Новая облачная консоль Symantec Endpoint Protection 14.1. Часть II

26 Апреля 09:38
Александр Батуревич
Итак, мы подключили «облачную» консоль (Symantec Endpoint Protection Advanced) к нашему серверу управления (SEPM), и теперь можем перейти непосредственно к ознакомлению с самой консолью.

ЧАСТЬ I

Первое, что бросается в глаза – в клиентских группах добавились новые политики, причем правка данных политик возможна только через консоль в «облаке»:

1_18

Второе, что сразу может смутить любого администратора – пропадает из локальной консоли возможность удаления, копирования или перемещения клиентов:

2_25

Второй пункт легко решается путем изменения переключателя Manage Devices в настройках облачной консоли (Settings => Symantec Endpoint Protection Manager Enrollment):

3_19

Потому изучим консоль и выясним, что же нового привнесла «облачная» консоль в Symantec Endpoint Protection и какие нюансы следует учитывать при работе с ней?

Итак, основные нюансы:

  • В «облачной» консоли идет оперирование не клиентами (пользователями), а устройствами.
  • Несмотря на то, что в «облачной» консоли политики верхнего уровня тоже наследуются по иерархии, однако в любой момент политики можно менять на любом из уровней (в отличии от локальной консоли, где для этого вначале надо отключить наследование политик).
  • При интеграции с «облачной» консолью в Symantec Endpoint Protection клиентам становятся недоступны некоторые параметры в политике защиты от вирусов, например: действия при обнаружении вирусов, чувствительность репутации Download Insight, изменения SONAR и другие. Это связано с тем, что в Symantec Endpoint Protection Advanced используются так называемые специальные встроенные политики интенсивной защиты.
  • В «облачной» консоли доступны политики «черных» и «белых» списков.
  • Если управление устройствами (см. выше) осуществляется через «облачную» консоль, то политики предупреждения последствий использования эксплойтов будут осуществляться непосредственно через «облако».

Что касается синхронизации самих настроек (и их применения), то изменения в одной из консолей синхронизируются и отображаются в другой консоли примерно в течении 10 минут. При этом следует отметить, что не следует производить любые модификации топологии архитектуры решения в этот промежуток времени (так как они попросту могут не сохранится).

Как я уже отмечал ранее, облачная консоль выполнена в стиле других продуктов Symantec последнего времени, что делает погружение в продукт простым и понятным для администраторов, которые уже имели дело с такими решениями. Доступны быстрый анализ информации с подробным описанием рисков и выявленных угроз (раздел Dashboards), подключенные устройства (раздел Devices), раздел с выявленными угрозами (Discovered Items), политики (Policies),  журналы и события (Alerts and Events) и настройки самого решения и интеграции его с другими продуктами (да-да, традиционные уже и гибкие REST APIs):

4_15

5_10

6_07

7_10

8_06

Рассмотрим консоль чуть подробнее.

Заглавная страница встречает нас ссылками на обучающие материалы, базу знаний Symantec с часто задаваемыми вопросами, а так же последними событиями:

9_04

Раздел Dashboards, о котором я упоминал выше, не только отображает важную информацию касательно фактов атак, выявленных угроз и других важных событий, но и является полностью интерактивным, то есть администратор может «углубиться» по нужному событию в подробные журналы (по сути перейдя сразу в раздел Discovered Items с заданными фильтрами), что очень удобно с точки зрения оценки информации «в целом», а не в привязке в конкретному клиенту/устройству:


9_05

 


11_04

 Более того, если в обычной локальной консоли SEPM подобная информация требует ручной обработки (если мы хотим ее каким-либо образом применить, например, -создать исключение), то в «облачной» консоли мы просто кликаем по нужной строчке и «проваливаемся» глубже, получая не только еще более подробные данные, но и имея возможность создавать сразу политики или проверку на VirusTotal:

12_03

Если раздел Discovered Items описывает угрозы и позволяет оперировать какими-либо действиями с ними, то раздел Alerts and Events выводит все события (например, общего информационного характера), при этом все события «кликабельны»:


13_02

 

Ну и наконец, рассмотрим то, ради чего и стоит использовать дополнение в виде «облачной» консоли – политики. Для этого переходим в раздел Policies.

«Из коробки» наша консоль имеет преднастроенные общие политики (от 5 шт.) на вкладке Policies и возможность создавать групповые политики на вкладке Policy Groups (по умолчанию групповые политики отсутствуют). Добавить новую политику просто – надо просто нажать на плюсик в соответствующем разделе:

14

Создадим политику - для этого введем ее имя и тип (доступно пять шаблонов):

15 16

Политики «черных» и «белых» списков позволяют создать правило блокировки или исключения на основе хеш-сум:

17

18

Политика Symantec Intensive Protection Policy определяет чувствительность проверок к новым объектам, которые не описаны в сигнатурах. По сути это смесь всех привычных политик репутации, SONAR и прочих.

19

Причем, что интересно – имеется возможность наглядно определять, является ли объект угрозой или нет исходя из общего количества проверок в мировой паутине (на основе суммарного количества пользователей (и дней) к которым уже попадал объект на проверку), но, по умолчанию, данные настройки отключены:

20

Политика Exploit Protection замещает встроенную политику предупреждения последствий использования эксплойтов. Описывать весь возможный функционал данной политики не имеет смысла, стоит лишь отметить, что Symantec Endpoint Protection является лидером в защите от таких атак, как уязвимости Java, перехват обработчика исключений ОС Windows, переполнение кучи, использование уязвимостей процессоров и тому подобное. В отличие от других решений, защищающих от подобного рода атак, Symantec Endpoint Protection через политику Exploit Protection позволяет выключать не только разного рода механизмы защиты, но и указывать приложения, к которым применять или не применять данные механизмы, что иногда бывает необходимо в среде разработчиков программного обеспечения:

21

22_02

Ну и наконец, имеется еще политика режима низкой пропускной способности (Low Bandwidth), которая является в своем роде уникальной (если для других политик есть возможность создать в том или ином виде аналоги в локальной консоли управления  SEPM, то данная политика доступна только в «облачной» консоли).

23

При включении политики Low Bandwidth клиенты будут обращаться за обновлением через «облако» Symantec такого контента как описания вирусов и программ-шпионов, SONAR и содержимого IPS раз в неделю. При использовании данной политики должно быть включено обновление через LiveUpdate (если используется обновление на конечных рабочих точках только через сервер управления, то данная политика не будет работать).

Если требуется объединить политики в группы (например, применив разные группы политики к разным группам устройств, можно создать группу политик) в этом же разделе (Policies):

24

Применение тех или иных политик также возможно напрямую в разделе Devices для любой группы клиентов (через меню Actions):

25

Ну и наконец, что касается настроек системы – в «облачной» консоли доступен такой функционал:

  • Полная интеграция через REST API с другими решениями Symantec (например, Symantec Web Gateway или Symantec Advanced Threat Protection ), причем сразу доступна ссылка на очень подробную документацию.
  • Возможность создание администраторов с различными ролями управления.
  • Управление «черными» и «белыми» списками.
  • Возможность интеграции с сервером управления.
26

Ну и напоследок, хочу еще раз подчеркнуть – «облачная» консоль Symantec Endpoint Protection (она же Symantec Endpoint Protection Advanced или Symantec Endpoint Protection 14.1 Cloud) это не замена стандартной локальной консоли SEPM, а очень функциональное и органичное дополнение этой консоли.

Александр Батуревич, технический эксперт компании Oberig IT 


Материалы по теме:

Комментарии: