Service Composer puede identificar si hay sistemas infectados en la red con soluciones antivirus de terceros y ponerlos en cuarentena para evitar otras infecciones.

Nuestro caso de muestra explica cómo proteger los escritorios de extremo a extremo.

Figura 1. Configurar Service Composer
flujo de trabajo
Figura 2. Flujo de trabajo condicional de Service Composer
prueba

Requisitos previos

Estamos al tanto de que las etiquetas de Symantec infectaron las máquinas virtuales con la etiqueta AntiVirus.virusFound.

Procedimiento

  1. Instale, registre e implemente la solución Symantec Antimalware.
  2. Cree una directiva de seguridad para los escritorios.
    1. Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en el icono Agregar directiva de seguridad (Add Security Policy).
    2. En Nombre (Name), escriba DesktopPolicy.
    3. En Descripción (Description), escriba Antivirus scan for all desktops.
    4. Cambie el promedio a 51.000. La prioridad de la directiva se establece como alta para garantizar que se aplique antes que las demás directivas.
    5. Haga clic en Siguiente (Next).
    6. En la página Agregar servicio de extremo (Add Endpoint Service), haga clic en agregar y complete los siguientes valores.
      Opción Valor
      Acción (Action) No modifique el valor predeterminado
      Tipo de servicio (Service Type) Antivirus
      Nombre del servicio (Service Name) Symantec Antimalware
      Configuración del servicio (Service Configuration) Silver
      Estado (State) No modifique el valor predeterminado
      Aplicar (Enforce) No modifique el valor predeterminado
      Nombre (Name) AV del escritorio
      Descripción (Description) Directiva obligatoria para aplicar en todos los escritorios.
    7. Haga clic en Aceptar (OK).
    8. No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).
  3. Cree una directiva de seguridad para las máquinas virtuales infectadas.
    1. Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en el icono Agregar directiva de seguridad (Add Security Policy).
    2. En Nombre (Name), escriba QuarantinePolicy.
    3. En Descripción (Description), escriba Policy to be applied to all infected systems.
    4. No cambie el promedio predeterminado.
    5. Haga clic en Siguiente (Next).
    6. En la página Agregar servicio de extremo (Add Endpoint Service), no realice ninguna acción y haga clic en Siguiente (Next).
    7. En Firewall, agregue tres reglas: una para bloquear todo el tráfico saliente, la siguiente para bloquear todo el tráfico con los grupos y la última para permitir el tráfico entrante solo desde las herramientas de corrección.
    8. No agregue ningún servicio de introspección de red y haga clic en Finalizar (Finish).
  4. Mueva QuarantinePolicy al principio de la tabla de directivas de seguridad para garantizar que se aplique antes que las demás directivas.
    1. Haga clic en el icono Administrar prioridades (Manage Priority).
    2. Seleccione QuarantinePolicy y haga clic en el icono Subir (Move Up).
  5. Cree un grupo de seguridad para todos los escritorios del entorno.
    1. Inicie sesión en vSphere Web Client.
    2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.
    3. Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).
    4. En Nombre (Name), escriba DesktopSecurityGroup.
    5. En Descripción (Description), escriba All desktops.
    6. Haga clic en Siguiente (Next) en las próximas páginas.
    7. Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).
  6. Cree un grupo de seguridad para cuarentena donde colocará las máquinas virtuales infectadas.
    1. Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).
    2. En Nombre (Name), escriba QuarantineSecurityGroup.
    3. En Descripción (Description), escriba Dynamic group membership based on infected VMs identified by the antivirus scan.
    4. En la página Definir criterios de pertenencia (Define membership Criteria), haga clic en agregar y agregue los siguientes criterios.

      quar

    5. No realice ninguna acción en las páginas Seleccionar objetos para incluir (Select objects to include) o Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente (Next).
    6. Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).
  7. Asigne la directiva DesktopPolicy al grupo de seguridad DesktopSecurityGroup.
    1. En la pestaña Directivas de seguridad (Security Policies), asegúrese de que se haya seleccionado la directiva DesktopPolicy.
    2. Haga clic en el icono Aplicar directiva de seguridad (Apply Security Policy) (aplicar) y seleccione el grupo SG_Desktops.
    3. Haga clic en Aceptar (OK).
      Esta asignación garantiza que todos los escritorios (parte de DesktopSecurityGroup) se analicen al activar un análisis antivirus.
  8. Desplácese hasta la vista de lienzo para confirmar que QuarantineSecurityGroup aún no incluya ninguna máquina virtual.
    1. Haga clic en la pestaña Seguridad de la información (Information Security).
    2. Confirme que haya 0 máquinas virtuales en el grupo (vm)
  9. Asigne QuarantinePolicy a QuarantineSecurityGroup.
    Esta asignación garantiza que no circule tráfico hacia los sistemas infectados.
  10. Desde la consola de Symantec Antimalware, active una exploración en la red.
    La exploración detecta las máquinas virtuales infectadas y les asigna la etiqueta de seguridad AntiVirus.virusFound. Las máquinas virtuales etiquetadas se agregan de inmediato a QuarantineSecurityGroup. La directiva QuarantinePolicy permite que no circule tráfico por los sistemas infectados.