The ForeScout Test Drive

Trải nghiệm sự khác biệt về visibility and control

Lap one: Asset management: Visibilily và monitoring cybersecurity.

Lap two: Device Compliance.

Lap three: Incident Response. Sử dụng policy để nhanh chóng xác định host bị tổn thương và xử
lý thay vì quá trình quá phức tạp của các doanh nghiệp sử dụng hiện nay. Tạo dashboard để theo
dõi việc phản hồi với các sự cố.

Lap four: Network access control.

Lap five: Network Segmentation.

Sử dụng môi trường demo
Nên dùng trình duyệt Chorme.
Win 10 là thiết bị duy nhất cần phải truy cập trong lab.
Warm Up Lap: Visibility
ForeScout cung cấp phát hiện thời gian thực, phân loại, đánh giá và giám sát các thiết
bị, cho phép theo dõi mạng của bạn một cách an toàn.
Bài toán: Làm thế nào để theo dõi các thiết bị kết nối với mạng? Có bao nhiêu thiết
bị hiện đang có trên mạng? Làm thế nào để chắc chắn rằng số lượng là chính xác?
Phương án: tìm hiểu cách ForeScout phát hiện ra, phân loại và đánh giá các thiết bị
trên mạng. Truy cập The ForeScout CounterACT console. Tìm hiểu the CounterACT
interface.
 Task 1: làm sao để ForeScout biết được thiết bị?
Visibility giải quyết được các nhu cầu của doanh nghiệp:
- Asset Management: quản lý tài sản
- Device Compliance: tuân thủ thiết bị
- Incident Response: ứng phó sự cố
- Network Access Control: điều khiển truy cập mạng
- Network Segmentation: phân đoạn mạng

Visibility sử dụng kết hợp giám sát chủ động và bị động để khám phá các thiết bị ngay khi nó
vào mạng mà không yêu cầu agents. CounterACT phân loại và đánh giá từ khi chúng vào mạng
và đi ra.

How ForeScout can see devices

- Thăm dò Swiches, VPN, Wireless AP, controller

- SNMP (tập hợp giao thức kiểm soát thiết bị mạng) trap from Switches and
wireless Controller
- Netflow Data
- Monitor 802.1x Requests
- Monitor DHCP Repuests
- Monitor SPAN/TAP Network Traffic
- Query Public/Private Cloud API (truy vấn công khai / riêng tư giữa các ứng dụng
giao tiếp với nhau trên cloud)
- Import External MAC/ LDAP Database
- Use Agent

Task 2: Access the CounterACT Console

Pass 4Scout123

Task 3:

Lap 1:
AcounterACT cho phép khám phá tất cả các giao thức internet. Using both agentless
and agent-based technology.
Khi phát hiện ra thiết bị, CouterACT phân loại chúng bằng một số tiêu chí: chức
năng, hệ điều hành, nhà cung cấp, mô hình và chức năng mạng.
Before you begin
- Làm thế nào theo dõi phần cứng và tài sản phần mềm trong tổ chức của bạn?
Spreadsheets? Các ứng dụng chuyên dụng? cơ sở dữ liệu quản lý cấu hình?
- Khảo sát, thu thập dữ liệu real-time?
- Làm thế nào tự tin công cụ quản lý tài sản là up-to-date?
- Khách hang của các dữ liệu này là ai? Họ sử dụng nó ntn?
In thí lap, you will:
1. Sử dụng CounterACT Inventory to quickly see what types of devices are
attached to the network.
2. Xem bao nhiêu endpoints chạy Microsoft Office(với versions).
3. Tìm kiếm một vài thiết bị đặc biệt sử dụng the CounterACT Inventory.

Asset Management

Task 1: Discover the Types of Device on the Network

Step 1: click Asset Inventory

Step 2: View -> Classification -> Function.

Step 3: click a function, such as Computer.

 Lap 2: Device Compliance Part 1- Visibility

Tuân thủ các tiêu chuẩn của công ty có thể khó khăn để quản lý trong môi trường
lớn.

Làm sao bạn theo dõi việc tuân thủ của end-point? Làm sao thông báo khi 1 thiết
bị đầu cuối k còn thích hợp?

In this lap:

1. Use the Inventory tab to see software programs chẳng hạn như cập nhật bảo
mật định kì.
2. Sửa đổi policy an antivirus visibility to chỉ định tuân thủ label để phần mềm
diệt virus trên endpoint. Có ứng dụng chống virus chạy trên thiết bị endpoint?
Is it up-to-date? Nếu không nó được cài đặt nhưng không chạy? No antivirus
at all?
3. Kiểm tra các chính sách phù hợp. tắt antivirus on the console device and thấy
nó phản ánh in the CounterACT console.
4. Tạo một chính sách phù hợp để đánh giá việc sử dụng các mật khẩu mặc định
trên các thiết bị IOT.
5. Xem báo cáo phù hợp với thiết bị trên mạng.

Task 1: khảo sát Endpoint software cho vấn đề phù hợp với đoàn thể

Nhiều gói phần mềm có cập nhật thường xuyên để giải quyết vấn đề an ninh. Java, Adobe flash
and antivirus software. Những phần mềm khác như scanners network như Nmap, bạn muốn giữ
tránh xa endpoints. Bạn có thể viết policy cho những gói phần mềm để chắc chắn rằng chúng cập
nhật, hoặc trong trường hợp phần mềm không được phép thì chắc chắn nó sẽ k nằm ở endpoint.

B1: Asset Inventory tab. Check searchbox clear.

B2: View click Windows Applications Installed

B3: Look for Java, McAfee, Nmap. Xem coi họ có bao nhiên phiên bản, có license chưa.
McAfee có được update không?

CounterACT policy giúp bạn có các hành động đa dạng trên endpoint, bao gồm thông báo để
người dùng có thể khắc phục vấn đề của chính họ, thậm chí bắt đầu một hành động khắc phục
hậu quả trên thiết bị đầu cuối dựa trên đặc tính này.

Bạn cũng có thể chỉ định những danh mục phù hợp tới endpoint dựa vào các đặc tính này. Các
danh mục này cho phép bạn xem the overall hygiene của thiết bị trên mạng. những lap sau sẽ chỉ
cho bạn cách thực hiện ntn.

Task 2: Assign compliance labels to the antivirus policy

Bởi vì phải update antivirus on endpoint is an issue that every company faces. Bạn sẽ thay đổi
chính sách hiện có mà đánh giá lại tình trạng chống virus trên thiết bị đầu cuối và chỉ định nhãn
phù hợp cho mỗi state phù hợp với company policy.

Step 1: click the policy tab

Step 2: in the Policy Folders tree, expand See

Step 3: click 1.3 Assess

Một danh sách các chính sách đánh giá xuất hiện in the Policy Manager pane. The first one
shown is 1.3.1.a Antivirus Comliance. Nó chưa được gán tuân thủ vì vậy it so the category listed
is None.

Step 4: click the 1.3.1.a Antivirus Compliance policy name to select it.

The name sáng đèn thì danh phục bên phải sẽ chuyển sang xanh để active.

Step 5: click the Categorize button.

Step 6: in the Categorize this policy drop-down list, select Compliance. Một số các sub-rule
xuất hiện.

Step 7: for each sub-rule, click the Label để chọn value..

Step 8: click Apply to save the changes and start the policy.

Task 3: Test your Antivirus Compliance Policy

Step 1: Click the home tab in the CounterACT console toolbar.

Step 2: expend the policies tree. Điều hướng Policy-> 1.0 See -> 1.3 Assess -> 1.3.1 Window ->
1.3.1.a Antivirus Compliance.

Step 3: Select the Antivirus Running & up-to-date sub-rule.

A list of the devices matching that sub-rule displays. The device labeled DEMOFS\W10 is the
device you are logged into.

Step 4: select Start-> Disable Antivirus

The Demofs\W10 device is removed from the Antivirus running & up-to-date list.

Step 5: click the Antivirus Installed but not running sub-rule.

Your device nơ appears in that list. Use Start menu shortcuts to turn the antivirus on and off and
watch the effect in the policy tree.
Step 6: Click the Antivirus Running but not up-to-date sub-rule. Double-click one of the
devices and scroll to the bottom of the properties. You will see when the last time the the
antivirus (Windows Defender) was update.

Note: if you have additional devices in the Antivirus Running & Up-to-date policy, you can see
in their properties the last time the antivirus was updated.

Step 7: Close the device properties dialog.(đóng hộp thoại thuộc tính thiết bị)

Step 8: TURN THE ANTIVIRUS ON and keep it on. You will use this in the Control section of
this lab.

Task 4: Create an IoT Posture Assessment Policy

Bạn đọc các tin tức về một số khai thác lỗ hổng printers that still used the default administrative
login credentials. Chính sách công ty là phải phải thay đổi thông tin trên các thiết bị trước khi
triển khai on the production network. You are going to create a policy to check the passwords on
deployed IoT device to make sure they are not using the factory defaults.

Step 1: click the Policy tab in the CounterACT console toolbar.

Step 2: in the Policy Folders tree, expand 1.0 See >1.3 Assess and click the 1.3.2 IoT folder.

This folder is empty. We will need to put some policy in place.

Step 3: click Add.

The policy Wizard appears. CounterACT contains some policy templates that enable you to
quickly create complex policies with just a few clicks.

Step 4: Scroll down the list of templates and expand the IoT Posture Assessment folder.

Step 5: click SSH Credential Vulnerability and click next.

The Name window appears.

Step 6: click Next to accept the default name.

The Scope window appears.

Step 7: from the segment dropdown list, select Nakatomi Trading Corp and click Ok.

The segment, which in this environment covers all the devices CounterACT has discovered, is
added to the Scope table.

Step 8: Click Next

The Sub-Rules window appears. Nó hiển thị các hành động mặc định của mỗi sub-rule. Nếu port
k mở thì hành động k được thực hiện. nếu port đang mở, sau đó tùy chỉnh thông tin, bạn có thể
xác định và các thông tin phổ biến được thử nghiệm và đặt vào một nhóm thích hợp.

Step 9: đưa chuột lên cột action thông tin chi tiết về các hành động được thực hiện xuất hiện
trong một cửa sổ di chuột. chúng ta sẽ không thay đổi bất kì hành động nào.

Step 10: click Finish.

The policy is added to the 1.3.2 IoT folder and appears in the Policy Manager pane và lưu ý các
mẫu đã có chứa thông tin phù hợp for each sub-rule.

Step 11: lặp lại các bước trên để tạo ra các chính sách cho hai IoT Postture Assessment
Templates:

- SNMP Credential Vulnerability

- Telnet Credential Vulnerability

Step 12: click Apply.

The policy is save and run.

Step 13: click the Home tab and navigate to Policies > 1.0 See > 1.3 Assess > 1.3.2 IoT > Telnet
Credential Vulnerability. Expand the policy to see the sub-rule.

You will see some devices that match the Factory Default Credentials-Telnet sub-rule. Nơ that
you know which devices on your network still have the default password, you can now take
action to remediate the situation(khắc phục tình huống), vì thế using SSH to connect to the
device and change the password phù hợp vs policy.

CounterACT tìm kiếm devices sử dụng thông tin thường được sử dụng như là admin/admin you
could enter that password in the IoT Posture Assessment để đảm bảo rằng password không được
sử dụng on your production network.

Task 5: view your compliance status in the dashboard

Use the dashboard to monitor the overall status of the devices on your network.

Step 1: click the More icon in the CounterACT toolbar and then click Dashboard.

Step 2: scroll down to the Device Compliance widget.

This widget shows the overall compliance status of the devices on your network. Có nhiều kiểm
tra tuân thủ khác nhau in the policy tree. An endpoint just needs to be non-compliant on one of
those policies to be non-compliant overall. Đưa chuột vào để xem.
Step 3:to see more information about the devices being reported by the widget, click on the
widget.

The widget expands to show you the list of device being shown in the widget and details for the
selected devices. Điều này cho phép đi sâu và xem những gì đang xảy ra trên mạng của bạn.

Question: tại sao bạn nghỉ tổng this widget cao hơn đevice compliance by Operating System
widget?

Answer: bời vì một số out-of-compliance devices are IoT devices that are not running standard
Windows, Linux or Mac operating system.

Step 4: click double-arrow icon in the upper right(trên bên phải) to close the widget. Dành iys
phút để tìm hiểu một số thông tin khác thể hiện trong Dashboard.

Step 5: close the browser.

Follow-up

Antivirus chỉ là một trong nhiều ứng dụng mà bạn có thể kiểm tra in endpoint. CounterACT có
thể giám sát các thuộc tính và các ứng dụng trên hầu hết các hệ điều hành.

Bạn có mục đích làm compliance policy cho những ứng dụng khác trên endpoint k? mã hóa ổ
đĩa? Lưu trữ đám mây? Network scanning?

Làm sao foreScout help you maintain compliance on your network?

Lap 2 Device Compliance Part 2 –Control

Giúp biết endpoint out of compliance và giúp người dùng khắc phục. ForeScount CounterACT
can do that with Control policy.

Control policies có thể dao dộng từ thông báo đơn giản để chuyển hướng endpoint tới a
remediation portal to completely blocking the endpoint from accessing the network.

Before you begin

- Làm thế nào để người dùng cuối nhận biết họ k còn compliant with corporate
policy?
- Làm thế nào họ biết phải làm gì khi thiết bị của họ không còn phù hợp với chính
sách của công ty?
- Khi endpoint bị mất tuân thủ sau khi kiểm tra ban đầu, điều này ảnh hưởng đến tổ
chức ntn, một số kịch bản thực tế cuộc sống bạn phải đối mặt là mối quan tâm gì?
 In this lap you will:

1. Create a notification control policy to alert endpoints that don’t have antivirus
running.
2. Test the notification policy.

Task 1: Create the Notification policy

Step 1: click the Policy tab in the CounterACT console toolbar

Step 2: in the Policy Folders tree, expand the 2.0 Control folder and then click 2.1 Notify to
display the notification policy.

The policy có have out of date nhưng không một thiết bị đầu cuối mà không có chống virus đang
chạy.

Step 3: To create a new policy, click Add to the right of the policy list.

Chúng ta có thể sử dụng mẫu được xây dựng trước cho this task, however we are going to create
của riêng mình.

Step 4: Scroll to the bottom of the templates list, click Custom. Click Next.

Step 5: in the Name field. Type 2.1.1.a Antivirus Not running Notification. You can leave the
Description field blank. Click Next.

The ip address range dialog box appears

Step 6: select Segment and then select Nakatomi Trading Corp from the drop-down list. Click
ok.

The Nakatomi Trading Corp segment, which contains all the hosts in the lab, is added to the
scope of this policy.

Step 7: click Next.

The Main Rule page appears.

Step 8: in the Condition area, click Add next to the right of the Criteria table. The Condition
dialog appears.

Step 9: Type Group in the Search field and click Device Information > Member of group in
the result.

Step 10: type anti in the Member of group search box, and click Antivirus Not Running.

Step 11: click OK. The condition is added to the Criteria table.
Step 12: click Add to right of the Actions table.

The Action dialog appears.

Step 13: type HTTP in the search field and click Http Notification under the Notify heading.

Step 14: in the Message Text field, type: your antivirus is not running, putting your system at
risk. Please enable your enable you antivirus.

Step 15: click ok.

The action is saved to the policy.

Step 16: Click Finish to save the policy.

You do not need to add any sub-rule to this policy.

Step 17: click Apply to save and activate the changes to the policy tree

Task 2: test the control policy

Step 1: click the home tab.

Step 2: expand the policy tree. Navigate to policy > 2.0 Control > 2.1 Notify

Step 3: select the 2.1.1.a Antivirus not running notification policy

Step 4: select Start > Disable Antivirus from the Windows task bar.

Bạn sẽ thấy máy trạm của bạn xuất hiện ở nhóm chính sách. Sau một lúc, một cửa sổ trình duyệt
web sẽ bật lên với thông báo.

Step 5: click the I confirm reading this message button.

Step 6: type forescout.com into your brower address bar and press Enter. You can continue
browsing after confirm this message.

Step 7: select start > enable antivirus from the Windows task bar.

Follow up

foreScout CounterACT có thể hoạt động trên thiết bị đầu cuối dựa trên các tiêu chí policy. Một
trong những action là notification, redirection to a website, virtual local area network, truy cập
mạng nghiêm ngặt.

for example, đối với endpoint có thiết bị chống virus lỗi thời, bạn có thể chuyển hướng họ đến
một trang web để tải về các bản cập nhật. đối với endpoint chống virus không hoạt động, bạn có
thể hạn chế truy cập mạng cho đến khi nó chạy. Bạn thậm chí có thể bắt đầu start the antivirus on
that endpoint.

- Vấn đề tuân thủ nào là bộ mặt tổ chức bạn?

- Một số hậu quả của việc không tuân thủ của endpoint trong mạng của bạn là gì?
- Quá trình xử lý khi điểm cuối non-compliant endpoint là gì? Does it involve
manual intervention? Nhân viên help-desk có phải trực tiếp can thiệp?
- Làm thế nào để endpoint liên tục có thể được theo dõi và thông báo từ forecourt
để giảm bớt vấn đề về tuân thủ?

Lap 3: Incident response

ForeScout CounterACT có thể xác định các công tắc và cổng switch mà endpoint cắm vào, cho
phép bạn nhanh chóng xác định vị trí của bất kì thiết bị đầu cuối.

Khả năng này với một điều khiển hoặc chính sách và bạn có thể nhanh chóng tìm ra điểm bị tổn
thương.

counteract có thể sử dụng tường lửa ảo, phân công lại các vlan hoặc các sản phẩn bảo mật khác
để cô lập các hệ thống nhiễm bệnh.

Before you begin

- Làm sao để bạn biết cái hệ thống dễ bị tổn thương bởi các mối đe dọa zeroday?
- Quá trình để giải quyết những hệ thống và vị trí là gì?
- Tác động của các điểm cuối nhiễm hoặc dễ bị tổn thương chưa được khám phá là
bao lâu?

In this lap you will:

1. Import a policy to identify possibly infected endpoint

2. Import a policy to identify vulnerable(dễ bị tổn thương) endpoint

Task 1: Import the WannaCry policy

This policy tìm kiếm endpoint đặc điểm cụ thể mà bị nhiễm wannacry.

Step1: click the Policy tab in the CounterACT console toolbar

Step2: click 1.0 See in the Policy folders tree

For this task, we are just going to locate the infected systems.

Step3: click the import policy folder icon.

The Select Policy Folder dialog appears.

Step 4: keep the target node at 1.0 see. Select Add folder content to the target under the import
mode.

Step 5: click the file brower button next to file name and navigate to the Documents > Policies
folder. Select the wanncry detect infected (managed endpoints).xml file.

Step 6: click ok

The policy detail dialog box appears

Step 7: click ok

The policy í added to the bottom ò the 1.0 see policy. You can scroll down to see the policy at
the bottom of the list.

Step 8: click Apply

Step 9: click the home tab at the top of the screen.

Step10: expand the policy tree: policy > 1.0 see > Wannacry detect infected(managed
endpoint).

Step 11: click infected.

Bạn sẽ thấy một danh sách các máy bị nhiễm Wannacry. Không chỉ vậy bạn có thể xen cả switch
port mà chúng cắm vào nới vị trí đang nằm.

Bây giờ bạn có thể xác định các host bị nhiễm và một vài điều bạn có thể làm.

Hãy hành động ngay lập tức bằng cách kích chuột phải vào thiết bị và chọn một hành động,
chẳng hạn như hạn chế truy cập mạng bằng cách gán các thiết bị đầu cuối với vlan kiểm dịch
hoặc sử dụng tường lửa ảo để ngăn chặn nó.

Viết một chính sách phải hành động trên tất cả các thiết bị ảnh hưởng
Xác định vị trí thiết bị và gửi một nhóm hỗ trợ để khắc phục chúng. Chúng ta sẽ
không thực hiện bất kì hành động in this lap. Chúng tôi sẽ chứng minh một chính
sách kiểm soát in the next lap.
Task 2: install the eternalblua Vulnerability policy
Nó là không đủ để xác định các thiết bị nhiễm bệnh. Bạn cũng muốn biết được các
thiết bị dễ bị wannacry. Wannacry tận dụng EternalBlue khai thác, đó là một lỗ hổng
 trong việc thực hiện Microsoft của giao thức SMB. Lỗ hổng này được vá. Chính sách
này được phát hiện điểm cuối mà vẫn còn dễ bị khai thác.
Step1: click policy tab in the CounterACT console toolbar.
Step2: click 1.0 see in the policy Folders tree

Đối với việc này chúng ta xác định vị trí các hệ thống dễ bị tổn thương.
Step3: click the import policy folder icon
The select policy folder dialog appears
Step 4: keep the target node at 1.0 see. Select Add folder content to the target under
the import mode
Step 5: click the file brower button next to file name and navigate to the Documents >
policy folder.
Select the EternalBlue Vulnerability Breakdown.xml file.

Step 6: click ok.

The policy detail dialog box appears.

Step 7: click ok

The policy is added to the 1.0 see policies

Step 8: click apply

Step 9: click the home tab at the top of the screen

Step 10: expand the policy tree: policy > 1.0 see > eternalblue vulnerability breakdown.

Step 11: click vulnerable.

Bạn sẽ thấy một danh sách các thiết bị vẫn còn dễ bị tổn thương này khai thác và do đó để
Wannacry. Giống như các thiết bị nhiễn WCry bạn có thể mất vài bước để có thể khắc phục
những thiết bị này. Bạn có thể dùng policy để:

- Cách ly chúng vào 1 vlan khắc phục

- Bắt đầu quá trình cập nhật để họ nhận được bản vá lỗi cần thiết
- Thông báo cho những người sử dụng các lỗ hỗng
Chúng tôi sẽ không thực hiện bất kì hành động anof trên các thiết bị trong nhiệm
vụ này.

Task 3: Add Wannacry infected and vulnerable hosts to the dashboard. Thêm Wc nhiễm và host
dễ bị tổn thương đến dashboard.

Bạn sẽ tạo ra một số vật dụng trên dashboard counteract để theo dõi sự tiến bộ trong việc xác
định và lọa bỏ các hệ thống bị nhiễm và dễ tổn thương.
Step 1: click the More icon in the CounterACT toolbar and then click Dashboard.

The device dashboard appears.

Step 2: click the add widget button.

The Widget Builder wizard appears.

Step 3: click Trend in the select chart area. Chúng tôi muốn theo dõi sự tiến bộ trong việc giải
quyết vấn đề này. The policy field appears.

Step 4: click Please choose a policy and croll down to the bottom ò the list. Click Wannacry
detect infected.

The select sub-rule field appears.

Step 5: select the infected sub-rule and click next.

The widget label screen appears

Step 6: shorten the widget title to wannacry infected and click next.

Một bản tóm tắt các tùy chọn bạn đã chọn xuất hiện widget của bạn.

Step 7: click finish

Widget của bạn sẽ được them vào dưới cùng của dashboard. Nó cho thấy số lượng thiết bị bị
nhiễm theo thời gian, cho phép bạn theo dõi sự tiến bộ của bạn trong việc loại trừ các mối đe
dọa. Bạn có thể thay đổi khung thời gian của biểu đồ bằng cách sử dụng drop down menu.

Step 8: bây giờ hãy thử them một widget sử dụng các bước trên for the eternalBlue vulnerability
breakdown policy. Use the Vulnerable sub-rule.

Step 9: close the web brower when you are done.

Follow up.

Làm sao the forescout platform ảnh hưởng đến thời gian phản hồi của bạn với các mối đe dọa
rezo-day và các lỗ hổng?

Làm thế nào một thời gian đáp ứng nhanh hơn sẽ có lợi ích cho doanh nghiệp? làm thế nào khả
năng tự động hoạt động trên thiết bị đầu cuối bị tổn thương?

Lap 4: Network access control

Phải chạy antivurus đúng nếu k thì block network access for endpoint.
ForeScout CounterACT có thể làm nhiều hơn là chỉ thông báo cho người dùng khi thiết bị đầu
cuối của họ ra khỏi sự tuân thủ. Nó cũng có thể bắt đầu quá trình vào máy trạm quản lý, các điểm
cuối chỉ định để vlan đặc biệt, và thậm chí chặn hoàn toàn.

Before you begin

- Làm thế nào để bạn ngăn chặn các thiết bị nhiễm hoặc không tuân thủ lây lan
phần mềm độc hại?
- Làm thế nào để bạn khắc phục out-of-compliant endpoint? Nó là quá trình thủ
công?
In this lap you will
1. Sửa đổi your antivirus not running notification policy to alert the user that the
endpoint will be completely blocked from the network cho đến khi họ bật
antivirus.
2. Create a control policy to block endpoint mà k có antivirus chạy truy cập
3. Kiểm tra control policy.

Task 1: Modify your notification policy

Step 1: click the policy tab.

Step 2: navigate the policy tree to 2.0 control > 2.1 notify

Step 3: right-click the 2.1.1.a Antivirus not running notification policy and select Quickedit >
actions from the context menu.

Step 4: click the Http notification action in the table and then click edit.

Step 5: in the message text field, type: your antivirus is not running, putting your system at risk.
Your system will be blocked from the network until you enable the antivirus.

Step 6: click ok to save the updated message

Step 7: click ok to save the update action on the policy.

Step 8: click apply to apply the policy to the system. Click yes to confirm the change.

This will alert users to the fact that they will be blocked unless they remediate the issue.

Task 2: create the control policy

Step 1: navigate the policy tree to 2.0 control > 2.3 resrtrict > static device access control

Step 2: click add to the right of the policy table.

The policy wizard appears. Có mẫu những méo thích xài nên tự design.
Step 3: cuộn xuống dưới click custom. Click next.

The policy wizard name screen appears

Step 4: type antivirus not running restrict in the name field and click next.

The ip address range dialog box appears

Step 5: select segment and then select Nakatomi Trading Corp form the drop-down list. Click
Ok.

The nakatomi trading corp segment, trong đó chứa tất cả các host int the lab, được them vào
phạm vi của chính sách này.

Step 6: click next.

The main rule page appears

Step 7: in the condition area, click add next to the right of the criteria table.

The condition dialog appears.

Step 8: type group in the search field and click device information > member of group in the
result.

Step 9: type anti in the member ò group search box, and click antivirus not running

Step 10: click ok

The condition is added to the Criteria table.

Step 11: click add to the right of the action table.

The action dialog appears

Step 12: expand restrict in the actions tree

Step 13: click virtual firewall

Thi virtual firewall properties appears

Step 14: click add to the right of the blocking rule table

The blocking rule dialog appears

Step 15: select the following value and click ok

Step 16: click ok to save the action

Step 17: click bfinish to save the policy

Step 18 click apply to activate the policy

Task 3: test your network segmentation policy

Step 1: click the Home tab

Step 2: expand the policy tree. Navigate to 2.0 Control > 2.3 Restrict > Static Device Access
Control

Step 3: select the Antivirus not running Restrict policy

Step 4: select Start > Disable Antivirus from the windows task bar

Step 5: click I confirm reading the message.

Step 6: type foreScout.com into your browser address bar and press enter.

You will receive a “this site can’t be reached” error. This í because the virtual firewall has
blocked the endpoint.

Step 7: select Start > enable Antivirus from the Windows task bar. Switch to the CounterACT
console.

Notice how the device is removed from the policy.

Step 8: switch to the web browser and try to access forescout.com again.

Bây giờ bạn có thê truy cập vào trang web vì thiết bị của bạn phù hợp với chính sách và thẻ đã bị
xóa khỏi nó khỏi firewall.

Follow up

ForeScout CounterACT có nhiều cách để kiểm soát endpoint, từ thông báo đơn giản để hạn chế
truy cập mạng.

- Những loại vấn đề cần tuân thủ cty bạn đang trải nghiệm một thông báo đơn giản
chính sách sẽ giải quyết
Lap 5: Network segmentation

ForeScout CounterACT có thể làm việc với cơ sở hạ tầng bảo mật hiện tại của bạn để them giá
trị bằng cách tự động và đẩy mạnh các hoạt động ứng phó mối đe dọa.

Before you begin

How do you handle network segmentation? How do you ensure that endpoints only access
systems they are allowed to access? What data would be important to know when making those
decision?

What security products are you currently using in your organization? Do you need human
intervention to correlate information discovered by one system with information from another?

What currently manual security practices do you wish you could automate?

In this lap you will:

1. Tạo một policy phối các endpoint tag mà không có antivirus chạy và gửi thông tin cho a
palo alto network next generation firewall. The firewall is configured to block endpoints
with a specific tag mà không tuân thủ chính sách.
2. Disable your Antivirus not running restrict policy.
3. Access the endpoint để xem ảnh hưởng của policy.

Task 1: Create the orchestration policy

You will create your orchestration policy first và sau đó vô hiệu hóa hệ thống trước đây của
bạn bởi vì bạn vẫn muốn non-compliant endpoints to be restricted until bạn sẵn sang cho
policy mới.

Chúng ta không phải cấu hình tường lửa. tường lửa đã được cấu hình với cái tag cần thiết và
hành động thực hiện khi một thiết bị đầu cuối được gán tag đó.