Итак, вот мы установили System Center Endpoint Protection, можем составлять отчетики, смотреть Dashboard, но нашим филиальским админам было бы очень неплохо иметь возможность получать оповещения о найденных угрозах на почту. Нам нужно, чтобы при обнаружении у клиента вирусной угрозы срабатывал триггер, а после этого создавалось бы письмо.
1. Клиент ловит вирус, SCEP его ловит, лечит/помещает в карантин и отправляет серверу информацию.
2. Сервер принимает информацию, вздергивает триггер.
3. На триггер оформлена подписка, при срабатывании триггера отправляем письмо.
Для того, что бы отправить письмо - нужно еще настроить от кого эти самые письма отправлять. В моем случае на Microsoft Exchange было разрешено машине с System Center 2012 Configuration Manager отправлять письма без аутентификации, чтобы не заводить лишнюю учетку, а отправлять хоть от president@domain.ru, но это тонкости. Вы же можете сделать нормальную учетку. Настраивается все это в Administration => Overview=> Site Configuration => Sites => Правой кнопкой на наш сайт => Configure site components => Email notification.
Галочкой Enable email notification включаем возможность создавать алерты и указываем адрес и порт smtp сервера. В нашем случае - exchange.domain.local:25
Ниже выбираем способ аутентификации на SMTP сервере. Так как я говорил, что я разрешил машине с System Center 2012 Configuration Manager отправлять письма без аутентификации, то я указываю анонимный доступ. Можно использовать либо аккаунт компьютера, либо указать какой-то определенный аккаунт и указать адрес, от имени которого будут приходить сообщения.
Проверим работоспособность указанных параметров, отправим сообщение адресату.
Собственно, как мы видим, тестовое сообщение пришло. Отлично, пора настраивать алерты и подписки на них.
У нас созданы коллекции для админов в филиалах, чтобы они могли управлять только компами из своих коллекций, чтобы алерты о вирусной активности они получали только от своих подчиненный машин. Итак, идем в свойства нужной коллекции, закладка Alerts
Жмем кнопочку Add и выбираем
В нашем случае выбрано только Malware is detected, т.е. срабатывание будет происходить при обнаружении вредоносной активности. Так же можно выбрать по-порядку: точно такая же вредоносная активность обнаружена на нескольких компьютерах, этот же тип вредоносной активности повторяется в определенный интервал на машине, несколько типов вредоносной активности обнаружены на том же компьютере в определенный интервал.
Скриншотом выше - задаем имя алерту, и важность. Тут можете поиграться с параметрами. У меня стоит мгновенное реагирование на все обнаружения.
Отлично, Алерт (триггер) - создали. Теперь нам нужно, чтобы при его срабатывании нам приходило письмо на почту. Идем в Monitoring => Alerts. Находим наш свежесозданный Алерт, жмем по нему правой кнопкой и выбираем Create Subscription
Вводим имя нашей подписки, адрес уведомления (можно указать несколько, разделенные ; ). У меня же созданы группы рассылки, я указываю их адрес и группа админов филиала получает сообщение.
Для проверки используем EICAR-тестовый вирус. Подробнее о нем тут
В итоге имеем сработавший триггер, уведомление на почту:
Как-то так =)
Доброго времени суток!
ОтветитьУдалитьСпасибо за статью все предельно ясно, но есть одно "но", может конечно не в тему, в тексте есть "У нас созданы коллекции для админов в филиалах, чтобы они могли управлять только компами из своих коллекций", а как настроить это дело?
Прошу прощение за несвязный вопрос!