Cisco's AMP4e onderdeel 3

Binnen AMP4e zijn er verschillende opties in te stellen om het aantal policies te regelen. Deze policies kunnen ingesteld worden in een overzichtelijk dashboard, toegankelijk voor de gebruiker.

AMP4E Policies

Om de instellingen van AMP for Endpoints te kunnen regelen wordt er gebruik gemaakt van de volgende policies:

  • Protect
  • Server
  • Domain Controller
  • Audit

De Protect policy zorgt voor de beste beveiliging. De Audit mode detecteert enkel bedreigingen, maar AMP for Endpoints blokkeert niets op het moment dat er een kwaadaardig bestand of kwaadaardig gedrag wordt gedetecteerd. De policy voor een server of domain controller zullen vaak handmatig worden ingesteld, omdat iedere server andere performance vraagt.

Met behulp van een policy kan de beheerder van AMP for Endpoints kiezen welke engines er gebruikt worden door AMP for Endpoints. Voor ieder besturingssysteem is er een aparte policy, omdat niet alle engines beschikbaar zijn op ieder besturingssyteem. Op Windows zijn alle engines beschikbaar. De eerste policy die wordt toegelicht is voor Windows. Binnen de policy kan de beheerder om de volgende engines aan of uit te zetten.

 

  • One-to-One Signature (Antivirus) - Malicious Activity Protection
  • Device Flow Correlation
  • Exploit Prevention
  • Spero – Ethos

Policies verschillende besturingssystemen

Voor de overige engines is er geen optie om de engine volledig uit te schakelen. Wel kan er ingesteld worden hoe AMP for Endpoints reageert op verdachte bestanden, verdachte netwerkactiviteiten en verdachte systeemprocessen. Bovendien kan de beheerder instellen wat de actie is op het moment dat een engine gedrag detecteert als verdacht. Als de engine niet wordt genoemd in de onderstaande tabel is het niet mogelijk om de instellingen aan te passen. Dit is niet gericht op een bepaalde engine, maar deze instellingen gelden voor alle engines. In tabel 6-A is er overzicht te vinden welke mogelijke instellingen er zijn.

Tabel Policy Windows

 

Type Detectie Configuratie
Files Quarantine, Audit
Network Activity Block, Audit, Disable
System Processes Protect, Audit, Disable
Device Flow Correlation Block, Audit, Terminate & Quarantine
Malicious Activity Protection Quarantine, Block, Audit, Disable

 

Tabel Policy OSX en Linux

 

Type Detectie Configuratie
Files Quarantine, Audit
Network Activity Block, Audit, Disable

 

Als toevoeging op de verschillende engines is het bij Windows apparaten mogelijk om een wachtwoord te koppelen aan AMP for Endpoints. Er kan een wachtwoord ingesteld worden in de policy, zodat de gebruiker de software niet kan verwijderen zonder het juiste wachtwoord in te voeren. Binnen AMP for Endpoints wordt die het Connector Password genoemd.


Op Mac OS X en Linux zijn niet alle engines beschikbaar die genoemd zijn. Hierdoor wijkt de policy voor deze besturingssysteem ook af ten opzichte van de policy voor Windows apparaten. AMP for Endpoints maakt bij deze besturingssystemen enkel gebruik van ClamAV. In de tabel voor OSX en Linux is een overzicht te vinden van de opties die de beheerder in de policy kan instellen. Deze genoemde policies zijn de enige policies die ingesteld kunnen worden voor deze besturingssystemen.

Heeft u nog vragen over de policies van AMP4e of wilt u meer weten over het gebruik van AMp4e? Neem dan contact op met i4PROJECTS voor advies op maat. 

Bron: Cisco

"Cisco’s AMP for Endpoints solution is the most powerful threat intelligence platform in the world."
Hakan Tas
Senior Solution Architect, Destel
Managed Security Services
Reacties
0