3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб
Скачать 4.42 Mb.
|
Глава 8: Управление рабочими станциями · Статистика угроз — для просмотра сведений об обнаружении угроз безопасности защищаемых станций, сгруппированных по типам угроз и по количеству угроз на станциях. · Состояние — для просмотра сведений о необычном состоянии рабочих станций, возможно требующем вмешательства. · Задания — для просмотра списка заданий, назначенных для рабочей станции в заданный период. · Заблокированные устройства — для просмотра списка устройств, заблокированных на станциях компонентом Офисный контроль. · Продукты — для просмотра информации об установленных продуктах на выбранных станциях. Под продуктами в данном случае понимаются продукты репозитория Сервера. · Вирусные базы — для просмотра информации об установленных вирусных базах: название файла, содержащего конкретную вирусную базу; версия вирусной базы; количество записей в вирусной базе; дата создания вирусной базы. Пункт доступен только при выборе единичных станций. · Модули — для просмотра подробной информации обо всех модулях антивируса Dr.Web: описание модуля: его функциональное название; файл, определяющий отдельный модуль продукта; полная версия модуля и т. д. Пункт доступен только при выборе станций. · События Превентивной защиты — для просмотра информации о событиях, зафиксированных на станциях компонентом Превентивная защита. · События Контроля приложений — для просмотра информации о событиях, зафиксированных на станциях компонентом Контроль приложений. · Инсталляции Агентов — для просмотра списка установок Агента на рабочую станцию или группу рабочих станций. · Деинсталляции Агентов — для просмотра списка рабочих станций, с которых было удалено антивирусное ПО Dr.Web. Для отображения скрытых пунктов раздела Статистика выберите пункт Администрирование главного меню, в открывшемся окне выберите пункт управляющего меню Конфигурация Сервера Dr.Web. На вкладке Статистика установите соответствующие флаги (см. ниже), после чего нажмите кнопку Сохранить и перезагрузите Сервер. Таблица 8-4. Соответствие пунктов раздела Статистика и флагов раздела Статистика в конфигурации Сервера Пункты раздела Статистика Флаги раздела Статистика в конфигурации Сервера Угрозы Обнаруженные угрозы безопасности Ошибки Ошибки сканирования Руководство администратора 195 Глава 8: Управление рабочими станциями Пункты раздела Статистика Флаги раздела Статистика в конфигурации Сервера Статистика сканирования Статистика сканирования Запуск/Завершение Запуск/Завершение компонентов Статистика угроз Обнаруженные угрозы безопасности Состояние Состояние станций Задания Журнал выполнения заданий на станциях Заблокированные устройства Заблокированные устройства Вирусные базы Состояние станций Состояние вирусных баз Модули Список модулей станций События Превентивной защиты Обнаруженные угрозы безопасности События Контроля приложений Статистика Контроля приложений по активности процессов Статистика Контроля приложений по блокировке процессов Инсталляции Агентов Инсталляции Агентов Окна просмотра результатов работы различных компонентов и итоговой статистики рабочей станции имеют одинаковый интерфейс, и действия по детализации информации, предоставляемой ими, аналогичны. Далее рассмотрены некоторые примеры просмотра итоговой статистики при помощи Центра управления. 8.6.1.1. Сводные данные Чтобы просмотреть сводные данные 1. В иерархическом списке выберите станцию или группу. 2. В управляющем меню в разделе Статистика выберите пункт Сводные данные. 3. Откроется окно, содержащее табличные данные отчета. Для того чтобы включить в отчет определенные статистические данные, нажмите кнопку на панели инструментов и выберите требуемые типы в выпадающем списке: Статистика сканирования, Угрозы, Задания, Запуск/Завершение, Ошибки. Статистика, включаемая в данные разделы отчета, соответствует статистике, содержащейся в соответствующих пунктах раздела Таблицы. Для просмотра отчета с выбранными таблицами нажмите кнопку Обновить. Руководство администратора 196 Глава 8: Управление рабочими станциями 4. Если в отчет включена таблица с обнаруженными угрозами, на панели инструментов становятся доступны также следующие опции: Опция Описание Исключить файлы из сканирования Позволяет добавить выбранные объекты в список исключений из сканирования компонентами защиты: a) В таблице Угрозы установите флаг напротив одного или нескольких обнаруженных объектов. b) Нажмите кнопку c) В открывшемся окне задайте следующие настройки: · Исключить из сканирования и задать персональные настройки SpIDer Guard — добавить выбранные объекты в список исключений при сканировании компонентом SpIDer Guard. При этом, если узлы сети, для которых будет изменен список исключений, наследовали настройки компонента SpIDer Guard от своих первичных групп, то для них будет разорвано наследование и установлены персональные настройки. · Исключить из сканирования и задать персональные настройки Сканера Dr.Web — добавить выбранные объекты в список исключений при сканировании компонентом Сканер Dr.Web. При этом, если узлы сети, для которых будет изменен список исключений, наследовали настройки компонента Сканер Dr.Web от своих первичных групп, то для них будет разорвано наследование и установлены персональные настройки. · В списке Исключить для следующих объектов выберите узлы сети, для которых выбранный объект будет добавлен в список исключений: либо только для станции, на которой объект был обнаружен, либо для станций и пользовательских групп, выбранных в предложенном списке. d) Нажмите кнопку Исключить. Сканировать Повторно сканировать выбранные объекты. В выпадающем меню выберите тип сканирования. 5. Для отображения данных за определенный период либо укажите диапазон времени относительно сегодняшнего дня из выпадающего списка, либо задайте произвольный диапазон дат на панели инструментов. Для задания произвольного диапазона введите требуемые даты или нажмите на значки календаря рядом с полями дат. Для просмотра данных нажмите кнопку Обновить. Параметры фильтра непостоянны. Их наличие или отсутствие зависит от данных, которые были получены за указанный период времени. Параметр исчезает из фильтра, если за указанный период времени не были получены соответствующие ему данные. 6. При необходимости сохранить отчет для распечатки или дальнейшей обработки нажмите на одну из кнопок: Сохранить данные в CSV-файл, Руководство администратора 197 Глава 8: Управление рабочими станциями Сохранить данные в HTML-файл, Сохранить данные в XML-файл, Сохранить данные в PDF-файл. 8.6.1.2. Статистика сканирования Чтобы получить статистику о работе антивирусных средств на станции 1. В иерархическом списке выберите станцию или группу. При необходимости просмотра статистики по нескольким станциям или группам, возможен одновременный выбор нужных станций с помощью клавиш SHIFT или CTRL. 2. В управляющем меню в разделе Статистика выберите пункт Статистика сканирования. 3. Откроется окно статистики. По умолчанию отображается статистика за последние сутки. 4. Для отображения данных за определенный период либо укажите диапазон времени относительно сегодняшнего дня из выпадающего списка, либо задайте произвольный диапазон дат на панели инструментов. Для задания произвольного диапазона введите требуемые даты или нажмите на значки календаря рядом с полями дат. Для того чтобы загрузить данные, нажмите кнопку Обновить. В окно будут загружены таблицы со статистическими данными. Параметры фильтра непостоянны. Их наличие или отсутствие зависит от данных, которые были получены за указанный период времени. Параметр исчезает из фильтра, если за указанный период времени не были получены соответствующие ему данные. 5. Для того чтобы посмотреть подробную статистику работы конкретных антивирусных средств, нажмите на название станции в таблице. Откроется окно (или раздел текущего окна), содержащее таблицу с подробными статистическими данными. 6. Чтобы произвести сортировку данных столбца таблицы, нажмите на соответствующую стрелку (сортировка по убыванию или по возрастанию) в заголовке соответствующего столбца. 7. При необходимости сохранить таблицу статистики для распечатки или дальнейшей обработки нажмите на одну из кнопок: Сохранить данные в CSV-файл, Сохранить данные в HTML-файл, Сохранить данные в XML-файл, Сохранить данные в PDF-файл. Руководство администратора 198 Глава 8: Управление рабочими станциями 8. Для того чтобы просмотреть статистику по вирусным событиям в форме диаграмм, в управляющем меню выберите пункт Графики. Откроется окно просмотра статистических диаграмм (подробное описание см. ниже ). 8.6.1.3. Состояние Чтобы просмотреть сведения о состоянии рабочих станций 1. В иерархическом списке выберите станцию или группу. 2. В управляющем меню в разделе Статистика выберите пункт Состояние. 3. Сведения о состоянии станций отображаются в соответствии с настройками фильтра. Нажмите значок в заголовке таблицы для изменения следующих параметров фильтра: · В поле Поиск введите произвольную строку для поиска по всем разделам таблицы. · В списке Серьезность установите флаги для требуемых уровней важности сообщений: список сообщений о состоянии будет содержать только сообщения с выбранной серьезностью. · В списке Источник установите флаги для тех источников появления событий, которые будут отображаться в списке: ъ Агент — отображать события, пришедшие от Агентов Dr.Web, подключенных к данному Серверу. ъ Сервер — отображать события, пришедшие от данного Сервера Dr.Web. Параметры фильтра непостоянны. Их наличие или отсутствие зависит от данных, которые были получены за указанный период времени. Параметр исчезает из фильтра, если за указанный период времени не были получены соответствующие ему данные. · В списке Станции установите флаги для типов статуса станций, сообщения о которых будут отображаться в списке: ъ Подключенные — отображать события для станций, которые подключены к данному Серверу и находятся в данный момент в сети (online). ъ Отключенные — отображать события для станций, которые подключены к данному Серверу и в данный момент не в сети (offline). ъ Деинсталлированные — отображать последнее событие для станций, на которых было удалено антивирусное ПО Dr.Web. Для управления настройками фильтра используйте следующие кнопки в списке фильтра: · По умолчанию — установить все настройки фильтра в значения по умолчанию. · Обновить — применить выбранные настройки фильтра. 4. Действия по детализации и форматированию информации данной таблицы аналогичны описанным выше для таблицы статистики сканирования. Руководство администратора 199 Глава 8: Управление рабочими станциями Вы также можете просмотреть результаты работы и статистику нескольких рабочих станций. Для этого необходимо выбрать эти станции в иерархическом списке сети. 5. При необходимости сохранить отчет для распечатки или дальнейшей обработки нажмите на одну из кнопок на панели управления: Сохранить данные в CSV-файл, Сохранить данные в HTML-файл, Сохранить данные в XML-файл, Сохранить данные в PDF-файл. 8.6.1.4. События Контроля приложений Настройка получения статистики Чтобы активировать отправку информации со станций для раздела События Контроля приложений 1. В разделе Антивирусная сеть выберите в дереве станции или группы станций с установленным Контролем приложений, с которых вы хотите получать информацию о запуске приложений. 2. В управляющем меню выберите пункт Windows → Агент Dr.Web. 3. На вкладке Общие установите флаг Отслеживать события Контроля приложений, чтобы отслеживать активность процессов на станциях, зафиксированную Контролем приложений, и отправлять события на Сервер. При отсутствии подключения к Серверу события накапливаются и отправляются при подключении. Если флаг снят, активность процессов игнорируется. 4. Нажмите Сохранить. Чтобы активировать сбор информации Сервером для раздела События Контроля приложений 5. В разделе Администрирование → Конфигурация Сервера Dr.Web перейдите на вкладку Статистика. 6. Установите одну из следующих опций: · Статистика Контроля приложений по активности процессов, чтобы получать и записывать информацию по любой активности всех процессов: как разрешенных для запуска, так и запрещенных Контролем приложений. При выборе этой опции в справочник будут заноситься приложения при условии создания и назначения хотя бы одного профиля с одной или несколькими выбранными категориями критериев функционального анализа Руководство администратора 200 Глава 8: Управление рабочими станциями До создания профилей и назначения их на станции антивирусной сети, запуск всех приложений разрешается. · Статистика Контроля приложений по блокировке процессов, чтобы получать и записывать информацию по активности всех процессов, запрещенных для запуска Контролем приложений. При выборе этой опции в справочник будут заноситься приложения только после создания профилей , по настройкам которых запуск приложений будет блокироваться, и назначения этих профилей на станции антивирусной сети. Флаг Статистика Контроля приложений по активности процессов может значительно повысить ресурсоемкость сбора статистики по всей антивирусной сети. 7. Нажмите кнопку Сохранить. 8. Перезапустите Сервер. 9. После перезагрузки Сервер начнет фиксировать всю статистику по запуску приложений, присылаемую со всех станций с установленным Контролем приложений. Просмотр статистики Чтобы просмотреть события, зафиксированные на станциях компонентом Контроль приложений 1. В иерархическом списке выберите станцию или группу. 2. В управляющем меню в разделе Статистика выберите пункт События Контроля приложений. 3. Откроется окно, содержащее список приложений, запуск которых был запрещен или разрешен на выбранных станциях. 4. По умолчанию отображается статистика за последние сутки. Для отображения данных за определенный период укажите диапазон времени относительно сегодняшнего дня из выпадающего списка, либо задайте произвольный диапазон дат на панели инструментов. Для задания произвольного диапазона введите требуемые даты или нажмите на значки календаря рядом с полями дат. Для того чтобы загрузить данные, нажмите кнопку Обновить. В окно будет загружена таблица со статистическими данными. Описание столбцов таблицы представлено в таблице ниже. Таблица 8-5. Описание столбцов таблицы События Контроля приложений Название столбца Описание Идентификатор Идентификатор станции Станция Название станции Адрес станции Адрес станции Руководство администратора 201 Глава 8: Управление рабочими станциями Название столбца Описание Идентификатор безопасности Идентификатор безопасности учетной записи пользователя Пользователь Пользователь рабочей станции Тип события Тип запущенного на станции события Примененное действие Действие, примененное к запущенному на станции приложению Критерий функционального анализа Критерий, по которому разрешается или запрещается приложение Маска функционального анализа Параметр критерия функционального анализа, который определяет, разрешено приложение для запуска на станции или нет ID профиля Идентификатор профиля Название профиля Название профиля ID правила Идентификатор правила Название правила Название правила Режим работы Режим, в котором работает правило Путь к файлу процесса Расположение файла процесса Процесс Процесс, разрешенный или запрещенный для запуска на станции Бюллетень с хешем процесса Бюллетень, в котором присутствует хеш файла запущенного процесса Путь к файлу скрипта Расположение файла скрипта Скрипт Файл скрипта Бюллетень с хешем скрипта Бюллетень, в котором присутствует хеш файла запущенного скрипта Появление события Дата и время появления события Оповещение о событии Дата и время оповещения о событии Хеш файла (SHA- 256) Значение хеша файла по алгоритму SHA-256 Руководство администратора 202 Глава 8: Управление рабочими станциями Название столбца Описание Описание файла Описание файла Издатель Издатель файла Издатель сертификата Удостоверяющий центр, выпустивший сертификат Хеш сертификата (SHA-1) Значение хеша сертификата по алгоритму SHA-1 Дата начала действия сертификата Дата начала действия сертификата Дата окончания действия сертификата Дата окончания действия сертификата Параметры фильтра непостоянны. Их наличие или отсутствие зависит от данных, которые были получены за указанный период времени. Параметр исчезает из фильтра, если за указанный период времени не были получены соответствующие ему данные. 5. При необходимости сохранить таблицу статистики для распечатки или дальнейшей обработки нажмите на одну из кнопок: Сохранить данные в CSV-файл, Сохранить данные в HTML-файл, Сохранить данные в XML-файл, Сохранить данные в PDF-файл. При наличии профиля или правила в тестовом режиме запускаемые на назначенных станциях приложения проверяются по всей схеме работы Контроля приложений от начала до конца. В статистике будут фиксироваться случаи совпадения приложения по всем возможным критериям: настройкам функционального анализа, правилам и группе доверенных приложений. Следовательно, одно и то же приложение может иметь несколько записей в колонке Примененное действие, где будет указано, что оно разрешено по одним критериям и/или заблокировано по другим. |