USER-ID — еще одна прекрасная технология нового поколения. Вебинар №3

Дата: 21.04.2020. Автор: Денис Батранков. Категории: Подкасты и видео по информационной безопасности

Содержание:
00:20 — Какие сотрудники несут наибольший риск в организации?
00:56 — Что такое USER-ID
01:33 — Как выглядит журнал NGFW с именами пользователей
01:52 — Как выглядят правила NGFW с именами пользователей и группами пользователей
03:15 — Почему правила с USER-ID удобнее
03:25 — Что нужно для работы USER-ID: User Mapping и Group Mapping
04:43 — Квалификаторы NGFW содержат приложение, URL категорию и имя пользователя
05:14 — Отчеты по имени пользователя сразу в NGFW готовы
06:45 — Как работает Group Mapping
07:14 — Как проходит обработка сетевого пакета внутри NGFW
07:58 — Важно поставить галочку Enable User Identitfication
08:35 — Server Monitoring — чтение событий на серверах аутентификации
09:01 — Client Probing по NETBIOS или WMI
09:29 — Terminal Server — дополнительный агент для контроля source портов людей
10:31 — Syslog можно получать от других систем и в нем смотреть кто-где сейчас находится
11:04 — Аутентификация на NGFW на Captive Portal или клиентом GlobalProtect
11:50 — XML API позволяет передать в NGFW
12:14 — Поле X-Forwarded-For если соединение идет от Proxy
17:30 — Как работает считывание событий из Domain Controller
17:54 — Какие события AD в Event Log говорят о событиях аутентификации сотрудника
18:05 — Server Monitoring обновляет только известную пару IP-User
19:03 — Команда show user ip-user-mapping all
19:35 — Просмотр регистрации пользователей в GUI Monitor-User-ID
20:10 — Как выглядит журнал трафика с именами пользователей Monitor-Traffic
23:50 — просмотр журналов URL фильтрации для конкретного пользователя
25:00 — Как выглядит политика NGFW
25:55 — Как написать правило для группы администраторов
27:10 — Host Information Profile — параметры настроек устройства сотрудника приходящие от агента GlobalProtect
30:30 — Интеграция Syslog: Unix, Proxy, 802.1x
30:51 — XML API для добавления информации
31:30 — Terminal Services — USER-ID отличает людей работающих с одного IP адреса по Source порту
32:00 — redistribution firewall раздает информацию USER-ID все остальным
32:45 — как исключать пользователей
33:05 — мониторинг виртуальных машин
33:38 — встроенный USER-ID агент работает внутри NGFW и на внешнем агенте под Windows
34:08 — встроенный USER-ID агент работает на Management Plane
34:40 — отличие прав доступа для встроенного и внешнего USER-ID агента
36:40 — как запустить внешний USER-ID агент
37:49 — встроенный агент работает по WMI
38:03 — различия в нагрузке на процессор сервера AD при использовании встроенного и внешнего агентов
39:40 — какой трафик генерируют агенты
40:27 — настройки частоты обновления агентов к серверам
40:43 — подключение к лесу доменов
41:05 — Microsoft Log Forwarding сервер позволяет собирать журналы со всех контроллеров домена
41:52 — демонстрация настройки встроенного USER-ID агента
43:18 — готовые regex для sylog
46:05 — требования к аккаунту для работы USER-ID агентов
46:35 — репликация данных USER-ID
47:29 — Распределение USER-ID между NGFW
47:45 — Работа в реальной распределенной сети
48:35 — Captive Portal
49:25 — GlobalProtect — самый надежный источник данных для USER-ID
51:08 — Имя пользователя работает также в QoS, правилах SSL, DoS, Policy Based Forwarding
52:15 — Интеграция с Cisco ISE и метками SGT https://www.youtube.com/watch?v=qLCxo0L2K1E
53:42 — Интеграция с Cisco ISE когда NGFW получает метки Cisco SGT https://www.youtube.com/watch?v=vVcX_4mcRtk
56:13 — Plugin для Panorama 9.0 для интеграции с Cisco TrustSec

Приглашаем на вебинары в Академию Palo Alto Networks https://panacademia.ru/
Насколько удобней стало писать правила с этой технологией знает все больше людей. Теперь сам NGFW контролирует где находится сотрудник: на рабочем месте, в сети WiFi или подключился по VPN. Вы всегда контролируете это и даете ему нужные доступы внутри сети. Механизмы интеграции с Active Directory, Captive Portal, XML API, чтение чужих SYSLOG — все это позволяет очень гибко управлять доступами. Краткий обзор в данном видео. Мы рассмотрели отличие встроенного USER-ID агента от внешнего. Также мы рассмотрели интеграцию с Cisco ISE через плагин в Panorama, Minemeld и SYSLOG от RADIUS.

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *