Eerder liet ik je al zien hoe je tags gebruikt om je omgeving overzichtelijk te houden. Maar soms wil je tijdelijk ander gedrag afdwingen op een systeem. Omdat een applicatie crasht, omdat een proces vastloopt, of gewoon omdat een gebruiker in paniek belt en roept dat ‘de beveiliging zijn werk in de weg zit’.
Wat de reden ook is, in Trellix ePO kun je dat netjes regelen met tags. Die geven je namelijk de mogelijkheid om tijdelijk en gericht een ander beveiligingsbeleid toe te passen zonder dat je de rest van je omgeving raakt.
In deze editie van de Trellix Tactics leggen we je uit hoe dat werkt. We gebruiken Adaptive Threat Protection (ATP) als voorbeeld, omdat deze module vaak voorbij komt bij het onderzoeken van een issue. Maar de aanpak werkt net zo goed voor andere modules in ePO.
Waarom tags?
Stel dat een applicatie niet wil starten. In het threat event log zie je dat Trellix iets heeft geblokkeerd, bijvoorbeeld omdat ATP het proces in containment heeft gezet. Dan wil je tijdelijk testen of dat echt de boosdoener is.
Met tags kun je dat testen zónder meteen je hele organisatie op een andere policy te zetten. Je tagt één systeem, hangt er een tijdelijke policy aan, en je ziet direct of dat het issue oplost. Daarna verwijder je de tag weer; klaar!
Zo stel je het in
1. Tag aanmaken
Ga in ePO naar Menu → Tag Catalog en klik op New Tag. Noem de tag bijvoorbeeld Disable_ATP_TMP of iets anders dat logisch is voor jou.
Deze tag doet op zichzelf nog niks, maar fungeert straks als herkenningspunt.
2. Policy maken
Navigeer naar Menu → Policy Catalog → Endpoint Security Adaptive Threat Protection → Options. Klik op Actions → New Policy, of dupliceer een bestaande via het edit-icoontje.
Noem de policy iets herkenbaars, zoals ATP Disable Temporary. Open de policy en vink 'Enable Adaptive Threat Protection' uit. Sla de wijziging op.
3. Policy assignment rule maken
Ga naar Menu → Policy Assignment Rules. Klik op New Assignment Rule.
Kies een duidelijke naam zoals Apply ATP Disable for TMP Tag
Selecteer System-based rule
Onder Assigned Policies kies je jouw net gemaakte policy
Onder Selection Criteria voeg je de tag Disable_ATP_TMP toe
Controleer of de rule goed staat qua prioriteit (priority 1 = hoogste) MP Tag
Klik op Save.
4. (Optioneel) Automatisch tag verwijderen
Wil je dat het systeem na een bepaalde tijd automatisch weer terugschakelt naar je standaard beleid? Dat kun je doen door een Query en een Server Task in te stellen.
Query:
Ga naar Menu → Queries & Reports → New Query
Type: System Management → Systems
Filters: Tag → Has Tag → Disable_ATP_TMP
View: Table View, sla op als Query - TMP Tags
Server Task:
Ga naar Menu → Server Tasks → New Task
Geef het een naam, bijvoorbeeld Remove TMP Tag
Kies als actie: Run Query → kies de query van hierboven
Subactie: Clear Tag → selecteer de Disable_ATP_TMP tag
Schedule: Daily at 22:00, of iets wat past
Sla op en je bent klaar; de tag wordt nu automatisch verwijderd aan het einde van de dag.
Waar je tags nog meer voor kunt gebruiken
Deze aanpak werkt niet alleen voor ATP-issues. Denk ook aan:
Het automatiseren van updates
Het managen van deployment op systemen
Verschil in beleid tussen systemen d.m.v. System Tree Sorting
Tijdelijk andere scaninstellingen
Gefaseerde implementaties of troubleshooting
Samenvattend
Met een simpele tag kun je tijdelijk beleid aanpassen op individuele systemen, zonder impact op je hele omgeving. Het is snel, gecontroleerd en volledig terug te draaien. Precies wat je nodig hebt in een productieomgeving waar 'even testen' meestal niet echt een optie is.
Heb je vragen? Laat van je horen. We helpen je graag verder.
Tot de volgende Trellix Tactics! (Seintje krijgen wanneer die online staat? Abonneer je op LinkedIn)
Meer weten?
Max van der Veer helpt je graag verder. Je kunt hem bereiken op: max@mydigitals.nl