Procedure consigliate per Endpoint Security for Linux
Articoli tecnici ID:
KB95920
Ultima modifica: 2022-12-20 17:27:03 Etc/GMT
Ambiente
Firewall Endpoint Security for Linux (ENSLFW) 10.x
Prevenzione delle minacce Endpoint Security for Linux (ENSLTP) 10.x
Riepilogo
Di seguito sono elencate le procedure consigliate per l'utilizzo di SL.
Contenuti Fare clic per espandere la sezione che si desidera visualizzare:
Il modulo kernel e Fanotify sono due modi in cui SL può ottenere eventi di accesso ai file (ad esempio, aprire, leggere e scrivere) dal sistema.
Con il modulo kernel, SL si aggancia alle chiamate di sistema per ottenere gli eventi.
In seguito, il Linux kernel stesso fornisce una funzione denominata Fanotify. Con Fanotify, qualsiasi applicazione spazio utente può registrarsi per ottenere tutti gli eventi del filesystem per l'elaborazione. Questa configurazione evita che le applicazioni dello spazio utente scrivano kernel moduli per lo stesso scopo.
Pertanto, il modulo kernel e Fanotify hanno lo stesso scopo di fornire tutti gli eventi allo spazio utente ENSLTP da sottoporre a scansione. Tutti i clienti di SL che utilizzano Ubuntu/Debian o SUSE utilizzano solo Fanotify in quanto non forniamo un modulo kernel per loro.
I clienti possono utilizzare in modo sicuro Fanotify o il modulo kernel in quanto non vi sono differenze nella funzionalità.
Quando SL è installato con l'OAS attivato (senza scansione differita), blocca l'accesso al file fino a quando SL lo sottopone a scansione e lo trova pulito. Se il file non è pulito, SL accetta l'azione specificata e blocca l'accesso al file. Una scansione file potrebbe essere completata in millisecondi o potrebbe richiedere più tempo per i file più grandi.
Abbiamo osservato che in ambienti intensivi di I/O (ad esempio, Hadoop e splunkd ), un piccolo ritardo nell'ottenimento di eventi dal sistema (a causa della scansione dei file) causa un ritardo nelle prestazioni e nel funzionamento dell'applicazione. Pertanto, il blocco degli eventi durante la scansione ha causato problemi di funzionamento. Per risolvere questo problema, SL 10.7.5 e versioni successive forniscono l'opzione "scansione posticipata". Gli eventi di lettura e scrittura vengono sottoposti a scansione, ma non vengono bloccati durante la scansione.
Con Fanotify, SL utilizza un'opzione di scansione "differita" che consente agli utenti di eseguire la scansione in modo non bloccante per supportare applicazioni intensive i/O elevate per l'esecuzione agevole.
Nota: La scansione differita è applicabile solo sui sistemi basati su Fanotify.
È possibile attivare la scansione posticipata durante l'installazione di SL come parametro:
sudo ./install-mfetp.sh usedeferredscan
Per attivare la scansione posticipata utilizzando la riga di comando:
La configurazione dei profili OAS consente di identificare e filtrare i file e le cartelle da analizzare durante le operazioni di scansione. La creazione di profili OAS con esclusioni e configurazioni appropriate aiuta il sistema a funzionare in modo più semplice ed efficiente.
NOTE:
Per Linux, il nome del processo deve essere il percorso assoluto del binario che viene eseguito anziché solo un nome di processo.
Non aggiungere "Windows" percorsi specifici nelle esclusioni.
È possibile configurare i profili OAS in base ai seguenti metodi:
Configurazione dei profili OAS specifici per il cliente (personalizzati):
È possibile includere eventuali applicazioni specifiche del cliente o processi di applicazione di terze parti nelle esclusioni.
È possibile impostare esclusioni personalizzate del profilo OAS in base ai requisiti. Per impostazione predefinita, SL presenta le seguenti esclusioni di tipo file nel profilo OAS: arc , ctldblmyirdovmdkdbffrmwardtxjarlogmyd ,,,,,,,,,,.
Alcune applicazioni di terze parti eseguono operazioni di I/O intensive che portano alla lentezza del sistema o a un blocco. Per evitare questo problema, è possibile identificare tali processi attivando il registro delle attività "OAS" e aggiungendo i processi negli elenchi di esclusioni del profilo OAS. Per esempio /docker/, /splunk/ e /opt/IBM/.
Dalla console di ePolicy Orchestrator (ePO), accedere alla categoria Policy, alla scansione all'accesso, al policy e fare clic su Avanzate, Impostazioni processo, esclusioni.
Aggiungere i nomi o i percorsi dei processi.
Fare clic su Salva.
Configurazione dei profili OAS basati sui rischi (rischio elevato, rischio basso):
Il profilo OAS è configurato come "standard" per impostazione predefinita, a meno che non si scelga un'opzione basata sul rischio. Categorizzare i processi del sistema o delle applicazioni in base alla criticità e alla sensibilità. Quindi, configurare tali processi come rischio elevato e rischio basso nel profilo OAS.
Per creare profili basati sul rischio dalla console ePO:
Accedere alla categoria Policy, alla scansione all'accesso, al policy e alle opzioni a rischio elevato e a basso rischio.
Fare clic su Aggiungi e aggiungere i processi con l'opzione rischio come rischio elevato o rischio basso.
Per creare profili basati sui rischi utilizzando la riga di comando:
Accedere al sistema con i diritti di amministratore ed eseguire il seguente comando:
Esempio /opt/McAfee/ens/tp/bin/mfetpcli --addprocess --highrisk /usr/bin/google-chrome
Di seguito è riportato un elenco delle procedure consigliate per la creazione e l'assegnazione di policy per ENSLTP e ENSLFW.
Prodotto
DOS
Divieti
ENSLTP
Utilizzare le convenzioni di denominazione appropriate durante la creazione di eventuali policy ENSLTP. Utilizzare i caratteri "alfanumerici" o "_".
Evitare di utilizzare spazi tra i nomi dei profili.
Mantenere i nomi brevi e comprensibili.
Evitare nomi lunghi e di lunga durata.
Attiva sempre l'opzione "sulle unità di rete" nell'Policy OAS se sono montate delle unità di rete (NFS/CIFS) e devono essere sottoposte a scansione.
Le unità montate sulla rete non vengono sottoposte a scansione se disattivate nella policy OAS.
Aggiungere i tipi di file appropriati nelle esclusioni da escludere dalla scansione.
Evitare di aggiungere tipi di file non validi e percorsi basati su Windows nelle esclusioni dalla scansione.
ENSLFW
Utilizzare le convenzioni di denominazione appropriate durante la creazione di eventuali policy ENSLFW. Utilizzare i caratteri "alfanumerici" o "_".
Evitare di utilizzare spazi tra i nomi dei profili.
Mantenere i nomi brevi e comprensibili.
Evitare nomi lunghi e di lunga durata.
Creare più regole di firewall separatamente all'interno di una policy ENSLFW.
Non creare regole di firewall nidificate (regola all'interno della regola). Linux non supporta le regole di firewall nidificate.
Configurare sempre le regole firewall con i nomi di dominio di lavoro.
Non configurare le regole di firewall per i nomi di dominio non validi.
Configurare sempre le regole firewall con numeri di porta di rete validi.
Non configurare le regole di firewall con numeri di porta di rete non validi.
Note: Per ENSLFW in modalità adattiva:
Per motivi di sicurezza, i ping in ingresso (in ingresso) vengono bloccati in modalità adattiva. Pertanto, è necessario creare una regola di autorizzazione esplicita per il traffico ICMP in arrivo.
Il traffico in arrivo verso una porta che non è aperto sull'host viene bloccato in modalità adattiva. Pertanto, è necessario creare una regola di autorizzazione esplicita per il traffico.
Attivare ed eseguire sempre l'attività server "firewall Endpoint Security traduttore proprietà" da ePO quando è attivata la modalità adattiva per il Policy.
Problema::
Splunk è un'applicazione molto intensa di I/O. Le sue prestazioni sono influenzate dal momento in cui le operazioni Splunk vengono intercettate per la scansione dell'OAS.
Suggerimento:
Le prestazioni possono essere migliorate per le applicazioni affidabili di I/O configurando le esclusioni di OAS. Queste esclusioni OAS escludono gli eventi di scansione da questi processi affidabili. Aggiungere le esclusioni del processo OAS come "processi a basso rischio" con la scansione impostata su "non eseguire la scansione" per il profilo a basso rischio.
Procedura per aggiungere esclusioni di OAS per Splunk:
Dalla console ePO, accedere alla categoria Policy, alla scansione all'accesso, al policy e fare clic su Avanzate, Impostazioni processo.
Selezionare Configura impostazioni diverse per processi ad alto e basso rischio.
Impostare la "quando eseguire la scansione" opzione per un rischio basso per non eseguire la scansione.
Fare clic su Aggiungi e aggiungere l'elenco dei processi Splunk esclusi affidabili. Elenco delle esclusioni di Splunk per OAS:
Nota: Le versioni più recenti di SL dispongono di ottimizzazioni delle prestazioni per l'elaborazione delle esclusioni. Pertanto, per ottenere prestazioni migliori con i processi esclusi, utilizzare le seguenti versioni:
Sistemi basati su Fanotify: utilizzare SL 10.7.10 o versioni successive.
Sistemi basati su moduli del kernel: utilizzare SL 10.7.12 o versioni successive.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.