Cortex XDR [Lab 03.2] Cấu Hình Agent Proxy Và Agent Installer And Content Caching Trên Broker VM

Tài liệu này hướng dẫn cấu hình tính năng Agent Proxy và Agent Installer And Content Caching trên Broker VM, trước khi đi vào phần cấu hình ta sẽ tìm hiểu 2 tính năng là gì:

• Agent Proxy: Tính năng này cung cấp việc triển khai Cortex XDR trong mạng mà endpoint không kết nối trực tiếp với Internet, trong trường hợp này broker VM sẽ đóng vai trò làm proxy server để forward các chính sách, kết nối, upgrade từ Cortex XDR Gateway và ngược lại. (Bản thân broker VM phải có kết nối internet port TCP/443 tới Cortex XDR Gateway).​
• Agent Installer And Content Caching: Tính năng này làm giảm tải băng thông internet từ các endpoint tới Cortex XDR Gateway, trong trường hợp này broker VM sẽ cache các thông tin về upgrade agent, policy update,... từ đó các endpoint có thể lấy các thông tin đó mà không cần kết nối tới Cortex XDR Gateway. Broker VM sẽ cập nhật các thông tin từ Cortex XDR Gateway cứ mỗi 15 phút và lưu trữ trong 30 ngày. (Nếu Broker VM không có các thông tin từ Cortex XDR Gateway thì các agent trên endpoint sẽ lấy các thông tin đó trực tiếp từ Cortex XDR Gateway).​

1. Mô hình và yêu cầu của bài lab

• Cấu hình tính năng Agent Proxy trên Cortex XDR
• Cấu hình tính năng Agent Installer And Content Caching trên Cortex XDR

2. Thực hiện cấu hình
Default tính năng này bị disable, để cấu hình tính năng này ta sẽ vào bánh răng cưa->Configurations->Broker VMs chọn broker VM muốn bật tính năng rồi nhấn chuột phải chọn Local Agent Settings->Active.

Tại phần Agent Proxy ta sẽ chọn Enable sau đó chọn port kết nối (default port 8888) và chọn interface sẽ nhận kết nối từ các agent trên endpoint rồi nhấn Active.

Sau khi đã Activate ta sẽ thấy tại cột APPS tính năng đã được Active (xanh lá) và đã được kết nối.

Để kết nối Agent tới Broker VM Agent Proxy ta sẽ có 2 cách:

• Cách 1: Sau khi đã install agent bằng cách cài đặt file msi ta sẽ cấu hình agent proxy từ Cortex XDR gateway.
• Cách 2: Ta sẽ cấu hình agent proxy trong quá trình cài agent bằng lệnh msiexec.

Cách 1:
Sau khi install agent trên endpoint xong ta sẽ vào Cortex XDR Gateway Endpoints->Endpoint Management->Endpoint Administration

Tiếp ta ta sẽ chọn các Endpoint muốn cấu hình agent proxy rồi nhấn chuột phải->Enpoint Control->Set Agent Proxy để tiến hành cấu hình agent proxy.

Tiếp theo ta sẽ nhập ip của broker VM được cấu hình tính năng agent proxy kèm theo port listen đã cấu hình ở trên xong rồi nhấn Set.

Ta thấy trên Endpoint đã được cấu hình proxy trỏ về Broker VM.

Trên Broker VM ta thấy đã có kết nối từ Endpoint.

Cách 2:
Trước tiên ta sẽ install agent trên endpoint bằng câu lệnh msiexec, ta sẽ download agent sau đó mở cmd và nhập lệnh msiexec /i <path dẫn tới file agent msi đã download> proxy_list="<ip và port broker VM agent proxy>" ALLUSER=1 /qb
Lưu ý:

• proxy_list: có thể cấu hình nhiều proxy cách nhau bởi dấu , (tối đa 5 proxy per agent)
• ALLUSER: install agent trên tất cả user trên endpoint
• /qb: install default value UI

Sau khi cấu hình xong ta thấy trên Broker VM ta thấy đã có kết nối từ Endpoint.

Để cấu hình tính năng năng này trước hết ta cần có SSL Certificate giúp tạo kết nối an toàn từ endpoint tới Broker VM để endpoint có thể lấy được các thông tin từ Broker VM. Ta có thể tạo SSL từ nhiều người nhưng ở tài liệu này ta sẽ dụng UnoSSL. Sau khi đã cấu hình xong SSL certificate trên UnoSSL ta sẽ lấy 2 file certificate.cer và certificate.key.

Tiếp theo ta sẽ truy cập GUI Broker VM tại phần SSL Certificates để tiến hành upload certificate: Phần SERVER CERTIFICATE chọn certificate.cer đã tải từ UnoSSL còn PRIVATE KEY sẽ chọn file certificate.key rồi nhấn Save.

Ta kiểm tra kết nối từ endpoint tới Broker VM đã được secure tiến hành truy cập URL.

Sau khi có kết nối an toàn từ endpoint tới Broker VM ta sẽ vào Cortex XDR Gateway để tiến hành bật tính năng content cache ta sẽ vào bánh răng cưa->Configurations->Broker VMs chọn broker VM muốn bật tính năng rồi nhấn chuột phải chọn Local Agent Settings->Configure

Tại phần Agent Installer and Content Caching ta sẽ chọn enable rồi nhấn Update.
Lưu ý: Phải upload SSL Certificate trước khi enable tính năng.

Đảm bảo thông tin FQDN trùng với certifiacate đã tạo trên UnoSSL bằng cách chọn Broker VM muốn cấu hình chuột phải->Broker Management->Configure

Tiếp theo ta phải chỉnh lại thông tin download trong agent profile để chọn Broker VM là nguồn download thay cho việc download trực tiếp từ Cortex XDR Gateway ta vào phần Endpoints->POLICY MANAGEMENT->Prevention ->Profile->New Profile để tạo profile mới.

TIếp theo ta chọn OS ở bài lab này là window và chọn profile muốn cấu hình Agent Settings rồi nhấn Next.

Ở phần Download Source ta sẽ chọn Broker VM (Support agent version 7.4 and later) rồi chọn Broker tướng ứng.
Lưu ý:

• Thứ tự lấy thông tin từ endpoint cài agent là P2P->Broker VM->Cortex XDR Gateway.
• Sau khi ta tạo xong profile ta phải apply profile đó vào Policy Rules và chọn các agent để update policy thích hợp (phần sau sẽ hướng dẫn apply Policy rules)