4. Administration
4.5 Gestion des rapports
Il existe différents moyens d’utiliser les données rapportées sur l’état du client Forefront EndPoint Protection. System Center Configuration Manager et Forefront EndPoint Protection proposent :
-
Des collections révélant l’état des clients
-
Des rapports donnant des informations plus détaillés
Nous avons déjà détaillé les collections précédemment dans cet article. Néanmoins pour rappel, on en retrouve sur :
-
L’état des définitions (date)
-
L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
-
Une collection dédiée aux opérations ; Cette collection peut être utilisée pour toutes les opérations sur le client FEP (Lancement d’un scan …)
-
L’état de la distribution des stratégies (distribuée, en attente, en échec)
-
L’état de la protection (Activé, non reportée, service désactivé)
-
L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)
Plus généralement, un tableau de bord est disponible sur le nœud Forefront EndPoint Protection de la console d’administration. Celui-ci donne une vision globale du nombre de machines dans les différents états cités dans les collections. Un bilan des différentes lignes de base est disponible. Celui-ci présente le niveau de conformité ainsi que le nombre de machines conformes ou non.
Forefront EndPoint Protection offre trois types de rapport. Ceux-ci sont disponibles dans l’arborescence : Site Database => Computer Management => Forefront EndPoint Protection => Reports.
Vous pouvez lancer les rapports en cliquant droit et en sélectionnant « Run ».
Le premier rapport « Computer Details » donne la liste des machines accompagnée de l’état de leur protection, de l’état de la sécurité, de la version des définitions. Si un logiciel malveillant a été détecté, on dispose des dates de première et dernière apparition.
Le rapport « Antimalware Protection Summary » donne une vision de l’état général de la protection anti logiciels malveillants.
Les diagrammes suivants sont disponibles :
-
Résumé de la protection anti logiciels malveillants (clients déployés, protection désactivée, protection en temps réelle activée ou désactivée…)
-
Historique de la protection anti-malware sur les 7 dernier jours.
-
Résumé des mises à jour de définitions (ancienneté)
-
Historique des mises à jour de définitions sur la dernière semaine
-
Résumé des analyses antimalware (ancienneté des analyses sur les postes du parc informatique)
-
Historique des analyses antimalware sur les 7 dernier jours
-
Résumé de l’état de sécurité (Infecté, Action requise, Activité de logiciels malveillants récente)
Enfin, le rapport “Antimalware Activity” donne un résumé de l’activité des logiciels malveillants détectés sur le parc informatique.
On retrouve différentes informations comme :
-
Un historique des alertes de sécurité (sur une semaine)
-
Résumé de l’état de sécurité (Infecté, Action requise, Activité de logiciels malveillants récente)
-
Tableau d’historique des incidents (Menaces supprimées, mises en quarantaine, nettoyées, autorisées, bloquées…)
-
Diagramme en barre d’historique des incidents (Menaces supprimées, mises en quarantaine, nettoyées, autorisées, bloquées…)
-
Top des logiciels malveillants par sévérité détectés dans la semaine
Sur chacun de ces rapports, vous pouvez bénéficier de la puissance de SQL Server Reporting Services en modifiant différents paramètres (collection, date de début/fin, étendue du rapport…) qui influeront sur le résultat fourni par le rapport.
Enfin, vous pouvez trouver un rapport détaillé sur chaque machine. Ouvrez la console d’administration et déroulez l’arborescence afin d’atteindre les collections. Cliquez droit sur le poste de travail cible et choisissez « Run FEP Computer Details Report » :
Le rapport donne des détails sur l’ordinateur, sur l’état de la protection, sur l’activité des logiciels malveillants :
4.6 Gestion des configurations désirées
Forefront EndPoint Protection 2010 apporte un certain nombre de lignes de base et d’objets de configuration disponibles pour assurer la conformité des postes de travail au travers de la configuration du client FEP 2010.
Les lignes de base commençant par le préfix « FEP Monitoring » sont utilisées par Forefront pour superviser le client Forefront et remonter l’état du client et de sa configuration (état des mises à jour, des services…). Lors de l’installation de Forefront EndPoint Protection, l’activation de l’agent de gestion des configurations désirées est un prérequis pour cette raison.
On retrouve 4 lignes de base :
-
FEP Monitoring – Antimalware Status : Cette ligne de base remonte l’état du client Forefront (les dates de dernière analyse, les versions des moteurs, …)
-
FEP Monitoring – Definitions and Health Status : Cette ligne de base remonte le niveau de mise à jour du client comme notamment l’ancienneté des définitions ou encore l’état de la protection.
-
FEP Monitoring – Malware Activity remonte les activités des logiciels malveillants. Ceci inclut si une analyse complète est requise, si un logiciel malveillant est actif ou a été nettoyé dans les dernières 24 heures, ou si un redémarrage est requis.
-
FEP Monitoring – Malware Detection renvoie les informations de détection des logiciels malveillants.
Ces quatre lignes de base sont appliquées à l’ensemble des machines disposant du client Forefront EndPoint Protection. Elles sont essentielles dans le fonctionnement du produit.
En parallèle, Forefront EndPoint Protection 2010 fournit quatre autres lignes de base pouvant être utilisées pour assurer la conformité du client vis-à-vis des standards de configuration (équivalent aux modèles de stratégie disponibles) :
-
FEP – High-Security Desktop : vérifie qu’un niveau de sécurité maximum est appliqué avec des analyses rapide tous les jours et une analyse complète par semaine. L’utilisation processeur ne doit pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions
-
FEP – Laptop : s’assure que les ordinateurs portables sont correctement configurés avec les paramètres standard. Néanmoins les contraintes de validation diffèrent du fait que les portables peuvent être déconnectés pour une durée plus ou moins longue du réseau.
-
FEP – Performance Optimized Desktop s’assure qu’une protection sécurité minimale est appliquée tout en offrant un niveau de performance maximum. L’usage processeur doit être par exemple limité à 30% et une seule analyse rapide s’effectue toutes les semaines.
-
FEP – Standard Desktop : contrôle les paramétrages afin que ceux-ci soient similaires à une configuration pour un poste de travail standard. Une analyse rapide doit avoir lieu par semaine et l’utilisation du processeur doit être limitée à 50%.
Note : Ces lignes de base ne sont pas assignées par défaut.
Ces lignes de base font toutes références à 23 objets de configuration :
Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx