Webroot Raporty, Ostrzeżenia, Wyjątki, Logi

icon-cloud-journaling-rollback

Webroot Endpoint Protection
Raporty, Ostrzeżenia, Wyjątki, Logi
(Ich wykorzystanie w codziennej pracy)

 

W konsoli administracyjnej Webroot Endpoint Protection dostępnych jest kilka zakładek:

aaw

 

RAPORTY

W zakładce dotyczących raportów znajdziemy kilka możliwości agregacji zebranych informacji:

aaww

Agent Version Spreadwersja agenta oraz ich liczba,

Agents Installedilość zainstalowanych agentów na stacjach końcowych, w wybranym odstępie czasu,

All Threats Seen – wszystkie napotkane zagrożenia od czasu instalacji pierwszego agenta na stacji końcowej,

All Undetermined Software Seen – pokazuje nieznane oprogramowanie, które jest monitorowane przez aplikację Webroot SecureAnywhere,

Endpoints with threats on last scan – pokazuje stacje końcowe, na których wykryto infekcję podczas ostatniego skanowania,

Endpoints with undetermined software on last scan – pokazuje nieznane oprogramowanie występujące na stacjach końcowych, uwzględniając podział na nie,

Threat History (Collated/Daily) – tutaj możemy wyświetlić historię zagrożeń zidentyfikowanych na stacjach końcowych.

 

W jaki sposób można wykorzystać informacje wysyłane przez agenta do chmury w Webroot Endpoint Protection ?

 

1. Administrator chce zablokować wszystkim użytkownikom, ale tylko na komputerach w dziale handlowym, możliwość korzystania z aplikacji GSLITE.EXE . Aby to zrobić, wystarczy przejść na zakładkę Raports > Endpoints with undetermined software on last scan > wybieramy stację końcową na której znajduje się plik który chcemy zablokować:

dddad

 

Powyższa konfiguracja oznacza, że plik GSLITE.EXE znaleziony na stacji o nazwie Justyna-S zostanie zablokowany na wszystkich stacjach pracujących w polityce o nazwie polityka bezpieczne biuro.

 

Jeżeli administrator chciałby zablokować wyżej wymieniony plik na wszystkich stacjach podpiętych do konsoli, należałoby zaznaczyć checkbox Apply this override globally:

dddadd

 

 

2. Po zainstalowaniu oprogramowania Webroot SecureAnywhere na wszystkich stacjach w organizacji, na części z nich wystąpił problem z nieznaną aplikacją. Aplikacja znana administratorowi jako bezpieczna uruchamia się dłużej niż zwykle. Rozwiązanie: wystarczy oznaczyć ją jako bezpieczną dla wszystkich stacji podłączonych do naszej konsoli. Przechodzimy zatem do zakładki Raports > Endpoints with undetermined software on last scan > wybieramy jedną ze stacji końcowych na której znajduje się plik który chcemy oznaczyć jako bezpieczny:

dddaddd

 

W powyższym oknie widzimy oznaczenie pliku ISP_INSTALACJA.EXE , który został znaleziony na maszynie o nazwie SERWER, jako aplikacji bezpiecznej.

 

Można tworzyć determinacje zbiorczo dla kilkudziesięciu plików:dddadddd

 

 

Po każdej zmianie determinacji pliku na stacji końcowej, należy wysłać komendę re-weryfikacji plików i procesów. Jest to niezbędne aby agent oznaczył lokalnie dany plik jako bezpieczny/zagrożenie. Komendę wysyłamy na wszystkie stacje, których dotyczy zmiana:

dddaddddd

 

dddadddddw

OSTRZEŻENIA

Zakładka Alerts umożliwia zdefiniowanie powiadomień wysyłanych an adres poczty elektronicznej, w przypadku wystąpienia konkretnego zdarzenia na jednej z maszyn podłączonych do naszej konsoli. Zdarzeniem tym może być:dddadddddww

Infection Detectedwykrycie infekcji

Ednpoint Installedzainstalowane agenta na stacji końcowej,

Infection Summaryzestawienie obejmujące powstałe infekcje na przestrzeni dnia, tygodnia lub miesiąca,

Install Summary – zestawienie obejmujące ilościową instalację agentów na stacjach końcowych na przestrzeni dnia, tygodnia lub miesiąca.

 

Aby utworzyć powiadomienie e-mailowe należy kliknąć w Create:dddadddddwww

Następnie wybrać typ powiadomienia:dddadddddwwww

 

Oraz wpisać krótką nazwę. Wybór akceptujemy klikając w Next:

 

wddd

 

 

 

W kolejnym oknie wybieramy pomiędzy Use existing list (użyj aktualnej listy mailingowej) a Create new list (utwórz nową listę mailingową). Przy pierwszej konfiguracji należy wybrać utworzenie nowej listy mailingowej. Następnie dopisujemy adresy e-mail na które ma przyjść powiadomienie, po zaistnieniu określonej akcji na jednej z maszyn końcowych. Po wprowadzeniu informacji, przechodzimy dalej klikając w Next:

wdddwd

 

Następnie otrzymujemy możliwość stworzenia indywidualnego powiadomienia. Okno z podstawowymi informacjami wygląda jak zamieszczone poniżej. Temat wiadomości jak i tekst powiadomienia można edytować, uzupełniając o informacje zabrane przez agenta:

 

wdddwddw

 

wdddwddwwd

Po kilku minutach edycji, otrzymujemy powiadomienie w języku polskim w informacjami pozwalającymi zidentyfikować zagrożenie i maszynę na której wystąpiła infekcja. Akceptujemy utworzenie powiadomienia klikając w Finish:

wdddwddwwdds

 

Powiadomienie otrzymane na adres poczty elektronicznej, będzie wyglądać następująco:

 

wdddwddwwddsdw

 

 

WYJĄTKI

Zakładka Overrides umożliwia utworzenie nowych wyjątków, jak również podgląd tych już istniejących (i tworzonych z poziomu raportów).

wdddwddwwddsdwwd

 

Aby utworzyć wyjątek, wystarczy kliknąć w Create oraz podać sumę kontrolną MD5 pliku, podać jego determinację i określić czy wyjątek ma dotyczyć wszystkich stacji podłączonych do konsoli, czy pojedynczej polityki. Dodanie wyjątku akceptujemy klikając w Save:

 

wdddwddwwddsdwwdwd

 

wddwwdwddw

W ten sposób utworzony wyjątek powinien się pojawić na liście wykluczeń dotyczących wszystkich stacji podłączonych do konsoli lub pojedynczej polityki:

 

wdwdwdwdwdwdwdwdwd

 

Na górnej belce znajduje się przycisk umożliwiający skasowanie wybranej determinacji, lub wyeksportowanie wszystkich wyjątków do pliku o rozszerzeniu .csv:

wdwdwdwdwdwd

 

LOGI

Bezpośrednio z poziomu konsoli, korzystając z przycisków znajdujących się w zakładce Logs, można przeglądać informację o ostatnich akcjach wykonanych na stacjach końcowych, grupach czy politykach. Szczegółowe informacje na temat wykonanych akcji, można zagregować korzystając z filtra umieszczonego po stronie lewej:

 

wdwdwdwdwdwdwd

 

Do dyspozycji są dwie zakładki:

Change Log – informacje o akcjach wykonanych na endpointach,

Command Log – zawiera informacje o statusie wykonania wysłanej komendy.
Może to być Executed – odebrana i wykonana; Not Yet received – jeszcze nie otrzymana, Elapsed – komenda przedawniła się.

 

wdwdwdwdwdwdwdwd