вторник, 11 июня 2013 г.

System Center Endpoint Protection - оповещения и подписки.

Итак, вот мы установили System Center Endpoint Protection, можем составлять отчетики, смотреть Dashboard, но нашим филиальским админам было бы очень неплохо иметь возможность получать оповещения о найденных угрозах на почту. Нам нужно, чтобы при обнаружении у клиента вирусной угрозы срабатывал триггер, а после этого создавалось бы письмо. 
1. Клиент ловит вирус, SCEP его ловит, лечит/помещает в карантин и отправляет серверу информацию.
2. Сервер принимает информацию, вздергивает триггер.
3. На триггер оформлена подписка, при срабатывании триггера отправляем письмо.

Для того, что бы отправить письмо - нужно еще настроить от кого эти самые письма отправлять. В моем случае на Microsoft Exchange было разрешено машине с System Center 2012 Configuration Manager отправлять письма без аутентификации, чтобы не заводить лишнюю учетку, а отправлять хоть от president@domain.ru, но это тонкости. Вы же можете сделать нормальную учетку. Настраивается все это в Administration => Overview=> Site Configuration => Sites => Правой кнопкой на наш сайт => Configure site components => Email notification.


Галочкой Enable email notification включаем возможность создавать алерты и указываем адрес и порт smtp сервера. В нашем случае - exchange.domain.local:25
Ниже выбираем способ аутентификации на SMTP сервере. Так как я говорил, что я разрешил машине с System Center 2012 Configuration Manager отправлять письма без аутентификации, то я указываю анонимный доступ. Можно использовать либо аккаунт компьютера, либо указать какой-то определенный аккаунт и указать адрес, от имени которого будут приходить сообщения.


Проверим работоспособность указанных параметров, отправим сообщение адресату.



Собственно, как мы видим, тестовое сообщение пришло. Отлично, пора настраивать алерты и подписки на них.

У нас созданы коллекции для админов в филиалах, чтобы они могли управлять только компами из своих коллекций, чтобы алерты о вирусной активности они получали только от своих подчиненный машин. Итак, идем в свойства нужной коллекции, закладка Alerts


Жмем кнопочку Add и выбираем 


В нашем случае выбрано только Malware is detected, т.е. срабатывание будет происходить при обнаружении вредоносной активности. Так же можно выбрать по-порядку: точно такая же вредоносная активность обнаружена на нескольких компьютерах, этот же тип вредоносной активности повторяется в определенный интервал на машине, несколько типов вредоносной активности обнаружены на том же компьютере в определенный интервал.
Скриншотом выше - задаем имя алерту, и важность. Тут можете поиграться с параметрами. У меня стоит мгновенное реагирование на все обнаружения.

Отлично, Алерт (триггер) - создали. Теперь нам нужно, чтобы при его срабатывании нам приходило письмо на почту. Идем в Monitoring => Alerts. Находим наш свежесозданный Алерт, жмем по нему правой кнопкой и выбираем Create Subscription


Вводим имя нашей подписки, адрес уведомления (можно указать несколько, разделенные ; ). У меня же созданы группы рассылки, я указываю их адрес и группа админов филиала получает сообщение. 

Для проверки используем EICAR-тестовый вирус. Подробнее о нем тут
В итоге имеем сработавший триггер, уведомление на почту:



Как-то так =)

1 комментарий:

  1. Доброго времени суток!
    Спасибо за статью все предельно ясно, но есть одно "но", может конечно не в тему, в тексте есть "У нас созданы коллекции для админов в филиалах, чтобы они могли управлять только компами из своих коллекций", а как настроить это дело?
    Прошу прощение за несвязный вопрос!

    ОтветитьУдалить