En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Firewall Endpoint Security for Linux (ENSLFW) 10.x
Prevención de amenazas Endpoint Security for Linux (ENSLTP) 10.x
Resumen
A continuación se indican las prácticas recomendadas a la hora de utilizar ENSL.
Contenido Haga clic para expandir la sección que desee ver:
El módulo kernel y Fanotify son dos formas en las que ENSL puede obtener eventos de acceso a archivos (por ejemplo, abrir, leer y escribir) del sistema.
Con el módulo kernel, ENSL se comunica con las llamadas del sistema para obtener los eventos.
Más adelante, el Linux kernel proporciona una utilidad denominada Fanotify. Con Fanotify, cualquier aplicación de espacio de usuario se puede registrar para obtener todos los eventos de sistema de archivos para su procesamiento. Esta configuración evita que las aplicaciones de espacio de usuario escriban módulos kernel para el mismo propósito.
Por lo tanto, el módulo de kernel y Fanotify tienen el mismo fin de proporcionar todos los eventos al espacio de usuario ENSLTP que analizar. Todos los clientes de ENSL que utilicen Ubuntu/Debian o SUSE solo utilizan Fanotify, ya que no proporcionamos un módulo de kernel para ellos.
Los clientes pueden utilizar de forma segura Fanotify o el módulo kernel, ya que no existe diferencia en la funcionalidad.
Cuando se instala ENSL con OAS activado (sin análisis aplazado), bloquea el acceso al archivo hasta que ENSL lo analiza y descubre que está limpio. Si el archivo no está limpio, ENSL toma la acción especificada y, a continuación, bloquea el acceso al archivo. Es posible que un análisis de archivos se complete en milisegundos o que tarde más en archivos más grandes.
Observamos que en entornos con gran actividad de E/S (por ejemplo, Hadoop y splunkd ), un pequeño retraso en la obtención de eventos del sistema (debido al análisis de archivos) provoca un retraso en el rendimiento y el funcionamiento de la aplicación. Por lo tanto, el bloqueo de los eventos durante el análisis provocaba problemas de funcionamiento. Para solucionar este problema, ENSL 10.7.5 y posteriores proporcionan la opción "análisis diferido". Los eventos de lectura y escritura se analizan, pero no se bloquean durante el análisis.
Con Fanotify, ENSL utiliza una opción de "análisis diferido" que permite a los usuarios realizar el análisis sin bloqueo para que las aplicaciones con gran actividad de E/S funcionen sin problemas.
Nota: El análisis aplazado solo es aplicable en sistemas basados en Fanotify.
Puede activar análisis aplazado mientras instala ENSL como parámetro:
sudo ./install-mfetp.sh usedeferredscan
Para activar análisis aplazado mediante la línea de comandos:
La configuración de los perfiles de OAS ayuda a identificar y filtrar los archivos y las carpetas que se analizarán durante las operaciones de análisis. La creación de perfiles de OAS con las exclusiones y las configuraciones adecuadas ayuda al sistema a funcionar de forma más fluida y eficaz.
NOTAS:
Por Linux, el nombre del proceso debe ser la ruta absoluta del archivo binario se ejecuta en lugar de solo un nombre de proceso.
No agregue "Windows" rutas específicas en las exclusiones.
Puede configurar los perfiles de OAS en función de los siguientes métodos:
Configurar perfiles de OAS específicos para el cliente (personalizado):
Puede incluir cualquier aplicación específica del cliente o procesos de aplicaciones de terceros en las exclusiones.
Puede configurar exclusiones de Perfil de OAS personalizadas en función de los requisitos. De forma predeterminada, ENSL tiene las siguientes exclusiones de tipo de archivo en el perfil de OAS: arc , ctl , dbf , dtxdbl ,, mydlogfrmmyirdojarvmdk ,,,,,, y. war
Algunas aplicaciones de terceros llevan a cabo operaciones de E/S intensivas que llevan a la lentitud del sistema o a un bloqueo. Para evitar este problema, identifique los procesos mediante la activación del "registro de actividad de OAS" y agregue los procesos en las listas de exclusiones del perfil de oas. Por ejemplo, /docker/, /splunk/ y /opt/IBM/.
En la consola de ePolicy Orchestrator (ePO), vaya a categoría de directiva, análisis en tiempo real, su Directiva y haga clic en avanzadas, configuración de procesos, exclusiones.
Agregue los nombres o rutas de los procesos.
Haga clic en Guardar.
Configure perfiles de OAS basados en riesgo (riesgo alto y riesgo bajo):
El perfil de oas se configura como "estándar" de forma predeterminada a menos que elija una opción basada en riesgo. Clasifique los procesos de su sistema o aplicación según la criticidad y la sensibilidad. A continuación, configure los procesos como de riesgo alto y riesgo bajo en el perfil de OAS.
Para crear perfiles basados en riesgo desde la consola de ePO:
Vaya a categoría de directiva, análisis en tiemporeal, su Directiva y elija Opciones de riesgo alto y riesgo bajo.
Haga clic en Agregar y agregue sus procesos con la opción riesgo como riesgo alto o riesgo bajo.
Para crear perfiles basados en riesgo mediante la línea de comandos:
Inicie sesión en el sistema con derechos de administrador y ejecute el siguiente comando:
Como /opt/McAfee/ens/tp/bin/mfetpcli --addprocess --highrisk /usr/bin/google-chrome
A continuación se ofrece una lista de las prácticas recomendadas para crear y asignar directivas para ENSLTP y ENSLFW.
Producto
Conecta
No
ENSLTP
Utilice las convenciones de nomenclatura adecuadas al crear cualquier directiva de ENSLTP. Utilice cualquier carácter ' alfanumérico ' o ' _ '.
Evite el uso de espacios entre los nombres de perfil.
Mantenga los nombres cortos y comprensibles.
Evite nombres largos y extensos.
Siempre activar la "en unidades de red" opción en la Directiva de oas si alguna unidad de red (NFS/CIFS) está montada y debe analizarse.
Las unidades montadas en red no se analizan si están desactivadas en la Directiva de OAS.
Agregue los tipos de archivo adecuados en las exclusiones que se excluirán del análisis.
Evite agregar tipos de archivos no válidos y rutas basadas en Windows en las exclusiones del análisis.
ENSLFW
Utilice las convenciones de nomenclatura adecuadas al crear cualquier directiva de ENSLFW. Utilice cualquier carácter ' alfanumérico ' o ' _ '.
Evite el uso de espacios entre los nombres de perfil.
Mantenga los nombres cortos y comprensibles.
Evite nombres largos y extensos.
Cree varias reglas de firewall por separado en una directiva de ENSLFW.
No cree reglas anidadas de firewall (regla dentro de reglas). Linux no admite reglas de firewall anidadas.
Configure siempre las reglas de firewall con nombres de dominio de trabajo.
No configure reglas de firewall para nombres de dominio no válidos.
Configure siempre las reglas de firewall con números de puerto de red válidos.
No configure reglas de firewall con números de puertos de red no válidos.
Notas: En el caso de ENSLFW en modo de adaptación:
Por motivos de seguridad, los pings entrantes (entrante) se bloquean en modo de adaptación. Por lo tanto, debe crear una regla de permiso explícita para el tráfico ICMP entrante.
El tráfico entrante a un puerto que no está abierto en el host se bloquea en el modo de adaptación. Por lo tanto, debe crear una regla de permiso explícita para ese tráfico.
Siempre activar y ejecute la tarea servidor "Firewall de Endpoint Security traductor de propiedades" desde ePO cuando el modo de adaptación esté activado para la Directiva.
Problema:
Splunk es una aplicación muy intensiva de e/s. Su rendimiento se ve afectado porque las operaciones de Splunk se interceptan para el análisis de OAS.
Recomendación:
Se puede mejorar el rendimiento de las aplicaciones de confianza de E/S intensiva mediante la configuración de exclusiones de OAS. Estas exclusiones de OAS excluyen los eventos de análisis de estos procesos de confianza. Agregue las exclusiones del proceso oas como "bajo riesgo" procesos con el análisis configurado en "no analizar" para el perfil de riesgo bajo.
Pasos para agregar exclusiones de OAS para Splunk:
En la consola de ePO, vaya a categoría de directiva, análisis en tiemporeal, su Directiva y haga clic en avanzadas, configuración de procesos.
Seleccione Configurar ajustes distintos para procesos de riesgo alto y de riesgo bajo.
Establezca la "Cuándo analizar la opción de" para que el riesgo bajo no se analice.
Haga clic en Agregar y agregue la lista de procesos de Splunk excluidos de confianza. Lista de exclusiones de Splunk para OAS:
/opt/splunk/bin/splunkd
/opt/splunk/bin/bloom
/opt/splunk/bin/btool
/opt/splunk/bin/btprobe
/opt/splunk/bin/bzip2
/opt/splunk/bin/cherryd
/opt/splunk/bin/classify
/opt/splunk/bin/exporttool
/opt/splunk/bin/locktest
/opt/splunk/bin/locktool
/opt/splunk/bin/mongod
/opt/splunk/bin/node
/opt/splunk/bin/splunk
/opt/splunk/bin/splunk-optimize
/opt/splunk/bin/splunkmon
/opt/splunk/bin/tsidxprobe
/opt/splunk/bin/tsidxprobe_plo
/opt/splunk/bin/walklex
/opt/splunk/bin/python
Para obtener la lista más reciente de exclusiones de Splunk, consulte la documentación de Splunk.
Nota: Las versiones más recientes de ENSL tienen optimizaciones de rendimiento para procesar exclusiones. Por lo tanto, para conseguir un mejor rendimiento con los procesos excluidos, utilice las siguientes versiones:
Sistemas basados en Fanotify: utilice ENSL 10.7.10 o posterior.
Sistemas basados en módulos de kernel: utilice ENSL 10.7.12 o posterior.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
