Aplique políticas de confianza cero utilizando fuentes de postura de seguridad de fortiedr

Consulta técnica sobre FortiEDR

DescripciónEste artículo describe cómo habilitar FortiClient EMS para aplicar políticas de confianza cero basadas en fuentes de postura de seguridad de FortiEDR.
AlcanceFortiEDR/EMS-Nube.
Solución

Concepto general.

 

FortiClient EMS tiene reservada la capacidad de etiquetar hosts y hacer cumplir las políticas de acceso al respecto.

El objetivo de este artículo es permitir una integración perfecta entre #FortiClient Cloud-EMS y FortiEDR, que permitirá asignar hosts en #FortiClient EMS con etiquetas de seguridad asociadas a FortiEDR y, al hacerlo, restringir la accesibilidad del host en función de su postura de seguridad.

 

Pasos de integración.

 

1) Cree un conector de nube-EMS:

Efectivo v5.0.3 FortiEDR es compatible con OOTB (relacionado con Fabric) y conectores asociados personalizados que permiten integrar FortiEDR con cualquier entidad de terceros y activar OOTB y acciones personalizadas según la política de playbook aplicada .

El conector #Cloud-EMS se configurará como ‘Conector personalizado’ como se indica en Administrador -> Integraciones.

 

rkatmor_0-1650348833666.jpg

 

Asegúrese de llenar lo siguiente:

– Seleccione un componente de jumpbox (reforzado por la opción ‘conector personalizado’ como parte de un requisito antimanipulación).

– Agregue el nombre del conector deseado, el host y el puerto y la clave API generada por el entorno #EMS-Cloud en el asunto.

 

 

2) Agregue una acción ‘Compartir etiquetas EMS’:

En Administración -> Integraciones, seleccione la opción ‘Agregar acción’ en el extremo derecho de la ventana ‘conector personalizado’ y seleccione la opción ‘Crear nueva acción’:

 

 

 

En el cuadro de diálogo del administrador de acciones, indique un nombre de acción (1) (esta acción estará disponible en la plantilla del libro de jugadas en la sección de acciones ‘PERSONALIZADAS’), una descripción (2) y seleccione el botón de secuencia de comandos de acción ‘Cargar’ (3).

Seleccione el script #EMS-Cloud como se indica en este artículo y seleccione ‘ Guardar’.

 

 

Una vez guardado, seleccione ‘Agregar’ y verifique la funcionalidad del conector seleccionando el botón ‘probar’:

 

 

 

 

El script de prueba devolverá ‘0’ para el éxito y diferentes mensajes de error, incl. respectivos stdout (impresión asociada) y registros detallados de stderr para fallas.

 

Habilite y guarde el conector:

 

 

3) Habilite la nueva acción personalizada en las opciones extendidas del libro de jugadas:

En la opción Configuración de seguridad -> Libro de jugadas (1), asegúrese de habilitar el conector correspondiente (2) y la nueva acción agregada que aparece en la sección de acción ‘PERSONALIZADA’ para todas las opciones asociadas a la etiqueta/clasificación (3).

El libro de jugadas debe establecerse en protección (4) y aplicarse al grupo anfitrión respectivo (5):

 

 

Gastos esperados:

Tras la activación del evento, uno debe esperar lo siguiente:

 

1) Si aún no se ha creado, se creará un nuevo formato de etiqueta (‘FortiEDR_CLASSIFICATION’) en la consola #EMS-Cloud.

 

 

2) Una vez que se desencadena un incidente y se asocia con un host que está sujeto a la política del libro de jugadas asignado, el host se asociará con la clasificación/etiqueta desencadenada en #EMS-Cloud.

 

 

Avanzando.

 

Con el fin de optimizar y automatizar aún más los diferentes procesos de integración, estamos planeando agregar más conectores OOTB y acciones respectivas para Fabric y terceros como parte de la versión v5.2 (ETA Q2-22′) – #FortiClient Cloud-EMS tagging está previsto que sea una de esas acciones conectoras.

Artículos relacionados  Instalación de fortiedr Collector en un dispositivo con sistema operativo Mac Big Sur

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *