Product Guide McAfee Rogue System Detection 4.7.1 Tarkoitettu käytettäväksi epo 5.0.0 -ohjelmiston kanssa Rosvojärjestelmien tunnistaminen Suojaamattomat järjestelmät, joita kutsutaan rosvojärjestelmiksi, ovat usein minkä tahansa tietoturvastrategian heikko kohta, sillä ne luovat kanavia, joita pitkin virukset ja muut mahdollisesti haitalliset ohjelmat pääsevät tunkeutumaan verkkoon. Rogue System Detection havaitsee rosvojärjestelmät lähes reaaliaikaisesti verkkoon asennetun Rogue System Sensorin avulla. Tunnistin kuuntele verkossa lähetettyjä viestejä ja DHCP vastauksia löytääkseen verkkoon yhteyden muodostaneet järjestelmät. Kun tunnistin havaitsee verkossa järjestelmän, se lähettää viestin McAfee epo palvelimelle. Palvelin tarkistaa, onko havaittuun järjestelmään asennettu aktiivinen agentti. Jos palvelin ei tunne havaittua järjestelmää, Rogue System Detection antaa epolicy Orchestratorille tiedot, joiden avulla voit ryhtyä korjaustoimenpiteisiin, kuten ilmoittaa asiasta järjestelmänvalvojille ja ottaa agentti automaattisesti käyttöön järjestelmässä. Mitä rosvojärjestelmät ovat Rosvojärjestelmät ovat järjestelmiä, jotka voivat käyttää verkkoa, mutta joita McAfee epo palvelin ei hallitse. Edes hallitussa verkkoympäristössä kaikilla järjestelmillä ei välttämättä ole aktiivista McAfee Agentia asennettuna. Nämä voivat olla järjestelmiä, jotka kirjautuvat usein verkkoon ja pois verkosta, kuten testipalvelimet, kannettavat tietokoneet tai langattomat laitteet. Rosvojärjestelmä on mikä tahansa verkon laite, jossa on verkkoliitäntäkortti. Järjestelmissä, joissa on useita verkkoliitäntäkortteja, jokainen liitäntä tunnistetaan erilliseksi järjestelmäksi. Kun tällainen liittymä havaitaan, se näytetään useana rosvojärjestelmänä. Voit määrittää, miten järjestelmille, joissa on useita liittymiä, etsitään vastaavuudet, aivan samalla tavalla kuin miten määritetään, kuinka havaituille järjestelmille löydetään vastaavuudet. Näiden järjestelmien ja niiden liittymien tunnistaminen ja hallitseminen Rogue System Detectionilla tarjoaa organisaation kaipaamaa verkkoturvallisuutta. Rogue System Detectionin liittymän ja järjestelmän määritelmät Rogue System Detectionille näillä kummallakin termillä on yksilöllinen merkitys. Niitä ei pidä käyttää toistensa asemasta. 1
Liittymä Rogue System Detection sitoutuu liittymään. Yhdellä järjestelmällä voi olla useita liittymiä, koska sillä on useita verkkoliitäntäkortteja tai koska järjestelmä on yhdistetty useaan aliverkkoon ja samalle verkkoliitäntäkortille on annettu useita IP osoitteita. Järjestelmä Rogue System Detectionissa järjestelmällä on tietty DNS nimi ja käyttöympäristö, jotka näytetään Havaittujen järjestelmien tiedoissa. Jokaisella järjestelmällä voi olla useita liittymiä Havaitut järjestelmäliittymät luettelossa. Rogue System Detection -tilat Rogue System Detection luokittelee järjestelmiä, tunnistimia ja aliverkkoja eri tiloihin, jotta verkon valvonta ja hallinta olisi helpompaa. Nämä tilat määrittävät seuraavat tiedot: Järjestelmän yleinen tila Rogue System Sensor tila Aliverkon tila Havaitut järjestelmät sivu näyttää kaikkien näiden tilojen tiedot vastaavien tilanvalvontojen avulla. Sivulla on myös 25 yleisintä aliverkkoa luettelo ja Aliverkon havaitsemat järjestelmäliittymät taulukko, joissa näkyvät eniten hallitsemattomia rosvojärjestelmäliittymiä sisältävät 25 aliverkkoa. Lisätietoja tästä valvonnasta on kohdassa Aliverkon tila. Kuva 1 Havaitut järjestelmät sivu 25 yleisintä aliverkkoa luettelo ja Aliverkon havaitsemat järjestelmäliittymät taulukko liittyvät toisiinsa. Vasemmalla puolella olevassa 25 yleisintä aliverkkoa luettelossa näkyy eniten hallitsemattomia rosvojärjestelmiä sisältävät 25 aliverkkoa. Tämä ei ole täydellinen luettelo, koska ympäristössä voi olla useampia 2
rosvojärjestelmiä sisältäviä aliverkkoja. Voit ohittaa aliverkon valitsemalla luettelossa Ohita. Tämä ei poista aliverkkoa, vaan tarkoittaa, että Voin saada tämän aliverkon havainnointitiedot, mutten halua nähdä niitä. McAfee suosittelee, ettei aliverkkoja ohiteta. Jos ohitat aliverkon, sallit, että siihen voi liittyä rosvojärjestelmiä. Aliverkon havaitsemat järjestelmäliittymät taulukon avulla voit valvoa havaittuja liittymiä ja ryhtyä tarvittaviin toimenpiteisiin. Käytettävissä ovat esimerkiksi seuraavat toiminnot: Voit valvoa Edellinen havaintoaika tietoa, jotta näet, milloin järjestelmän verkkoliitäntäkortti havaittiin viimeksi hallitussa McAfee epo verkossa. Järjestelmä, jonka liittymää ei ole havaittu hyvin pitkään aikaan, saattaa olla poistettu verkosta. Napsauta järjestelmän riviä ja avaa Havaittujen järjestelmien tiedot sivu, jotta näet kyseiseen järjestelmään liittyvät liittymät. Kun valitset järjestelmän ja valitset Toiminnot, voit lisätä järjestelmän Poikkeukset luetteloon tai järjestelmäpuuhun, ottaa käyttöön agentteja ja tehdä muita toimintoja. Aliverkon tila Aliverkon tila näyttää, miten monta havaittua aliverkkoa verkossasi on peitetty, eli miten monessa Rogue System Sensor valvoo aliverkkoa. Peitto määritetään verkon peitettyjen aliverkkojen ja peittämättömien verkkojen suhteena. Aliverkon tilat luokitellaan seuraaviin ryhmiin: Sisältää rosvoja Peitetty Peittämätön Jotta aliverkot katsotaan kuuluvan johonkin näistä luokista, McAfee epo palvelimen täytyy tietää verkosta tunnistimen täytyy havaita se. Kun aliverkko on havaittu, meritse se Ohita luokkaan, jotta sen tilasta ei enää raportoida. Sisältää rosvoja Rosvoja sisältävät aliverkot luetellaan Sisältää rosvoja luokassa, jotta toimenpiteiden suorittaminen niille on helppoa. Peitetty Peitetty luokkaan kuuluviin aliverkkoihin on asennettu tunnistin, joka raportoi aktiivisesti tietoja havaituista järjestelmistä McAfee epo palvelimelle. Tämä luokka sisältää myös Sisältää rosvoja luokan järjestelmät. Esimerkiksi Peitetty aliverkkoluokassa on aliverkot A, B ja C. Aliverkko B sisältää rosvoja, A ja C eivät. Kaikki kolme kuuluvat Peitetty luokkaan, mutta vain aliverkko B kuuluu Sisältää rosvoja luokkaan. Peittämätön Peittämätön luokkaan kuuluvassa aliverkossa ei ole yhtään aktiivista tunnistinta. Peittämättömät aliverkot eivät raportoi tietoja havaituista järjestelmistä McAfee epo palvelimelle. Tällaisessa aliverkossa voi kuitenkin olla hallittuja järjestelmiä, joista raportoidaan muilla tavoilla, kuten agentti palvelin viestintää käyttämällä. 3
Järjestelmän yleinen tila Järjestelmän yleinen tila on näkyvissä Järjestelmän yleinen tila valvonnassa yhteensopivien järjestelmien prosenttimääränä. Järjestelmien tilat on jaettu seuraaviin luokkiin: Poikkeukset Passiivinen Hallittu Rosvo Yhteensopivien järjestelmien prosenttimäärä on Hallittu ja Poikkeukset luokissa olevien järjestelmien suhde Rosvo ja Passiivinen luokkien järjestelmiin nähden. Poikkeukset Poikkeukset ovat järjestelmiä, jotka eivät tarvitse McAfee Agentia. Tällaisia ovat esimerkiksi reitittimet, tulostimet tai järjestelmät, joista ei enää haluta vastaanottaa havaintotietoja. Tunnista nämä järjestelmät ja merkitse ne poikkeuksiksi, jotta niitä ei luokitella rosvojärjestelmiksi. Merkitse järjestelmä poikkeukseksi vain silloin, kun se ei edusta ympäristön haavoittuvuutta. Passiivinen Passiivinen luokan järjestelmät on merkitty McAfee epo tietokantaan, mutta määritetty tunnistuslähde ei ole havainnut niitä tietyn ajanjakson aikana, joka ylittää Rosvo luokalle määritetyn ajan. Todennäköisesti tällaiset järjestelmät eivät ole toiminnassa tai niiden yhteys verkkoon on katkaistu. Esimerkkejä näistä järjestelmistä ovat kannettava tietokone tai käytöstä poistettu järjestelmä. Järjestelmät merkitään passiiviseksi oletusarvoisesti 45 vuorokauden kuluttua. Hallittu Hallittu luokan järjestelmissä on aktiivinen McAfee Agent, joka on kommunikoinut McAfee epo palvelimen kanssa määritetyn ajanjakson aikana. Suojauksen varmistamiseksi suurimman osan verkossa olevista havaituista järjestelmistä tulisi olla hallittuja. Järjestelmät, joihin on asennettu aktiivinen agentti, näkyvät tässä luettelossa jo ennen tunnistimien ottamista käyttöön aliverkoissa, joissa nämä järjestelmät sijaitsevat. Kun agentti raportoi McAfee epo tietokantaan, järjestelmä merkitään automaattisesti Hallittu luokkaan. Rosvo Rosvojärjestelmät ovat järjestelmiä, joita ei hallita paikallisella McAfee epo palvelimella. Rosvojärjestelmillä on seuraavat kolme tilaa: Vieras agentti Näissä järjestelmissä on McAfee Agent, joka ei ole paikallisessa McAfee epo tietokannassa eikä minkään muun paikalliseen palvelimeen rekisteröidyn McAfee epo palvelimen tietokannassa. Passiivinen agentti Näissä järjestelmissä on McAfee epo tietokannassa oleva McAfee Agent, joka ei ole kommunikoinut määritetyn ajanjakson kuluessa. Rosvo Näissä järjestelmissä ei ole McAfee Agentia. Näissä kolmessa hallitsemattomassa tilassa olevat järjestelmät luokitellaan rosvojärjestelmiksi. Lisätietoja valvonnasta on kohdassa Rogue System Sensor tila. 4
25 yleisintä aliverkkoa 25 yleisintä aliverkkoa luettelossa on luettelo aliverkoista, nimen tai IP osoitteen mukaan, niistä 25 aliverkosta, jotka sisältävät eniten rosvojärjestelmäliittymiä verkossa. Kun 25 yleisintä aliverkkoa luettelo valitaan, sen sisältämät rosvojärjestelmäliittymät näytetään viereisessä Rosvojärjestelmien liittymät aliverkoittain taulukossa. Rosvojärjestelmien havaitseminen Jotta voit määrittää Rogue System Detectionin ja hallita sitä, on tärkeää ymmärtää, mitä komponentteja käytetään ja miten rosvojärjestelmät havaitaan. McAfee Agent Ihanteellisessa epolicy Orchestratorin hallitsemassa verkossa McAfee Agent on asennettu verkon kaikkiin järjestelmiin. McAfee Agentin avulla järjestelmät ilmoittavat säännöllisesti tilansa McAfee epo palvelimelle. Jotta rosvojärjestelmät voidaan eliminoida, järjestelmissä tulee olla McAfee Agent asennettuna, kun ne lisätään epolicy Orchestratorin hallitsemaan verkkoon: järjestelmään ennen yhteyttä asennetun kuvan osana automaattisesti Active Directoryn kanssa synkronoitaessa epolicy Orchestratorin järjestelmäpuuhun liittyvänä automaattisena vastauksena manuaalisesti järjestelmäpuusta järjestelmänvalvojan asentamana. Rogue System Detection komponentit Rogue System Detection käyttää seuraavia komponentteja rosvojärjestelmien löytämiseen ja niistä raportoimiseen: Rogue System Detection laajennus Asennettu McAfee epo palvelimelle. Rogue System Detection palvelinasetukset Määritetty osana palvelimen lisäasetuksia. Rogue System Sensorit Määritetty käytäntö ja palvelinasetuksina. Automaattiset vastaukset Lisää McAfee Agentin automaattisesti rosvojärjestelmään tai ilmoittaa rosvojärjestelmästä järjestelmänvalvojalle. Valinnaisesti voit määrittää järjestelmäpuuhun Rosvojärjestelmä ryhmän Tämä on paikka, johon rosvojärjestelmät siirretään, kunnes McAfee Agent otetaan käyttöön ja järjestelmä voidaan siirtää asianmukaiseen ryhmään. Rogue System Sensorit Rogue System Sensorit voivat sijaita joko DHCP palvelimella tai paikallisessa aliverkossa käyttöön otettuina Rogue System Sensoreina. Rogue System Sensorit voidaan asentaa aliverkkoon: DHCP palvelinta käyttämällä Osittainen ratkaisu, joka ei löydä kiinteää IP osoitetta käyttäviä järjestelmiä. Jos DHCP palvelimen käyttöjärjestelmä ei tue McAfee Agentin asentamista, käytä jotakin muista tunnistimen asennusratkaisuista. 5
Ottamalla käyttöön tietyissä järjestelmissä Järjestelmäpuu toiminnon tai asiakastehtävän avulla tunnistin voidaan ottaa käyttöön valituissa järjestelmissä. Käyttämällä aliverkon kaikkia järjestelmiä ja määrittämällä Rogue System Sensor valintatoiminto määrittämään, mitkä tunnistimet ovat aktiivisia ja mitkä passiivisia. Aktiiviset Rogue System Detection tunnistimet määritetään aliverkoissa mm. seuraavien seikkojen perusteella: Aliverkon liikenteen tyyppi Jos aliverkko on lähetysverkko, jota DHCP palvelin hallitsee, paras paikka aktiivisen tunnistimen asentamiseen on DHCP palvelin. Jos DHCP palvelin ei tue tunnistimia, voit asentaa tunnistimet kaikkiin järjestelmiin ja määrittää ne valitsemaan, mitkä järjestelmät ovat aktiivisia tiettynä aikana, tai asentaa tunnistimet tiettyihin järjestelmiin ja antaa McAfee epo palvelimen määrittää, mitkä niistä ovat aktiivisia. 6
Hallitun verkon koko Jos hallittu verkko on pieni, McAfee epo palvelin voidaan määrittää päättämään, mitkä tunnistimet ovat aktiivisia. Aliverkon järjestelmien tyyppi Jos aliverkko on palvelinryhmä, jossa on toimintakriittisiä järjestelmiä, voit asentaa tunnistimen järjestelmään, jossa on vähiten liikennettä ja jolla on lyhin seisonta aika. Tehtäväkriittiset järjestelmät voidaan myös lisätä mustaan listaan. Näin varmistetaan, että niitä ei käytetä aktiivisina tunnistimina. Rogue System Detection -tyypit On tärkeää ymmärtää, että Rogue System Detection palvelimen ja tunnistimen määritykset vaihtelevat sen mukaan, minkä tyyppisiä järjestelmiä ja alvierkkoja kuunnellaan ja miten ne näytetään Havaitut järjestelmät sivulla. Tässä tarkastellaan neljää yleisintä rosvojärjestelmätyyppiä, jotka Havaitut järjestelmät sivulla näytetään. Kuva 2 Rogue System Detection esimerkkejä Neljä yleisintä rosvojärjestelmähavaintoa: A Lähetysverkon rosvojärjestelmähavainnot Nämä ovat järjestelmiä, joissa DHCP on käytössä ja joissa ei ole McAfee Agentia. Nämä ovat kaikkein yleisimpiä rosvojärjestelmiä. B Rosvojärjestelmät, joiden käyttöjärjestelmä ei tue McAfee Agentin asentamista Esimerkiksi tulostimet ja keskustietokoneet. 7
C Havainnot rosvojärjestelmistä, joilla on kiinteän IP osoite Nämä ovat toimintakriittisiä palvelimia, jotka on yhdistetty aliverkkoon kiinteällä IP osoitteella. D Aliverkot, joissa yhdenkään järjestelmän käyttöjärjestelmä ei tue McAfee Agentin asentamista Esimerkiksi Voice Over Internet Protocol (VoIP) ja keskustietokoneen aliverkot. DHCP-verkon rosvojärjestelmien tunnistaminen DHCP verkot ovat yksinkertaisimpia Rogue System Detectionille määritettäviä verkkoja. McAfee Agent voidaan asentaa automaattisesti rosvojärjestelmään tai agentti voidaan asentaa manuaalisesti järjestelmäpuun toimintona. Tämä prosessi todennäköisesti selittää suurimman osan epolicy Orchestratorin hallitsemien aliverkkojen rosvojärjestelmistä. Seuraavassa on esimerkki yksinkertaisesta lähetysverkon aliverkosta ja vaiheista, jotka suoritetaan, kun rosvojärjestelmä muodostaa yhteyden aliverkkoon. Kuva 3 Rogue System Detection lähetysverkossa Kun rosvojärjestelmä, jossa DHCP on käytössä, muodostaa yhteyden lähetysverkkoon: 8
1 Järjestelmä, jossa DHCP on käytössä, muodostaa yhteyden verkkoon ja lähettää DHCP palvelimen IP osoitteeseen DHCP pyynnön. 2 Jos DHCP palvelimelle tai span porttiin on asennettu Rogue System Sensor, DHCP palvelin lähettää automaattisesi yhteystapahtuman, käyttöjärjestelmän luetut tunnistetiedot ja muita tietoja McAfee epo palvelimelle. Jos DHCP palvelin ei tue tunnistimia, voit asentaa tunnistimet kaikkiin järjestelmiin ja määrittää ne valitsemaan, mitkä tunnistimet ovat aktiivisia tiettynä aikana, tai asentaa tunnistimet tiettyihin järjestelmiin ja antaa McAfee epo palvelimen määrittää, mitkä niistä ovat aktiivisia. 3 Kun McAfee epo palvelin vastaanottaa tapahtuman ja määrittää liittymän rosvojärjestelmäksi, voit toimia jommallakummalla tavalla: a Asenna McAfee Agent rosvojärjestelmään automaattisen vastauksen avulla. b Siirrä järjestelmä järjestelmäpuun erityiseen kansioon automaattisen vastauksen avulla ja asenna sitten McAfee Agent manuaalisesti toiminnon avulla. 4 Jokin seuraavista tapahtuu: Jos McAfee Agentin asentaminen rosvojärjestelmään onnistui, se katsotaan hallituksi järjestelmäksi ja jätetään järjestelmäpuun rosvojärjestelmäkansioon. Järjestelmänvalvoja voi siirtää järjestelmän myöhemmin oikeaan kansioon järjestelmäpuussa. Jos McAfee Agentin asentaminen epäonnistuu, järjestelmä jätetään rosvojärjestelmäksi. Automaattinen vastaus voidaan määrittää lähettämään järjestelmänvalvojalle ilmoitus katkaista järjestelmän yhteys verkkoon manuaalisesti tai lisätä järjestelmä poikkeukseksi ja antaa sen olla yhdistettynä verkkoon. Järjestelmän yleinen tila päivitetään McAfee epo palvelimen Havaitut järjestelmät sivulla. Lisätietoja lähetysverkon Rogue System Detectionin määrittämisvaiheista on kohdassa Rogue System Detectionin määrityksen ensimmäiset tehtävät. Agenttia isännöimään kykenemättömien järjestelmien havaitseminen Osa hallitun verkon rosvojärjestelmistä on järjestelmiä, joiden käyttöjärjestelmä ei tue McAfee Agentin asentamista. Nämä järjestelmät voidaan lisätä verkkoon poikkeuksina, sillä niiden käyttöjärjestelmät eivät todennäköisesti aiheuta tietoturvauhkaa hallitulle verkolle. Esimerkkejä järjestelmistä, joita ei voida hallita, ovat tulostimet ja keskustietokoneet. 9
Seuraavassa esimerkissä tarkastellaan yksinkertaista lähetysverkkoa ja sitä, mitä tapahtuu, kun rosvojärjestelmä ei tue McAfee Agentin asentamista. Tässä esimerkissä tulostin muodostaa yhteyden hallittuun aliverkkoon. Kuva 4 Esimerkki Rogue System Detection poikkeuksesta Kun rosvojärjestelmä, joka ei tue McAfee Agentin asentamista, muodostaa yhteyden hallittuun lähetysverkkoon: 1 Tulostin, jolla on kiinteä IP osoite, muodostaa yhteyden verkkoon ja lähettää lähetyksen paikallisen aliverkon kaikille järjestelmille. 2 DHCP palvelimelle asennettu Rogue System Sensor näkee lähetyksen ja lähettää yhteystapahtuman McAfee epo palvelimelle. Jos DHCP palvelin ei tue tunnistinta, voit asentaa tunnistimet kaikkiin järjestelmiin ja määrittää ne valitsemaan, mitkä järjestelmät ovat aktiivisia tiettynä aikana, tai asentaa tunnistimet tiettyihin järjestelmiin ja antaa McAfee epo palvelimen määrittää, mitkä niistä ovat aktiivisia. 3 Kun McAfee epo palvelin vastaanottaa tapahtuman ja määrittää liittymän rosvojärjestelmäksi, voit toimia jommallakummalla tavalla: a Siirrä järjestelmä poikkeusluetteloon automaattisen vastauksen avulla. b Ilmoita asiasta automaattisella vastauksella järjestelmänvalvojalle, jotta tämä voi siirtää järjestelmän manuaalisesti poikkeusluetteloon. Lisätietoja sellaisten järjestelmien määritysvaiheista, jotka eivät voi isännöidä agenttia, on kohdassa Järjestelmien lisääminen Poikkeukset luetteloon. 10
Kiinteää IP-osoitetta käyttävien järjestelmien havaitseminen Kiinteitä IP osoitteita käytetään tavallisesti toimintakriittisillä palvelimilla, joilla täytyy olla aina sama IP osoite yhteyden varmistamiseksi. Jotta löydät nämä rosvojärjestelmät, sinun täytyy asentaa Rogue System Sensor yhteen tai useampaan aliverkon järjestelmän. Seuraavassa kerrotaan, mitä tapahtuu, kun rosvojärjestelmä, jolla on kiinteä IP osoite, muodostaa yhteyden aliverkkoon. Kuva 5 Rogue System Detection kiinteässä IP verkossa Kun rosvojärjestelmä, jolla on kiinteä IP osoite, muodostaa yhteyden aliverkkoon: Oheisessa kuvassa rosvojärjestelmä on FTP palvelin ja Rogue System Sensor on asennettu toiselle palvelimelle. 1 Rosvojärjestelmä muodostaa yhteyden verkkoon ja lähettää lähetyksen aliverkon kaikille järjestelmille. 2 Palvelin, joka on määritetty Rogue System Sensoriksi, vastaanottaa lähetyksen ja lähettää yhteystapahtuman McAfee epo palvelimelle. 11
3 Kun McAfee epo palvelin vastaanottaa tapahtuman ja määrittää liittymän rosvojärjestelmäksi, voit toimia jommallakummalla tavalla: a Asenna McAfee Agent rosvojärjestelmään automaattisen vastauksen avulla. Käytä tietyn IP osoitemäärän suodatusta. b Ilmoita asiasta järjestelmänvalvojalle automaattisen vastauksen avulla. Järjestelmänvalvoja voi ottaa McAfee Agentin manuaalisesti käyttöön järjestelmässä, jossa on kiinteä IP osoite. 4 Jokin seuraavista tapahtuu, minkä jälkeen järjestelmän yleinen tila päivitetään McAfee epo palvelimen Havaitut järjestelmät sivulla. Jos McAfee Agentin asentaminen rosvojärjestelmään onnistui, se katsotaan hallituksi järjestelmäksi ja jätetään järjestelmäpuun rosvojärjestelmäkansioon. Näin järjestelmänvalvoja voi siirtää järjestelmän myöhemmin oikeaan kansioon järjestelmäpuussa. Jos McAfee Agentin asentaminen epäonnistuu, järjestelmä jätetään rosvojärjestelmäksi. Mikäli automaattinen vastaus on määritetty, se lähetetään järjestelmänvalvojalle, jotta tämä voi katkaista järjestelmän yhteyden verkkoon manuaalisesti tai lisätä järjestelmän poikkeukseksi ja antaa järjestelmän olla yhdistettynä verkkoon. Katso lisätietoja kiinteän IP verkon Rogue System Detectionin määrittämisestä Määritä Rogue System Detectionin automaattiset vastaukset ja Ota agentti käyttöön manuaalisesti Havaitut järjestelmät sivulla kohdista. Sellaisten järjestelmien ja aliverkkojen tunnistaminen, jotka eivät voi isännöidä agentteja Jotkin hallitun verkon aliverkot ja yksittäiset järjestelmät eivät salli McAfee Agentin asentamista niihin. Tällaisilla yksittäisillä järjestelmillä voi olla omia käyttöjärjestelmiä. Esimerkkejä ovat tulostimet, keskustietokoneet ja VoIP puhelimet. Myös aliverkot, joihin nämä yksittäiset järjestelmät muodostavat yhteyden, näkyvät Aliverkon tila valvonnassa McAfee epo palvelimen Havaitut järjestelmät sivulla peittämättöminä aliverkkoina, joissa on useita rosvojärjestelmiä. 12
Näin tapahtuu, kun useita VoIP puhelimia, joiden käyttöjärjestelmät eivät tue McAfee Agentin asentamista, sisältävät aliverkot muodostavat yhteyden epolicy Orchestratorin hallitsemaan verkkoon. Kuva 6 Aliverkot, joissa on erityisiä VoIP puhelinjärjestelmiä Kun VoIP puhelimien aliverkko muodostaa yhteyden epolicy Orchestratorin hallitsemaan verkkoon: 1 Peittämätön verkko, jossa on rosvojärjestelmiä, muodostaa yhteyden epolicy Orchestratorin hallitsemaan verkkoon. Rogue System Sensor vastaanottaa useita lähetyksiä ja lähettää ne eteenpäin McAfee epo palvelimelle. 2 Aliverkko näytetään Havaitut järjestelmät valintaikkunassa seuraavasti: peitettynä aliverkkona Aliverkon tila valvonnassa rosvojärjestelmien määrän kasvuna Järjestelmän yleinen tila valvonnassa. 3 Jos automaattinen vastaus on määritetty, järjestelmänvalvoja saa ilmoituksen, että monta rosvojärjestelmää on muodostanut yhteyden hallittuun verkkoon. Järjestelmänvalvoja voi määrittää jommankumman seuraavista: kieltää tunnistinta tarkistamasta tiettyä luetteloa järjestelmän MAC osoitteista tai organisaation yksilöllisistä tunnisteista (OUI), jotka tässä esimerkissä kuuluvat VoIP puhelimille estää käytännön avulla niiden liittymien kuuntelun, joiden IP osoitteet ovat tietyllä alueella. Katso tarkemmat tiedot rosvojärjestelmän aliverkon tunnistuksen määrittämisvaiheista Hallitse aliverkkoja kohdasta. 13
Rogue System Sensorin toiminta Rogue System Sensorit havaitsevat laitteita, jotka ovat muodostaneet yhteyden verkkoosi. Ne keräävät tietoja laitteista ja lähettävät tiedot eteenpäin McAfee epo palvelimelle. Tunnistin on oma suoritettava Win32 sovellus, jota voidaan käyttää seuraavissa Windows NT pohjaisissa käyttöjärjestelmissä: Windows XP Windows Vista Windows Server 2003 Windows 7. Windows 2008 Rogue System Sensor voidaan asentaa koko verkon järjestelmiin. Tunnistin raportoi sen lähetyssegmentin järjestelmistä, johon se on asennettu. DHCP palvelimelle asennettu tunnistin raportoi kaikista järjestelmistä tai aliverkoista, jotka käyttävät DHCP palvelinta. Jotta voit ylläpitää niiden verkkojen tai lähetyssegmenttien peittoa, jotka eivät käytä DHCP palvelimia, sinun täytyy asentaa vähintään yksi tunnistin jokaiseen lähetyssegmenttiin kiinteää IP osoitetta käyttäen. DHCP käyttöönottoa voidaan käyttää Rogue System Sensorin segmenttikohtaisen käyttöönoton kanssa mahdollisimman kattavan peiton aikaansaamiseksi. epolicy Orchestrator 4.7 ohjelmisto tukee Rogue System Sensoreita versioista 2.0, 4.5, 4.6 ja 4.7 alkaen. Suojatakseen järjestelmää epäonnistumiselta muistin vähyyden vuoksi Rogue System Sensor 4.7 tarkistaa käytettävissä olevan muistin määrän ajoittain. Jos muistin määrä putoaa alle viiteen prosenttiin, tunnistin sammutetaan. Kun käytettävissä olevan muistin määrä kasvaa, tunnistin käynnistyy uudelleen. Tason 2 liikenteen passiivinen kuuntelu Tunnistin käyttää verkon järjestelmien havaitsemiseen WinPcap ohjelmaa, paketin sieppauskirjastoa. Se sieppaa tason 2 lähetyspaketit, jotka saman verkon lähetyssegmenttiin kytketyt järjestelmät ovat lähettäneet. Se myös kuuntelee passiivisesti kaikkea tason 2 liikennettä. Sen kohteita ovat Address Resolution Protocol (ARP), Reverse Address Resolution Protocol (RARP), IP liikenne ja DHCP vastaukset. Lisätietoja hankkiakseen tunnistin tekee myös NetBIOS soittoja ja lukee käyttöjärjestelmän tunnistetietoja järjestelmissä, jotka on jo havaittu. Tämän se tekee kuuntelemalla kaikkien sen lähetyssegmentissä olevien laitteiden lähetysliikennettä ja käyttämällä NetBIOS soittoja sekä tunnustelemalla verkkoa aktiivisesti kerätäkseen lisätietoja siihen kytketyistä laitteista, kuten havaitun järjestelmän käyttöjärjestelmästä. Tunnistin ei määritä, onko järjestelmä rosvojärjestelmä. Se havaitsee verkkoon kytketyt järjestelmät ja raportoi nämä havainnot takaisin McAfee epo palvelimelle, joka määrittää käyttäjän määrittämien asetusten perusteella, onko kyseessä rosvojärjestelmä. Tietoliikenteen älykäs suodattaminen Tunnistin suodattaa tietoliikenteen älykkäästi se ohittaa tarpeettomat viestit ja kerää vain tarvitsemansa tiedot, eli Ethernet ja IP lähetysliikenteen. Tunnistin keskittyy vain laitteisiin, jotka ovat osa paikallista verkkoa, suodattamalla pois yksittäislähetysliikenteen, joka saattaa sisältää ei paikallisia IP osoitteita. 14
Tunnistin optimoi suorituskyvyn ja minimoi tietoliikenteen rajoittamalla kommunikointiansa palvelimen kanssa. Se välittää vain uudet järjestelmähavainnot ja ohittaa uudelleen havaitut järjestelmät käyttäjän määrittämältä ajalta. Tunnistin esimerkiksi havaitsee itsensä havaittujen järjestelmien luettelosta. Jos tunnistin lähettäisi viestin joka kerta, kun se havaitsee paketin itseltään, seurauksena olisi tunnistinhavaintoviestien ylikuormittama verkko. Tunnistin suodattaa myös havaittujen järjestelmien tietoja seuraavasti: Tunnistin raportoi järjestelmän, kun se havaitaan verkossa ensimmäisen kerran. Tunnistin lisää kunkin havaitun järjestelmän MAC osoitteen pakettisuodattimeen, jotta sitä ei havaita uudelleen ennen käyttäjän määrittämän ajan päättymistä. Tunnistin käyttää MAC suodattimessa voimassaolotoimintoa. Kun määritetty aika on kulunut, aiemmin havaittujen järjestelmien MAC osoitteet poistetaan suodattimesta, jolloin kyseiset järjestelmät havaitaan uudelleen ja raportoidaan palvelimelle. Tämän prosessin ansioista voidaan saada tarkkoja ja ajan tasalla olevia tietoja havaituista järjestelmistä. Tietojen kerääminen ja viestintä palvelimen kanssa Kun tunnistin havaitsee paikallisen verkkojärjestelmän, joka ei ole vielä tallennettu välimuistiin tai jota ei ole estetty käytännöllä, se kerää tietoja järjestelmästä kuuntelemalla aktiivisesti NetBIOS kutsuja ja käyttöjärjestelmän tunnistetietotoiminnolla. Koottujen tietojen sisältö: DNS nimi käyttöjärjestelmän versio, käyttöjärjestelmäperhe ja ympäristö laitteen tyyppi NetBIOS tiedot (toimialueen jäsenyys, järjestelmän nimi ja luettelo parhaillaan kirjautuneena olevista käyttäjistä). IPv6 verkoissa NetBIOS tunnistetaan käyttämällä Link local Multicast Name Resolution (LLMNR) protokollaa. Kaikki NetBIOSiin ja LLMNR:ään liittyvät kerätyt tiedot ovat valtuutuksen vakiorajoitusten alaisia sekä muiden Microsoft hallinta API:ssa dokumentoitujen rajoitusten alaisia. Rogue System Sensor kuuntelee seuraavassa taulukossa mainittuja portteja. Tässä luetellaan kaikki portit, esimerkiksi käyttöjärjestelmän tunnistetietojen kuuntelussa käytetyt. Taulukko 1 Rogue System Sensor portit Kuvaus Tyyppi Portit Isäntähavainto UDP portit 53 67 69 123 137 161 500 1434 Isäntähavainto TCP portit 21 22 23 25 79 80 110 113 139 264 265 443 1025 1433 1723 5000 15
Taulukko 1 Rogue System Sensor portit (jatkuu) Kuvaus Tyyppi Portit Palveluhavainto UDP portit 53 68 69 123 135 137 138 161 260 445 500 514 520 1434 1645 1646 1812 1813 2049 31337 43981 Palveluhavainto TCP portit 7 9 11 13 15 19 21 23 25 43 49 53 66 68 79 81 88 89 98 109 111 113 118 119 135 139 143 150 156 256 259 264 389 396 427 443 445 465 512 515 524 563 593 636 799 900 901 1024 1040 1080 1214 1243 1313 1352 1433 1494 1498 1521 1524 1525 1541 1542 1720 1723 1745 1755 1813 2000 2001 2003 2049 2080 2140 2301 2447 2766 2998 3128 3268 3300 3306 3372 3389 4045 4321 4665 4899 5222 5556 5631 5632 5800 5802 5900 6000 6112 6346 6666 6667 7000 7001 7070 7777 7947 8000 8001 8010 8080 8081 8100 8888 10000 12345 20034 30821 32768 32790 49152 49157 Tunnistin paketoi kerätyt tiedot XML viestiin ja lähettää viestin suojattua tietokanavaa käyttämällä epolicy Orchestrator palvelimelle käsittelyä varten. Palvelin käyttää epolicy Orchestratorin tietoja määrittääkseen, onko järjestelmä rosvojärjestelmä. Kaistanleveyden käyttö ja tunnistimen määrittäminen Voit säästää kaistanleveyttä suurissa käyttöönotoissa määrittämällä, miten usein agentti lähettää havaintoviestejä palvelimelle. Voit määrittää agentin tallentamaan havaintotapahtumat välimuistiin tietyksi ajaksi, esimerkiksi tunniksi, ja lähettämään sitten yhden viestin, joka sisältää kaikki kyseisen ajanjakson tapahtumat. Katso lisätietoja kohdasta Rogue System Detection käytäntöasetusten määrittäminen. Tunnistimien isäntäjärjestelmät Asenna tunnistimet järjestelmiin, jotka ovat todennäköisesti aina yhteydessä verkkoon, esimerkiksi palvelimiin. Jos jossain tietyssä lähetyssegmentissä ei ole palvelinta, asenna tunnistimet useisiin työasemiin, jotta vähintään yhdellä tunnistimella on aina yhteys verkkoon. Asenna vähintään yksi tunnistin verkon jokaiseen lähetyssegmenttiin, jotta Rogue System Detection peitto on täydellinen. Useamman kuin yhden tunnistimen asentaminen lähetyssegmenttiin ei aiheuta ongelmia viestien kaksoiskappaleiden suhteen, sillä palvelin suodattaa mahdolliset kaksoiskappaleet. Jokaisessa aliverkossa olevat ylimääräiset aktiiviset tunnistimet kuitenkin synnyttävät liikennettä jokaisesta tunnistimesta palvelimelle. Vaikka viiden tai kymmenen tunnistimen ylläpitäminen lähetyssegmentissä ei pitäisi aiheuttaa ongelmia kaistanleveydelle, lähetyssegmentissä ei tule ylläpitää useampaa tunnistinta kuin mitä peiton varmistamiseksi on välttämätöntä. DHCP palvelimet Jos verkossasi käytetään DHCP palvelimia, voit asentaa niihin tunnistimia. DHCP palvelimille tai span porttiin yhdistettyihin järjestelmiin asennetut tunnistimet raportoivat kaikista yhdistetyistä aliverkoista DHCP vastauksia kuuntelemalla. Tunnistimien käyttäminen DHCP palvelimilla vähentää verkkoon asennettavien ja hallittavien tunnistimien määrää peiton varmistamista varten, mutta se ei poista tarvetta asentaa tunnistimia verkkosegmentteihin, joissa käytetään kiinteää IP osoitetta. Tunnistimien asentaminen DHCP palvelimille voi parantaa verkon peittoa. On kuitenkin edelleen tarpeen asentaa tunnistimet lähetyssegmentteihin, joissa käytetään kiinteää IP osoitetta tai jotka ovat sekaympäristössä. DHCP palvelimelle asennettu tunnistin ei raportoi palvelimen peittämistä järjestelmistä, jos järjestelmä käyttää kiinteää IP osoitetta. 16
Rogue System Sensor -tila Rogue System Sensor tilan avulla valvotaan, miten moni verkkoon asennetuista tunnistimista raportoi aktiivisesti McAfee epo palvelimeen. Tila näytetään kuntotietona. Kunto määritetään verkossa olevien aktiivisten tunnistimien suhteella puuttuviin tunnistimiin. Tunnistimien tilat luokitellaan seuraaviin ryhmiin: Aktiivinen Aktiiviset tunnistimet raportoivat tietoja niiden lähetyssegmenteistä McAfee epo palvelimeen säännöllisin väliajoin tietyn aikajakson kuluessa. Sekä raportointijakso että aktiivinen jakso ovat käyttäjän määritettävissä. Kaikki aliverkossa olevat tunnistimet määrittävät valinta algoritmin avulla, mitkä tunnistimet ovat aktiivisia ja mitkä muuttuvat passiivisiksi. Aliverkon seuraava aktiiviseksi valittu tunnistin ottaa haltuun kommunikoinnin McAfee epo palvelimen kanssa. Voit määrittää useita aktiivisia tunnistimia aliverkkoon epolicy Orchestratorin Palvelimen asetukset osassa. Puuttuva Puuttuvat tunnistimet eivät ole kommunikoineet McAfee epo palvelimen kanssa käyttäjän määrittämän ajanjakson aikana. Nämä puuttuvat tunnistimet saattavat sijaita järjestelmässä, joka ei ole toiminnassa tai joka on poistettu verkosta. Passiivinen Passiiviset tunnistimet sisäänkuittavaat McAfee epo palvelimeen, mutta eivät raportoi tietoja havaituista järjestelmistä. Ne odottavat, kunnes ne valitaan aktiiviseksi valinta algoritmilla, jonka jälkeen ne kommunikoivat lähetyssegmentin tilan McAfee epo palvelimeen. Rogue System Sensorin valinta Voit määrittää aliverkon aktiiviset Rogue System Sensorit käyttämällä joko McAfee epo palvelinta tai sallimalla aliverkkojen tunnistimien valita itse, mitkä tunnistimet ovat aktiivisia tai passiivisia. Aktiivisten tunnistimien määrittäminen McAfee epo palvelinta käyttämällä Voit käyttää McAfee epo palvelinta järjestelmäpuusta ottamaan Rogue System Sensorit käyttöön aliverkossa ja määrittää tunnistimien määrät ja viestinnän palvelimen asetuksien avulla. Käytettävissä ovat esimerkiksi seuraavat menetelmät: manuaalinen prosessi tunnistimien asentamista varten tiettyihin järjestelmiin asiakastehtävät tunnistimien asentamista varten. Näiden menetelmien haittapuolet: Tunnistimien käyttäminen erillään McAfee epo palvelimesta voi viedä paljon aikaa. Sinun täytyy määrittää etukäteen, mitkä järjestelmät määritetään Rogue System Sensoreiksi, ja hallita niitä, jotta voit varmistaa, että ne ovat aina online tilassa tai että ylimääräisiä tunnistimia on käytettävissä. Aliverkkoihin alkumääritysten jälkeen lisätyt aliverkot eivät voi olla aktiivisia tunnistimia. Nämä menetelmät eivät ole laajuutensa puolesta parhaita mahdollisia suurille hallituille verkoille. Aktiivisten tunnistimien määrittämisen salliminen Rogue System Sensorin valinnoille Jos Rogue System Detection määritetään käyttämään paikallisen tunnistimen valintatoimintoa, paikallisten aliverkkojen Rogue System Sensorit voivat valita ryhmän aktiiviset tunnistimet ja vähentää takaisin McAfee epo palvelimelle suuntautuvaa tunnistinliikennettä. Tämän avulla voit myös ottaa Rogue System Sensorin automaattisesti käyttöön kaikissa aliverkkojen solmuissa. Kun sallit aliverkossa olevien Rogue System Sensorien valita, mitkä tunnistimet ovat aktiivisia tai passiivisia, saavutat nämä edut: 17
Voit asentaa Rogue System Sensorin jokaiseen järjestelmään, jolloin sinun ei tarvitse huolehtia yksittäisten aktiivisten tunnistimien valinnasta. Jos järjestelmä, joka on aktiivinen Rogue System Sensor, sammutetaan tai poistetaan verkosta, toinen järjestelmä tulee sen tilalle määritetyn ajan jälkeen. Tämä poistaa jonkin verran Rogue System Sensorin liikenteestä, joka kulkee McAfee epo palvelimen kautta. Jos asennat Rogue System Sensoreita useisiin solmuihin useaan aliverkkoon ja määrität käytännöksi Käytä paikallista tunnistimen valintaa ja vaihdat myöhemmin käytännöksi Määritä aktiiviset tunnistimet epo palvelimen avulla, kaikki aiemmin asennetut tunnistimet voivat kuormittaa McAfee epo palvelinta, kun ne kysyvät, pitäisikö niiden olla aktiivisia. Miten Rogue System Sensorin valinta toimii Paikallisen Rogue System Detection tunnistimen valinta määritetään käyttämällä Rogue System Detection käytäntöasetuksia Viestintä välilehdessä. Paikallisen tunnistimen valintatoiminto toimii seuraavasti: 1 Rogue System Sensor otetaan käyttöön aliverkon jokaisessa solmussa. 2 Aktiivisen tunnistimen valinta käynnistyy, jos verkon aliverkkoryhmän kanssa kommunikoivien aktiivisten tunnistimien määrä on pienempi kuin määritetty aktiivisten tunnistimien määrä tai määritetty aika aktiivisten tunnistimien valinnan välillä on umpeutunut. 3 Jokainen aliverkon tunnistin hyödyntää GUID tunnuksia käyttävää valinta algoritmia määrittäessään, mitkä tunnistimet ovat aktiivisia. 4 Tunnistin tarkistaa, onko sen oma GUID tunnus yksi aktiivisista tunnistimista. Jos näin on, tunnistin lähettää viestin, jossa se kertoo muille tunnistimille olevansa nyt aktiivinen tunnistin. Jos näin ei ole, tunnistin muuttuu passiiviseksi ja odottaa seuraavaa valintakierrosta. Tunnistimien musta lista Tunnistimien musta lista on luettelo hallituista järjestelmistä, joihin et halua asentaa tunnistimia. Nämä voivat olla järjestelmiä, joiden toimintaa tunnistimen asentaminen saattaisi häiritä, tai järjestelmiä, joihin ei jostakin muusta syystä tarvitse asentaa tunnistinta. Esimerkki: Toimintakriittiset palvelimet, kuten tietokantapalvelimet tai demilitarisoidun alueen palvelimet, joissa ydinpalvelujen huipputason toiminta on äärimmäisen tärkeää. Järjestelmät, kuten kannettavat tietokoneet, joita käytetään paljon verkon ulkopuolella. Tunnistimien musta lista eroaa Poikkeukset luettelosta. Poikkeukset luettelossa olevissa järjestelmissä ei voi olla agenttia, tai et halua luokitella kyseisiä järjestelmiä (kuten tulostimia tai reitittimiä) rosvojärjestelmiksi. Rogue System Detection -käytäntöasetukset Rogue System Detection käytäntöasetusten avulla voit määrittää ja hallita verkkoon asennettuja Rogue System Sensor esiintymiä. Asetuksia voidaan määrittää yksittäisille järjestelmille, järjestelmäryhmille tai IP osoitealueille. Voit määrittää käytäntöasetuksia kaikille palvelimen käyttöönottamille tunnistimille. Tämä vastaa käyttöönotettujen tuotteiden, kuten VirusScan Enterprisen, käytäntöjen hallintaa. Rogue System Detection käytäntösivut asennetaan McAfee epo palvelimeen asennuksen yhteydessä. 18
Voit määrittää tunnistimen käytäntöasetukset Rogue System Detection käytäntösivuilla samalla tavalla kuin minkä tahansa hallitun tietoturvatuotteen käytäntöasetukset. Järjestelmäpuun ylätasoille määritetyt käytäntöasetukset periytyvät alempien tasojen ryhmiin tai yksittäisiin järjestelmiin. Lisätietoja käytännöistä ja niiden toiminnasta on kohdassa Verkon hallinta käytäntöjen ja asiakastehtävien avulla. McAfee suosittelee, että käytäntöasetukset määritetään ennen tunnistimien käyttöönottoa verkoissa, jotta voidaan varmistetaan tunnistimien tarkoituksenmukainen toiminta. Esimerkiksi DHCP valvonta on oletusarvoisesti poissa käytöstä. Jos tunnistimia otetaan käyttöön DHCP palvelimissa ilman, että DHCP valvonta otetaan käyttöön alkumäärityksen aikana, kyseisten tunnistimien McAfee epo palvelimeen raportoimat tiedot ovat rajalliset. Jos otat käyttöön tunnistimia ennen käytäntöjen määrittämistä, voit muuttaa tunnistimen toimintaa päivittämällä asetukset. Käytäntöasetuksissa huomioitavaa Käytäntöasetuksilla määritetään Rogue System Sensorin toiminnot ja suorituskyky. Nämä asetukset on jaettu neljään ryhmään: viestintäasetukset tunnistusasetukset yleiset asetukset liitännän asetukset Viestintäasetukset Viestintäasetuksilla määritettävät asiat: aktiivisen tunnistimen valinta passiivisten tunnistimien viestintäaika aktiivisen tunnistimen raportointiaika tunnistimen havaitseman järjestelmän välimuistin käyttöikä. Aktiivisen tunnistimen valinnalla määritetään, onko aktiivisten tunnistimien määrittämisessä käytetty McAfee epo palvelinta, tai voivatko aliverkkojen tunnistimet valita itse, mitkä tunnistimet ovat aktiivisia tai lepotilassa. Katso lisätietoja aktiivisten tunnistimien määrittämisestä kohdasta Rogue System Detection käytäntöasetusten määrittäminen. Jos asennat Rogue System Sensoreita useisiin solmuihin useaan aliverkkoon ja määrität käytännöksi Käytä paikallista tunnistimen valintaa ja vaihdat myöhemmin käytännöksi Määritä aktiiviset tunnistimet epo palvelimen avulla, kaikki aiemmin asennetut tunnistimet voivat kuormittaa McAfee epo palvelinta, kun ne kysyvät, pitäisikö niiden olla aktiivisia. Passiivisten tunnistimien viestintäaika määrittää, miten usein passiiviset tunnistimet tarkistavat palvelimen. Aktiivisten tunnistimien raportointiaika määrittää, miten usein aktiiviset tunnistimet raportoivat McAfee epo palvelimelle. Jos tämä arvo asetetaan liian pieneksi, vaikutus voi olla sama kuin tunnistimen tunnistaman järjestelmän välimuistin käyttöiäksi asetettavalla arvolla. Tunnistimen havaitseman järjestelmän välimuistin käyttöikä on aika, jonka havaittu järjestelmä säilytetään tunnistimen välimuistissa. Tällä arvolla ohjataan, miten usein tunnistin raportoi, että järjestelmä on vasta havaittu. Mitä alhaisempi arvo on, sitä useammin tunnistin raportoi järjestelmän 19
tunnistamisesta palvelimelle. Tämän arvon asettaminen liian pieneksi voi ylikuormittaa palvelinta järjestelmähavainnoilla. Arvon asettaminen liian suureksi puolestaan estää ajantasaisten tietojen saamisen järjestelmähavainnoista. McAfee suosittelee, että sama arvo määritetään tunnistimen tunnistaman järjestelmän välimuistin käyttöiän arvoksi ja aktiivisten tunnistimien raportointiajan asetukseksi. Tunnistusasetukset Tunnistusasetuksilla määritettävät asiat: laitteen tietojen tunnistus on käytössä DHCP monitorointi on käytössä raportointi itsemääritetyistä aliverkoista on käytössä. Jos käytät verkossa DHCP palvelimia, voit asentaa niihin tunnistimia valvomaan verkkoa. Näin voidaan käyttää yhtä tunnistinta raportoimaan kaikista aliverkoista ja siihen yhteyden muodostaneista järjestelmistä. DHCP valvonnan avulla verkko voidaan peittää pienemmällä tunnistinjoukolla, joka vastaa käyttöönotosta ja hallinnasta, sekä vähentää aliverkkojen ja järjestelmien puuttumisen mahdollisuutta. Laitteen tietojen tunnistuksen avulla voidaan määrittää, minkä tyyppisiä tietoja Rogue System Sensor etsii järjestelmistä. Käyttöjärjestelmän (OS) tiedot Tämän valinnan avulla tunnistin voi määrittää yksityiskohtaisia tietoja laitteen käyttöjärjestelmästä. Jos otat käyttöjärjestelmän tietojen tarkistamisen käyttöön, voit valita myös niiden järjestelmien tarkistamisen, jotka olet merkinnyt poikkeuksiksi. Käyttöjärjestelmän tunnistus valitsemalla kaikkien tai vain määritettyjen verkkojen tarkistus Voit rajoittaa käyttöjärjestelmän tunnistuksen tiettyihin aliverkkoihin käyttämällä perusteena sisällytettyjä tai poissuljettuja IP osoitteita. Rogue System Sensor käyttää NetBIOS soittoja ja käyttöjärjestelmän tunnistetietotoimintoa tarjotakseen yksityiskohtaisempia tietoja verkon laitteista. Voit ottaa käyttöön aktiivisen tunnustelun koko verkossa. Voit myös sisällyttää tai poissulkea tiettyjä aliverkkoja. Tämä toiminto löytää vastaavat havaitut järjestelmäliittymät, ja se tulee poistaa käytöstä vain, jos siihen on erityisiä syitä. Yleiset asetukset Yleisillä asetuksilla määritettävät asiat: tunnistimen ja palvelimen välinen tietoliikenneportti palvelimen IP osoite tai DNS nimi onko Rogue System Sensor käytössä. Palvelimen IP osoitteen oletusarvo on sen McAfee epo palvelimen osoite, jota käytetään tunnistimien asentamiseen. Rogue System Detection raportoi havaitut järjestelmät määritetylle palvelimelle. Kun tämä palvelin havaitsee järjestelmän, jonka agentin McAfee epo palvelin on ottanut käyttöön eri IP osoitteella, kyseinen järjestelmä tunnistetaan rosvojärjestelmäksi, sillä agenttia pidetään vieraana agenttina. Tunnistimen ja palvelimen välisen tietoliikenneportin palvelinasetus voidaan vaihtaa vain asennuksen aikana. Sama portti, kuin mikä asennuksen aikana on määritetty, täytyy määrittää myös Rogue System Detection käytäntöjen Yleinen välilehdessä. 20
Liitännän asetukset Liitännän asetukset määrittävät tunnistimien asetukset: Älä kuuntele liitäntöjä, joiden IP osoitteet kuuluvat tiettyihin verkkoihin. Kuuntele vain liitäntää, jos sen IP osoite on sisällytetty asennuksen aikana löytyneeseen verkkoon. Kuuntele vain liitäntöjä, joiden IP osoitteet kuuluvat tiettyihin verkkoihin. Määrittämällä nämä asetukset voit valita verkot, joista tunnistin raportoi. Miten havaitulle järjestelmille löydetään vastaavuudet ja miten ne yhdistetään Kun järjestelmä muodostaa yhteyden verkkoosi, Rogue System Detection tarkistaa automaattisesti McAfee epo tietokannan määrittääkseen, onko yhteyden muodostava järjestelmä uusi vai vastaako se aiemmin tunnistettua järjestelmää. Jos järjestelmä on tunnistettu aikaisemmin, Rogue System Detection etsii sille automaattisesti vastaavuuden McAfee epo tietokannassa olevasta tietueesta. Jos vastaavaa järjestelmää ei löydetä automaattisesti, voit yhdistää järjestelmän manuaalisesti olemassa olevaan havaittuun järjestelmään. Vastaavan havaitun järjestelmän etsintä Vastaavuuden automaattinen etsintä havaituille järjestelmille on tarpeen, jotta aiemmin havaittuja järjestelmiä ei tunnisteta verkossa uusiksi järjestelmiksi. Järjestelmiä verrataan oletusarvoisesti ensiksi agentin GUID tunnukseen. Jos agentin GUID tunnusta ei ole olemassa, McAfee epo tietokanta käyttää rosvojärjestelmien vertailun palvelinasetuksissa määritettyjä määritteitä. Voit määrittää, mitä määritteitä tietokanta käyttää vastaavuuden etsimisessä sen mukaan, mitkä määritteet ovat yksilöllisiä ympäristössäsi. Jos verkon järjestelmällä on useita verkkoliitäntäkortteja, jokainen järjestelmäliitäntä voi johtaa erilliseen järjestelmähavaintoon. Käytä havaitun järjestelmän vertailun palvelinasetusta useiden liitäntöjen vertaamiseen olemassa olevaan havaittuun järjestelmään, jotta järjestelmien kaksoiskappaleet voidaan eliminoida. Katso Havaittujen järjestelmien vastaavuuden muokkaaminen kohdasta lisätietoja palvelinasetusten määrittämisestä niin, että ne tunnistavat automaattisesti vastaavat havaitut järjestelmät, joilla on useita verkkoliitäntäkortteja. Havaittujen järjestelmien yhdistäminen Jos McAfee epo palvelin ei löydä havaituille järjestelmille automaattisesti vastaavuutta, voit yhdistää ne manuaalisesti Yhdistä järjestelmät toiminnolla. McAfee epo palvelin ei välttämättä löydä määritettyjen vastaavuusmääritteiden perusteella vastaavuutta havaitulle järjestelmäliittymälle, jonka luoneella järjestelmällä on useita verkkoliitäntäkortteja. Katso Havaittujen järjestelmien yhdistäminen kohdasta lisätietoja sellaisen järjestelmän manuaalisesta yhdistämisestä, jolla on useita verkkoliitäntäkortteja. Rogue System Detection -määritys Rogue System Detection toiminnon määrittäminen edellyttää epolicy Orchestrator palvelimen asetusten käyttöönottoa ja määritystä, käytäntöjä ja Rogue System Sensor komponenttien asentamista hallittuihin aliverkkoihin. 21
Tehtävät Rogue System Detection -määrityksen alkutehtävät sivulla 22 Kun määrität Rogue System Detection toimintoa, suorita nämä tehtävät epolicy Orchestrator käyttöliittymässä. Tunnistimien hallinta sivulla 28 Kun käsittelet Rogue System Sensoreita, voit poistaa tunnistimia järjestelmistä, lisätä tunnistimia tunnistimien mustaan listaan tai poistaa niitä listalta sekä muuttaa käyttöoikeusjoukkoja. Rogue System Detection -määrityksen alkutehtävät Kun määrität Rogue System Detection toimintoa, suorita nämä tehtävät epolicy Orchestrator käyttöliittymässä. Seuraavassa on kuvattu Rogue System Detection toiminnon määrityksen alkutehtävät ja määrityksessä tarvittavat tiedot. Tehtävät Määritä Rogue System Detection -palvelin ja käytännön asetukset sivulla 22 Vahvista Rogue System Detection oletuskokoonpanon epolicy Orchestrator palvelimen asetukset. Näillä palvelimen asetuksilla määritetään mm. rosvojärjestelmä ja tunnistimen asetukset. Tunnistimien asentaminen sivulla 24 Näiden tehtävien avulla voit ottaa tunnistimia käyttöön verkossasi. Määritä Rogue System Detectionin automaattiset vastaukset sivulla 27 Käytä Rogue System Detectionin automaattisia vastauksia havaittujen rosvojärjestelmien siirtämiseen automaattisesti järjestelmäpuuhun luotuun kansioon ja rosvojärjestelmän löytymisestä kertovan sähköpostiviestin lähettämiseen järjestelmänvalvojalle. Määritä Rogue System Detection -palvelin ja käytännön asetukset Vahvista Rogue System Detection oletuskokoonpanon epolicy Orchestrator palvelimen asetukset. Näillä palvelimen asetuksilla määritetään mm. rosvojärjestelmä ja tunnistimen asetukset. Rogue System Detection käytännöt määritetään oletusasetusten avulla, mutta ne eivät välttämättä ole parhaat asetukset rosvojärjestelmien havaitsemiseen epolicy Orchestrator palvelimella tai tehokkaimmat asetukset verkon kannalta katsottuna. Tämä tehtävä kuvaa näitä asetuksia ja muuttujia, jotka tulee huomioida. Katso lisätietoja käytännön määrityksistä ohjeista Käytäntöjen käyttäminen tuotteiden ja järjestelmien hallinnassa ja Käytännön asetuksissa huomioitavat seikat. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Käytäntö Käytäntöluettelo ja valitse sitten avattavasta Tuote luettelosta Rogue System Detection ja avattavasta Luokka luettelosta Yleiset. Kaikki Rogue System Detectionille luodut käytännöt näytetään. 2 Aloita käytännön muokkaaminen napsauttamalla Oma oletus käytäntöä. Jos haluat luoda uuden käytännön, valitse Toiminnot Uusi käytäntö. 3 Käynnistä Rogue System Sensor sen käyttöönoton jälkeen napsauttamalla Yleiset välilehdessä Ota käyttöön painiketta ja vahvista, että oletuspalvelimen nimi tai IP osoite on McAfee epo palvelin tai agenttien käsittelijä. 22
4 Määritä seuraavat asiat Viestintä välilehdessä: Tunnistimen havaitseman järjestelmän välimuistin käyttöikä Voit nostaa tätä asetusta suurissa, laajalle hajautetuissa verkoissa, jotta aliverkon liikenne vähenee. Aktiivisen tunnistimen raportointiaika Voit nostaa tätä asetusta suurissa, laajalle hajautetuissa verkoissa, jotta takaisin McAfee epo palvelimeen kohdistuva liikenne vähenee. Aktiivisen tunnistimen valinta asetukset poikkeavat McAfee epo palvelimen asetuksista aliverkkojen koon ja sijainnin mukaan. Napsauta pienempien verkkojen kohdalla Määritä aktiiviset tunnistimet epo palvelimen avulla valintaa. Voit luultavasti jättää passiivisten tunnistimien yhteydenottoajan asetukseen oletusarvon. Napsauta suurten verkkojen kohdalla Käytä paikallista tunnistimen valintaa vaihtoehtoa. Se vähentää liikennettä, jonka avulla tunnistimet kommunikoivat McAfee epo palvelimen tai agenttien käsittelijän kanssa. Määritä aktiiviset tunnistimet jommallakummalla tavalla: Kaikki tunnistimet aktiivisina Paras vaihtoehto suurille verkoille, joissa on monta aliverkkoa. Jos asennat Rogue System Sensoreita useisiin solmuihin useaan aliverkkoon ja määrität käytännöksi Käytä paikallista tunnistimen valintaa ja vaihdat myöhemmin käytännöksi Määritä aktiiviset tunnistimet epo palvelimen avulla, kaikki aiemmin asennetut tunnistimet voivat kuormittaa McAfee epo palvelinta, kun ne kysyvät, pitäisikö niiden olla aktiivisia. Määritä tunnistimien määrä aktiivista tunnistinta valinnalla Tämä on manuaalinen määritysvaihtoehto. Määritä seuraavat seikat sijainnin ja hallittujen aliverkkojen ja McAfee epo palvelimen välisen yhteyden nopeuden mukaan: Valintatuloksen odotusaika Voit nostaa tätä asetusta hitaissa verkoissa, jotta tunnistimien välinen liikenne vähenee valintojen aikana. Aktiivisen tunnistimen valinnan odotusaika Voit nostaa tätä asetusta, jos haluat, että valinnat suoritetaan harvemmin. Ipv4 multicast ryhmä tai Ipv6 multicast ryhmä Lähetä multicast viestejä käyttämällä paikallista valintatoimintoa. Sinun tarvitsee vaihtaa vain oletusosoite, jos se on toisen toiminnon käytössä. Tunnistimien välinen tietoliikenneportti Sinun tarvitsee vaihtaa vain oletusportti, jos se on toisen prosessin käytössä. 5 Liitännät välilehdessä voit määrittää erityiset IP osoiteverkot, jotka tarkistetaan tai joita ei tarkisteta rosvojärjestelmien varalta. Jos sinulla on esimerkiksi VoIP aliverkko, voit lisätä sen osoitteen Älä kuuntele luetteloon, jolloin kyseisiä VoIP puhelinjärjestelmiä ei tunnisteta rosvojärjestelmiksi. Katso tämän kokoonpanon kuvaus kohdasta Rogue System Detection käytännön asetukset. 6 Määritä seuraavat asiat Tunnistus välilehdessä: DHCP valvonta Määrittää Dynamic Host Configuration Protocol (DHCP) valvonnan asetukset. Kun DHCP valvonta on käytössä, yksi DHCP palvelimelle asennettu tunnistin voi valvoa kaikkia sen palvelemia järjestelmiä ja aliverkkoja. DHCP palvelin ei voi valvoa liittymiä, joilla on kiinteät IP osoitteet. 23
Laitteen tietojen tunnistus Näytä kokoonpanon sieppaamat tiedot valitsemalla Valikko Järjestelmät Havaitut järjestelmät ja napsauttamalla järjestelmää, joka näytetään Aliverkon havaitsemat järjestelmäliittymät kohdassa. Tämän toiminnon ottaminen käyttöön voi aiheuttaa tietoturvahälytyksiä paikallisissa palomuureissa, jollainen on esimerkiksi OS Fingerprint equals Port Scan. Verkkolaitteet saattavat reagoida odottamattomalla tavalla, esimerkiksi verkkotulostimet saattavat tulostaa sivuja, joilla ei ole loogisia symboleja tai merkkejä. On tärkeää käyttää poikkeusluetteloa ja olla ottamatta käyttöön Tarkista poikkeuksiksi merkityt järjestelmät toimintoa. Raportoi itsemääritetyistä aliverkoista Tämä on oletusarvoisesti pois käytöstä. Kun tämä toiminto on käytössä, se raportoi kaikki aliverkot, joiden verkkopeite on /32 (tai /128 IPv6:ssä). Kerroksen 2 havaintojen myötä aliverkkoluetteloon saattaa ilmestyä paljon virheellisiä 32 bittisiä aliverkkoja. McAfeen asiantuntijat suosittelevat, että otat tämän toiminnon käyttöön vain, kun käytössä DHCP tunnistus, ei kerroksen 2 tunnistus. Kun olet määrittänyt Rogue System Detection palvelimen ja käytännön asetukset, jatka Rogue System Detectionin määrittämistä katsomalla kohta Asenna Rogue System Sensorit. Asenna Rogue System Sensorit Kun olet määrittänyt Rogue System Detection palvelinasetukset, asenna Rogue System Sensorit. Se, minne Rogue System Sensorit asennetaan ja miten monta niitä asennetaan, voivat vaikuttaa Rogue System Detectionin tehokkuuteen ja verkon suorituskykyyn. Rogue System Sensorit voidaan asentaa seuraavanlaisiin järjestelmiin: Kaikkien järjestelmien täytyy olla hallittuja järjestelmiä, joihin on asennettu McAfee Agent. DHCP palvelimet Tämä on paras paikka asentaa Rogue System Sensorit, sillä DHCP palvelimet valvovat jatkuvasti ryhmäliikennettä ja ovat heti tietoisia siitä, jos uusi järjestelmä muodostaa yhteyden aliverkkoon. DNS palvelimet tai mikä tahansa järjestelmä, joka on aina yhteydessä aliverkkoon ja valvoo liikennettä Nämä ovat hyviä paikkoja Rogue System Sensorin asentamiseen, sillä näitä järjestelmiä ei sammuteta usein ja niiden yhteys verkkoon katkeaa harvoin. Kaikki aliverkon järjestelmät Tämän avulla voit määrittää aktiivisen tunnistimen valinnan Rogue System Detection käytännössä. Määrittämisen jälkeen kaikki aliverkon järjestelmät suorittavat säännöllisesti valinta algoritmin määritettyjen asetusten mukaisesti ja määrittävät jotkin tunnistimet aktiivisiksi ja loput järjestelmät passiivisiksi. Ennen kuin voit asentaa Rogue System Sensorin loppujärjestelmään, Rogue System Sensor ohjelmisto täytyy asentaa epolicy Orchestratorin päätietovarastoon. Lisätietoja tunnistinohjelmiston lisäämisestä on kohdassa Moduuli, DAT ja ExtraDAT päivityspakettien vieminen manuaalisesti. Tämä on perusprosessi ja siinä kuvataan myös Rogue System Sensorin asentaminen. Katso Tunnistimien asentaminen kohdasta lisätietoja tunnistimien asennuksen seuraavista vaiheista johonkin edellä mainituista järjestelmistä: Tunnistimien asentaminen tiettyihin järjestelmiin Kyselyjen ja palvelintehtävien käyttäminen tunnistimien asentamiseen Asiakastehtävien käyttäminen tunnistimien asentamiseen Kun olet asentanut Rogue System Sensorit, katso kohta Määritä automaattiset vastaukset jatka määrittämällä Rogue System Detection. Tunnistimien asentaminen Näiden tehtävien avulla voit ottaa tunnistimia käyttöön verkossasi. 24
Tehtävät Tunnistimien asentaminen tiettyihin järjestelmiin sivulla 25 Luo käyttöönottotehtävä, joka asentaa Rogue System Sensorin valittuihin järjestelmiin ja suorittaa välittömästi agentin aktivointikutsun. Kyselyjen ja palvelintehtävien käyttäminen tunnistimien asentamiseen sivulla 25 Luo kysely, joka voidaan suorittaa tunnistimet hallittuihin järjestelmiin asentavana palvelintehtävätoimintona. Asiakastehtävien käyttäminen tunnistimien asentamiseen sivulla 26 Luo asiakastehtävä, joka asentaa tunnistimet verkon järjestelmiin. Tunnistimien asentaminen tiettyihin järjestelmiin Luo käyttöönottotehtävä, joka asentaa Rogue System Sensorin valittuihin järjestelmiin ja suorittaa välittömästi agentin aktivointikutsun. Missä tehtävä voidaan suorittaa Järjestelmätiedot sivu Aliverkon xxx.xxx.xxx.xxx hallitut järjestelmät sivu Järjestelmät sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Järjestelmäpuu Järjestelmät ja napsauta mitä tahansa järjestelmää. Valitse Valikko Järjestelmät Havaitut järjestelmät, valitse aliverkon tilanvalvonnassa Peitetty tai Sisältää rosvoja, valitse sitten aliverkko ja valitse lopuksi Toiminnot Havaittu aliverkko Näytä hallitut järjestelmät. Valitse Valikko Järjestelmät Järjestelmäpuu. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse järjestelmät, joihin haluat asentaa tunnistimet, ja valitse sitten Toiminnot Rogue System Sensor Lisää tai poista Rogue System Sensor. Järjestelmätiedot sivulla voit asentaa tunnistimen vain järjestelmästä, jota tarkastelet parhaillaan. Valitse Aliverkon xxx.xx.xx.x hallittu järjestelmä sivulla järjestelmät, joihin haluat asentaa tunnistimet. Valitse Järjestelmät sivulla haluttu järjestelmäpuun ryhmä ja valitse sitten järjestelmät, joihin haluat asentaa tunnistimet. 2 Valitse Toiminto ruudussa OK. Kyselyjen ja palvelintehtävien käyttäminen tunnistimien asentamiseen Luo kysely, joka voidaan suorittaa tunnistimet hallittuihin järjestelmiin asentavana palvelintehtävätoimintona. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Raportointi Kyselyt ja raportit ja sitten Toiminnot Uusi. Ohjattu Kyselyjen luonti toiminto avataan. 2 Valitse Tulostyyppi sivulla Toimintoryhmä asetukseksi Järjestelmien hallinta ja Tulostyypit asetukseksi Hallitut järjestelmät ja napsauta sitten Seuraava painiketta. 3 Laajenna Kaavio sivulla Näytä tulokset muodossa sarakkeessa Luettelo näyttö, valitse Taulukko sen jälkeen Seuraava. 25
4 Napsauta Sarakkeet sivun Käytettävissä olevat sarakkeet ruudussa niitä tietotyyppejä, jotka haluat kyselyn palauttavan, ja valitse sitten Seuraava. 5 Napsauta Suodata sivulla ominaisuuksia, jotka haluat suodattaa, ja määritä jokaiselle arvot. Valitse sitten Suorita. 6 Valitse Tallenna ja määritä kyselylle nimi ja huomautukset. Valitse uudestaan Tallenna. McAfee suosittelee käyttämään tuotekohtaista etuliitettä kyselyitä nimettäessä, jotta kyselyt pysyvät järjestyksessä ja ne on helpompi löytää. Esimerkki: RSD: KyselynNimi. 7 Valitse Valikko Automaatio Palvelintehtävät ja sitten Toiminnot Uusi tehtävä. Ohjattu Asiakastehtävien luonti toiminto avataan. 8 Nimeä ja kuvaile tehtävä Kuvaus sivulla, määritä aikataulun tila ja valitse sitten Seuraava. 9 Valitse Toiminto sivun avattavasta luettelosta Suorita kysely. 10 Valitse Kysely luettelossa luomaasi kyselyä ja valitse sitten avattavasta Kieli luettelosta kieli, jolla haluat näyttää vastaukset. 11 Valitse Lisää tai poista Rogue System Sensor alitoiminnoksi, joka suoritetaan kyselyn tuloksille, ja napsauta Seuraava painiketta. 12 Määritä tehtävän aikataulu Aikataulu sivulla ja valitse sitten Seuraava. 13 Tarkista tehtävän yhteenveto ja valitse Tallenna. Asiakastehtävien käyttäminen tunnistimien asentamiseen Luo asiakastehtävä, joka asentaa tunnistimet verkon järjestelmiin. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Käytäntö Asiakastehtäväluettelo ja valitse Rogue System Detection x.x.x Tunnistimen käyttöönotto asiakastehtävätyypeiksi ja valitse sen jälkeen Toiminnot Uusi tehtävä. Uusi tehtävä valintaikkuna tulee näkyviin. 2 Varmista, että Tunnistimen käyttöönotto on valittu, ja napsauta sitten OK painiketta. 3 Kirjoita luotavan tehtävän nimi ja lisää mahdolliset huomautukset. 4 Valitse Asenna ja sen jälkeen Tallenna. Valitse tarvittaessa Suorita jokaisen käytännön toimeenpanon yhteydessä. 5 Valitse Valikko Järjestelmät Järjestelmäpuu Järjestelmät, valitse sitten järjestelmä, johon haluat asentaa tunnistimet, ja valitse Toiminnot Agentti Muokkaa yksittäisen järjestelmän tehtäviä. Katso lisätietoja tunnistimien asentamisesta järjestelmäryhmään Käyttöönottotehtävän määrittäminen hallittujen järjestelmien ryhmille kohdasta. 6 Valitse Toiminnot Uusi asiakastehtävän määritys. Ohjattu Asiakastehtävämääritysten luonti toiminto avataan. 7 Valitse Valitse tehtävä sivulla Tuote kohdassa Rogue System Detection ja Tehtävätyyppi kohdassa Tunnistimen käyttöönotto ja valitse sitten tehtävä, jonka olet luonut tunnistimien asentamista varten. 26
8 Valitse Tunnisteet kohdan vieressä haluamasi ympäristöt, joissa paketit otetaan käyttöön: Lähetä tämä tehtävä kaikkiin tietokoneisiin Lähetä tämä tehtävä vain tietokoneisiin, jotka täyttävät seuraavat ehdot Määritä ehdot käyttämällä yhtä muokkauslinkeistä. 9 Napsauta Seuraava painiketta. 10 Valitse Aikataulu sivulla, onko ajoitus käytössä, ja määritä aikataulun tiedot. Napsauta sitten Seuraava painiketta. 11 Tarkista yhteenveto ja valitse Tallenna. Määritä Rogue System Detectionin automaattiset vastaukset Käytä Rogue System Detectionin automaattisia vastauksia havaittujen rosvojärjestelmien siirtämiseen automaattisesti järjestelmäpuuhun luotuun kansioon ja rosvojärjestelmän löytymisestä kertovan sähköpostiviestin lähettämiseen järjestelmänvalvojalle. Ennen aloittamista Järjestelmäpuuhun täytyy luoda valmiiksi kansio, johon havaitut järjestelmät lähetetään, ja sähköpostipalvelin täytyy määrittää valmiiksi epolicy Orchestrator palvelimen kanssa käyttöä varten. Tässä osassa kerrotaan automaattisten vastausten määrittämisestä erityisesti Rogue System Detectionille. Katso kohdasta Verkon tapahtumiin vastaaminen lisätietoja muista automaattisten vastausten määrityksistä. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Automaatio Automaattiset vastaukset ja valitse sitten Toiminnot Uusi vastaus tai Muokkaa olemassa olevan säännön vierestä. 2 Valitse näkyviin tulevassa Vastausten luonti valintaikkunassa Kuvaus välilehti, kirjoita asianmukaiset tiedot Nimi ja Kuvaus kenttiin ja valitse Kieli kohdassa kieli. 3 Napsauta Tapahtumat kohdassa seuraavia luettelokohtia: Tapahtumaryhmä, valitse Havaitut järjestelmätapahtumat. Tapahtumatyyppi, valitse Järjestelmien tunnistus. 4 Valitse Tila kohdassa Käytössä ja napsauta sitten Seuraava painiketta. 5 Määritä Toiminnot välilehdessä kaksi toimintoa. 1 Valitse toimintoluettelosta Lisää järjestelmäpuuhun ja määritä seuraavat: Valitse Järjestelmäpuun sijainti kohdassa Selaa ja valitse kansio, johon haluat siirtää havaitun järjestelmän. Esimerkki: Rosvojärjestelmien tunnistus. Valinnaisesti voit helpottaa järjestelmien löytymistä valitsemalla Anna järjestelmille tunnisteet ja lajittele järjestelmät ja näyttää merkintöjen kaksoiskappaleet valitsemalla Järjestelmänimien kaksoiskappaleet. 27
2 Valitse toimintoluettelosta Lähetä sähköpostia ja määritä seuraavat: Kirjoita Vastaanottajat kohdassa ilmoituksen saavan järjestelmänvalvojan sähköpostiosoite tai valitse sähköpostiosoite yhteystietoluettelosta napsauttamalla... painiketta. Napsauta Tärkeys kohdassa luettelossa olevaa arvoa. Kirjoita Aihe kohtaan merkkijono tai valitse muuttujat Lisää muuttuja luettelosta ja napsauta Lisää painiketta. Kirjoita Teksti kohtaan merkkijono tai valitse muuttujat Lisää muuttuja luettelosta ja napsauta Lisää painiketta. 6 Valitse Seuraava, tarkista Yhteenveto sivu ja napsauta Tallenna painiketta. Näiden prosessien määrittämisen jälkeen Rogue System Detection on määritetty. Tunnistimien hallinta Kun käsittelet Rogue System Sensoreita, voit poistaa tunnistimia järjestelmistä, lisätä tunnistimia tunnistimien mustaan listaan tai poistaa niitä listalta sekä muuttaa käyttöoikeusjoukkoja. Lisätietoja tunnistimien lisäämisestä hallittuihin järjestelmiin on kohdassa Tunnistimien asentaminen. Tehtävät Muokkaa tunnistimen kuvausta sivulla 28 Rogue System Sensorin kuvauksen muokkaaminen helpottaa sen löytämistä ja sen toimintojen ymmärtämistä Rogue System Sensorit sivulla. Järjestelmien lisääminen tunnistimien mustaan listaan sivulla 29 Varmista, että järjestelmiä ei käytetä aktiivisina rosvojärjestelminä, lisäämällä ne Tunnistimien musta lista luetteloon. Järjestelmien poistaminen tunnistimien mustasta listasta sivulla 29 Rogue System Detection estää tunnistimien asentamisen mustassa listassa oleviin järjestelmiin. Jos haluat asentaa tunnistimen mustassa listassa olevaan järjestelmään, poista ensin järjestelmä tästä luettelosta. Tunnistimien poistaminen sivulla 30 Luo käyttöönottotehtävä, joka poistaa tunnistimen valituista järjestelmistä ja suorittaa välittömästi agentin aktivointikutsun. Muokkaa Rogue System Sensorin asetuksia sivulla 31 Määritä, miten tunnistimet kommunikoivat toistensa ja epolicy Orchestrator palvelimen kanssa, muokkaamalla Rogue System Sensorin asetuksia. Tunnistimen ja palvelimen välisen portin numeron vaihtaminen sivulla 31 Portti, jota Rogue System Sensor käyttää kommunikointiin McAfee epo palvelimen kanssa, voidaan vaihtaa. Muokkaa tunnistimen kuvausta Rogue System Sensorin kuvauksen muokkaaminen helpottaa sen löytämistä ja sen toimintojen ymmärtämistä Rogue System Sensorit sivulla. Missä tehtävä voidaan suorittaa Rogue System Sensorin tiedot sivu Rogue System Sensor sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Havaitut järjestelmät, napsauta mitä tahansa tunnistinluokkaa Rogue System Sensor tilanvalvonnassa ja napsauta sitten mitä tahansa tunnistinta. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten mitä tahansa tunnistinluokkaa Rogue System Sensor tilanvalvonnassa. 28
Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse järjestelmä, jonka kuvausta haluat muokata, ja sitten Toiminnot Rogue System Sensor Muokkaa kuvausta. 2 Kirjoita kuvaus ja napsauta OK painiketta. Järjestelmien lisääminen tunnistimien mustaan listaan Varmista, että järjestelmiä ei käytetä aktiivisina rosvojärjestelminä, lisäämällä ne Tunnistimien musta lista luetteloon. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Järjestelmäpuu Järjestelmät ja valitse järjestelmät, jotka haluat lisätä tunnistimien mustaan listaan. 2 Valitse Toiminnot ja sen jälkeen Rogue System Sensor Lisää tunnistimien mustaan listaan. 3 Vahvista muutos valitsemalla Kyllä. 4 Vahvista järjestelmän siirtäminen tunnistimien mustaan listaan valitsemalla Valikko Järjestelmät Havaitut järjestelmät ja napsauta sen jälkeen Rogue System Sensor tilanvalvonnassa Näytä musta lista painiketta. Järjestelmien poistaminen tunnistimien mustasta listasta Rogue System Detection estää tunnistimien asentamisen mustassa listassa oleviin järjestelmiin. Jos haluat asentaa tunnistimen mustassa listassa olevaan järjestelmään, poista ensin järjestelmä tästä luettelosta. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Valitse Rogue System Sensor tilanvalvonnassa Näytä musta lista. 3 Valitse järjestelmä, jonka haluat poistaa Tunnistimien musta lista sivulta. 4 Napsauta Toiminnot painiketta, valitse Rogue System Sensor Poista mustalta listalta ja valitse sitten pyydettäessä OK. 29
Tunnistimien poistaminen Luo käyttöönottotehtävä, joka poistaa tunnistimen valituista järjestelmistä ja suorittaa välittömästi agentin aktivointikutsun. Missä tehtävä voidaan suorittaa Aliverkon xxx.xxx.xxx.xxx hallitut järjestelmät sivu Järjestelmätiedot sivu Järjestelmät sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Havaitut järjestelmät, napsauta aliverkon tilanvalvonnassa mitä tahansa Peitetty tai Sisältää rosvoja järjestelmää, valitse sitten aliverkko ja napsauta kohtaa Näytä hallitut järjestelmät. Valitse Valikko Järjestelmät Järjestelmäpuu Järjestelmät ja napsauta sitten mitä tahansa järjestelmää. Valitse Valikko Järjestelmät Järjestelmäpuu. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Järjestelmät tai Järjestelmätiedot sivulla järjestelmät, joista haluat poistaa tunnistimet, ja valitse sitten Toiminnot Rogue System Sensor Poista Rogue System Sensor. Valitse Aliverkon xxx.xx.xx.x hallittu järjestelmä sivulla järjestelmät, joista haluat poistaa tunnistimet. Järjestelmätiedot sivulla voit poistaa tunnistimen vain järjestelmästä, jota tarkastelet parhaillaan. Valitse Järjestelmät sivulla järjestelmäpuun ryhmä ja valitse sitten järjestelmät, joista haluat poistaa tunnistimet. 2 Valitse Toiminto ruudussa OK. Rogue System Detection -käyttöoikeusjoukot Rogue System Detection käyttöoikeusjoukot määrittävät, mitä tietoja käyttäjäryhmä voi tarkastella, muokata tai luoda Rogue System Detectionissa. Voit määrittää yhden käyttöoikeusjoukon tai useita käyttöoikeusjoukkoja. Oletusarvoisesti yleisille järjestelmänvalvojille on määritettävät käyttöoikeusjoukot sisältävät kaikkien tuotteiden ja toimintojen täydet käyttöoikeudet. Käyttöoikeusjoukot ja niiden sisältämät Rogue System Detection oikeudet on lueteltu seuraavassa taulukossa. Käyttöoikeusjoukko Oikeudet Rogue System Detection Luo ja muokkaa rosvojärjestelmän tietoja, hallitse tunnistimia. Luo ja muokkaa rosvojärjestelmän tietoja, hallitse tunnistimia, ota käyttöön McAfee Agenteja ja lisää järjestelmäpuuhun. Oikeuksia ei ole. Näytä rosvojärjestelmän tiedot. Rogue System Sensor Oikeuksia ei ole. Näytä asetukset ja muuta niitä. Näytä asetukset. 30
Muokkaa Rogue System Sensorin asetuksia Määritä, miten tunnistimet kommunikoivat toistensa ja epolicy Orchestrator palvelimen kanssa, muokkaamalla Rogue System Sensorin asetuksia. Tunnistimen asetukset ovat käyttäjän määrittämiä ja niillä määritetään seuraavat asiat: miten kauan tunnistimet ovat aktiivisia aktiivisten tunnistimien enimmäismäärä kussakin aliverkossa miten kauan palvelin odottaa kuulevansa tunnistimesta ennen sen luokittelemista puuttuvaksi. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Määritys Palvelimen asetukset ja sitten Asetusluokat luettelosta Rogue System Sensor vaihtoehto ja napsauta sitten Muokkaa painiketta. 2 Aseta aika, jonka palvelin enintään odottaa tunnistimen yhteydenottoa ennen sen merkitsemistä puuttuvaksi, muokkaamalla Tunnistimen aikakatkaisu kenttää. 3 Määritä jokaisen aliverkon aktiivisten tunnistimien enimmäismäärä muokkaamalla Tunnistimia aliverkkoa kohti kenttää tai valitse Kaikki tunnistimet aktiivisina. 4 Lisää Tunnistimen tarkastus luettelo, joka sisältää MAC osoitteet ja organisaation yksilölliset tunnisteet (OUI), joita tunnistimen ei pidä tunnustella aktiivisesti, siitä huolimatta, millainen käytäntö on määritetty. 5 Aseta aika, jonka jälkeen palvelin komentaa tunnistimen passiiviseksi tai sallii uuden tunnistimen muuttua aktiiviseksi, muokkaamalla Aktiivinen ajanjakso kenttää. Aktiivisen ajanjakson asetus ei määritä aktiivisten ja passiivisten tunnistimien viestintäaikoja. Viestintäaika määritetään Rogue System Detectionin viestintäkäytännön asetuksilla. 6 Napsauta Tallenna painiketta. Tunnistimen ja palvelimen välisen portin numeron vaihtaminen Portti, jota Rogue System Sensor käyttää kommunikointiin McAfee epo palvelimen kanssa, voidaan vaihtaa. Palvelimen asetukset sivulla määritetty portin numero voidaan vaihtaa vain epolicy Orchestratorin asentamisen aikana. Jos olet vaihtanut tämän portin numeron asennuksen yhteydessä, se täytyy vaihtaa myös Rogue System Detectionin käytäntöasetuksissa, jotta tunnistimet voivat kommunikoida palvelimen kanssa. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Käytäntö Käytäntöluettelo ja valitse sitten avattavasta Tuote luettelosta Rogue System Detection x.x.x ja avattavasta Luokka luettelosta Yleiset. Kaikki Rogue System Detectionille luodut käytännöt näytetään tietoruudussa. 2 Paikanna haluamasi käytäntö ja napsauta sitten sen nimeä. 3 Vaihda Yleinen välilehdessä Tunnistimen ja palvelimen välinen tietoliikenneportti asetukseksi haluamasi portin numero ja napsauta sitten Tallenna painiketta. 31
Rosvojärjestelmien hallinta Kun käsittelet rosvojärjestelmiä, voit näyttää havaitut rosvojärjestelmät, lähettää niihin ping kutsuja ja kyselyitä sekä muokata esimerkiksi poikkeusluetteloita. Lisätietoja yleisimmistä rosvojärjestelmien määritystehtävistä on kohdassa Rogue System Detection määrityksen alkutehtävät. Tehtävät Ota agentti käyttöön manuaalisesti Havaitut järjestelmät -sivulla sivulla 32 McAfee Agent voidaan ottaa manuaalisesti käyttöön rosvojärjestelmälle käyttämällä Havaitut järjestelmät sivulla olevia toimintoja. Vieraiden agenttien ja usean McAfee epo -palvelimen hallinta sivulla 33 Jos epolicy Orchestratorilla hallitussa verkossa on useita McAfee epo palvelimia, hallitsemattomia rosvojärjestelmiä saattaa näkyä vieraina agentteina paikallisella havaittujen järjestelmien tietosivulla. Voit korjata tämän lisäämällä kaikki McAfee epo palvelimet Palvelimen asetukset kohdan Havaittujen järjestelmien yhteensopivuus asetusluokkiin. Havaittujen aliverkkojen ja niiden tietojen näyttäminen sivulla 34 Tällä sivulla näytetään havaitut aliverkot ja niiden tiedot. Havaittujen aliverkkojen tiedot voidaan näyttää miltä tahansa sivulta, jolla havaitut aliverkot näytetään. Ping-kutsun lähettäminen havaitulle järjestelmälle sivulla 34 Ping kutsun avulla voit vahvistaa, että järjestelmä on tavoitettavissa verkon kautta. Havaittujen järjestelmien agenttikysely sivulla 34 Voit suorittaa kyselyn havaittuihin järjestelmiin asennetuista agenteista. Kaikkiin havaittuihin järjestelmiin ei ole asennettu McAfee Agent komponenttia. Tämän tehtävän tulokset osoittavat, onko agentti asennettu. Lisäksi tulokset sisältävät linkkejä järjestelmää ja mahdollista agenttia koskeviin tietoihin. Järjestelmien lisääminen Poikkeukset-luetteloon sivulla 35 Poikkeukset ovat järjestelmiä, jotka eivät tarvitse McAfee Agentia ja joista ei enää haluta vastaanottaa havaintotietoja. Tunnista nämä järjestelmät ja merkitse ne poikkeuksiksi, jotta niitä ei luokitella rosvojärjestelmiksi. Järjestelmien poistaminen Poikkeukset-luettelosta sivulla 36 Voit poistaa havaittuja järjestelmiä Poikkeukset luettelosta, jos haluat saada havaintotietoja niistä, tai jos tiedät, ettei järjestelmä ole enää yhdistetty verkkoosi. Poikkeukset-luettelon vieminen tai tuominen sivulla 36 Tietoja voidaan viedä Poikkeukset luettelosta ja tuoda siihen. Lisää havaitut järjestelmät järjestelmäpuuhun sivulla 36 Lisää havaitut järjestelmät järjestelmäpuuhun Havaitut järjestelmät sivuilta. Järjestelmän kommenttien muokkaaminen sivulla 37 Järjestelmän kommenteista voi olla hyötyä, kun havaitun järjestelmän kohtaan merkitään muistiin tärkeitä ihmisten luettavissa olevia tietoja. Havaittujen järjestelmien yhdistäminen sivulla 37 Voit yhdistää havaittuja järjestelmiä manuaalisesti, jos McAfee epo palvelin ei pysty yhdistämään niitä automaattisesti. Järjestelmien poistaminen Havaitut järjestelmät -luettelosta sivulla 37 Järjestelmä kannattaa ehkä poistaa Havaitut järjestelmät luettelosta, kun tiedät, ettei järjestelmä ole enää toiminnassa. Ota agentti käyttöön manuaalisesti Havaitut järjestelmät - sivulla McAfee Agent voidaan ottaa manuaalisesti käyttöön rosvojärjestelmälle käyttämällä Havaitut järjestelmät sivulla olevia toimintoja. 32
Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse rosvojärjestelmä, jossa haluat ottaa McAfee Agentin käyttöön: a Napsauta liittymää Havaitut järjestelmäliittymät aliverkoittain taulukossa. b Valitse järjestelmän yleisessä tilanvalvonnassa Rosvo. Rosvojärjestelmät näytetään Havaitut järjestelmät sivulla. Napsauta järjestelmää. 2 Valitse Toiminnot Havaitut järjestelmät Ota agentti käyttöön. Ota käyttöön McAfee Agent sivu avataan. 3 Määritä asetukset Agentin käyttöönottoasetukset sivulla ja napsauta sitten OK painiketta. McAfee Agent otetaan käyttöön rosvojärjestelmälle ja järjestelmän tilaksi vaihdetaan Hallittu. Vieraiden agenttien ja usean McAfee epo -palvelimen hallinta Jos epolicy Orchestratorilla hallitussa verkossa on useita McAfee epo palvelimia, hallitsemattomia rosvojärjestelmiä saattaa näkyä vieraina agentteina paikallisella havaittujen järjestelmien tietosivulla. Voit korjata tämän lisäämällä kaikki McAfee epo palvelimet Palvelimen asetukset kohdan Havaittujen järjestelmien yhteensopivuus asetusluokkiin. Ympäristössä saattaa olla McAfee epo etäpalvelimen hallitsemia järjestelmiä, jotka näkyvät hallitsemattomina järjestelminä Havaitut järjestelmät sivulla. Voit siirtää kyseiset järjestelmät Hallittu tilaan suorittamalla Lähetä kysely agentille toiminnon. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Määritys Palvelimen asetukset ja valitse sitten asetusluokkien luettelosta Havaitun järjestelmän yhteensopivuus. Aiemmin määritetyt Havaitun järjestelmän yhteensopivuus asetukset näkyvät oikeanpuoleisessa ruudussa. 2 Napsauta Muokkaa painiketta. Muokkaa havaitun järjestelmän yhteensopivuutta valintaikkuna tulee näkyviin asetusten muokkausta varten. 3 Kirjoita epo palvelimet asetusten Muut epo palvelimet kenttään sen McAfee epo palvelimen nimi, jolla vierasta järjestelmää hallitaan. Valitse sitten Tallenna. Jos haluat lisätä useita McAfee epo palvelimien nimiä, erota ne pilkulla, välilyönnillä tai erillisillä rivillä. Esimerkki: epo1,epo2 epo1 epo2 epo1 epo2 4 Jotta Lähetä kysely agentille toiminto toimisi oikein, valitse Valikko Käytäntö Käytäntöluettelo ja valitse sitten tuoteluettelosta McAfee Agent ja valitse lopuksi Yleiset luokan käytäntö. Tee seuraavat muutokset: a Napsauta Yleiset välilehteä ja poista valinta kohdasta Hyväksy yhteydet vain epo palvelimelta. b c Napsauta Kirjautuminen välilehteä ja valitse Ota agentin toimintoloki käyttöön. (Valinnainen) Muuta Vaihtoehtoiset McAfee Agent portit asetusta kohdassa Valikko Määritys Palvelimen asetukset valitsemalla Asetusluokat kohdasta Havaittu vastaava järjestelmä ja antamalla vaihtoehtoiset McAfee Agent portit. 5 Suorita Lähetä kysely agentille toiminto kaikille vieraille agenteille. Tämä voidaan tehdä manuaalisesti tai palvelintehtävän tai automaattisen vastauksen avulla. 33
Tämän jälkeen vieras järjestelmä näkyy hallittuna järjestelmänä, jolla on eri epo palvelimen nimi kuin paikallisella McAfee epo palvelimella. Vahvista muutokset valitsemalla Valikko Järjestelmät Havaitut järjestelmät. Havaittujen järjestelmien luettelossa ei enää ole aiemmin näkynyttä vierasta järjestelmää. Havaittujen aliverkkojen ja niiden tietojen näyttäminen Tällä sivulla näytetään havaitut aliverkot ja niiden tiedot. Havaittujen aliverkkojen tiedot voidaan näyttää miltä tahansa sivulta, jolla havaitut aliverkot näytetään. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Näytä havaittujen aliverkkojen luettelo napsauttamalla aliverkon tilanvalvonnassa mitä tahansa luokkaa, kuten Peitetty. Näkyviin tulee Havaitut aliverkot sivu, jolla näytetään kyseisen luokan aliverkot. 3 Näytä minkä tahansa havaitun aliverkon tiedot napsauttamalla kyseistä aliverkkoa. Havaittujen aliverkkojen tiedot sivu tulee näkyviin. Ping-kutsun lähettäminen havaitulle järjestelmälle Ping kutsun avulla voit vahvistaa, että järjestelmä on tavoitettavissa verkon kautta. Missä tehtävä voidaan suorittaa Sijaintiin siirtyminen Havaittujen järjestelmien tila sivu Järjestelmäpuu sivu Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten jotakin luokkaa Järjestelmän yleinen tila valvonnassa. Valitse Valikko Järjestelmät Järjestelmäpuu. 1 Valitse järjestelmä, johon haluat lähettää ping kutsun. Voit lähettää ping kutsun vain yhteen järjestelmään kerrallaan. 2 Valitse Toiminnot Havaitut järjestelmät tai Hakemiston hallinta ja valitse sitten Lähetä Ping kutsu. Tulos näytetään ilmoituspaneelin Toiminnot palkissa McAfee epo konsoli ikkunan oikeassa alareunassa. Havaittujen järjestelmien agenttikysely Voit suorittaa kyselyn havaittuihin järjestelmiin asennetuista agenteista. Kaikkiin havaittuihin järjestelmiin ei ole asennettu McAfee Agent komponenttia. Tämän tehtävän tulokset osoittavat, onko agentti asennettu. Lisäksi tulokset sisältävät linkkejä järjestelmää ja mahdollista agenttia koskeviin tietoihin. Missä tehtävä voidaan suorittaa Havaitut järjestelmät sivu Havaittujen järjestelmien tila sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Havaitut järjestelmät. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten jotakin luokkaa Järjestelmän yleinen tila valvonnassa. 34
Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse järjestelmät, joihin haluat tehdä agenttikyselyn. 2 Valitse Toiminnot Havaitut järjestelmät Lähetä kysely agentille tai Toiminnot Lähetä kysely agentille. McAfee Agent kyselyn tulokset sivu avautuu. Järjestelmien lisääminen Poikkeukset-luetteloon Poikkeukset ovat järjestelmiä, jotka eivät tarvitse McAfee Agentia ja joista ei enää haluta vastaanottaa havaintotietoja. Tunnista nämä järjestelmät ja merkitse ne poikkeuksiksi, jotta niitä ei luokitella rosvojärjestelmiksi. Poikkeuksia voivat olla reitittimet, tulostimet, keskustietokoneet ja VoIP puhelimet. Merkitse järjestelmä poikkeukseksi vain silloin, kun se ei edusta ympäristön haavoittuvuutta. Missä tehtävä voidaan suorittaa Havaitut järjestelmät sivu Sijaintiin siirtyminen 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Napsauta Havaitut järjestelmäliittymät aliverkoittain ruudussa jotakin järjestelmää. 3 Valitse Toiminnot Lisää poikkeuksiin. Lisää poikkeuksiin valintaikkuna tulee näkyviin. 4 Valitse Havaitut järjestelmät Poikkeukset, niin Lisää poikkeuksiin valintaikkuna tulee näkyviin. Havaittujen järjestelmien tiedot sivu 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Napsauta Järjestelmän yleinen tila valvontaruudussa jotakin havaittujen järjestelmien luokkaa. 3 Napsauta Havaittujen järjestelmien tiedot sivulla jotakin järjestelmää. 4 Valitse Toiminnot Havaitut järjestelmät Lisää poikkeuksiin, niin näkyviin tulee Lisää poikkeuksiin valintaikkuna. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Näytä Lisää poikkeuksiin valintaikkuna käyttämällä jotakin edellisen taulukon prosesseista. 2 Määritä poikkeusluokka valitsemalla jokin seuraavista: Ei luokkaa Näytetään ilman luokkamerkintää. Uusi luokka Näytetään kirjoittamasi uuden luokan nimen yhteydessä. Valitse luokka Näytetään luettelosta valitun luokan yhteydessä. Lisätietoja luokkien määrittämisestä on kohdassa Havaittujen järjestelmien poikkeusluokkien muokkaaminen. 3 Napsauta OK painiketta. 35
Järjestelmien poistaminen Poikkeukset-luettelosta Voit poistaa havaittuja järjestelmiä Poikkeukset luettelosta, jos haluat saada havaintotietoja niistä, tai jos tiedät, ettei järjestelmä ole enää yhdistetty verkkoosi. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Napsauta Poikkeukset luokkaa Järjestelmän yleinen tila valvonnassa ja valitse sitten poistettava järjestelmä. 3 Napsauta Toiminnot painiketta, valitse Havaitut järjestelmät Poista poikkeuksista ja valitse sitten pyydettäessä OK. Poikkeukset-luettelon vieminen tai tuominen Tietoja voidaan viedä Poikkeukset luettelosta ja tuoda siihen. Sekä tietojen vienti että tuontiprosessit muuttavat MAC osoitetietoja, jotka on tallennettu Rogue System Detectionin Poikkeukset luetteloon. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät ja valitse sitten Tuo/vie poikkeukset järjestelmän yleisessä tilanvalvonnassa. Tuo/vie poikkeukset valintaikkuna tulee näkyviin. 2 Valitse jokin seuraavista: Napsauta Vie poikkeukset välilehdessä linkkiä ja tallenna sitten tiedosto. Tiedostot viedään pilkuilla erotetut arvot muodossa. Poikkeukset luettelon tiedostonimeksi on määritetty valmiiksi RSDExportedExceptions.csv. Voit vaihtaa tiedoston nimen, kun lataat sen paikalliseen järjestelmään. Napsauta Tuo poikkeukset välilehteä ja valitse menetelmä, jota haluat käyttää, määritä järjestelmät tai tiedosto ja valitse sitten Tuo poikkeukset. Järjestelmiä tuotaessa vain MAC osoitteet tunnistetaan. MAC osoitteet voidaan erottaa toisistaan välilyönnillä, pilkulla tai puolipisteellä. MAC osoite voi sisältää kaksoispisteitä, mutta ne eivät ole pakollisia. Lisää havaitut järjestelmät järjestelmäpuuhun Lisää havaitut järjestelmät järjestelmäpuuhun Havaitut järjestelmät sivuilta. Missä tehtävä voidaan suorittaa Sijaintiin siirtyminen Havaitut järjestelmät sivu Havaittujen järjestelmien tila sivu Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. Valitse Valikko Järjestelmät Havaitut järjestelmät. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten jotakin luokkaa Järjestelmän yleinen tila valvonnassa. 1 Valitse havaitut järjestelmät, jotka haluat lisätä järjestelmäpuuhun. 2 Valitse Toiminnot Havaitut järjestelmät Lisää järjestelmäpuuhun. Lisää järjestelmäpuuhun sivu avataan. 36
3 Avaa Selaa painiketta napsauttamalla Valitse järjestelmäpuuryhmä valintaikkuna, jossa voit etsiä sijainnin, johon haluat lisätä valitut järjestelmät. 4 Määritä yksi seuraavista vaihtoehdoista: Anna järjestelmille tunnisteet ja lajittele järjestelmät Lisää järjestelmille tunnisteet ja lajittelee ne heti järjestelmäpuuhun lisäämisen jälkeen. Järjestelmänimien kaksoiskappaleet Mahdollistaa kohteiden kaksoiskappaleiden lisäämisen järjestelmäpuuhun. Järjestelmän kommenttien muokkaaminen Järjestelmän kommenteista voi olla hyötyä, kun havaitun järjestelmän kohtaan merkitään muistiin tärkeitä ihmisten luettavissa olevia tietoja. Missä tehtävä voidaan suorittaa Havaittujen järjestelmien tiedot sivu Havaitut järjestelmät sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Havaitut järjestelmät, napsauta mitä tahansa havaitun järjestelmän luokkaa järjestelmän yleisessä tilanvalvonnassa ja napsauta sitten mitä tahansa järjestelmää. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten jotakin havaitun järjestelmän luokkaa Järjestelmän yleinen tila valvonnassa. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse järjestelmä, jonka kommenttia haluat muokata, ja sitten Toiminnot Havaitut järjestelmät Muokkaa kuvausta. 2 Kirjoita kommentti ja napsauta OK painiketta. Havaittujen järjestelmien yhdistäminen Voit yhdistää havaittuja järjestelmiä manuaalisesti, jos McAfee epo palvelin ei pysty yhdistämään niitä automaattisesti. Lisätietoja on kohdassa Havaittujen järjestelmien havaitseminen samanlaisiksi ja yhdistäminen. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät ja valitse sitten Järjestelmän yleinen tila valvonnassa Rosvo. Rosvojärjestelmät tulevat näkyviin. 2 Valitse yhdistettävät järjestelmät. 3 Napsauta Toiminnot painiketta ja valitse sitten Havaitut järjestelmät Yhdistä järjestelmät. Yhdistä järjestelmät sivu tulee näkyviin. 4 Napsauta Yhdistä painiketta. 5 Kun yhdistämisen varoitusviesti tulee näkyviin, valitse OK. Järjestelmien poistaminen Havaitut järjestelmät -luettelosta Järjestelmä kannattaa ehkä poistaa Havaitut järjestelmät luettelosta, kun tiedät, ettei järjestelmä ole enää toiminnassa. Kun järjestelmä on poistettu, se ei näy Havaitut järjestelmät luettelossa, ennen kuin se havaitaan seuraavan kerran. 37
Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Napsauta mitä tahansa havaittujen järjestelmien luokkaa Järjestelmän yleinen tila valvonnassa ja valitse sitten poistettava järjestelmä. 3 Valitse Toiminnot Havaitut järjestelmät Poista ja valitse sitten pyydettäessä OK. Aliverkkojen hallinta Kun käsittelet aliverkkoja Rogue System Detection toiminnolla, voit lisätä, poistaa tai sisällyttää aiemmin ohitettuja aliverkkoja. Tehtävät Havaittujen järjestelmien ja niiden tietojen näyttäminen sivulla 38 Havaitun järjestelmän tiedot voidaan näyttää miltä tahansa sivulta, jolla havaitut järjestelmät näytetään. Lisää aliverkkoja sivulla 38 Rogue System Detectioniin voidaan lisätä aliverkkoja. Poista aliverkot sivulla 39 Rogue System Detectionista voidaan poistaa aliverkkoja. Aliverkkojen ohittaminen sivulla 39 Voit ohittaa aliverkot, joista et halua vastaanottaa tietoja Rogue System Detectionista. Aliverkkojen sisällyttäminen sivulla 40 Voit sisällytä aliverkot, jotka Rogue System Detection on aiemmin ohittanut. Aliverkkojen nimeäminen uudelleen sivulla 40 Oletus IP osoitteen käytön sijaan voit nimetä aliverkkoja uudelleen, jotta voit löytää ne nopeasti tai tunnistaa niiden käyttötarkoituksen helposti. Havaittujen järjestelmien ja niiden tietojen näyttäminen Havaitun järjestelmän tiedot voidaan näyttää miltä tahansa sivulta, jolla havaitut järjestelmät näytetään. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät. 2 Näytä havaittujen järjestelmien luettelo napsauttamalla järjestelmän yleisessä tilanvalvonnassa mitä tahansa luokkaa, kuten Hallittu. Havaitut järjestelmät sivu tulee näkyviin. 3 Näytä minkä tahansa havaitun järjestelmän tiedot napsauttamalla kyseistä järjestelmää. Järjestelmän tiedot sivu on erilainen kuin Havaittujen järjestelmien tiedot sivu. Havaittujen järjestelmien tiedot sivulla näytetään joitain Rogue System Detectionille ominaisia tietoja. Lisää aliverkkoja Rogue System Detectioniin voidaan lisätä aliverkkoja. 38
Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten aliverkon tilanvalvonnassa Lisää aliverkko painiketta. Lisää aliverkot sivu tulee näkyviin. 2 Valitse menetelmä, jolla haluat tuoda aliverkot, määritä lisättävät aliverkot ja napsauta sitten Tuo painiketta. Poista aliverkot Rogue System Detectionista voidaan poistaa aliverkkoja. Missä tehtävä voidaan suorittaa Havaittujen aliverkkojen tiedot sivu Havaitut aliverkot sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten aliverkon tilanvalvonnassa mitä tahansa aliverkkoa. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten jotakin luokkaa aliverkon tilanvalvonnassa. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse poistettavat aliverkot, napsauta sitten Toiminnot painiketta ja valitse sen jälkeen Havaitut järjestelmät Poista. 2 Napsauta Poista vahvistusruudussa Kyllä painiketta. Aliverkkojen ohittaminen Voit ohittaa aliverkot, joista et halua vastaanottaa tietoja Rogue System Detectionista. Missä tehtävä voidaan suorittaa Havaittujen aliverkkojen tiedot sivu Havaitut aliverkot sivu Havaitut järjestelmät sivu Sijaintiin siirtyminen Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten aliverkon tilanvalvonnassa mitä tahansa aliverkkoa. Valitse Valikko Järjestelmät Havaitut järjestelmät ja napsauta sitten jotakin luokkaa aliverkon tilanvalvonnassa. Valitse Valikko Järjestelmät Havaitut järjestelmät. Aliverkon ohittaminen poistaa kaikki kyseiseen aliverkkoon liittyvät havaitut liittymät. Kaikki tähän aliverkkoon liittyvät havainnot ohitetaan myös jatkossa. Voit tarkastella ohitettujen aliverkkojen luetteloa valitsemalla Ohitetut linkin Aliverkon tila näytössä. Linkki näkyy vain silloin, kun aliverkkoja on ohitettu. Tehtävä Asetusmääritykset voit avata valitsemalla liittymästä?. 1 Valitse ohitettavat aliverkot, napsauta Toiminnot painiketta ja valitse sitten Havaitut järjestelmät Ohita. 2 Valitse Ohita valintaikkunassa OK. Valintaikkuna avautuu, kun ohitat aliverkon Havaitut järjestelmät sivun 25 yleisintä aliverkkoa luettelossa. Napsauta OK painiketta. 39