O StealthDEFEND Action Service é instalado no servidor StealthDEFEND. O serviço também pode ser instalado em outros servidores. Consulte a seção Instalar opcionalmente o Action Service em servidores adicionais para obter informações adicionais.
Requisitos para instalar o Action Service em servidores adicionais
Os requisitos do servidor para instalar e executar o Action Service em um servidor diferente do servidor StealthDEFEND Console estão listados abaixo por requisitos mínimos e recomendados.
Requisitos mínimos
A seguinte configuração é o requisito mínimo para instalar e executar o Action Service:
- Windows Server 2012 a Windows Server 2022, instalação em inglês dos EUA
- A atualização para Universal C Runtime no Windows requer o KB2999226 (para Windows 2012 a Windows 2012 R2)
- Windows Management Framework 3.0 requer:
- KB2506143 (para Windows Server 2012 e Windows Server 2012 R2)
Recomendação:
- 4 GB de RAM
- 1 núcleo de CPU
- 500 MB de espaço em disco
- .NET 5.0 instalado
- PowerShell 5.1+ instalado
Requisitos Adicionais Recomendados
A seguinte configuração é recomendada para utilizar o PowerShell v5.1+ na resposta a ameaças do StealthDEFEND:
- Windows Server 2012 até Windows Server 2022, instalação em inglês americano
- Windows Management Framework 5.1 requer:
KB3191565 (para Windows 2012)
KB3191564 (para Windows 2012 R2)
Permissões para Instalar o Serviço de Ação em Servidores Adicionais
A seguinte permissão é necessária para instalar o Serviço de Ação em servidores adicionais:
- Membro do grupo Administradores locais do servidor
Considerações Adicionais ao Instalar o Serviço de Ação em Servidores Adicionais
A seguinte consideração deve ser considerada ao instalar o Serviço de Ação em servidores adicionais:
- Firewall - Garanta que o tráfego de saída nas portas 80 e 443 esteja permitido para que o serviço de ação possa se comunicar e estabelecer uma conexão com o servidor do Console do StealthDEFEND.
Permissões para Executar Ações
As permissões necessárias para executar o Serviço de Ação dependem do tipo de ação a ser realizada e do ambiente em que está sendo executado. O Serviço de Ação instalado com o StealthDEFEND pode ser configurado para ser executado como uma Conta de Serviço. Nesse cenário, todas as ações executadas pelo StealthDEFEND serão executadas como a Conta de Serviço. Isso é uma maneira simples de garantir que os playbooks executados pelo StealthDEFEND tenham as permissões adequadas necessárias para serem concluídos com sucesso. Consulte a seção Configurar uma Conta de Serviço para Executar Ações para obter informações adicionais. Além disso, uma Etapa de Ação pode ser configurada para usar um Perfil de Credencial específico, e a Etapa de Ação utilizará essas credenciais no Script da Etapa de Ação. Consulte a seção Perfil de Credencial para obter informações adicionais.
NOTA: Essas permissões são necessárias, independentemente de o Serviço de Ação ser instalado apenas no servidor do Console do StealthDEFEND ou em servidores adicionais.
- Permissões do Active Directory
- Active Directory Membership action – Group Modification Rights
- Disable Active Directory Account action – User Modification Rights
- Force Change Password at Next Logon – User Modification Rights
- Reset Password action – User Modification Rights
- Disable Active Directory Computer – Computer Modification Rights
- Permissões do Host Local
- Ação de Script do PowerShell - (as permissões dependem do script a ser executado)
- Ação de Enviar Email - Nenhuma permissão é necessária, a menos que o servidor de email exija autenticação
- Ação de Parar Processo - Membro do grupo Administradores locais do servidor de destino
- Permissões do Host Local e do Active Directory - A ação de Desativar Área de Trabalho Remota do Usuário requer os seguintes privilégios:
- Membro do grupo Administradores locais do servidor de destino para desconectar o usuário do host
- Permissões para desativar os direitos de login da conta de usuário
- Permissões do Sistema de Arquivos do Windows
- Ação de Excluir Arquivo - Direitos de modificação de arquivo no caminho do arquivo de destino
- Ação de Reverter Alterações de Permissão - Direitos de Controle Total no caminho da pasta de destino
- Ação de Salvar Hash do Arquivo - Direitos de leitura de arquivo no caminho do arquivo de destino
- Permissões de Aplicativos de Terceiros
- Permissões Genéricas
- Ação de Webhook - Nenhuma permissão é necessária
- Ação de Enviar Syslog - Nenhuma permissão é necessária
- Permissões do DUO
- DUO Autenticação Push - Acesso à API "Admin" e "Auth" do DUO
- Integração Forescout - Requer uma sequência de senha do Forescout com as permissões apropriadas para o registro do computador de destino
- Permissões do Microsoft® Teams - A ação de Envio de Mensagem do Microsoft Teams não possui requisitos de permissão
- Permissões do ServiceNow® - A ação de Criar Incidente (ServiceNow) requer um dos seguintes:
* Administrador do ServiceNow
* Função web_service_admin do ServiceNow
* Função rest_api_explorer do ServiceNow
- Permissões do Slack - A ação de Enviar Mensagem do Slack não possui requisitos de permissão
- Permissões do SMB - Permissão de administrador no host de destino
- Permissões do Twilio® - A ação de Enviar SMS do Twilio requer um Token de Integração do Twilio
- Permissões do VirusTotal® - A ação de Enviar Relatório do VirusTotal requer uma chave do VirusTotal
- Firewall do Windows - Permissão de administrador no host de destino
Requisitos Adicionais para Executar Ações
Os seguintes são requisitos adicionais para executar o Serviço de Ação:
NOTA: Esses requisitos são necessários independentemente de o Serviço de Ação ser instalado apenas no servidor do Console do StealthDEFEND ou em servidores adicionais.
- Ações do Active Directory - Requer o módulo PowerShell do Active Directory
- Ações do Host Local
* Ação de Script do PowerShell - (os requisitos dependem do script a ser executado)
* Ação de Enviar Email - Requer que o StealthDEFEND esteja configurado para enviar emails
* Ação de Parar Processo - Sem requisitos adicionais
* Ação de Desativar Área de Trabalho Remota do Usuário - Requer o módulo PowerShell do Active Directory
- Ações de Aplicativos de Terceiros - Requer acesso à Internet, bem como o seguinte:
* Ação de Enviar Syslog - Requer informações do servidor e da porta
* Ação de Enviar Mensagem do Microsoft Teams - Requer Hooks de Entrada do Teams
* Ação de Enviar Mensagem do Slack - Requer Hooks de Entrada do Slack
* Ação de Enviar Relatório do VirusTotal - Requer que o StealthDEFEND esteja configurado para enviar emails
Comentários
0 comentário
Por favor, entre para comentar.