Aurora Endpoint Security conditions préalables pour le proxy
Aurora Endpoint Security les agents et les applications Aurora Protect Mobile peuvent être configurés pour utiliser un serveur proxy pour la communication sortante vers les serveurs Arctic Wolf.
Configuration d'un proxy pour les agents Aurora Protect Desktop et Aurora Focus
Vous pouvez configurer Aurora Protect Desktop et Aurora Focus pour qu'ils utilisent un serveur proxy en fonction des exigences de votre plateforme :
- Windows : Configurez les agents Aurora Protect Desktop et Aurora Focus pour qu'ils utilisent un serveur proxy.
- Windows et macOS : Configurez les agents Aurora Protect Desktop et Aurora Focus pour qu'ils utilisent un serveur proxy.
- Linux : Configurez les agents Aurora Protect Desktop et Aurora Focus pour qu'ils utilisent un serveur proxy.
- Si vous souhaitez configurer à la fois l'agent Aurora Protect Desktop et l'agent Aurora Focus sur un terminal pour utiliser un serveur proxy pour la communication sortante vers les serveurs Arctic Wolf, dans l'éditeur de registre, accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop et créez la valeur de chaîne REG_SZ :
- Nom de la valeur = ProxyServer
- Données de valeur = proxyIP:port (par exemple, http://123.45.67.89:8080)
- Le proxy doit accepter les demandes non autorisées. L'inspection SSL n'est pas prise en charge et doit être contournée pour tout le trafic de l'agent (*.cylance.com).
- Pour les environnements Windows, si vous avez configuré les paramètres de proxy à l'échelle du système dans HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings, vous devez spécifier la valeur de la clé de registre ProxyServer à l'aide de proxyIP:port, ou la valeur doit commencer par http:// au lieu de https:// (les connexions proxy HTTPS sont prises en charge, mais la valeur de registre ne doit pas commencer par https://).
Windows et macOS : Options de proxy pour l'agent Aurora Focus
- L'agent Aurora Focus est compatible avec le proxy et interroge .NET Framework pour identifier et utiliser les paramètres de proxy disponibles. Si vous avez configuré la valeur ProxyServer dans le registre, l'agent Aurora Focus utilise le proxy spécifié. L'agent Aurora Focus essaie d'abord de communiquer en tant que système local, puis en tant qu'utilisateur actuellement connecté.
- Si vous configurez l'agent Aurora Focus pour qu'il utilise un proxy et qu'il ne peut pas communiquer avec les services cloud, l'agent tente de contourner le proxy pour établir une connexion directe. Sur les terminaux Windows et macOS, vous pouvez désactiver ce contournement de proxy. Procédez comme suit avant d'installer l'agent Aurora Focus :
Plateforme
Étapes
Windows
Dans HKLM\SOFTWARE\Cylance\Optics\, créez une valeur de chaîne REG_SZ :- Nom de la valeur = DisableProxyBypass
- Données de valeur = True
macOS
- Dans /Library/Application Support/Cylance/Desktop/registry/LocalMachine/Software/Cylance/Desktop/, ajoutez les éléments suivants au fichier values.xml :
<value name=“ProxyServer” type=“string”>http://proxy_server_IP:port</value> - Dans /Library/Application Support/Cylance/Optics/Configuration, créez un fichier ExternalConfig.xml avec les éléments suivants :
<?xml version=“1.0” encoding=“utf-8”?><EnforceProxyServer>true</EnforceProxyServer>
- Lorsque Aurora Focus crée un évènement de détection impliquant un fichier signé en tant qu'artefact, il utilise une commande de l'API Windows pour valider la signature ou le certificat. La commande envoie une demande de validation à un serveur OCSP. L'adresse du serveur OCSP est déterminée par Windows. Si votre serveur proxy signale des tentatives d'envoi de trafic externe à un serveur OCSP, mettez à jour les paramètres de proxy sur les terminaux de façon à autoriser les connexions avec le serveur OCSP.
Linux : Options de proxy pour les agents Aurora Protect Desktop et Aurora Focus
Sur les versions prises en charge de RHEL, CentOS, Ubuntu, Amazon Linux 2 et SUSE 15, utilisez ces commandes pour configurer les agents afin qu'ils utilisent un proxy non authentifié ou authentifié. Vous pouvez utiliser ces commandes avant d'installer les agents. Les commandes ci-dessous configurent un proxy pour l'agent Aurora Protect Desktop. Pour définir un proxy pour l'agent Aurora Focus :
- Remplacer toutes les instances de « cylancesvc » par « cyoptics »
- Dupliquez chaque ligne http_proxy et remplacez « http_proxy » par « https_proxy ». Dans la plupart des cas, https_proxy utilise la même valeur que http_proxy car le trafic HTTPS est tunnellisé à l'aide de TCP Connect, mais si votre organisation utilise un serveur proxy de terminaison HTTPS, spécifiez la valeur appropriée pour https_proxy.
Proxy non authentifié :
CODE
mkdir /etc/systemd/system/cylancesvc.service.d
echo "[Service]" > /etc/systemd/system/cylancesvc.service.d/proxy.conf
echo "Environment=http_proxy=http://proxyaddress:port" >> /etc/systemd/system/cylancesvc.service.d/proxy.conf
systemctl stop cylancesvc
systemctl daemon-reload
systemctl start cylancesvcProxy authentifié :
CODE
mkdir /etc/systemd/system/cylancesvc.service.d
echo "[Service]" > /etc/systemd/system/cylancesvc.service.d/proxy.conf
echo "Environment=http_proxy=user:password@proxyaddress:port" >> /etc/systemd/system/cylancesvc.service.d/proxy.conf
systemctl stop cylancesvc
systemctl daemon-reload
systemctl start cylancesvc