Garantir que todas as estações estão com Antivírus atualizado nem sempre é uma tarefa fácil. Geralmente este tipo de atividade gera demanda de serviço muito alta para áreas de suporte nível 1 e 2.
Em muitos casos a empresa dispõe de um software de inventário com objetivo de facilitar esta atividade. Entretanto, as equipes de suporte continuam com o fardo de verificar se o agente de inventário está de fato instalado, tornando a atividade novamente manual e ineficiente.
O objetivo deste artigo é descrever como realizar esta verificação de forma automatizada e frequente a verificação de status do antivírus Symantec através do uso de uma solução de Network Access Control, neste caso o Forescout CounterACT.
Para realizar esta configuração é necessário que o Forescout esteja devidamente implementado na infraestrutura, com o mínimo de visibilidade e credenciais administrativas configuradas.
Vá até a aba Policy, na aréa Policy Folder clique em New Policy Folder (Sinal de +) para adicionar uma nova pasta de políticas. Você pode nomeá-la como 2 – Compliance ou o título que achar melhor.
Em seguida, selecione a pasta recém criada e clique em Add no lado direito da tela.
No Policy Wizard selecione o template para compliance de antivírus conforme figura abaixo:
Em seguida defina um nome para a política que está sendo criada:
Agora você irá selecionar um grupo previamente classificado para ser alvo desta verificação de compliance, esta configuração é realizada para evitar que, por exemplo, equipamentos que não devem possuir antivírus (Linux, impressora, switches) sejam verificados consumindo recursos desnecessariamente. Neste caso, apenas os equipamentos com sistema operacional Windows serão verificados:
No Scope da policy devemos selecionar o range ou segmento IP previamente criado que será verificado. Através desta opção podemos limitar o funcionamento da policy para uma rede Wireless ou corporativa sem gerar impactos em outros segmentos:
Finalmente, selecionamos qual o fabricante do antivírus que queremos verificar, neste caso estamos trabalhando com o antivírus Symantec:
Ao final da configuração podemos visualizar as regras que foram criadas a partir do template de verificação de compliance de antivírus. Esta regra verifica se o antivírus esta instalado, sendo executado e atualizado com as ultimas definições:
Ao concluir o Wizard você pode visualizar a politica recém criada, para ativar o funcionamento da mesma, clique em Apply no lado direito:
Após alguns segundos você pode visualizar o resultado da política na aba NAC. Neste caso apenas estação AGILITY029 foi classificada como compliant, pois está com o antivírus instalado, ativo e a atualizado dentro do escopo testado.
A principal vantagem deste tipo de verificação a partir do Forescout é a possibilidade de inspecionar constantemente os equipamentos do ambiente sem intervenção humana e sem a necessidade de instalação um agente adicional.
Após a detecção de uma máquina não compliant, você pode informar por e-mail a equipe de suporte, ou executar remediações automáticas que serão descritas em outro TechTip.