Endpoint Security Suite Enterprise for Linux Administratorhandbuch v2.
Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS macht darauf aufmerksam, dass bei Nichtbefolgung von Anweisungen eine Beschädigung der Hardware oder ein Verlust von Daten droht, und zeigt auf, wie derartige Probleme vermieden werden können.
Inhaltsverzeichnis 1 Einleitung....................................................................................................................................................... 4 Übersicht............................................................................................................................................................................. 4 Kontaktaufnahme mit dem Dell ProSupport.......................................................................................................
1 Einleitung Im Administratorhandbuch zu Endpoint Security Suite Enterprise for Linux sind die Informationen enthalten, die zum Bereitstellen und Installieren der Client-Software benötigt werden. Übersicht Die Endpoint Security Suite Enterprise for Linux bietet Advanced Threat Prevention auf der Betriebssystem- und der Speicherebene. Alles wird dabei zentral über den Dell Server verwaltet.
2 Anforderungen In diesem Kapitel werden die Hardware- und Softwareanforderungen für den Client erläutert. Stellen Sie sicher, dass die Implementierungsumgebung die Anforderungen erfüllt, bevor Sie mit der Implementierung fortfahren. Hardware Die folgende Tabelle enthält Informationen zur minimal unterstützten Hardware. Hardware • • • Mindestens 500 MB freier Speicherplatz 2 GB RAM Netzwerkschnittstellenkarte 10/100/1000 oder Wi-Fi ANMERKUNG: IPv6 wird derzeit nicht unterstützt.
Endpoint Security Enterprise for Linux und Abhängigkeiten Endpoint Security Enterprise for Linux verwendet Mono und Abhängigkeiten zur Installation und Aktivierung auf dem Linux-Betriebssystem. Das Installationsprogramm wird die erforderlichen Abhängigkeiten herunterladen und installieren. Nach der Extraktion des Pakets können Sie anzeigen, welche Abhängigkeiten genutzt werden, indem Sie den folgenden Befehl verwenden: ./showdeps.
Funktionen Richtlinien Windows macOS Code remote überschreiben x k. A. Zuordnung von Speicher remote aufheben x k. A. Remote-Thread-Erstellung x x Remote-APC geplant x k. A. k. A. x x k. A. DYLD-Injektion Linux Eskalation LSASS lesen x k. A.
Funktionen 8 Richtlinien Windows Office-Makros x PowershellKonsolennutzung blockieren x Skripte in diesen Ordnern (und Unterordnern) genehmigen x Protokolliergrad x Selbstschutzebene x Automatische Aktualisierung x Erkennung durchführen (von Agent-UI) x In Quarantäne löschen (Agent-UI und KonsolenUI) x Getrennter Modus x Detaillierte Bedrohungsdaten x Zertifizierte sichere Liste x x k. A.
3 Aufgaben Damit ist die Installation Dieser Abschnitt führt Sie durch die Installation von Endpoint Security Suite Enterprise for Linux. Voraussetzungen Dell empfiehlt, bei der Implementierung der Client-Software die Best Practices für IT zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.
3 Mit dem folgenden Befehl wird das Installationsskript für die erforderlichen RPMs und Abhängigkeiten ausgeführt: sudo ./install.sh 4 Geben Sie unter Dell Security Management Server Host? den vollständig qualifizierten Hostnamen des Dell Server zum Verwalten des Zielbenutzers ein. Zum Beispiel server.organization.com. 5 Stellen Sie unter Dell Security Management Server Host? sicher, dass der Port 8888 lautet.
8 Geben Sie y ein, wenn Sie dazu aufgefordert werden, um das DellAdvancedThreatProtection-Paket zu installieren. 9 Geben Sie y ein, wenn Sie dazu aufgefordert werden, um das CylanceDellATPPlug-Paket zu installieren. 10 Damit ist die Installation abgeschlossen. 11 Siehe Überprüfen der Installation von Endpunkt Security Enterprise for Linux.
atp - t Mit dem Befehl atp - t werden alle auf dem Gerät erkannten Bedrohungen sowie die durchgeführten Maßnahmen angezeigt. „Bedrohungen“ sind eine Kategorie von Ereignissen, die als potenziell unsichere Dateien oder Programme neu erfasst wurden und eine geführte Fehlerbehebung erfordern. Diese Einträge beschreiben ergriffene Maßnahmen, Hash-ID und Ort der Gefahr.
Die beigefügte Nachricht bestätigt die drei geladenen Endpoint Security Suite Enterprise for Linux Plug-ins: atp -s – Umfasst Folgendes: • Registrierungsstatus • Seriennummer – Verwenden Sie diese beim technischen Support. Dies ist die eindeutige Kennung für die Installation.
Der atp-Befehl von Advanced Threat Prevention wird zum /usr/sbin-Verzeichnis hinzugefügt, das normalerweise in einer PFAD-Variable einer Shell enthalten ist, sodass es in den meisten Fällen ohne ausdrücklichen Pfad verwendet werden kann. Fehlerbehebung SSL Trust Certificate deaktivieren Wenn das Serverzertifikat eines Computers fehlt oder selbst signiert ist, müssen Sie die Funktion „SSL Certificate Trust“ nur auf der ClientSeite deaktivieren.
4 Zum Anzeigen der Protokolldateien inventory.xml und policies.xml gehen Sie zu /var/log/Dell/Dell Data Protection. ANMERKUNG: CsfConfig-Änderungen werden möglicherweise nicht sofort angewendet. Protokolldateien sammeln Protokolle für Endpoint Security Suite Enterprise for Linux befinden sich an folgendem Speicherort: /var/log/Dell/ESSE. Zum Generieren von Protokollen verwenden Sie den folgenden Befehl: ./getlogs.sh Informationen über das Sammeln der Protokolle finden Sie unter SLN303924.
Aufgaben
Das folgende Diagramm veranschaulicht die Agentenkommunikation für Advanced Threat Prevention.