É comum em diversos ambientes se deparar com estações com o Antivírus desativado. Isto ocorre por ações de Malware ou até mesmo por intervenção manual de usuários. Como corrigir de forma automatizada o status de estações com antivírus desativado?
Para realizar esta configuração é necessário que o Forescout esteja devidamente implementado na infraestrutura, com o mínimo de visibilidade e credenciais administrativas configuradas.
Na aba Policy, na aréa Policy Folder clica-se em New Policy Folder (Sinal de +) para adicionar uma nova pasta de políticas, podendo ser nomeada como 3 – Remediation:
Em seguida, selecione a pasta recém criada e clique em Add no lado direito da tela.
No Policy Wizard selecione o Custom para criar uma política customizada conforme figura abaixo:
Em seguida defina um nome para a política que está sendo criada.
Agora devemos selecionar o escopo que será alvo desta política. Neste caso vamos inspecionar apenas o segmento de rede Agility HC.
Nesta tela será configurada qual a condição para aplicarmos a remediação. Para isto clique em Add na área Condition e adicione dentro de Device Information a condição Member of Group igual a Antivirus Not Running, conforme indicado na figura abaixo:
Agora será configurada uma ação a ser executada quando a estação for do grupo Antivirus Not Running. Para isso clique em Add na área de Action e selecione dentro de Remediate a opção Start Antivirus, sendo que nesta tela deverá ser selecionado o antivírus utilizado em sua organização.
Em seguida basta clicar em Finish e Apply na tela principal de políticas:
Na aba de NAC é possível visualizar uma estação que não está compliant devido ao serviço de Antivirus que não está rodando:
Alguns segundos depois de configurada a política, podemos visualizar que a ação de remediação surtiu efeito, reativando o antivírus e reclassificando a estação no grupo Compliant:
A principal vantagem deste tipo de verificação a partir do Forescout é a possibilidade de inspecionar constantemente os equipamentos do ambiente sem intervenção humana e sem a necessidade de instalação um agente adicional.
Após a detecção de uma estação que não está com o Antivírus ativado, a solução pode corrigir automaticamente garantindo assim a saúde das estações e a segurança do ambiente.