התקנת ממשק הניהול ESET Inspect On-Prem
פירוט
במדריך הבא נדגים כיצד להתקין את ממשק ה-ESET Inspect On-Prem, ממשק ה-EDR של ESET.
דרישות קדם
תוכנה
- ממשק ניהול מקומי ESET PROTECT On-Prem בגרסה 11.1.14.0 ומעלה.
- מוצר הגנה של ESET בתחנות ובשרתים:
ESET Endpoint Security 11.0.2032 ומעלה.
ESET Endpoint Antivirus 11.0.2032 ומעלה.
ESET Endpoint Security for macOS 8.1.6.0 ומעלה.
ESET Endpoint Antivirus for macOS 7.4.1500.0 ומעלה.
ESET Mail Security for Microsoft Exchange Server 10.1.10012.0 ומעלה.
ESET File Security for Microsoft Windows Server 10.0.12014 ומעלה.
ESET Endpoint Antivirus for Linux 11.1.3.0 ומעלה.
ESET Server Security for Linux 10.3.3.0 ומעלה. - MySQL (ההתקנה מוסברת במהלך המדריך).
- Microsoft Visual C++ Redistributable Version שניתן להוריד פה.
מערכות הפעלה נתמכות
- עבור התקנת שרת ה-EDR:
Windows Server 2012 ומעלה.
מומלץ לא להתקין את ממשק הניהול ESET Inspect על אותו השרת של ESET PROTECT! - עבור התקנת רכיב ה-Agent בתחנות קצה ושרתים:
(Windows 10 (21H1 ומעלה.
Windows Server 2012 ומעלה. - macOS 10.15 (Catalina) ומעלה.
- Linux בהפצות וגרסאות הבאות.
חומרה בשרת - דרישות מינימום
| כמות תחנות מנוהלות | 500 | 1000 |
| זיכרון RAM זמין | 4GB | 8GB |
| שטח דיסק זמין | 566GB | 1.1TB |
| Disk IOPS | 1000 | 2000 |
| ליבות מעבד | 2 | 4 |
* שטח הדיסק מתייחס למשך שמירת לוגים מאוד מפורטים (מסוג Low-Level) במשך חודש.
תקשורת
- תקשורת בין ממשק הניהול ESET Inspect לבין ממשק הניהול ESET Protect בפורט 2223.
- תקשורת בין תחנות קצה לממשק ESET Inspect בפורט 8093.
תוכן
1. הורידו את קובץ ההתקנה של ה-MySQL מתוך הקישור הבא והפעילו את ההתקנה.
בחלון שנפתח סמנו את Server Only ולחצו על Next.
2. לחצו על Execute.
3. לחצו על Next.
4. לחצו על Next.
5. לחצו על Next.
6. לחצו על Next.
7. עליכם ליצור סיסמה למשתמש ה-Root של ה-MySQL.
לאחר מכן, לחצו על כפתור Add User.
8. צרו שם משתמש והגדירו לו סיסמה.
חשוב - שמרו את הסיסמה הזו, נזדקק לה בהמשך המדריך.
9. לחצו על Next.
10. לחצו על Next.
11. לחצו על Next.
12. לחצו על Execute.
13. לחצו על Finish.
14. לחצו על Next.
15. לחצו על Finish.
16. כעת פתחו את התיקייה הבאה:
C:\ProgramData\MySQL\MySQL Server 8.0
ופתחו את הקובץ my.ini
בתחתית הקובץ הדביקו את השורות הבאות:
open_files_limit=30000
innodb_flush_log_at_trx_commit=0
thread_stack=256K
log_bin_trust_function_creators=1
event_scheduler=ON
local_infile=1
slow-query-log=0
disable-log-bin=1
wait_timeout=900
max_connections=300
innodb_buffer_pool_size=
innodb_log_file_size=
innodb_redo_log_capacity=
17. בשורת innodb_buffer_pool_size עליכם לרשום ערך של 80% מכמות ה-RAM של השרת.
בשורת innodb_log_file_size עליכם לרשום 50% מהערך שרשמתם בשורה שמעליו.
בשורת innodb_redo_log_capacity עליכם לרשום את אותו הערך שכתבתם בשורת innodb_buffer_pool_size.
לדוגמא, אם לשרת יש 16GB זיכרון, עליכם לרשום בשורת innodb_buffer_pool_size את המספר 12GB, ובשורת innodb_log_file_size את המספר 6GB.
בנוסף, ב-innodb_redo_log_capacity יש לרשום 12GB בהתאמה.
18. לחצו על File ו-Save As.
19. חשוב מאוד לשמור על הפורמט המקורי של הקובץ, אחרת הסרוויס לא יוכל לעלות!
שמרו את הקובץ בפורמט ANSI.
20. לחצו Yes.
21. לחצו OK.
22. הפעילו מחדש את הסרוויס MySQL80.
1. כנסו לממשק הניהול ESET PROTECT ולחצו על More ואז Users ואז Add New ואז Add Native User.
2. תנו למשתמש שם EI_SERVER ובחרו סיסמה מורכבת.
3. בטלו את התיבה של Password change required ושנו את תוקף הסיסמה ל-3650 ימים.
לאחר מכן לחצו על Permission Sets.
4. סמנו את Enterprise Inspector server permission set ולחצו על Finish.
5. הורידו את קובץ ההתקנה של ממשק הניהול ESET Inspect מהקישור הבא והפעילו אותו.
במסך שנפתח לחצו על Next.
6. לחצו על Next.
7. אשרו את הסכם המשתמש.
8. לחצו על Next.
9. לחצו על Next.
10. לחצו על Next.
11. הזינו את פרטי החיבור ל-Database שיצרתם בסעיף 8 בשלב התקנת ה-MySQL.
12. בסעיף זה תוכלו לבחור את כמות הנתונים שתרצו לקבל בממשק הניהול.
כמות הנתונים מחולקת לפי "פרופיל" משתמש.
ההגדרה הראשונה מתאימה יותר לצוותי SOC שרוצים לבצע תחקור מלא.
ההגדרה השנייה מתאימה לצוות IT עם ידע בניתוח נוזקות אך לא בסדר גודל של SOC.
ההגדרה השלישית מתאימה יותר למנהלי IT ללא ניסיון קודם בניתוח נוזקות.
13. בסעיף זה תוכלו לבחור את רמת חומרת האירועים המנוטרים שתרצו לקבל בניהול.
ההגדרה הראשונה תציג את כל האירועים האפשריים.
ההגדרה השנייה תציג אירועים חשודים ואירועים זדוניים.
ההגדרה השלישית תציג רק אירועים זדוניים.
ההגדרה הרביעית תבטל את כל האירועים, מלבד אירועי מוצר האנטי-וירוס - בעזרת הגדרה זו תוכלו לתחקר בצורה מעמיקה יותר רק את הזיהויים של מוצר האבטחה (למשל - לגלות איך איום כלשהו הגיע למערכת).
14. בסעיף זה ניתן לבחור בכמות הנתונים הנשמרים בניהול.
15. בסעיף זה תוכלו לבחור למשך כמה זמן נתונים יישמרו בניהול.
16. בשורת ESET PROTECT host address הזינו את הכתובת של ממשק הניהול ESET Protect שלכם.
בשורות ESET PROTECT user & password הזינו את פרטי המשתמש שיצרתם בסעיפים 1-4, ולחצו על Next.
17. לחצו על Yes.
18. לחצו על Next.
19. לחצו על Create new Certificate.
20. בחרו ב-Certification Authority של ממשק הניהול, בדר"כ ייקרא ESET Protect Certification Authority.
21. בשורת Host עליכם לוודא כי רשומות הכתובות הנכונות של ממשק הניהול החדש (ESET Inspect).
חשוב - אם לשרת הניהול שלכם יש כתובת IP חיצונית או FQDN חיצוני אליו תחנות יכולות לתקשר מבחוץ, הוסיפו גם אותם בהפרדה של סימן נקודה פסיק (;).
זכרו את הכתובות הרשומות כאן, תזדקקו להם בהמשך המדריך.
22. לחצו על Next.
23. בשלב זה אנו בוחרים את התעודה של ה-Web Console עצמו. ניתן להשתמש בתעודה Self-Signed בכך שתשאירו את ברירת המחדל Use the same certificate as for Agent/Server Communication.
במקרה ויש לכם תעודה חתומה, תוכלו לייבא אותה על ידי סימון Import the certificate from a file, כדי שהגישה לממשק הניהול תהיה מאובטחת ב-SSL.
24. לחצו על Install.
25. לחצו על Finish.
26. ממשק הניהול יהיה זמין בכתובת https://localhost
פרטי הכניסה הם משתמש אדמין איתו אתם נכנסים לממשק הניהול ESET Protect.
27. עם הכניסה לממשק הניהול תתבקשו להפעיל את ה-Learnin mode, יש ללחוץ על הפתור Ask again later.
נפעיל מצב זה בסוף ההטמעה, מצב זה דוגם את הרשת ומייצר החרגות באופן אוטומטי לאירועים שחוזרים על עצמם רבות (שיהיו לרוב False Positive).
מומלץ להגדיר את מצב הלמידה לתקופה של לפחות שבוע.
1. לחצו על Policies, ועל כפתור New Policy.
2. תנו שם לפוליסי ולחצו על Settings.
3. בתפריט המוצרים בחרו ב-ESET Inspect Connector.
בשורת Server Address עליכם להזין כתובת Host שהזנתם במהלך יצירת התעודה בסעיף 13 בשלב התקנת ממשק הניהול.
לאחר מכן בשורת Certificate Authorities לחצו על Edit.
4. לחצו על Add ואז Open Certification Authorities.
5. סמנו את ה-CA ברירת המחדל של הניהול, בדר"כ ייקרא ESET Protect Certification Authority ולחצו על OK.
6. לחצו על Save.
7. לחצו על Save.
8. לחצו על Assign ועל כפתור Assign.
בחלון שייפתח סמנו את תיקיית All.
לחצו על Finish.
9. כעת יש להגדיר סיסמה נגד הסרה לאייג'נט EDR ע"פ המדריך הבא.
* ניתן לערוך את אותו הפוליסי שיצרתם כעת ולהגדיר את הסיסמה בו.
את ההפצה מבצעים באמצעות משימה מתוך ממשק הניהול ESET PROTECT.
1. לחצו על Tasks, סמנו את Software Install, לחצו על New ועל Client Task.
2. תנו שם למשימה Install EI Connector ולחצו על Settings.
3. בחרו באחת מ-3 מערכות ההפעלה ולחצו על כפתור Select תחת Choose package from repository.
4. בחרו במוצר ESET Inspect Connector ולחצו על OK.
5. שימו לב: הרישיון נבחר אוטומטית, אם אתם שותפים בניהול מאוחד, יש לבחור את הרישיון של הלקוח הרצוי.
אשרו את תנאי המשתמש ולחצו על Finish.
6. כעת נגדיר את הטריגר: לחצו על Create Trigger.
7. בשלב זה תוכלו לבחור על מי המשימה תרוץ.
לחצו על לשונית Target, ובחרו בכפתור Add Computers או Add Groups.
בחרו במחשבים או הקבוצות הרלוונטיות ולחצו על Finish.
