x x
Impedisci arresto del
servizio dal dispositivo
x x
Termina processi principali
e relativi processi
secondari non sicuri in
esecuzione
x x x
Rilevamento delle minacce
in background
x x x
Controlla le nuovi x x x
Dimensione massima del
le di archivio da
sottoporre a scansione
x x x
Escludi cartelle speciche x x x
Copia campioni di le x
Controllo delle applicazioni
Modica nestra x x
Esclusioni cartella x
Impostazioni agente
Abilita caricamento
automatico dei le di
registro
x x x
Abilita notiche desktop x
Controllo script
Script attivo x
PowerShell x
Macro di Oce x n/d
Blocca utilizzo console
PowerShell
x
Requisiti 7
Funzioni Criteri Windows macOS Linux
Approva script in cartelle
(e sottocartelle)
x
Livello registrazione x
Livello protezione
automatica
x
Aggiornamento automatico x
Esegui un rilevamento (da
UI agente)
x
Elimina messi in
quarantena (UI agente e UI
console)
x
Modalità disconnessa x x
Dati dettagliati sulla
minaccia
x
Elenco certicati sicuri x x n/d
Copia campioni di malware x x x
Impostazioni proxy x x x
Controllo manuale dei
criteri (UI agente)
x x
8 Requisiti
Attività
L'installazione
Questa sezione guida l'utente nel processo di installazione di Endpoint Security Suite Enterprise per Linux.
Prerequisiti
Dell invita a seguire le procedure consigliate durante la distribuzione del software client. In queste procedure sono compresi, a titolo
esemplicativo, ambienti di testing controllati per i test iniziali e distribuzioni scaglionate agli utenti.
Prima di iniziare questo processo, accertarsi che siano soddisfatti i seguenti prerequisiti:
Assicurarsi che Dell Server e i suoi componenti siano già installati.
Se non è ancora stato installato Dell Server, seguire le istruzioni nella guida appropriata di seguito.
Guida alla migrazione e all'installazione di Security Management Server
Guida introduttiva e all'installazione di Security Management Server Virtual
Assicurarsi di disporre del nome e della porta host di Dell Server. Sono entrambi necessari per l'installazione del software client.
Vericare che il computer di destinazione abbia connettività di rete a Dell Server.
Se un certicato del server del client è mancante o presenta una rma automatica, è necessario disattivare l'adabilità del certicato
SSL solo sul lato client.
Installazione dalla riga di comando
Per installare il client Endpoint Security Suite Enterprise utilizzando la riga di comando, attenersi alla seguente procedura.
Il comando sudo deve essere utilizzato per richiamare i privilegi amministrativi durante l'installazione. Quando richiesto, immettere le proprie
credenziali.
L'approvazione delle impronte digitali viene visualizzata solo durante la prima installazione.
1 Individuare e scaricare il bundle di installazione (DellESSE-1.x.x -xxx.tar.gz) utilizzando l'account Dell FTP.
2 Decomprimere il le tar.gz utilizzando il seguente comando:
tar -xvf DellESSE*.tar.gz
3
Attività 9
3 Il seguente comando esegue lo script di installazione per gli RPM e le dipendenze richiesti:
sudo ./install.sh
4 In Dell Security Management Server Host? immettere il nome host completo di Dell Server per gestire l'utente di destinazione. Ad
esempio, server.organization.com.
5 In Dell Security Management Server Port? vericare che la porta sia impostata su 8888.
6 Immettere y quando viene richiesto di installare il pacchetto DellESSE e le relative dipendenze.
7 Immettere y se richiesto per approvare l'Impronta digitale.
10
Attività
8 Immettere y quando viene richiesto di installare il pacchetto DellAdvancedThreatProtection.
9 Immettere y quando viene richiesto di installare il pacchetto CylanceDellATPPlugin.
10 L'installazione è completata.
11 Fare riferimento alla sezione Verica dell'installazione di Endpoint Security Suite Enterprise per Linux.
Disinstallazione dalla riga di comando
Per disinstallare Endpoint Security Suite Enterprise per Linux utilizzando la riga di comando, attenersi alla seguente procedura.
1 Accedere a una nestra terminale.
2 Disinstallare il pacchetto utilizzando il seguente comando:
sudo ./uninstall.sh
3 Premere Invio.
Endpoint Security Suite Enterprise per Linux è ora disinstallato e il computer può essere utilizzato normalmente.
Visualizzazione dei dettagli
Dopo aver installato Endpoint Security Suite Enterprise per Linux, questo viene riconosciuto da Dell Server come endpoint.
Attività
11
atp -t
Il comando atp - t consente di visualizzare tutte le minacce individuate nel dispositivo e l'azione intrapresa. Le minacce sono una
categoria di eventi appena rilevati come le o programmi potenzialmente pericolosi e necessitano di misure correttive.
Queste voci forniscono i dettagli dell'azione intrapresa, l'ID hash e la posizione della minaccia.
Non sicuro - Un le sospetto di essere un probabile malware
Anormale - Un le sospetto che può essere un malware
Spostato in quarantena - Un le spostato dalla sua posizione originale, memorizzato nella cartella Quarantena e la cui esecuzione viene
impedita sul dispositivo.
Ignorato - un le la cui esecuzione è consentita sul dispositivo.
Cancellato - un le cancellato all'interno dell'organizzazione. I le cancellati includono quelli ignorati che vengono aggiunti all'Elenco le
sicuri ed eliminati dalla cartella Quarantena nel dato dispositivo.
Per ulteriori informazioni sulle classicazioni delle minacce di Advanced Threat Prevention consultare AdminHelp, disponibile nella Remote
Management Console del Dell Server.
Verica dell'installazione
Se si desidera, è possibile vericare che l'installazione sia stata completata correttamente.
Sul client, accedere a una nestra terminale.
Prima di ricevere una sequenza di criteri, il client si registra con Dell Server.
Il le /var/log/Dell/ESSE/DellAgent.00.log riporta in dettaglio le comunicazioni con Dell Server e l'interazione tra plugin e servizio.
Il testo incluso conferma che il client ha ricevuto i criteri da Dell Server:
Il testo incluso conferma che il servizio Dell è stato interrotto per caricare il plugin Advanced Threat Prevention:
12
Attività
Il testo incluso conferma che i tre plugin Endpoint Security Suite Enterprise per Linux sono stati caricati:
atp -s - Include quanto segue:
Stato di registrazione
N. seriale - Utilizzare questo numero quando si contatta il supporto tecnico. Il presente è l'identicatore univoco dell'installazione.
Criterio
Il comando seguente riporta in dettaglio le variabili della riga di comando per Endpoint Security Suite Enterprise per Linux:
/opt/cylance/desktop/atp --help
Attività
13
Il comando atp di Advanced Threat Prevention viene aggiunto alla directory /usr/sbin, che è normalmente inclusa in una variabile PATH della
shell al ne di essere utilizzata nella maggior parte dei casi senza un percorso esplicito.
Risoluzione dei problemi
Disattivazione di un certicato di attendibilità SSL
Se un certicato del server del computer è mancante o presenta una rma automatica, è necessario disattivare l'attendibilità del certicato
SSL solo sul lato client.
Se si utilizza un certicato non comune, importare il certicato radice nell'archivio certicati Linux, quindi riavviare i servizi Endpoint
Security Suite per Linux con il seguente comando: /usr/lib/dell/esse/agentservicecmd.sh restart
1 Accedere a una nestra terminale.
2 Inserire il percorso per l'app CsfCong:
/usr/lib/dell/esse/CsfConfig
3 Eseguire CsfCong.app:
sudo ./CsfConfig
Di seguito vengono visualizzate le impostazioni predenite:
Impostazioni correnti:
ServerHost = deviceserver.company.com
ServerPort = 8888
DisableSSLCertTrust = Falso
DumpXmlInventory = Falso
DumpPolicies = Falso
4 Digitare - help per elencare le opzioni disponibili.
5 Per disattivare l'attendibilità del certicato SSL sul computer di destinazione, immettere il seguente comando:
sudo /usr/lib/dell/esse/CsfConfig -disablecerttrust true
Aggiungere l'inventario XML e le modiche ai criteri per la
cartella Accessi
Per aggiungere i le inventory.xml o policies.xml alla cartella Accessi:
1 Eseguire l'app CsfCong come descritto in precedenza.
2 Per impostare DumpXmlInventory su Vero, immettere il seguente comando:
sudo /usr/lib/dell/esse/CsfConfig -dumpinventory true
3 Per impostare DumpPolicies su Vero, immettere il seguente comando:
sudo /usr/lib/dell/esse/CsfConfig -dumppolicies true
I le dei criteri sono messi da parte solo se si è vericata una modica dei criteri.
4 Per visualizzare i le di registro inventory.xml e policies.xml, andare in /var/log/Dell/Dell Data Protection.
14
Attività
N.B.: Le modiche di CsfCong potrebbero non diventare subito
eettive.
Raccogliere i le di registro
I registri per Endpoint Security Suite Enterprise si trovano nel seguente percorso: /var/log/Dell/ESSE. Per generare i registri, utilizzare il
seguente comando: ./getlogs.sh
Per informazioni su come raccogliere i registri, vedere SLN303924.
Provisioning di un tenant
Deve essere eseguito il provisioning di un tenant nel Dell Server prima che diventi attiva l'applicazione dei criteri di Advanced Threat
Prevention.
Prerequisiti
Deve essere eseguito da un amministratore con il ruolo di amministratore di sistema.
Deve essere dotato di connettività ad Internet per eseguire il provisioning sul Dell Server.
Deve essere dotato di connettività a Internet nel client per visualizzare l'integrazione del servizio online di Advanced Threat Prevention
nella Management Console.
Il provisioning è basato su un token generato da un certicato durante il provisioning.
Le licenze di Advanced Threat Prevention devono essere presenti nel Dell Server.
Eseguire il provisioning di un tenant
1 Eseguire l'accesso alla Remote Management Console come amministratore Dell.
2 Nel riquadro sinistro della Management Console, fare clic su Gestione > Gestione dei servizi.
3 Fare clic su Imposta il servizio Advanced Threat Protection. Se si verica un guasto a questo punto, importare le licenze di Advanced
Threat Prevention.
4 La procedura guidata di installazione si avvia quando le licenze vengono importate. Fare clic su Avanti per iniziare.
5 Leggere e accettare l'EULA e fare clic su Avanti.
6 Fornire le credenziali di identicazione al Dell Server per il provisioning del tenant. Fare clic su Avanti. Il provisioning di un tenant
esistente che è prodotto da Cylance non è supportato.
7 Scaricare il certicato. Questa operazione è necessaria per il ripristino in caso di emergenza con il Dell Server. Il certicato non viene
automaticamente sottoposto a backup. Eseguire il backup del certicato in una posizione sicura su un altro computer. Selezionare la
casella di controllo per confermare che è stato eseguito il backup del certicato e fare clic su Avanti.
8 La congurazione è stata completata. Fare clic su OK.
Risoluzione dei problemi del provisioning
Provisioning e comunicazione agente
I diagrammi seguenti illustrano il processo di provisioning del servizio di Advanced Threat Prevention.
Attività
15
16 Attività
Il diagramma seguente illustra il processo di comunicazione dell'agente di Advanced Threat Prevention.
Attività 17
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17

Dell Endpoint Security Suite Enterprise Manuale del proprietario

Tipo
Manuale del proprietario