跳转到主内容

整合Sentinel一和Frame

· 11分钟读取
丹西蒙斯

下文档覆盖SentinelOne(S1)反病毒求解框架覆盖二大领域S1整合

  • 控制台
  • 代理

聚焦于如何部署SentinelOne反病毒框架DaS/VDI环境使用指南中,我们将审查控制台和主焦点与Frame相关,并提供一套详细步骤集S1与Frame平台整合时可采取的步骤本指南还将覆盖迄今为止与S1和Frame平台的任何已知问题,并包含推荐动作(视情)和故障解析步骤

注解

详情见安全基础框架AV软件.

控制台审查华府

SentinelOne控制台为环境存取、搭建和配置S1数节详解后,我们将聚焦于可影响或框架需要的设置S1控制台内有许多区域可供配置为了本文件的目的,我们将只关注需要搭建框架集成或审查配置的领域主控制台通过网站专用URL访问,例如

https://euce1-100.sentinelone.net/login

信息库

S1网站所有URL都指向客户网站均列为示例,任何S1基于URL文档引用都相同。网站名前.sentinelone.netURL内会与您的S1帐户和环境有别和特殊性

网站华府

每一个哨兵一号部署将至少有一个网站,必要时至少有一组或多组或多组安全令牌分配到网站例子显示此文档内我们使用单站点和单组专用框架环境

实例网站IT框架

示例组:单组-简洁化,我们命名默认群.

分组华府

网站内分两类:

  • 静态组:人工创建
  • 动态组:创建基础于数组条件

分组可用滤波从各种选项中判定端点成员机名 IP地址范围 操作系统各组有代理程序、策略和排除程序,并配置它所管理端点组组安装期间分配令牌使用,默认网站令牌并交付,但如果需要交付集团专用令牌,也可以设置

框架部署通常建议使用自定义静态组,只有框架端点存在,并用机器/Hostname或IP地址滤波跟踪分组成员过滤器取决于Frame使用案例和任何具体设计需求使用动态组或静态组由你选择并真正取决于环境需求,并取决于你希望如何管理S1框架端点并过滤

策略性华府

策略控制S1代理物病毒和恶意检测 和某些特征行为

启动代理程序策略集恶意威胁保护杀隔离集成可疑威胁检测通知可疑物品代理UI可隐藏并显示在下图中

设置下列配置集成框架

  • 禁用
  • 反Tapper公司(仅在可能时发布)
  • 扫描新代理器
  • 抓图(从N/A到Frame)

深度可见度可开区域框架可启动报警项目测试Frame

排他性华府

排除值为S1配置绕行或非扫描值下图显示框架推荐排除实例

排除类型通常使用目录路径或文件路径

哨兵单注

a使用\\\/at the End目录路径子二分解器S1排除目录或文件\\\/.

查查更多资讯推荐排除规则.

排除规则华府

用于框架管理工作量的任何反病毒软件必须配置,允许使用下列目录和相关子目录:

  • C:\ProgramData\Nutanix\Frame\内存库和工具框架服务、服务器和日志(FGA8.x)。
  • C:\Program Files\Nutanix\Frame\内含框架服务与Xi服务器可执行程序,向框架管弦平台提供通信
  • C:\product文件\OFS内含框架文件系统驱动程序和控制程序
  • C:\OFS\内含框架文件系统驱动组件

准备使用企业配置文件时,请允许使用下列文件夹和文件:

文件夹 :华府

  • C:\program文件/ProfileUnity/和所有子文件夹
  • C:\Windows\Temp\ProfileUnity\
  • C:FADIA-T
  • C:\ProfileDiskMounts\

文件 :华府

  • C:\Windows\System32\drivers\Cbfltfs3.sys
  • C:\Windows\System32\drivers\Cbfltfs4.sys
  • C:\Windows\System32\drivers\Cbreg.sys
  • C:\Windows\System32\drivers\cbfsfilter2017.sys
  • C:\Windows\System32\drivers\cbfsregistry2017.sys
  • C:\Windows\System32\drivers\cbregistry20.sys
  • C:\Windows\System32\OFS_x64.dll
  • C:\Windows\System32\drivers\OFS.sys
注解

请确保在发布过程禁止防毒塔波保护

包包华府

包系实际客户端或端点代理发送或安装到端点监控每种包都为特定版本并面向特定OS类型(Mac、Linux、Windows等)。选择合适的OS并下载它设置框架沙盒内,该沙盒为框架账号提供金图像本文后文将提供更多细节

包代理自建新包版本在顶端,默认控制台包视图中下图显示各种包并注最新版本默认位居顶端

端点华府

端点指实际设备监听、保护并警告可以是物理或虚拟机框架部署所有端点都是虚拟机,对大多数客户来说,非持久虚拟机端点列入并活动或非活动下图显示 :

事件处理华府

S1跟踪报告S1识别的威胁和警告下图事件视图

控制台动作华府

下方为需检查区和项目,并视需为S1与Frame集成设置

  1. 评审网站和分组设计并在需要时创建网站或分组框架端点

    注解

    推荐为框架端点设置专用网站或分组

  2. 审核现有或创建新策略集

    1. 禁用下列程序:

      1. 防窃听
      2. 扫描新代理商
      3. 抓图

    2. 启动策略/策略

      注解

      推荐为框架端点制定不同的策略

  3. 评审并设置网站内或组内所有基于框架的排除框架推荐排除规则

  4. 查找并下载最新的OSS1代理包以搭建沙盒主图像

    1. 确定网站或组令牌内存性, 并逐个复制令牌安装时使用 。

  5. sbox图像上搭建S1代理

  6. 监控端点检查构建或发布

代理华府

代理程序是你早先从控制台下载并安装到框架沙盒中的软件包,因此当构建使用能力时,它即为框架部署的一部分视部署模型而定,你还可能需要S1令牌,无论是网站或分组基础确定抓取正版部署模型(站级或分组)

S1代理物为各种OS类型所特有并可用OS和OS版本均配有专用代理总是使用最新可用数据,除非S1或Frame注解不使用

以Windows为主框架账户部署实例S1为部署VDI解决方案规定指南,下文URL表示:

URLs:

注释 :安装SentinelOne代理/VDICLI参数交换允许在sysprep后冷克隆令云控制台识别克隆并生成新UUID

代理安装华府

注释 :安装代理程序后安装所有其他程序并处于测试沙盒图像最后阶段这是VDI一般性建议,不是框架专用建议

向沙盒主图像添加Sentinelone代理

  1. SentinelOneWindows代理exe或msi下载图像
  2. 主图像VM操作代理安装器/VDI开关

注释 :语法不同取决于安装EXE或MSI安装包

  • EXE包安装实例

    C:\Users\User1\Desktop\SentinelInstaller.exe /VDI

  • MSI包安装实例

    C:\Users\User1\Desktop\SentinelInstaller.msi VDI=true

  • 代理器语法22.1版以上安装新安装器

    C:\Users\User1\Desktop\SentinelInstaller.exe -a "VDI=true"

  • C:\Users\User1\Desktop\SentinelOneInstaller.exe -a "INSTALL_PATH_DATA=drive:\path VDI=true"

  • 继续安装

  • 退出安装程序完成后

  • 验证代理程序设置并确认S1令牌对您的部署模型正确

  • 使用优化工具或脚本最终确定图像

  • 确保所有Windows更新处理并禁用服务

  • 运行sprep检验工具可选性, 仅在需要时运行 。

  • 断电沙盒图像

  • 发布实例池容量

注解

持久框架账户用户分配虚拟机时使用Sandbox应用S1代理/VDI选项 。持续桌面分配用户后,再像管理传统端点一样管理持久桌面虚拟机

已知问题华府

  • 问题一:发布故障或注销

    理由:Ssprep定时

    修复 :Sysprep检验工具发布前运行沙盒

  • 问题二:无法启动OFS驱动账户生产池实例

    理由:文件安全描述符设置不正确,导致文件访问在一些假想中被拒绝,目录查询还可能返回破损缓冲OFS v1.43.0并存于所有云层(AWS、Azure和GCP)

    修复 :新的OFS版本OFS v1.5.x没有这个问题联系框架支持获取最新版本OFS

故障排除华府

故障解析问题见MSI安装日志或调用S1支持.MSI安装日志命名MSI .log.

  • 运行安装/升级用户时,安装日志将存入文件夹%tmp.

  • 如果您从系统用户运行安装/升级(像管理控制台),安装日志将存入文件夹%systemroot%\temp.

  • 查看代理安装/VDI开关 :

  • 运行量 :sentinelctl.exe代理器_id-v虚拟机行政命令提示

哨兵单日志华府

日志位置每项活动详解

活动类型 启动程序 日志定位
净安装 管理或GPO %windir%\temp\Sentinelinstaller*.txt
风速%典型化C:\Windows
净安装 端用户 %tmp
%tmp华府市C:\用户/ \AppData\Local\Temp
净安装来自MSI,而MSI失效后向SentinelInstaller传递日志文件名MSI*.LOG.反之日志文件名Sentinelinstaller*.txt
净安装 日志成功安装后自动复制 C:\ProgramData\Sentinel\UserCrashDumps\*.*
自定义安装文件夹名 端用户 C:\Program Files\_Customized_Folder_Name_,Sentinelinstaller*.txtMSI*.LOG
升级 管理或GPO %windir%\temp\MSI*.log,%windir%\Temp\Sentinel*.etl,C:\ProgramData\Sentinel\UserCrashDumps\*.*
升级 端用户 %temp+si*.log,%temp\Sentinel*.etl,C:\ProgramData\Sentinel\UserCrashDumps\*.*
卸载安装 管理或GPO windir+Temp
卸载安装 端用户 %tmp

提示 :故障排除安装问题搜索日志错误FATAL.

关于作者华府

丹西蒙斯
Dan Simons是高级解决方案架构师FrameCitrix前雇员技术支持、咨询和系统工程作用支持CitrixVDI工作量后转框架解决方案架构团队丹也是82空降步兵伞兵和老兵欢乐父偶,WWII历史bff,业余无限德克萨斯州
Baidu