目录
第一章
客户端数量报告 ........................................................................................................... 2
1.1 报告查询............................................................................................................................ 2
1.2 日志详细报表 .................................................................................................................... 3
第二章 SEP安装率报告 ............................................................................................................ 4
2.1 网络扫描器方法(LAN SENSOR) ................................................................................... 5
2.2 网络审核............................................................................................................................ 7
第三章 HI检查结果数量 .......................................................................................................... 9
第四章 非授权软件管理报告 ................................................................................................. 11
第五章 访问网站被阻止的次数 ............................................................................................. 13
第六章 入侵检测防护事件统计 ............................................................................................. 13
第七章
其他自定义类型策略报告 ......................................................................................... 15
第一章 客户端数量报告
客户端资产状况可以对客户端资产情况进行报告,可以在报告中,查询客户端的数量及分布情况,在日志中,可以对客户端的详细配置设置清单进行查询。
1.1 报告查询
登录服务器SEPM的控制台,选择报告,在报告中,选择报告类型为“计算机状态”,选择报告选择“按组显示计算机数”,时间地方选择何时的时间段,也可以自定义时间段。
也可以在组或者服务器中,选择相应的服务器或者客户端组,审核相应的组,则可以审核出相应的计算机数量。
选择完毕,点击创建报告,则报告服务器自动生成报表并显示出来。
如图:每个客户端组的计算机数量就会统计出来。
1.2 日志详细报表
点击服务器控制台,选择“监视器”—“日志”,在日志中,选择日志类型“计算机状态”,时间及其他选项中,选择相应的审核范围,如计算机组和服务器名等,审核相应计算机组,
点击查看日志,即可产生详细的报表,把计算机配置信息列出来,
报表中详细列出各项数据值,包含:计算机名、IP地址、操作系统、防护技术(模块)、自动防护状态(开启关闭)、客户端版本、病毒定义日期、当前用、上次扫描日期、上次签入日期、策略版本号、客户端组(归属)、服务器域等信息。
上述报告和日志审核信息,都可以导出,报告可以导出为.mht格式的,报表可以导出为.csv格式的.
第二章 SEP安装率报告
SEP安装率不能直接靠软件审核出来,可以通过资产等信息计算出来,现在可以通过以下三种方法计算出SEP软件的安装率:
(一)、根据公司资产清单,结合SEP报告的计算机各组的总数,计算出客户端安装率,计算机安装率=SEPM审核出安装的计算机总数/公司资产计算机总数,公司资产计算机总数需要在资产部门有已知的数据。
(二)、使用SEPM的已经安装客户端启用LAN SENSOR (启用非受管检测器),使一个网段启用若干个非受管检测器(LAN Sensor),在网络内部监测一段时间后,在报告中审核出未安装的计算机总数。根据公式计算出安装率。
安装率=已经安装的计算机数量/已经安装的计算机数量+未安装的计算机数量。 (三)、使用SEPM网络审核功能,输入需要审核的网段,对每个客户端进行审核,以检查是否已经安装了客户端,最后可以得出已经安装的计算机数量和未安装的数量。
这种方法审核出的未安装的计算机,可能会把网络设备都算进去,因为网络审核使用的为Ping技术和端口普查技术,可能会将网络设备都算进去,比如交换机、路由器、防火墙、服务器等。在实际出表后,将这些设备删除,再行计算机安装率。
注:以上审核的方法,可能会因客户端的系统和终端防火墙等原因,查询存在少量偏差。数据不是绝对的准确,但基本反映资产和安装率情况。
已经安装了SEP的非本地站点管理的客户端,也会计算到非受管计算机中。
2.1 网络扫描器方法(LAN SENSOR)
在客户端—客户端组中,指定某个客户端为非受管客户端检测器,选中某个客户端,右键,选择启用非受管检测器,启动这个客户端的LAN SENSOR功能,
启用后,可以右键对这个客户端的网络检测器进行配置,配置可以排除的计算机IP或者MAC,
建议,不同网段的计算机或者组,建议启动一到两个LAN SENSOR计算机,使其完全扫描网络内部的计算机。
最后在客户端—客户端组-查找非受管计算机选项中,查看非受管计算机信息,
点击查找非受管计算机,则会出来相关报告数据
在未知计算机中,列出哪些计算机未安装本地站点的受管客户端, 根据扫描出来的计算机数量计算SEP软件的安装率。
2.2 网络审核
在不启用LAN SENSOR功能的情况下,也可以使用查找非受管计算机功能,对网络内部进行计算机安装的审核。
在客户端—客户端组-查找非受管计算机选项中,在网络搜索信息中,输入需要搜索的计算机IP地址段,
如果是域或者有统一的用户口令,需要输入具体的查询身份凭证,否则无权访问,最好是域管理员权限的或者具有本地管理员权限的用户凭证。
输入完毕,点击立即搜索,即可开始搜索查询,根据网络状况和查询的计算机数量,等待时间不等,等待结束,则会出现需要的搜索结果。 显示的客户端数量会在下面的计算机列表中显示,。
注:
1. 网络审核会将网络设备和服务器审核出来,可以根据已知的信息做相应的信息处理。 2. 根据网络情况和查询的客户端数量等原因,查询的时间比较长。
3. 客户端系统防火墙和设置,可能给查询精确度造成一定的偏差,但总体数据反映真实
数据。
4. 检测到“软件”部分有显示具体的版本等情况的说明,已经安装了SEP,但不接受本地
站点管理的客户端。
也可以根据审核出来的计算机,直接进行网络部署,网络部署需要开启客户端本地系统的共享(C$、admin$、IPC$),也需要知道客户端本地系统的系统用户名密码,则可以顺便进行客户端的网络部署。
第三章 HI检查结果数量
可以在报告中,审核出主机完整性检查失败的计算机终端数量,在日志中,可以审核主机完整性失败的详细计算机日志。
在服务器SEPM控制台---报告中,选择快速报告,报告类型中选择“遵从性”,“选择报告”中选择“遵从性失败的客户端摘要”,在高级选项中,可以对其他审核条件进行审核,
选择创建报告,则可以审核出相关的主机完整性失败的信息
所有主机完整性失败的计算机信息都会审核出来。
第四章 非授权软件管理报告
在报告中,可以审核出非授权软件管理报告的次数前几组,不能报告阻止的次数。 在报告中,选择报告—快速报告,在报告类型中选择“应用程序与设备控制”,选择报告选择“喊警报次数最多的应用程序控制日志前几组”
选择创建报告即可,
如果需要审核移动存储按时间段拷贝记录的报告,则可以通过日志进行详细信息的审核,在管理控制台上选择“监视器”---“日志”,在日志类型中选择“应用程序与设备控制” 日志内容选择“设备控制”,在高级设置中的时间范围中,选择“设置特定日期”,时间范围自动展开,输入自定义的时间段,可以精确到某年某月某日的小时分钟,时间类型和严重性方面也可以根据需求进行设置审核,
输入完毕,点击查看日志即可审核出相应的日志信息。
审核出的日志可以点击上面的“导出”按钮,将日志保存为csv格式的表格。 日志查看限制中,可以设置一页显示多少条日志,最多可以显示1000条日志,
因为这些日志,都存在数据库中,因此这些日志无法删除。
第五章 访问网站被阻止的次数
在报告中可以对互联网访问的通信进行报告审核和日志审核,但必须在防火墙规则中预先定义,将这些访问记录到通信日志中。
在报告中---快速报告---报告类型中,选择“网络威胁防护”,选择报告中,选择“某段时间内禁止的应用程序”,目标选择所有(或者特定的组对象),高级选项中选择“时间范围” 在本地端口中,填写入端口号“80”
选择“创建报告”即可进行审核,进行数量的统计,如果需要审核出具体的日志,则可以使用日志,选择相同的选项,进行日志的审核。
第六章 入侵检测防护事件统计
SEP可以对攻击源、攻击类型等进行检测,在报告中也可以对网络入侵防护类型进行报告和日志的审核。
在报告中,选择快速报告, 报告类型:网络威胁防护
选择报告:完整报告。
完整报告包含:首要攻击类型、首要遭攻击的目标、首要攻击源等信息
也可以对主动威胁防护的通信进行审核,在报告中选择“风险”在选择报告中,选择“Truscan主动型威胁扫描检测结果”,在高级设置中,选择相关的审核细则,进行日志和报告的审核。
第七章 其他自定义类型策略报告
SEPM报告和日志功能提供完美的报告,展现图文并茂的报告,日志可以对相应的日志进行详细的列表。
报告和日志两部分分类相同,报告展现的是摘要,日志展现的更为详细的日志和详细的内容。在报告和日志中如果要查询相同的报告,可以选择相同的报告类型和日志类型。
SEP客户端主要有几个模块,如:防病毒和防间谍软件、主动威胁防护、网络威胁防护、应用程序和设备控制、主机完整性检测结果、网络接入控制几个大的方面进行选择和日志审核。
在报告类型和日志类型中,主要有这几个方面的选择:
报告类型(日志类型) 选择报告(日志内容) 日志类别 审核 应用程序及设备控制 使用的策略 含警报次数最多的应用程序控制日志的前几组 首要已禁止目标 应用程序控制 禁止的具体程序名 日志所属 应用程序控制 作用 审核策略使用情况 阻止的应用程序内容审核 首要已禁止设备 遵从性 遵从性状态 网络遵从性状态 设备控制 准入控制是否成功或者失败 HI检测是否成功 禁止的设备名称 网络接入控制是否成功(已经验证/拒绝/失败/断开) HI检查成功/失败 HI检测失败的列表 HI检测失败的详细信息报告 按位置列出HI失败的客户端 遵从性失败的客户摘要 HI检测失败的列表 遵从性失败的详细信息 HI检测失败的信息 按位置列出HI失败的客户端 HI检测失败的客户端列表(按位置) 病毒定义日期 计算机状态 病毒定义分发 病毒定义日期 未登录计算机 SEP客户端版本 IPS病毒定义 客户端资产 遵从性状态分析 联机状态 最新策略的客户端 客户端数量按组 安全状态摘要 防护内容版本 客户端迁移 被攻击目标 攻击源 攻击类型 禁止的应用程序 攻击类型 安全事件严重性 禁止的程序 通信通知 完整报告 未登入服务器的计算机 未登录计算机 SEP产品版本 IPS防护特征分布 客户端清单 遵从性状态分布 客户端联机状态 最新策略的客户端 按组显示客户端计数 安全状态摘要 防护内容版本 客户端迁移 SEP客户端版本 IPS病毒定义 客户端资产 遵从性状态分析 联机状态 最新策略的客户端 客户端数量按组 安全状态摘要 防护内容版本 客户端迁移 被攻击目标 攻击源 攻击类型 禁止的应用程序 攻击类型 网络威胁防护 首要遭攻击的目标 首要攻击源 首要攻击类型 首要禁止的应用程序 某段时间内的攻击 按严重性显示安全事件 安全事件严重性 某段时间内禁止的程序 禁止的程序 某段时间段内通信通知 通信通知 完整报告 完整报告 扫描 系统 扫描统计信息 对出错的站点、客户端和设备系统进行监控审核 病毒定期扫描信息 System日志 扫描信息 System日志 对于自定义策略,在哪个模块中定义的策略,就在报告和日志中,按照上表中的作用和分类进行审核。
如:工商银行设置了很多主机完整性检查策略并且实施了网络准入,客户端主机完整性不能通过的,是不能够接入内网的。审核“测试组部门”哪些主机完整性策略在今天上午没有通过,则可以选择日志,日志类型中,选择“遵从性”日志内容选择“主机遵从性”,时间范围选择“设置特定日期”,并设置开始日期和结束日期,时间类型选择“主机完整性检查未通过,在组中,选择相应的目标客户端组,选择查看日志即可。
这样,该部门在特定时间段内,未通过主机完整性检查的信息就审核出来了。
因篇幅问题不能全部显示,请点此查看更多更全内容