Trellix Techupdate: Zo gebruik je tags in ePolicy Orchestrator voor policy assignment rules
Max van der Veer, expert in Trellix ePO, biedt dagelijkse technische ondersteuning aan beheerders. Zijn nieuwste blog licht toe hoe tags je helpen bij het beheren van security policies.
In Trellix ePolicy Orchestrator (ePO) en MVISION ePO maak ik regelmatig gebruik van tags voor een reeks taken, waaronder het scheiden van systemen, het automatiseren van updates en het tijdelijk uitschakelen van security policies. In deze blog deel ik mijn praktijkervaring met het laatste onderwerp, specifiek het deactiveren van Adaptive Threat Protection (ATP) policies. Ik loop soms tegen situaties aan waarin Trellix ATP ten onrechte processen blokkeert die juist doorgang moeten vinden.
Het maken van een tag in ePO
Om het beleid van een beveiligingsmodule aan te passen, is een tag essentieel. Stel je voor, er doen zich problemen voor waardoor processen onterecht worden geblokkeerd. In het threat event log van ePO kun je achterhalen welke beveiligingsmodule van Trellix verantwoordelijk is. Als een applicatie bijvoorbeeld niet opstart of crasht, kan Trellix een threat event loggen waarin staat dat Adaptive Threat Protection (ATP) de actie 'Contained' heeft ondernomen. Dit betekent dat ATP het proces in een containment of sandbox heeft geplaatst, wat de oorzaak kan zijn van de verstoring.
Om dit te onderzoeken en te verifiëren, kun je een tag aanmaken die ATP tijdelijk uitschakelt. Vervolgens creëer je een bijbehorende policy en stel je een policy assignment task in. Zo nodig kun je ook een server task opzetten.
Eerst moet de tag worden aangemaakt. Dit doe je door naar de tagcatalogus te gaan en 'New Tag' te kiezen. In ons geval hebben we de tag 'Disable_ATP_TMP' aangemaakt.
Deze tag zal uit zichzelf niets uitvoeren. Hiervoor zal nog een policy met bijbehorende policy assignment rule moeten worden aangemaakt en een query voor de server task om, in dit geval, automatische verwijdering van de tag na een bepaalde tijd uit te voeren.
Zo maak je een policy aan
In de policy configureer ik de functie die toegepast of uitgeschakeld moet worden. In dit voorbeeld schakel ik ATP tijdelijk helemaal uit op het systeem. Hiervoor navigeer je naar policy catalog -> endpoint security adaptive threat protection -> options. Daar kun je een nieuwe policy aanmaken óf een bestaande dupliceren door op het 'edit'-pijltje te drukken. Ik adviseer om de nieuwe policy een duidelijke naam te geven, zodat je later eenvoudig kunt terugzien waarvoor deze gebruikt wordt.
Je kunt nu aanpassingen maken binnen de policy om ATP uit te schakelen. Dit doe je door 'edit' te selecteren bij de desbetreffende policy. Om ATP uit te schakelen, mag het vakje bij 'Enable Adaptive Threat Protection' niet aangevinkt zijn. Na deze wijziging sla je de policy op.
Policy assigment rule aanmaken
Nu de policy gereed is, zorg ik ervoor dat deze alleen wordt toegepast op systemen met de 'Disable_ATP_TMP' tag. Hiervoor creëer ik een policy assignment rule. Je gaat naar de drie streepjes naast het Trellix logo en selecteert 'policy assignment rules'. Onthoud dat policy assignment rules op prioriteit werken; de rule met de hoogste prioriteit (1) heeft voorrang.
Voor het aanmaken van een nieuwe rule kies je 'New Assignment Rule'. Het is belangrijk om de rule een duidelijke naam en beschrijving te geven, zodat je later weet waarvoor hij dient. Deze rule zal 'system based' zijn.
In het tabblad 'Assigned Policies' selecteer je de zojuist aangemaakte policy, bijvoorbeeld: Product -> Endpoint Security Adaptive Threat Protection, Category -> Options, en Policy -> ATP disable. Afhankelijk van de vereisten kunnen meer policies toegevoegd worden, maar in dit voorbeeld is één policy voldoende.
Daarna wijs je de selection criteria toe. Door de 'Disable_ATP_TMP' tag als criterium toe te voegen, zorg je ervoor dat alleen systemen met deze tag de policy assignment rule krijgen.
Eenmaal ingesteld en gecontroleerd op fouten, sla je de assignment rule op. Hierdoor is de rule actief, maar in dit voorbeeld moeten we nog een automatische verwijdering van de tag instellen na een bepaalde tijd. Als dit niet nodig is voor jouw situatie, kun je deze stap overslaan. Maar onthoud dan dat de tag, en dus de policy assignment, actief blijft op het systeem tot deze handmatig wordt verwijderd.
Server task
In dit voorbeeld moet de tag na een bepaalde tijd automatisch verwijderd worden. Dit creëert een tijdsvenster om te testen of de tag het probleem heeft opgelost en om vast te stellen welk Trellix product de oorzaak zou kunnen zijn. Het vergeten te verwijderen van de tag kan leiden tot een beveiligingsrisico en niet-naleving van de productbaseline binnen de organisatie. Om dit automatisch te laten gebeuren en onafhankelijk van menselijk handelen, moet er een server task aangemaakt worden. Deze task is afhankelijk van een query die de gewenste resultaten oplevert.
Je maakt de query door naar 'queries & reports' -> 'new query' -> 'system management' -> 'systems' -> 'next' -> 'chart type: table' -> 'filters' -> 'tag: has tag: disable_ATP_TMP' te navigeren.
Wij hebben een server query en task gecreëerd die elke dag om 22:00 uur automatisch alle TMP tags verwijdert. Andere TMP tags kunnen ook aan deze query toegevoegd worden, zoals getoond in ons voorbeeld.
Sla de query op met een duidelijke naam en beschrijving, zodat je later weet waarvoor deze dient.
Vervolgens maak je de server task aan die de resultaten van de query gebruikt. Ga naar 'server tasks' -> 'new task', geef het een naam, zet 'schedule status' op 'enabled' -> 'next' -> 'actions: run query' -> kies de gemaakte query -> 'sub actions: clear tag' -> selecteer de tag 'Disable_ATP_TMP' (en eventuele andere TMP tags) -> 'next' -> stel in op 'Daily with no end date' om 22:00 uur -> 'next', controleer de samenvatting en sla de task op.
Samenvatting
Nu je alle stappen hebt gevolgd, heb je een tag gecreëerd waarmee je bepaalde beveiligingsmodules van Trellix voor een tijdelijke periode kunt uitschakelen. Je kunt nu testen of het programma stabiel blijft of nog steeds crasht of opstartproblemen vertoont. Dit proces helpt je vast te stellen of de Trellix beveiligingsmodule invloed heeft gehad op de problemen.
Er zijn tal van andere scenario's waar deze stappen ook van pas kunnen komen. Zo kun je bijvoorbeeld voor een specifiek systeem een aangepaste On-Demand scan policy instellen als dat systeem uitzonderingen vereist die niet voor andere systemen gelden. Dat is slechts een voorbeeld van hoe je deze methode kunt toepassen.
In mijn volgende blogpost zal ik dieper ingaan op het gebruik van tags voor het automatiseren en updaten van de Trellix Agent of ENS. Wil je dit lezen? Meld je dan aan voor mijn Trellix updates:
We staan voor je klaar
Heb je hulp nodig met het instellen van een policy assignment task, het toewijzen van tags of een andere use case waar je niet uit komt? Dan staan we voor je klaar. Ook als je nog geen klant van ons bent!
Neem contact met ons op via 085-018 5761 of support@mydigitals.nl
Meer weten?
Max van der Veer helpt je graag verder. Je kunt hem bereiken op: max@mydigitals.nl