Ansichten:
Server- und Workload Protection und der Agent kommunizieren über die neueste gemeinsam unterstützte Version von TLS.
Themen in diesem Artikel:

Konfigurieren Sie den Heartbeat Übergeordnetes Thema

Hinweis
Hinweis
Alle Agenten unterstützen nicht mehr das Einstellen des Herzschlagintervalls und der Anzahl der Herzschläge, die vor dem Senden einer Warnung verpasst werden können.
Ein 'Heartbeat' ist eine periodische Kommunikation zwischen Server- und Workload Protection und dem Agenten. Während eines Heartbeats sammelt Server- und Workload Protection folgende Informationen:
  • der Status der Treiber (online oder offline)
  • der Status des Agents (einschließlich Uhrzeit)
  • Agent-Protokolle seit dem letzten Heartbeat
  • Daten zum Aktualisieren der Zähler
  • ein Fingerabdruck der Agentensicherheitskonfiguration (wird verwendet, um festzustellen, ob sie auf dem neuesten Stand ist)
Der Heartbeat kann in einer Basis- oder übergeordneten Richtlinie, in einer Unterrichtlinie oder auf einem einzelnen Computer konfiguriert werden.
Die Zeit zwischen den Herzschlägen beträgt 10 Minuten und die Anzahl der Herzschläge, die verpasst werden können, bevor ein Alarm ausgelöst wird, beträgt zwei. Diese beiden Eigenschaften sind nicht konfigurierbar.
Sie können folgende Eigenschaften des Heartbeats konfigurieren:
  • Raise Offline Errors For Inactive Virtual Machines: Legt fest, ob ein Offline-Fehler ausgelöst wird, wenn die virtuelle Maschine gestoppt wird.

Prozedur

  1. Öffnen Sie den Richtlinien-Editor oder den Computer-Editor für die zu konfigurierende Richtlinie oder den Computer. (Wählen Sie im Menü Computer oder Richtlinien eine Tabellenzeile aus und klicken Sie dann auf die Schaltfläche Details.)
  2. Navigieren Sie zu EinstellungenAllgemeinHeartbeat.
  3. Ändern Sie die Eigenschaften nach Bedarf.
  4. Klicken Sie auf Save.

Nächste Schritte

Kommunikationsrichtung konfigurieren Übergeordnetes Thema

Hinweis
Hinweis
Für Server- und Workload Protection ist die von Agenten initiierte Kommunikation standardmäßig aktiviert, und wir empfehlen dringend, diese Einstellung nicht zu ändern.
Hinweis
Hinweis
Für macOS-Agenten wird nur Agent Initiated-Kommunikation unterstützt.
Konfigurieren Sie, ob der Agent oder Server- und Workload Protection die Kommunikation initiiert. 'Kommunikation' umfasst den Herzschlag und alle anderen Kommunikationsvorgänge. Die folgenden Optionen stehen zur Verfügung:
  • Bidirectional: Der Agent initiiert normalerweise den Heartbeat und hört auch auf der Portnummer des Agenten auf Verbindungen von Server- und Workload Protection. (Siehe Server- und Workload Protection-Portnummern.) Server- und Workload Protection kann den Agenten kontaktieren, um erforderliche Operationen durchzuführen. Server- und Workload Protection kann Änderungen an der Sicherheitskonfiguration des Agenten vornehmen.
  • Manager Initiated:Server- und Workload Protection (der Manager) initiiert alle Kommunikationen mit dem Agenten. Diese Kommunikationen umfassen Sicherheitskonfigurationsaktualisierungen, Herzschlagoperationen und Anfragen für Ereignisprotokolle.
  • Agent Initiated: Der Agent wartet nicht auf Verbindungen von Server- und Workload Protection. Stattdessen kontaktiert er Server- und Workload Protection über die Portnummer, bei der Server- und Workload Protection auf Agent-Heartbeats wartet. (Siehe Server- und Workload Protection-Portnummern.) Sobald der Agent eine TCP-Verbindung mit Server- und Workload Protection hergestellt hat, findet die gesamte normale Kommunikation statt: Server- und Workload Protection fragt den Agenten zuerst nach seinem Status und nach Ereignissen. (Dies ist der Heartbeat-Vorgang.) Wenn ausstehende Operationen am Computer durchgeführt werden müssen (zum Beispiel, wenn die Richtlinie aktualisiert werden muss), werden diese Operationen durchgeführt, bevor die Verbindung geschlossen wird. Die Kommunikation zwischen Server- und Workload Protection und dem Agenten erfolgt nur bei jedem Heartbeat. Wenn sich die Sicherheitskonfiguration eines Agenten geändert hat, wird sie erst beim nächsten Heartbeat aktualisiert. Anweisungen zur Konfiguration der agenteninitiierten Aktivierung und zur Verwendung von Bereitstellungsskripten zur Aktivierung von Agenten finden Sie unter Aktivieren und Schützen von Agenten mit agenteninitiierter Aktivierung und Kommunikation.

Prozedur

  1. Öffnen Sie den Richtlinien-Editor oder den Computer-Editor für die zu konfigurierende Richtlinie oder den Computer.
  2. Navigieren Sie zu EinstellungenAllgemeinCommunication Direction.
  3. Im Menü Direction of Workload Security Manager to Agent/Appliance communication wählen Sie eine der drei Optionen ("Manager Initiated", "agent/appliance Initiated" oder "Bidirectional") oder "Inherited". Wenn Sie "Inherited" auswählen, übernimmt die Richtlinie oder der Computer die Einstellung von der übergeordneten Richtlinie. Wenn Sie eine der anderen Optionen auswählen, wird die geerbte Einstellung überschrieben.
  4. Klicken Sie auf Speichern, um die Änderungen anzuwenden.

Nächste Schritte

Um die Kommunikation zwischen Server- und Workload Protection und den Agenten zu ermöglichen, implementiert Server- und Workload Protection automatisch eine (versteckte) Firewall-Regel (Priorität vier, Übergehen), die die Portnummer für Heartbeats auf den Agenten für eingehenden TCP/IP-Verkehr öffnet. Standardmäßig werden Verbindungsversuche von jeder IP-Adresse und jeder MAC-Adresse akzeptiert. Sie können den eingehenden Verkehr auf diesem Port einschränken, indem Sie eine neue Priorität 4, Erzwingen Erlauben oder Übergehen Firewall-Regel erstellen, die nur eingehenden TCP/IP-Verkehr von bestimmten IP- oder MAC-Adressen oder beiden zulässt. Diese neue Firewall-Regel würde die versteckte Firewall-Regel ersetzen, wenn die Einstellungen mit diesen Einstellungen übereinstimmen:
action: erzwingen erlauben oder übergehen priority: 4 - höchste packet's direction: eingehend frame type: IP protocol: TCP packet's destination port: Agenten-Listening-Portnummer für Heartbeat-Verbindungen von Server- und Workload Protection oder eine Liste, die die Portnummer enthält. (Siehe Agenten-Listening-Portnummer.)
Solange diese Einstellungen aktiv sind, wird die neue Regel die versteckte Regel ersetzen. Sie können dann Paketquelleninformationen für IP- oder MAC-Adressen oder beides eingeben, um den Datenverkehr zum Computer einzuschränken.
Hinweis
Hinweis
Agenten suchen im Netzwerk nach Server- und Workload Protection anhand des Server- und Workload Protection-Hostnamens. Daher muss der Server- und Workload Protection-Hostname must in Ihrem lokalen DNS vorhanden sein, damit agenteninitiierte oder bidirektionale Kommunikation funktioniert.

Unterstützte Chiffriersuiten für die Kommunikation Übergeordnetes Thema

Server- und Workload Protection und der Agent kommunizieren über die neueste gemeinsam unterstützte Version von TLS.
Der Agent unterstützt die folgenden Cipher-Suiten für die Kommunikation mit Server- und Workload Protection. Wenn Sie die von Server- und Workload Protection unterstützten Cipher-Suiten erfahren möchten, wenden Sie sich an Trend Micro.
Die Chiffriersuiten bestehen aus einem asymmetrischen Schlüsselaustauschalgorithmus, einem symmetrischen Datenverschlüsselungsalgorithmus und einer Hash-Funktion.

Agentenversion 9.5 Cipher-Suiten Übergeordnetes Thema

Deep Security Agent 9.5 (ohne SPs, Patches oder Updates) unterstützt diese TLS 1.0 Cipher Suites:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.5 SP1 - 9.5 SP1 Patch 3 Update 2 unterstützt diese Cipher-Suiten:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.5 SP1 Patch 3 Update 3 - 8 unterstützt diese Cipher-Suiten:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Agent-Version 9.6 Verschlüsselungssammlungen Übergeordnetes Thema

Deep Security Agent 9.6 (ohne SPs, Patches oder Updates) - 9.6 Patch 1 unterstützt diese TLS 1.0 Cipher-Suiten:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.6 Patch 2 - 9.6 SP1 Patch 1 Update 4 unterstützt diese Cipher-Suiten:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.6 SP1 Patch 1 Updates 5 - 21 unterstützt diese Cipher-Suiten:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Agent-Version 10.0 Verschlüsselungssammlungen Übergeordnetes Thema

Deep Security Agent 10.0 bis Update 15 unterstützt diese TLS 1.2-Verschlüsselungssuiten:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 10.0 Update 16 und spätere Updates unterstützen diese TLS 1.2 Cipher Suites standardmäßig:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Agentenversion 11.0 Verschlüsselungssammlungen Übergeordnetes Thema

Deep Security Agent 11.0 bis Update 4 unterstützt diese Cipher-Suiten:
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 11.0 Update 6 und spätere Updates unterstützen diese TLS 1.2 Cipher-Suites:
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Agent-Version 12.0 und Agent-Version 20 Verschlüsselungssammlungen Übergeordnetes Thema

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256