Como criar uma resposta automática para instalar um McAfee Agent em sistemas não autorizados
Artigos técnicos ID:
KB65954
Última modificação: 2022-10-03 18:34:57 Etc/GMT
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.x
McAfee Rogue System Detection (RSD) 5.x
Para obter detalhes sobre os ambientes compatíveis com o RSD, consulte KB82323.
Resumo
Há duas maneiras de distribuir o McAfee Agent a sistemas não autorizados.
- Solução 1 -crie uma tarefa do servidor ePO que seja executada de acordo com uma programação especificada.
Você pode configurar uma resposta automática para distribuir um agente quando o RSD sensor detectar um sistema sem um agente instalado. A tarefa só tenta distribuir o agente uma vez.
NOTA: Se a distribuição do agente não for bem-sucedida, você não poderá configurar a resposta para tentar instalar novamente. Com esse método, você deve criar uma consulta para procurar sistemas não autorizados e, em seguida, criar uma tarefa do servidor para distribuir o agente. A tarefa do servidor pode ser configurada para ser executada várias vezes.
- Solução 2 -crie uma resposta automática que dispare a cada vez que o RSD detectar um novo dispositivo sem nenhum agente instalado.
A resposta automática pode distribuir um agente para qualquer dispositivo detectado pelo RSD quando um sistema é encontrado sem um agente do ePO ativo instalado.
NOTA: Se as credenciais do administrador não forem conhecidas do sistema remoto, ocorrerá falha na distribuição do agente. Este comportamento é esperado.
Cenário de exemplo
Um dispositivo é detectado como não autorizado, quando a estação de trabalho dos visitantes conecta os imóveis de Active Directory (AD). O usuário está usando suas próprias credenciais de administrador da propriedade dos visitantes AD. Use o recurso de resposta automática para distribuir McAfee Agent com base nos eventos RSD. As ações são executadas quando o RSD relata que não há Agent em tempo real.
Solução
1
Crie uma consulta para procurar sistemas não autorizados e uma tarefa do servidor para distribuir o agente para esses mesmos sistemas:
- Entre no console do ePO.
- Criar uma consulta:
- Clique em Menu, Relatórios, Consultas.
- Clique em Nova consulta.
- Selecionar Sistemas detectados inferior Grupo de recursos, e Sistemas detectados inferior Tipos de resultados.
- Clique em Avançar.
- Clique em Tabela inferior Exibir resultados como, e clique em Avançar.
- Verifique se as entradas a seguir estão listadas como colunas exibidas e clique em Avançar:
-Nome do computador
-Nome do DNS
-Último endereço IP detectado
- Clique em Invasor inferior Propriedades disponíveis.
- Verifique se a coluna comparação é É igual a, e o Valor coluna é Verdadeiro.
- Clique em Executar.
- Digite um nome descritivo para a nova consulta e clique em Salvar.
- Clique em Salvar.
- Criar uma tarefa:
- Clique em Menu, Automação, Tarefas do servidor.
- Clique em Nova tarefa.
- Digite um nome para a nova tarefa e clique em Avançar.
- Clique em executar Consulta na lista suspensa ações.
-
Na guia Consulta entrada, selecione a nova consulta na lista.
- Clique em distribuir McAfee agentes na lista. Forneça as credenciais de administrador para instalação e clique em Avançar.
- Programar tarefa para ser executada em um intervalo que melhor se ajuste à sua rede e clique em Avançar.
- Clique em Salvar para programar a tarefa.
Solução
2
Criar uma resposta automática, que é disparada toda vez que o RSD detecta um novo sistema sem um agente:
- Entre no console do ePO como administrador.
- Clique em menu, automação, respostas automáticas.
- Na nova interface, clique em novas respostas.
- Forneça um nome de tarefa que tenha significado para essa atividade.
- Na seção evento ,
- No grupo de eventos, selecione na lista suspensa eventos do sistema detectados.
- Em tipo de evento, selecione na lista suspensa detecção de sistema.
- Clique em Avançar.
- Nas opções listadas no painel esquerdo, selecione endereço IP.
- Na lista suspensa, selecione correspondências de máscara de sub-rede.
- Defina os detalhes da sub-rede conforme o necessário.
- Na seção estado Rouge :
- Na lista suspensa, selecione iguala ' e, em seguida, clique em não Agent.
- Clique em Avançar.
- Essa nova página assume o padrão de disparar esta resposta para cada evento.
Nota: Você também pode gerenciar a configuração para reagir ao volume do evento ou dentro dos períodos de tempo.
- Clique em Avançar.
- Na lista suspensa, selecione: distribuir McAfee Agent.
- Defina os valores de que você precisa para a operação de distribuição usando a nova lista de opções agora apresentada nesta interface.
Nota: Para maximizar a cobertura do ambiente do ePO, é recomendável definir agentes de envio por push usando para todos os manipuladores de Agent.
- Clique em Avançar.
Nessa nova página, verifique se os valores definidos estão corretos
- Clique em Salvar.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|