Мониторинг защиты конечных точек

Symantec Endpoint Protection
собирает информацию о событиях безопасности в сети. Эти события можно просмотреть с помощью журналов и отчетов. Кроме того, можно получать уведомления о новых событиях.
С помощью этих отчетов и журналов можно находить ответы на вопросы, подобные следующим:
  • Количество зараженных компьютеров
  • Количество компьютеров, нуждающихся в сканировании
  • Какие угрозы были обнаружены в сети?
Задачи для мониторинга защиты конечных точек
Задача
Описание
Просмотр состояния безопасности сети
В списке ниже описаны некоторые задачи, с помощью которых можно отслеживать состояние безопасности клиентских компьютеров.
Определить, каким клиентским компьютерам требуется защита
Чтобы посмотреть или определить, каким компьютерам необходима дополнительная защита, можно выполнить указанные ниже задачи.
Защита клиентских компьютеров
Для защиты клиентских компьютеров можно запускать команды консоли.
Например, можно исключить угрозы безопасности на клиентских компьютерах.
Настроить уведомления для предупреждения о наступлении событий безопасности
Можно настроить отправку уведомлений при возникновении определенных событий, связанных с безопасностью. Например, уведомление будет отправлено при попытке вторжения на клиентский компьютер.
Создание пользовательских быстрых отчетов и плановых отчетов для непрерывного отслеживания
Можно создавать и запускать пользовательские быстрые отчеты. Кроме того, можно создавать расписания для пользовательских отчетов, чтобы они регулярно выполнялись и предоставляли необходимую информацию.
Минимизирование места, занимаемого клиентскими журналами
По соображениям безопасности может понадобиться хранить записи журналов в течение длительного времени. Однако журналы большого числа клиентов могут содержать значительный объем данных.
Если на сервере управления остается мало свободного места, может понадобиться уменьшить размеры журналов и срок их хранения в базе данных.
Можно уменьшить объем данных, записываемых в журнал, выполнив следующие действия.
Экспорт данных журнала в центральное расположение
Экспорт данных полезен в том случае, если все журналы в сети требуется объединить в одном расположении. Экспорт данных журнала также позволяет применять другие программы для обработки данных, например, электронные таблицы. Кроме того, журнал можно экспортировать перед удалением записей журнала.
Данные одних журналов можно экспортировать в файл, разделенный запятыми. Для других журналов можно экспортировать данные в текстовый файл (файл дампа), разделенный табуляцией, или на сервер Syslog.
Решение проблем с отчетами и журналами
Вы можете решить некоторые проблемы, связанные с отчетами.
Symantec Endpoint Protection
запрашивает события для отчетов из журналов событий серверов управления. Журналы содержат отметки о времени возникновения события в соответствии с часовым поясом клиентского компьютера. Сервер управления преобразует отметки о времени возникновения событий в время по Гринвичу (GMT) для последующего добавления этой информации в базу данных отчетов. При просмотре отчета время возникновения событий указывается в часовом поясе того компьютера, на котором показан отчет.