Skräddarsy säkerhetsrapporter från Endpoint Protection

Forefront Endpoint Protection och System Center Endpoint Protection och dess centrala övervakning i System Center Configuration Manager ger möjligheten att genera en hel del rapporter med fördefinierade inställningar för vilken data den skall hämta. En viss del av den här informationen kan även exporteras till Excel och dylikt vilket är tillräckligt i det flesta fall.
Dock kan det finnas verksamheter som har specifika krav både på vilken data de vill ha rapporter på och i vilket format. Tack vare att all data från Endpoint Protection sparas i en SQL kan vi använda SQL reporting service och SQL Report Builder för att skräddarsy exakt det data vi vill ha ut.
Med hjälp av rätt SQL querys kan vi även hitta samband för att identifiera mönster hur maskinerna blir smittade, exempelvis mellan identifierade virus och version av operativsystem.

Här kommer en guide och ett exempel på hur man kan använda SQL 2008 R2 Report Builder. I mitt fall använder jag FEP 2010 och Configuration Manager 2007, då den här version har minst antal färdiga rapporter by default.

Börja med att surfa till den SQL reporting server som du använder för Endpoint Protection:

Gå mot sökväg http://<sqlserver>/reports

image

Klicka på ”Report Builder”

image

Klicka på New Report -> Table or Matrix Wizard

Välj next (Create a dataset)

Välj next (Data source skall vara markerad med automatik)

Design a query

Välj vilken data du vill använda.

image

Vill du ha mer än en tabell behöver du sätta upp en relation mellan dessa för att koppla samman tabellerna.

Klicka på Add Relationship (1) och välj de två tabeller som du vill knyta ihop på ”Left Table” (2) respektive ”Right Table” (3) och dubbelklicka på ”Join Fields” (4).

Klicka på ikonen ”Add Field” (5) och välj de två fälten du vill knyta ihop.

image

I mitt fall ville jag ha ut all skadlig kod som på träffats, detaljer om eventuella filer/sökvägar finns samt vilka datorer som har blivit smittade och vilka användare som har varit inloggade vid tidpunkten.

Jag har jag kopplat ihop tre tabeller

  • dtFEP_AM_ComputerInfectionStateContributor
    För att få reda på detekterad skadlig kod, sökväg, process, detektionstid

  • dtFEP_AM_TreatMetadata
    För att få ut namnet på malwaret

  • dtFEP_Common_Computer
    För att få information om datorn där malwaret påträffats med information om Domän, Operativsystem och klient version

  • dtFEP_Common_User
    För att få ut information om användaren som var inloggad vid tidpunkten som malwaret påträffades

image

Nästa steg handlar om att välja ut vilka fält du vill bygga upp dina tabeller med och hur de vill sortera dessa. I mitt fall vill jag sortera detta på skadlig kod och namnet på denna.

image

Nästa steg väljer vi vilket utseende tabellen skall ha och klickar sedan på Finish

image

Vår rapport öppnas då i Microsoft SQL Server Report Builder
Här kan vi ange valfri rubrik och finslipa på utseendet av rapporten

image

När du är nöjd generar du rapporten

image

Den här rapporten kan du generera hur många gånger som helst för att hämta in ny data och vill du konvertera till exempelvis Excel eller annat format så kan du enkelt få ut motsvarande information i det formatet du önskar.

Annonser
Det här inlägget postades i Forefront, System Center Endpoint Protecion. Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s