← Terug naar het overzicht

ePO Op Orde: structuur in je system tree

Het beheren van een complexe IT-omgeving kan soms voelen als het organiseren van een ladekast vol losse sokken: je weet dat alles erin zit, maar zonder een systeem is het lastig om snel te vinden wat je zoekt. Gelukkig kun je in Trellix ePO orde scheppen in de chaos met behulp van tags.

In de eerdere edities van The Trellix Times heb ik jullie al verteld hoe je tags kunt gebruiken om specifieke onderzoeken en fixes uit te kunnen voeren. Deze keer zoomen we een stukje uit, en duiken we dieper in hoe je deze tags kunt gebruiken om je system tree logisch en overzichtelijk in te delen.

Dit komt vooral goed van pas als je bijvoorbeeld upgrades gefaseerd wilt uitrollen, policies en policy assignment rules wilt testen, of gewoon sneller problemen wilt oplossen. Ja, het kost even wat tijd vooraf, maar geloof me: je toekomstige beheerder-self zal je er dankbaar voor zijn. En omdat theorie alleen niet genoeg is, nemen we je weer stap voor stap mee door een praktisch voorbeeld, zodat je precies weet hoe je dit zelf kunt doen.

Je system tree handig indelen, doe je in drie stappen:

  1. Bedenk een duidelijke structuur Voordat je als een bezetene tags gaat aanmaken, is het belangrijk om eerst goed na te denken over de logica achter je indeling. Hoe wil je je omgeving organiseren? Wat zijn jouw belangrijkste vereisten voor een goede indeling? Denk aan zaken als OS platform, geografische locatie, IP-bereik, of specifieke systeeminformatie. Je kunt dit zelf helemaal bepalen. Deze stap is cruciaal: een goed doordacht plan voorkomt dat je later met een chaotische wirwar van tags zit.

  2. Creëer tags op basis van je vereisten Zodra je weet welke vereisten je gaat gebruiken, kun je beginnen met het aanmaken van de tags. Tags kunnen automatisch worden toegewezen op basis van Tag Criteria (die behandelen we straks). Het is dus belangrijk dat je jouw vereisten kunt omzetten in die specifieke Tag Criteria. Anders klik je jezelf een muisarm om al die tags handmatig toe te wijzen. Criteria binnen Trellix zijn bijvoorbeeld “OS Platform” of “Systeemnaam”. Tip: zorg ervoor dat de namen van je tags duidelijk en onderscheidend zijn, zodat je direct ziet wat ze betekenen.

  3. Maak groepen aan en koppel automatisch apparaten met tags Nu je een set tags hebt, kun je deze gebruiken om groepen in te delen binnen je system tree. Die groepen zijn de mappen waarin de apparaten uiteindelijk worden geplaatst. Stel je voor dat je een groep aanmaakt voor alle laptops die op Windows draaien. Dan moet je dus een tag aanmaken met Tag Criteria voor het type workstation, en het OS Platform. Vervolgens gaat Trellix ePO deze tag toewijzen als nieuwe systemen hieraan voldoen. Daarna voeg je de tag als Sorting Criteria toe, zodat het systeem in de map komt te staan. Zo vul je je groepen voor makkelijker beheer.

Nu je weet hoe je je system tree op een overzichtelijke manier kunt indelen met behulp van tags, gaan we de stappen doorlopen aan de hand van een concreet voorbeeld. Dat maakt het een stuk makkelijker om het in de praktijk toe te passen.

Het voorbeeld

Laten we de bovenstaande stappen eens doorlopen voor dit netwerkschema. We hebben hier een vrij simpele omgeving, met workstations en servers. Om het voorbeeld overzichtelijk te houden, heb ik alles stiekem al een beetje ingedeeld. We gaan dus het bovenstaande schema in Trellix ePO nabouwen.

1. Bedenk een duidelijke structuur

Als je een netwerkschema bij de hand hebt, zoals hierboven, maakt dat je leven een stuk makkelijker bij het bedenken van een goede structuur. In het geval van dit voorbeeld, zien we al een duidelijke onderverdeling. Allereerst in Workstations en Servers. Workstations kunnen dan weer verder worden opgedeeld in Desktops en Laptops, en de servers in App, Database, en Web Servers.

2. Creëer tags op basis van je vereisten

Aan de hand van stap 1 weten we nu dat we dus tags moeten maken voor:

  • Workstations

  • Desktops

  • Laptops

  • Servers

  • App Servers

  • Database Servers

  • Web Servers

Laten we er voor het gemak vanuit gaan dat we deze tags ook zo noemen. Dan moet je nu de tags gaan aanmaken. Dat doe je onder het hamburger-menu naast het Trellix logo > Tag Catalog > Create new tag.

Laten we beginnen met de desktops-tag. We geven deze de naam “Desktop” en gaan criteria instellen. Trellix kent een hoop Tag Criteria om apparaten automatisch te herkennen. In dit geval hebben we het niet over servers maar over workstations, dus gebruiken we het criterium “OS Platform” en stellen we die in op “= Workstation”. Om vervolgens het onderscheid te maken tussen laptops en desktops, biedt Trellix het criterium “Is Laptop”. Die stellen we dan in op “= No”. Met deze twee regels kan Trellix nu nieuwe apparaten die een workstation èn géén laptop zijn, voorzien van de tag “Desktop”. Een tag voor de laptops is vervolgens ook snel gemaakt. Dezelfde criteria met “Is Laptop = Yes”, geeft de tag automatisch aan laptops.

Het indelen van de servers gaat vervolgens op dezelfde manier, met iets andere criteria. Stel dat we een tag maken voor de App Servers. Dan maken we eerst een tag waarbij we “OS Platform = Server” instellen om de tag Server aan deze systemen toe te kennen. Om vervolgens verder te specificeren, hebben we een tweede tag nodig. Daarvoor kunnen we gebruik maken van “System Name” en die instellen op “contains App_Srv”. Nu worden alle servers die beginnen met “App_Srv” voorzien van de tag “App Server”. Zo kun je tags maken voor die specifieke servergroepen.

3. Maak groepen aan en koppel automatisch apparaten met tags

Over groepen gesproken...

Om met die tags vervolgens een overzichtelijke system tree te krijgen, moet je eerst de groepen aanmaken aan de hand van jouw vereisten uit stap 1. Om het voorbeeld overzichtelijk te houden, gebruiken we hier nu dezelfde naam als voor de tag. Zo hebben we in dit geval dus bijvoorbeeld de groepen “Desktops” of “App Servers”.

Bij het aanmaken van de groepen kun je “Sorting Criteria” toevoegen; de filters waarmee Trellix ePO bepaalt welke apparaten in zo’n groep komen. Met de tags die je nu gemaakt hebt, kun je al een onderverdeling maken in Workstations en Servers. Dat doe je door bij het invullen van de Sorting Criteria de bijbehorende tags toe te voegen, “Servers” voor de Servers groep, en “Workstations” voor de groep Workstations. Maak je vervolgens onder “Workstations” de groep voor “Desktops” aan, dan vul je daar dus de bijbehorende tag “Desktops” in. Voor de servers geldt hetzelfde proces, maar dan dus met je gemaakte server-tags.

Verfijn en optimaliseer je indeling

Je system tree kan altijd verder verfijnd worden. Misschien ontdek je na verloop van tijd dat een extra tag nuttig zou zijn, of dat bepaalde groepen herzien moeten worden. Gaandeweg kun je de logica en structuur van je system tree steeds verder perfectioneren. Vergeet niet: een goede system tree is dynamisch en evolueert mee met je omgeving.

Zo. Dat was weer een fikse Trellix Times deze keer. Een lang verhaal, maar wel heel belangrijk voor het overzichtelijk beheren van je Trellix ePO-omgeving. Ik hoop dat je ermee uit de voeten kan.

Heb je vragen over dit blog, of over andere dingen die met het beheer van Trellix te maken hebben? Je kunt me altijd een berichtje sturen en dan help ik je uit de brand. Ook kun je altijd de andere artikelen in onze kennishub raadplegen. En wil je als eerste op de hoogte zijn van nieuwe tips & trucs voor Trellix-beheer? Abonneer je dan vooral op mijn LinkedIn-nieuwsbrief The Trellix Times 😊.

Meer weten?

Max van der Veer helpt je graag verder. Je kunt hem bereiken op: max@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

Exposure Assessment Platforms: de nieuwe generatie tools voor inzicht

100% inzicht in je aanvalsoppervlak is cruciaal voor security management, maar lastig te bereiken met traditionele SOC-tools zoals SIEM. Een Exposure Assessment Platform (EAP) biedt hiervoor de oplossing. In deze blog ontdek je waarom en kun je je inschrijven voor een demo van ons nieuwe EAP-platform, gebaseerd op Rapid7.