Produktveiledning Revisjon B. McAfee epolicy Orchestrator programvare

Transkript

1 Produktveiledning Revisjon B McAfee epolicy Orchestrator programvare

2 COPYRIGHT 2017 Intel Corporation ERKLÆRING OM VAREMERKER Intel og Intel-logoen er registrerte varemerker for Intel Corporation i USA og/eller andre land. McAfee og McAfee-logoen, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan er registrerte varemerker eller varemerker for McAfee, Inc. eller deres datterselskaper i USA og andre land. Andre navn og merker kan hevdes som andres eiendom. LISENSINFORMASJON Lisensavtale MERKNAD TIL ALLE BRUKERE: LES NØYE DEN AKTUELLE RETTSLIG BINDENDE AVTALEN SOM HØRER TIL LISENSEN DU KJØPTE, OG SOM ANGIR DE GENERELLE VILKÅRENE OG BETINGELSENE FOR BRUK AV DEN LISENSIERTE PROGRAMVAREN. HVIS DU IKKE VET HVILKEN LISENSTYPE DU HAR KJØPT, KAN DU SE I KJØPSBEVISET OG ANDRE RELATERTE LISENSTILDELINGER ELLER ORDREBEKREFTELSESDOKUMENTER SOM FØLGER MED PROGRAMVAREPAKKEN, ELLER SOM DU MOTTOK SEPARAT SOM EN DEL AV KJØPET (SOM EN BROSJYRE, EN FIL PÅ PRODUKT-CDEN ELLER EN FIL PÅ WEBOMRÅDET DU LASTET NED PROGRAMVAREPAKKEN FRA). HVIS DU IKKE GODTAR VILKÅRENE SOM ER ANGITT DER, INSTALLERER DU IKKE PROGRAMVAREN. DERSOM DET OVENNEVNTE ER TILFELLE, KAN DU RETURNERE PRODUKTET TIL MCAFEE ELLER TIL KJØPSSTEDET OG FÅ KJØPESUMMEN REFUNDERT. 2 McAfee epolicy Orchestrator programvare Produktveiledning

3 Innhold Innledning 13 Om denne veiledningen Målgruppe Konvensjoner Finn produktdokumentasjon Produktoversikt 15 Hva er McAfee epo? Nøkkelfunksjoner Slik fungerer McAfee epo Overvåking av nettverkets helse 21 Logge på og logge av Navigere i grensesnittet Bruke McAfee epo-navigeringsmenyen Personlige innstillingskategorier Serverinnstillinger Arbeide med lister og tabeller Filtrere en liste Opprette et tilpasset filter Søke etter bestemte listeelementer Klikke på avmerkingsbokser i tabellrad Velge elementer i trelister Første konfigurasjon 3 Planlegge McAfee epo-konfigurasjonen 31 Hensyn når det gjelder skalerbarhet Eksempel på organisasjonsstørrelse og nettverkskomponenter Hva påvirker McAfee epo-ytelse Internett-protokoller i et administrert miljø Konfigurering av McAfee epo-serveren 37 Oversikt over serverkonfigurering Bruke automatisk status for produktinstallering Bruke veiledet konfigurasjon Bruke en proxy-server Angi lisensnøkkelen Legge til et SSL-sertifikat i en klarert samling Erstatte serversertifikat Installere sikkerhetssertifikatet for Internet Explorer Installere sikkerhetssertifikatet for Firefox Legge til systemer for administrasjon Installere McAfee Agent og lisensiert programvare Hva installering av McAfee Agent gjør McAfee epolicy Orchestrator programvare Produktveiledning 3

4 Innhold Hvordan McAfee Agent fungerer Distribuere agenter Hva Systemtre gjør Systemtrestruktur Sortere systemene dynamisk Bekrefte systemadministrasjon fra systemtreet Standard konfigurasjon og felles oppgaver Arbeide med produktdistribuering Arbeide med systemtreet Arbeide med policyer Arbeide med klientoppgaver Arbeide med serveroppgaver Arbeide med dashbord og overvåkere Arbeide med spørringer and rapporter Bekrefte systembeskyttelse og se trusler Virustestprosess Hva nå Avansert konfigurasjon 5 Dashbord og overvåkere 81 Bruke dashbord og overvåkere Administrere dashbord Eksportere og importere dashbord Angi førstegangsdashbord Administrere dashbordovervåkere Flytte og endre størrelsen på dashbordovervåkere Angi standard oppdateringsintervaller for overvåker Oppretting av spørringer og rapporter 89 Tillatelser til spørringer og rapporter Innledning til spørringer Spørringsbygger Arbeide med spørringer Administrere egendefinerte spørringer Kjøre en spørring etter en tidsplan Opprette en spørringsgruppe Om rapporter Strukturen til en rapport Opprette en rapport Redigere en eksisterende rapport Legge til elementer i en rapport Konfigurere elementer for bilderapport Konfigurere tekstrapportelementer Konfigurere rapportelementer for spørringstabell Konfigurere rapportelementer i spørringsdiagram Tilpasse en rapport Kjøre en rapport i henhold til en tidsplan Vise rapportresultat Konfigurere malen og plasseringen for eksporterte rapporter Gruppere rapporter sammen Gjenoppretting etter katastrofe 105 Hva er gjenoppretting etter katastrofe? Komponenter for gjenoppretting etter katastrofe Hvordan katastrofegjenvinning fungerer McAfee epolicy Orchestrator programvare Produktveiledning

5 Innhold Oversikt over øyeblikksbilde for gjenoppretting etter katastrofe og sikkerhetskopiering Oversikt over installasjon av McAfee epo-gjenopprettingsserver Opprette øyeblikksbilde Opprette et øyeblikksbilde fra McAfee epo Opprett øyeblikksbilde fra Web-API Konfigurere serverinnstillinger for gjenoppretting etter katastrofe Bruke systemtreet og tagger 115 Organisering av systemer Hensyn ved planlegging av systemtreet Active Directory-synkronisering Typer Active Directory-synkronisering synkronisering av NT-domene Kriteriebasert sortering Vise systeminformasjonsdetaljer Opprette og fylle Systemtre-grupper Legge til systemer i en eksisterende gruppe manuelt Opprette grupper manuelt Eksportere systemer fra systemtreet Opprette en tekstfil med grupper og systemer Importere systemer og grupper fra en tekstfil Sortere systemer i kriteriebaserte grupper Importere Active Directory-beholdere Importere NT-domener til en eksisterende gruppe Planlegge systemtresynkronisering Oppdatere en synkronisert gruppe med et NT-domene manuelt Flytte systemer innad i systemtreet Slik fungerer Overfør systemer Slik fungerer funksjonen for automatiske responsersammen med systemtreet Tagger Opprett tagger Administrere tagger Opprette, slette og endre undergrupper Utelukke systemer fra automatisk tagging Opprett en spørring for vise systemer basert på tagger Bruke tagger på valgte systemer Fjern tagger fra systemer Bruke kriteriebaserte tagger på alle samsvarende systemer Bruke kriteriebaserte tagger på en tidsplan Brukerkontoer og tillatelsessett 145 Brukere Administrere brukerkontoer Administrering av McAfee epo-brukere med Active Directory Windows-godkjenning og autorisasjonsstrategier Aktiver Windows-godkjenning i McAfee epo-serveren Konfigurere Windows-godkjenning Konfigurere Windows-autorisasjon Endre egendefinert påloggingsmelding Begrens en brukerøkt til én IP-adresse Revisjonsloggen Godkjenning med sertifikater Konfigurere McAfee epo for sertifikatbasert godkjenning Deaktivere sertifikatbasert godkjenning Konfigurer brukerkontoer for sertifikatbasert godkjenning Oppdatere listen over tilbakekalte sertifikater McAfee epolicy Orchestrator programvare Produktveiledning 5

6 Innhold Feilsøke sertifikatbasert godkjenning Tillatelsessett Hvordan brukere, grupper og tillatelsessett passer sammen Administrere tillatelsessett Programvarebehandling 161 Hva inneholder programvarebehandlingen? Sjekke inn, oppdatere og fjerne programvare ved bruk av programvarebehandlingen Sjekke produktkompatibilitet Rekonfigurere nedlasting av Produktkompatibilitetsliste Manuell pakke- og oppdateringsadministrasjon 167 Knytte sammen produkter under administrasjon Sjekke inn pakker manuelt Slette DAT-pakker eller motorpakker fra master-programdatabasen Flytte DAT-pakker og motorpakker manuelt mellom grener Sjekke inn motor-, DAT- og ExtraDAT-oppdateringspakker manuelt Anbefalt fremgangsmåte: Automatisering av DAT-filtesting Hent og kopier DAT-oppdateringer fra McAfee Anbefalt fremgangsmåte: Opprette en testgruppe av systemer Anbefalt fremgangsmåte: Konfigurer en agentpolicy for testgruppen Anbefalt fremgangsmåte: Konfigurer en skanning på forespørsel for testgruppen Anbefalt fremgangsmåte: Planlegge en skanning på forespørsel for testgruppen Anbefalt fremgangsmåte: Konfigurer en automatisk respons for påvisning av skadelig programvare Distribuering av produkter 179 Produktdistribueringstrinn Velge en produktdistribusjonssmetode Fordeler med produktdistribusjonsprosjekter Siden Produktdistribuering Vise revisjonslogg for Produktdistribuering Vise produktdistribuering Distribuere produkter ved bruk av et produktdistribusjonsprosjekt Overvåke og redigere distribueringsprosjekter Distribuere nytt produkteksempel Global oppdatering Distribuere oppdateringspakker automatisk med global oppdatering Tildeling av policyer 193 Om policyer Når policyer brukes Slik anvendes policyer Policyeierskap Policytildelingsregler Prioritet for policytildelingsregel Brukerbasert policytildeling Systembaserte policytildelinger Opprette og administrere policyer Opprette en policy på siden Policykatalog Håndheve produktpolicyer Håndheve policyer for et produkt i en systemtregruppe Håndheve policyer for et produkt i et system Administrere policyhistorie Administrere policyhistorie Redigere tillatelsessett for policyhistorie McAfee epolicy Orchestrator programvare Produktveiledning

7 Innhold Sammenlign policyer Endre eiere av en policy Flytte og dele policyer mellom McAfee epo-servere Registrere servere for policydeling Angi policyer for deling Planlegge serveroppgaver for å dele policyer Opprette og administrere policytildelingsregler Opprette policytildelingsregler Administrere policytildelingsregler Policyadministrasjonsbrukere Anbefalt fremgangsmåte: Angi policyadministrasjon globalt Opprette tillatelsessett for policyadministrasjon Opprette policyadministrasjonsbrukere Sende policyendringer til godkjenning Godta policyendringer Tildele policyer i administrerte systemer Tildele en policy til en systemtregruppe Tildele en policy til et administrert system Tildele en policy til systemer i en systemtregruppe Kopier and lim inn policytildelinger Kopiere policytildelinger fra en gruppe Kopiere policytildelinger fra et system Lime inn policytildelinger i en gruppe Lime inn policytildelinger til et spesifikt system Vise policyinformasjon Vise grupper og systemer hvor en policy er tildelt Vis policyinnstillinger Vise policyeierskap Vise tildelinger hvor policyhåndhevelse er deaktivert Vise policyer som er tildelt en gruppe Vise policyer som er tildelt et spesifikt system Vise policyarv for en gruppe Vise og tilbakestille brutt arv Opprette spørringer for policyadministrasjon Server- og klientoppgaver 217 Serveroppgaver Vise serveroppgaver Serveroppgavestatus Opprette en serveroppgave Fjerne foreldede serveroppgaver fra serveroppgaveloggen: Anbefalt fremgangsmåte Fjerne foreldede loggelementer automatisk Godtatt Cron-syntaks ved planlegging av serveroppgave Klientoppgaver Slik fungerer klientoppgavekatalogen Distribueringsoppgaver Bruk Produktdistribuering-oppgaven for å distribuere produkter på administrerte systemer Oppdateringsoppgaver Administrere klientoppgaver Konfigurering av automatiske responser 233 Bruke automatiske responser Hendelsesterskler Standardregler for automatisk respons Responsplanlegging McAfee epolicy Orchestrator programvare Produktveiledning 7

8 Innhold Bestemme hvordan hendelser videresendes Bestemme hvilke hendelser som videresendes umiddelbart Bestemme hvilke hendelser som videresendes til server Konfigurere automatiske responser Tildele tillatelser til varsler Tildele tillatelser til automatiske responser Administrere SNMP-servere Velge et varselintervall Opprette og redigere automatiske responsregler Definere en regel Angi filtre for regelen Angi Aggregasjon og grupperingskriterier for regelen Konfigurere handlingene for regler for automatisk respons Agent-til-server-kommunikasjon 245 Hvordan agent-til-server-kommunikasjon fungerer Anbefalt fremgangsmåte: Beregning og justering av ASCI Beregne optimalt ASCI: Anbefalt fremgangsmåte Konfigurere ASCI-innstillingen: Anbefalt fremgangsmåte Administrere agent-til-server-kommunikasjon Tillate bufring av legitimasjon for agentdistribusjon Endre agentkommunikasjonsporter Siden Oppdater nå Automatisering og optimalisering av McAfee epo-arbeidsflyten 249 Anbefalt fremgangsmåte: Finne systemer med samme GUID Gode fremgangsmåter: Automatisk tømming av hendelser Opprette en serveroppgave for tømming av hendelser Tøm hendelser etter spørring Gode fremgangsmåter: Oppretting av automatisk innholdspulling og -reproduksjon Hente innhold automatisk: Anbefalt fremgangsmåte Gode fremgangsmåter: Filtrering av og 1059-hendelser Gode fremgangsmåter: Filtrer og 1059-hendelser Gode fremgangsmåter: Finne systemer som trenger en ny agent Gode fremgangsmåter for å opprette en spørring for agentversjonssammendrag Oppdatere McAfee-agenter med et prosjekt for produktdistribusjon: Anbefalt fremgangsmåte Finne inaktive systemer: Anbefalt fremgangsmåte Endre spørringen for inaktive agenter: Anbefalt fremgangsmåte Slette inaktive systemer: Anbefalt fremgangsmåte Gode fremgangsmåter for måling av skadelig programvarehendelser Gode fremgangsmåter for å opprette en spørring som teller antallet systemer som renses hver uke Finne skadelig programvare-hendelser for hvert undernett: Anbefalt fremgangsmåte Gode fremgangsmåter for å opprette en spørring for å finne skadelig programvare-hendelser for hvert undernett Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport Gode fremgangsmåter for å opprette en serveroppgave for å kjøre overholdelsesspørringer Gode fremgangsmåter for å opprette en rapport som inkluderer spørringsutdataene Opprette en serveroppgave for å kjøre og levere en rapport: Anbefalt fremgangsmåte Programdatabaser 265 Hva gjør programdatabaser Programdatabasetyper og hva de gjør Programdatabasegrener og formålet med dem Bruke programdatabaser McAfee epolicy Orchestrator programvare Produktveiledning

9 Innhold Distribuerte programdatabasertyper Programdatabaselistefiler Gode fremgangsmåter: Hvor du kan plassere programdatabaser Hvor mange programdatabaser trenger du? Gode fremgangsmåter: Begrensning av global oppdatering Konfigurere programdatabaser for første gang Gode fremgangsmåter for å administrere kilde- og reserveområder Opprette kildeområder Gode fremgangsmåter for å bytte mellom kilde- og reserveområder Gode fremgangsmåter for å redigere kilde- og reserveområder Gode fremgangsmåter for sletting av kildeområder eller deaktivering av reserveområder 284 Gode fremgangsmåter for å bekrefte tilgang til kildeområdet Konfigurere proxy-innstillinger Konfigurere proxy-innstillinger for McAfee Agent Gode fremgangsmåter for å konfigurere innstillinger for globale oppdateringer Gode fremgangsmåter for å konfigurere agentpolicyer for bruk av distribuert programdatabase Bruke SuperAgent-forekomster som distribuerte programdatabaser Opprette distribuerte SuperAgent-programdatabaser Reprodusere pakker til SuperAgent-programdatabaser Slette distribuerte SuperAgent-programdatabaser Opprette og konfigurere programdatabaser på FTP- eller HTTP-servere og UNC-delinger Opprett en mappeplassering Legg til den distribuerte programdatabasen til McAfee epo Unngå reproduksjon av valgte pakker Deaktivere reproduksjon av valgte pakker Aktivere mappedeling for UNC- og HTTP-programdatabaser Redigere distribuerte programdatabaser Slette distribuerte programdatabaser Bruke UNC-delinger som distribuerte programdatabaser Bruke lokalt distribuerte programdatabaser som ikke er administrerte Arbeide med filene i programdatabaselisten Eksportere programdatabaselistefilen SiteList.xml Eksporterer programdatabaselisten for sikkerhetskopiering eller bruk med andre servere 298 Importere distribuerte programdatabaser fra programdatabaselisten Importere kildeområder fra SiteMgr.xml-filen Pulling av oppgaver Reproduksjonsoppgaver Programdatabaseutvalg Agentbehandlere 303 Hvordan agentbehandlere fungerer Agentbehandlerdetaljer Gode fremgangsmåter: Agentbehandlere fjerne flere McAfee epo-servere Agentbehandlerfunksjonalitet Gi skalerbarhet Gode fremgangsmåter for failover-beskyttelse med agentbehandlere Gode fremgangsmåter: Nettverkstopologi og distribusjonshensyn Gode fremgangsmåter: Installering og konfigurering av agentbehandler Hensyn ved distribuering Oversikt over konfigurering av agentbehandler Konfigurere agentbehandlerlisten Konfigurere agentbehandlergrupper og virtuelle grupper Konfigurere agentbehandlerprioritet Konfigurere tildelinger for agentbehandlere Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ Konfigurere maskinvare, operativsystem og porter McAfee epolicy Orchestrator programvare Produktveiledning 9

10 Innhold Installere programvare og konfigurere agentbehandler Koble en agentbehandler i DMZ til en McAfee epo-server i et domene Behandlergrupper og prioritet Tildele McAfee-agenter til agentbehandlere Administrere agentbehandlertildelinger Opprette agentbehandlergrupper Administrere agentbehandlergrupper Flytte agenter mellom behandlere Gruppering av agenter ved bruk av agentbehandler-tildelinger Gruppere agenter etter tildelingsprioritet Gruppere agenter ved bruk av systemtreet Vanlige spørsmål Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde 331 Vedlikehold av McAfee epo-serveren Gode fremgangsmåter: Overvåking av serverytelse Vedlikehold av SQL-databasen Gode fremgangsmåter: Anbefalte oppgaver Administrere SQL-databaser Gode fremgangsmåter: Vedlikeholde SQL-databaser Bruk en ekstern kommando for å fastsette server- og navn for Microsoft SQL-databasen. 348 Konfigurere et øyeblikksbilde og gjenopprette SQL-databasen Bruk Microsoft SQL Server Management Studio til å finne informasjon om McAfee epo-serveren Trusselhendelsesloggen Båndbreddebruk Anbefalt fremgangsmåte: Agentdistribusjon og båndbredde Anbefalt fremgangsmåte: Båndbreddeanbefalinger for programdatabasedistribusjon Rapportering med spørringer 359 Rapporteringsfunksjoner Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer Opprett tilpassede hendelsesspørringer Gode fremgangsmåter for slik fungerer spørringer for hendelsessammendrag Opprette egendefinerte tabellspørringer: Anbefalt fremgangsmåte Samlingsspørring for flere servere Opprette en serveroppgave for samlingsdata Opprette en spørring for å definere overholdelse Generere overholdelseshendelser Eksportere spørringsresultater til andre formater Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Bruke web-url-api eller McAfee epo-brukergrensesnittet McAfee epo-kommandorammeverk: Anbefalt fremgangsmåte Bruke web-url-hjelp: Anbefalt fremgangsmåte Bruk av S-uttrykk i web-url-spørringer: Anbefalt fremgangsmåte Analyse av spørringseksportdata for oppretting av web-url-spørring: Anbefalt fremgangsmåte Kjøre spørring med ID-nummer: Anbefalt fremgangsmåte Kjøre spørring med XML-data: Anbefalt fremgangsmåte Kjøre spørring med tabellobjekter, kommandoer og argumenter: Anbefalt fremgangsmåte 383 A Tilleggsinformasjon 387 Åpne en tilkobling til fjernstyringskonsoll Planlegge gjenoppretting etter katastrofe Gjenoppretting etter katastrofe Serverklynger for gjenoppretting etter katastrofe McAfee epolicy Orchestrator programvare Produktveiledning

11 Innhold Kalde og varme reserver på ett fysisk sted Kalde og varme reserver på to fysiske steder Registrerte servere Registrere McAfee epo-servere Bruke databaseservere Registrere SNMP-servere Registrer syslog-server Registrere LDAP-servere Speile en LDAP-server Dele objekter mellom servere Problemer Problemer og hvordan de fungerer Vise problemer Fjerne avsluttede problemer fra Problemer-tabellen Opprette problemer manuelt Konfigurere responser for å opprette problemer automatisk Administrere problemer Bruke billetter med McAfee epo SSL-sertifikater Opprette et egensignert sertifikat med OpenSSL Andre nyttige OpenSSL-kommandoer Konvertere en eksisterende PVK-fil til en PEM-fil Sikkerhetsnøkler og hvordan de fungerer Nøkkelpar for master-programdatabase Andre offentlige nøkler for programdatabase Administrere programdatabasenøkler Nøkler for sikker kommunikasjon mellom agent og server (ASSC) Sikkerhetskopiere og gjenopprette nøkler Konfigurering av Product Improvement Program Avinstallere McAfeeProduct Improvement Program Gjenopprette administratorrettigheter Oversikt over porter Endre kommunikasjonsport for konsoll-til-programserver Endre port for agent-til-server-kommunikasjon Porter som kreves for kommunikasjon gjennom en brannmur Hurtigreferanse for trafikk B Legge til systemer som er koblet til over VPN 423 Fastslå OUI for tilkoblet VPN-server Bruk systemtreet til å finne VPN-serverens MAC-adresse Gode fremgangsmåter for opprette en rapport for å finne VPN-serverens MAC-adresse Gode fremgangsmåter: Bruke SQL Server Management Studio til å legge til virtuell ID-verdi for MACleverandør C Installer McAfee epo på en AWS-server 429 Bruk av en AWS-server med McAfee epo Opprett AWS-serveren Koble til AWS-serveren Installer McAfee epo på en AWS-server Opprett en virtuell agentbehandler Stikkordfortegnelse 445 McAfee epolicy Orchestrator programvare Produktveiledning 11

12 Innhold 12 McAfee epolicy Orchestrator programvare Produktveiledning

13 Innledning Denne veiledningen gir informasjonen du trenger til å jobbe med McAfee-produktet. Innhold Om denne veiledningen Finn produktdokumentasjon Om denne veiledningen Denne informasjonen beskriver målpublikummet for veiledningen, de typografiske konvensjonene og ikonene som brukes i veiledningen, og hvordan veiledningen er organisert. Målgruppe McAfee-dokumentasjon er nøye gransket og skrevet for målgruppen. Informasjonen i denne veiledningen er i hovedsak tiltenkt: Administratorer Folk som implementerer og håndhever selskapets sikkerhetsprogram. Brukere Folk som bruker datamaskinen programvaren kjører på og som har tilgang til noen eller alle funksjoner. Konvensjoner I denne veiledningen brukes følgende typografiske konvensjoner og ikoner: Kursiv Fet Tittel på bok, kapittel eller emne; introduksjon av et nytt uttrykk; fremheving. Fremhevet tekst Fast tegnavstand Kommandoer og annen tekst som brukeren skriver inn; et kodeeksempel; en vist melding Smal fet Hypertekst-blå Ord fra produktgrensesnittet som alternativer, menyer, knapper og dialogbokser En kobling til et emne eller til et eksternt webområde Merk: Ekstra informasjon for å vektlegge et poeng, påminne leseren om noe eller gi en alternativ metode Tips: Informasjon om beste praksis Forsiktig: Viktig råd om å beskytte datasystemet, installering av programvare, nettverk, forretninger eller data. Advarsel: Kritisk råd for å forebygge fysisk skade under bruk av maskinvareprodukt McAfee epolicy Orchestrator programvare Produktveiledning 13

14 Innledning Finn produktdokumentasjon Finn produktdokumentasjon I ServicePortal finner du informasjon om lanserte produkter, inkludert produktdokumentasjon, tekniske artikler og mer. 1 Gå til ServicePortal på og klikk på fanen Kunnskapssenter. 2 Klikk på Produktdokumentasjon under Innholdskilde i panelet Kunnskapsbase. 3 Velg et produkt og en versjon, og klikk på Søk for å se en liste av dokumenter. 14 McAfee epolicy Orchestrator programvare Produktveiledning

15 1 Produktoversikt 1 McAfee epolicy Orchestrator (McAfee epo ) er en omfattende plattform som muliggjør sentralisert styring av policyer samt håndhevelse av sikkerhetsprodukter. Typer administrasjonsplattformer McAfee epo installeres på en server i nettverkmiljøet ditt. Det er tiltenkt bedrifter som allerede har en etablert infrastruktur, inkludert de nødvendige dedikerte serverne. Organisasjonen må kunne konfigurere, vedlikeholde og oppdatere disse serverne. McAfee epo-funksjoner som automatisk respons, Active Directory-synkronisering og Programvarebehandling støtter intern sikkerhetsadministrasjon. McAfee epo Cloud er en skybasert forekomst av McAfee epo. Med McAfee epo Cloud trenger du ikke å konfigurere og vedlikeholde serverne som kjører programvaren for sikkerhetsadministrasjon. Programvareadministrasjon og annet vedlikehold utføres av administratorene våre. Innhold Hva er McAfee epo? Nøkkelfunksjoner Slik fungerer McAfee epo Hva er McAfee epo? Ved hjelp av McAfee epo-programvaren kan du utføre mange nettverkssikkerhetsoppgaver: Disse oppgavene inkluderer: Administrer og håndhev nettverkssikkerhet med policytildelinger og klientoppgaver. Oppdater DAT (signatur)-filene for påvisning, antivirusmotorene og annet sikkerhetsinnhold som kreves av programvaren for å holde de administrerte systemene sikre. Opprett rapporter ved å bruke spørringssystembyggeren, som viser konfigurerbare diagrammer og tabeller med nettverkssikkerhetsdataene. Med McAfee epo-automatiseringsfunksjoner og komplett nettverkssynlighet kan du: Redusere responstider. Øke beskyttelsen. Forenkle risiko- og sikkerhetsadministrasjon. McAfee epolicy Orchestrator programvare Produktveiledning 15

16 1 Produktoversikt Nøkkelfunksjoner Nøkkelfunksjoner Fra én visning i McAfee epo har du tilgang til mange funksjoner, slik som administrerte klienter, nettverk, data og overholdelsesløsninger for beskyttelse av nettverket. Uansett om nettverket ditt har hundre klienter eller klienter, kan McAfee epo administrere sikkerheten i nettverket ved bruk av disse funksjonene. Funksjon Kort distribueringstid Dashbord med dra-og-slipp-funksjonalitet Reduser kompleksitet og effektiviser prosesser Sikre sikkerhetsinfrastrukturen for fremtiden Avanserte nettverkskonfigurasjonsfunksjoner Omfattende endepunktpåvisning og -respons (EDR) Skala for virksomhetsdistribueringer Forbedret gjenoppretting etter katastrofe Flere brukere Problemadministrasjon Automatiske responser Beskrivelse Når de forhåndskonfigurerte sikkerhets- og risikostyringsløsningen fungerer sammen, kan du redusere sikkerhetshull og kompleksitet. Enkeltstående agentdistribusjon og tilpassbar håndhevelse av policyer sikrer også miljøet raskt. Disse dashbordene gir en ensartet visning av sikkerhetssituasjonen og sikkerhetsinformasjon på tvers av administrerte systemer, datasentre, mobilenheter og nettverk. Med veiledet konfigurasjon, automatiserte arbeidsstrømmer og forhåndsdefinerte dashbord kan du raskt begynne å beskytte nettverksklientene. Beskytt organisasjonen mot dagens og fremtidens trusler. Trusselinformasjon i sanntid beskytter infrastrukturen proaktivt. Den åpne plattformen legger til rette for rask tilpassing av sikkerhetsinnovasjoner etter hvert som nye trusselkategorier dukker opp. IT-administratorene kan samle sikkerhetsadministrasjon på tvers av endepunkter, nettverk, data og overholdelsesløsninger fra Intel Security og tredjepartsløsninger. McAfee Active Response bruker forhåndsdefinerte og tilpassbare innsamlere til dype søk i alle systemer. Det finner indikatorer for angrep (IoA-er) som finnes i kjørende prosesser, ligger hvilende eller til og med er slettet. Bruk ekstra servere, som agentbehandlere og distribuerte programdatabaser, til å raskt koble til eksterne steder med begrenset båndbredde og gi disse systemene beskyttelsesprogramvaren. Beskyttelse av nettverkssikkerheten, historien og McAfee epo-konfigurasjonen skjer automatisk og kan raskt bygges opp på nytt hvis det skulle oppstå en maskinvarekatastrofe. Du kan opprette mange McAfee epo-brukere for å forenkle sikkerhetsadministrasjon og opprette rapporter. Du kan legge til brukere begrenset til spesifikke systemgrupper pluss ekstra administratorer med full kontroll som reserve. Automatiske problemresponser kan sende varsler og hendelser til forhåndsdefinerte brukere. Du definerer hvordan McAfee epo-programvare dirigerer varsler og sikkerhetsresponser basert på typen og kritikaliteten av sikkerhetshendelser i miljøet. Du kan også opprette automatiske arbeidsflyter mellom sikkerhets- og IT-driftssystemene for å løse utestående problemer raskt. 16 McAfee epolicy Orchestrator programvare Produktveiledning

17 Produktoversikt Slik fungerer McAfee epo 1 Funksjon Innebygd 64-biters støtte med rapporteringsorientering Policysammenligning, felles oppgaveorientering Enkeltsidedistribuering Beskrivelse McAfee epo benytter de nyeste innebygde funksjonene i 64-biters operativsystemer for å øke behandlingshastigheten. Med flere McAfee epo-brukere kan du ha lignende policyer og oppgaver. Nå kan du sammenligne dem ved siden av hverandre for å administrere dem. Produktdistribuering er én side der du kan distribuere, spore og slette programvare i de administrerte systemene. URL-installering av endepunktprodukter Med URL til smart McAfee-installeringsprogram kan du installere McAfee Agent ved hjelp av en nettleser og den Internett-tilkoblede McAfee epo-serveren. Støtte for HTML5-brukergrensesnitt McAfee epo støtter nå de nyeste nettleserne, bl.a. Internet Explorer 11, Edge, Chrome, Firefox og Safari. Slik fungerer McAfee epo McAfee-sikkerhetsprogramvare og McAfee epo fungerer sammen for å stoppe angrep av skadelig programvare i systemene, og varsler deg når det angrep forekommer. Hvordan McAfee-programvare reagerer på angrep. Dette diagrammet viser komponentene og prosessene som stopper et angrep, varsler deg når angrep forekommer og registrerer hendelsen. Skadelig programvare angriper en datamaskin i det McAfee epo-administrerte nettverket. McAfee-produktprogramvare, for eksempel McAfee Endpoint Security, renser og sletter filen med skadelig programvare. McAfee Agent varsler McAfee epo om angrepet. McAfee epolicy Orchestrator programvare Produktveiledning 17

18 1 Produktoversikt Slik fungerer McAfee epo McAfee epo lagrer angrepsinformasjonen. McAfee epo viser varselet om angrepet på Antall trusselhendelser-dashbordet og lagrer loggen for angrepet i Trusselhendelseslogg. McAfee epo-komponenter McAfee epo-programvarens arkitektur og komponenter er designet for å hjelpe deg å administrere og beskytte miljøet ditt, uansett størrelse. McAfee epo-serveren har disse hovedfunksjonene: Administrerer og distribuerer produkter Håndhever policyer på endepunktene Samler hendelser, produktegenskaper og systemegenskaper fra de administrerte endepunktene og sender dem tilbake til McAfee epo Distribuerer McAfee-programvare, inkludert nye produkter, oppgraderinger og oppdateringer Rapporterer om endepunktssikkerheten Dette diagrammet viser hovedkomponentene i McAfee epo. Figur 1-1 Hovedkomponenter i McAfee epo 18 McAfee epolicy Orchestrator programvare Produktveiledning

19 Produktoversikt Slik fungerer McAfee epo 1 McAfee epo-server: Kobler til McAfee epo-oppdateringsserveren for å laste ned det nyeste sikkerhetsinnholdet Microsoft SQL-database: Oppbevarer alle data om nettverkadministrerte systemer, McAfee epo, agentbehandlere og programdatabaser McAfee Agent installert på klienter: Har disse funksjonene: Policyhåndhevelse Produktdistribueringer og oppdateringer Tilkoblinger for å sende hendelser og produkt- og systemegenskaper til McAfee epo-serveren Tilkoblinger for sikker agent-til-server-kommunikasjon (ASSC): Gir kommunikasjon med regelmessige intervaller mellom systemene og serveren Webkonsoll: Brukere logger på McAfee epo-konsollen for å utføre oppgaver knyttet til sikkerhetsadministrasjon. Dette kan for eksempel omfatte å kjøre spørringer for å rapportere om sikkerhetsstatus eller arbeide med administrerte sikkerhetspolicyer for programvare McAfee-webserver: Har det nyeste sikkerhetsinnholdet, slik at McAfee epo-serveren kan hente innholdet med planlagte intervaller Distribuerte programdatabaser: Oppbevarer det nyeste sikkerhetsinnholdet lokalt i nettverket, slik at agentene kan motta oppdateringer raskere Agentbehandlere: Reduserer arbeidsbelastningen på serveren ved å avlaste hendelsesbehandling og McAfee Agent-tilkoblingsoppgaver Agentbehandlere er mest effektive når de er i samme nettverkssegment som McAfee epo-databasen. LDAP- eller billettsystem: Kobler McAfee epo-serveren til LDAP-serveren eller SNMP-billettserveren Automatisk responser: Varsler administratorer og oppgaveautomatisering når det oppstår en hendelse Webkonsolltilkobling: Gir HTTPS-tilkobling mellom McAfee epo-serveren og nettleseren gjennom standardport Tilkoblinger for distribuert programdatabase: Programdatabasetilkoblingene er avhengig av typen programdatabase. For eksempel HTTP-, FTP- eller UDP-tilkoblinger. Agentbehandler i DMZ: Agentbehandlere installert i DMZ krever spesifikke porttilkoblinger. Ventetiden frem og tilbake mellom agentbehandleren og McAfee epo-databasen må være mindre enn ca. 10 ms. McAfee epolicy Orchestrator programvare Produktveiledning 19

20 1 Produktoversikt Slik fungerer McAfee epo 20 McAfee epolicy Orchestrator programvare Produktveiledning

21 2 Overvåking 2 av nettverkets helse Logg på konsollen for å konfigurere McAfee epo til å administrere og over nettverkssikkerheten din. Innhold Logge på og logge av Navigere i grensesnittet Arbeide med lister og tabeller Logge på og logge av Du får tilgang til McAfee epo-programvaren ved å oppgi brukernavn og passord på påloggingsskjermen. Før du begynner Du må ha et tildelt brukernavn og et passord før du kan logge på McAfee epo. Når du kobler til McAfee epo, er det første du ser McAfee epo-påloggingsskjermen. 1 Skriv inn brukernavnet og passordet og klikk på Logg på. McAfee epo-programvaren viser standarddashbordet. 2 Avslutt McAfee epo-økten ved å klikke på Logg av. Når du logger av, lukkes økten og kan ikke åpnes av andre brukere. Navigere i grensesnittet McAfee epo-brukergrensesnittet bruker menybasert navigering med en snarveilinje som du kan tilpasse for å raskt gå dit du ønsker. Menydelene utgjør toppnivåfunksjonene som Rapportering, Systemer og Policy. Når du legger til administrerte produkter i McAfee epo, inkluderer menyvalgene som Dashboards, Systemtre og Policykatalog nye alternativer. Bruke McAfee epo-navigeringsmenyen Åpne McAfee epo-menyen for å navigere til McAfee epo-grensesnittet. Menyen bruker kategorier som omfatter funksjoner og funksjonalitet i McAfee epo. Hver kategori inneholder en liste over primære funksjonssider knyttet til et unikt ikon. Velg en kategori i Meny for å vise og navigere til de primære sidene som utgjør funksjonen. McAfee epolicy Orchestrator programvare Produktveiledning 21

22 2 Overvåking av nettverkets helse Navigere i grensesnittet Personlige innstillingskategorier Juster personlige innstillinger for å tilpasse McAfee epo-opplevelsen. Tilpassingene dine påvirker bare brukerøktene dine. Kategori Passord Spørrings- og rapportadvarsel Systemtreadvarsel Tabeller Brukerøkt Beskrivelse Endrer passordet for McAfee epo-pålogging. Avgjør om en advarsel vises når du prøver å dra en spørring fra en spørringsgruppe til en annen. Avgjør om en advarsel vises når du prøver å dra systemer eller grupper fra en Systemtregruppe til en annen. Angir hvor ofte tabeller med automatisk oppdatering skal oppdateres under økten din. Angir hvor lenge brukerøkten din forblir åpen når du slutter å bruke brukergrensesnittet. Definisjoner av alternativer Alternativ Innstillingskategorier Søkeboks Rediger Definisjon Åpner en liste over tilgjengelige innstillinger som du kan vise og endre. Velg en kategori for å vise aktuelle innstillinger. Uthever kategorien som samsvarer med søketeksten. Skriv inn de første tegnene i kategorien du ønsker å finne. Lar deg endre gjeldende innstillinger. 22 McAfee epolicy Orchestrator programvare Produktveiledning

23 Overvåking av nettverkets helse Navigere i grensesnittet 2 Serverinnstillinger Juster serverinnstillingene for å tilpasse McAfee epo til organisasjonens behov. Tilpassingene påvirker alle McAfee epo-brukerne. Her er beskrivelser av standardkategoriene. Hvis du vil se beskrivelser av kategoriene som leveres av administrerte produkter, må du lese dokumentasjonen til det aktuelle produktet. Tabell 2-1 Standard serverinnstillinger Serverinnstillingskategorier Beskrivelse Active Directory-grupper Brukerpålogging for Active Directory Kontaktmetode for agent Angir LDAP-serveren som skal brukes til hvert domene. Angir om medlemmer i de tilknyttede Active Directory (AD)-gruppene skal kunne logge på serveren din ved å bruke AD-legitimasjonen når funksjonen for brukerpålogging for Active Directory er konfigurert. Angir prioriteringen av metoder som McAfee epo bruker ved forsøk på å kontakte en McAfee Agent. Endre prioritet ved å velge Kontaktmetode for Agent under Innstillingskategorier, klikke på Rediger og velge prioritet. Alle kontaktmetoder må ha forskjellige prioritetsnivåer. Metodene for å kontakte en McAfee Agent er: Fullstendig domenenavn NetBIOS-navn IP-adresse Legitimasjon for agentdistribusjon Sertifikatbasert godkjenning Dashbord Gjenoppretting etter katastrofe E-postserver Hendelsesfiltrering Hendelsesvarsler Global oppdatering Lisensnøkkel Påloggingsmelding Oppbevaring av policy og oppgave Porter Angir om brukere skal kunne bufre legitimasjon for agentdistribusjon. Angir om sertifikatbasert godkjenning er aktivert og om de nødvendige innstillingene og konfigurasjonene for sertifiseringsmyndigheten (CA) brukes. Angir standard aktivt dashbord som tildeles kontoen til nye brukere ved oppretting, og standard oppdateringsintervall (fem minutter) for dashbordovervåkinger. Aktiverer og angir passfrasen for nøkkellagerkryptering for gjenoppretting etter katastrofe. Angir e-postserveren som McAfee epo bruker til å sende e-postmeldinger. Angir hvilke hendelser agenten videresender. Angir hvor ofte McAfee epo sjekker varslene for å se om noen utløser automatiske responser. Angir om og hvordan global oppdatering er aktivert. Angir lisensnøkkelen som brukes til å registrere denne McAfee epo-programvaren. Angir om en tilpasset melding vises når brukerne logger på McAfee epo-konsollen, samt meldingsinnholdet. Angir om policy- og klientoppgavedata skal fjernes når du sletter produktutvidelsen. Angir portene som brukes av serveren, når den kommuniserer med agenter og databasen. McAfee epolicy Orchestrator programvare Produktveiledning 23

24 2 Overvåking av nettverkets helse Navigere i grensesnittet Tabell 2-1 Standard serverinnstillinger (fortsatt) Serverinnstillingskategorier Beskrivelse Skrive ut og eksportere Produktkompatibilitetsliste Product Improvement Program Proxy-innstillinger Planlegging av oppgaver Sikkerhetsnøkler Serversertifikat Serverinformasjon Programvareevaluering Kildeområder Systemdetaljer Systemtresortering Brukerpolicyer Brukerøkt Angir hvordan informasjonen eksporteres til andre formater. Her er også malen for PDF-eksporter. Angir også standardplasseringen der de eksporterte filene lagres. Angir om produktkompatibilitetslisten lastes ned automatisk og om den viser eventuelle inkompatible produktutvidelser. Angir om McAfee epo kan samle inn data proaktivt og regelmessig fra de administrerte klientsystemene. Angir typen proxy-innstillinger som er konfigurert for McAfee epo-serveren. Angir antall serveroppgaver som kjører samtidig. Angir og administrerer nøkler for sikker kommunikasjon mellom agent og server samt programdatabasenøkler. Angir serversertifikatet som McAfee epo-serveren bruker til HTTPS-kommunikasjon mellom nettlesere. Angir Java-, OpenSSL- og Apache-serverinformasjon som navn, IP-adresse og versjon. Angir nødvendig informasjon for å aktivere innsjekking og distribuering av evalueringsprogramvare fra Programvarebehandling. Angir hvilke kildeområder serveren kobler til for oppdateringer, og hvilke områder som er reserveområder. Angir hvilke spørringer og systemegenskaper som vises på siden Systemdetaljer for de administrerte systemene. Angir om og hvordan systemtresortering er aktivert i miljøet ditt. Aktiverer eller deaktiverer databasespeiling for å forbedre ytelsen for policytildelingsregler. Angir hvor lenge en bruker kan være inaktiv før systemet logger vedkommende ut. Konfigurere serverinnstillinger Hvis du vil gjøre deg kjent med hvordan du konfigurerer serverinnstillinger, kan du endre tidsavbruddsintervallet for brukerøkt fra standardinnstillingen på 30 minutter til 60 minutter. Når du er logget på McAfee epoog ikke foretar deg noe i brukergrensesnittet på 30 minutter, vil brukerøkten som standard lukkes, slik at du må logge på igjen. Endre standardinnstillingen til 60 minutter. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Brukerøkt fra innstillingskategoriene og klikk deretter på Rediger. 2 Konfigurer disse innstillingene, og klikk deretter på Lagre. Standardintervall for økttidsavbrudd (minutter) skriv 60 for å erstatte standardinnstillingen. Maksimumsintervall for økttidsavbrudd (minutter): Skriv 60 for å erstatte standardinnstillingen. Nå blir du ikke bedt om å logge på på nytt etter bare 30 minutter uten aktivitet. 24 McAfee epolicy Orchestrator programvare Produktveiledning

25 Overvåking av nettverkets helse Arbeide med lister og tabeller 2 Arbeide med lister og tabeller Bruk søke- og filterfunksjonen i McAfee epo til å sortere datalistene. Datalistene i McAfee epo kan ha hundrevis eller tusenvis av oppføringer. Det kan være vanskelig å søke manuelt etter spesifikke oppføringer i disse listene uten søkefilteret Hurtigsøk. Dette skjermbildet viser filteret Hurtigsøk for spørringer. Filtrere en liste Bruk filtre til å velge bestemte rader i datalistene i McAfee epo-grensesnittet. 1 Velg filteret du vil bruke til å filtrere listen, på linjen øverst i listen. Bare elementer som oppfyller filterkriteriene, vises. 2 Merk av for listeelementene du vil fokusere på, og merk av for Vis valgte rader. Bare de valgte radene vises. Opprette et tilpasset filter Med tilpassede filtre kan du raskt sortere lange lister med tabelloppføringer, som loggelementer eller serveroppgaver, slik at du kan fokusere på relevant informasjon. De tilpassede filtrene du oppretter, legges til i filterrullegardinlisten Tilpasset øverst i tabellen, slik at du kan bruke dem på nytt senere. 1 Velg Tilpasset Legg til øverst i tabellen. 2 Klikk på egenskapene du vil ha med i filteret, i listen Tilgjengelige egenskaper. De valgte egenskapene flyttes til Egenskap-ruten. McAfee epolicy Orchestrator programvare Produktveiledning 25

26 2 Overvåking av nettverkets helse Arbeide med lister og tabeller 3 Velg en sammenligning og en verdi for hver egenskap. Hvilke alternativer du kan velge, er avhengig av hvilken egenskap du valgte. Bruk + eller - til å legge til eller fjerne sammenlignings- og verdipar. 4 Når alle egenskapene du valgte, er fylt ut med gyldige og fullstendige verdier, klikker du på Oppdater filter. Det nye tilpassede filteret vises i rullegardinlisten Tilpasset. Søke etter bestemte listeelementer Bruk Hurtigsøk-filteret til å finne elementer i en lang liste. 1 Legg inn søkeordet i feltet Hurtigsøk. 2 Klikk på Bruk. Bare elementer som inneholder søkeordene du skrev i feltet Hurtigsøk, vises. Klikk på Fjern for å fjerne filteret og vise alle listeelementene. Eksempel: Finne spørringer om påvisning Dette er et eksempel på et gyldig søk for en bestemt liste med spørringer. 1 Velg Meny Rapportering Spørringer og rapporter, og klikk deretter på Spørring. Alle spørringene som er tilgjengelige i McAfee epo, vises i listen. 2 Begrens listen til en bestemt spørring, f.eks. "påvisning". I feltet Hurtigsøk skriver du påvisning og klikker deretter på Bruk. Noen lister inneholder elementer oversatt til ditt språk. Når du kommuniserer med brukere i andre land, må du huske at spørringsnavnene kan variere. Klikke på avmerkingsbokser i tabellrad Brukergrensesnittet for McAfee epo har spesielle valghandlinger og snarveier i tabellradene som du kan bruke til å merke avmerkingsbokser for tabellradene, ved bruk av klikk eller Skift+klikk. Noen utdatasider i McAfee epo-grensesnittet viser en avmerkingsboks ved siden av listeelementene i tabellen. Du kan bruke disse avmerkingsboksene til å merke rader enkeltvis eller som en gruppe, eller merke alle radene i tabellen. Dette tabellradutvalget fungerer ikke i revisjonslogg-tabellen. Denne tabellen inneholder en liste over handlinger som brukes til å velge avmerkingsbokser i tabellradene. 26 McAfee epolicy Orchestrator programvare Produktveiledning

27 Overvåking av nettverkets helse Arbeide med lister og tabeller 2 For å velge... Handling Respons Enkeltrader Merk av for enkeltrader. Velger hver enkelt rad uavhengig. Grupper av rader Klikk på én avmerkingsboks og hold inne Skift-knappen mens du klikker på den siste avmerkingsboksen i gruppen. Merker den første og siste raden du klikket på, og alle radene i mellom. Hvis du bruker Skift+klikk til å velge flere enn 1500 rader i en tabell samtidig, kan det føre til en høy økning i CPU-bruk. Denne handlingen kan utløse en feilmelding om skriptfeil. Alle radene Klikk på den øverste avmerkingsboksen i tabelloverskriftene. Velger alle radene i tabellen. Velge elementer i trelister Du kan trykke på Ctrl+klikk for å velge sammenhengende eller ikke-sammenhengende elementer i tre lister. I hierarkisk tre-lister, for eksempel systemtre- (undergrupper) og taggruppetrelister, kan du velge listeelementer: Enkeltvis: Klikk på et element. Som en sammenhengende gruppe Trykk på Ctrl+klikk og velg elementene sekvensielt. Som en ikke-sammenhengende gruppe Trykk på Ctrl+klikk og velg hvert enkelt element individuelt. McAfee epolicy Orchestrator programvare Produktveiledning 27

28 2 Overvåking av nettverkets helse Arbeide med lister og tabeller 28 McAfee epolicy Orchestrator programvare Produktveiledning

29 Første konfigurasjon Første trinn når du skal administrere nettverkssikkerheten, er å konfigurere McAfee epo-serveren. Kapittel 3 Kapittel 4 Planlegge McAfee epo-konfigurasjonen Konfigurering av McAfee epo-serveren McAfee epolicy Orchestrator programvare Produktveiledning 29

30 Første konfigurasjon 30 McAfee epolicy Orchestrator programvare Produktveiledning

31 3 Planlegge 3 McAfee epo-konfigurasjonen For å kunne bruke McAfee epo-serveren effektivt må du lage en omfattende plan som gjelder spesifikt for ditt miljø. McAfee epo-serverens infrastruktur og hvor mye konfigurasjon som er nødvendig, avhenger av det unike behovet i nettverksmiljøet ditt. Hvis du vurderer disse områdene på forhånd, kan det redusere tiden det tar å komme i gang. Hvor mange systemer vil du administrere? Har du systemer i ett nettverk eller i flere geografiske områder? Har du noen spesifikke sikkerhetsbehov, som brannmurer, eller bruker du NAT (Network Address Translation nettverksadresseoversetting) i et eksternt nettverk? Har du båndbreddebegrensninger til eksterne nettverkssegmenter? Vil du ha flere McAfee epo-brukere med forskjellige tillatelsessett? Innhold Hensyn når det gjelder skalerbarhet Internett-protokoller i et administrert miljø Hensyn når det gjelder skalerbarhet Måten du håndterer skalerbarhet på, avhenger av hvorvidt du bruker flere McAfee epo-servere, flere eksterne agentbehandlere eller begge deler. Med McAfee epo-programvaren kan du skalere nettverket vertikalt eller horisontalt. Vertikal skalerbarhet : Legg til og oppgrader til større og raskere maskinvare for å håndtere stadig større distribusjoner. Vertikal skalering oppnås ved å oppgradere servermaskinvaren, og bruke flere McAfee epo-servere i nettverket som hver har sin egen database. Horisontal skalerbarhet : Øke distribusjonsstørrelsen som én McAfee epo-server kan administrere. Horisontal skalering oppnås ved å installere flere eksterne agentbehandlere som hver rapporterer til én database. Administrert system og servere Hvor mange systemer McAfee epo-serveren administrerer, bestemmer antallet servere installert i nettverket. Denne tabellen viser antall administrerte systemer og den foreslåtte servermaskinvaren som er nødvendig for å administrere disse systemene. McAfee epolicy Orchestrator programvare Produktveiledning 31

32 3 Planlegge McAfee epo-konfigurasjonen Hensyn når det gjelder skalerbarhet Antall administrerte systemer < Virtuell McAfee epo-server og -database Windows Server og SQL-database på samme server: Windows Server og separat SQL-database Windows Server og separat SQL-database > Distribuerte programdatabaser Distribuerte programdatabaser Agentbehandlertyper: Installer agentbehandler for å forbedre McAfee epo-ytelsen i samme nettverkssegment som McAfee epo-databasen. Installer eksterne agentbehandlere i nettverket for å gjøre det mulig for agenter å kommunisere med serveren via de tildelte agentbehandlerne. Eksterne agentbehandlere krever en tilkobling med høy båndbredde til McAfee epo-databasen. Se også Eksempel på organisasjonsstørrelse og nettverkskomponenter på side 32 Eksempel på organisasjonsstørrelse og nettverkskomponenter Antall systemer du administrerer, bestemmer serverkomponentene til administrasjon av nettverket med McAfee epo. De følgende miljøeksemplene gir noen retningslinjer for organisasjonsstørrelse og krav til serverkomponenter. Disse eksemplene viser minstekravene til maskinvarekomponenter i nettverket. Når det er mulig, anbefaler vi at du overgår disse kravene for å forbedre ytelsen og muliggjøre vekst. Du finner informasjon om detaljerte maskinvarekrav i installasjonsveiledningen for McAfee epolicy Orchestrator. 32 McAfee epolicy Orchestrator programvare Produktveiledning

33 Planlegge McAfee epo-konfigurasjonen Hensyn når det gjelder skalerbarhet 3 Eksempel 1: Færre enn administrerte systemer I en organisasjon med færre enn administrerte systemer kan du redusere maskinvarekostnadene ved å installere McAfee epo-serveren og SQL-databasen på samme fysiske server eller virtuelle maskin (VM). Du kan også ha flere McAfee-produkter distribuert i dette miljøet, for eksempel McAfee Endpoint Security. Anbefalt fremgangsmåte: Hvis du planlegger å legge til produktet McAfee Host Intrusion Prevention, bør du dele McAfee epo-serveren og SQL-databasen på to fysiske servere. Denne figuren viser en organisasjon med færre enn administrerte systemer. Figur 3-1 Færre enn administrerte systemer, McAfee epo-nettverkskomponenter McAfee epo-serveren må bruke et 64-biters operativsystem. Du kan bruke Microsoft SQL Express-databasen til et lite antall administrerte systemer. Men Microsoft tillater ikke at SQL Express-databasen overskrider 10 GB, og tilgjengelig minne for SQL Express-databasemotoren er begrenset til 1 GB. Eksempel 2: administrerte systemer Du kan bruke én McAfee epo-server til å administrere en organisasjon med fra administrerte systemer med bare VirusScan Enterprise-produktet installert. Anbefalt fremgangsmåte: Når antallet administrerte systemer nærmer seg , anbefaler vi at du deler McAfee epo-server og SQL-serverne på egne fysiske servere. Dette diagrammet viser en organisasjon konfigurert for administrerte systemer med serverne på forskjellig maskinvare. Figur 3-2 McAfee epo-nettverkskomponenter for administrerte systemer McAfee epolicy Orchestrator programvare Produktveiledning 33

34 3 Planlegge McAfee epo-konfigurasjonen Hensyn når det gjelder skalerbarhet McAfee epo-serveren må bruke et 64-biters operativsystem. Hvis du har budsjett til flere maskinvareressurser, bør du gå utover denne anbefalingen for å få bedre ytelse. Egen SQL-server Eksempel 3: administrerte systemer Du kan administrere en organisasjon med administrerte systemer på én McAfee epo-server, egen SQL-server med bare VirusScan Enterprise-produktet installert og riktig plasserte programdatabaser for å oppdatere innhold og programvare. Dette diagrammet viser en organisasjon konfigurert for administrerte systemer med serverne på forskjellig maskinvare og en distribuert programdatabase. Figur 3-3 McAfee epo-nettverkskomponenter for administrerte systemer McAfee epo-serveren Egen SQL-server Egne distribuerte programdatabaser til å oppbevare og distribuere viktig sikkerhetsinnhold for de administrerte systemene Eksempel 4: til over administrerte systemer Du kan administrere en organisasjon med til over administrerte systemer på én McAfee epo-server, egen SQL-server, egen agentbehandler og riktig plasserte programdatabaser for å oppdatere innhold og programvare. 34 McAfee epolicy Orchestrator programvare Produktveiledning

35 Planlegge McAfee epo-konfigurasjonen Hensyn når det gjelder skalerbarhet 3 Dette diagrammet viser en organisasjon konfigurert for til over administrerte systemer. Figur til over administrerte systemer, McAfee epo-nettverkskomponenter McAfee epo-serveren Egen SQL-server Egne McAfee epo-agentbehandlere til å koordinere McAfee Agent-forespørsler mellom dem og McAfee epo-serveren. Agentbehandlere krever kontinuerlig kommunikasjon tilbake til SQL-databasen. De sjekker arbeidskøen i McAfee epo-serverdatabasen hvert 10. sekund for å finne ut hvilke oppgaver som skal utføres. Agentbehandlere trenger en tilkobling med relativt høy hastighet og kort ventetid til databasen. Agentbehandlere reduserer arbeidsbelastningen på McAfee epo-serveren med ca. 50 prosent. Vi anbefaler én agentbehandler for hvert administrerte system. Anbefalt fremgangsmåte: I organisasjoner med til over administrerte systemer bør du installere en agentbehandler i samme nettverksundernett som McAfee epo-serveren for redundans. Da kan McAfee epo-serveren administrere agent-til-server-kommunikasjoner hvis tilkoblingen til agentbehandleren svikter. Egne distribuerte McAfee epo-programdatabaser til å oppbevare og distribuere viktig sikkerhetsinnhold for de administrerte klientsystemene. Se også Hvordan agentbehandlere fungerer på side 303 Hva påvirker McAfee epo-ytelse Når du skal installere og bruke McAfee epo-serveren, er det viktig å vite hvilke faktorer som påvirker ytelsen til serveren og den tilknyttede SQL-databasen. En McAfee epo-server og -database kan for eksempel administrere opptil klientsystemer med bare VirusScan Enterprise-produktet installert. Men etter hvert som du legger til flere programvareprodukter og klienter, kan ikke den samme servermaskinvaren lenger levere ytelsen du forventer. McAfee epolicy Orchestrator programvare Produktveiledning 35

36 3 Planlegge McAfee epo-konfigurasjonen Internett-protokoller i et administrert miljø Hver av disse faktorene påvirker McAfee epo-serverytelsen og må vurderes etter hvert som det administrerte nettverket vokser og sikkerheten trenger endring. McAfee epo-servermaskinvare SQL-server: Denne serveren er arbeidshesten bak McAfee epo-serveren, og påvirker ytelsen til McAfee epo-serveren. Antall installerte programvareprodukter: For hvert programvareprodukt du installerer, øker behandlingsbelastningen på McAfee epo-serveren og SQL-databasen. Antall administrerte klienter og deres agentbehandlere: Disse tallene er proporsjonale med ytelsen til McAfee epo-serveren og -databasen. Hver agentbehandler legger disse faste belastningene på databaseserveren: Hjerteslagoppdateringer (hvert minutt) Arbeidskøsjekker (hvert 10. sekund) Utvalg av databasetilkoblinger holdt åpne mot databasen (to tilkoblinger per CPU til hendelsesanalysetjenesten og fire tilkoblinger per CPU til Apache-tjenesten) Internett-protokoller i et administrert miljø Programvaren McAfee epo er kompatibel med begge Internet-protokollversjoner: IPv4 og IPv6. McAfee epo-serveren fungerer i tre forskjellige moduser: Bare IPv4: Støtter bare IPv4-adresseformatet Bare IPv6: Støtter bare IPv6-adresseformatet Blandet modus: Støtter både IPv4- og IPv6-adresseformatet Hvilken modus som gjelder for din McAfee epo-server, avhenger av nettverkskonfigurasjonen. Hvis for eksempel nettverket er konfigurert for bare å bruke IPv4-adresser, fungerer serveren bare i IPv4-modus. Tilsvarende hvis nettverket er konfigurert for å bruke både IPv4- og IPv6-adresser, fungerer serveren i blandet modus. Til IPv6 er installert og aktivert, vil McAfee epo-serveren bare lytte til IPv4-adresser. Når IPv6 er aktivert, fungerer det i modusen det er konfigurert i. Når McAfee epo-serveren kommuniserer med en agentbehandler på IPv6, blir adresserelaterte egenskaper som IP-adresse, undernettadresse og nettverksmaske rapportert i IPv6-format. Når de overføres mellom klient og McAfee epo-server eller vises i brukergrensesnittet eller loggfilen, blir de IPv6-relaterte egenskapene vist i utvidet form og omsluttet med hakeparenteser. 3FFE:85B:1F1F::A9:1234 vises for eksempel som [3FFE:085B:1F1F:0000:0000:0000:00A9:1234]. Når en IPv6-adresse angis for FTP- eller HTTP-kilder, er det ikke nødvendig med noen endringer i adressen. Men når du angir en ordrett IPv6-adresse til en UNC-kilde, må du bruke Microsofts litterale IPv6-format. Du finner mer informasjon i Microsoft-dokumentasjonen. 36 McAfee epolicy Orchestrator programvare Produktveiledning

37 4 4 Konfigurering av McAfee epo-serveren Kom raskt i gang ved å konfigurere de viktige funksjonene for McAfee epo-serveren. Innhold Oversikt over serverkonfigurering Bruke automatisk status for produktinstallering Bruke veiledet konfigurasjon Bruke en proxy-server Angi lisensnøkkelen Legge til et SSL-sertifikat i en klarert samling Legge til systemer for administrasjon Installere McAfee Agent og lisensiert programvare Hva Systemtre gjør Standard konfigurasjon og felles oppgaver Bekrefte systembeskyttelse og se trusler Hva nå Oversikt over serverkonfigurering Du kan konfigurere McAfee epo-serveren etter dine spesifikke behov. Dette flytdiagrammet beskriver de grunnleggende oppgavene for å konfigurere McAfee epo-serveren og begynne å beskytte systemene. McAfee epolicy Orchestrator programvare Produktveiledning 37

38 4 Konfigurering av McAfee epo-serveren Oversikt over serverkonfigurering Last ned den lisensierte produktprogramvaren på en av disse måtene: Automatisk produktinstallering: Dette vises bare hvis du valgte alternativet Aktiver automatisk produktinstallering under McAfee epo-installeringen Konfigurasjonsveiledning Programvarebehandling: For komplekse nettverk Distribuer McAfee Agent i systemene på en av disse måtene: Opprett URL for smart installeringsprogram: Oppretter URL-en som installerer de lisensierte produktene og legger til klientene i systemtreet Veiledet konfigurasjon: Del av forrige trinn Legg til systemer for administrasjon 38 McAfee epolicy Orchestrator programvare Produktveiledning

39 Konfigurering av McAfee epo-serveren Oversikt over serverkonfigurering 4 Bruk en produktdistribuering til å installere produktprogramvaren i de administrerte systemene. Bruk serveroppgaven for oppdatering av master-programdatabasen til å installere den nyeste produktprogramvaren og DAT-filen. Opprett en klientoppgave for produktdistribusjon og tildel den til en gruppe av systemer i systemtreet. Sjekk administrert-statusen for systemet ved å kontrollere administrerte systemer i systemtreet. Bruk standardkonfigurasjonen og felles oppgaver til å lære om standardpolicyer, klientoppgaver og andre funksjoner. Kjør testviruset for å kontrollere systembeskyttelsen for den første konfigurasjonen. Konfigurer avanserte funksjoner på disse måtene: Overvåke og rapportere om nettverkets sikkerhetsstatus Detaljert McAfee epo-konfigurasjon Denne tabellen viser konfigurasjonstrinnene for å installere lisensiert produktprogramvare automatisk eller manuelt. Siden Status for produktinstallering starter kun hvis du valgte Aktiver automatisk produktinstallering under McAfee epo installeringen. Bruk Automatisk produktinstallering de første 24 timene etter den første påloggingen. Etter de første 24 timene er ikke Automatisk produktinstallering tilgjengelig lenger, og du må bruke en av de andre metodene. McAfee epolicy Orchestrator programvare Produktveiledning 39

40 4 Konfigurering av McAfee epo-serveren Oversikt over serverkonfigurering Tabell 4-1 Oversikt over konfigurasjonsmetoder Automatisk produktnedlasting 1 McAfee epo-installeringen fullføres og du starter programvaren. 2 Logg på McAfee epo-konsollen fra påloggingsskjermbildet. Siden Status for produktinstallering åpnes og begynner å installere de nyeste revisjonene av den lisensierte sikkerhetsprogramvaren på McAfee epo-serveren. Denne siden viser produktene og deres status. 3 Hvis alle produktenes status er Fullført, fortsetter du med trinn 5. Hvis en produktstatus vises som Mislykket, klikker du i avmerkingsboksen ved produktnavnet og velger Prøv på nytt. 4 Hvis den mislykkede produktinstalleringen fortsatt mislykkes: Prøv å bruke manuell produktnedlasting. Ring brukerstøtte hos McAfee. Fortsett med McAfee epo-konfigureringen og forsøk å installere produktet senere. 5 Utfør disse oppgavene etter behov i ditt miljø: Legg til systemer i systemtreet. Konfigurer generelle serverinnstillinger. Opprett brukerkontoer. Konfigurer tillatelsessett. Konfigurer policyer. Konfigurer avanserte serverinnstillinger og funksjoner. Konfigurer ytterligere komponenter. Manuell produktnedlasting 1 McAfee epo-installeringen fullføres og du starter programvaren. 2 Logg på McAfee epo-konsollen fra påloggingsskjermbildet. 3 Kjør veiledet konfigurering av epolicy Orchestrator for å utføre disse prosessene: Legg til McAfee-sikkerhetsprogramvare i master-programdatabasen. Legg til systemer i systemtreet. Opprett og tildele minst én sikkerhetspolicy til de administrerte systemene. Planlegg en klientoppdateringsoppgave. Distribuer sikkerhetsproduktene i de administrerte systemene. 4 Utfør disse oppgavene etter behov i ditt miljø: Konfigurer generelle serverinnstillinger. Opprett brukerkontoer. Konfigurer tillatelsessett. Konfigurer policyer. Konfigurer avanserte serverinnstillinger og funksjoner. Konfigurer ytterligere komponenter. Oversikt over konfigurasjonsmetoder Konfigurasjonssjekkliste Bruk denne sjekklisten til å kontrollere at du har fullført trinnene for å konfigurere McAfee epo-serveren Installer McAfee epo-programvaren. Logg på brukergrensesnittet. Last ned og installer McAfee-produktprogramvaren på en av disse måtene: 40 McAfee epolicy Orchestrator programvare Produktveiledning

41 Konfigurering av McAfee epo-serveren Oversikt over serverkonfigurering 4 Bruk Automatisk produktinstallering de første 24 timene etter den første påloggingen. Etter de første 24 timene er ikke Automatisk produktinstallering tilgjengelig lenger, og du må bruke en av de andre metodene. Siden Status for produktinstallering starter kun hvis du valgte Aktiver automatisk produktinstallering under McAfee epo installeringen. Bruk Tilpass programvareinstallering fra dashbordet. Bruk veiledet konfigurering av epolicy Orchestrator fra dashbordet. Bruk Programvarebehandling på Meny Programvare. Legg til systemer som skal administreres, på en av disse måtene: Opprett en URL for smart installeringsprogram og distribuer den til systemene. Distribuer FramePkg.exe manuelt eller bruk et påloggingsskript. Bruk Systemtre og legg til systemene fra domenene manuelt. Bruk Active Directory til å legge til systemer Kontroller at standardoppgaven for produktdistribusjon holder systemet oppdatert med den nyeste programvaren. Kontroller at standardpolicyene for McAfee-produktprogramvaren inkluderer riktige konfigurasjoner. Kontroller at standardklientoppgavene sender og samler inn riktig informasjon fra de administrerte systemene. Kontroller at McAfee epo-standardserveroppgavene er planlagt, og utfør de riktige oppgavene på serveren. Kontroller at standarddashbordene viser den beste informasjonen for overvåking av det administrerte miljøet. Kontroller et par systemer for å se at de er beskyttet og returnerer trusselinformasjon, med eicar.com-testfilen for beskyttelse mot skadelig programvare. Hvis du har et stort eller komplekst nettverk, kan det være nødvendig å konfigurere disse tilleggsfunksjonene: Legg til flere McAfee epo-brukere. Omorganiser Systemtre i grupper, og bruk tagger til å organisere systemer. Konfigurer automatiske responser som skal utløses når regler oppfylles. Opprett tilpassede server- og klientoppgaver. Legg til tilpassede policyer for å sikre at produktfunksjonene er riktig konfigurert i administrerte systemer. Legg til agentbehandlere eller distribuerte programdatabaser for å oppdatere programvare i eksterne systemer. Opprett tilpassede SSL-sertifikater. Overvåk båndbredden fra de eksterne administrerte systemene. Opprett prosesser for å overvåke og vedlikeholde McAfee epo-serveren og SQL-databasen. Opprette flere automatiske spørringer og rapporter for å overvåke de administrerte systemene. McAfee epolicy Orchestrator programvare Produktveiledning 41

42 4 Konfigurering av McAfee epo-serveren Bruke automatisk status for produktinstallering Se også Hva inneholder programvarebehandlingen? på side 161 Hva Systemtre gjør på side 57 Bruke automatisk status for produktinstallering på side 42 Bruke automatisk status for produktinstallering Siden Status for produktinstallering vises automatisk etter du har logget på McAfee epo første gang. Med programvaren for Status for produktinstallering kan du installere sikkerhetsprogramvaren automatisk på McAfee epo-serveren. Du kan også stoppe den automatiske installeringen og sjekke inn sikkerhetsprogramvaren manuelt. Før du begynner Siden Status for produktinstallering starter kun hvis du valgte Aktiver automatisk produktinstallering under McAfee epo installeringen. Siden Status for produktinstallering er kun tilgjengelig de første 24 timene etter at du har logget på McAfee epo første gang. Etter 24 timer åpnes alle påfølgende brukerpålogginger på standardsiden for dashbord. Etter 24 timer forsvinner Status for produktinstallering fra Meny Automatisering listen. 1 Klikk på ikonet Start epolicy Orchestrator på skrivebordet på McAfee epo-serveren for å åpne Logg på-skjermbildet. 2 Skriv inn legitimasjonen og velg et språk. Programvaren for Status for produktinstallering åpnes og starter automatisk nedlasting og installering av lisensiert programvare tilgjengelig for organisasjonen. Du kan overvåke prosessen ved hjelp av: Produkter Viser all lisensiert programvare og nyeste tilgjengelige versjon. Status Viser en av disse verdiene: Oppdaterer Mens programvaren lastes ned og installeres. Fullført Når programvaren er installert. Mislykket Hvis det oppstod feil under nedlastingen eller installasjonen. Stoppet Hvis du klikker på Stopp øverst på siden. Du kan klikke på Meny Programvare Programvarebehandling når som helst for å se detaljer om programvareinstalleringen. Du kan også bruke McAfee epo-brukergrensesnittet til å konfigurere andre elementer mens den automatiske programvareinstallasjonen kjører. 3 Fullfør programvareinstallasjonen automatisk eller manuelt. 42 McAfee epolicy Orchestrator programvare Produktveiledning

43 Konfigurering av McAfee epo-serveren Bruke veiledet konfigurasjon 4 Automatisk installasjon På siden Status for produktinstallering: Vent til Status for hvert produkt endres til Fullført. Hvis en produktinstallering mislykkes, merker du av i boksen ved siden av produktnavnet for å prøve installeringen på nytt. Hvis installeringen fortsatt mislykkes, kan du forsøke å bruke Programvarebehandling til å fullføre installeringen. Manuell installering 1 På siden Status for produktinstallering: Klikk på Stopp og klikk på OK i dialogboksen som forteller deg at du må fullføre programvareinstalleringen med Programvarebehandling. Produktstatusverdiene endres til Stoppet. 2 Fullfør programvareinstalleringen ved å klikke på Meny Programvare Programvarebehandling. 4 Fullfør konfigureringen av McAfee epo ved å utføre disse oppgavene etter behov: Konfigurer generelle serverinnstillinger: Disse innstillingene lar deg tilpasse hvordan serveren fungerer. De er ikke nødvendige for riktig drift. Opprett brukerkontoer og konfigurer tillatelsessett: Med brukerkontoer får brukerne tilgang til serveren og tillatelsessett gir rettigheter og tilgang til McAfee epo-funksjoner. Konfigurer avanserte serverinnstillinger og funksjoner Avanserte funksjoner og funksjonalitet som du kan bruke til å automatisere administrasjonen av nettverkssikkerheten. Oppsett av tilleggskomponenter: Tilleggskomponenter som distribuerte programdatabaser, registrerte servere og agentbehandlere kreves for å bruke mange av de avanserte funksjonene. McAfee epo-serveren beskytter nå de administrerte systemene. Se også Serverinnstillinger på side 23 Hva inneholder programvarebehandlingen? på side 161 Brukere på side 145 Tillatelsessett på side 156 Bruke veiledet konfigurasjon Bruk verktøyet Veiledet konfigurasjon til å konfigurere alle viktige funksjoner. Eller bruk disse oppgavene til å veilede deg og konfigurer McAfee epo-serveren manuelt. 1 Klikk på ikonet Start på skrivebordet på McAfee epo-serveren for å åpne Logg på-skjermbildet. 2 Skriv inn brukernavn og passord og velg eventuelt språk og klikk på Logg på. McAfee epo starter og viser dialogboksen Dashbord. 3 Bruk enten automatisk Status for produktinstallering eller Programvarebehandling til å installere produktprogramvaren. 4 Velg Meny Rapportering Dashbord, og velg veiledet konfigurasjon fra rullegardinlisten Dashbord. Klikk deretter på Start. 5 Les gjennom oversikten over veiledet konfigurasjon og instruksjonene, og klikk på Start. McAfee epolicy Orchestrator programvare Produktveiledning 43

44 4 Konfigurering av McAfee epo-serveren Bruke veiledet konfigurasjon 6 På siden Programvarevalg: a Klikk på Lisensiert eller Evaluering under produktkategorien Programvare som ikke er sjekket inn for å vise tilgjengelige produkter. b c d Velg produktet du vil sjekke inn, i tabellen Programvare. Produktbeskrivelsen og alle tilgjengelige komponenter vises i tabellen. Klikk på Sjekk inn alle for å sjekke inn produktutvidelser på McAfee epo-serveren og produktpakker i Master-programdatabase. Klikk på Neste øverst på skjermen når du har sjekket inn programvaren. 7 På siden Systemvalg: a Velg Systemtre-gruppen hvor du ønsker å legge til systemene. Hvis du ikke har definert noen egendefinerte grupper, velger du Min organisasjon og klikker på Neste for å åpne dialogboksen Legg til systemene dine. b Velg en metode for å legge til systemene i Systemtre. Legg til systemer med... AD-synkronisering Manuelt Hvis du vil Deretter... Synkroniser McAfee epo-serveren med Active Directory (AD)-serveren eller domenekontrolleren (DC). AD-synkronisering er den raskeste måten å legge til systemene i Systemtre på. Legg til systemer i Systemtre manuelt ved å angi navn eller velge fra en liste over systemer etter domene. 1 Velg synkroniseringstype i dialogboksen AD-synkronisering, og angi de aktuelle innstillingene. 2 Klikk på Synkroniser og Lagre. 1 På siden Nye systemer skriver du systemnavn i feltet Målsystemer, eller klikker på Bla gjennom for å legge til individuelle systemer fra et domene. Klikk deretter på OK 2 Klikk på Legg til systemer. 8 På siden Policykonfigurasjon: Velg... Hvis du vil Deretter... Godta standardinnstillinger Konfigurere policy Bruk policyinnstillingen Min standard til programvaren du distribuerer, og fortsett konfigureringen. Angi tilpassede policyinnstillinger nå for hvert programvareprodukt du har sjekket inn. Dette trinnet er fullført. 1 I dialogboksen Policykonfigurasjon klikker du på OK. 2 Velg et produkt fra Produktlisten, og klikk på Min standard for å redigere standardpolicyinnstillingene. 3 Klikk på Neste. 9 På siden Programvareoppdatering: 44 McAfee epolicy Orchestrator programvare Produktveiledning

45 Konfigurering av McAfee epo-serveren Bruke veiledet konfigurasjon 4 Velg... Hvis du vil Deretter... Opprette standarder Konfigurere oppgavetidsplan Automatisk opprette en standard klientoppgave for produktoppdatering som kjøres hver dag kl. 12. Manuelt konfigurere tidsplanen for klientoppgaven for produktoppdatering. Dette trinnet er fullført. 1 Bruk Bygger for tildeling av klientoppgaver for å angi et produkt og et oppgavenavn til produktoppdateringsoppgaven. Ikke endre type-valget. Det må innstilles på Produktoppdatering. 2 Konfigurer alternativene Lås oppgavearv og Tagger, og klikk på Neste. 3 Angi tidsplanen for oppdateringsoppgaven, og klikk på Neste. 4 Se gjennom sammendraget, og klikk deretter på Lagre. 10 På siden Programvaredistribusjon: a Velg plasseringen i Systemtre som inneholder systemene du ønsker å distribuere programvaren til, klikk på Neste og deretter på OK. b Angi innstillingene for McAfee Agent-distribusjonen, og klikk på Distribuer. Klikk på Hopp over agentdistribusjon hvis du vil vente til senere med å utføre denne handlingen. Men du må distribuere agenter før du kan distribuere annen sikkerhetsprogramvare. c Velg programvarepakkene du vil distribuere i de administrerte systemene, og klikk på Distribuer. 11 På siden Konfigurasjonssammendrag klikker du på Fullfør for å lukke veiledet konfigurasjon. 12 Fullfør konfigureringen av McAfee epo ved å utføre disse oppgavene etter behov: Konfigurer generelle serverinnstillinger: Serverinnstillingene i denne gruppen påvirker funksjonaliteten som du ikke trenger å endre for at serveren skal fungere som den skal. Hvis du vil, kan du tilpasse noen aspekter av hvordan serveren fungerer. Opprett brukerkontoer og konfigurer tillatelsessett: Med brukerkontoer får brukerne tilgang til serveren og tillatelsessett gir rettigheter og tilgang til McAfee epo-funksjoner. Konfigurer avanserte serverinnstillinger og funksjoner: McAfee epo-serveren har avanserte funksjoner og funksjonalitet som du kan bruke til å automatisere administrasjonen av nettverkssikkerheten. Oppsett av tilleggskomponenter: Tilleggskomponenter som distribuerte programdatabaser, registrerte servere og agentbehandlere kreves for å bruke mange av de avanserte funksjonene i McAfee epo-programvaren. McAfee epo-serveren beskytter nå de administrerte systemene. Se også Hva inneholder programvarebehandlingen? på side 161 Bruke automatisk status for produktinstallering på side 42 McAfee epolicy Orchestrator programvare Produktveiledning 45

46 4 Konfigurering av McAfee epo-serveren Bruke en proxy-server Bruke en proxy-server Hvis du bruker en proxy-server i nettverksmiljøet, må du angi proxy-innstillingene på siden Serverinnstillinger. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Proxy-innstillinger i Innstillingskategorier, og klikk på Rediger. 2 Velg Konfigurer proxy-innstillingene manuelt, angi den spesifikke konfigurasjonsinformasjonen proxy-serveren bruker, for hvert sett med alternativer, og klikk på Lagre. Angi lisensnøkkelen Med lisensnøkkelen kan du kjøre en full installasjon av programvaren, og fylle ut epolicy Orchestrator Programvarebehandling med den lisensierte McAfee-programvaren som firmaet ditt eier. Uten en lisensnøkkel kjører programmet i evalueringsmodus. Når evalueringsperioden utløper, slutter programvaren å fungere. Du kan legge til en lisensnøkkel på hvilket som helst tidspunkt i løpet av eller etter evalueringsperioden. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Lisensnøkkel i Innstillingskategorier, og klikk på Rediger. 2 Skriv inn Lisensnøkkelen og klikk på Lagre. Legge til et SSL-sertifikat i en klarert samling Støttede nettlesere kan advare om en servers SSL-sertifikat hvis det ikke kan bekreftes at sertifikatet er signert av en klarert kilde. McAfee epo-serveren bruker som standard et selvsignert sertifikat til SSL-kommunikasjon med nettleseren, som nettleseren ikke klarerer. En advarsel vises hver gang du åpner McAfee epo-konsollen. Du kan hindre at denne advarselsmeldingen vises ved å følge én av disse fremgangsmåtene: Legg til McAfee epo-serversertifikatet i nettleserens samling av klarerte sertifikater. Legg til sertifikat for hver nettleser som samhandler med McAfee epo. Hvis sertifikatet for nettleseren endres, må du legge til serversertifikatet på nytt. (Anbefales) Erstatt standardsertifikatet for McAfee epo-serveren med et gyldig sertifikat. Dette må være signert av en sertifiseringsmyndighet (CA, certificate authority) som er klarert av nettleseren. Du trenger bare å legge til sertifikatet én gang for nettlesere i miljøet. Hvis serverens vertsnavn endres, erstatter du serversertifikatet med et nytt, klarert CA-sertifikat. Hvis du vil erstatte McAfee epo-serversertifikatet, må du først hente sertifikatet signert av en klarert sertifiseringsmyndighet. Du må også hente sertifikatets private nøkkel og tilhørende passord (hvis det er aktuelt). Deretter kan du bruke alle disse filene til å erstatte serverens sertifikat. 46 McAfee epolicy Orchestrator programvare Produktveiledning

47 Konfigurering av McAfee epo-serveren Legge til et SSL-sertifikat i en klarert samling 4 McAfee epo-nettleseren forventer at de koblede filene bruker følgende format: Serversertifikat: P7B eller PEM Privat nøkkel: PEM Hvis serversertifikatet eller den private nøkkelen ikke er i disse formatene, må de konverteres til et av de støttede formatene før de kan brukes til å erstatte standardsertifikatet. Hvis organisasjonen krever en høyere krypteringsstandard, erstatter du standardsertifikatet SHA-256 med ett som bruker SHA-384 eller høyere. Erstatte serversertifikat Oppdater standardserversertifikatet som brukes til HTTPS-kommunikasjon med nettlesere. Før du begynner Du må ha tilgang til de nye sertifikat- og privatnøkkelfilene. 1 Åpne siden Rediger serversertifikat. a Velg Meny Konfigurasjon Serverinnstillinger. b Velg Serversertifikat fra listen Innstillingskategorier og klikk på Rediger. 2 Bla gjennom til serversertifikatfilen og klikk på Åpne. Du kan opprette ditt eget selvsignerte sertifikat med Open SSL. 3 Skriv om nødvendig PKCS12-sertifikatpassordet og aliasnavnet. 4 Naviger til privatnøkkelfilen og klikk på Åpne. 5 Skriv eventuelt inn passordet for privat nøkkel og klikk på Lagre. 6 Start McAfee epo på nytt for at endringen skal tre i kraft. Installere sikkerhetssertifikatet for Internet Explorer Installer sikkerhetssertifikatet for å forhindre at sertifikatmeldingen vises hver gang du logger deg på. 1 Åpne McAfee epo fra nettleseren. Siden Sertifikatfeil: Navigering blokkert vises. 2 Klikk på Fortsett til dette webområdet (anbefales ikke) for å åpne påloggingssiden. Adresselinjen er rød og viser at nettleseren ikke kan bekrefte sikkerhetssertifikatet. 3 Klikk på Sertifikatfeil til høyre for adresselinjen for å vise advarselen Sertifikat ugyldig. 4 Klikk på Vis sertifikater nederst i advarselen for å åpne dialogboksen for sertifikatet. Ikke klikk på Installer sertifikat i kategorien Generelt. Gjør du det, mislykkes prosessen. McAfee epolicy Orchestrator programvare Produktveiledning 47

48 4 Konfigurering av McAfee epo-serveren Legge til et SSL-sertifikat i en klarert samling 5 Velg kategorien Sertifiseringsbane, velg deretter Orion_CA_<servername> og klikk på Vis sertifikat. En annen dialogboks åpnes i kategorien Generelt og viser sertifikatinformasjon. 6 Klikk på Installer sertifikat for å åpne veiviseren for import av sertifikat. a Klikk på Neste for å angi hvor sertifikatet er lagret. b c d Velg Plasser alle sertifikater i følgende lager og klikk på Bla gjennom for å velge en plassering. Velg mappen Klarerte rotsertifikatmyndigheter i listen, klikk på OK og klikk på Neste. Klikk på Fullfør. I sikkerhetsadvarselen som vises, klikker du på Ja. 7 Lukk nettleseren. 8 Endre målet til McAfee epo-skrivebordssnarveien fra "localhost" til NetBIOS-navnet på McAfee epo-serveren. 9 Start McAfee epo på nytt. Når du nå logger på McAfee epo, blir du ikke lenger bedt om å godta sertifikatet. Installere sikkerhetssertifikatet for Firefox Du kan installere sikkerhetssertifikatet når du bruker Firefox 3.5 eller nyere, slik at advarselsdialogboksen ikke åpnes hver gang du logger på. 1 Åpne McAfee epo fra nettleseren. Siden Denne tilkoblingen er ikke klarert åpnes. 2 Klikk på Jeg er klar over risikoen nederst på siden. 3 Klikk på Legg til unntak. 4 Klikk på Hent sertifikat. Informasjonen om sertifiseringsstatus fylles ut og knappen Bekreft sikkerhetsunntak aktiveres. 5 Kontroller at Lagre dette unntaket permanent er valgt, og klikk deretter på Bekreft sikkerhetsunntak. Når du nå logger på McAfee epo, blir du ikke lenger bedt om å godta sertifikatet. 48 McAfee epolicy Orchestrator programvare Produktveiledning

49 Konfigurering av McAfee epo-serveren Legge til systemer for administrasjon 4 Legge til systemer for administrasjon Du kan legge til systemer i McAfee epo på flere måter. Avhengig av nettverkets størrelse og kompleksitet, kan du velge en av metodene eller en kombinasjon av metoder. URL-adressen til smartinstalleringsprogrammet opprettet som standard. URL-måten er den enkleste måten å installere McAfee Agent på. Men systembrukere må ha administratorrettigheter for å installere programvare, og systemet er ubeskyttet til brukerne kjører det smarte installeringsprogrammet. Det fungerer også bra å distribuere FramePkg.exe med et påloggingsskript, men du må vite hvordan du oppretter skriptet, og få det til å kjøre når brukeren logger på. Dessuten er systemet ubeskyttet til brukeren logger på. Hvis du vil legge til systemer manuelt fra domenet, må du ha organiserte nettverk og domener. Den beste metoden for store nettverk er å legge til systemer ved hjelp av Active Directory, men dette krever en velorganisert Active Directory-konfigurasjon. For store nettverk kan du velge å bruke en av disse metodene til å legge til en første systemgruppe, bekrefte konfigurasjonen og så bruke andre metoder til å legge til flere systemer. McAfee epolicy Orchestrator programvare Produktveiledning 49

50 4 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare Se også Distribuere McAfee Agent med tredjepartsverktøy på side 53 Anbefalt fremgangsmåte: Bruk Active Directory til å synkronisere McAfee Agent-distribuering på side 55 Anbefalt fremgangsmåte: Legge til McAfee Agent i systemavbildningen på side 56 Opprett og installer McAfee Agent-URL-en eller -pakken på side 52 Legge til systemer i systemtreet manuelt på side 54 Installere McAfee Agent og lisensiert programvare Du må installere McAfee Agent og produktprogramvare i alle systemene før de er beskyttet. Hva installering av McAfee Agent gjør McAfee Agent er klientsidekomponenten som gir sikker kommunikasjon mellom McAfee epo og administrerte produkter. Den fungerer også som et oppdateringsgrensesnitt for administrerte og uadministrertemcafee-produkter. Dette diagrammet viser prosessene som utføres når du installerer McAfee Agent. Du installerer McAfee Agent på en klient. McAfee Agent åpner en sikker tilkobling mellom klienten og McAfee epo. McAfee epo laster ned produktprogramvaren til klienten over den sikre tilkoblingen. McAfee Agent sender klienthendelser og annen informasjon tilbake til McAfee epo. Se også Legge til systemer for administrasjon på side McAfee epolicy Orchestrator programvare Produktveiledning

51 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare 4 Hvordan McAfee Agent fungerer McAfee Agent er ikke et sikkerhetsprodukt i seg selv. Det kommuniserer med alle McAfee- og partnersikkerhetsprodukter og sender informasjonen til og fra McAfee epo-serveren. McAfee Agent-versjonen trenger ikke å være lik McAfee epo-versjonen. Du kan for eksempel bruke McAfee Agent 4.8 med McAfee epo Du finner detaljer i produktveiledningen for McAfee Agent. Kjernefunksjonaliteten i McAfee Agent omfatter: Håndtere all kommunikasjon til og fra McAfee epo-serveren og overføre dataene til klientproduktene Hente alle produktpolicyer fra McAfee epo-serveren og tildele dem til de aktuelle produktene som er installert på klienten Hente alle klientoppgaver fra McAfee epo-serveren og overføre dem til de aktuelle produktene Distribuere innhold som antivirussignaturer, revisjonssjekker og motorer Distribuere produktoppgraderinger, nye produkter, oppdateringer og hurtigreparasjoner Oppgradere seg selv stille når en ny versjon utgis Når en McAfee Agent er installert i et system, kan du bruke den til å oppdatere de fleste produktene på den klienten. Figur 4-1 Én McAfee Agent kommuniserer med mange produkter McAfee Agent-modularitet Agentens modulære design gjør det mulig å legge til nye sikkerhetstilbud i miljøet etter hvert som behovene endres, med samme rammeverk. McAfee har bygd en standard for hvordan policyer, hendelser og oppgaver overføres til klientprodukter. Du trenger aldri å bekymre deg for kommunikasjon eller hvilke porter som skal åpnes når du legger til et nytt produkt på klienten. McAfee Agent styrer alle disse tingene. Fordelene med denne modulære arkitekturen er: Én komponent gir kommunikasjon tilbake til serveren. Du kan velge produktene som passer i din organisasjon. Oppdateringsprosessen er lik for alle produktene. Du kan legge til nye produkter etter hvert som de utgis. Du kan bruke samme McAfee Agent til partnerprodukter og på den måten redusere administrasjon. I McAfee Agent-filen Hvis du åpner installasjonsmappen der den kjørbare McAfee Agent-filen er installert, kan du se hva som gjør den unik. Som standard finner du den kjørbare McAfee Agent-filen her på McAfee epo-serveren: McAfee epolicy Orchestrator programvare Produktveiledning 51

52 4 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare C:\Program Files (x86)\mcafee\epolicy Orchestrator\DB\Software\Current \EPOAGENT3000\Install\0409\ Den tilpassede kjørbare McAfee Agent-filen har kommunikasjonsnøklene for den spesifikke McAfee epo-serveren din og en Sitelist.xml-fil. Uten disse nøklene kan ikke agentene snakke med den spesifikke McAfee epo-serveren. Sitelist.xml-filen forteller alle agentene hvordan de kan finne McAfee epo-serveren ved hjelp av IP-adresse og DNS-navn. Denne filen blir foreldet hvis du endrer navn på McAfee epo-serveren eller gir den en ny IP-adresse. Hvis du har flere McAfee epo-servere, har du flere unike McAfee Agent-filer designet for å kommunisere med serveren der McAfee Agent ble opprettet. Holde McAfee Agent-filen oppdatert: Anbefalt fremgangsmåte Det er viktig å laste ned den nyeste McAfee Agent-filen slik at de aktuelle teamene har den nyeste McAfee Agent-filen for nye distribueringer. Kontroller at du vet hvem som har den kjørbare McAfee Agent-filen i miljøet ditt, og sørg alltid for å oppdatere en sentral delingsfil hver gang du endrer McAfee Agent. Hvis du ga denne tilpassede McAfee Agent til teamet for et år siden, er den trolig foreldet. Den blir foreldet når du gjør endringer på McAfee epo-serveren, for eksempel ved å bygge den på nytt med en ny IP-adresse, eller når du sjekker inn en nyere versjon av McAfee Agent på serveren. Distribuere agenter McAfee Agent er en 5 MB stor kjørbar fil som du kan kjøre manuelt for hver klient, eller distribuere i stor skala til hundrevis eller tusenvis av noder. McAfee Agent kan distribueres til klientsystemene på en av disse måtene: En URL for agentdistribusjon eller smart installeringsprogram for McAfee Et påloggingsskript En avbildning som inneholder McAfee Agent Manuell kjøring McAfee epo-serveren Tredjepartsverktøy Du finner mer informasjon om disse distribueringsmåtene i produktveiledningen for McAfee Agent. Opprett og installer McAfee Agent-URL-en eller -pakken Installer McAfee Agent i alle systemer du vil administrere med McAfee epo-serveren. Før du begynner Du må ha installert den lisensierte programvaren før du oppretter McAfee Agent-URL-en eller -pakken. Du kan installere McAfee Agent i systemene du vil administrere, på flere måter. Dette er de mest populære metodene: URL-installeringsprogram for McAfee Agent McAfee Agent-pakke Disse trinnene er bare en oversikt over McAfee Agent-installeringsprosessen. Du finner detaljer i produktveiledningen for McAfee Agent. 52 McAfee epolicy Orchestrator programvare Produktveiledning

53 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare 4 1 Bruk en av disse metodene til å opprette McAfee Agent-installeringsprogrammet. Opprett URL-installeringsprogrammet for McAfee Agent. Opprett McAfee Agent-pakken eller ZIP-filen. 2 Avhengig av metoden du brukte til å opprette den installerte filen, installerer du nå URL-installeringsprogrammet eller -pakken. URL-installeringsprogram for McAfee Agent: Send URL-en til systembrukerne via e-post. Når brukeren åpner URL-en, bes vedkommende om å laste ned eller kjøre McAfee Agent-installeringsprogrammet. McAfee Agent-pakkefil: Installer pakkefilen på en av disse måtene: Manuell installering i Windows Påloggingsskript i Windows Kommandolinjealternativer Når agentene er installert, tar det flere intervaller av agent-til-server-kommunikasjon før de administrerte systemene vises som administrert i Systemtreet. 3 Velg Meny System Systemtre for å bekrefte at de administrerte systemene har installert McAfee Agent og har rapportert tilbake til McAfee epo-serveren. McAfee epo-serveren gir nå beskyttelse og administrerer klientene. Anbefalt fremgangsmåte: Distribuer McAfee Agent ved å bruke URL Du kan opprette en nedlastings-url for McAfee Agent på klientsiden som brukerne kan klikke på for å laste ned og installere McAfee Agent på den administrerte klienten. 1 Velg Meny Systemdel Systemtre og klikk på fanen Agentdistribusjon. 2 Åpne Handlinger-menyen og klikk på Opprett URL for agentdistribuering. 3 Angi URL-navn, agentversjon og om URL-en gjelder for alle agentbehandlere eller bare bestemte agentbehandlere. Når en bruker åpner URL-en, bes vedkommende om å laste ned eller kjøre McAfee Agent-installeringsprogrammet. Installeringsfilen kan også lagres og inkluderes i et påloggingsskript. Se også Opprett og installer McAfee Agent-URL-en eller -pakken på side 52 Distribuere McAfee Agent med tredjepartsverktøy Du kan distribuere McAfee Agent med et tredjepartsverktøy som du allerede bruker til oppdateringer og nye produktdistribueringer. Bruk av tredjepartsverktøy er ikke et krav, men det kan hende at organisasjonen har strenge policyer som bestemmer hvordan produkter skal distribueres. Noen vanlige distribueringsverktøy: McAfee epolicy Orchestrator programvare Produktveiledning 53

54 4 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare Microsoft SCCM (tidligere kalt SMS) BMC Client Automation (tidligere Marimba) IBM Tivoli Enkle påloggingsskript Novell Zenworks Prosessen som brukes til å distribuere McAfee Agent første gang med disse tredjepartsverktøyene, er enkel. Du finner detaljer i produktveiledningen for McAfee Agent. McAfee Agent-filen FramePkg.exe har flere installeringsbrytere. Du må minst konfigurere McAfee Agent til å installere seg selv. Du kan eventuelt bruke bryteren /s til å skjule det grafiske installeringsgrensesnittet fra brukeren. Her er et eksempel på denne kommandoen: FramePkg.exe /install=agent /s Legge til systemer i systemtreet manuelt Å legge til systemer manuelt i Systemtre for så å distribuere McAfee Agent, fungerer bra for små organiserte nettverk. Før du begynner McAfee epo-serveren må kunne kommunisere med målsystemene. Kontroller at klientsystemene kan nås fra McAfee epo-serveren. Du må ha lokale administratorrettigheter for alle målsystemer. Utfør disse trinnene for å kontrollere at noen målsystemer er tilgjengelige fra McAfee epo-serveren: Bruk ping-kommandoer til å teste muligheten for tilkobling fra McAfee epo-serveren til administrerte systemer. Når du skal kontrollere at den delte mappen Admin$ i Windows-målsystemer er tilgjengelig fra McAfee epo-serveren, klikker du på Windows Start Kjør. Deretter skriver du inn banen til målsystemets delte mappe Admin$, og angir systemnavnet eller IP-adressen. Skriv for eksempel: \\<Systemnavn>\Admin$ Hvis systemene er riktig tilkoblet i nettverket, hvis legitimasjonen din har tilstrekkelige rettigheter og hvis den delte mappen Admin$ finnes, åpnes en Windows Utforsker-dialogboks. 1 Velg Meny Systemer Systemtre og klikk på Nye systemer på siden Systemtre. 2 Klikk på Utfør en push-installasjon av agentene og legg til systemer i den aktuelle gruppen på siden Nye systemer, og klikk deretter på Bla gjennom. 3 Skriv denne informasjonen i dialogboksen NT-domenelegitimasjon og klikk på OK. Domene: Skriv domenenavnet med målsystemene. Brukernavn: Skriv domenebrukernavnet. Passord: Skriv domenepassordet. 4 Velg domeneserveren fra listen Domene på siden Søk etter systemer. Tabellen Systemer i valgt domene vises i listen over systemer installert på den domeneserveren. 54 McAfee epolicy Orchestrator programvare Produktveiledning

55 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare 4 5 Velg systemene eller systemgruppene som skal legges til i Systemtre, og klikk på OK. Systemene du valgte, vises i feltet Målsystemer, atskilt med komma. 6 Under Agentversjon velger du Windows eller Ikke Windows samt versjon fra listen. 7 I Legitimasjon for agentinstallering: Skriv domenenavnet. Skriv domenebrukernavnet. Skriv og bekreft domenepassordet. Klikk på Husk legitimasjonen min til fremtidige distribusjoner. 8 Bruk standardverdiene for de siste innstillingene og klikk på OK. Systemene du valgte, legges til i Systemtre og vises som Uadministrert i kolonnen Administrert tilstand. Etter flere agent-til-server-kommunikasjoner for å installere produktprogramvaren og oppdatere oppgaver og policyer, skifter Administrert tilstand til Administrert. Det kan ta flere timer å fullføre denne prosessen. Anbefalt fremgangsmåte: Bruk Active Directory til å synkronisere McAfee Agent-distribuering Du kan distribuere fra McAfee epo-serveren alene eller med Active Directory (AD)-synkronisering. McAfee epo kan importere systemene fra AD og så distribuere agentprogramvaren fra McAfee epo-serveren med funksjonaliteten for ekstern distribuering. Bruk serveroppgaver til å kjøre ekstern distribuering ved angitte intervaller, som én gang om dagen. Denne prosessen krever følgende: Systemene i AD-treet må være vedlikeholdt. Et godt vedlikeholdt AD er ikke alltid en selvfølge i mange store organisasjoner. Plasser systemer i egnede beholdere i AD for at McAfee epo skal speile AD-strukturen riktig. Du må ha riktig legitimasjon, den delte mappen admin$ aktivert og ingen lokal brannmur som blokkerer NetBIOS-portene på målklienten. Målsystemet må være slått på. At systemet finnes i AD, betyr ikke at det er slått på og aktivt i nettverket. Agentdistribusjon fra McAfee epo-serveren fungerer så lenge du har en godt vedlikeholdt AD-struktur. Hvis ikke, ender du opp med omfattende skallsystemer, eller plassholdere, i systemtreet. Disse skallene er systemer som er importert fra AD-serveren, men som aldri har mottatt en McAfee Agent. Skallsystemer vises i kolonnen Administrert tilstand som Uadministrert. Kontroller at miljøet er tilstrekkelig dekket med agenter for å unngå disse skallsystemene. Disse skallsystemene forårsaker følgende problemer: De gjør Systemtre overfylt og uorganisert. De forstyrrer rapporter og spørringer fordi de bare er plassholdere for systemer, ikke systemer som aktivt kommuniserer med McAfee epo-serveren. Du kan filtrere bort disse skallsystemene i rapportene, men det er mye bedre å kontrollere at miljøet er tilstrekkelig dekket med en McAfee Agent. Slett disse skallsystemene regelmessig med en McAfee epo-serveroppgave. McAfee epolicy Orchestrator programvare Produktveiledning 55

56 4 Konfigurering av McAfee epo-serveren Installere McAfee Agent og lisensiert programvare Anbefalt fremgangsmåte: Legge til McAfee Agent i systemavbildningen Å legge til McAfee Agent under avbildningsprosessen er en god McAfee epo-overholdelsesstrategi. Det sikrer at alle systemene får en McAfee Agent installert. Denne strategien krever planlegging og kommunikasjon med build-teamet for å oppnå fullstendig McAfee epo-overholdelse. Denne kommunikasjonen og planleggingen sikrer at: En McAfee Agent er del av alle systemer. Eventuelle nødvendige McAfee-produkter og tilknyttede policyer hentes fra McAfee epo-serveren av McAfee Agent i systemene. Du har maksimal sikkerhetsdekning for alle systemene i miljøet. Du har to alternativer for å gjøre McAfee Agent til en del av build-prosessen og installere den i de administrerte systemene: Alternativ 1: Inkluder McAfee Agent i Windows-avbildningen før du fryser eller ferdigstiller avbildningen. Kontroller at du sletter McAfee Agent-GUID før du fryser avbildningen Alternativ 2: Kjør den kjørbare McAfee Agent-filen etter at avbildningen er opprettet, med et repeterbart skript. Du kan installere alle klientproduktene i de administrerte systemene ved å: La McAfee Agent sende et kall til McAfee epo-serveren automatisk innen 10 minutter og motta eventuelle policyer og produkter McAfee epo krever. (Anbefales) Gjør endepunktproduktene til en del av build-prosessen og inkluder dem i den opprinnelige avbildningen. I produktveiledningen for McAfee Agent finner du informasjon om hvordan du installerer McAfee Agent i en ikke-vedvarende virtuell avbildning eller i Virtual Desktop Infrastructure (VDI)-modus. Her er noen punkter som kan hjelpe deg å velge riktig alternativ: Fordel eller ulempe Ulempe Fordel Ulempe Fordel Beskrivelse Hvis du lar McAfee Agent hente flere endepunktprodukter, kan den bruke for mye båndbredde. Hvis du har begrenset båndbredde, bør du gjøre produktene til en del av den opprinnelige avbildningen. Hvis endepunktproduktene er del av avbildningsprosessen, kan build-prosessen forekomme i et nettverk der de avbildede systemene ikke har tilkobling til McAfee epo-serveren. Når du har installert McAfee Agent på en klient, tar det flere ekstra minutter å laste ned, installere og oppdatere produktene med en klientoppgave. Denne forsinkelsen oppstår selv om den første agent-til-server-kommunikasjonen foregår nesten umiddelbart. Hvis tiden er viktig, bør du gjøre McAfee-produktene til en del av avbildningen. Da slipper du å vente minutter til produktene er installert, mens systemene er sårbare for trusler. Kontroller at du slettet McAfee Agent-GUID før frysing av avbildningen Kontroller at du sletter McAfee AgentGUID før du fryser avbildningen når du lager McAfee Agent-delen av avbildningen. Hvis denne registernøkkelen ikke slettes, bruker alle systemer med samme avbildning samme GUID, og skaper problemer i miljøet. Se produktveiledningen for McAfee Agent for å få mer informasjon. 56 McAfee epolicy Orchestrator programvare Produktveiledning

57 Konfigurering av McAfee epo-serveren Hva Systemtre gjør 4 Hvis du ikke sletter McAfee Agent-GUID fra registeret før du ferdigstiller avbildningen, kan det bli vanskelig å administrere avbildningene i store miljøer. Du kan ha flere avbildningsteam involvert, eller det kan være at en ekstern organisasjon lager avbildningene. Kontroller at avbildningsteamene forstår hvordan de tilbakestiller GUID-ene hvis datamaskinene ikke vises i McAfee epo-katalogen. Du finner detaljer i KnowledgeBase-artikkelen Slik tilbakestiller du agent-guid hvis datamaskiner ikke vises i McAfee epo-katalogen, KB Hva Systemtre gjør Systemtre er den logiske representasjonen av det administrerte nettverket i McAfee epo-konsollen. Du kan legge til systemer i Systemtre på disse måtene: Legge systemer til i en eksisterende gruppe manuelt Importere systemer fra tekstfil Active Directory-synkronisering Du kan organisere Systemtre på én av disse måtene: Manuell organisering fra konsollen (dra og slipp). Automatisk synkronisering med Active Directory- eller NT-domeneserveren. Vilkårsbasert sortering, der vilkår brukes på systemene manuelt eller automatisk. Systemtre bestemmer disse elementene: Hvordan policyene for ulike produkter arves Hvordan klientoppgavene arves Hvilke grupper systemene går inn i Hvilke tillatelser administratorene har for å få tilgang til å endre gruppene i Systemtre Hvis du oppretter Systemtre for første gang, har du disse primære alternativene for dynamisk organisering av systemene: Bruke Active Directory (AD)-synkronisering Sortere systemene dynamisk Anbefalt fremgangsmåte: Du kan bruke AD-synkronisering med dynamisk sortering av Systemtre, men du bør velge én av dem for å unngå forvirring og konflikter. Se også Hensyn ved planlegging av systemtreet på side 115 Systemtrestruktur Systemtreet er en hierarkisk struktur som brukes til å organisere systemene i nettverket i grupper og undergrupper. Se også Hensyn ved planlegging av systemtreet på side 115 McAfee epolicy Orchestrator programvare Produktveiledning 57

58 4 Konfigurering av McAfee epo-serveren Hva Systemtre gjør Gruppen Min organisasjon Min organisasjon-gruppen er roten i systemtreet og inneholder alle systemer som er lagt til i eller oppdaget i nettverket (manuelt eller automatisk). Inntil du oppretter din egen struktur, legges alle systemene som standard til i gruppen Min gruppe. Gruppenavnet kan ha blitt endret under den første programvareinstalleringen. Min organisasjon-gruppen har følgende kjennetegn: Den kan ikke slettes. Den kan ikke gis nytt navn. Undergruppen Min gruppe Min gruppe er en undergruppe av gruppen Min organisasjon og legges til som standard under den første Komme i gang-programvareinstalleringen. Gruppenavnet kan ha blitt endret under den første programvareinstalleringen. Når installerings-url-en kjøres på datamaskinene i nettverket, grupperes disse som standard i Min gruppe. Hvis du vil gi gruppen nytt navn, velger du Meny Systemer Systemtre. I listen over systemtregrupper klikker du på Min gruppe. Deretter klikker du på Systemtrehandlinger Gi nytt navn til gruppe. Hittegods-gruppe Gruppen Ukjent kilde er en undergruppe av gruppen Min organisasjon. Serveren bruker ulike egenskaper for å avgjøre hvor systemene skal plasseres, avhengig av metodene du angir under oppretting og vedlikehold av systemtreet. Gruppen Ukjent kilde lagrer systemer som har en plassering som ikke kan fastslås. Gruppen Ukjent kilde har følgende egenskaper: Den kan ikke slettes. Den kan ikke gis nytt navn. Sorteringsvilkårene kan ikke endres fra å være en oppsamlingsgruppe, selv om du kan angi sorteringsvilkår for undergruppene du oppretter inni den. Den vises alltid sist i systemtrelisten og alfabetiseres ikke i forhold til andre. Brukere må ha tillatelse til gruppen Ukjent kilde for å se innholdet. Når et system sorteres under gruppen Ukjent kilde, plasseres det i en undergruppe som har fått navn etter systemets domene. Denne gruppen opprettes hvis den ikke finnes fra før. Hvis du sletter systemer fra Systemtre, må du kontrollere at du velger Fjern McAfee Agent fra alle systemer ved neste agent-til-server-kommunikasjon. Hvis McAfee Agent ikke fjernes, dukker slettede systemer opp igjen i Hittegods-gruppen fordi McAfee Agent fremdeles kommuniserer med McAfee epo. Systemtregrupper Systemtregruppene består av en samling systemer. Nettverkets og virksomhetens unike behov avgjør hvilke systemer som grupperes sammen. Du kan gruppere systemer basert på kriterier som støtter dine behov: 58 McAfee epolicy Orchestrator programvare Produktveiledning

59 Konfigurering av McAfee epo-serveren Hva Systemtre gjør 4 Datamaskintype (for eksempel, bærbar, server eller stasjonær) Geografi (for eksempel, Nord-Amerika eller Europa) Avdelingsgrenser (for eksempel Finans eller Markedsføring) Grupper har følgende kjennetegn: Administratorer eller brukere oppretter dem med riktige tillatelser. Dur kan inkludere både systemer og andre grupper (undergrupper). Administrator eller en bruker kan bruke dem med riktige tillatelser. Ved å gruppere systemer med lignende egenskaper eller krav i disse enhetene, kan systemenes policyer administreres på ett sted uten at det må angis policyer individuelt for hvert enkelt system. Vurder den beste måten å organisere systemer i grupper på, som en del av planleggingsprosessen før systemtreet bygges. Standard systemtrestruktur inkluderer disse gruppene: Min organisasjon Roten i systemtreet. Min gruppe: Standardundergruppen lagt til under den første programvareinstalleringen Komme i gang. Gruppenavnet kan ha blitt endret under den første programvareinstalleringen. Gruppen Ukjent kilde Samleundergruppen for alle systemer som ikke er lagt til, eller som ikke kan legges til, i andre grupper i systemtreet. Arv Arv er en egenskap som forenkler policy- og oppgaveadministrasjon. Denne egenskapen gjør at underordnede grupper i Systemtre-hierarkiet arver policyer angitt i de overordnede gruppene. Eksempel: Policyer angitt på nivået Min organisasjon i systemtreet arves av gruppene under dette nivået. Gruppepolicyer arves av undergrupper eller individuelle systemer i den aktuelle gruppen. Denne tabellen er et eksempel på et Systemtre-hierarki. Systemtre Min organisasjon Los Angeles San Francisco Skrivebord Bærbar datamaskin Server Skrivebord Hierarki Toppnivågruppe Underordnet gruppe i Min organisasjon Underordnet gruppe i Los Angeles Underordnet gruppe i Los Angeles Underordnet gruppe i Los Angeles Windows Underordnet gruppe i Server SQL Linux Underordnet gruppe i Server Underordnet gruppe i Server Underordnet gruppe i Min organisasjon Underordnet gruppe i San Francisco McAfee epolicy Orchestrator programvare Produktveiledning 59

60 4 Konfigurering av McAfee epo-serveren Hva Systemtre gjør Systemtre Gruppen Ukjent kilde Bærbar datamaskin Server Hierarki Underordnet gruppe i San Francisco Underordnet gruppe i San Francisco Underordnet gruppe i Min organisasjon I dette eksemplet er alle policyer tildelt til Los Angeles Server-gruppen arvet av de underordnede Windows-, SQL- og Linux-gruppene. Arv aktiveres som standard for alle grupper og individuelle systemer som legges til i systemtreet. Standard arv lar deg angi policyer og planlegge klientoppgaver på færre steder. Ved behov for tilpasning kan arv brytes hvor som helst i systemtreet ved at det angis en ny policy på den aktuelle plasseringen. Du kan låse policytildelingene for å beholde arven. Sortere systemene dynamisk Du kan sortere systemene dynamisk i Systemtre for McAfee epo med en kombinasjon av systemkriterier og andre elementer. Dynamisk sortering krever at du oppretter noen grunnleggende grupper i systemtrestrukturen. I mindre organisasjoner kan det hende at Systemtre ikke er like komplekst og bare inneholder noen få grupper. I store organisasjoner anbefaler vi at du oppretter noen grupper tilsvarende disse eksempeldesignene: GEO: Geografisk plassering NET: Nettverksplassering BU: Forretningsenhet SBU: Underforretningsenhet FUNC: Systemets funksjon (web, SQL, programserver) CHS: Chassis (server, arbeidsstasjon, bærbar datamaskin) Når du har fastsatt de grunnleggende byggeblokkene for grupper i Systemtre, må du finne ut hvilke byggeblokker som skal brukes, og i hvilken rekkefølge, basert på disse faktorene: Policytildeling: Vil du ha mange tilpassede produktpolicyer å tildele til grupper basert på chassis eller funksjon? Vil visse forretningsenheter kreve sine egne produktpolicyer? Nettverkstopologi: Har du sensitive WAN i organisasjonen som du ikke kan risikere blir mettet av en innholdsoppdatering? Hvis du bare har hovedplasseringer, er ikke dette noe problem for miljøet ditt. Klientoppgavetildeling: Når du oppretter en klientoppgave, for eksempel en skanning på forespørsel, må du gjøre det på et gruppenivå, som en forretningsenhet, eller for en systemtype, som en webserver? Innholdsdistribusjon: Vil du ha en agentpolicy som angir at bestemte grupper må få innholdet sitt fra en bestemt programdatabase? Driftskontroller: Vil du trenge spesifikke rettigheter delegert til McAfee epo-administratorene som gir dem mulighet til å administrere spesifikke plasseringer i treet? Spørringer: Vil du trenge mange alternativer ved filtrering av spørringene for å returnere resultater fra en spesifikk gruppe i systemtreet? 60 McAfee epolicy Orchestrator programvare Produktveiledning

61 Konfigurering av McAfee epo-serveren Hva Systemtre gjør 4 Når du har valgt det grunnleggende i systemtrestrukturen, bør du opprette noen prøver på Systemtre-modeller og se på fordelene og ulempene ved hver design. Det finnes ingen riktig eller feil måte å bygge et Systemtre på, bare fordeler og ulemper avhengig av hva du velger. Her er noen av de mest brukte Systemtre-designene: GEO -> CHS -> FUNC NET -> CHS -> FUNC GEO -> BU -> FUNC Det følgende er et eksempel på geografisk plassering, chassis og funksjon. GEO -> CHS -> FUNC Bekrefte systemadministrasjon fra systemtreet Når du har distribuert McAfee Agent og produktprogramvare, kontrollerer du at systemene er i Systemtre og vises som administrerte. Før du begynner Du må ha distribuert McAfee Agent og lastet ned produktprogramvaren til systemene. 1 Velg Meny Systemer Systemtre og klikk på Systemer-fanen for å åpne en liste over administrerte systemer. Hvis ingen systemer vises, klikker du på Denne gruppen og alle undergrupper i Forhåndsinnstilling-listen. McAfee epolicy Orchestrator programvare Produktveiledning 61

62 4 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 2 Kontroller at det står Administrert i kolonnen Administrert tilstand for hver systemrad. Figur 4-2 Systemtre som viser administrerte systemer Hvis det står Uadministrert i kolonnen Administrert tilstand, er systemet lagt til i Systemtre, men McAfee Agent og produktprogramvare er ikke installert i systemet. 3 Dobbeltklikk på systemraden for å vise detaljer om et system på Systeminformasjon-siden. Standard konfigurasjon og felles oppgaver Når du installerer McAfee-produkter på McAfee epo-serveren første gang, installerer og konfigurerer de mange standardfunksjoner for å beskytte de administrerte systemene. Disse standardfunksjonene er: Policyer Spørringer og rapporter Server- og klientoppgaver Dashbord For å få en forståelse av hvordan McAfee epo beskytter de administrerte systemene er det viktig å gjøre seg kjent med disse funksjonene og hvordan de er konfigurert. 62 McAfee epolicy Orchestrator programvare Produktveiledning

63 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 4 Arbeide med produktdistribuering En standard Produktdistribuering opprettes automatisk når du starter McAfee epo. Den forenkler prosessen med å distribuere sikkerhetsprodukter til de administrerte systemene. Eksempel på standard Produktdistribuering McAfee opprettet standard produktdistribusjoner for å distribuere produktene til klientene første gang. Hvis du vil se standard produktdistribueringer, kan du velge Meny Programvare Produktdistribuering. Handlinger for produktdistribuering Denne tabellen viser endringene som er tilgjengelig på Produktdistribuering-siden. Kommando eller handling Beskrivelse Distribueringssammendrag Distribueringsdetaljer status Handling Detaljer Systemnavn Systemhandlinger Status Tagger Viser en liste over produktdistribusjoner som kan filtreres etter type og status, slik at du raskt kan se fremdriften. Klikk på en distribusjon for å vise detaljene. Disse detaljene vises i området for distribusjonsdetaljer. Viser detaljene om den valgte distribusjonen. For eksempel startdato, type, status og annet. Viser fremdriften og statusen. Brukes til å endre en distribusjon. Her kan du vise konfigureringsdetaljer og status for distribueringen. Om nødvendig kan du også klikke på Vis oppgavedetaljer for å åpne siden Rediger distribuering. Viser en filtrerbar liste over målsystemer som mottar distribueringen. Viser en filtrert liste over systemer i en dialogboks med flere detaljer, der du også kan utføre handlinger på systemene, som for eksempel oppdatering og vekking. Viser en linje i tre deler som angir fremdriften og statusen for distribusjonen. Viser tagger knyttet til systemraden. Se også Fordeler med produktdistribusjonsprosjekter på side 181 Velge en produktdistribusjonssmetode på side 180 McAfee epolicy Orchestrator programvare Produktveiledning 63

64 4 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver Arbeide med systemtreet Under første konfigurasjon ble standard systemtregrupper konfigurert for å organisere administrerte systemer. Eksempel på standard systemtre McAfee opprettet standardpolicyer for å beskytte de fleste McAfee epo-brukerne og deres gjennomsnittlige miljøer. Hvis du vil se standardpolicyene og deres konfigurasjon, velger du Meny Systemer Systemtre. Figur 4-3 Standard systemtre-organisering Systemtre-handlinger Denne tabellen viser typen handlinger som er tilgjengelig fra Systemtre. Kommando eller handling Nye systemer Nye undergrupper Beskrivelse Åpner siden Nye systemer. Her kan du legge til systemer i Systemtre. Oppretter en undergruppe i Systemtre. 64 McAfee epolicy Orchestrator programvare Produktveiledning

65 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 4 Kommando eller handling Systemtrehandling Tabellen Handlinger Beskrivelse Nye undergrupper: Oppretter en undergruppe i Systemtre. Gi nytt navn til gruppe: Endrer navn på den valgte gruppen. Slett gruppe: Sletter valgt gruppe eller valgte grupper. Eksporter systemer: Eksporterer en liste over systemer fra Systemtre til en.txt-fil for senere bruk. Sorter nå: Sorterer valgte systemer i grupper med kriteriebasert sortering aktivert. Velg kolonner: Åpner siden Velg kolonner, der du kan velge kolonnene som skal vises på Systemtre-siden. Eksporter tabell: Lar deg eksportere denne tabellen. Tagg: Lar deg endre taggene i kolonnen Tagger. Agent: Angir handlingene du kan utføre på agenter i de valgte systemene. Katalogadministrasjon: Angir handlingene du kan bruke til å administrere systemene i katalogen. Se også Organisering av systemer på side 115 Arbeide med policyer Under den første konfigurasjonen installeres alle lisensierte McAfee-produkter i de administrerte systemene. Disse produktene har tilknyttede standardpolicyer som beskytter systemene. Eksempel på standardpolicy McAfee opprettet standardpolicyer for å beskytte de fleste McAfee epo-brukerne og deres gjennomsnittlige miljøer. Hvis du vil se standardpolicyene og deres konfigurasjon, kan du velge Meny Policy Policykatalog og velge et produkt og en kategori fra rullegardinlistene. McAfee epolicy Orchestrator programvare Produktveiledning 65

66 4 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver Velg for eksempel McAfee Agent i listen Produkt, og som Kategori velger du Alle. Figur 4-4 Eksempel på McAfee Agent-standardpolicy Policyhandlinger Denne tabellen viser policyendringene som er tilgjengelig på siden Policykatalog. Kommando eller handling Slett Dupliser Eksporter Gi nytt navn Del eller Opphev deling Vis eller endre Importer eller Eksporter Ny policy Beskrivelse Sletter policyen. Dupliserer policyen slik at du kan endre den. Eksporterer policyen som en XML-fil. Her kan du gi policyen nytt navn. Klikk for å dele eller oppheve delingen av policyen med andre McAfee epo-servere. Dobbeltklikk på policynavnet for å vise eller endre policykonfigurasjonen. Når du skal registrere policyrevisjoner, skriver du en kommentar i tekstfeltet ved siden av Dupliser i bunnteksten på siden Policykatalog. Når du endrer en policy, vises antallet berørte systemer øverst på siden. Importerer eller eksporterer alle policyer og kategorier som er valgt for produktet. Åpner dialogboksen Opprette en ny policy, hvor du kan opprette en policy for valgt produkt og kategoritype. Se også Tildeling av policyer på side 6 66 McAfee epolicy Orchestrator programvare Produktveiledning

67 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 4 Arbeide med klientoppgaver Under den første konfigurasjonen installeres alle lisensierte McAfee-produkter i de administrerte systemene. Alle disse produktene har tilknyttede standard klientoppgaver som beskytter systemene. Standardklientoppgavene: Samler informasjon om systemene og sender den til McAfee epo. Skanner systemene etter angrep. Legger til og oppdaterer programvare automatisk etter hvert som den legges til eller nye versjoner installeres. Eksempel på standard klientoppgave McAfee opprettet standard klientoppgaver for å beskytte de fleste McAfee epo-brukerne og deres gjennomsnittlige miljøer. Hvis du vil se standardklientoppgavene og deres konfigurasjon, kan du velge Meny Policy Klientoppgavekatalog og utvide et produkt og en klientoppgavetype fra listen Klientoppgavetyper. Fra listen Klientoppgavetyper kan du for eksempel utvide McAfee Agent, velge McAfee Agent-statistikk og klikke på Samle alle i Navn-kolonnen. Figur 4-5 Eksempel på standardklientoppgaven McAfee Agent-statistikk Klientoppgavehandlinger Denne tabellen viser tilgjengelige endringer du kan gjøre i klientoppgaver på siden Klientoppgavekatalog. McAfee epolicy Orchestrator programvare Produktveiledning 67

68 4 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver Kommando eller handling Ny oppgave katalog-handlinger Beskrivelse Åpner dialogboksen Opprette en ny policy, hvor du kan opprette en klientoppgave for det valgte produktet. Importer: Åpner siden Importer, hvor du kan importere klientoppgaveobjekter fra en XML-fil. Eksporter alle: Åpner siden Eksporter. Her kan du eksportere en XML-fil som inneholder alle klientoppgaveobjekter for produktene som står oppgitt i ruten type. Klientoppgaver radhandlinger Vis: Dobbeltklikk på klientoppgavenavnet for å vise konfigurasjonen. Slett: Sletter klientoppgaven. Dupliser: Dupliserer klientoppgaven slik at du kan endre den. Tildel: Åpner oppgavesiden Velg en gruppe der du kan identifisere en gruppe i Systemtre som du vil tildele denne oppgaven. Del eller Opphev deling: Klikk for å dele eller oppheve deling av klientoppgaven med andre McAfee epo-servere. Se også Klientoppgaver på side McAfee epolicy Orchestrator programvare Produktveiledning

69 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 4 Arbeide med serveroppgaver Under den første konfigurasjonen installeres alle lisensierte McAfee-produkter i de administrerte systemene. Alle disse produktene har tilknyttede standard serveroppgaver som beskytter systemene. Eksempel på standard serveroppgave McAfee opprettet standard serveroppgaver for å beskytte de fleste McAfee epo-brukerne og deres gjennomsnittlige miljøer. Hvis du vil se standardserveroppgavene og deres konfigurasjon, kan du velge Meny Automatisering Serveroppgaver. Figur 4-6 Eksempel på standard serveroppgave Du kan for eksempel gjøre deg kjent med konfigurasjon av serveroppgaver ved å finne Last ned programvareproduktlisten i Navn-kolonnen og klikke på Vis i Handlinger-kolonnen. Serveroppgavehandlinger Denne tabellen viser de tilgjengelige endringene du kan gjøre i serveroppgaver på siden Serveroppgaver. Kommando eller handling Ny oppgave Importer oppgaver Beskrivelse Starter Serveroppgavebygger der du kan opprette og planlegge en ny serveroppgave. Åpner siden Importer planlagt oppgave, hvor du kan velge filen som skal importeres. McAfee epolicy Orchestrator programvare Produktveiledning 69

70 4 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver Kommando eller handling Tabellen Handlinger etter at du har valgt en serveroppgave Handlinger på serveroppgaveraden Beskrivelse Velg kolonner: Åpner en dialogboks der du kan velge hvilke kolonner som skal vises. Slett: Sletter serveroppgaven. Dupliser: Dupliserer serveroppgaven slik at du kan endre den. Rediger: Åpner Serveroppgavebygger lastet med innstillingene for valgte serveroppgave, slik at du kan redigere og lagre innstillingene. Aktiver eller Deaktiver: Aktiverer eller deaktiverer de valgte oppgavene. Når en oppgave er deaktivert, kjører den ikke, selv om den er planlagt. Eksporter tabell: Åpner siden Eksporter. Bruk dette alternativet til å angi formatet og pakken for filene som skal eksporteres. Du kan lagre den eksporterte filen eller sende den på e-post. Eksporter oppgaver: Åpner siden Eksporter. Bruk dette alternativet til å angi formatet og pakken for filene som skal eksporteres. Du kan lagre den eksporterte filen eller sende den på e-post. Kjør: Kjører serveroppgaven umiddelbart. Vis: Brukes til å vise serveroppgavekonfigurasjonen. Vis: Brukes til å vise serveroppgavekonfigurasjonen. Rediger: Åpner Serveroppgavebygger lastet med innstillingene for valgte serveroppgave, slik at du kan redigere og lagre innstillingene. Kjør: Kjører serveroppgaven umiddelbart. Se også Serveroppgaver på side McAfee epolicy Orchestrator programvare Produktveiledning

71 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 4 Arbeide med dashbord og overvåkere Under den første konfigurasjonen installeres alle lisensierte McAfee-produkter i de administrerte systemene. Alle disse produktene har tilknyttede dashbord og overvåkere for systemene. Dashbordeksempel McAfee opprettet flere standarddashbord og overvåkere for McAfee epo-systemer i et gjennomsnittlig miljø. Hvis du vil se standarddashbord og -overvåkere og deres konfigurasjon, velger du Meny Rapportering Dashbord. Figur 4-7 Dashbordeksempel Det første dashbordet som vises, er avhengig av hvilken fase av den første konfigurasjonen du er i. De første 24 timene etter at du logger på McAfee epo, vises dashbordet Komme i gang med McAfee epolicy Orchestrator. Etter det er dashbordet epo-sammendrag standarddashbordet. Gjør deg kjent med dashbordkonfigurasjonen ved å klikke på Kortfattet dashbord, Veiledet konfigurasjon eller noen av dashbordene som er lagt til for produktprogramvaren, i dashbordlisten. Dashbordhandlinger Denne tabellen viser handlingene som er tilgjengelig på siden Dashbord. Dashbordhandlinger Beskrivelse Nytt Dupliser Slett Importer Starter dialogboksen Nytt dashbord der du kan opprette et dashbord. Åpner dialogen Dupliser dashbord, slik at du kan lage en redigerbar kopi av det eksisterende dashbordet. Sletter den dupliserte overvåkeren som vises. Starter siden Importer dashbord der du kan velge en XML-dashbordfil å importere. McAfee epolicy Orchestrator programvare Produktveiledning 71

72 4 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver Dashbordhandlinger Beskrivelse Eksporter Legg til overvåker Se også Dashbord og overvåkere på side 4 Eksporterer dashbordet som vises, til en XML-fil. Viser en liste over dashbordkategorier der du kan legge til en tidligere lagret overvåker i visningen. Arbeide med spørringer and rapporter Under den første konfigurasjonen installeres alle lisensierte McAfee-produkter i de administrerte systemene. Disse produktene har tilknyttede standardspørringer og -rapporter som kan brukes. Eksempel på standardspørring McAfee opprettet standardspørringer og -rapporter som tilfredsstiller kravene til de fleste McAfee epo-brukere og deres gjennomsnittmiljøer. Hvis du vil se spørringene og rapportene og deres konfigurasjon, velger du Meny Rapportering Spørringer og rapporter. Figur 4-8 Eksempel på standardspørring Gjør deg kjent med spørringene og hvordan de fungerer ved å velge Spørringer-fanen på siden Spørringer og rapporter. Klikk på Alle i Grupper-listen for å utvide listen. Du kan nå vise spørringer på Spørringer-fanen. For eksempel Agentkommunikasjonssammendrag. Klikk på Kjør i raden Agentkommunikasjonssammendrag, kolonnen Handlinger. Et sektordiagram viser antall administrerte systemer og hvor mange som er kompatible med McAfee epo-standardpolicyen. 72 McAfee epolicy Orchestrator programvare Produktveiledning

73 Konfigurering av McAfee epo-serveren Standard konfigurasjon og felles oppgaver 4 Spørrings- og rapporthandlinger Denne tabellen viser alternativene som er tilgjengelig på siden Spørringer og rapporter. Spørrings- og rapportalternativene tilsvarer alternativene som er tilgjengelig når du klikker på Spørringer- eller Rapporter-fanen. Kommando eller handling Ny spørring eller Ny rapport Importer spørring eller Importer rapport Gruppehandlinger Tabellen Handlinger når du har valgt en spørring eller en rapport Beskrivelse Åpner spørringsbyggersiden eller verktøykassen for rapporter, slik at du kan begynne å opprette din egen spørring eller rapport. Importerer en tidligere lagret XML-fil til den valgte gruppen. Ny gruppe: Åpner siden Rediger gruppe der du kan redigere navnet og synligheten for den valgte gruppen. Slett gruppe: Sletter alle spørringer eller rapporter i den valgte gruppen. Rediger gruppe: Åpner dialogboksen Ny gruppe, hvor du kan opprette en ny spørringsgruppe. Slett: Sletter spørringen eller rapporten. Dupliser: Dupliserer spørringen eller rapporten slik at du kan endre den. Rediger: Åpner konfigurasjonssiden med innstillingene for den dupliserte eller nye spørringen eller rapporten lastet, slik at du kan redigere og lagre innstillingene. Eksporter spørringer eller Eksporter rapporter: Eksporterer de valgte spørringene eller rapportene som XML-filer. Eksporter spørringsdata: Åpner Eksporter-siden der du kan konfigurere alternativene for eksportfilen. Flytt til en annen gruppe: Flytter den valgte spørringen til den angitte spørringsgruppen. Eller du kan dra og slippe spørringen til en spørringsgruppe. Ny rapport fra merket område: Åpner rapportutforming som er forhåndsutfylt med detaljene for den valgte spørringen. Kjør: Kjører spørringen eller rapporten umiddelbart. Tidsplan: Åpner serveroppgavebyggeren der du kan opprette en serveroppgave som skal kjøre spørringen i henhold til en tidsplan. Vis SQL: Åpner Vis spørrings-sql-siden, hvor du kan vise eller kopiere SQL-skriptet for spørringen. Se også Oppretting av spørringer og rapporter på side 4 McAfee epolicy Orchestrator programvare Produktveiledning 73

74 4 Konfigurering av McAfee epo-serveren Bekrefte systembeskyttelse og se trusler Bekrefte systembeskyttelse og se trusler Du kan kjøre en testfil for beskyttelse mot skadelig programvare i et administrert system for å se hvordan eksempeltrusselen slettes og hvordan den vises i McAfee epo. Virustestprosess Disse oppgavene beskriver kjøring av testfilen for beskyttelse mot skadelig programvare i administrerte systemer for å se hvordan systemviruset slettes og hvordan det vises i McAfee epo. Når du kjører denne testfilen for beskyttelse mot skadelig programvare i et administrert system, kan du: Kontrollere at systemene er administrerte og beskyttet. Lær hvordan du sporer en hendelse fra de administrerte systemene til McAfee epo. Se hvordan og hvor trusselhendelsene vises i McAfee epo-brukergrensesnittet. r Kjøre en eksempeltrussel i et administrert system på side 75 Du logger på et administrert system fysisk eller eksternt for å kjøre en testfil for beskyttelse mot skadelig programvare. Finne systemet som skal testes, med Systemtre Systemtre inneholder alle administrerte systemer og deres status. Velg ett der du kan kjøre testfilen for beskyttelse mot skadelig programvare. Før du begynner Du må ha administratorrettigheter i det administrerte systemet for å kjøre testfilen for beskyttelse mot skadelig programvare. Velg et system som ikke kjører kritiske prosesser. Du bør for eksempel ikke kjøre testfilen for beskyttelse mot skadelig programvare på en server. 1 Velg Meny Systemer Systemtre og klikk på Systemer-fanen for å åpne en liste over administrerte systemer. Hvis ingen systemer vises, klikker du på Denne gruppen og alle undergrupper i Forhåndsinnstilling-listen. 2 Klikk på et system i Systemnavn-kolonnen for å åpne systeminformasjonssiden. 3 Rull ned i listen for å finne informasjonen du trenger for å logge på testsystemet eksternt. Du kan for eksempel bruke denne informasjonen: DNS-navn IP-adresse Systembeskrivelse 4 Klikk på Produkter-fanen for å se en liste over produkter og versjoner installert i testsystemet. 5 Bekreft at Endpoint Security Threat Prevention er installert i testsystemet. 74 McAfee epolicy Orchestrator programvare Produktveiledning

75 Konfigurering av McAfee epo-serveren Bekrefte systembeskyttelse og se trusler 4 Du har nå informasjonen du trenger for å logge på testsystemet eksternt og kjøre testfilen for beskyttelse mot skadelig programvare. Se også Bekrefte systemadministrasjon fra systemtreet på side 61 Kjøre en eksempeltrussel i et administrert system Du logger på et administrert system fysisk eller eksternt for å kjøre en testfil for beskyttelse mot skadelig programvare. Før du begynner Du må ha administratorrettigheter i det administrerte systemet for å kjøre testfilen for beskyttelse mot skadelig programvare. 1 Slik logger du på testsystemet med administratorrettigheter. Du kan logge på testsystemet ved å: Gå til systemet og logge på. Bruke en ekstern tilkoblingsprosess, for eksempel Tilkobling til eksternt skrivebord i Windows, til å logge på. 2 Bruke en nettleser til å koble til EICAR-webområdet for å laste ned testfilen for beskyttelse mot skadelig programvare: 3 Følg anvisningene for å laste ned og kjøre den 68-biters eicar.com-testfilen for beskyttelse mot skadelig programvare. Testfilen for beskyttelse mot skadelig programvare kjøres og slettes, eller filen blokkeres før den kan kjøres. 4 Klikk på Start Alle programmer McAfee McAfee Endpoint Security i Windows, og klikk på Status. Et trusselsammendrag viser typen trussel og antall mottatte trusler. 5 Klikk på Hendelseslogg for å vise trusselhendelsene i Hendelse-tabellen. Den nederste ruten i tabellen viser detaljer om trusselhendelsene. Bekrefte trusselresponsen i McAfee epo En viktig del av beskyttelsen av systemene er å vite hvor du skal se etter trusselhendelser i McAfee epo. Før du begynner Du må kjøre EICAR-testfilen for beskyttelse mot skadelig programvare for å se eventuelle trusselhendelser. McAfee epolicy Orchestrator programvare Produktveiledning 75

76 4 Konfigurering av McAfee epo-serveren Hva nå 1 Logg på McAfee epo og klikk på Meny Rapportering Dashbord. 2 Velg ett av dashbordene beskrevet i denne tabellen, i tittellinjen til Dashbord-listen. Dashbord epo-sammendrag Kortfattet dashbord Trusselhendelser Trusselbeskrivelse Vis nylige trusler i linjediagrammet Påvisningshistorikk for skadelig programvare. Viser et linjediagram med påvisningshistorikk for skadelig programvare. Viser nylige trusler i disse dashbordene: Tabellen Beskrivelser av hyppigst forekommende trusselhendelser Tabellen og sektordiagrammet Trusselhendelser etter systemtregruppe Tabellen og sektordiagrammet Trusselhendelsesbeskrivelser de siste 24 timene Linjediagrammet Trusselhendelser de siste 2 ukene 3 Klikk på Meny Rapportering Trusselhendelseslogg for å se en beskrivelse av nylige trusler. Informasjonen i tabellen omfatter: Tidspunkt for generering av hendelse Trusselmålets IPv4-adresse Hendelses-ID Handling utført Hendelsesbeskrivelse Trusseltype Hendelseskategori 4 Klikk på hendelsen i tabellen for å se alle detaljer om trusselen. 5 På slutten av trusseldetaljene klikker du på Gå til relaterte systemer for å se detaljert informasjon om det berørte systemet. Se også Kjøre en eksempeltrussel i et administrert system på side 75 Hva nå Når du har utført all innledende konfigurasjon og kontrollert at de administrerte systemene er beskyttet, bør du vurdere andre konfigurasjonstrinn, avhengig av sikkerhetsbehovene i nettverket. Andre enkle trinn som kan hjelpe deg å administrere McAfee epo, er: Legg til andre McAfee epo-brukere og -tillatelser. Organiser systemtreet for å gjenspeile geografiske, politiske eller funksjonelle grenser. Legg til tagger til å identifisere og sortere systemer. Konfigurer en automatisk respons når visse regler oppfylles. 76 McAfee epolicy Orchestrator programvare Produktveiledning

77 Konfigurering av McAfee epo-serveren Hva nå 4 For komplekse eller store administrerte nettverk: Opprett tilpassede server- eller klientoppgaver. Opprett manuelle konfigurasjoner for policyadministrasjon, produktprogramvare og oppdatering. Legg til agentbehandlere og eksterne programdatabaser. Opprett tilpassede SSL-sertifikater. Overvåk båndbreddebruk og hvordan den påvirker McAfee epo-ytelsen. Kjør vedlikeholdsoppgaver for å optimere og beskytte McAfee epo-serverdataene. Kjør automatiske spørringer og rapporter. McAfee epolicy Orchestrator programvare Produktveiledning 77

78 4 Konfigurering av McAfee epo-serveren Hva nå 78 McAfee epolicy Orchestrator programvare Produktveiledning

79 Avansert konfigurasjon Den forrige delen beskriver første konfigurering av McAfee epo og kjøring av spørringer og rapporter. Disse kapitlene beskriver eksempelvis hvordan du legger til mange flere administrerte systemer, foretar detaljerte konfigurasjonsendringer og utfører servervedlikehold. Kapittel 5 Kapittel 6 Kapittel 7 Kapittel 8 Kapittel 9 Kapittel 10 Kapittel 11 Kapittel 12 Kapittel 13 Kapittel 14 Kapittel 15 Kapittel 16 Kapittel 17 Kapittel 18 Kapittel 19 Kapittel 20 Kapittel 21 Dashbord og overvåkere Oppretting av spørringer og rapporter Gjenoppretting etter katastrofe Bruke systemtreet og tagger Brukerkontoer og tillatelsessett Programvarebehandling Manuell pakke- og oppdateringsadministrasjon Distribuering av produkter Tildeling av policyer Server- og klientoppgaver Konfigurering av automatiske responser Agent-til-server-kommunikasjon Automatisering og optimalisering av McAfee epo-arbeidsflyten Programdatabaser Agentbehandlere Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Rapportering med spørringer McAfee epolicy Orchestrator programvare Produktveiledning 79

80 Avansert konfigurasjon 80 McAfee epolicy Orchestrator programvare Produktveiledning

81 5 Dashbord 5 og overvåkere Med dashbord kan du holde et konstant øye med miljøet. Et dashbord er en samling overvåkere. Overvåkere samler informasjon om miljøet i lettfattelige grafer og diagrammer. Relaterte overvåkere er vanligvis gruppert på et bestemt dashbord. Dashbordet Trusselhendelser inneholder for eksempel fire overvåkere som viser informasjon om trusler i nettverket. Du må ha riktige tillatelser til å vise eller endre dashbord og overvåkere. Innhold Bruke dashbord og overvåkere Administrere dashbord Eksportere og importere dashbord Angi førstegangsdashbord Administrere dashbordovervåkere Flytte og endre størrelsen på dashbordovervåkere Angi standard oppdateringsintervaller for overvåker Bruke dashbord og overvåkere Tilpass dashbordene og overvåkerne for å få informasjonen du trenger for rollen og miljøet. Et dashbord er en samling overvåkere. Overvåkere samler informasjon om miljøet i lettfattelige grafer og diagrammer. Relaterte overvåkere er vanligvis gruppert på et bestemt dashbord. Dashbordet Trusselhendelser inneholder for eksempel fire overvåkere som viser informasjon om trusler i nettverket. McAfee epo-konsollen har et standarddashbord som vises første gang du logger på. Neste gang du logger på, viser Dashbord-siden dashbordet du sist brukte. Hvis du har slettet alle standarddashbordene, vises denne teksten midt på dashbordsiden når du starter McAfee epo: Ingen dashbord er konfigurerte. Opprett et nytt dashbord, eller importer et eksisterende dashbord. Du kan bytte dashbord ved å velge et annet dashbord fra rullegardinlisten. Det er tre ulike typer dashbord å velge mellom. McAfee-dashbord: McAfee-dashbord kan ikke redigeres og kan vises av alle brukere. Du kan duplisere et McAfee-dashbord som et utgangspunkt for dine egne tilpassede dashbord. Offentlige dashbord: Offentlige dashbord er brukeropprettede dashbord som deles mellom brukere. Private dashbord: Dette er dashbordene du har opprettet til eget bruk. Private dashbord deles ikke med andre brukere. McAfee epolicy Orchestrator programvare Produktveiledning 81

82 5 Dashbord og overvåkere Administrere dashbord Når du oppretter et privat eller offentlig dashbord, kan du dra og slippe overvåkerne du ønsker, fra overvåkingsgalleriet til det nye dashbordet. Se også Administrere dashbord på side 82 Administrere dashbordovervåkere på side 85 Eksportere og importere dashbord på side 84 Administrere dashbord Opprett, rediger, dupliser, slett og tildel tillatelser til dashbord. Før du begynner Du må ha riktige tillatelser for å endre et dashbord. Standarddashbordene og de forhåndsdefinerte spørringene som leveres med epolicy Orchestrator, kan ikke endres eller slettes. Hvis du vil gjøre endringer, må du duplisere og endre navnet på dashbordet eller spørringen før du utfører endringen. 1 Velg Meny Rapportering Dashbord for å navigere til siden Dashbord. 2 Velg en av disse handlingene. 82 McAfee epolicy Orchestrator programvare Produktveiledning

83 Dashbord og overvåkere Administrere dashbord 5 Handling Opprett et dashbord Trinn Hvis du vil lage en annerledes visning av miljøet, kan du opprette et nytt dashbord. 1 Klikk på Dashbordhandlinger Ny. 2 Angi et navn, velg synlighet for dashbordet, og klikk deretter på OK. Et nytt tomt dashbord vises. Du kan legge til overvåkere i det nye dashbordet etter behov. Rediger og tildel tillatelser til et dashbord Dashbord er bare synlig for brukere med tilstrekkelig tillatelse. Dashbord får tillatelser på samme måte som spørringer eller rapporter. De kan enten være helt private, fullstendig offentlige eller delte med én eller flere tillatelsessett. 1 Klikk på Dashbordhandlinger Rediger. 2 Velg tillatelse: Privat: Ikke del dette dashbordet Offentlig; Del dette dashbordet med alle Delt: Del dette dashbordet med følgende tillatelsessett Med dette alternativet må du også velge ett eller flere tillatelsessett. 3 Klikk på OK for å endre dashbordet. Du kan opprette et dashbord med mer omfattende tillatelser enn én eller flere spørringer på selve dashbordet. Hvis du gjør dette, vil brukere som har tilgang til underliggende data, se spørringen når de åpner dashbordet. Brukere som ikke har tilgang til underliggende data, får melding om at de har ikke tilgang til spørringen. Hvis spørringen er privat for vedkommende som opprettet dashbordet, kan bare vedkommende som opprettet dashbordet, endre spørringen eller fjerne den fra dashbordet. Dupliser et dashbord Noen ganger er den enkleste måten å opprette et nytt dashbord på, å kopiere et eksisterende som er nesten slik du ønsker. 1 Klikk på Dashbordhandlinger Dupliser. 2 epolicy Orchestrator navngir duplikatet ved å legge til (copy) etter det eksisterende navnet. Hvis du vil endre dette navnet, kan du gjøre det nå. Klikk deretter på OK. Det dupliserte dashbordet åpnes. Duplikatet er en nøyaktig kopi av det opprinnelige dashbordet, inkludert alle tillatelsene. Bare navnet er endret. Slett et dashbord 1 Klikk på Dashbordhandlinger Slett. 2 Klikk på OK for å slette dashbordet. Dashbordet slettes, og systemets standard dashbord vises. Brukere som hadde dette dashbordet som sitt sist viste dashbord, ser systemets standard dashbord neste gang de logger på. Se også Bruke dashbord og overvåkere på side 81 McAfee epolicy Orchestrator programvare Produktveiledning 83

84 5 Dashbord og overvåkere Eksportere og importere dashbord Eksportere og importere dashbord Når du har definert dashbordet og overvåkerne, er den raskeste måten å migrere dem til andre McAfee epo-servere på, å eksportere dem og deretter importere dem til andre servere. Før du begynner Du må ha tilgang til et tidligere eksportert dashbord i form av en XML-fil for å importere et dashbord. Et dashbord som eksporteres som XML-fil, kan importeres til det samme eller et annet system. 1 Velg Meny Rapportering Dashbord. 2 Velg en av disse handlingene. Handling Eksporter dashbord Importer dashbord Trinn 1 Klikk på Dashbordhandlinger Eksporter. Nettleseren forsøker å laste ned en XML-fil i henhold til nettleserinnstillingene. 2 Lagre den eksporterte XML-filen til ønsket plassering. 1 Klikk på Dashbordhandlinger Importer. Dialogboksen Importer dashbord vises. 2 Klikk på Bla,og velg XML-filen som inneholder et eksportert dashbord. Klikk på Åpne. 3 Klikk på Lagre. Bekreftelsesdialogboksen Importer dashbord vises. Navnet på dashbordet i filen vises, samt dashbordets navn i systemet. Som standard er dette navnet på dashbordet som eksporteres, med (imported) lagt til. 4 Klikk på OK. Hvis du ikke ønsker å importere dashbordet, klikker du på Lukk. Det importerte dashbordet vises. Uansett hvilke rettigheter dashbordene hadde da de ble eksportert, får importerte dashbord private tillatelser. Hvis du vil at et dashbord skal ha andre tillatelser, kan du endre tillatelsene etter at dashbordet er importert. Se også Bruke dashbord og overvåkere på side 81 Angi førstegangsdashbord Bruk Dashbord-serverinnstillingen til å bestemme hvilket dashbord som vises når en bruker logger på første gang. Du kan angi hvilket dashbord brukerne ser når de logger på første gang, ved å knytte det til brukerens tillatelsessett. Tilknytning av dashbord til tillatelsessett sikrer at brukerne som har fått tildelt bestemte roller, automatisk får informasjonen de trenger. 84 McAfee epolicy Orchestrator programvare Produktveiledning

85 Dashbord og overvåkere Administrere dashbordovervåkere 5 1 Åpne siden Rediger dashbord. a Velg Meny Konfigurasjon Serverinnstillinger. b c Velg Dashbord fra listen Innstillingskategorier. Klikk på Rediger. 2 Angi standarddashbordet som vises for hvert tillatelsessett, ved siden av Standarddashbord for spesifikke tillatelsessett. Velg et tillatelsessett og standard dashbord fra menyene. Bruk og til å legge til eller fjerne par av tillatelsessett og dashbord. Du trenger ikke å angi et standarddashbord for hvert tillatelsessett. Rekkefølgen på parene bestemmer hvilket standarddashbord som vises for brukere med flere tildelte tillatelsessett. 3 Klikk på Lagre. Første gang en bruker logger på, vises dashbordet du angav for vedkommendes tillatelsessett. Påfølgende pålogginger returnerer brukeren til siden vedkommende logget av fra. Administrere dashbordovervåkere Du kan opprette, legge til og fjerne overvåkere fra dashbord. Før du begynner Du må ha skrivetillatelse for dashbordet du ønsker å endre. Hvis du mangler nødvendige rettigheter eller produktlisenser til å vise en overvåker, eller hvis den underliggende spørringen for overvåkeren ikke lenger er tilgjengelig, vises melding om dette i stedet for overvåkeren. 1 Velg Meny Rapportering Dashbord. Velg et dashbord fra rullegardinlisten for Dashbord. 2 Velg en av disse handlingene. McAfee epolicy Orchestrator programvare Produktveiledning 85

86 5 Dashbord og overvåkere Flytte og endre størrelsen på dashbordovervåkere Handling Legg til en overvåker Trinn 1 Klikk på Legg til overvåker. Overvåkingsgalleri vises øverst på skjermen. 2 Velg en overvåkerkategori i rullegardinlisten Vis. Tilgjengelig overvåkere i den aktuelle kategorien vises i galleriet. 3 Dra en overvåker til dashbordet. Når du flytter markøren rundt på dashbordet, utheves den nærmeste tilgjengelige plasseringen der du kan slippe overvåkeren. Slipp overvåkeren på ønsket plassering. Dialogboksen Ny overvåker vises. 4 Konfigurerer overvåkeren etter behov (hver overvåker har sitt eget sett med konfigurasjonsalternativer), og klikk deretter på OK. 5 Etter at du har lagt til overvåkere på dashbordet, klikker du på Lagre endringer for å lagre det nykonfigurerte dashbordet. 6 Når du er ferdig med endringene, klikker du på Lukk. Hvis du legger til overvåkeren Egendefinert URL-viser som inneholder Adobe Flash-innhold eller ActiveX-kontroller på dashbordet, kan det hende at innholdet skjuler McAfee epo-menyer og gjør deler av menyene utilgjengelig. Rediger en overvåker Hver enkelt overvåkningstype støtter ulike konfigureringsalternativer. Eksempel: En spørringsovervåker tillater at spørringen, databasen og oppdateringsintervallet endres. 1 Velg en overvåker du vil administrere, klikk på pilen øverst til venstre og velg Rediger overvåker. Dialogboksen for konfigurasjon av overvåkeren vises. 2 Når du har fullført endringene i innstillingene for overvåkeren, klikker du på OK. Klikk på Avbryt hvis du ikke ønsker å foreta endringer. 3 Hvis du vil beholde endringene i dashbordet, klikker du på Lagre. Hvis du ikke vil beholde dem, klikker du på Forkast. Fjern en overvåker 1 Velg en overvåker du vil fjerne, velg pilen øverst til venstre og velg Fjern overvåker. Dialogboksen for konfigurasjon av overvåkeren vises. 2 Når du har fullført endringene i dashbordet, klikker du på Lagre endringer. Du kan tilbakestille dashbordet til en tidligere tilstand ved å klikke på Forkast endringer. Se også Bruke dashbord og overvåkere på side 81 Flytte og endre størrelsen på dashbordovervåkere Du kan flytte og endre størrelsen på overvåkere for effektiv bruk av plassen på skjermen. Før du begynner Du må ha skrivetillatelse for dashbordet du ønsker å endre. Du kan endre størrelsen på mange dashbordovervåkere. Hvis overvåkeren har små diagonale linjer nederst i høyre hjørne, kan du endre størrelsen på den. Bruk dra og slipp i det aktuelle dashbordet for å flytte overvåkere og endre størrelsen på dem. 86 McAfee epolicy Orchestrator programvare Produktveiledning

87 Dashbord og overvåkere Angi standard oppdateringsintervaller for overvåker 5 1 Flytte eller endre størrelse på en overvåker: For å flytte en dashbordovervåker: 1 Dra overvåkeren etter tittellinjen mot plasseringen du vil at den skal vises på. Når du flytter markøren, flyttes bakgrunnskonturen for overvåkeren til den nærmeste tilgjengelige plasseringen. 2 Når bakgrunnskonturen er endret til plasseringen du ønsker, slipper du overvåkeren. Hvis du prøver å slippe overvåkeren på et ugyldig sted, tilbakestilles den til forrige plassering. For å endre størrelse på en dashbordovervåker: 1 Dra ikonet for å endre størrelse som er plassert nederst til høyre i overvåkeren, til ønsket plassering. Når du flytter markøren, endres formen på bakgrunnskonturen for overvåkeren slik at den reflekterer den støttede plasseringen som er nærmest markørens aktuelle plassering. Overvåkerne kan håndheve en minimums- eller maksimumstørrelse. 2 Når bakgrunnskonturen er endret til ønsket størrelse, slipper du overvåkeren. Hvis du prøver å endre størrelsen på overvåkeren til en form som ikke støttes på overvåkerens aktuelle plassering, tilbakestilles den til den forrige størrelsen. 2 Klikk Lagre endringer. For å gå tilbake til den forrige konfigurasjonen, klikker du på Forkast endringer. Angi standard oppdateringsintervaller for overvåker Bruk Dashbord-serverinnstillingen til å angi standardfrekvensen for oppdatering av nye overvåkere. Overvåkere oppdateres automatisk. Hver gang en oppdatering skjer, kjøres den underliggende spørringen, og resultatene vises på dashbordet. Velg et standard oppdateringsintervall for nye overvåkere som er hyppig nok til å sikre at nøyaktig og betimelig informasjon vises, uten å bruke unødvendige nettverksressurser. Standardintervallet er 5 minutter. 1 Åpne siden Rediger dashbord. a Velg Meny Konfigurasjon Serverinnstillinger. b c Velg Dashbord fra listen Innstillingskategorier. Klikk på Rediger. 2 Oppgi en verdi mellom ett minutt og 60 timer ved siden av Standard oppdateringsintervall for nye overvåkere. 3 Klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 87

88 5 Dashbord og overvåkere Angi standard oppdateringsintervaller for overvåker Nye overvåkere oppdateres i henhold til intervallet du angav. Eksisterende overvåkere beholder sine opprinnelige oppdateringsintervaller. Brukere kan alltids endre oppdateringsintervallet for enkeltovervåkere i vinduet Rediger overvåker. 88 McAfee epolicy Orchestrator programvare Produktveiledning

89 6 6 Oppretting av spørringer og rapporter McAfee epo leveres med egne spørrings- og rapporteringsfunksjoner. Følgende er inkludert: Spørringsbyggeren og rapportbyggeren som oppretter og kjører spørringer og rapporter, som resulterer i brukerkonfigurerte data i brukerkonfigurerte diagrammer og tabeller. Dataene for disse spørringene og rapportene kan hentes ut fra alle registrerte interne eller eksterne databaser i epolicy Orchestrator-systemet. I tillegg til spørrings- og rapporteringssystemer kan du bruke disse loggene for å innhente informasjon om aktiviteter som skjer på McAfee epo-serveren din og i nettverket: Revisjonslogg Serveroppgavelogg Trusselhendelseslogg Innhold Tillatelser til spørringer og rapporter Innledning til spørringer Spørringsbygger Arbeide med spørringer Om rapporter Strukturen til en rapport Opprette en rapport Redigere en eksisterende rapport Kjøre en rapport i henhold til en tidsplan Vise rapportresultat Konfigurere malen og plasseringen for eksporterte rapporter Gruppere rapporter sammen Tillatelser til spørringer og rapporter Du kan velge flere måter å begrense tilgangen til spørringer og rapporter på. For å kjøre en spørring eller rapport må du ha tillatelse både til den aktuelle spørringen eller rapporten, og til funksjonssettet som er knyttet til de aktuelle resultattypene. Resultatsidene for en spørring gir bare tilgang til handlinger som tillates i samsvar med tillatelsessettene dine. McAfee epolicy Orchestrator programvare Produktveiledning 89

90 6 Oppretting av spørringer og rapporter Innledning til spørringer Grupper og tillatelsessett kontrollerer tilgangen til spørringer og rapporter. Alle spørringer og rapporter må tilhøre en gruppe, og tilgang til den aktuelle spørringen eller rapporten styres av tillatelsesnivået til gruppen. Spørrings- og rapportgrupper har ett av følgende et tillatelsesnivåer: Privat: Gruppen er bare tilgjengelig for brukeren som opprettet den. Offentlig: Gruppen deles globalt. Etter tillatelsessett: Gruppen er bare tilgjengelig for brukere som er tildelt de valgte tillatelsessettene. Tillatelsessett har fire tilgangsnivåer for spørringer eller rapporter. Dette omfatter følgende tillatelser: Ingen tillatelser: Kategorien Spørring eller Rapport er ikke tilgjengelig for brukere uten tillatelser. Bruk offentlige spørringer: Gir tillatelse til å bruke alle spørringer eller rapporter som er plassert i en offentlig gruppe. Bruk offentlige spørringer: opprett og rediger personlig spørringer: Gir tillatelse til å bruke alle spørringer eller rapporter som er plassert i en offentlig gruppe, så vel som muligheten til å bruke Spørringsbygger til å opprette og redigere spørringer eller rapporter i private grupper. Rediger offentlige spørringer: opprett og rediger personlig spørringer, og gjør personlige spørringer offentlige: Gir tillatelse til å bruke og redigere alle spørringer eller rapporter som er plassert i offentlige grupper, opprette og redigere spørringer eller rapporter i private grupper, så vel som muligheten til å flytte spørringer eller rapporter fra private grupper til offentlige eller delte grupper. Innledning til spørringer Med spørringer kan du utføre spørringer mot McAfee epo-data. Informasjon som samles inn gjennom spørringer, returneres i form av diagrammer og tabeller. En spørring kan brukes til å få et svar umiddelbart. Resultatene av en spørring kan eksporteres til en rekke formater som kan lastes ned eller sendes som vedlegg til en e-postmelding. De fleste spørringer kan også brukes som dashbordovervåkere, noe som gir systemovervåkning i tilnærmet sanntid. Spørringer kan også kombineres til rapporter, som gir en bredere og mer systematisk oversikt over McAfee epo-programvaresystemet. Standarddashbordene og de forhåndsdefinerte spørringene som leveres med McAfee epo, kan ikke endres eller slettes. Men du kan duplisere dem og så gi dem nye navn og endre dem etter behov. Handlinger kan utføres på spørringsresultatene Spørringsresultatene som vises i tabeller (med og uten detaljvisningstabeller) har tilgjengelige handlinger for utvalgte elementer. Handlingene er tilgjengelig nederst på resultatsiden. Spørringer som dashbordovervåkere De fleste spørringer kan brukes som dashbordovervåkere (unntatt de som viser innledende resultater i en tabell). Dashbordovervåkere oppdateres automatisk i intervaller som konfigureres av brukeren (standardintervallet er fem minutter). Eksporterte resultater Spørringsresultater kan eksporteres til fire formater. Eksporterte resultater er historiske data og oppdateres ikke på samme måte som andre overvåkere når de brukes som dashbordovervåkere. Du kan vise mer detaljert informasjon i HTML-eksportene på samme måte som i spørringsresultater og spørringsbaserte overvåkere som vises i konsollen. I motsetning til spørringsresultater i konsollen kan du ikke foreta handlinger i eksporterte rapporter. 90 McAfee epolicy Orchestrator programvare Produktveiledning

91 Oppretting av spørringer og rapporter Spørringsbygger 6 Rapportene er tilgjengelige i flere formater: CSV bruk dataene i et regnearkprogram (f.eks. Microsoft Excel). XML Transformerer dataene for skript og andre formål. HTML vis eksporterte resultater som en webside. PDF skriv ut resultatene. Kombinere spørringer i rapporter Rapporter kan inneholde en blanding av spørringer, bilder, statisk tekst og andre elementer. De kan kjøres på forespørsel eller i henhold til en tidsplan, og lager PDF-filer for visning utenfor McAfee epo. Dele spørringer mellom servere En spørring kan importeres og eksporteres, slik at du kan dele spørringer mellom servere. Du trenger kun å opprette en spørring én gang i et miljø med flere servere. Hente data fra ulike kilder Spørringer kan hente data fra en hvilken som helst registrert server, inkludert databaser utenfor McAfee epo. Spørringsbygger McAfee epo har en enkel, firetrinns veiviser som brukes til å opprette og redigere egendefinerte spørringer. Med veiviseren kan du konfigurere hvilke data som hentes og vises, og hvordan de vises. Resultattyper De første valgene du gjør i spørringsbyggeren, er skjema og resultattype fra en funksjonsgruppe. Dette valget identifiserer hvor spørringen henter data og hvilken type data den henter, og bestemmer tilgjengelige valg i resten av veiviseren. Diagramtyper McAfee epo inneholder flere diagrammer og tabeller for å vise dataene som hentes. Disse diagrammene og tabellene med detaljvisning er enkle å konfigurere. Tabellene omfatter ikke tabeller med detaljvisning. Tabell 6-1 Diagramtypegrupper Type Stolpe Sektor Boble Diagram eller tabell Stolpediagram Diagram med grupperte stolper Stablet stolpediagram Boolsk sektordiagram Sektordiagram Boblediagram McAfee epolicy Orchestrator programvare Produktveiledning 91

92 6 Oppretting av spørringer og rapporter Arbeide med spørringer Tabell 6-1 Diagramtypegrupper (fortsatt) Type Sammendrag Linje Liste Diagram eller tabell Sammendragstabell for flere grupper Sammendragstabell for enkeltgruppe Diagram med flere linjer Diagram med én linje Tabell Tabellkolonner Angi kolonner for tabellen. Hvis du velger Tabell som primær datavisning, konfigurerer dette den aktuelle tabellen. Hvis du velger en type diagram som primær datavisning, konfigurerer dette detaljvisningstabellen. Det kan foretas handlinger for spørringsresultatene som vises i en tabell. Eksempel: Hvis tabellen er utfylt med systemer, kan du installere eller vekke agentene i disse systemene direkte fra tabellen. Filtre Angi vilkår ved å velge egenskaper og operatorer for å begrense data som hentes av spørringen. Arbeide med spørringer Spørringer kan kjøres, eksporteres og annet etter behov. r Administrere egendefinerte spørringer på side 92 Du kan opprette, duplisere, redigere og slette spørringer etter behov. Kjøre en spørring etter en tidsplan på side 94 En serveroppgave brukes for å kjøre en spørring med jevne mellomrom. Spørringer kan ha underhandlinger du kan bruke til å utføre en rekke handlinger, som for eksempel å sende spørringsresultater via e-post eller jobbe med tagger. Opprette en spørringsgruppe på side 95 Med spørringsgrupper kan du lagre spørringer eller rapporter uten at andre brukere får tilgang til disse. Administrere egendefinerte spørringer Du kan opprette, duplisere, redigere og slette spørringer etter behov. 1 Åpne siden Spørringer og rapporter: velg Meny Rapportering Spørringer og rapporter. 2 Velg en av disse handlingene. 92 McAfee epolicy Orchestrator programvare Produktveiledning

93 Oppretting av spørringer og rapporter Arbeide med spørringer 6 Handling Opprette tilpasset spørring Trinn 1 Klikk på Ny spørring. Spørringsbyggeren vises. 2 På siden Resultattype velger du Funksjonsgruppe og Resultattype for denne spørringen. Klikk deretter på Neste. 3 Velg typen diagram eller tabell hovedresultatene fra spørringen skal vises i, og klikk på Neste. Hvis du velger Boolsk sektordiagram, må du konfigurere kriteriene som skal inkluderes i spørringen før du fortsetter. 4 Velg kolonnene som skal inkluderes i spørringen, og klikk på Neste. Hvis du valgte Tabell på siden Diagram, er kolonnene du velger her, kolonnene i tabellen. Ellers er det disse kolonnene som utgjør tabellen for spørringsdetaljer. 5 Velg egenskaper for å avgrense søkeresultatene og klikk på Kjør. Resultatene fra spørringen vises på siden for ikke-lagrede spørringer. Du kan utføre handlinger på disse resultatene. Du kan bruke tilgjengelige handlinger på elementer i tabellene eller detaljvisningstabellene. Valgte egenskaper vises i innholdsruten. Her vises også operatorer som kan angi kriterier som avgrenser dataene som returneres for de aktuelle egenskapene. Hvis spørringen ikke ga de forventede resultatene, kan du klikke på Rediger spørring for å gå tilbake til spørringsbyggeren og redigere detaljene for spørringen. Klikk på Lukk hvis du ikke vil lagre spørringen. Hvis du vil bruke denne spørringen på nytt, kan du klikke på Lagre og fortsette til neste trinn. 6 Siden Lagre spørring åpnes. Angi et navn på spørringen, legg til eventuelle notater, og velg ett av følgende: Ny gruppe: Angi det nye gruppenavnet, og velg enten: Privat gruppe (mine grupper) Offentlig gruppe (delte grupper) Eksisterende gruppe: Velg gruppen i listen over delte grupper. 7 Klikk på Lagre. Den nye spørringen vises i listen Spørringer. Duplisere spørring 1 Velg en spørring som du ønsker å kopiere fra listen, og klikk deretter på Handlinger Dupliser. 2 Angi et navn for duplikatet i dialogboksen Dupliser. Velg en gruppe som skal motta en kopi av spørringen, og klikk deretter på OK. Den dupliserte spørringen vises i listen Spørringer. McAfee epolicy Orchestrator programvare Produktveiledning 93

94 6 Oppretting av spørringer og rapporter Arbeide med spørringer Handling Redigere spørring Trinn 1 Velg en spørring som du ønsker å redigere fra listen, og klikk deretter på Handlinger Rediger. 2 Rediger spørringsinnstillingene, og klikk på Lagre når du er ferdig. Den endrede spørringen vises i listen Spørringer. Slette spørring 1 Velg en spørring som du ønsker å slette fra listen, og klikk deretter på Handlinger Slett. 2 Klikk på Ja i dialogboksen for bekreftelse som vises. Spørringen vises ikke lenger i listen Spørringer. Hvis en rapport eller serveroppgave bruker spørringen, vises den nå som ugyldig, inntil du fjerner referansen til den slettede spørringen. Kjøre en spørring etter en tidsplan En serveroppgave brukes for å kjøre en spørring med jevne mellomrom. Spørringer kan ha underhandlinger du kan bruke til å utføre en rekke handlinger, som for eksempel å sende spørringsresultater via e-post eller jobbe med tagger. 1 Åpne serveroppgavebyggeren. a Velg en spørring fra siden Spørringer og rapporter. b Velg Handlinger Tidsplan. 2 På siden Beskrivelse skriver du inn navnet på oppgaven og beskriver den, og deretter klikker du på Neste. 3 Velg Kjør spørring fra rullegardinmenyen Handlinger. 4 I feltet Spørring blar du til spørringen som du ønsker å kjøre. 5 Velg språket du ønsker å vise resultatene på. 6 Fra listen Underhandlinger velger du en handling som skal utføres på bakgrunn av resultatene. Hvilke underhandling som er tilgjengelige, avhenger av brukerens tillatelser og produktene som administreres av McAfee epo-serveren. Du kan velge flere enn én handling for spørringsresultatene. Klikk på knappen + for å legge til handlinger som skal utføres på spørringsresultatene. Sørg for å plassere handlingene i den rekkefølgen du ønsker at de skal utføres på spørringsresultatene. 7 Klikk på Neste. 8 Tidsplanlegg oppgaven, og klikk deretter på Neste. 9 Bekreft konfigurasjonen av oppgaven, og klikk deretter på Lagre. n legges til i listen på siden Serveroppgaver. Hvis oppgaven er aktivert (standardinnstillingen), kjøres den ved neste planlagte tidspunkt. Hvis oppgaven er deaktivert, kan den bare kjøres ved at du klikker på Kjør ved siden av oppgaven på siden Serveroppgaver. 94 McAfee epolicy Orchestrator programvare Produktveiledning

95 Oppretting av spørringer og rapporter Om rapporter 6 Opprette en spørringsgruppe Med spørringsgrupper kan du lagre spørringer eller rapporter uten at andre brukere får tilgang til disse. Ved å opprette en ny gruppe kan du kategorisere spørringer og rapporter etter funksjonalitet samt kontrollere tilgang. Listen over grupper i epolicy Orchestrator-programvaren er en kombinasjon av grupper du har opprettet og grupper du har tillatelse til å se. Du kan også opprette private spørringsgrupper når du lagrer en egendefinert spørring. 1 Velg Meny Rapportering Spørringer og rapporter, og klikk på Gruppehandlinger Ny gruppe. 2 Skriv inn et gruppenavn på siden Ny gruppe. 3 Velg ett av følgende fra Gruppesynlighet: Privat gruppe: Legger til den nye gruppen under Mine grupper. Offentlig gruppe: Legger til den nye gruppen under Delte grupper. Spørringer og rapporter i gruppen er synlig for alle brukere med tilgang til offentlige spørringer og rapporter. Delt av tillatelsessett: Legger til den nye gruppen under Delte grupper. Kun brukere som er tildelt de valgte tillatelsessettene, har tilgang til rapporter eller spørringer i denne gruppen. Administratorer har full tilgang til alle spørringer av typen Delt etter tillatelsessett og Offentlig gruppe. 4 Klikk på Lagre. Om rapporter Resultater av rapportpakkespørring kommer i et PDF-dokument som kan brukes til analyse i frakoblet modus. Generer rapporter for å dele informasjon om nettverksmiljøet med sikkerhetsadministratorer og andre interessenter. Rapporter er konfigurerbare dokumenter som viser data fra én eller flere spørringer og benytter data fra én eller flere databaser. Resultatet som sist ble kjørt for hver rapport, lagres i systemet og er tilgjengelig for visning. Du kan begrense tilgangen til rapporter ved å bruke grupper og tillatelsessett på samme måte som du begrenser tilgangen til spørringer. Rapporter og spørringer kan bruke de samme gruppene, og siden rapporter hovedsakelig består av spørringer, gir denne konfigurasjonen ensartet tilgangskontroll. Strukturen til en rapport Rapporten inneholder et antall elementer i et grunnleggende format. Selv om rapporter kan egendefineres, har de en grunnleggende struktur som inneholder alle de ulike elementene. McAfee epolicy Orchestrator programvare Produktveiledning 95

96 6 Oppretting av spørringer og rapporter Opprette en rapport Sidestørrelse og papirretning McAfee epo støtter for øyeblikket seks kombinasjoner av sidestørrelse og papirretning. Disse kombinasjonene omfatter: Sidestørrelser: US Letter (8.5" x 11") US Legal (8.5" x 14") A4 (210 mm x 297 mm) Sideorientering: Liggende papirretning Stående papirretning Topptekst og bunntekst Topptekst og bunntekst kan være standard systemvalg, eller de kan egendefineres på en rekke måter, inkludert logoer. Elementer som støttes av topptekst og bunntekst for øyeblikket er: Logo Brukernavn Dato/klokkeslett Tilpasset tekst Sidenummer Sideelementer Sideelementer står for innholdet i rapporten. De kan kombineres på en rekke måter, og kan dupliseres etter behov. Sideelementer som leveres med McAfee epo, er: Bilder Spørringstabeller Statisk tekst Spørringsdiagrammer Sideskift Opprette en rapport Du kan opprette rapporter og lagre dem i McAfee epo. 1 Velg Meny Rapportering Spørringer og rapporterog velg deretter Rapporter-fanen. 2 Klikk på Ny rapport. 3 Klikk på Navn, beskrivelse og gruppe. Gi rapporten et navn, beskriv den og velg riktig gruppe. Klikk på OK. 96 McAfee epolicy Orchestrator programvare Produktveiledning

97 Oppretting av spørringer og rapporter Redigere en eksisterende rapport 6 4 Du kan nå legge til og fjerne elementer, endre rekkefølgen på elementene, tilpasse topptekst og bunntekst og endre sideutformingen. Du kan når som helst klikke på Kjør for å se fremdriften. 5 Klikk på Lagre når du er ferdig. Redigere en eksisterende rapport Du kan endre innholdet eller rekkefølgen på presentasjonen for en eksisterende rapport. Hvis du oppretter en ny rapport, kommer du tilbake til denne skjermen når du klikker på Ny rapport. 1 Velg Meny Rapportering Spørringer og rapporterog velg deretter Rapporter-fanen. 2 Velg en rapport fra listen ved å velge avmerkingsboksen ved siden av navnet. 3 Klikk på Rediger. Siden Rapportutforming vises. Følgende oppgaver kan nå utføres i rapporten. r Legge til elementer i en rapport på side 97 Du kan legge til nye elementer i en eksisterende rapport. Konfigurere elementer for bilderapport på side 98 Du kan laste opp nye bilder og endre bildene som brukes i rapporten. Konfigurere tekstrapportelementer på side 98 Du kan sette inn statisk tekst i en rapport for å forklare innholdet. Konfigurere rapportelementer for spørringstabell på side 99 Det er bedre å vise enkelte spørringer som inngår i rapporter, som en tabell. Konfigurere rapportelementer i spørringsdiagram på side 99 Det er bedre å vise enkelte spørringer som inngår i rapporter, som et diagram. Tilpasse en rapport på side 100 Tilpass et rapportoppsett for å legge til, fjerne eller flytte objektene du trenger. Legge til elementer i en rapport Du kan legge til nye elementer i en eksisterende rapport. Før du begynner Du må ha en rapport åpen på siden Rapportutforming. 1 Velg et element i verktøykassen og dra det over til rapportoppsettet. Alle rapportelementer krever konfigurasjon, med unntak av Sideskift. Konfigurasjonssiden for elementet vises. McAfee epolicy Orchestrator programvare Produktveiledning 97

98 6 Oppretting av spørringer og rapporter Redigere en eksisterende rapport 2 Klikk på OK når du er ferdig å konfigurere elementet. Konfigurere elementer for bilderapport Du kan laste opp nye bilder og endre bildene som brukes i rapporten. Før du begynner Du må ha en rapport åpen på siden Rapportutforming. 1 For å konfigurere et bilde som allerede er i rapporten klikker du på pilen øverst i venstre hjørne på bildet og deretter på Konfigurer. Da vises siden Konfigurer bilde. Hvis du legger til ny tekst i rapporten, vises siden Configure bilde øyeblikkelig etter at du har sluppet bilde-elementet inn i rapporten. 2 Velg fra galleri hvis du vil bruke et eksisterende bilde. 3 Hvis du vil bruke et nytt bilde, klikker du på Bla gjennom og velger bilde fra datamaskinen. Deretter klikker du på OK. 4 Hvis du vil angi en bestemt bildebredde, angir du dette i feltet Bildebredde. Som standard vises bildet i eksisterende bredde uten formatinnstilling hvis ikke bildet er bredere enn tilgjengelig bredde med intakt høyde/bredde-forhold. Hvis så er tilfelle, endres størrelsen til tilgjengelig bredde med intakt høyde/bredde-forhold. 5 Velg om du vil plassere bildet til venstre, midt i eller til høyre. Klikk deretter på OK. Konfigurere tekstrapportelementer Du kan sette inn statisk tekst i en rapport for å forklare innholdet. Før du begynner Du må ha en rapport åpen på siden Rapportutforming. 1 For å konfigurere tekst som allerede er lagt til i en rapport, klikker du på pilen øverst til venstre i tekstelementet. Klikk på Konfigurer. Dette viser siden Konfigurer tekst. Hvis du legger til ny tekst i rapporten, vises siden Konfigurer tekst øyeblikkelig etter at du har sluppet elementet Tekst i rapporten. 2 Rediger eksisterende tekst i redigeringsboksen Tekst, eller legg til ny tekst. 3 Endre skriftstørrelse etter behov. Standard er 12 punkter. 4 Velg tekstjustering: venstre, midtstilt eller høyre. 5 Klikk på OK. 98 McAfee epolicy Orchestrator programvare Produktveiledning

99 Oppretting av spørringer og rapporter Redigere en eksisterende rapport 6 Teksten du skrev inn vises i tekstelementet i rapportutformingen. Konfigurere rapportelementer for spørringstabell Det er bedre å vise enkelte spørringer som inngår i rapporter, som en tabell. Før du begynner Du må ha en rapport åpen på siden Rapportutforming. 1 For å konfigurere en tabell som allerede er lagt til i en rapport, klikker du på pilen øverst til venstre i tabellen. Klikk på Konfigurer. Siden Konfigurer spørringstabell vises. Hvis du legger til en spørringstabell i rapporten, vises siden Konfigurer spørringstabell med en gang du slipper elementet Spørringstabell på rapporten. 2 Velg spørring fra rullegardinlisten Spørring. 3 Velg databasen i rullegardinlisten Database som du vil kjøre spørringen mot. 4 Velg skriftstørrelsen som skal brukes for å vise tabelldataene. Standard er 8 punkter. 5 Klikk på OK. Konfigurere rapportelementer i spørringsdiagram Det er bedre å vise enkelte spørringer som inngår i rapporter, som et diagram. Før du begynner Du må ha en rapport åpen på siden Rapportutforming. 1 For å konfigurere et diagram som allerede er lagt til i en rapport, klikker du på pilen øverst til venstre i diagrammet. Klikk på Konfigurer. Siden for konfigurering av spørringsdiagram vises. Hvis du legger til et spørringsdiagram i rapporten, vises siden for konfigurering av spørringsdiagram umiddelbart når du slipper elementet Spørringstabell i rapporten. 2 Velg en spørring i rullegardinlisten Spørring. 3 Velg om du bare vil vise diagrammet, bare forklaringen eller begge deler. 4 Hvis du har valgt å vise både diagrammet og forklaringen, velger du hvordan de er plassert i forhold til hverandre. 5 Velg skriftstørrelse for forklaringen. Standard er 8 punkter. McAfee epolicy Orchestrator programvare Produktveiledning 99

100 6 Oppretting av spørringer og rapporter Redigere en eksisterende rapport 6 Velg bildestørrelse for diagrammet i piksler. Standarden er en tredjedel av sidehøyden. 7 Klikk på OK. Tilpasse en rapport Tilpass et rapportoppsett for å legge til, fjerne eller flytte objektene du trenger. 1 Velg Meny Rapportering Spørringer. Velg Rapport-fanen. 2 Velg en rapport og klikk på Handlinger Rediger, og utfør nødvendige handlinger. 100 McAfee epolicy Orchestrator programvare Produktveiledning

101 Oppretting av spørringer og rapporter Redigere en eksisterende rapport 6 Handling Tilpasse topptekst og bunntekst for rapport Trinn Toppteksten og bunnteksten inneholder informasjon om rapporten. De seks faste plassene i topp- og bunnteksten inneholder ulike datafelter: Topptekstfeltene: Toppteksten inneholder tre felter. Ett venstrejustert logofelt og to høyrejusterte felter, det ene over det andre. Disse feltene kan inneholde én av følgende fire verdier: Ingenting Dato/klokkeslett Sidenummer Brukernavnet for brukeren som kjører rapporten Bunntekstfeltene: Bunnteksten inneholder tre felter. Ett venstrejustert, ett midtstilt og ett høyrejustert. Disse tre feltene kan også inneholde de oppførte verdiene og tilpasset tekst. Følg denne fremgangsmåten for å tilpasse topp- og bunntekst: 1 Klikk på Topptekst og bunntekst. 2 Rapporten bruker som standard systeminnstillingen for topptekst og bunntekst. Hvis du ikke ønsker å bruke standardinnstillingen, opphever du valget av Bruk standard serverinnstilling. Hvis du vil endre systeminnstillingen for topptekst og bunntekst, velger du Meny Konfigurasjon Serverinnstillinger. Deretter velger du Utskrift og eksport og klikker på Rediger. 3 Klikk på Rediger logo hvis du vil endre logoen. a Hvis du vil at logoen skal være tekstbasert, velger du Tekst og oppgir teksten i redigeringsboksen. b Hvis du vil laste opp en ny logo, velger du Bilde. Bla deretter gjennom til du finner bildet på datamaskinen, velg bildet og klikk på OK. c Hvis du vil bruke en tidligere opplastet logo, velger du den. d Klikk på Lagre. 4 Endre feltene for topptekst og bunntekst slik at de samsvarer med ønskede data, og klikk deretter på OK. Fjerne elementer fra en rapport Endre rekkefølge på elementer i en rapport Du kan fjerne elementer du ikke lenger trenger, fra en rapport. 1 Klikk på pilen øverst til venstre i elementet du vil slette, og klikk deretter på Fjern. Elementet fjernes fra rapporten. Du kan endre rekkefølgen på elementene i en rapport. 1 Klikk på tittellinjen for elementet og dra det til en ny plassering, hvis du vil flytte elementet. Elementplasseringen under det flyttede elementet endres når du beveger markøren rundt i rapporten. Det vises røde linjer på begge sider av rapporten hvis markørens posisjon er ulovlig. 2 Slipp elementet når det er plassert der du ønsker. 3 Klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 101

102 6 Oppretting av spørringer og rapporter Kjøre en rapport i henhold til en tidsplan Kjøre en rapport i henhold til en tidsplan Opprette en serveroppgave som kjører en rapport automatisk. Hvis du vil at en rapport skal kjøres uten påvirkning, er en serveroppgave den beste løsningen. Denne oppgaven oppretter en serveroppgave som gir automatiske, planlagte kjøringer av en bestemt rapport. 1 Åpne serveroppgavebyggeren. a Velg en rapport fra siden Spørringer og rapporter. b Velg Handlinger Tidsplan. 2 Gi navn på oppgaven, beskriv den og tildel en tidsplanstatus, og klikk deretter på Neste. Hvis du vil at oppgaven skal kjøres automatisk, angir du Tidsplanstatus til Aktivert. 3 Velg Kjør rapport fra rullegardinmenyen Handlinger. Velg rapporten som skal kjøres, samt målspråket og klikk deretter på Neste. 4 Velg en tidsplantype (hyppighet), datoer og når rapporten skal kjøres. Deretter klikker du på Neste. Tidsplanopplysningene blir bare brukt hvis du aktiverer Tidsplanstatus. 5 Klikk på Lagre for å lagre serveroppgaven. Den nye oppgaven nå vises i listen Serveroppgaver. Vise rapportresultat Vis den siste kjørte versjonen av hver rapport. Hver gang en rapport kjører lagres resultatet på serveren og vises i rapportlisten. Når en rapport kjører, slettes de tidligere resultatene og de kan ikke hentes. Hvis du er interessert i å sammenligne ulike kjøringer av samme rapport, bør du lagre resultatet et annet sted. 1 Velg Meny Rapportering Spørringer og rapporter. 2 Velg Rapporter-fanen. I rapportlisten ser du kolonnen Resultat for siste kjøring. Hver oppføring i denne kolonnen er en kobling for å hente PDF-filen, som ble resultatet av siste vellykkede kjøring av rapporten. Klikk på en kobling fra denne kolonnen for å hente en rapport. En PDF-fil åpnes i nettleseren, og nettleseren oppfører seg slik du har konfigurert den for disse filtypene. 102 McAfee epolicy Orchestrator programvare Produktveiledning

103 Oppretting av spørringer og rapporter Konfigurere malen og plasseringen for eksporterte rapporter 6 Konfigurere malen og plasseringen for eksporterte rapporter Du kan definere utformingen av og lagringsplasseringen for tabeller og dashbord som du eksporterer som dokumenter. Du kan bruke serverinnstillingen for utskrift og eksport til å konfigurere følgende: Topptekst og bunntekst, herunder en tilpasset logo, navn og sidenummerering. Sidestørrelse og papirretning for utskrift. Katalogen der eksporterte tabeller og dashbord lagres. Klikk på? i grensesnittet for definisjon av alternativer. 1 Velg Meny Konfigurasjon ServerinnstillingerVelg deretter Utskrift og eksportering i Innstillinger-listen. 2 Klikk på Rediger. Siden for redigering av utskrift og eksport vises. 3 I delen for topptekst og bunntekst for eksporterte dokumenter klikker du på Rediger logo for å åpne siden Rediger logo. a Velg Tekst, og skriv inn teksten du vil inkludere i dokumentets topptekst. Alternativt kan du gjøre ett av følgende: Velg Bilde, og velg Bla for å finne bildefilen (dette kan for eksempel være firmaets logo). Velg standard McAfee-logo. b Klikk på OK for å gå tilbake til siden for redigering av utskrift og eksportering. 4 I rullegardinlistene velger du eventuelle metadata du vil vise i toppteksten og bunnteksten. 5 Velg sidestørrelse og papirretning. 6 Angi en ny plassering for lagring av de eksporterte dokumentene, eller godkjenn standardplasseringen. 7 Klikk på Lagre. Gruppere rapporter sammen Alle rapporter må tildeles en gruppe. Rapporter tildeles en gruppe når de opprettes, men denne tildelingen kan endres senere. De vanligste årsakene til gruppering av rapporter er å samle lignende rapporter, eller å administrere tillatelser til bestemte rapporter. 1 Velg Meny Rapportering Spørringer og rapporterog velg deretter Rapporter-fanen. 2 Velg en rapport, og klikk på Handlinger Rediger. 3 Klikk på Navn, beskrivelse og gruppe. 4 Velg en gruppe i rullegardinlisten Rapportgruppe, og klikk på OK. 5 Klikk på Lagre for å lagre eventuelle endringer i rapporten. McAfee epolicy Orchestrator programvare Produktveiledning 103

104 6 Oppretting av spørringer og rapporter Gruppere rapporter sammen Når du velger den valgte gruppen i listen Grupper til venstre i rapportvinduet, vises rapporten i rapportlisten. 104 McAfee epolicy Orchestrator programvare Produktveiledning

105 7 Gjenoppretting 7 etter katastrofe Gjenoppretting etter katastrofe hjelper deg til raskt å gjenopprette eller installere McAfee epo-programvaren på nytt. Gjenoppretting etter katastrofe bruker en øyeblikksbildefunksjon som jevnlig lagrer konfigurering, utvidelser, nøkler og mer for McAfee epo i øyeblikksbilderegistreringen i McAfee epo-databasen. Innhold Hva er gjenoppretting etter katastrofe? Komponenter for gjenoppretting etter katastrofe Hvordan katastrofegjenvinning fungerer Opprette øyeblikksbilde Konfigurere serverinnstillinger for gjenoppretting etter katastrofe Hva er gjenoppretting etter katastrofe? McAfee epo-funksjonen for gjenoppretting etter katastrofe bruker øyeblikksbilder for å lagre bestemte databaseoppføringer fra McAfee epo-serveren, i McAfee epo-microsoft SQL -databasen. Registreringene som lagres av øyeblikksbildet, inneholder hele McAfee epo-konfigurasjonen på det bestemte tidspunktet øyeblikksbildet blir tatt. Når øyeblikksbildeoppføringen er lagret i databasen, kan du bruke sikkerhetskopifunksjonen i Microsoft SQL til å lagre hele McAfee epo-databasen og gjenopprette den til en annen SQL-server for gjenoppretting av McAfee epo. Eksempler på tilkobling av SQL-gjenopprettingsdatabase Ved bruk av den gjenopprettede McAfee epo-sql-databaseserveren som inkluderer øyeblikksbildet, kan du koble den til: Gjenopprettet McAfee epo-servermaskinvare med opprinnelig servernavn og IP-adresse. Dette lar deg for eksempel gjenopprette fra en mislykket McAfee epo-programvareoppdatering. Ny McAfee epo-servermaskinvare med opprinnelig servernavn og IP-adresse lar deg oppgradere eller gjenopprette servermaskinvaren og raskt gjenoppta administrasjonen av nettverkssystemene. Ny McAfee epo-servermaskinvare med opprinnelig servernavn og IP-adresse lar deg flytte serveren fra ett domene til et annet. Dette eksempelet kan gi en midltertidig løsning for nettverksadministrasjon mens du gjenoppretter og reinstallerer McAfee epo-servermaskinvare og programvare på det opprinnelige domenet. Gjenopprettet eller ny McAfee epo-servermaskinvare med flere nettverksgrensesnittkort (NIC-er). Du må bekrefte at riktig IP-adresse er konfigurert for McAfee epo-server-nic-ene. McAfee epolicy Orchestrator programvare Produktveiledning 105

106 7 Gjenoppretting etter katastrofe Komponenter for gjenoppretting etter katastrofe Øyeblikksbildet er konfigurert til å kjøre automatisk hver dag, avhengig av SQL-databaseversjonen. Hvis du konfigurerer et skript til automatisk å kjøre SQL Backup og kopiere SQL-sikkerhetskopifilen til SQL-gjenopprettingsserveren, kan du enklere gjenopprette McAfee epo-serveren. I tillegg kan du ta et øyeblikksbilde manuelt eller kjøre skriptene for å raskt lagre og sikkerhetskopiere komplekse eller viktige McAfee epo-endringer. Med overvåkeren for øyeblikksbilde av server på McAfee epo-dashbordet kan du administrere og overvåke øyeblikksbildene på ett sted. Komponenter for gjenoppretting etter katastrofe Det kreves bestemte typer maskinvare, programvare, tilgangstillatelser og informasjon for å bruke gjenoppretting etter katastrofe til å gjenopprette McAfee epo-programvaren. Du trenger to maskinvareserverplattformer: Den eksisterende McAfee epo-server-maskinvaren, omtalt som den primære McAfee epo-serveren. Duplikatmaskinvare for SQL Server, kalt "gjenopprettingsserveren", med Microsoft SQL som samsvarer med din primære McAfee epo-serverdatabase. Gjenopprettingsserveren bør holdes oppdatert med den nyeste primære serverkonfigurasjonen for McAfee epolicy Orchestrator SQL-database ved å bruke øyeblikksbilde og Microsoft SQL sikkerhetskopieringsprosesser. Din primære servermaskinvare og servermaskinvaren for gjenoppretting, samt SQL-versjonene, må samsvare tett for å unngå problemer med sikkerhetskopiering og gjenoppretting. Dashbordovervåking av øyeblikksbilde Med overvåkeren for øyeblikksbilde av server på McAfee epolicy Orchestrator-dashbordet kan du administrere og overvåke øyeblikksbildene på ett sted. Hvis Øyeblikksbildeovervåker ikke vises på dashbordet, kan du opprette et dashbord og legge til overvåkeren for gjenoppretting etter katastrofe. Du kan bruke overvåkeren for øyeblikksbilde av server til følgende: Klikk på Ta øyeblikksbilde for å lagre et øyeblikksbilde av McAfee epo-serveren manuelt. Klikk på Se detaljer for siste kjøring for å åpne siden for detaljene for serveroppgaveloggen. Denne siden viser informasjon og loggmeldinger knyttet til det øyeblikksbildet som ble lagret nyligst. Bekreft datoen og klokkeslettet det siste øyeblikksbildet ble lagret i SQL-databasen, ved siden av Siste kjøring den. Klikk på koblingen Gjenoppretting etter katastrofe for å få tilgang til ytterligere informasjon om gjenoppretting etter katastrofe. Fargen og tittelen på øyeblikksbildeovervåkeren viser statusen for det siste øyeblikksbildet. Eksempel: Blå, lagrer øyeblikksbilde i database: Øyeblikksbildeprosessen pågår. Grønn, øyeblikksbilde lagret i database: Øyeblikksbildeprosessen er fullført og er oppdatert. Rød, øyeblikksbilde mislyktes: Det oppsto en feil under øyeblikksbildeprosessen. Grå, ingen øyeblikksbilder tilgjengelig: Ingen øyeblikksbilder for gjenoppretting etter katastrofe er lagret. 106 McAfee epolicy Orchestrator programvare Produktveiledning

107 Gjenoppretting etter katastrofe Komponenter for gjenoppretting etter katastrofe 7 Oransje, øyeblikksbilde ikke lenger gyldig: Det er gjort endringer i konfigurasjonen, og et nylig øyeblikksbilde er ikke lagret. Endringer som utløser statusen utdatert øyeblikksbilde, omfatter: Endrede utvidelser. For eksempel oppdatert, fjernet, slettet, oppgradert eller nedgradert. Endret nøkkellager-mappe. Endret conf-mappe. Passfrasen for gjenoppretting etter katastrofe er endret i serverinnstillingene. Serveroppgave for øyeblikksbilde for gjenoppretting etter katastrofe Du kan bruke serveroppgaven for øyeblikksbilde for gjenoppretting etter katastrofe til å deaktivere og aktivere oppgavetidsplanen for øyeblikksbildeserveren. tidsplanen for øyeblikksbilde-serveren er som standard aktivert for Microsoft SQL Server-databasen og som standard deaktivert for Microsoft SQL Server Express Edition-databasen. Krav til gjenoppretting etter katastrofe Du trenger maskinvaren, programvaren og informasjonen som er angitt i følgende tabell, for å bruke gjenoppretting etter katastrofe. Krav Maskinvarekrav Primær McAfee epo-server-maskinvare Beskrivelse Kravene til server-maskinvare bestemmer antall administrerte systemer. McAfee epo-serveren og SQL Server-databasen kan være installert på samme eller separat server-maskinvare. Du finner detaljer om krav til maskinvare i installasjonsveiledningen for McAfee epolicy Orchestrator. Gjenopprett McAfee epo-server-maskinvare Primær McAfee epo-server Primær SQL-database Krav til programvare Sikkerhetskopifil av primær SQL-database Gjenopprette SQL-databaseprogramvare McAfee epo-programvare Informasjonskrav For å oppnå best mulig resultat bør du speile den primære McAfee epo-server-maskinvaren nøye. Kjør primærserveren med et øyeblikksbilde du nylig har lagret i SQL-databasen. Den primære SQL-databasen lagrer McAfee epo-serverkonfigurasjon, klientinformasjon og registreringer av øyeblikksbilder for gjenoppretting etter katastrofe. Du kan enten bruke Microsoft SQL Server Management Studio eller kommandolinjen BACKUP (Transact-SQL) til å opprette en sikkerhetskopifil av primærdatabasen, herunder registreringene av øyeblikksbilder. Du kan bruke Microsoft SQL Server Management Studio eller kommandolinjen RESTORE (Transact-SQL) til å gjenopprette den primære SQL-databasen, herunder registreringer av øyeblikksbilder på gjenopprettingsserveren for SQL-databasen. Denne programvaren lastes ned fra McAfee-webområdet og brukes til å installere og konfigurere McAfee epo-gjenopprettingsserveren. McAfee epolicy Orchestrator programvare Produktveiledning 107

108 7 Gjenoppretting etter katastrofe Hvordan katastrofegjenvinning fungerer Krav Passfrase for kryptering av nøkkellager for gjenoppretting etter katastrofe Administratorrettigheter Sist kjente IP-adresse, DNS-navn eller NetBIOS-navn for den primære McAfee epo-serveren Beskrivelse Denne passfrasen ble lagt til under den første installasjonen av McAfee epo-programvaren og krypterer sensitiv informasjon som er lagret i øyeblikksbildet for gjenoppretting etter katastrofe. Du må ha mulighet for tilgang til den primære serveren, gjenopprettingsserveren og SQL-databasen, for eksempel DBOwner og DBCreator. Hvis du endrer noe av dette under gjenopprettingen av McAfee epo-serveren, må du kontrollere at agentene kan finne serveren. Den enkleste måten er å opprette en CNAME-registrering (kanonisk navn) i DNS som sender forespørsler fra den gamle IP-adressen, det gamle DNS-navnet eller NetBIOS-navnet for den primære McAfee epo-serveren til informasjonen for McAfee epo-gjenopprettingsserveren. Hvordan katastrofegjenvinning fungerer For å kunne installere McAfee epo-programvaren raskt igjen bør du opprette regelmessige øyeblikksbilder av McAfee epo-konfigurasjonen. Deretter må du sikkerhetskopiere og gjenopprette databasen til en gjenopprettingsserver og installere McAfee epo-programvaren på nytt ved bruk av alternativet Gjenopprett. Oversikt over øyeblikksbilde for gjenoppretting etter katastrofe og sikkerhetskopiering Prosessene for øyeblikksbilde for gjenoppretting etter katastrofe, sikkerhetskopiering av SQL-databasen og kopiering skaper en duplisert McAfee epo-database på en gjenopprettingsserver for SQL-databasen. Dette er en oversikt over prosessene for øyeblikksbilde for gjenoppretting etter katastrofe, sikkerhetskopiering av SQL-database og kopiering. 108 McAfee epolicy Orchestrator programvare Produktveiledning

109 Gjenoppretting etter katastrofe Hvordan katastrofegjenvinning fungerer 7 Følgende diagram er en oversikt over prosessen for gjenoppretting etter katastrofe i McAfee epo-programvaren og maskinvaren som er involvert. I dette diagrammet er SQL-databasen installert på samme servermaskinvare som McAfee epo-serveren. McAfee epo-serveren og SQL-databasen kan være installert på samme eller separat server-maskinvare. Figur 7-1 Øyeblikksbilde for gjenoppretting etter katastrofe og sikkerhetskopiering av McAfee epo-server Konfigureringen av gjenoppretting etter katastrofe omfatter denne generelle fremgangsmåten på den primære McAfee epo-serveren: McAfee epolicy Orchestrator programvare Produktveiledning 109

110 7 Gjenoppretting etter katastrofe Hvordan katastrofegjenvinning fungerer Ta et øyeblikksbilde av konfigurasjonen av McAfee epo-serveren og lagre det i den primære SQL-databasen. Dette kan gjøres manuelt eller via en standard serveroppgave. Når øyeblikksbildet tas, lagres følgende databasefiler: Plassering C:\Program Files\McAfee\ePolicy Orchestrator\Server\extensions C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf C:\Program Files\McAfee\ePolicy Orchestrator\Server\keystore C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Keystore C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Software Beskrivelse Standardbanen til informasjon om McAfee epo-programvareutvidelser. Standardbanen til obligatoriske filer som brukes av McAfee epo-programvareutvidelsene. Disse nøklene er spesielt beregnet på McAfee epo-agent-til-server-kommunikasjon og programdatabasene. Standardbanen til serversertifikatene for McAfee-produktinstallasjonen. Standardbanen til McAfee-produktinstallasjonsfilene De lagrede registreringene for øyeblikksbildet for gjenoppretting etter katastrofe inkluderer banene du har konfigurert for registrerte kjørbare filer. De registrerte kjørbare filene er ikke sikkerhetskopierte. Du må erstatte disse kjørbare filene når du gjenoppretter McAfee epo-serveren. Når du har gjenopprettet McAfee epo-serveren, vises eventuelle kjørbare filer med ødelagte baner, i rødt på siden for registrerte kjørbare filer. Du må teste de registrerte kjørbare banene når du har gjenopprettet McAfee epo-serveren. Det kan hende at enkelte registrerte kjørbare baner ikke vises i rødt, men at de likevel er feil på grunn av avhengighetsproblemer knyttet til de registrerte kjørbare filene. Sikkerhetskopier SQL-databasen ved å bruke Microsoft SQL Server Management Studio eller kommandolinjeprosessen BACKUP (Transact-SQL). Kopier sikkerhetskopifilen for SQL-databasen til den dupliserte SQL-gjenopprettingsserveren. Prosessen knyttet til øyeblikksbilde for gjenoppretting etter katastrofe og sikkerhetskopiering for McAfee epo-serveren er fullført. Du trenger ikke fortsette med gjenopprettingsinstallasjonen for McAfee epo-serveren med mindre du installerer McAfee epo-programvaren på nytt. Oversikt over installasjon av McAfee epogjenopprettingsserver Installering av McAfee epo-programvaren er siste trinn i gjenopprettingen av McAfee epo-serveren. Dette emnet er en oversikt over hvordan du installerer McAfee epo-programvaren på nytt på McAfee epo-gjenopprettingsserveren. Gå til installasjonsveiledningen hvis du vil ha mer informasjon. 110 McAfee epolicy Orchestrator programvare Produktveiledning

111 Gjenoppretting etter katastrofe Hvordan katastrofegjenvinning fungerer 7 Det følgende diagrammet er en oversikt over ny installering av McAfee epo-serveren. I dette diagrammet er SQL-databasen installert på samme servermaskinvare som McAfee epo-serveren. McAfee epo-serveren og SQL-databasen kan være installert på samme eller separat server-maskinvare. Figur 7-2 Installasjon av McAfee epo-gjenopprettingsserver Installasjonen av McAfee epo-programvaren ved bruk av filen med øyeblikksbilde for gjenoppretting etter katastrofe, omfatter denne generelle fremgangsmåten for McAfee epo-gjenopprettingsserveren: Finn sikkerhetskopifilen av SQL-databasen fra den forrige delen. Bruk Microsoft SQL Server Management Studio eller kommandolinjeprosessen RESTORE (Transact-SQL) til å gjenopprette den primære SQL-serverkonfigurasjonen til SQL-gjenopprettingsserveren. Under installasjonen av McAfee epo-programvaren for database: 1 Klikk på Gjenopprett fra øyeblikksbilde i programvarens velkomstvindu. 2 Velg Microsoft SQL Server for å koble McAfee epo-programvaren til SQL-gjenopprettingsdatabasen der du gjenopprettet den primære McAfee epo-serverkonfigurasjonen. Når installeringen av McAfee epo-programvaren er startet, brukes databaseregistreringene som lagres under øyeblikksbildeprosessen, i programvarekonfigurasjonen, i stedet for at det opprettes oppføringer i databasen. Påse at agentene kan koble til McAfee epo-gjenopprettingsserveren igjen ved å opprette en CNAME-oppføring i DNS. Denne oppføringen omdirigerer forespørsler fra den gamle IP-adressen, det gamle DNS-navnet eller NetBIOS-navnet til den primære McAfee epo-serveren til den nye informasjonen for McAfee epo-gjenopprettingsserveren. Nå kjører McAfee epo-gjenopprettingsserveren med nøyaktig samme konfigurasjon som den primære serveren. Klientene kan koble til gjenopprettingsserveren og du kan administrere dem på samme måte som før den primære McAfee epo-serveren ble fjernet. Se også Hva er gjenoppretting etter katastrofe? på side 105 McAfee epolicy Orchestrator programvare Produktveiledning 111

112 7 Gjenoppretting etter katastrofe Opprette øyeblikksbilde Opprette øyeblikksbilde Oppretting av hyppige øyeblikksbilder for gjenoppretting etter katastrofe av den primære McAfee epo-serveren er det første steget i gjenopprettingen av en McAfee epo-server. Når du har gjort endringer i konfigurasjonen av McAfee epo, kan du manuelt opprette et øyeblikksbilde for gjenoppretting etter katastrofe ved bruk av en av disse oppgavene. Anbefalt fremgangsmåte: Opprett en serveroppgave for øyeblikksbilde for gjenoppretting etter katastrofe til å automatisere serverøyeblikksbilder. r Opprette et øyeblikksbilde fra McAfee epo på side 112 Bruk epolicy Orchestrator-dashbordet for å ta øyeblikksbilder for gjenoppretting etter katastrofe av din primære McAfee epo-server og overvåke øyeblikksbilde-prosessen når Dashboard-statusen endres. Opprett øyeblikksbilde fra Web-API på side 112 Bruk web-api for McAfee epotil å ta øyeblikksbilder for gjenoppretting etter katastrofe av den primære McAfee epo-serveren. Dette gjør at du kan bruke én kommandostreng for å fullføre prosessen. Opprette et øyeblikksbilde fra McAfee epo Bruk epolicy Orchestrator-dashbordet for å ta øyeblikksbilder for gjenoppretting etter katastrofe av din primære McAfee epo-server og overvåke øyeblikksbilde-prosessen når Dashboard-statusen endres. 1 Velg Meny Rapportering Dashbord for å se overvåkeren for Øyeblikksbilde av epo-server og. Klikk ved behov på Legg til overvåker, velg Øyeblikksbilde av epo-server eller i listen, og dra den til dashbordet. 2 Klikk på Ta øyeblikksbilde for å lagre McAfee epo-serverkonfigurasjonen. I Øyeblikksbilde-prosessen endres tittelraden for Øyeblikksbildeovervåker for å angi statusen for prosessen. Øyeblikksbildeprosessen kan ta fra ti minutter til over en time, avhengig av hvor komplekst og stort nettverket ditt er. Denne prosessen påvirker ikke ytelsen til McAfee epo-serveren. 3 Klikk eventuelt på Se detaljer for gjeldende kjøring for å åpne Detaljer for serveroppgavelogg for det sist lagrede øyeblikksbildet. Når øyeblikksbildeprosessen er fullført, klikker du på Se detaljer for gjeldende kjøring for å åpne Detaljer for serveroppgavelogg for det sist lagrede øyeblikksbildet. Det siste øyeblikksbildet for gjenoppretting etter katastrofe lagres i McAfee epo-serverens primære SQL-database. Databasen er nå klar til å sikkerhetskopiere og kopiere til SQL-databaseserveren for gjenoppretting. Opprett øyeblikksbilde fra Web-API Bruk web-api for McAfee epotil å ta øyeblikksbilder for gjenoppretting etter katastrofe av den primære McAfee epo-serveren. Dette gjør at du kan bruke én kommandostreng for å fullføre prosessen. Alle kommandoene som er beskrevet i denne oppgaven, skrives inn i adressefeltet på nettleseren din for å få ekstern tilgang til McAfee epo-serveren. 112 McAfee epolicy Orchestrator programvare Produktveiledning

113 Gjenoppretting etter katastrofe Opprette øyeblikksbilde 7 Du blir bedt om å oppgi administratorbrukernavn og -passord før utdataene vises. Se skriptveiledningen for web-api for McAfee epolicy Orchestrator for mer informasjon om bruk av web-api og eksempler. 1 Bruk følgende hjelpekommando for Web-API for McAfee epo for å bestemme parameterne som kreves for å kjøre øyeblikksbildet: localhost:: Navnet på McAfee epo-serveren. 8443: Målport, identifisert som 8443 (standard). /remote/core.help?command=: Kaller opp hjelp for Web-API. scheduler.runservertask: Kaller opp hjelp for den bestemte serveroppgaven. Det skilles mellom store og små bokstaver i runservertask-kommandoen. Kommandoen i eksempelet returnerer denne hjelpen. OK: scheduler.runservertask taskname Kjører en serveroppgave og returnerer ID-en for oppgaveloggen. Bruke oppgavelogg-id med kommandoen "tasklog.listtaskhistory" for å vise statusen for oppgaven som kjører. Returnerer oppgavelogg-id-en eller en feilmelding. Krever tillatelse for å kjøre serveroppgaver. Parametere: [taskname (param 1) taskid]: Den unike ID-en eller navnet på oppgaven 2 Bruk følgende kommando for å liste alle serveroppgaver og fastsette parameteren taskname for å kjøre serveroppgaven for øyeblikksbilde: Kommandoen i eksempelet ovenfor returnerer en liste som ligner på følgende. Den nøyaktige listen som vises, avhenger av dine tillatelser og de installerte utvidelsene. 3 Bruk oppgavenavnet Disaster Recovery Snapshot Server og kjør øyeblikksbildeserveroppgaven med denne kommandoen: %20Snapshot%20Server Hvis oppgaven var vellykket, vises utdata som ligner på følgende. OK 102 Øyeblikksbildeprosessen kan ta fra ti minutter til over en time, avhengig av hvor komplekst og stort nettverket ditt er. Denne prosessen påvirker vanligvis ikke ytelsen til McAfee epo-serveren. McAfee epolicy Orchestrator programvare Produktveiledning 113

114 7 Gjenoppretting etter katastrofe Konfigurere serverinnstillinger for gjenoppretting etter katastrofe 4 Bekreft at Web-API-serveroppgaven Øyeblikksbilde var vellykket. a Bruk denne kommandoen til å finne serveroppgavelogg-id-en for øyeblikksbilde for gjenoppretting etter katastrofe: %20Recovery%20Snapshot%20Server Denne kommandoen viser alle serveroppgavene for øyeblikksbilde for gjenoppretting etter katastrofe. Finn den nyligste oppgaven, og noter ID-nummeret. For eksempel ID 102 for følgende: ID: 102 Navn: Server for øyeblikksbilder for gjenoppretting etter katastrofe Startdato: [date] Sluttdato: [date] Brukernavn: admin Status: Fullført Kilde: Planlegger Varighet: Mindre enn ett minutt b Bruk denne kommandoen og oppgave-id-nummer 102 til å vise alle oppgaveloggmeldingene. Konfigurere serverinnstillinger for gjenoppretting etter katastrofe Du kan endre passfrasen for nøkkellagerkryptering du brukte da du installerte McAfee epo, og koble den til en SQL-database som er gjenopprettet med oppføringer fra øyeblikksbilde for gjenoppretting etter katastrofe. Før du begynner Du må ha administratorrettigheter for å endre passfrasen for nøkkellagerkryptering. Ved å opprette et øyeblikksbilde for McAfee epo-serveren med gjenoppretting etter katastrofe kan du raskt gjenopprette McAfee epo-serveren. Denne innstillingen er nyttig for deg som administrator hvis du skulle miste eller glemme passfrasen for nøkkellagerkryptering som ble konfigurert under installasjon av McAfee epo. Du kan endre den eksisterende passfrasen uten å kjenne den tidligere konfigurerte passfrasen. 1 Velg Meny Konfigurasjon ServerinnstillingerVelg Gjenoppretting etter katastrofe fra Innstillingskategorier, og klikk deretter på Rediger. 2 Klikk på Endre passfrase under Passfrase for nøkkellagerkryptering. Angi deretter den nye passfrasen, og bekreft den. Passfrasen for nøkkellagerkryptering brukes til å kryptere og dekryptere den sensitive informasjonen som lagres i øyeblikksbildet av serveren. Denne passfrasen er påkrevd under gjenopprettingsprosessen for McAfee epo. Noter deg denne passfrasen. McAfee epo-databasen må med jevne mellomrom kopieres til en Microsoft SQL-databaseserver for gjenoppretting for å opprette en faktisk sikkerhetskopieringsdatabase. 114 McAfee epolicy Orchestrator programvare Produktveiledning

115 8 Bruke 8 systemtreet og tagger Du kan organisere, gruppere og tagge de administrerte systemene med funksjonene for Systemtre og tagger. Innhold Organisering av systemer Tagger Organisering av systemer Med McAfee epo kan du automatisere og tilpasse systemorganiseringen. Strukturen du bruker, påvirker hvordan sikkerhetspolicyer arves og håndheves i hele miljøet. Systemtreet er den grafiske fremstillingen av denne strukturen. Du kan organisere systemtreet på én av disse måtene: Manuell organisering fra konsollen (dra og slipp). Automatisk synkronisering med Active Directory-serveren. Vilkårsbasert sortering, der vilkår brukes på systemene manuelt eller automatisk. Hensyn ved planlegging av systemtreet Et effektivt og velorganisert systemtre kan forenkle vedlikeholdet. Mange administrative, nettverksmessige og politiske spørsmål i de enkelte miljøene kan påvirke hvordan systemtreet struktureres. Planlegg organiseringen av systemtreet før du bygger og fyller det ut. Spesielt for store nettverk er det ønskelig å bygge systemtreet bare én gang. Fordi alle nettverk er ulike og krever ulike policyer, og trolig ulik administrasjon, bør du planlegge systemtreet før du legger til systemene. Uansett hvilke metoder du velger for å opprette og fylle ut systemtreet, bør du ta hensyn til miljøet ditt når du planlegger systemtreet. Administratortilgang Når du planlegger systemtreorganisieringen, må du ta hensyn til tilgangskravene til dem som må administrere systemene. Eksempel: Du har en desentralisert nettverksadministrasjon i organisasjonen, og ulike administratorer har ansvar for forskjellige deler av nettverket. Av sikkerhetsgrunner har du ikke en administratorkonto som har tilgang til alle deler av nettverket. I dette tilfellet kan du ikke angi policyer og distribuere agenter ved bruk av én administratorkonto. Du må heller organisere systemtreet i grupper basert på disse inndelingene, og opprette kontoer og tillatelsessett. McAfee epolicy Orchestrator programvare Produktveiledning 115

116 8 Bruke systemtreet og tagger Organisering av systemer Vurder følgende spørsmål: Hvem er ansvarlig for administrasjon av hvilke systemer? Hvem krever tilgang til å vise informasjon om systemene? Hvem skal ikke ha tilgang til systemene og informasjon om dem? Disse spørsmålene påvirker både systemtreorganiseringen og tillatelsessettene du oppretter og bruker i brukerkontoene. Miljøgrenser og effekten av disse på systemorganiseringen Måten du organiserer systemer for administrasjon på, avhenger av grensene som finnes i nettverket. Disse grensene påvirker organiseringen av systemtreet på en annen måte enn organiseringen av nettverkstopologien. Det anbefales at du evaluerer disse grensene i nettverket og organisasjonen, og om de må tas hensyn til når organiseringen av systemtreet defineres. Topologiske grenser NT-domener eller Active Directory-beholdere definerer nettverket. Jo mer organisert nettverksmiljøet er, desto enklere er det å opprette og vedlikeholde systemtreet med synkroniseringsfunksjonene. Geografiske grenser Administrering av sikkerhet handler om en kontinuerlig balanse mellom beskyttelse og ytelse. Organiser systemtreet slik at begrenset nettverksbåndbredde kan utnyttes best mulig. Tenk på hvordan serveren er koblet til alle delene i nettverket, spesielt eksterne enheter som ofte ikke er koblet til via raske LAN-tilkoblinger, men via langsommere WAN- eller virtuelt privat nettverk (VPN)-tilkoblinger. Det kan være lurt å konfigurere policyer for oppdatering og agent-til-server-kommunikasjon forskjellig for eksterne områder, slik at minst mulig nettverkstrafikk går via langsomme tilkoblinger. Politiske grenser Mange store nettverk er delt inn i enkeltpersoner eller grupper som er ansvarlige for å administrere ulike deler av nettverket. Det hender at disse grensene ikke samsvarer med topologiske eller geografiske grenser. Hvem som har tilgang til og administrerer segmentene i systemtreet, påvirker hvordan du strukturerer det. Funksjonelle grenser Enkelte nettverk er delt inn i rollene til de som bruker nettverket, som for eksempel salg og teknisk. Selv om nettverket ikke er inndelt i funksjonelle grenser, kan det hende at du må organisere segmenter i systemtreet etter funksjonalitet hvis ulike grupper krever forskjellige policyer. En bedriftsgruppe kan kjøre spesifikk programvare som krever spesielle sikkerhetspolicyer. Du kan for eksempel ordne Exchange-serverne for e-post i en gruppe og angi spesifikke utelukkelser for tilgangsskanning. 116 McAfee epolicy Orchestrator programvare Produktveiledning

117 Bruke systemtreet og tagger Organisering av systemer 8 Undernett og IP-adresseområder I mange tilfeller bruker organisasjonsenheter av et nettverk spesifikke undernett eller IP-adresseområder. Du kan derfor opprette en gruppe for en geografisk plassering og angi IP-filtre for den. Hvis nettverket ikke har geografisk utbredelse, kan du også bruke nettverksplassering, som f.eks. IP-adresse, som hovedkriterie for gruppering Anbefalt fremgangsmåte: Vurder å bruke sorteringskriterier basert på IP-adresseinformasjon for å automatisere opprettelse og vedlikehold av systemtreet. Angi kriterier for IP-undernettmasker eller IP-adresseområder for gjeldende grupper i Systemtre. Disse filtrene fyller automatisk ut plasseringer med riktige systemer. Operativsystemer og programvare Vurder å gruppere systemer med lignende operativsystemer for å kunne behandle produkter og policyer enklere. Hvis du har eldre systemer, kan du opprette en gruppe for disse, og distribuere og behandle sikkerhetsprodukter på disse systemene separat. Hvis du gir disse systemene en samsvarende tagg, kan du i tillegg sortere dem i en gruppe automatisk. Tagger og systemer med lignende egenskaper Du kan bruke tagger og taggrupper for å automatisere sorteringen i grupper. Tagger identifiserer systemer med lignende egenskaper. Hvis du kan organisere grupper etter egenskaper, kan du opprette og tildele tagger basert på kriteriene du oppga. Deretter kan du bruke disse taggene som kriterier for gruppesortering, for å sikre at systemene plasseres automatisk i de relevante gruppene. Bruk eventuelt taggbaserte sorteringskriterier for å fylle ut grupper automatisk med relevante systemer. Du kan i tillegg opprette taggrupper nestet i fire nivåer med opptil 1000 undergrupper i hvert nivå til sortering av systemet. Hvis du for eksempel kan organisere systemene etter geografisk plassering, chassistype (server, arbeidsstasjon eller bærbar datamaskin), plattform (Windows, Macintosh, Linux eller SQL) og bruker, kan du ha taggruppene i denne tabellen. Plassering Chassistype Plattform Brukere Los Angeles Skrivebord Windows Generelt Bærbar datamaskin Macintosh Salg Windows Opplæring Regnskap Administrasjon Server Linux Bedriftsløsninger Windows SQL Bedriftsløsninger Bedriftsløsninger San Francisco Skrivebord Windows Generelt Bærbar datamaskin Macintosh Salg Windows Opplæring Regnskap Administrasjon Server Linux Bedriftsløsninger McAfee epolicy Orchestrator programvare Produktveiledning 117

118 8 Bruke systemtreet og tagger Organisering av systemer Plassering Chassistype Plattform Brukere Windows Bedriftsløsninger SQL Bedriftsløsninger Active Directory-synkronisering Hvis nettverket kjører Active Directory, kan du bruke Active Directory-synkronisering til å opprette, fylle ut og vedlikeholde hele eller deler av systemtreet. Når systemtreet er definert, oppdateres det med alle nye systemer (og underbeholdere) i Active Directory. Bruk Active Directory-integrering til å utføre følgende systemadministrasjonsoppgaver: Synkroniser med Active Directory-strukturen ved å importere systemer og Active Directory-underbeholdere (som systemtregrupper), og hold dem oppdatert med Active Directory. Ved hver synkronisering oppdateres både systemene og strukturen i systemtreet for å gjenspeile systemene og strukturen til Active Directory. Importere systemer som en flat liste fra Active Directory-beholderen (og underbeholdere) til den synkroniserte gruppen. Kontrollere hva som skal gjøres med potensielt dupliserte systemer. Tagg nylig importerte eller oppdaterte systemer. Bruke systembeskrivelsen som importeres fra Active Directory sammen med systemene. Nå kan du bruke denne prosessen til å integrere systemtreet med Active Directory-systemstrukturen: 1 Konfigurer synkroniseringsinnstillingene for hver gruppe som er et tilknytningspunkt i systemtreet. På samme sted kan du konfigurere om du vil: Distribuere agenter på påviste systemer. Slette systemer fra systemtreet når de slettes fra Active Directory. Tillate eller forby dupliserte oppføringer av systemer som finnes andre steder i systemtreet. 2 Bruke handlingen Synkroniser nå til å importere Active Directory-systemer (og muligens struktur) til systemtreet i samsvar med synkroniseringsinnstillingene. 3 Bruke serveroppgaven Synkronisering av NT-domene/Active Directory for jevnlig å synkronisere systemene (og muligens Active Directory-strukturen) med systemtreet i samsvar med synkroniseringsinnstillingene. Typer Active Directory-synkronisering Det finnes to typer Active Directory-synkronisering (bare systemer og systemer og struktur). Hvilken du bruker, avhenger av nivået av integrasjon du vil ha med Active Directory. For hver type kontrollerer du synkroniseringen ved å velge mellom følgende alternativer: Distribuere agenter automatisk i systemer som er nye for epolicy Orchestrator. Du bør ikke velge å konfigurere denne innstillingen for den første synkroniseringen hvis du importerer et stort antall systemer, og har begrenset båndbredde. MSI-filen for agenten er på ca. 6 MB. Men du kan distribuere agenter automatisk i nye systemer som oppdages i Active Directory ved senere synkronisering. Slett systemer fra epolicy Orchestrator (og fjern de tilhørende agentene) når de slettes fra Active Directory. 118 McAfee epolicy Orchestrator programvare Produktveiledning

119 Bruke systemtreet og tagger Organisering av systemer 8 Unngå å legge til systemer i gruppen hvis de finnes andre steder i systemtreet. Denne innstillingen sikrer at du ikke får duplikatsystemer hvis du sorterer eller flytter systemet manuelt til en annen plassering. Utelat visse Active Directory-beholdere fra synkroniseringen. Disse beholderne og tilhørende systemer ignoreres i synkroniseringen. Systemer og struktur Når du bruker denne synkroniseringstypen, overføres endringer i Active Directory-strukturen til systemtrestrukturen ved neste synkronisering. Når systemer eller beholdere legges til, flyttes eller fjernes i Active Directory, blir disse handlingene også utført i de tilsvarende plasseringene i systemtreet. Når brukes denne synkroniseringstypen Bruk denne synkroniseringstypen til å kontrollere at systemtreet (eller deler av systemtreet) er identisk med Active Directory-strukturen. Hvis organiseringen av Active Directory oppfyller behovene dine når det gjelder sikkerhetsadministrasjon og du ønsker at systemtreet fortsatt skal være likt den tilknyttede Active Directory-strukturen, bruker du denne synkroniseringstypen ved påfølgende synkroniseringer. Kun systemer Bruk denne synkroniseringstypen til å importere systemer fra en Active Directory-beholder, herunder systemene som finnes i ikke-ekskluderte underbeholdere, som en flat liste til en tilknyttet systemtregruppe. Du kan deretter flytte disse til riktig adresse i systemtreet ved å tildele sorteringskriterier til grupper. Hvis du velger denne synkroniseringstypen, må du huske å velge at du ikke vil legge til systemer på nytt hvis de finnes andre steder i systemtreet. Dette forhindrer dupliserte oppføringer for systemer i systemtreet. Når brukes denne synkroniseringstypen Bruk denne synkroniseringstypen når: Du bruker Active Directory som en vanlig kilde til systemer for epolicy Orchestrator. Organisasjonens behov for å administrere sikkerheten samsvarer ikke med hvordan beholdere og systemer organiseres i Active Directory. synkronisering av NT-domene Bruk NT-domenene som kilde for utfylling av systemtreet. Når du synkroniserer en gruppe til et NT domene, plasseres alle systemene fra domenet i gruppen som en flat liste. Du kan administrere disse systemene i én gruppe, eller du kan opprette undergrupper for mer detaljerte organisasjonsbehov. Bruk en metode som automatisk sortering, til å fylle ut disse undergruppene automatisk. Hvis du flytter systemer til andre grupper eller undergrupper av systemtreetmå du velge å ikke legge til systemene når de allerede finnes andre steder i systemtreet. Dette forhindrer dupliserte oppføringer for systemer i systemtreet. I motsetning til ved Active Directory-synkronisering synkroniseres bare systemnavnene ved synkronisering av NT-domene. Systembeskrivelsen synkroniseres ikke. Kriteriebasert sortering Du kan bruke IP-adresseinformasjonen til å sortere administrerte systemer i spesifikke grupper automatisk. Du kan også opprette sorteringskriterier basert på tagger som tilordnes systemene. McAfee epolicy Orchestrator programvare Produktveiledning 119

120 8 Bruke systemtreet og tagger Organisering av systemer Tagger fungerer som etiketter for systemene. Du kan bruke en av eller begge kriterietypene for å sikre at systemene plasseres der du vil ha dem i systemtreet. Systemene trenger bare samsvare med ett av gruppens sorteringskriterier for å bli plassert i gruppen. Når du har opprettet gruppene og angitt sorteringskriteriene, utfører du handlingen Testsortering for å bekrefte kriteriene og sorteringsrekkefølgen. Når du har lagt til sorteringskriterier i gruppene, kan du kjøre handlingen Sorter nå. Handlingen flytter de valgte systemene automatisk til riktig gruppe. Systemer som ikke samsvarer med sorteringskriteriene for noen grupper, flyttes til gruppen Ukjent kilde. Nye systemer som kommuniserer med serveren for første gang, legges automatisk til i riktig gruppe. Men hvis du definerer sorteringskriterier etter den første agent-til-server-kommunikasjonen, må du kjøre handlingen Sorter nå i disse systemene for å flytte dem til riktig gruppe. Alternativt kan du vente til neste agent-til-server-kommunikasjon. Sorteringsstatus for systemer Du kan aktivere eller deaktivere systemtresortering for ett eller flere systemer. Hvis du deaktiverer systemtresortering for et system, utelukkes det fra sorteringshandlingene, med unntak av når handlingen Testsortering utføres. Under en testsortering tas det hensyn til sorteringsstatusen for systemet eller samlingen, og flytting eller sortering kan utføres fra siden Testsortering. Innstillinger for systemtresortering på McAfee epo-serveren Sortering må være aktivert på serveren og i systemene for at sortering skal kunne utføres. Når sortering er aktivert, sorteres systemene som standard ved første agent-til-server-kommunikasjon (eller den neste hvis endringene gjøres på eksisterende systemer) og sorteres ikke på nytt. Testsortering av systemer Bruk denne funksjonen til å se hvor systemene blir plassert under en sorteringshandling. Siden Testsortering viser systemene og banene til systemenes plasseringer etter sortering. Denne siden viser ikke systemenes sorteringsstatus, men hvis du velger systemer på siden (selv systemer med sortering deaktivert) og klikker på Flytt systemer, plasseres disse systemene på den identifiserte plasseringen. Hvordan innstillinger påvirker sortering Du kan velge tre serverinnstillinger som bestemmer om og når systemer sorteres. Du kan også velge om et system skal kunne sorteres ved å aktivere eller deaktivere systemtresortering for de valgte systemene i systemtreet. Serverinnstillinger Serveren har tre innstillinger: Deaktiver systemtresortering: Hindrer andre epolicy Orchestrator-brukere fra utilsiktet å konfigurere sorteringskriterier for grupper og flytte systemer til uønskede plasseringer i systemtreet. Sorter systemer ved hver agent-til-server-kommunikasjon Systemene sorteres på nytt ved hver agent-til-server-kommunikasjon. Når du endrer sorteringskriterier for grupper, flyttes systemene til den nye gruppen ved neste agent-til-server-kommunikasjon. Sorter systemene én gang Systemene sorteres ved neste agent-til-server-kommunikasjon, skal ikke sorteres på nytt så lenge denne innstillingen er valgt. Du kan imidlertid fortsatt sortere et slikt system å velge det og deretter klikke på Sorter nå. 120 McAfee epolicy Orchestrator programvare Produktveiledning

121 Bruke systemtreet og tagger Organisering av systemer 8 Systeminnstillinger Du kan deaktivere eller aktivere systemtresortering i alle systemene. Hvis dette deaktiveres i et system, sorteres ikke systemet, uansett hvilken sorteringshandling du velger. Men hvis du utfører handlingen Testsortering, sorteres systemet. Hvis dette aktiveres, sorteres systemet alltid med den manuelle handlingen Sorter nå, og kan sorteres ved agent-til-server-kommunikasjon. Sorteringskriterier for IP-adresse I mange nettverk reflekterer undernett- og IP-adresseinformasjonen organisasjonens særpreg, som for eksempel geografisk plassering eller jobbfunksjon. Hvis IP-adressen samsvarer med behovene dine, kan du vurdere å angi sorteringskriterier for IP-adresse for disse gruppene. Denne funksjonen er endret i denne versjonen av McAfee epo og det er nå mulig å angi IP-sorteringskriterier tilfeldig i treet. Du trenger ikke lenger sikre at sorteringskriteriene for den underordnede gruppens IP-adresse er et delsett av den overordnede gruppen, så lenge den overordnede gruppen ikke har noen tildelte kriterier. Når du har konfigurert, kan du sortere systemer ved agent-til-server-kommunikasjon, eller kun når en sorteringshandling startes manuelt. Sorteringskriterier for IP-adresse skal ikke overlappe mellom ulike grupper. Hvert IP-adresseområde eller hver undernettmaske i sorteringskriteriene for en gruppe skal dekke et unikt sett med IP-adresser. Hvis kriteriene overlapper, styres plasseringen av disse systemene av rekkefølgen på undergruppene i kategorien Systemtre Gruppedetaljer. Du kan kontrollere IP-overlapping ved å bruke handlingen Sjekk IP-integritet i kategorien Gruppedetaljer. Taggbaserte sorteringskriterier I tillegg til å bruke IP-adresser til å sortere systemer i riktige grupper, kan du definere sorteringskriterier basert på taggene som er tildelt systemene. Taggbaserte kriterier kan brukes med IP-adressebaserte kriterier for sortering. Grupperekkefølge og -sortering Du kan få ytterligere fleksibilitet i administrasjonen av systemtreet ved å konfigurere rekkefølgen på en gruppes undergrupper, og i hvilken rekkefølge de plasseres under sortering. Når flere undergrupper har like vilkår, kan endring av denne rekkefølgen endre hvor et system ender opp i systemtreet. Hvis du bruker oppsamlingsgrupper, må de være den siste undergruppen i listen. Oppsamlingsgrupper Oppsamlingsgrupper er grupper som har sorteringskriterier angitt til Alle andre på siden Sorteringskriterier for gruppen. Kun undergrupper som er plassert sist i sorteringsrekkefølgen, kan være oppsamlingsgrupper. Disse gruppene mottar alle systemer som er sortert i den overordnede gruppen, men som ikke er sortert i noen av motpartgruppene til denne oppsamlingsgruppen. Slik legges et system til i systemtreet etter sortering: Når McAfee Agent kommuniserer med serveren for første gang, bruker serveren en algoritme for å plassere systemet i systemtreet. Når agenten ikke finner en passende plassering for et system, legger den systemet i gruppen Hittegods. Ved hver agent-til-server-kommunikasjon forsøker serveren å finne systemet i systemtreet ved hjelp av en McAfee Agent-GUID. Bare systemer med agenter som allerede har anropt serveren for første gang, har en McAfee Agent-GUID i databasen. Hvis et samsvarende system oppdages, forblir systemet på den eksisterende plasseringen. McAfee epolicy Orchestrator programvare Produktveiledning 121

122 8 Bruke systemtreet og tagger Organisering av systemer Hvis et samsvarende system ikke oppdages, bruker serveren en algoritme til å sortere systemene i riktige grupper. Systemene kan sorteres i en kriteriebasert gruppe i systemtreet, så lenge hver overordnet gruppe i banen ikke har kriterier som ikke samsvarer. Overordnede grupper for en kriteriebasert undergruppe må bestå av ingen kriterier eller samsvarende kriterier. Sorteringsrekkefølgen som er tildelt hver undergruppe (definert i kategorien Gruppedetaljer), bestemmer rekkefølgen undergruppene vurderes i av serveren for sortering. 1 Serveren søker etter et system uten McAfee Agent-GUID (McAfee Agent har ikke tidligere foretatt et anrop) med et samsvarende navn i en gruppe med samme navn som domenet. Hvis serveren finner systemet, plasseres det i den aktuelle gruppen. Dette kan inntreffe etter første Active Directory- eller NT-domenesynkronisering eller når du har lagt til systemer manuelt i systemtreet. 2 Hvis et samsvarende system fremdeles ikke oppdages, søker serveren etter en gruppe med samme navn som domenet der systemet kommer fra. Hvis en slik gruppe ikke er tilgjengelig, opprettes en gruppe under gruppen Hittegods og systemet plasseres der. 3 Egenskapene er oppdatert for systemet. 4 Serveren bruker utelukkende kriteriebaserte tagger for systemet hvis serveren er konfigurert til å kjøre sorteringskriterier ved hver agent-til-server-kommunikasjon. 5 Hva som skjer neste gang, avhenger av om systemtresortering er aktivert på både server og system. Systemet forblir på den opprinnelige plasseringen hvis systemtresortering er deaktivert for enten serveren eller systemet. Systemet flyttes basert på sorteringskriteriene i systemtregruppene hvis systemtresortering er aktivert for både serveren og systemet. Systemer som legges til under Active Directory- eller NT-domenesynkronisering, har systemtresortering deaktivert som standard. Systemer med deaktivert systemtresortering sorteres ikke på første agent-til-server-kommunikasjon 6 Serveren vurderer sorteringskriterier for alle toppnivågruppene i henhold til sorteringsrekkefølgen i kategorien Gruppedetaljer for gruppen Min organisasjon. Systemet plasseres i den første gruppen med samsvarende kriterier eller en valgt oppsamlingsgruppe. Når systemene er sortert i en gruppe, vurderes hver av undergruppene for samsvarende kriterier i henhold til sorteringsrekkefølgen i kategorien Gruppedetaljer. Sorteringen fortsetter til det ikke finnes noen undergruppe med samsvarende kriterier for systemet, og systemene plasseres da i den siste gruppen med samsvarende kriterier. 7 Hvis en slik toppnivågruppe ikke finnes, vurderes undergruppene for toppnivågruppene (uten sorteringskriterier) i henhold til sorteringen. 8 Hvis en kriteriebasert gruppe på andre nivå ikke finnes, vurderes kriteriebaserte ubegrensede grupper på tredje nivå under ubegrensede grupper på andre nivå. Undergrupper av grupper med kriterier som ikke samsvarer, tas ikke i betraktning. En gruppe må ha samsvarende kriterier eller ingen kriterier for at undergruppene skal vurderes for et system. 122 McAfee epolicy Orchestrator programvare Produktveiledning

123 Bruke systemtreet og tagger Organisering av systemer 8 9 Prosessen fortsetter gjennom systemtreet til et system er sortert i en gruppe. Hvis serverinnstillingen for systemtresortering er konfigurert til å bare sortere ved den første agent-til-server-kommunikasjonen, angis dette med et flagg for systemet. Flagget betyr at systemet aldri kan sorteres på nytt ved agent-til-server-kommunikasjon, med mindre serverinnstillingene endres for å aktivere sortering ved hver agent-til-server-kommunikasjon. 10 Hvis en server ikke kan sortere systemet i en gruppe, plasseres systemet i gruppen Hittegods, i en undergruppe med samme navn som domenet. Vise systeminformasjonsdetaljer Du kan vise detaljert informasjon og status om et system i systemtreet. 1 Åpne Systemtre-siden. 1 Velg Meny Systemer Systemtre. 2 Klikk på kategorien Systemer og enhver systemrad. 2 Klikk på Tilpass for å endre informasjonen som vises i de tre systeminformasjonovervåkerne: Oppsummering: Viser som standard resultatene av spørringen Oppsummering av McAfee Agent-kommunikasjon. Egenskaper: Viser som standard informasjon om systemplasseringen i nettverket og den installerte agenten. Spørringsovervåker: Viser som standard de systemspesifikke resultatene for spørringen Trusselhendelser de siste 2 ukene. 3 Klikk på en av disse kategoriene for å vise flere detaljer om det valgte systemet: Alternativ Beskrivelse Systemegenskaper Produkter Viser detaljer om systemet. For eksempel operativsystem, installert minne og tilkoblingsinformasjon. Lister opp en av disse produkttilstandene: Installerte produkter: Tilstanden til det installerte produktet som McAfee Agent har kommunisert med for installeringshendelsen. Avinstallert produkt: Tilstanden for det avinstallerte produktet som McAfee Agent har kommunisert med for avinstalleringshendelsen. Distribueringsoppgavestatus for produkt: Tilstanden til installeringsoppgaven av en nyere versjon av et eksisterende produkt som er i ferd med å bli installert. Statusen for distribusjonsoppgaven med samme versjon av produktet eller en eldre versjon av samme produkt, blir ignorert. Tildelte policyer Anvendte klientoppgaver Viser navnet på policyer brukt i systemet, i alfabetisk rekkefølge. Viser navnet på klientoppgavene tildelt til dette systemet, i alfabetisk rekkefølge. McAfee epolicy Orchestrator programvare Produktveiledning 123

124 8 Bruke systemtreet og tagger Organisering av systemer Alternativ Trusselhendelser McAfee Agent Beskrivelse Viser trusler og andre hendelser, samt detaljert informasjon om disse hendelsene, Viser konfigurasjonsinformasjon om McAfee Agent som er installert på systemet. Klikk på Mer for å vise ytterligere McAfee Agent-konfigurasjon og -statusinformasjon. Opprette og fylle Systemtre-grupper Som hjelp til å visualisere de administrerte systemene etter geografiske verdier eller maskintypeverdier, oppretter du Systemtre-grupper og fyller gruppen med systemer. Anbefalt fremgangsmåte: Dra valgte systemer til en gruppe i Systemtre for å fylle grupper. Dra og slipp for å flytte grupper og undergrupper i Systemtre. Det finnes ikke én måte å organisere et Systemtre på. Fordi alle nettverk er ulike, kan Systemtre-organiseringen være like unik som nettverksoppsettet. Du kan bruke flere enn én organisasjonsmetode. Hvis du for eksempel bruker Active Directory i nettverket, kan du vurdere å importere Active Directory-beholderne i stedet for NT-domenene. Hvis Active Directory- eller NT-domeneorganisasjoner ikke passer for sikkerhetsadministrasjon, kan du opprette Systemtre i en tekstfil og importere den. Hvis du har et mindre nettverk, kan du opprette Systemtre for hånd og legge til hvert system manuelt. Legge til systemer i en eksisterende gruppe manuelt Legg til spesifikke systemer i en valgt gruppe. 1 Åpne siden Nye systemer. a Velg Meny Systemer Systemtre. b Klikk på Nye systemer. 2 Velg om du vil distribuere McAfee Agent til de nye systemene og om systemene skal legges til den valgte gruppen eller til en gruppe i henhold til sorteringskriteriene. 3 Ved siden av Målsystemer skriver du inn NetBIOS-navnet for hvert system i tekstboksen, atskilt med komma, mellomrom eller linjeskift. Du kan alternativt klikke på Bla gjennom for å velge systemet. 4 Angi tilleggsalternativer etter behov. Hvis du valgte Utfør en push-installasjon av agentene og legg til systemer i den aktuelle gruppen, kan du aktivere automatisk systemtresortering. Gjør dette for å bruke sorteringskriteriene for disse systemene. 5 Klikk på OK. Opprette grupper manuelt Opprett undergrupper i systemtreet McAfee epolicy Orchestrator programvare Produktveiledning

125 Bruke systemtreet og tagger Organisering av systemer 8 1 Åpne dialogboksen Nye undergrupper. a Velg Meny Systemer Systemtre. b Velg en gruppe og klikk på Ny undergruppe. Du kan også opprette flere undergrupper samtidig. 2 Skriv inn et navn, og klikk på OK. Den nye gruppen vises i systemtreet. 3 Gjenta til du er klar til å fylle ut gruppene med systemer. Bruk en av disse prosessene til å legge til systemer i gruppene i systemtreet: Skrive inn systemnavn manuelt. Importere systemene fra NT-domener eller Active Directory -beholdere. Du kan jevnlig synkronisere et domene eller en beholder til en gruppe for enklere vedlikehold. Konfigurere sorteringskriterier basert på IP-adresse eller tagger for gruppene. Når agenter sjekker inn fra systemene med samsvarende IP-adresse eller tagger, plasseres de automatisk i riktig gruppe. Eksportere systemer fra systemtreet Du kan eksportere en liste over systemer fra systemtreet til en.txt-fil for senere bruk. Eksporter på gruppe- eller undergruppenivå mens du opprettholder systemtrestrukturen. Det kan være praktisk å ha en liste over systemene i systemtreet. Du kan importere denne listen til McAfee epo-epo-serveren for å gjenopprette tidligere struktur og organisasjon raskt. Denne oppgaven fjerner ikke systemer fra systemtreet. Den oppretter en.txt-fil som inneholder navnene på og strukturen av systemene. 1 Velg Meny Systemer Systemtre. 2 Velg gruppen eller undergruppen som inneholder systemene du vil eksportere, og klikk på Systemtrehandlinger Eksporter systemer. 3 Velg hva som skal eksporteres: Alle systemer i denne gruppen Eksporterer systemene i angitt Kildegruppe, men eksporterer ikke systemer i nestede undergrupper under dette nivået. Alle systemer i denne gruppen og undergrupper Eksporterer alle systemer på og under dette nivået. 4 Klikk på OK. Åpner siden Eksporter. Du kan klikke på systems-koblingen for å vise systemlisten eller høyreklikke på koblingen for å lagre en kopi av filen ExportSystems.txt. McAfee epolicy Orchestrator programvare Produktveiledning 125

126 8 Bruke systemtreet og tagger Organisering av systemer Opprette en tekstfil med grupper og systemer Opprett en tekstfil med NetBIOS-navnene for nettverksystemene du vil importere i en gruppe. Du kan importere en flat liste over systemer eller organisere systemene i grupper. Definer gruppene og systemene ved å skrive inn gruppe- og systemnavnene i en tekstfil. Deretter importerer du informasjonen til McAfee epo. For store nettverk må du bruke nettverksverktøy som NETDOME.EXE, tilgjengelig med Microsoft Windows Resource Kit, til å generere tekstfiler med fullstendige lister over systemene i nettverket ditt. Når du har opprettet tekstfilen, redigerer du den manuelt for å opprette grupper av systemer. Deretter importerer du hele strukturen i Systemtre. Uavhengig av hvordan du genererer tekstfilen, må du bruke riktig syntaks før du importerer den. 1 Angi hvert enkelt system på en egen linje. Organiser systemene i grupper ved å skrive inn gruppenavnet etterfulgt av omvendt skråstrek (\). Deretter angir du systemet som tilhører gruppen, nedenfor (ett system per linje). Gruppe A\system 1 Gruppe A\system 2 Gruppe A\gruppe B\system 3 Gruppe C\gruppe D 2 Bekreft navnet på gruppene og systemene samt syntaksen for tekstfilen, og lagre deretter tekstfilen i en midlertidig mappe på serveren. Importere systemer og grupper fra en tekstfil Importer systemer eller grupper av systemer til systemtreet fra en tekstfil du har opprettet og lagret. 1 Åpne siden Nye systemer. a Velg Meny Systemer Systemtre. b Klikk på Nye systemer. 2 Velg Importere systemer fra en tekstfil til den valgte gruppen, uten å utføre en push-installasjon for agentene. 3 Velg om importfilen inneholder: Systemer og systemtrestruktur Bare systemer (som en flat liste) 4 Klikk på Bla gjennom, og velg deretter tekstfilen. 5 Velg hva som skal gjøres med systemer som allerede finnes andre steder i systemtreet. 6 Klikk på OK. Systemene importeres til valgt gruppe i systemtreet. Hvis tekstfilen organiserer systemene i grupper, oppretter serveren disse gruppene og importerer systemene. 126 McAfee epolicy Orchestrator programvare Produktveiledning

127 Bruke systemtreet og tagger Organisering av systemer 8 Sortere systemer i kriteriebaserte grupper Konfigurere og implementere sortering i gruppesystemer. For at systemer skal sorteres i grupper, må sortering være aktivert, og sorteringskriterier og sorteringsrekkefølge for gruppene må være konfigurert. r Legg til sorteringskriterier i grupper på side 127 Sorteringskriterier for systemtregrupper kan baseres på IP-adresseinformasjon eller tagger. Aktivere systemtresortering på serveren på side 128 Systemtresortering må være aktivert både på serveren og i systemene for at systemene skal sorteres. Aktivere eller deaktivere systemtresortering i systemer på side 128 Sorteringsstatusen for et system bestemmer om det kan sorteres i en kriteriebasert gruppe. Sortere systemer manuelt på side 128 Sortere valgte systemer i grupper med kriteriebasert sortering aktivert. Legg til sorteringskriterier i grupper Sorteringskriterier for systemtregrupper kan baseres på IP-adresseinformasjon eller tagger. 1 Velg Meny Systemer Systemtre, klikk på kategorien Gruppedetaljer og velg gruppen i systemtreet. 2 Klikk på Rediger ved siden av Sorteringskriterier. Siden Sorteringskriterier vises for den valgte gruppen. 3 Velg Systemer som samsvarer med ett eller flere av kriteriene nedenfor, kriterievalgene vises. Selv om du kan konfigurere flere sorteringskriterier for gruppen, trenger et system kun samsvare med ett enkelt kriterium for å plasseres i denne gruppen. 4 Konfigurer kriteriene. Alternativene er: IP-adresser Bruk denne tekstboksen til å definere et IP-adresseområde eller en undernettmaske som sorteringskriterier. Et system med en adresse som faller innenfor dette området, sorteres til denne gruppen. Tagger: Klikk på Legg til tagger og utfør disse trinnene i dialogboksen Legg til tagger. 1 Klikk på taggnavnet eller -navnene for å legge til og sortere systemene i denne overordnede gruppen. Klikk på Ctrl + taggnavnene for å merke flere tagger. 2 Klikk på OK. Merkede tagger vises under Tagger på siden Sorteringskriterier og ved siden av Sorteringskriterier på siden Gruppedetaljer. 5 Gjenta etter behov til sorteringskriteriene er konfigurert på nytt for gruppen, og klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 127

128 8 Bruke systemtreet og tagger Organisering av systemer Aktivere systemtresortering på serveren Systemtresortering må være aktivert både på serveren og i systemene for at systemene skal sorteres. Hvis du i denne oppgaven bare sorterer ved første agent-til-server-kommunikasjon, sorteres alle aktiverte systemer ved neste agent-til-server-kommunikasjon, og sorteres ikke på nytt så lenge dette alternativet er valgt. Disse systemene kan imidlertid sorteres manuelt på nytt ved bruk av handlingen Sorter nå, eller ved å endre innstillingene til å sortere ved hver agent-til-server-kommunikasjon. Hvis du sorterer ved hver agent-til-server-kommunikasjon, sorteres alle aktiverte systemer ved hver agent-til-server-kommunikasjon så lenge dette alternativet er valgt. 1 Velg Meny Konfigurasjon Serverinnstillinger, deretter velger du Systemtresortering i listen Innstillingskategorier og klikker på Rediger. 2 Velg om du vil sortere systemene kun ved første agent-til-server-kommunikasjon eller ved alle agent-til-server-kommunikasjoner. Aktivere eller deaktivere systemtresortering i systemer Sorteringsstatusen for et system bestemmer om det kan sorteres i en kriteriebasert gruppe. Du kan endre sorteringsstatusen for systemer i alle tabellene i systemene (som for eksempel spørringsresultater), samt automatisk i resultatene av en planlagt spørring. 1 Velg Meny Systemer Systemtre Systemer, og velg ønskede systemer. 2 Velg Handlinger Katalogadministrasjon Endre sorteringsstatus og velg om du vil aktivere eller deaktivere systemtresortering i de valgte systemene. 3 I dialogboksen Endre sorteringsstatus kan du velge om du vil deaktivere eller aktivere systemtresortering i det valgte systemet. Disse systemene sorteres ved neste agent-til-server-kommunikasjon, avhengig av innstillingen for systemtresortering. Ellers kan de bare sorteres med handlingen Sorter nå. Sortere systemer manuelt Sortere valgte systemer i grupper med kriteriebasert sortering aktivert. 128 McAfee epolicy Orchestrator programvare Produktveiledning

129 Bruke systemtreet og tagger Organisering av systemer 8 1 Velg Meny Systemer Systemtre Systemer, og velg gruppen som inneholder systemene. 2 Velg systemene og klikk deretter Handlinger Katalogadministrasjon Sorter nå. Dialogboksen Sorter nå vises. Hvis du vil forhåndsvise resultatene av sorteringen før sortering, klikker du heller på Testsortering. (Hvis du imidlertid flytter systemer fra siden Testsortering, sorteres alle valgte systemer, selv om de har deaktivert systemtresortering.) 3 Klikk på OK for å sortere systemene. Importere Active Directory-beholdere Importer systemer fra Active Directory-beholdere direkte i systemtreet ved å tilknytte kildebeholdere til Systemtre-grupper. Med tilknytning av Active Directory-beholdere til grupper kan du gjøre følgende: Synkroniser systemtrestrukturen mot Active Directory-strukturen slik at når du legger til eller fjerner beholdere i Active Directory, blir de tilsvarende gruppene i systemtreet også lagt til eller fjernet. Slette systemer fra systemtreet når de slettes fra Active Directory. Forhindre duplikatoppføringer av systemene i systemtreet når disse allerede finnes i andre grupper. 1 Velg Meny Systemer Systemtre Gruppedetaljer og velg en gruppe i Systemtre som du vil knytte en Active Directory-beholder til. Du kan ikke synkronisere Hittegods-gruppen i Systemtre. 2 Klikk på Rediger ved siden av Synkroniseringstype. Siden Synkroniseringsinnstillinger vises for den valgte gruppen. 3 Velg Active Directory ved siden av Synkroniseringstype. Alternativet Active Directory-synkronisering vises. 4 Velg den typen Active Directory-synkronisering du vil opprette mellom denne gruppen og Active Directory-beholderen (og dens underbeholdere): Systemer og beholderstruktur: Velg dette alternativet hvis du vil at denne gruppen skal være lik Active Directory-strukturen. Når synkroniseringen er fullført, endres Systemtre-strukturen under denne gruppen slik at den reflekterer strukturen til Active Directory-beholderen den er tilknyttet. Når beholdere legges til i eller fjernes fra Active Directory, legges de til i eller fjernes fra Systemtre. Når systemer legges til i, flyttes i eller fjernes fra Active Directory, legges de til i, flyttes i eller fjernes fra Systemtre. Kun systemer Velg dette alternativet hvis du kun vil at systemene i Active Directory-beholderen (og ikke-ekskluderte underbeholdere) kun skal legges til i denne gruppen. Ingen undergrupper opprettes ved speiling av Active Directory. McAfee epolicy Orchestrator programvare Produktveiledning 129

130 8 Bruke systemtreet og tagger Organisering av systemer 5 Velg om det skal opprettes en duplikatoppføring for et system som allerede finnes i en annen gruppe i Systemtre. Velg ikke dette alternativet hvis du bruker Active Directory-synkronisering som utgangspunkt for sikkerhetsadministrasjon og planlegger å bruke Systemtre-administrasjon etter å ha tilknyttet systemet. 6 I Active Directory-domenet kan du: Angi det fullstendig kvalifiserte domenenavnet for Active Directory-domenet. Velg fra en liste over allerede registrerte LDAP-servere. 7 Klikk på Legg til ved siden av Beholder. Velg en kildebeholder i dialogboksen Velg Active Directory-beholder, og klikk deretter på OK. 8 Hvis du vil ekskludere bestemte underbeholdere, klikker du på Legg til ved siden av Unntak. Velg så en underbeholder du vil ekskludere, og klikk på OK. 9 Velg om du vil distribuere McAfee Agent automatisk til de nye systemene. I så fall må du påse at du konfigurerer innstillingene for distribusjon. Anbefalt fremgangsmåte: På grunn av størrelsen bør du ikke distribuere McAfee Agent under den første importen hvis beholderen er stor. En bedre løsning er å importere beholderen og deretter distribuere McAfee Agent til systemene gruppevis, i stedet for til alle systemene samtidig. 10 Velg om systemer skal slettes fra systemtreet når de slettes fra Active Directory-domenet. Velg om du vil fjerne agenter fra de slettede systemene (valgfritt). 11 Klikk på Synkroniser nå for å synkronisere gruppen med Active Directory umiddelbart. Når du klikker på Synkroniser nå, lagres eventuelle endringer i synkroniseringsinnstillingene før gruppen synkroniseres. Hvis du har aktivert en varselsregel for Active Directory-synkronisering, opprettes en hendelse for hvert system som legges til eller fjernes. Disse hendelsene vises i revisjonsloggen og er søkbare. Hvis du har distribuert agenter til de tillagte systemene, startes distribusjonen for hvert tillagte system. Når synkroniseringen fullføres, oppdateres tidspunktet for forrige synkronisering. Datoen og tidspunktet gjelder fullført synkronisering, ikke når eventuelle agentdistribusjoner ble fullført. Anbefalt fremgangsmåte: Planlegg en serveroppgave for NT-domene / Active Directory-synkronisering for den første synkroniseringen. Denne serveroppgaven er nyttig hvis du distribuerer agenter til nye systemer ved første synkronisering, da båndbredden kan ha begrensninger. 12 Når synkroniseringen er fullført, kan du se resultatene i systemtreet. Når systemene er importert, kan du distribuere agenter til dem hvis du ikke velger å gjøre dette automatisk. Anbefalt fremgangsmåte: Konfigurer en gjentakende serveroppgave for NT-domene / Active Directory-synkronisering for å holde Systemtre oppdatert med eventuelle endringer i Active Directory-beholderne. Importere NT-domener til en eksisterende gruppe Importer systemer fra et NT-domene til en gruppe du har opprettet manuelt. Du kan fylle ut grupper automatisk ved å synkronisere hele NT-domener med angitte grupper. Dette er en enkel måte å legge til alle systemene i nettverket ditt samtidig i systemtreet som en flat liste uten systembeskrivelse. 130 McAfee epolicy Orchestrator programvare Produktveiledning

131 Bruke systemtreet og tagger Organisering av systemer 8 Hvis domenet er svært stort, kan du opprette undergrupper for å underlette policyadministrasjonen eller organiseringen. For å gjøre dette må du først importere domenet i en gruppe i systemtreet, og deretter manuelt opprette logiske undergrupper. Hvis du vil administrere de samme policyene på tvers av flere domener, importerer du hvert enkelt domene til en undergruppe i den samme gruppen. Undergruppene arver policyene som er angitt for toppnivågruppen. Når du bruker denne metoden: Opprett IP-adresse eller kriterier for taggsortering for undergrupper for å sortere de importerte systemene automatisk. Planlegg periodisk serveroppgave for synkronisering av NT-domene/Active Directory for enkelt vedlikehold. 1 Velg Meny Systemer Systemtre Gruppedetaljer, og velg eller opprett en gruppe i systemtreet. 2 Klikk på Rediger ved siden av Synkroniseringstype. Siden Synkroniseringsinnstillinger vises for den valgte gruppen. 3 Velg NT-domene ved siden av Synkroniseringstype. Innstillinger for synkronisering av domene vises. 4 Ved siden av Systemer som eksisterer andre steder i systemtreet velger du hva du vil gjøre med systemer som finnes i andre grupper i Systemtre. Anbefalt fremgangsmåte: Ikke velg Legg til systemer i en synkronisert gruppe og la dem være på sin nåværende systemtreplassering, spesielt hvis du kun bruker NT-domenesynkronisering som et utgangspunkt for sikkerhetsadministrasjon. 5 Ved siden av Domene, klikk på Bla gjennom og velger NT-domenet som skal tildeles denne gruppen. Klikk deretter på OK. Alternativt kan du skrive domenenavnet direkte inn i tekstboksen. Når du skriver inn domenenavnet, må du ikke bruke det fullstendig kvalifiserte domenenavnet. 6 Velg om du vil distribuere McAfee Agent automatisk til de nye systemene. I så fall må du påse at du konfigurerer innstillingene for distribusjon. Anbefalt fremgangsmåte: På grunn av størrelsen bør du ikke distribuere McAfee Agent under den første importen hvis beholderen er stor. En bedre løsning er å importere beholderen og deretter distribuere McAfee Agent til systemene gruppevis, i stedet for til alle systemene samtidig. 7 Velg om du vil slette systemer fra systemtreet når de slettes fra NT-domenet. Du kan velge å fjerne agenter fra slettede systemer. 8 Hvis du vil synkronisere gruppen med domenet umiddelbart, klikker du på Synkroniser nå. Vent deretter mens systemene i domenet legges til i gruppen. Når du klikker på Synkroniser nå, lagres eventuelle endringer i synkroniseringsinnstillingene før gruppen synkroniseres. Hvis du har aktivert en varselregel for NT-domenesynkronisering, opprettes en hendelse for hvert system som legges til eller fjernes. Disse hendelsene vises i revisjonsloggen og er søkbare. Hvis du velger å distribuere agenter til de tillagte systemene, startes distribusjonen for hvert tillagte system. Når synkroniseringen er fullført, oppdateres tidspunktet for forrige synkronisering. Tidspunkt og dato gjelder fullført synkronisering, ikke når eventuelle agentdistribusjoner ble fullført. McAfee epolicy Orchestrator programvare Produktveiledning 131

132 8 Bruke systemtreet og tagger Organisering av systemer 9 Hvis du vil synkronisere gruppen med domenet manuelt, klikker du på Sammenlign og oppdater. a Hvis du er i ferd med å fjerne eventuelle systemer fra gruppen med denne siden, velger du om du vil fjerne agentene når systemet fjernes. b Velg systemene du vil legge til og fjerne fra gruppen etter behov, og klikk deretter på Oppdater gruppe for å legge til de valgte systemene. Siden Synkroniseringsinnstillinger vises. 10 Klikk på Lagre. Vis deretter resultatene i systemtreet hvis du klikket på Synkroniser nå eller Oppdater gruppe. Når systemene er lagt til i Systemtre, kan du distribuere agenter til dem hvis du ikke valgte å distribuere agenter som en del av synkroniseringen. Du kan opprette en gjentakende serveroppgave for NT-domene/Active Directory-synkronisering for å holde gruppen oppdatert med nye systemer i NT-domenet. Planlegge systemtresynkronisering Planlegg en serveroppgave som oppdaterer systemtreet med endringene i det tilknyttede domenet eller den tilknyttede Active Directory-beholderen. Avhengig av gruppesynkroniseringsinnstillinger, automatiserer denne oppgaven disse handlingene: Legger til nye systemer på nettverket i den angitte gruppen. Legger til nye tilsvarende grupper når nye Active Directory-beholdere opprettes Sletter tilsvarende grupper når nye Active Directory-beholdere fjernes. Distribuerer agenter på nye systemer. Fjerner systemer som ikke lenger er på domenet eller i beholderen. Bruker område- eller gruppepolicyer og oppgaver på nye systemer. Hindrer eller tillater dupliserte oppføringer av systemer som fremdeles finnes i systemtreet, etter at du har flyttet dem til andre plasseringer. McAfee Agent kan ikke distribueres til alle operativsystemer på denne måten. Det kan hende du må distribuere McAfee Agent manuelt i noen systemer. 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 På siden Beskrivelse gir du oppgaven et navn og velger om den skal aktiveres etter opprettelse. Klikk deretter på Neste. 3 Velg Active Directory-synkronisering/NT-domene fra rullegardinlisten. 4 Velg om du vil synkronisere alle grupper eller valgte grupper. Hvis du bare synkroniserer noen grupper, klikker du på Velg synkroniserte grupper og velger spesifikke grupper. 5 Klikk på Neste for å åpne siden Tidsplan. 132 McAfee epolicy Orchestrator programvare Produktveiledning

133 Bruke systemtreet og tagger Organisering av systemer 8 6 Planlegg oppgaven, og klikk deretter på Neste. 7 Gjennomgå oppgavedetaljene og klikk på Lagre. I tillegg til å kjøre oppgaven på planlagt tidspunkt, kan du kjøre denne oppgaven umiddelbart: klikk på Kjør ved siden av oppgaven på siden Serveroppgaver. Oppdatere en synkronisert gruppe med et NT-domene manuelt Oppdater en synkronisert gruppe med endringer i det tilknyttede NT-domenet. Oppdateringene inkluderer følgende endringer: Legger til systemer som for øyeblikket er i domenet. Fjerner systemer fra systemtreet som ikke lenger er i domenet. Fjerner agenter fra alle systemer som ikke lenger tilhører det angitte domenet. 1 Velg Meny Systemer Systemtre Gruppedetaljer, velg deretter gruppen som er tilknyttet NT-domenet. 2 Klikk på Rediger ved siden av Synkroniseringstype. 3 Velg NT-domene, og klikk deretter på Sammenlign og oppdater nederst på siden. 4 Hvis du fjerner systemene fra gruppen velger du hvorvidt du fjerner agentene fra systemene som er fjernet. 5 Klikk på Legg til alle eller Legg til for å importere systemer fra nettverksdomenet for valgt gruppe. Klikk på Fjern alle eller Fjern for å fjerne systemer fra den valgte gruppen. 6 Klikk på Oppdater gruppe når fullført. Flytte systemer innad i systemtreet Flytte systemer fra én gruppe i systemtreet til en annen. Du kan flytte systemer fra alle sider som viser en tabell med systemer, herunder resultatene av en spørring. I tillegg til beskrivelsen nedenfor kan du også dra og slippe systemer fra tabellen Systemer til alle grupper i systemtreet. Selv om du har et perfekt organisert systemtre som er regelmessig synkronisert, kan det hende at du må flytte systemer mellom grupper manuelt. Det kan for eksempel hende at du må flytte systemer fra gruppen Ukjent kildefra tid til annen. 1 Velg Meny Systemer Systemtre Systemer, og bla til og velg systemet. 2 Klikk påhandlinger Katalogadministrasjon Flytte systemer for å åpne siden Velg ny gruppe. McAfee epolicy Orchestrator programvare Produktveiledning 133

134 8 Bruke systemtreet og tagger Organisering av systemer 3 Velg om du vil aktivere eller deaktivere systemtresortering for de valgte systemene når de flyttes. 4 Velg gruppen du vil plassere systemene i, og klikk på OK. Hvis du flytter systemer mellom grupper, arver det flyttede systemet policyer som er tildelt den nye gruppen. Slik fungerer Overfør systemer Du kan bruke kommandoen Overfør systemer til å flytte administrerte systemer mellom McAfee epo-servere. For eksempel fra en gammel McAfee epo-server til en ny McAfee epo 5.x-server. Det kan hende du må starte systemet på nytt hvis: Du oppgraderer serverens maskinvare og operativsystem. Du oppgraderer serverens maskinvare og McAfee epo-programvareversjon. Dette bildet viser hovedprosessene som er nødvendig for å overføre systemer fra én McAfee epo-server til en annen. Eksporter sikkerhetsnøklene fra den gamle serveren. Importer sikkerhetsnøklene til den nye serveren. Registrer den nye McAfee epo-serveren på den gamle serveren. Overfør gjeldende systemer til den nye McAfee epo-serveren. Kontroller at du kan vise systemene i den nye serverens systemtre. Kontroller at systemene ikke lenger vises i den gamle serverens systemtre. 134 McAfee epolicy Orchestrator programvare Produktveiledning

135 Bruke systemtreet og tagger Organisering av systemer 8 Overføre systemer fra én server til en annen Bruk alternativet Overfør systemer til å flytte systemer fra en gammel McAfee epo 4.x-server til en ny McAfee epo 5.x-server. Du kan få følgende feilmelding når du registrerer serverne og aktiverer alternativene Overfør systemer med Automatisk sitelist-import: FEIL: Masternøkler for agent-server må importeres til den eksterne serveren før import av sitelist. Gå til Serverinnstillinger for å eksportere sikkerhetsnøkler fra denne serveren. Hvis du besøker denne koblingen nå, mister du eventuelle ulagrede endringer på denne registrerte serveren. Begge nøklene (1024 og 2048) må importeres for vellykket registrering, slik at automatisk sitelist-import kan lagre uten problemer. r Eksportere sikkerhetsnøkler fra den gamle serveren på side 135 Eksporter 2048-biters og 1024-biters sikkerhetsnøklene. Importere sikkerhetsnøkler til den nye serveren på side 136 Importer 2048-biters og 1024-biters sikkerhetsnøklene fra den gamle serveren til den nye serveren. Registrere den gamle serveren på den nye serveren på side 136 Registrer den nye serveren. Registrer for eksempel en McAfee epo 5.x-server på en McAfee epo 4.x-server. Overføre systemer mellom servere på side 137 Når du har importert nøklene og registrert den nye serveren, kan du bruke den gamle serveren til å starte overføringsprosessen. Sjekke statusen for overførte datamaskiner på side 137 Kontroller at systemene dine nå vises på den nye serveren. Eksportere sikkerhetsnøkler fra den gamle serveren Eksporter 2048-biters og 1024-biters sikkerhetsnøklene. 1 Logg på konsollen. 2 Velg Meny Konfigurasjon Serverinnstillinger. 3 Klikk på Sikkerhetsnøkler under kolonnen Innstillingskategorier, og klikk på Rediger. Siden Rediger sikkerhetsnøkler åpnes. 4 Lagre 2048-biters nøklene oppført i listen Nøkler for sikker kommunikasjon mellom agent og server. a b c d e Klikk på 2048-biters nøkkelen og klikk på Eksporter. Klikk på OK for å bekrefte nøkkeleksporten. Klikk på Lagre. Skriv inn eller bla gjennom til en bane der du vil lagre ZIP-filen med sikkerhetsnøkkelen. Klikk på Lagre en gang til. McAfee epolicy Orchestrator programvare Produktveiledning 135

136 8 Bruke systemtreet og tagger Organisering av systemer 5 Lagre 1024-biters nøklene oppført i listen Nøkler for sikker kommunikasjon mellom agent og server. a b c d e Klikk på 1024-biters nøkkelen og klikk på Eksporter. Klikk på OK for å bekrefte nøkkeleksporten. Klikk på Lagre. Skriv inn eller bla gjennom til en bane der du vil lagre ZIP-filen med sikkerhetsnøkkelen. Klikk på Lagre en gang til. Importere sikkerhetsnøkler til den nye serveren Importer 2048-biters og 1024-biters sikkerhetsnøklene fra den gamle serveren til den nye serveren. 1 Logg på den nye konsollen. 2 Velg Meny Konfigurasjon Serverinnstillinger. 3 Klikk på Sikkerhetsnøkler i Innstillingskategorier-kolonnen, og klikk deretter på Rediger. 4 Klikk på Importer. 5 Importer 2048-biters nøkkelen. a b c d Klikk på Bla gjennom og finn ZIP-filen med den eksporterte 2048-biters sikkerhetsnøkkelen. Klikk på Åpne. Klikk på Neste. Bekreft at du har valgt riktig nøkkel på Sammendrag-fanen, og klikk på Lagre. 6 Importer 1024-biters nøkkelen. a b c d Klikk på Bla gjennom og finn ZIP-filen med den eksporterte 1024-biters sikkerhetsnøkkelen. Klikk på Åpne. Klikk på Neste. Bekreft at du har valgt riktig nøkkel på Sammendrag-fanen, og klikk på Lagre. Registrere den gamle serveren på den nye serveren Registrer den nye serveren. Registrer for eksempel en McAfee epo 5.x-server på en McAfee epo 4.x-server. 1 Logg på konsollen fra den gamle serveren. 2 Klikk på Meny Konfigurasjon Registrerte servere. 3 Klikk på Ny server. 136 McAfee epolicy Orchestrator programvare Produktveiledning

137 Bruke systemtreet og tagger Organisering av systemer 8 4 Velg epo fra rullegardinlisten Servertype, skriv et navn på serveren under Navn og klikk på Neste. 5 Skriv legitimasjonen til den nye serveren og klikk på Test tilkobling. 6 Hvis testen er vellykket, velger du Aktiver for oppføringen Overfør systemer. 7 Påse at Automatisk sitelist-import er valgt og klikk på Lagre. Alternativet Manuell sitelist-import er også tilgjengelig og kan brukes hvis du vil utføre en manuell import ved å velge en eksisterende SiteList.xml-fil. Du kan finne SiteList.xml-filen som skal brukes til denne prosessen, i følgende mappe på serveren som agentene overføres til: <epo_installation_directory>\db\sitelist.xml På en McAfee epo 4.6-server kan du bare velge versjon 4.6 eller tidligere versjoner som McAfee epo-versjon. Når du tester tilkoblingen til databasen på den registrerte serveren, får du følgende advarsel: Det ble opprettet tilkobling til databasen. Advarsel ulike versjoner! Du kan trygt ignorere advarselen. Den valgte McAfee epo-versjonen (4.6) samsvarer ikke med databasen (5.x) du har testet. Overføre systemer mellom servere Når du har importert nøklene og registrert den nye serveren, kan du bruke den gamle serveren til å starte overføringsprosessen. 1 Logg på den gamle serveren. 2 Velg Meny Systemer Systemtre. 3 Velg systemene du vil overføre. Kontroller at de valgte systemene kommuniserer med den gamle serveren før du overfører dem. 4 Klikk på Handlinger Agent Overfør systemer. 5 Velg den nye serveren og klikk på OK for å overføre. To agent-til-server-kommunikasjon-intervaller må utføres før systemet vises i Systemtre på den nye serveren. Hvor lang tid det tar, er avhengig av konfigurasjonen. Standardintervallet for agent-til-server-kommunikasjon er én time. Sjekke statusen for overførte datamaskiner Kontroller at systemene dine nå vises på den nye serveren. 1 Velg Meny Systemtre Systemer fra den nye serveren. Systemene dine vises i Systemtre. McAfee epolicy Orchestrator programvare Produktveiledning 137

138 8 Bruke systemtreet og tagger Tagger 2 Velg Meny Systemtre Systemer fra den gamle serveren. Systemene dine vises ikke i Systemtre. Slik fungerer funksjonen for automatiske responsersammen med systemtreet Før du planlegger implementeringen av automatiske responser, må du forstå hvordan funksjonen fungerer sammen med Systemtre. Denne funksjonen tillater ikke at arvmodellen brukes ved håndhevelse av policyer. Automatiske responser bruker hendelser som oppstår i systemer i miljøet, og konfigurerte responsregler. Disse reglene er knyttet til gruppen som inneholder de berørte systemene og de overordnede over dem. Når en hendelse oppstår, leveres den til serveren. Hvis regelens betingelser er oppfylt, utføres definerte handlinger. Dermed kan du konfigurere uavhengige regler på ulike nivåer i systemtreet. Disse reglene kan ha forskjellige: Terskler for sending av varselsmelding. Eksempel: En administrator for en bestemt gruppe ønsker å bli varslet hvis det påvises virus på 100 systemer på 10 minutter. Men en administrator bare ønsker å bli varslet hvis det påvises virus på systemer i hele miljøet innenfor det samme tidsrommet. Mottakere av varselsmelding. En administrator for en bestemt gruppe ønsker bare å bli varslet hvis virus påvises et bestemt antall ganger i den aktuelle gruppen. Eller en administrator ønsker at alle gruppeadministratorene skal varsles hvis virus påvises et bestemt antall ganger i hele Systemtre. Serverhendelser filtreres ikke basert på Systemtre-plassering. Tagger Bruk tagger til å identifisere og sortere systemer. Med tagger og taggrupper kan du velge grupper av systemer og forenkle opprettingen av oppgaver og spørringer. Opprett tagger Bruk ny taggbygger for raskt å opprette tagger. 1 Velg Meny Systemer Taggkatalog Ny tagg. 2 Skriv inn et navn og en relevant beskrivelse på siden Beskrivelse, og klikk deretter på Neste. Siden Kriterier vises. 3 Velg og konfigurer kriterier, og klikk på Neste. Siden Evaluering vises. Du må konfigurere kriterier for taggen for å bruke taggen automatisk. 138 McAfee epolicy Orchestrator programvare Produktveiledning

139 Bruke systemtreet og tagger Tagger 8 4 Velg om systemene skal evalueres i forhold til taggkriteriene kun når handlingen Kjør taggekriterier utføres, eller om evalueringen også skal skje ved hver agent-til-server-kommunikasjon. Klikk deretter på Neste. Siden Forhåndsvisning åpnes. Disse alternativene er utilgjengelige hvis kriteriene ikke er konfigurert. Når systemene evalueres i forhold til taggekriterier, brukes taggen på systemer som samsvarer med kriteriene, og som ikke har blitt utelatt fra taggen. 5 Bekreft informasjonen på denne siden, og klikk deretter på Lagre. Hvis taggen har kriterier, viser denne siden antallet systemer som mottar denne taggen ved evaluering i forhold til kriteriene. Taggen legges til under den valgte taggruppen i taggtreet på siden Taggkatalog. Administrere tagger Når tagger er opprettet ved hjelp av funksjonen for ny taggbygger, kan du bruke handlingslisten til å redigere, slette eller flytte taggene. 1 Velg Meny Systemer Taggkatalog. 2 Fra Tagger-listen velger du en tagg eller flere tagger, og deretter utfører du én av disse oppgavene: 1 Rediger tagg: Klikk på Handlinger Rediger og deretter fra Taggbygger: Antallet berørte systemer vises øverst på siden. a b Skriv inn et navn og en relevant beskrivelse av oppgaven på siden Beskrivelse, og klikk deretter på Neste. Velg og konfigurer kriterier, og klikk på Neste. Du må konfigurere kriterier for taggen for å bruke taggen automatisk. c Velg om systemene skal evalueres i forhold til taggkriteriene kun når handlingen Kjør taggekriterier utføres, eller om evalueringen også skal skje ved hver agent-til-server-kommunikasjon. Klikk deretter på Neste. Disse alternativene er utilgjengelige hvis kriteriene ikke er konfigurert. Når systemene evalueres i forhold til taggkriterier, brukes taggen på systemer som samsvarer med kriteriene, og som ikke er utelukket fra taggen. d Bekreft informasjonen om denne siden, og klikk deretter på Lagre. Hvis taggen har kriterier, viser denne siden antallet systemer som mottar denne taggen ved evaluering i forhold til kriteriene. Taggen oppdateres i den valgte taggruppen i taggtreet på siden Taggkatalog. McAfee epolicy Orchestrator programvare Produktveiledning 139

140 8 Bruke systemtreet og tagger Tagger 2 Slett tagg: Klikk på Handlinger Slett. I Slett-dialogboksen klikker du deretter på OK for å slette taggen. 3 Flytt tagg til en annen Taggruppe: Klikk på Handlinger Flytt tagger. I dialogboksen Flytt tagger velger du deretter undergruppen for måltaggen før du klikker på OK for å flytte taggen. Du kan også dra og slippe taggene inn i taggruppene i Taggruppetreet. Opprette, slette og endre undergrupper I undergrupper kan du neste taggrupper i opptil fire nivåer med opptil 1000 undergrupper i hver overordnede gruppe. I disse taggruppene kan du bruke kriteriebasert sortering for automatisk å legge til systemer i riktige grupper. 1 Velg Meny Systemer Taggkatalog. 2 Velg en av følgende handlinger på siden Taggkatalog. Handling Opprette en undergruppe Trinn 1 Velg taggruppen (eller den overordnede taggruppen) du vil opprette undergruppen i, fra taggtreet. Mine tagger legges til som standard gruppe på øverste nivå ved installering av McAfee epo. 2 Klikk på Ny undergruppe for å åpne dialogboksen Ny undergruppe. 3 I feltet Navn skriver du inn et beskrivende navn for hver nye undergruppe. 4 Klikk på OK for å opprette undergruppen. Gi nytt navn til en undergruppe 1 Velg undergruppen du vil gi nytt navn, i taggtreet. 2 Klikk på Taggtrehandlinger Endre navn på gruppe for å åpne dialogboksen Endre navn på undergruppe. 3 Skriv inn det nye navnet for undergruppen i Navn-feltet. 4 Klikk på OK, og undergruppen får nytt navn. Slette en undergruppe 1 Velg undergruppen du vil slette, i taggtreet. 2 Klikk på Handlinger Slett. Bekreftelsesdialogboksen Handling: slett åpnes. 3 Hvis du er sikker på at du vil slette undergruppen, klikker du på OK for å fjerne undergruppen. Utelukke systemer fra automatisk tagging Forhindrer at bestemte tagger brukes for systemene. Alternativt kan du bruke en spørring til å samle inn systemer, og deretter utelukke taggene fra disse systemene ut fra spørringsresultatene. 140 McAfee epolicy Orchestrator programvare Produktveiledning

141 Bruke systemtreet og tagger Tagger 8 1 Velg Meny Systemer Systemtre Systemer, og velg gruppen som inneholder systemene i systemtreet. 2 Velg ett eller flere systemer i systemtabellen, og klikk deretter på Handlinger Tagg Utelukk tagg. 3 I dialogboksen Utelukk tagg velger du taggruppen og velger deretter taggen som skal utelukkes. Klikk deretter på OK. Du begrenser listen til bestemte tagger ved å skrive taggnavnet i tekstboksen under Tagger. 4 Kontroller at systemene har blitt utelukket fra taggen: a Velg Meny Systemer Taggkatalog og velg en tagg eller taggruppe fra listen over tagger. b c Klikk på koblingen for antall systemer som er utelukket fra kriteriebasert taggbruk, ved siden av Systemer med tagg i detaljer-ruten. Siden Systemer utelukket fra taggen åpnes. Kontroller at systemene finnes i listen. Opprett en spørring for vise systemer basert på tagger Planlegg en spørring for å opprette en liste som viser, bruker eller fjerner tagger i systemer basert på valgte tagger. 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 Skriv navnet på og en beskrivelse av oppgaven, og klikk på Neste på siden Beskrivelse. 3 Velg Kjør spørring fra rullegardinmenyen Handlinger. 4 Velg en av disse spørringene i Spørring-feltet på fanen McAfee-grupper. Klikk deretter på OK. Inaktive agenter Dupliserte nettverksnavn Systemer med mange sekvensfeil Systemer uten nylige sekvensfeil Uadministrerte systemer 5 Velg språket du ønsker å vise resultatene på. McAfee epolicy Orchestrator programvare Produktveiledning 141

142 8 Bruke systemtreet og tagger Tagger 6 Velg en av disse underhandlingene som skal utføres basert på resultatene, i listen Underhandlinger. Bruk tagg: Bruker en valgt tagg i systemene som returneres av spørringen. Fjern tagg: Fjerner en valgt tagg fra systemene som returneres av spørringen. Velg Fjern alle for å fjerne alle tagger fra systemene i spørringsresultatene. Utelukk tagg: Utelukker systemer med den valgte taggen fra spørringsresultatene. 7 Velg en taggruppe fra taggruppetreet i vinduet Velg tagg, og filtrer eventuelt listen over tagger ved å bruke tekstboksen Tagger. Du kan velge flere enn én handling for spørringsresultatene. Klikk på knappen + for å legge til ytterligere handlinger. Sørg for å plassere handlingene i den rekkefølgen du ønsker at de skal utføres. Du kan for eksempel bruke Server-taggen og fjerne Arbeidsstasjon-taggen. Du kan også legge til andre underhandlinger, som å tildele en policy til systemene. 8 Klikk på Neste. 9 Planlegg oppgaven, og klikk deretter på Neste. 10 Bekreft konfigurasjonen av oppgaven og klikk på Lagre. n legges til i listen på siden Serveroppgaver. Hvis oppgaven er aktivert (standardinnstillingen), kjøres den ved neste planlagte tidspunkt. Hvis oppgaven er deaktivert, kan den bare kjøres ved at du klikker på Kjør ved siden av oppgaven. Bruke tagger på valgte systemer Bruk en tagg manuelt på valgte systemer i systemtreet. 1 Velg Meny Systemer Systemtre Systemer, og velg gruppen som inneholder systemene du vil ha. 2 Velg systemene, og klikk på Handlinger Tagg Bruk tagg. 3 I dialogboksen Bruk tagg velger du taggruppen og velger deretter taggen som skal brukes. Klikk deretter på OK. Du begrenser listen til bestemte tagger ved å skrive taggnavnet i tekstboksen under Tagger. 4 Kontroller at taggene er anvendt: a Klikk på Meny Systemer Taggkatalog og velg en tagg eller taggruppe fra listen over tagger. b c Klikk på koblingen for antall systemer som er tagget manuelt, ved siden av Systemer med tagg i detaljer-ruten. Siden Systemer med tagg brukt manuelt, vises. Kontroller at systemene finnes i listen. Fjern tagger fra systemer Fjerner tagger fra valgte systemer. 142 McAfee epolicy Orchestrator programvare Produktveiledning

143 Bruke systemtreet og tagger Tagger 8 1 Velg Meny Systemer Systemtre Systemer, og velg gruppen som inneholder systemene du vil ha. 2 Velg systemene, og klikk på Handlinger Tagg Fjern tagg. 3 Utfør ett av disse trinnene i dialogboksen Fjern tagg og klikk på OK. Fjern en bestemt tagg: Velg taggruppen og deretter taggen. Du begrenser listen til bestemte tagger ved å skrive taggnavnet i tekstboksen under Tagger. Fjerne alle tagger: Velg Fjern alle. 4 Kontroller at taggene er fjernet: a Velg Meny Systemer Taggkatalog, og velg en tagg eller taggruppe fra tagglisten. b c Klikk på koblingen for antall systemer som er tagget manuelt, ved siden av Systemer med tagg i detaljer-ruten. Siden Systemer med tagg brukt manuelt, vises. Kontroller at systemene ikke er inkludert i listen. Bruke kriteriebaserte tagger på alle samsvarende systemer Bruk en kriteriebasert tagg på alle ikke-ekskluderte systemer som samsvarer med de angitte kriteriene. 1 Velg Meny Systemer Taggkatalog, og velg en tagg eller taggruppe fra listen Tagger. 2 Klikk på Handlinger Kjør taggekriterier. 3 Velg om manuelt taggede og ekskluderte systemer skal tilbakestilles, i ruten Handling. Når du tilbakestiller manuelt taggede og utelukkede systemer, fjernes taggen fra systemer som ikke samsvarer med kriteriene, og taggen brukes på systemer som samsvarer med kriteriene, men som har blitt utelukket fra å motta taggen. 4 Klikk på OK. 5 Bekreft at taggen er brukt på systemene: a Velg Meny Systemer Taggkatalog, og velg en tagg eller taggruppe fra tagglisten. b c Klikk på koblingen for antall systemer med kriteriebasert bruk av tagg, ved siden av Systemer med tagg i detaljer-ruten. Siden Systemer med tagg brukt med kriterier vises. Kontroller at systemene finnes i listen. Taggen brukes på alle systemer som samsvarer med kriteriene. Bruke kriteriebaserte tagger på en tidsplan Planlegg en regelmessig oppgave som bruker en tagg på alle systemer som samsvarer med taggekriteriene. McAfee epolicy Orchestrator programvare Produktveiledning 143

144 8 Bruke systemtreet og tagger Tagger 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 På siden Beskrivelse skriver du inn et navn og en beskrivelse for oppgaven og velger om den skal aktiveres når den er aktivert, og deretter klikker du på Neste. Siden Handlinger åpnes. 3 Velg Kjør taggekriterier fra rullegardinlisten og velg taggen fra rullegardinlisten Tagg. 4 Velg om manuelt taggede og utelukkede systemer skal tilbakestilles. Når du tilbakestiller systemer som er tagget manuelt og utelukket, skjer to ting: Taggen på systemer som ikke oppfyller kriteriene, fjernes Taggen brukes på systemer som oppfyller kriteriene, men som er utelukket fra å motta taggen 5 Klikk på Neste for å åpne siden Tidsplan. 6 Planlegg oppgaven for de tidspunktene du ønsker, og klikk på Neste. 7 Se gjennom oppgaveinnstillingene, og klikk deretter på Lagre. Serveroppgaven legges til i listen på siden Serveroppgaver. Hvis du valgte å aktivere oppgaven i Serveroppgavebygger, kjøres den på det neste planlagte tidspunktet. 144 McAfee epolicy Orchestrator programvare Produktveiledning

145 9 9 Brukerkontoer og tillatelsessett Hver enkelt brukerkonto er knyttet til ett eller flere tillatelsessett som definerer hvordan brukeren kan bruke programvaren. Innhold Brukere Godkjenning med sertifikater Tillatelsessett Brukere Med brukerkontoer kan du kontrollere hvordan brukere får tilgang til og bruker McAfee epo. Du kan opprette brukerkontoer manuelt og deretter tildele hver konto riktig tillatelsessett. Du kan også konfigurere McAfee epo-serverne slik at de tillater brukere å logge på med Windows-godkjenning, men dette krever konfigurering og oppsett av flere innstillinger og komponenter. Selv om brukerkontoer og tillatelsessett er nært beslektet, opprettes og konfigureres de i separate trinn. Administrere brukerkontoer Du kan opprette, redigere og slette brukerkontoer manuelt fra siden Brukere. Anbefalt fremgangsmåte: Deaktiver påloggingsstatusen til en konto i stedet for å slette den. Du kan slette påloggingsstatusen når du er sikker på at all verdifull informasjon som er knyttet til kontoen, er overført til andre brukere. 1 Åpne siden Brukere: velg Meny Brukeradministrasjon Brukere. 2 Velg en av disse oppgavene. McAfee epolicy Orchestrator programvare Produktveiledning 145

146 9 Brukerkontoer og tillatelsessett Brukere Opprette en bruker Trinn 1 Klikk på Ny bruker. 2 Angi et brukernavn. 3 Velg om du vil aktivere eller deaktivere påloggingsstatusen for denne kontoen. Hvis denne kontoen tilhører noen som ennå ikke er en del av organisasjonen, kan det være lurt å deaktivere den. 4 Velg godkjenningstypen du ønsker å bruke for den nye kontoen, og deretter oppgir du nødvendig legitimasjon eller blar etter og velger sertifikatet. 5 Alternativt kan du oppgi brukerens fullstendige navn, e-postadresse, telefonnummer og en beskrivelse. 6 Gjør brukeren til administrator, eller velg riktig tillatelsessett for brukeren. 7 Klikk på Lagre for å gå tilbake til kategorien Brukere. Den nye brukeren vises i listen Brukere. Redigere bruker 1 Velg brukeren du vil redigere, fra listen Brukere, og klikk på Handling Rediger. 2 Rediger kontoen etter behov. 3 Klikk på Lagre. Brukerendringene vises i listen Brukere. Slette bruker 1 Velg brukeren du vil slette, fra listen Brukere, og klikk på Handling Slett. 2 Klikk på OK i spørsmålet som vises. Den nye brukeren er fjernet fra listen Brukere. Administrering av McAfee epo-brukere med Active Directory Bruk eksisterende Windows-godkjent brukerlegitimasjon for å opprette McAfee epo-brukere automatisk og gi dem tillatelser. Godkjenn legitimasjonen ved å knytte McAfee epo-tillatelsessett til Active Directory-grupper i miljøet. Denne funksjonen kan redusere administrasjonskostnadene når du har mange McAfee epo-brukere i organisasjonen. Bruk denne prosessen til å fullføre konfigurasjonen: Konfigurere brukergodkjenning. Registrere LDAP-servere. Tildele tillatelsessett til Active Directory-gruppen. Brukergodkjenning McAfee epo-brukere kan godkjennes med McAfee epo-passordgodkjenning eller Windows-godkjenning. Hvis du bruker Windows-godkjenning, kan du angi om brukere godkjennes: Opp mot domenet McAfee epo-serveren er koblet til (standard). Opp mot en liste over en eller flere domenekontrollere. Opp mot en liste over en eller flere domenenavn av DNS-typen. Bruk en WINS-server til å finne den riktige domenekontrolleren. Dersom du bruker domenekontrollere, domenenavn av DNS-typen eller en WINS-server, må du konfigurere serverinnstillingene for Windows-godkjenning. 146 McAfee epolicy Orchestrator programvare Produktveiledning

147 Brukerkontoer og tillatelsessett Brukere 9 Registerte LDAP-servere. Du må registrere LDAP-servere med McAfee epo-serveren din for å tillate dynamisk tildelte tillatelsessett for Windows-brukere. Dynamisk tildelte tillatelsessett er tillatelsessett tilordnet brukere, basert på deres Active Directory gruppemedlemskap. Brukere klarert via enveis ekstern klarering, støttes ikke. Brukerkontoen som brukes til å registrere LDAP-serveren med McAfee epo, må klareres via en toveis transitiv klarerer. Ellers må den fysisk finnes på domenet LDAP-serveren tilhører. Windows-autorisasjon Serverinnstillingen for Windows-autorisasjon angir hvilken Active Directory (AD)-server McAfee epo bruker til å samle bruker- og gruppeinformasjon for et bestemt domene. Du kan angi flere domenekontrollere og AD-servere. Denne serverinnstillingen støtter dynamisk tildeling av tillatelsessett til brukere som oppgir Windows-legitimasjon ved pålogging. McAfee epo kan dynamisk tildele tillatelsessett til Windows-autentiserte brukere selv om brukerpålogging for Active Directory ikke er aktivert. Tildele tillatelser Tildel minst ett tillatelsessett til en annen AD-gruppe enn brukerens primære gruppe. Dynamisk tildeling av tillatelsessett til brukerens primære gruppe støttes ikke, og resulterer i anvendelse av kun de tillatelsene som er manuelt tildelt den enkelte bruker. Standard primærgruppe er Domenebrukere. Brukerpålogging for Active Directory Du kan aktivere serverinnstillingen for brukerpålogging for Active Directory, slik at brukeroppføringene opprettes automatisk når følgende betingelser oppfylles: Brukere oppgir gyldig legitimasjon, og bruker <domain\name>-formatet. Eksempel: En bruker med Windows-legitimasjon jsmith1 som er medlem av Windows-domenet eng, oppgir følgende legitimasjon:eng\jsmith1 med tilhørende passord. En Active Directory-server som inneholder informasjon om denne brukeren, er registrert i McAfee epo. Brukeren er medlem av minst en lokal eller global domenegruppe som er tilordnet et McAfee epo-tillatelsessett. Støtte for universale grupper McAfee epo støtter delvis universalgrupper i Active Directory. Den begrenser kommunikasjonen til ett domene ved henting av gruppeinformasjon. Den støtter disse funksjonene ved henting av gruppemedlemskap for en universalgruppe: Direkte medlemskapsoppslag i en universal gruppe Indirekte medlemskapsoppslag gjennom en nestet universal gruppe Indirekte medlemskapsoppslag gjennom globale eller domenelokale grupper, hvis den gruppen ligger i samme domene som den globale katalogen som brukes til å utføre oppslaget Den støtter ikke indirekte medlemskap når gruppen ligger i et annet domene enn den globale katalogen som brukes til å utføre oppslaget. McAfee epolicy Orchestrator programvare Produktveiledning 147

148 9 Brukerkontoer og tillatelsessett Brukere Windows-godkjenning og autorisasjonsstrategier Det finnes flere tilnærminger kan du ta ved planlegging av registrering av LDAP-servere. Ta deg tid på forhånd til å planlegge serverregistreringsstrategien som hjelper deg med å lykkes allerede ved første forsøk og redusere brukergodkjenningsproblemer. Ideelt sett er godkjenning og autorisasjon en prosess som utføres én gang og endres kun dersom den generelle nettverkstopologien endres. Når servere er registrert og Windows-godkjenningen er konfigurert, trenger du ikke endre disse innstillingene ofte. Godkjenning kontra autorisasjon Godkjenning innebærer å bekrefte brukeren identitet ved å sjekke legitimasjonen brukeren oppgir, mot noe systemet stoler på som autentisk. Det kan være en McAfee epo-serverkonto, Active Directory-legitimasjon eller et sertifikat. Hvis du ønsker å benytte Windows-godkjenning, må du undersøke hvordan domenene (eller serverne) som inneholder dine brukerkontoer, er organisert. Programvaren fullfører autorisasjonen når du har bekreftet brukerens legitimasjon. Du kan ta i bruk tillatelsessett og bestemme hva brukeren kan gjøre i systemet. Windows-godkjenningen lar deg angi tillatelser for brukere fra ulike domener. Legg ved tillatelsessett for grupper som tilhører disse domenene. Nettverkstopologi for brukerkonto Hvor mye innsats som kreves for å konfigurere Windows-godkjenning og autorisasjon, avhenger av nettverkstopologien og distribusjonen av brukerkontoer via nettverket. Hvis legitimasjonene for brukerne befinner seg i et lite sett med domener eller servere i ett enkelt domenetre, registrerer du roten til dette treet. Hvis dine brukerkontoer er mer spredt, må du registrere flere servere eller domener. Avgjør minimumsantallet domene- eller server-undertrær du trenger, og registrer røttene til disse trærne. Prøv å registrere dem i rekkefølgen de kommer til å bli brukt. Hvis du plasserer de mest brukte domenene øverst på listen, forbedres den gjennomsnittlige godkjenningsytelsen. Tillatelsesstruktur For at brukere skal kunne logge på en McAfee epo-server med Windows-godkjenning, må et tillatelsessett være knyttet til Active Directory-gruppen på domenet kontoene deres tilhører. Når du skal avgjøre hvordan tillatelsessett skal tilordnes, bør du ta hensyn til følgende: tillatelsessett kan tildeles flere Active Directory-grupper. tillatelsessett kan dynamisk tilordnedes bare til en hel Active Directory-gruppe. De kan ikke tildeles bare enkelte brukere i en gruppe. Hvis du vil tilordne spesielle tillatelser til en individuell bruker, kan du gjøre dette ved å opprette en Active Directory-gruppe for bare denne brukeren. Aktiver Windows-godkjenning i McAfee epo-serveren Serveren må forberedes før mer avansert Windows-godkjenning kan brukes. Du må stoppe tjenesten epolicy Orchestrator-tjenesten for å aktivere siden Windows-godkjenning i serverinnstillingene. Utfør denne oppgaven for McAfee epo-serveren. 148 McAfee epolicy Orchestrator programvare Produktveiledning

149 Brukerkontoer og tillatelsessett Brukere 9 1 Velg Start Innstillinger Kontrollpanel Administrative verktøy i serverkonsollen. 2 Velg Tjenester. 3 I vinduet Tjenester høyreklikker du på McAfee epolicy Orchestrator-programserveren og velger Stopp. 4 Endre navnet Winauth.dll til Winauth.bak. I en standardinstallasjon er denne filen tilgjengelig i C:\Program Files\McAfee\ePolicy Orchestrator\Server\bin. 5 Start serveren på nytt. Når du åpner siden Serverinnstillinger, vises alternativet Windows-godkjenning. Konfigurere Windows-godkjenning Du kan bruke ulike metoder for å gjøre eksisterende kontolegitimasjon for Windows tilgjengelig for bruk i epolicy Orchestrator. Før du begynner Først må du forberede serveren for Windows-godkjenning. Konfigurasjonen av disse innstillingene avhenger av flere forhold: Ønsker du å bruke flere domenekontrollere? Har du brukere på mer enn ett domene? Ønsker du å bruke en WINS-server til å slå opp hvilket domene brukerne godkjenner mot? Brukere kan godkjennes med Windows-legitimasjonen for domenet som McAfee epo-serveren er knyttet til, eller et domene som har en toveis klareringsrelasjon til McAfee epo-serverens domene. Hvis du har brukere på domener som ikke oppfyller dette kriteriet, må du konfigurere Windows-godkjenning. 1 Velg Meny Konfigurasjon ServerinnstillingerVelg Windows-godkjenning fra listen Innstillingskategorier. 2 Klikk på Rediger. 3 Angi om du vil bruke ett eller flere domener, eller én eller flere domenekontrollere, eller en WINS-server. Domener må oppgis i DNS-format. (for eksempel internaldomain.com) Domenekontrollere og WINS-servere må ha fullstendig kvalifiserte domenenavn. (for eksempel dc.internaldomain.com) Du kan angi flere domener eller domenekontrollere, men bare én WINS-server. Klikk på + for å legge til flere domener eller domenekontrollere i listen. 4 Klikk på Lagre når du er ferdig å legge til servere. McAfee epolicy Orchestrator programvare Produktveiledning 149

150 9 Brukerkontoer og tillatelsessett Brukere Hvis du angir domener eller domenekontrollere, forsøker McAfee epo-serveren å autentisere brukere med servere i den rekkefølgen de er angitt. Den starter med den første serveren i listen, og fortsetter nedover listen inntil brukeren er godkjent. Konfigurere Windows-autorisasjon Brukere som forsøker å logge på en McAfee epo-server ved å bruke Windows-godkjenning, trenger et tillatelsessett tildelt én av sine Active Directory-grupper. 1 Velg Meny Brukeradministrasjon Tillatelsessett. 2 Velg enten et eksisterende tillatelsessett fra listen Tillatelsessett og klikk på Rediger i delen Navn og brukere, eller klikk på Nytt tillatelsessett. 3 Velg brukere som tillatelsessettet gjelder for. 4 Velg et servernavn i listen, og klikk på Legg til. 5 Naviger gjennom gruppene i LDAP-nettleseren, og velg gruppene som dette tillatelsessettet gjelder for. Hvis du velger et element i ruten Bla, vises medlemmene av det elementet i ruten Grupper. Du kan velge én eller flere grupper for å motta tillatelsessettet dynamisk. Bare medlemmer fra ett element om gangen kan legges til. Hvis du trenger å legge til flere, gjentar du trinn 4 og 5 til du er ferdig. 6 Klikk på Lagre. Tillatelsessettet brukes nå for alle brukerne i gruppene du anga da du logget deg på serveren ved bruk av Windows-godkjenning. Endre egendefinert påloggingsmelding Opprett og vis en egendefinert påloggingsmelding som skal vises på siden for pålogging. Meldingen kan skrives i ren tekst eller formateres ved å bruke HTML. Hvis du bruker HTML, er du ansvarlig for all formatering og alle utganger. 1 Velg Meny Konfigurasjon ServerinnstillingerVelg Påloggingsmelding fra Innstillingskategorier, og klikk deretter på Rediger. 2 Velg Vis egendefinert påloggingsmelding, skriv inn meldingen din, og klikk på Lagre. Begrens en brukerøkt til én IP-adresse Begrensning av pålogginger til én IP-adresse kan hindre angrep som utnytter vedvarende øktinformasjon. Som standard opprettholdes brukerøkter mellom IP-adresser. Når brukerøkter opprettholdes, kan brukere flytte seg uten å logge på flere ganger. Hvis nettverket krever mer sikkerhet, kan du begrense brukerøkter til én IP-adresse. Det tvinger brukere til å sende inn legitimasjon på nytt hver gang IP-adressen endres, som når de tar med seg den bærbare datamaskinen til et annet sted. 150 McAfee epolicy Orchestrator programvare Produktveiledning

151 Brukerkontoer og tillatelsessett Brukere 9 1 Velg Meny Konfigurering Serverinnstillinger, velg Brukerøkt fra Innstillingskategorier, klikk deretter på Rediger. 2 Velg Begrens økt til én IP-adresse. 3 Klikk på Lagre. Når en bruker endrer IP-adresser, må de angi legitimasjonen på nytt for å få tilgang til McAfee epo konsollen. Revisjonsloggen Bruk Revisjonslogg til å oppdatere og få tilgang til oppføringer av alle McAfee epo-brukerhandlinger. Oppføringene i Revisjonslogg vises i en tabell som kan sorteres. Du kan få ekstra fleksibilitet ved å filtrere loggen slik at den viser bare mislykkede handlinger eller bare oppføringer fra et bestemt tidsrom. Revisjonsloggen viser disse kolonnene: Handling: Navnet på handlingen McAfee epo-brukeren forsøkte å bruke. Fullføringstidspunkt: Tidspunktet da handlingen ble fullført. Detaljer: Mer informasjon om handlingen. Prioritet: Viktigheten av handlingen. Starttidspunkt: Tidspunktet da handlingen ble startet. Vellykket: Hvorvidt handlingen ble utført uten feil. Brukernavn: Brukernavnet til den påloggede brukerkontoen som ble brukt til å utføre handlingen. Revisjonslogg-informasjon vises på språket som er angitt av Enterprise-administratoren. Det kan spørres mot oppføringer i revisjonsloggen. Du kan opprette spørringer med spørringsbyggeren som målrettes mot disse dataene, eller du kan bruke standardspørringer som målrettes mot disse dataene. Eksempel: Spørringen Mislykkede påloggingsforsøk henter en tabell over alle mislykkede påloggingsforsøk. Vise brukerhandlinger Revisjonsloggen viser tidligere brukerhandlinger. Bruk revisjonsloggen til å spore tilgang til McAfee epo-serveren og hvilke endringer brukere gjør. McAfee epolicy Orchestrator programvare Produktveiledning 151

152 9 Brukerkontoer og tillatelsessett Godkjenning med sertifikater 1 Åpne Revisjonsloggen: velg Meny Rapportering Revisjonslogg. 2 Sorter og filtrer tabellen for å fokusere på relevante oppføringer. Klikk på Velg kolonner for å endre hvilke kolonner som vises. Klikk på en kolonnetittel for å sortere tabelloppføringer. Hvis du vil skjule urelaterte oppføringer, velg et filter fra rullegardinlisten. 3 Klikk på en oppføring for å vise flere detaljer. Fjerne foreldede handlinger fra revisjonsloggen Fjern regelmessig foreldede handlinger fra revisjonsloggen for å forbedre databaseytelsen. Elementer som fjernes fra Revisjonsloggen, slettes for godt. 1 Åpne Revisjonsloggen: velg Meny Rapportering Revisjonslogg. 2 Klikk på Tøm. 3 Oppgi et tall i dialogboksen Tøm, og velg en tidsenhet. 4 Klikk på OK. Alle elementer med denne alderen eller eldre slettes, også elementer som ikke vises. Antall fjernede elementer vises nederst til høyre på siden. Opprett en serveroppgave for å fjerne foreldede elementer automatisk. Godkjenning med sertifikater Aktiver sertifikatbasert godkjenning for å gi brukerne tilgang til McAfee epo med et gyldig klientsertifikat i stedet for brukernavn og passord. Godkjenning med klientsertifikat er en type godkjenning med offentlig nøkkel. Metoden er forskjellig fra godkjenning med offentlig nøkkel fordi du bare trenger å klarere en klarert tredjepart, kalt en sertifiseringsmyndighet (eller CA Certification Authority). Sertifikater er digitale dokumenter som kombinerer identitetsinformasjon og offentlige nøkler. Sertifiseringsmyndigheten signerer sertifikatene digitalt og bekrefter at informasjonen er riktig. Når en bruker prøver å åpne McAfee epo med sertifikatbasert godkjenning, sjekker McAfee epo klientsertifikatet for å kontrollere at det er signert. Når klientsertifikatet er bekreftet, får brukeren tilgang. Sertifikater har forhåndsdefinerte utløpsdatoer, som tvinger gjennomgang av brukertillatelser. For brukere som er konfigurert med gyldige sertifikater, erstatter sertifikatbasert godkjenning passordgodkjenning. Alle andre brukere fortsetter å bruke passord for å få tilgang til McAfee epo. 152 McAfee epolicy Orchestrator programvare Produktveiledning

153 Brukerkontoer og tillatelsessett Godkjenning med sertifikater 9 Før organisasjonen kan bruke sertifikatbasert godkjenning, må du installere CA-sertifikatet på McAfee epo og et signert klientsertifikat på endepunktene. Konfigurere McAfee epo for sertifikatbasert godkjenning Før brukere får tilgang til McAfee epo med sertifikatbasert godkjenning, må godkjenningsmetoden aktiveres og det må lastes opp et signert CA-sertifikat. Før du begynner Du må ha et signert sertifikat i formatet P7B, PKCS12, DER eller PEM. 1 Åpne siden Rediger sertifikatbasert godkjenning. a b Velg Meny Konfigurasjon Serverinnstillinger. Velg Sertifikatbasert godkjenning fra listen Innstillingskategorier og klikk på Rediger. 2 Velg Aktiver sertifikatbasert godkjenning. 3 Klikk på Bla gjennom ved siden av CA-sertifikat for klientsertifikat, naviger til og velg sertifikatfilen og klikk på OK. Når en fil er registrert, endres meldingen til Erstatt gjeldende CA-sertifikat. Erstatt sertifikatet når det utløper, eller hvis sikkerhetskravene til organisasjonen din endres. Organisasjonen din kan for eksempel kreve SHA-256-sertifikater for godkjenning. 4 (Valgfritt) Hvis du oppgav et PKCS12-sertifikat, oppgir du et passord. 5 Konfigurer eventuelle avanserte eller valgfrie innstillinger hvis det er nødvendig. Hvis du har en liste over tilbakekalte sertifikater (CRL Certificate Revocation List), klikker du på Bla gjennom, navigerer til og velger CRL-filen og klikker deretter på OK. CRL-filen må være i PEM-format. (Valgfritt) Som en alternativ eller ekstra måte å sjekke ektheten til et sertifikat på, kan du konfigurere Online Certificate Status Protocol (OCSP). 1 Klikk på Aktiver OCSP-kontroll. 2 Skriv URL-adressen til OCSP-serveren. 3 (Valgfritt) Velg Aktiver CRL-distribusjonspunktkontroller når McAfee epo-serveren ikke får respons fra OCSP. Hvis tilkoblingen til standard URL-adresse til OCSP mislykkes, forsøker McAfee epo å koble til sertifiseringsmyndigheten CRL nevnte i sertifikatet under CRL Distribution Point Check i stedet. 4 (Valgfritt) Velg Gjør standard OCSP-URL til primær OCSP-URL. Hvis den tilkoblingen mislykkes, faller McAfee epo tilbake til den andre OCSP-responderen, hvis nevnt i sertifikatet under Authority Information Access. Hvis du vil kreve sertifikatbasert godkjenning for alle eksterne brukere, klikker du på Eksterne brukere må bruke sertifikatet til å logge på. McAfee epolicy Orchestrator programvare Produktveiledning 153

154 9 Brukerkontoer og tillatelsessett Godkjenning med sertifikater Klikk på Sertifikatets brukernavn er som standard det samme som entydig navn (DN) for å gjøre brukernavnet til det samme som det entydige navnet (DN) angitt i sertifikatet. Konfigurer Active Directory-integrering. For at disse innstillingene skal fungere, må du ha aktivert Active Directory-brukerpålogging og lagt til brukergruppen i et tillatelsessett. Velg Tilordne tillatelse automatisk for brukerpålogging med et Active Directory-sertifikat for å tildele Aktive Directory-brukere automatisk til et tillatelsessett. Hvis du vil opprette en McAfee epo-brukerkonto automatisk for alle som bruker McAfee epo med gyldig AD-sertifikat, velger du Opprett bruker automatisk for eiere av Active Directory-sertifikat. 6 Klikk på Lagre. 7 Start epolicy Orchestrator på nytt for å aktivere sertifikatgodkjenningen. Deaktivere sertifikatbasert godkjenning Hvis ikke sertifikater brukes lenger i nettverksmiljøet, fjerner du sertifikatbasert godkjenning som et godkjenningsalternativ. 1 Åpne siden Rediger sertifikatbasert godkjenning. a Velg Meny Konfigurasjon Serverinnstillinger. b Velg Sertifikatbasert godkjenning fra listen Innstillingskategorier og klikk på Rediger. 2 Opphev valget for å aktivere sertifikatbasert godkjenning, og klikk deretter på Lagre. Når du har deaktivert sertifikatbasert godkjenning, får ikke brukerne tilgang til McAfee epo med et sertifikat lenger, og må logge på med brukernavn og passord i stedet. De forrige konfigurasjonsinnstillingene tilbakestilles. Start serveren på nytt for å fullføre konfigurasjonsendringen. Konfigurer brukerkontoer for sertifikatbasert godkjenning Brukere må ha konfigurert sertifikatbasert godkjenning før de kan bruke klientsertifikater til godkjenning. Klientsertifikater som brukes til sertifikatbasert godkjenning, hentes vanligvis fra et smartkort eller lignende enheter. Programvare som følger med smartkortmaskinvaren, kan brukes til å pakke ut sertifikatfilen. Denne utpakkede sertifikatfilen er vanligvis filen som lastes opp i denne prosedyren. 1 Åpne siden Rediger bruker. a Velg Meny Brukeradministrasjon Brukere. b Velg en bruker fra listen Brukere og klikk på Handlinger Rediger. 2 Velg Endre godkjenning eller legitimasjon Sertifikatbasert godkjenning ved siden av Godkjenningstype. 154 McAfee epolicy Orchestrator programvare Produktveiledning

155 Brukerkontoer og tillatelsessett Godkjenning med sertifikater 9 3 Bruk én av disse metodene til å oppgi legitimasjon. Kopier DN-feltet i sertifikatfilen, og lim det inn i redigeringsboksen for personlig sertifikatsubjekt DN-felt. Last opp den signerte sertifikatfilen: Klikk på Bla gjennom for å navigere til og velge sertifikatfilen og klikk deretter på OK. Denne sertifikatfilen ble lastet opp i prosedyren Konfigurer MFS-sertifikatbasert godkjenning. Brukersertifikater kan være i PEM- eller DER-format. Sertifikatformatet har ingen betydning, så lenge formatet er X.509- eller PKCS12-kompatibelt. 4 Klikk på Lagre for å lagre endringer i brukerens konfigurasjon. Sertifikatinformasjonen bekreftes. Det vises en advarsel hvis sertifikatet er ugyldig. Hvis sertifikatet er gyldig, åpnes påloggingssiden for McAfee epo. Brukeren kan velge et språk og klikke på Logg på uten å oppgi brukernavn og passord. Oppdatere listen over tilbakekalte sertifikater Hvis du vil hindre tilgang til McAfee epo for spesifikke brukere som er konfigurert for sertifikatbasert godkjenning, legger du til brukerens klientsertifikat i listen over tilbakekalte sertifikater (CRL) som er installert på McAfee epo-serveren. Før du begynner Du må allerede ha en fil for sertifikattilbakekallingsliste i ZIP- eller PEM-format. CRL-filen er en liste over opphevede McAfee epo-brukere og deres statuser for digitalt sertifikat. Denne listen omfatter tilbakekalte sertifikater, årsakene til tilbakekalling, utstedelsesdato for sertifikatet og utstedelsesenheten. Når en bruker forsøker å få tilgang til McAfee epo-serveren, sjekkes CRL-filen, og tilgangen blir enten tillatt eller avvist for den aktuelle brukeren. 1 Velg Meny Konfigurasjon Serverinnstillinger. 2 Velg Sertifikatbasert godkjenning og klikk på Rediger. 3 Oppdater CRL-filen ved å klikke på Velg fil ved siden av Liste over tilbakekalte sertifikater, navigere til CRL-filen og klikke på OK. 4 Klikk på Lagre for å lagre alle endringene. 5 Start McAfee epo på nytt for å aktivere sertifikatgodkjenningen. McAfee epo sjekker den oppdaterte CRL-filen for å kontrollere at klientsertifikatet ikke er tilbakekalt, hver gang en bruker forsøker å få tilgang til McAfee epo. Du kan også bruke curl-kommandolinjen til å oppdatere CRL-filen. For å kjøre curl-kommandoer fra kommandolinjen må du installere curl og gi ekstern tilgang til McAfee epo-serveren. Se McAfee epolicy Orchestrator Skriptveiledning for web-api for detaljer om nedlasting av curl og flere eksempler. McAfee epolicy Orchestrator programvare Produktveiledning 155

156 9 Brukerkontoer og tillatelsessett Tillatelsessett Skriv følgende på curl-kommandolinjen: curl -k --cert <admin_cert>.pem --key <admin_key>.pem remote/console.cert.updatecrl.do -F I denne kommandoen: <admin_cert>:.pem-filnavn for klientsertifikat for administrator <admin_key>:.pem-filnavn for privat klientnøkkel for administrator <lokal vert>:<port>: McAfee epo-servernavn og -kommunikasjonsportnummer <crls> CRL-.pem- eller.zip-filnavn Feilsøke sertifikatbasert godkjenning De fleste godkjenningsproblemer med sertifikater skyldes et lite antall problemer. Hvis en bruker ikke kan logge på med sertifikatet sitt, kan du prøve disse alternativene for å løse problemet: Kontroller at brukeren ikke er deaktivert. Kontroller at sertifikatet ikke er utgått eller er tilbakekalt. Kontroller at sertifikatet er signert med riktig sertifiseringsmyndighet. Kontroller at DN-feltet er riktig på brukerkonfigurasjonssiden. Kontroller at nettleseren angir riktig sertifikat. Se etter godkjenningsmeldinger i revisjonsloggen. Tillatelsessett Tillatelsessett styrer brukernes tilgang til de ulike funksjonene i programvaren. Brukertilgangen til de ulike delene av systemet må angis og styres for selv de minste -installasjonene. Dette er for å sikre et tryggere miljø. Innhold Hvordan brukere, grupper og tillatelsessett passer sammen Administrere tillatelsessett Hvordan brukere, grupper og tillatelsessett passer sammen McAfee epo styrer tilgang til elementer som bruker samhandling mellom brukere, grupper og tillatelsessett. En brukerkonto får påloggingstilgang til McAfee epo-konsollen, og når den tilknyttes med tillatelsessett, definerer den hva brukeren har tilgang til. Administratorer kan opprette kontoer for individuelle brukere og tildele tillatelser, eller de kan opprette et tillatelsessett som tilknyttes til brukere eller grupper i din Active Directory-/NT-server. McAfee epo-brukere inndeles i to generelle kategorier. De er enten administratorer med fulle rettigheter i systemet, eller de er vanlige brukere. Vanlige brukere kan tildeles flere tillatelsessett for å definere tilgangsnivåene deres i McAfee epo. 156 McAfee epolicy Orchestrator programvare Produktveiledning

157 Brukerkontoer og tillatelsessett Tillatelsessett 9 Administratorer Administratorer har lese- og skrivetillatelse og rettigheter til alle operasjoner. Når du installerer en server, opprettes automatisk en administratorkonto. Brukernavnet for denne kontoen er som standard admin. Hvis standardverdien endres under installasjon, får denne kontoen navn i henhold til dette. Du kan opprette ekstra administratorkontoer for personer som trenger rettigheter som administrator. Eksklusive tillatelser for administratorer omfatter: Opprette, redigere og slette kilde- og reserveområder. Endre serverinnstillinger. Legge til og slette brukerkontoer. Legge til, slette og tildele tillatelsessett. Importer hendelser til McAfee epo-databaser og begrens hendelsene som er lagret der. Brukere Brukere kan tildeles flere tillatelsessett for å definere tilgangsnivåene deres i McAfee epo. Brukerkontoer kan opprettes og administreres på flere måter. Du kan: Opprette brukerkontoer manuelt, deretter kan du tildele hver konto riktig tillatelsessett. Konfigurere McAfee epo-serverne slik at de tillater brukere å logge på med Windows-godkjenning. Det å tillate brukere å logge på ved bruk av Windows-legitimasjoner er en avansert funksjon som krever konfigurasjon og oppsett av flere innstillinger og komponenter. Grupper Spørringer og rapporter tildeles til grupper. Hver gruppe kan være private (bare til denne brukeren), globalt offentlige (eller delte ) eller delt for en eller flere tillatelsessett. Tillatelsessett En bestemt tilgangsprofil defineres i et tillatelsessett. Denne profilen omfatter vanligvis en kombinasjon av tilgangsnivåer for ulike deler av McAfee epo. For eksempel kan ett tillatelsessett gi tillatelse til å lese revisjonsloggen, bruke offentlige og delte dashbord og opprette og redigere offentlige rapporter eller spørringer. Tillatelsessett kan tildeles individuelle brukere, eller hvis du bruker Active Directory, til alle brukerne fra bestemte Active Directory-servere. Standard tillatelsessett McAfee epo gir disse fire standard tillatelsessettene som gir tillatelser til dens funksjonalitet. Kortfattet Anmelder gir visningstillatelse til dashbord, hendelser og kontakter, og kan vise informasjon som er relatert til hele systemtreet. Global anmelder gir global visningstilgang på tvers av funksjonalitet, produkter og systemtreet, unntatt for utvidelser, samledata fra flere servere, registrerte servere og programvare. McAfee epolicy Orchestrator programvare Produktveiledning 157

158 9 Brukerkontoer og tillatelsessett Tillatelsessett Global administrator gir visnings- og endringstillatelser på tvers av McAfee epo-funksjoner. Brukere som får tildelt dette tillatelsessettet trenger hver minst ett til tillatelsessett som gir nødvendig tilgang til produkter og grupper i systemtreet. Gruppeevaluerer: Gir visningstillatelser til McAfee epo-funksjoner. Brukere som får tildelt dette tillatelsessettet, trenger minst ett til tillatelsessett hver som gir nødvendig tilgang til produkter og grupper i systemtreet. En brukergruppeadministrator eller den globale administratoren kan redigere de ferdige tillatelsessettene etter behov. Når du oppgraderer en produktutvidelse: Et redigert ferdig tillatelsessett for produktet beholdes sammen med standard ferdig tillatelsessett. Et slettet tillatelsessett for produktet legges til på nytt. Administrere tillatelsessett Du kan kontrollere brukertilgang og opprette, endre, eksportere og importere tillatelsessett fra Tillatelsessett-siden. Når du har definert tillatelsessettene, er den raskeste måten å migrere dem på å eksportere dem, og deretter importere dem til andre servere. 1 Åpne siden Tillatelsessett: Velg Meny Brukeradministrasjon Tillatelsessett. 2 Velg en av disse handlingene. Handling Legge til et tillatelsessett Trinn 1 Klikk på Nytt tillatelsessett. 2 Skriv inn et unikt navn for det nye tillatelsessettet. 3 Velg brukernavnene i delen Brukere for å umiddelbart tilordne spesifikke brukere til dette tillatelsessettet. 4 Hvis det er noen Active Directory-grupper som du ønsker skal tilordnes dette tillatelsessettet, velger du serveren i listen Servernavn, og klikker på Legg til. 5 Hvis du har lagt til noen Active Directory-servere du vil fjerne, velger du dem i Active Directory-listen, og klikker på Fjern. 6 Klikk på Lagre for å opprette tillatelsessettet. Redigere et tillatelsessett 1 Velg et tillatelsessett du ønsker å endre. Detaljene vises til høyre. Hvis du opprettet et tillatelsessett, er dette settet allerede valgt for deg. 2 Velg en tillatelseskategori som skal endres, ved å klikke på Rediger i kategoriraden. 3 Endre tillatelsene og klikk på Lagre. 158 McAfee epolicy Orchestrator programvare Produktveiledning

159 Brukerkontoer og tillatelsessett Tillatelsessett 9 Handling Kopiere et tillatelsessett Trinn 1 Velg et tillatelsessett for duplisering i listen Tillatelsessett, og klikk deretter på Handlinger Dupliser. 2 Skriv inn et navn på det dupliserte tillatelsessettet. Programvaren legger som standard (copy) til i det eksisterende navnet. 3 Klikk på OK. Slette et tillatelsessett Eksportere tillatelsessett Importere tillatelsessett 1 Velg tillatelsessettet du vil slette, i listen Tillatelsessett. Detaljene vises til høyre. 2 Klikk på Handlinger Slett, og klikk deretter på OK. Klikk på Eksporter alle. McAfee epo-serveren sender en XML-fil til nettleseren. Nettleserinnstillingene avgjør hva som skjer videre. De fleste nettlesere ber deg om å lagre filen. XML-filen inneholder bare roller med et definert nivå av tillatelser. Ingen oppføring vises i filen hvis for eksempel et tillatelsessett ikke har tillatelser for spørringer og rapporter. 1 Klikk på Importer. 2 Klikk på Bla gjennom for å navigere til og velge XML-filen med tillatelsessettene du ønsker å importere. 3 Velg om du ønsker å beholde tillatelsessettene med samme navn som et importert tillatelsessett, ved å velge riktig handling. Klikk på OK. Hvis McAfee epo ikke finner et gyldig tillatelsessett i den angitte filen, vises en feilmelding, og importprosessen blir avbrutt. Tillatelsessettene legges til på serveren og vises i listen Tillatelsessett. McAfee epolicy Orchestrator programvare Produktveiledning 159

160 9 Brukerkontoer og tillatelsessett Tillatelsessett 160 McAfee epolicy Orchestrator programvare Produktveiledning

161 10 Programvarebehandling 10 Bruk Programvarebehandling til å se gjennom og hente McAfee-programvare og programvarekomponenter. Innhold Hva inneholder programvarebehandlingen? Sjekke inn, oppdatere og fjerne programvare ved bruk av programvarebehandlingen Sjekke produktkompatibilitet Hva inneholder programvarebehandlingen? Programvarebehandling eliminerer behovet for å bruke McAfee nettsted for produktnedlasting for å hente ny McAfee-programvare og oppdateringer. Du kan bruke Programvarebehandling til å laste ned: Lisensiert programvare er all programvare som organisasjonen har kjøpt fra McAfee. Produktkategorien Programvare som ikke er sjekket inn viser en liste over lisensiert programvare som ikke er installert på serveren. Antallet som vises ved siden av hver underkategori i listen Produktkategorier, angir hvor mange produkter som er tilgjengelige. Evalueringsprogramvare er programvare som organisasjonen ikke innehar lisens for øyeblikket. Du kan installere evalueringsprogramvare på serveren, men funksjonaliteten kan være begrenset inntil du skaffer deg en produktlisens. Programvareoppdateringer er en ny oppdatering for den frigitte programvaren du bruker. Du kan bruke Programvarebehandling til å sjekke inn nye pakker og utvidelser. Tilgjengelige programvareoppdateringer står oppført i kategorien Tilgjengelige oppdateringer. Produktdokumentasjon er ny og oppdatert produktdokumentasjon som kan lastes ned fra Programvarebehandling. Hjelpeutvidelser kan installeres automatisk. PDF- og HTML-dokumentasjon, som for eksempel produktveiledninger og produktmerknader, kan også lastes ned fra Programvarebehandling. DAT-er og motorer er ikke tilgjengelige fra Programvarebehandling. Om avhengigheter til programvarekomponenter Mange av programvareproduktene du kan installere for bruk med McAfee epo-serveren har forhåndsdefinerte avhengigheter til andre komponenter. Avhengigheter for produktutvidelser installeres automatisk. For alle andre produktkomponenter må du gå gjennom listen over avhengigheter på siden med komponentdetaljer, og installere dem først. Programvarebehandling-brukergrensesnitt Programvarebehandling-brukergrensesnittet har disse hovedfunksjonene som hjelper deg med å vise og manipulere den nye og eksisterende programvaren. McAfee epolicy Orchestrator programvare Produktveiledning 161

162 10 Programvarebehandling Sjekke inn, oppdatere og fjerne programvare ved bruk av programvarebehandlingen Alternativ Produktkategorier Valgte produkttabeller, delt opp i tre deler: Liste over produkter og deres status Produktdetaljrad Sjekk inn alle Oppdater alle Fjern alle Komponentrader Definisjon Her søker du etter eller velger produkter som skal vises eller manipuleres i de valgte produkttabellene. Når du velger et produkt i denne listen, vises detaljer og manipuleringsfunksjoner i detalj- og komponentradene. Viser en produktbeskrivelse, produktets status, muliggjør bruk av språkfilter og tillater disse handlingene: Sjekker inn alle nye versjoner og komponenter for det valgte produktet. Oppdaterer alle eksisterende versjoner og komponenter for det valgte produktet til den nyeste versjonen. Fjerner alle versjoner og komponenter for det valgte produktet. Viser alle komponenter for det valgte produktet og, avhengig av komponenten, lar deg sjekke inn, oppdatere, fjerne eller laste ned den individuelle komponenten. Sjekke inn, oppdatere og fjerne programvare ved bruk av programvarebehandlingen Fra programvarebehandlingen kan du sjekke inn, oppdatere og fjerne administrerte produktkomponenter fra serveren. Både lisensiert programvare og evalueringsprogramvare er tilgjengelig i programvarebehandlingen. Programvaretilgjengelighet, og om den er i kategorien Lisensiert eller Evaluering, avhenger av lisensnøkkelen. For mer informasjon, kontakt systemadministratoren. 1 Klikk på Meny Programvare Programvarebehandling. 2 I listen Produktkategorier på siden Programvarebehandling velger du en av følgende kategorier, eller bruker søkeboksen til å finne programvaren din: Tilgjengelige oppdateringer Viser tilgjengelige oppdateringer for lisensierte programvarekomponenter som allerede er installert eller innsjekket på denne McAfee epo-serveren. Innsjekket programvare Viser all programvare (både Lisensiert og Evaluering) installert eller innsjekket på denne serveren. Hvis du nylig har lagt til lisensen for et produkt og det vises som Evaluering, klikk på Oppdater for å oppdatere lisensantallet og produktet vises nå som Lisensiert under Innsjekket programvare. 162 McAfee epolicy Orchestrator programvare Produktveiledning

163 Programvarebehandling Sjekke produktkompatibilitet 10 Programvare som ikke er sjekket inn Viser all programvare som er tilgjengelig, men ikke tilgjengelig på denne serveren. Programvare (etter etikett) Viser programvare etter funksjon beskrevet i McAfee-produktpakker. 3 Når du har funnet riktig programvare, velger du en handling som gjelder for alle komponentene i programvaren, eller for enkeltkomponenter: For alle komponentene i programvaren, klikk på: Sjekk inn alle for å sjekke inn alle komponenter i det nye produktet på denne serveren. Oppdater alle for å oppdatere alle komponenter i det eksisterende produktet på denne serveren. Fjern alle for å fjerne alle komponentene i det eksisterende produktet på denne serveren. For hver enkelt komponent i programvaren, klikk på: Last ned for å laste ned programvare eller produktdokumentasjon til en plassering i nettverket. Sjekk inn (gren) for å sjekke inn en ny produktpakke på denne serveren. Sjekk inn for å sjekke inn en ny produktutvidelse på denne serveren. Oppdater for å oppdatere en eksisterende pakke eller utvidelse som er installert eller sjekket inn på denne serveren. Fjern for å avinstallere en pakke eller utvidelse som er installert eller sjekket inn på denne serveren. 4 På siden Sammendrag av programvareinnsjekking, se gjennom og godta produktdetaljene og lisensavtalen for sluttbrukere (EULA), og klikk deretter OK for å fullføre operasjonen. Sjekke produktkompatibilitet Du kan konfigurere en produktkompatibilitetssjekk for å laste ned en produktkompatibilitetsliste automatisk fra McAfee. Listen identifiserer produkter som ikke lenger er kompatible, i McAfee epo-miljøet. McAfee epo utfører denne sjekken når installering og oppstart av en utvidelse kan føre til at serveren havner i en uønsket tilstand. Sjekken utføres: Under en oppgradering fra en tidligere versjon av McAfee epo Når en utvidelse installeres fra menyen Utvidelser Før en ny utvidelse hentes fra Programvarebehandling Når en ny kompatibilitetsliste mottas fra McAfee Når datamigreringsverktøyet kjøres Du finner mer informasjon i installasjonsveiledningen for McAfee epolicy Orchestrator. Produktkompatibilitetssjekk Produktkompatibilitetssjekken bruker en XML-fil kalt produktkompatibilitetsliste for å bestemme hvilke produktutvidelser som ikke er kompatible med en versjon av McAfee epo. McAfee epolicy Orchestrator programvare Produktveiledning 163

164 10 Programvarebehandling Sjekke produktkompatibilitet En første liste er inkludert i McAfee epo-programvarepakken fra McAfee-webområdet. Når du kjører installeringsprogrammet under installering eller oppgradering, henter McAfee epo automatisk den mest oppdaterte listen over kompatible utvidelser fra en klarert McAfee-kilde. Hvis Internett-kilden ikke er tilgjengelig, eller hvis listen ikke kan verifiseres, bruker McAfee epo den nyeste versjonen som er tilgjengelig. McAfee epo-serveren oppdaterer Produktkompatibilitetsliste i bakgrunnen én gang om dagen. Avhjelping Når du viser listen over inkompatible utvidelser gjennom installeringsprogrammet eller verktøyet for oppgraderingskompatibilitet, får du beskjed hvis en kjent erstatningsutvidelse er tilgjengelig. I noen tilfeller under en oppgradering: en utvidelse "blokkerer" oppgraderingen og må fjernes eller erstattes før oppgraderingen kan fortsette. En utvidelse er deaktivert, men du må oppdatere den etter at McAfee epo-oppgraderingen er fullført. Deaktivere automatisk oppdatering Det kan hende at du må deaktivere automatisk oppdatering av Produktkompatibilitetsliste. Nedlastingen utføres: Som del av en bakgrunnsoppgave. Når innhold i Programvarebehandling oppdateres (nyttig når McAfee epo-serveren ikke har innkommende Internett-tilgang). Når du aktiverer nedlastingsinnstillingen for produktkompatibilitetsliste på nytt (aktiverer også Programvarebehandlings automatiske oppdateringer av Produktkompatibilitetsliste på nytt). Bruk av en manuelt nedlastet produktkompatibilitetsliste Hvis McAfee epo-serveren ikke har Internett-tilgang, kan du bruke en manuelt nedlastet Produktkompatibilitetsliste. Du kan laste ned listen manuelt: Når du installerer McAfee epo. Når du bruker Serverinnstillinger Produktkompatibilitetsliste til å manuelt laste opp Produktkompatibilitetsliste. Listen trer i kraft umiddelbart etter opplasting. Anbefalt fremgangsmåte: Deaktiver automatisk oppdatering av listen for å hindre at den manuelt nedlastede versjonen av Produktkompatibilitetsliste blir overskrevet. Åpne for å laste ned listen manuelt. Blokkerte eller deaktiverte utvidelser Hvis en utvidelse er blokkert i produktkompatibilitetslisten, hindrer den at McAfee epo-programvaren oppgraderes. Hvis en utvidelse er deaktivert, blokkerer den ikke oppgraderingen, med utvidelsen initialiseres ikke etter oppgraderingen før en kjent erstatningsutvidelse installeres. Kommandolinjealternativer for installering av produktkompatibilitetslisten Du kan bruke disse kommandolinjealternativene med kommandoen setup.exe til å konfigurere nedlastinger av Produktkompatibilitetsliste. 164 McAfee epolicy Orchestrator programvare Produktveiledning

165 Programvarebehandling Sjekke produktkompatibilitet 10 Kommando setup.exe DISABLEPRODCOMPATUPDATE=1 setup.exe PRODCOMPATXML=<fullt_filnavn_inkludert_bane> Beskrivelse Deaktiver automatisk nedlasting av produktkompatibilitetslisten fra McAfee-webområdet. Angir en alternativ produktkompatibilitetslistefil. Begge kommandolinjealternativene kan brukes sammen i en kommandostreng. Rekonfigurere nedlasting av Produktkompatibilitetsliste Du kan laste ned Produktkompatibilitetsliste automatisk fra Internett, eller bruke en manuelt nedlastet liste til å identifisere produkter som ikke lenger er kompatible i McAfee epo-miljøet. Bruk av en manuelt nedlastet versjon av Produktkompatibilitetsliste må være en gyldig XML-fil fra McAfee. Hvis du gjør endringer i XML-filen med Produktkompatibilitetsliste, blir filen ugyldig. 1 Velg Meny Konfigurasjon Serverinnstillinger, og velg produktkompatibilitetsliste fra Innstillingskategorier, og klikk deretter på Rediger. En liste over deaktiverte inkompatible utvidelser vises. 2 Klikk på Deaktivert for å stoppe automatiske og regelmessige nedlastinger av Produktkompatibilitetsliste fra McAfee. 3 Klikk på Bla gjennom og naviger til den Last opp produktkompatibilitetsliste. Klikk deretter på Lagre. Automatisk nedlasting av produktkompatibilitetslisten fra er deaktivert. McAfee-serveren bruker den samme listen inntil du laster opp en ny liste, eller kobler serveren til Internett og aktiverer automatisk nedlasting. McAfee epolicy Orchestrator programvare Produktveiledning 165

166 10 Programvarebehandling Sjekke produktkompatibilitet 166 McAfee epolicy Orchestrator programvare Produktveiledning

167 11 Manuell pakke- og oppdateringsadministrasjon Når du ønsker å implementere nye produkter utenom de vanlige planlagte oppgavene, kan du sjekke dem inn manuelt. Innhold Knytte sammen produkter under administrasjon Sjekke inn pakker manuelt Slette DAT-pakker eller motorpakker fra master-programdatabasen Flytte DAT-pakker og motorpakker manuelt mellom grener Sjekke inn motor-, DAT- og ExtraDAT-oppdateringspakker manuelt Anbefalt fremgangsmåte: Automatisering av DAT-filtesting Knytte sammen produkter under administrasjon Utvidelsen for et produkt må være installert før McAfee epo kan administrere produktet. Før du begynner Kontroller at utvidelsesfilen ligger på en tilgjengelig plassering på nettverket. 1 Velg Meny Programvare Utvidelser Installer utvidelser fra McAfee epo-konsollen. Du kan bare ha én oppgave som oppdateres i master-programdatabasen om gangen. Følgende feilmelding vises hvis du prøver å installere en utvidelse samtidig som en oppdatering av master-programdatabasen kjører: Kan ikke installere utvidelsen com.mcafee.core.cdm.commandexception: Kan ikke sjekke inn den valgte pakken mens pull-oppgaven kjøres. Vent til oppdateringen av master-programdatabasen er ferdig og prøv å installere utvidelsen på nytt. 2 Bla til og velg utvidelsesfilen, og klikk deretter på OK. 3 Bekreft at produktnavnet vises i listen Utvidelser. McAfee epolicy Orchestrator programvare Produktveiledning 167

168 11 Manuell pakke- og oppdateringsadministrasjon Sjekke inn pakker manuelt Sjekke inn pakker manuelt Sjekk inn distribusjonspakkene i master-programdatabasen slik at epolicy Orchestrator-programvaren kan distribuere dem. 1 Åpne veiviseren Sjekk inn pakke. a Velg Meny Programvare Master-programdatabase. b Klikk på Sjekk inn pakke. 2 Velg pakketypen og bla til og velg ønsket pakkefil. 3 Klikk på Neste. 4 Bekreft eller konfigurer følgende: Pakkeinformasjon Bekreft at dette er riktig pakke. Gren: Brukes til å velge gren. Hvis det er krav i miljøet om å teste nye pakker før du distribuerer dem til produksjonsmiljøet, bør du bruke Evaluering-grenen når du sjekker inn pakker. Når du er ferdig med å teste pakker, kan du flytte dem til Aktuell-grenen ved å velge Meny Programvare Master-programdatabase. Alternativer: Velg om du vil gjøre følgende: Flytt eksisterende pakke til Forrige-gren Når dette alternativet er valgt, flyttes pakkene i master-programdatabase fra Aktuell-grenen til Forrige-grenen når en nyere pakke av samme type sjekkes inn. Kun tilgjengelig når du velger Aktuell i Gren. Pakkesignering Angir om pakken er en McAfee- eller en tredjepartspakke. 5 Klikk på Lagre for å sjekke inn pakken, deretter venter du til pakken sendes inn. Den nye pakken vises i Pakker i master-programdatabase-listen. Slette DAT-pakker eller motorpakker fra masterprogramdatabasen Slett DAT-pakker eller motorpakker fra master-programdatabasen. Når du sjekker inn nye oppdateringspakker jevnlig, erstatter disse de eldre versjonene, eller flytter dem til Forrige-grenen (hvis du bruker Forrige-grenen). 1 Klikk på Meny Programvare Master-programdatabase. 2 Klikk på Slett i raden for pakken. 3 Klikk på OK. 168 McAfee epolicy Orchestrator programvare Produktveiledning

169 Manuell pakke- og oppdateringsadministrasjon Flytte DAT-pakker og motorpakker manuelt mellom grener 11 Flytte DAT-pakker og motorpakker manuelt mellom grener Flytt pakker manuelt mellom grenene Evaluering, Aktuell og Forrige, etter at de er sjekket inn i master-programdatabasen. 1 Velg Meny Programvare Master-programdatabase. 2 Klikk på Endre gren i raden for pakken. 3 Velg om du ønsker å flytte eller kopiere pakken til en annen gren. 4 Velg hvilken gren som mottar pakken. Hvis du har McAfee NetShield for NetWare i nettverket, velger du Støtte for NetShield for NetWare. 5 Klikk på OK. Sjekke inn motor-, DAT- og ExtraDAT-oppdateringspakker manuelt Sjekk inn oppdateringspakker i Master-programdatabase for å distribuere dem med McAfee epo-programvaren. Enkelte pakker kan bare sjekkes inn manuelt. 1 Åpne veiviseren Sjekk inn pakke. a Velg Meny Programvare Master-programdatabase. b Klikk på Sjekk inn pakke. 2 Velg pakketypen og bla gjennom og velg ønsket pakkefil. Klikk deretter på Neste. 3 Velg en gren: Aktuell Bruk pakkene uten å teste dem først. Evaluering Bruk pakkene i et laboratoriemiljø først. Når du er ferdig med å teste pakker, kan du flytte dem til Aktuell-grenen ved å velge Meny Programvare Master-programdatabase. Forrige Bruker forrige versjon til å motta pakken. 4 Ved siden av Alternativer velger du Flytt eksisterende pakke til Forrige-gren for å aktivere eksisterende pakke. 5 Klikk på Lagre for å begynne å sjekke inn pakken. Vent mens pakken sjekkes inn. Den nye pakken vises i Pakker i master-programdatabase-listen. McAfee epolicy Orchestrator programvare Produktveiledning 169

170 11 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting Anbefalt fremgangsmåte: Automatisering av DAT-filtesting Bruk den innebygde funksjonaliteten i McAfee epo til automatisk å validere DAT-filkompatibilitet og innholdsfiler som lastes ned fra det offentlige McAfee-området. McAfee Labs tester innholdet, slik som DAT- og motorfiler, nøye før de frigis på de offentlige oppdateringsserverne. Ettersom hver organisasjon er unik, kan du utføre din egen kompatibilitetsvalidering for å sikre at DAT-filene og innholdet er kompatibelt med ditt unike miljø. Prosessene for kompatibilitetsvalidering varierer etter organisasjon. Prosessen beskrevet i denne delen, er utviklet for å automatisere mye av kompatibilitetsvalideringsprosessen og redusere behovet for at administratoren må gripe inn. Anbefalt fremgangsmåte: For å bekrefte at bare kompatible DAT-filer distribueres i miljøet ditt, kan du flytte innholdet manuelt fra Evaluering-grenen til Aktuell-grenen i programdatabasen. Oversikt over DAT-fil-validering Figur 11-1 Trinn for automatisk DAT-fil-testing En serveroppgave henter DAT-oppdateringer fra det offentlige McAfee-området til Evaluering-grenen i master-programdatabasen. En McAfee Agent-policy bruker DAT-filene fra Evaluering-grenen i programdatabasen i et begrenset antall systemer i en testgruppe. 170 McAfee epolicy Orchestrator programvare Produktveiledning

171 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 11 En McAfee Agent-klientoppgave for oppdatering installerer DAT i testgruppesystemene. En skanning på forespørsel kjøres regelmessig i testgruppen. Avhengig av utdataene fra skanningen på forespørsel, inntreffer ett av følgende: Hvis DAT ikke er kompatibel med testgruppen, sendes en e-postmelding med automatisk respons til de aktuelle administratorene. E-postmeldingen gir administratorene beskjed om å stoppe distribueringen av DAT-filer fra Aktuell-programdatabasen. I alle andre tilfeller kopierer en serveroppgave filene fra Evaluering-grenen til Aktuell-grenen i programdatabasen etter en angitt tidsperiode. Deretter sendes disse filene automatisk til resten av de administrerte systemene. Hent og kopier DAT-oppdateringer fra McAfee Oppretting av en automatisert prosess for DAT-filtesting, krever at du konfigurerer oppgaver for å hente DAT-filene fra McAfee og kopiere dem til Aktuell-grenen i programdatabasen. McAfee epo-plattformen bidrar med tre programdatabasegrener i master-programdatabasen og distribuerte programdatabaser: Aktuell-grenen Er som standard hoved-programdatabasegrenen for de nyeste pakkene og oppdateringene. Evaluering-grenen: Brukes til å teste nye DAT- og motoroppdateringer før de distribueres til hele organisasjonen. Forrige-grenen Brukes til å lagre og oppbevare tidligere DAT- og motorfiler før de nye legges til i Aktuell-grenen. Du må opprette to serveroppgaver for å automatisere DAT-filtestingen. Én oppgave henter DAT-filene til Evaluering-grenen hver time for å sikre at den nyeste DAT-filen er i Evaluering-grenen like etter at McAfee har frigitt den til offentligheten. Anbefalt fremgangsmåte: Kjør oppgaven hver time for å få en ekstra DAT-fil i tilfelle den første filen, som frigis klokken 11.00, erstattes senere på dagen. Én serveroppgave venter til noen timer etter at testgruppen av systemer er skannet. Hvis administratoren ikke stopper serveroppgaven, kopierer den automatisk DAT-filene fra Evaluering-grenen til Aktuell-grenen. r Gode fremgangsmåter: Konfigurer oppgave for å pulle DAT til Evaluering-grenen på side 171 For å automatisere DAT-fil-testingsprosessen må du opprette en oppgave for å automatisk hente DAT-filer fra det offentlige McAfee-området til Evaluering-programdatabasegrenen. Gode fremgangsmåter: Konfigurer serveroppgave for å kopiere filer fra Evaluering-grenen til Aktuell-grenen på side 172 For å automatisere DAT-fil-testing-prosessen må du opprette en oppgave for å automatisk kopiere DAT-filer fra Evaluering-grenen i programdatabasen til Aktuell-grenen. Gode fremgangsmåter: Konfigurer oppgave for å pulle DAT til Evalueringgrenen For å automatisere DAT-fil-testingsprosessen må du opprette en oppgave for å automatisk hente DAT-filer fra det offentlige McAfee-området til Evaluering-programdatabasegrenen. Du kan konfigurere denne oppgaven til å bare distribuere DAT-filer hvis organisasjonen din tester motoren i en lengre periode enn timene i dette eksempelet, eller begrenser den automatiske frigivelsen. McAfee epolicy Orchestrator programvare Produktveiledning 171

172 11 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 1 Velg Meny Automatisering Serveroppgaver og klikk på Handlinger Ny oppgave for å vise Serveroppgavebygger-veiviseren. 2 I Beskrivelse-fanen må du skrive inn et serveroppgavenavn, for eksempel DAT-henting til Evaluering-programdatabasen én gang i timen og en beskrivelse som skal vises på Serveroppgave-siden. 3 I Tidsplanstatus klikker du på Aktiver og deretter på Neste. 4 Konfigurer disse innstillingene i fanen Handlinger: Fra Handlinger-listen velger du Programdatabasepull. I Kildeområdelisten velger du det offentlige McAfee-området du vil bruke: McAfeeFtp eller McAfeeHttp. Fra Gren-listen velger du Evaluering. Fjern valget av Flytt eksisterende pakke til Forrige-grenen, om nødvendig. Fra Pakketyper klikker du på Velg pakker. 5 I dialogboksen Tilgjengelige kildeområdepakker velger du DAT og Motor og klikker deretter på OK. Vi anbefaler at du som et minimum puller DAT- og motorfilene fra det offentlige McAfee-webområdet. Hvis du har flere distribuerte programdatabaser, kan du kjede sammen en reproduksjonsoppgave og pull-oppgaven for å reprodusere Evaluering-grenen til dine distribuerte programdatabaser. 6 Konfigurer disse innstillingene i Tidsplan-fanen: For Tidsplantype klikker du på Hver time. For Startdato velger du dags dato. For Sluttdato klikker du på Ingen sluttdato. Fra Tidsplan konfigurerer du oppgaven til å kjøre hver time, ti minutter over hel. 7 Klikk på Neste og bekreft at alle innstillingene er korrekte i fanen Oppsummering. Klikk deretter på Lagre. For å bekrefte at DAT-filhentingen fungerer, kan du gå til Meny Programvare Master-programdatabase og bruke informasjonen om innsjekkingsdatoen for å bekrefte at DAT-filen for Evaluering-grenen har blitt oppdatert i løpet av de siste to timene. Gode fremgangsmåter: Konfigurer serveroppgave for å kopiere filer fra Evaluering-grenen til Aktuell-grenen For å automatisere DAT-fil-testing-prosessen må du opprette en oppgave for å automatisk kopiere DAT-filer fra Evaluering-grenen i programdatabasen til Aktuell-grenen. Før du begynner Du må ha opprettet serveroppgaven for å automatisk kopiere DAT- og innholdsfiler til Evaluering-grenen i programdatabasen. 172 McAfee epolicy Orchestrator programvare Produktveiledning

173 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 11 1 Velg Meny Automatisering Serveroppgaver og klikk på Handlinger Ny oppgave. 2 I Serveroppgavebygger Beskrivelser-fanen må du skrive inn et oppgavenavn og merknader. I Tidsplanstatus klikker du deretter på Aktivert og så på Neste. 3 Konfigurer disse innstillingene i fanen Handlinger. Klikk på deretter på Neste: For Handlinger-listen velger du Endre grenen for en pakke. Velg Alle pakker av typen DAT i grenen Evaluering som pakken som skal endres, og velg Kopier som handling. Klikk deretter på Aktuell som målgrenen. Klikk på + for å opprette en ny handling, og fra den neste Handlinger-listen velger du Endre grenen for en pakke. Velg Alle pakker av typen Motor i grenen Evaluering som pakken som skal endres, og velg Kopier som handling og Aktuell som målgren. 4 Endre følgende innstillinger i Tidsplan-fanen: For Tidsplantype klikker du på Daglig. For Startdato velger du dags dato. For Sluttdato klikker du på Ingen sluttdato. Endre innstillingene for Tidsplan for å konfigurere oppgaven for kjøring kl eller McAfee Frigir DAT-filer bare én gang om dagen, rundt kl Eastern Time (19.00 UTC eller GMT). Hvis det skulle skje at enda en DAT-fil frigis senere samme dag, kreves det at en administrator deaktiverer kopieringsoppgaven til Aktuell-grenen. Klikk på Neste og bekreft at alle innstillingene er korrekte i fanen Oppsummering. Klikk deretter på Lagre. For å bekrefte at DAT-fil-kopien fra Evaluering-grenen til Aktuell-grenen fungerer, går du til Meny Programvare Master-programdatabase. Bruk informasjonen om innsjekkingsdatoen for å bekrefte at DAT-filen for Evaluering-grenen ble kopiert til Aktuell-grenen på tidspunktet angitt i tidsplanen. Se også Gode fremgangsmåter: Konfigurer oppgave for å pulle DAT til Evaluering-grenen på side 171 Anbefalt fremgangsmåte: Opprette en testgruppe av systemer For å teste DAT- og innholdsfiler trygt må du opprette en testgruppe med systemer som brukes til å kjøre filene i Evaluering-programdatabasen. Kontroller at testgruppen av systemer du bruker, oppfyller følgende kriterier: McAfee epolicy Orchestrator programvare Produktveiledning 173

174 11 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting Bruk et representativt utvalg av systemservere, arbeidsstasjoner, operativsystemer og tjenestepakker i miljøet ditt for validering. Bruk systemer til validering i organisasjoner med under noder. For større organisasjoner bør det inkluderes minst 50 typer systemer. Du kan bruke VMware-avbildninger som reproduserer operativsystemene dine. Kontroller at disse systemene er i en "renset" tilstand for å sikre at det ikke foreligger skadelig programvare. Bruk tagger til å bruke policyer og oppgaver for individuelle systemer som er fordelt i Systemtre. Tagging av disse systemene har samme effekt som å opprette en isolert testgruppe, men lar deg beholde systemene dine i de gjeldende gruppene. 1 For å opprette en Systemtre-gruppe må du velge Meny Systemdel Systemtre. 2 Fra listen for Systemtre-gruppen må du velge hvor du vil legge til den nye gruppen din og deretter klikke på Systemtrehandlinger Nye undergrupper. I dialogboksen Nye undergrupper må du skrive inn et navn, for eksempel DAT-validering, og klikke på OK. 3 Du kan dra systemer fra andre grupper til den nye undergruppen, legge til nye systemer eller legge til virtuelle maskinsystemer for å legge til systemer i testgruppen. Du opprettet en testgruppe som en isolert gruppe systemer. Denne testgruppen lar deg teste nye DATog motoroppdateringer før du distribuerer oppdateringene til alle systemene i organisasjonen din. Anbefalt fremgangsmåte: Konfigurer en agentpolicy for testgruppen Opprett en McAfee Agent-policy med en oppdateringsoppgave som automatisk kopierer DAT- og innholdsfiler til systemene i testgruppen. 1 I Systemtre velger dumeny Systemdel Systemtre. Klikk deretter på testgruppen du opprettet. 2 For å duplisere den eksisterende policyen må du klikke på fanen Tildelte policyer og velge McAfee Agent fra Produkt-listen. I Kategori-listen i policyraden Generelt klikker du deretter på Min standard. 3 På siden My Default klikker du på Dupliser. I dialogboksen Dupliser eksisterende policy skriver du inn navnet, for eksempel Oppdater fra evaluering, legger til eventuelle merknader og klikker på OK. Dette trinnet legger til en policy kalt Oppdater fra evaluering i Policykatalog. 4 Klikk på Oppdateringer-fanen for å endre programdatabasen som brukes av denne policyen. 5 I Programdatabasegren som skal brukes for hver oppdateringstype klikker du på ned-pilene i DATog Motor-listene og endrer oppførte programdatabaser til Evaluering. 6 Klikk på Lagre. Nå har du opprettet en McAfee Agent-policy som skal brukes med en oppdateringsoppgave som automatisk kopierer DAT- og innholdsfiler til systemene i testgruppen fra Evaluering-programdatabasen. 174 McAfee epolicy Orchestrator programvare Produktveiledning

175 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 11 Anbefalt fremgangsmåte: Konfigurer en skanning på forespørsel for testgruppen Opprett en skanning på forespørsel som starter når du har oppdatert DAT-filene i testgruppen, for å skanne etter problemer som oppstår i testgruppen. Før du begynner Du må ha opprettet testgruppen i Systemtre. Denne konfigurasjonen forutsetter at du ikke bruker brukersystemer når du tester systemene. Hvis du bruker faktiske brukersystemer, må du kanskje endre noen av disse skanningskonfigurasjonene. 1 For å opprette en ny skanning på forespørsel-oppgave velger du Meny Policy Klientoppgavekatalog. På siden Klientoppgavekatalog utvider du VirusScan Enterprise i listen Klientoppgavetyper og klikker på Skanning på forespørsel. 2 På siden Klientoppgavekatalog klikker du på Ny oppgave, og i dialogboksen Ny oppgave sjekker du at Skanning på forespørsel er valgt, før du klikker på OK. 3 På siden Klientoppgavekatalog: Ny oppgave skriver du et navn, for eksempel ODS-oppgave for Evaluering-testgruppe, og legger til en detaljert beskrivelse. 4 Klikk på fanen Skanneplasseringer og konfigurer følgende innstillinger: a Konfigurer følgende for Plasseringer som skal skannes: Minne for rotpakker Prosesser som kjører Alle lokale disker Windows-mappe b Under Skannealternativer velger du Inkluder undermapper og Skann i oppstartssektor. 5 Klikk på fanen Skann elementer og konfigurer følgende innstillinger: a Under Filtyper som skal skannes velger du Alle filer. b c Under Alternativer velger du Oppdag uønskede programmer. Under Heuristikk velger du Finn ukjente programtrusler og Finn ukjente makrotrusler. 6 På Handlinger-fanen: a For Når en trussel oppdages må du konfigurere Rens filer og deretter Slett filer. b For Når et uønsket program oppdages må du konfigurere Rens filer og deretter Slett filer. 7 Klikk på fanen Ytelse og konfigurer Systembruk som Lav og Artemis som Svært lav. Ikke endre noen innstillinger på Rapporter-fanen. McAfee epolicy Orchestrator programvare Produktveiledning 175

176 11 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 8 På -fanen: a Under Plattformer der denne oppgaven vil kjøre velger du Kjør denne oppgaven på servere og Kjør denne oppgaven på arbeidsstasjoner. b For Brukerkonto som skal brukes når du kjører en oppgave angir du legitimasjonen din og velger testgruppedomenet. 9 Klikk på Lagre. Skanningen på forespørsel er nå konfigurert til å søke etter problemer som kan oppstå i testgruppen. Deretter konfigurerer du en klientoppgave for å planlegge når oppgaven skal starte. Se også Anbefalt fremgangsmåte: Opprette en testgruppe av systemer på side 173 Anbefalt fremgangsmåte: Planlegge en skanning på forespørsel for testgruppen Planlegg skanning på forespørsel-oppgaven din slik at den kjører fem minutter etter hver McAfee Agent-policyoppdatering fra Evaluering-programdatabasen til testgruppen. Før du begynner Du må ha opprettet en testgruppe med systemer og en skanning av testgruppen på forespørsel. 1 Velg Meny Policy Klientoppgavekatalog. 2 På siden for Klientoppgavekatalog velger du VirusScan Enterprise ogskanning på forespørsel i Klientoppgavetyper. 3 Finn skanningen på forespørsel som du opprettet, klikk på Tildel i Handlinger-kolonnen, velg testgruppen av systemer som du opprettet for å tildele oppgaven, og klikk deretter på OK. 4 I Bygger for tildeling av klientoppgaver konfigurerer du disse innstillingene og klikker på Neste: a For Produkt-listen velger du VirusScan Enterprise. b c For type-listen velger du Skanning på forespørsel. Velg ODS-oppgaven du opprettet, i navn-listen. 5 Konfigurer disse innstillingene i Tidsplan-fanen: a Velg Aktivert i Tidsplanstatus. b c d For Tidsplantype velger du Daglig fra listen. For Gjelder for perioden velger du dags dato som Startdato og velger Ingen sluttdato. For Starttidspunkt må du konfigurere følgende innstillinger: Velg fra tidslisten. Klikk på Kjør på dette tidspunktet, og gjenta deretter til og velg fra tidslisten. For Under gjentagelsen, start oppgaven hver velger du 5 minutter fra listen. 176 McAfee epolicy Orchestrator programvare Produktveiledning

177 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 11 e f For n kjøres i henhold til klikker du på Lokal tid på administrerte systemer. For Alternativer opphever du merkingen for alt. 6 Klikk på Neste, sjekk Oppsummering-siden og klikk på Lagre. Skanning på forespørsel-oppgaven er nå planlagt å kjøre hvert 5. minutt fra klokken om morgenen til klokken etter hver agentpolicy-oppdatering, fra Evaluering-programdatabasen til testgruppen. Se også Anbefalt fremgangsmåte: Opprette en testgruppe av systemer på side 173 Anbefalt fremgangsmåte: Konfigurer en skanning på forespørsel for testgruppen på side 175 Anbefalt fremgangsmåte: Konfigurer en automatisk respons for påvisning av skadelig programvare Hvis skadelig programvare oppdages av skanning på forespørsel i testgruppen, må du blokkere filene fra å bli automatisk kopiert til Aktuell-programdatabasen. Konfigurer et automatisk varsel til administratoren. Før du begynner For å skanne etter problemer som kan ha oppstått i testgruppen, må du allerede ha opprettet en skanning på forespørsel. 1 For å vise Responsbygger velger du Meny Automatisering Automatiske responser. Klikk deretter påny respons og konfigurer disse innstillingene på fanen Beskrivelser, og klikk på Neste. a Skriv inn et navn, for eksempel Skadelig programvare funnet i testgruppen, og en detaljert beskrivelse. b c d e For Språk velger du et språk fra listen. For Hendelsesgruppe velger du epo-varselhendelser fra listen. Fra Hendelsestype velger du Trussel fra listen. Velg Status Aktivert. 2 Konfigurer disse innstillingene på fanen Filter og klikk på Neste. a Velg Trusselkategori i listen Tilgjengelige egenskaper. Du kan eventuelt du legge til flere kategorier, slik som utløsing av en tilgangsbeskyttelsesregel. b c d I kolonnen Obligatoriske kriterier og raden Definert kl klikker du på... for å velge testgruppen av systemer du opprettet i dialogboksen Velg systemtregruppe. Deretter klikker du på OK. I raden Trusselkategori velger du Tilhører fra listen Sammenligning og Skadelig programvare fra Verdi-listen. Klikk på + for å legge til en ny kategori. Velg Tilhører fra listen Sammenligning og Tilgangsbeskyttelse fra Verdi-listen. McAfee epolicy Orchestrator programvare Produktveiledning 177

178 11 Manuell pakke- og oppdateringsadministrasjon Anbefalt fremgangsmåte: Automatisering av DAT-filtesting 3 Konfigurer disse innstillingene på fanen Aggregasjon og klikk på Neste. a For Aggregasjon klikker du på Utløs denne responsen for alle hendelser. b Ikke konfigurer noen Gruppering- eller Begrensing-innstillinger. 4 Konfigurer disse innstillingene på fanen Handlinger: a Velg Send e-post fra Handlinger-listen. b c d e f I Mottakere skriver du inn e-postadressen til administratoren som skal varsles. For Viktighet velger du Høy fra listen. For Emne skriver du inn en e-postoverskrift, for eksempel Skadelig programvare funnet i testgruppen! For Brødtekst skriver du inn en melding, for eksempel Undersøk dette NÅ og stopp serveroppgaven som henter innhold til Aktuell-grenen! Etter meldingsteksten setter du inn disse variablene i meldingen og klikker på: Sett inn: OS-plattform Trusselhandling utført Trusselalvorlighet Trusseltype 5 Klikk på Neste og bekreft at konfigurasjonen er korrekt i fanen Oppsummering. Klikk deretter på Lagre. Nå har du konfigurert en automatisk respons som sender en e-post til en administrator når skadelig programvare oppdages i testgruppen som kjører evaluerings-dat-filen. 178 McAfee epolicy Orchestrator programvare Produktveiledning

179 12 Distribuering av produkter McAfee epo forenkler prosessen med å distribuere sikkerhetsprodukter til administrerte systemer i nettverket ved hjelp av et brukergrensesnitt for konfigurering og planlegging av distribueringer. Du kan bruke to prosesser til å distribuere produkter med McAfee epo: Produktdistribueringsprosjekter som strømlinjeformer distribueringsprosessen og gir økt funksjonalitet. Individuelt opprettede og administrerte klientoppgaveobjekter og -oppgaver. Innhold Produktdistribueringstrinn Velge en produktdistribusjonssmetode Fordeler med produktdistribusjonsprosjekter Siden Produktdistribuering Vise revisjonslogg for Produktdistribuering Vise produktdistribuering Distribuere produkter ved bruk av et produktdistribusjonsprosjekt Overvåke og redigere distribueringsprosjekter Distribuere nytt produkteksempel Global oppdatering Distribuere oppdateringspakker automatisk med global oppdatering Produktdistribueringstrinn Du kan distribuere produktprogramvare i de administrerte systemene med automatiske eller manuelle konfigurasjonsmetoder. Hvilken metoden du velger, avhenger av detaljnivået du vil konfigurere for å fullføre prosessen. Følgende diagram viser prosessene du kan bruke til å legge til og oppdatere programvare på master-programdatabasen, og deretter distribuere programvare til de administrerte systemene. McAfee epolicy Orchestrator programvare Produktveiledning 179

180 12 Distribuering av produkter Velge en produktdistribusjonssmetode Se også Bruk Programvarebehandling til automatisk å se gjennom og oppdatere McAfee-programvare og -programvarekomponenter. I master-programdatabasen kan du sjekke inn installeringspakker manuelt og deretter bruke produktdistribuering eller klientoppgaver for å distribuere dem til administrerte systemer. Produktdistribuering-funksjonen gir en forenklet arbeidsflyt og forbedret funksjonalitet for distribuering av produkter til McAfee epo administrerte systemer. Opprett klientoppgaver for å manuelt tildele og planlegge produktdistribuering til grupper eller individuelle administrerte systemer. Produktdistribuering er utdataprosessen som holder sikkerhetsprogramvaren så oppdatert som mulig for å beskytte administrerte systemer. Sjekke inn, oppdatere og fjerne programvare ved bruk av programvarebehandlingen på side 162 Sjekke inn pakker manuelt på side 168 Opprette klientoppgaver på side 229 Distribuere produkter ved bruk av et produktdistribusjonsprosjekt på side 185 Velge en produktdistribusjonssmetode Valg av hvilken produktdistribusjonsmetode du bør bruke, avhenger av det du allerede har konfigurert. Produktdistribuering-prosjekter gir en forenklet arbeidsflyt og forbedret funksjonalitet for distribuering av produkter til dine McAfee epo administrerte systemer. Du kan imidlertid ikke bruke et Produktdistribuering-prosjekt til å foreta handlinger på eller administrere klientoppgaveobjekter og oppgaver som er opprettet i en eldre versjon av programvaren enn McAfee epolicy Orchestrator programvare Produktveiledning

181 Distribuering av produkter Fordeler med produktdistribusjonsprosjekter 12 Hvis du vil vedlikeholde og bruke klientoppgaver og objekter som er opprettet utenfor et produktdistribueringsprosjekt, bruker du objektbiblioteket for klientoppgaver og tildelingsgrensesnitt. Du kan vedlikeholde eksisterende oppgaver og objekter samtidig som du bruker prosjektgrensesnittet for produktdistribuering til å opprette nye distribueringer. Fordeler med produktdistribusjonsprosjekter Produktdistribusjonsprosjekter forenkler prosessen med å distribuere sikkerhetsprodukter på det administrerte systemet, ved at tiden og ressursene for å planlegge og vedlikeholde distribueringer i nettverket, reduseres. Produktdistribusjonsprosjekter strømlinjeformer distribueringsprosessen ved at mange av trinnene for å opprette og administrere produktdistribusjonsoppgaver enkeltvis, slås sammen. De gir også mulighet til følgende: Kjøre en distribuering kontinuerlig Du kan konfigurere distribueringsprosjektet slik at produkter distribueres automatisk når nye systemer som samsvarer med kriteriene, legges til. Stoppe en distribuering som kjører Hvis du må stoppe en distribuering etter at den har startet, kan du gjøre det. Deretter kan du gjenoppta distribueringen når du er klar. Avinstallere et tidligere distribuert produkt Hvis et distribusjonsprosjekt er fullført, og du ønsker å avinstallere det tilknyttede produktet fra systemene som er tildelt prosjektet ditt, kan du velge Avinstaller fra listen Handlinger. Følgende tabell sammenligner de to prosessene for distribuering av produkter individuelle klientoppgaveobjekter og produktdistribusjonsprosjekter. Tabell 12-1 Sammenligning av metoder for produktdistribusjon Klientoppgaveobjekter Sammenligning av funksjoner Produktdistribusjonsprosjekt Navn og beskrivelse Samme Navn og beskrivelse Innsamling av produktprogramvare for distribuering Bruke tagger for å velge målsystemer Samme Forbedret i produktdistribueringsprosjekt Innsamling av produktprogramvare for distribuering Velg når distribueringen forekommer: Kontinuerlig Kontinuerlige distribueringer bruker systemtregrupper eller tagger som du kan bruke til å flytte systemer til disse gruppene eller tildele systemtagger, slik at installeringen gjelder for disse systemene. Fast: Bruker et fast eller distribuert sett med systemer. Systemvalget gjøres ved bruk av resultattabellene for systemtreet eller spørring på administrerte systemer. Distribueringstidsplan Lignende Med forenklet distribusjonstidsplan kan du enten kjøre installeringen umiddelbart eller kjøre den på et fastsatt tidspunkt. McAfee epolicy Orchestrator programvare Produktveiledning 181

182 12 Distribuering av produkter Fordeler med produktdistribusjonsprosjekter Tabell 12-1 Sammenligning av metoder for produktdistribusjon (fortsatt) Klientoppgaveobjekter Ikke spesifisert Ikke spesifisert Ikke spesifisert Ikke spesifisert Sammenligning av funksjoner Ny i produktdistribueringsprosjekt Ny i produktdistribueringsprosjekt Ny i produktdistribueringsprosjekt Ny i produktdistribueringsprosjekt Produktdistribusjonsprosjekt Overvåk gjeldende distribusjonsstatus, for eksempel distribusjoner som er planlagt, men ikke startet, og distribusjoner som pågår eller er stoppet, midlertidig stanset eller fullført. (Bare faste distribusjoner) Vis et historisk øyeblikksbilde av data som viser antall systemer som mottar distribusjoner. Vis statusen for individuelle systemdistribueringer, for eksempel systemer som er distribuert, på vent eller mislykket. Endre en eksisterende distribusjonstildeling ved bruk av: Opprett ny for å endre en eksisterende distribuering Rediger Dupliser Slett Stopp og Stopp distribuering midlertidig Fortsett og Gjenoppta distribuering Avinstaller 182 McAfee epolicy Orchestrator programvare Produktveiledning

183 Distribuering av produkter Siden Produktdistribuering 12 Siden Produktdistribuering På siden for produktdistribuering kan du opprette, overvåke og administrere produktdistribueringsprosjektene på ett og samme sted. Siden er delt i to hovedområder. Det andre området er delt i fem mindre områder. Figur 12-1 Siden for produktdistribuering Hovedområdene er: Sammendrag av distribusjon: Viser en liste over produktdistribusjoner som kan filtreres etter type og status, slik at du raskt kan se fremdriften. Hvis du klikker på en distribuering, vises detaljer om distribueringen i området for distribueringsdetaljer. Et utropstegnikon ( ) angir enten at distribueringen er en avinstallering som pågår, eller at pakken distribueringen bruker, er flyttet, slettet eller utløpt. Distribueringsdetaljer: Viser en liste over detaljer om den valgte distribueringen, og inneholder følgende områder. McAfee epolicy Orchestrator programvare Produktveiledning 183

184 12 Distribuering av produkter Vise revisjonslogg for Produktdistribuering Statusovervåker: Fremdrifts- og statusvisningen varierer avhengig av distribueringstypen og -statusen: Kontinuerlige distribueringer viser en kalender hvis distribueringen venter, eller et stolpediagram under distribusjonen. Faste distribueringer viser en kalender hvis distribueringen venter, et stolpediagram hvis Aktuell er valgt eller et søylediagram hvis Varighet er valgt. Du kan bruke Handling til å endre en distribuering. Detaljer: Her kan du vise konfigureringsdetaljer og status for distribueringen. Om nødvendig kan du også klikke på Vis oppgavedetaljer for å åpne siden Rediger distribuering. Systemnavn: Viser en filtrerbar liste over målsystemer som mottar distribueringen. Systemene vises i henhold til distribusjonstype og hvorvidt systemene ble valgt enkeltvis, som tagger, som systemtregrupper eller som tabeller for spørringsutdata. Klikk på Systemhandlinger for å vise en filtrert liste over systemer i en dialogboks med flere detaljer, der du også kan utføre handlinger på systemene, som for eksempel oppdatering og vekking. Status Viser en linje i tre deler som angir fremdriften og statusen for distribusjonen. Tagger: Viser tagger knyttet til systemraden. Vise revisjonslogg for Produktdistribuering Revisjonslogger for installeringsprosjekter inneholder oppføringer av alle produktinstalleringene som er foretatt fra konsollen ved bruk av funksjonen Produktdistribuering. Revisjonsloggoppføringene vises i en sorterbar tabell i området Distribueringsdetaljer på siden Produktdistribuering. Revisjonsloggoppføringene er også tilgjengelige ved å gå til Meny Rapportering Revisjonslogg, der du kan se loggoppføringer fra alle reviderbare brukerhandlinger. Du kan bruke disse loggene til å spore, opprette, redigere, duplisere, slette og avinstallere produktdistribueringer. Klikk på en loggoppføring for å vise detaljene for den. Vise produktdistribuering Under den første produktdistribueringen oppretter McAfee epo automatisk en produktdistribueringsprosess. Du kan bruke denne produktdistribueringen som grunnlag for andre produktdistribueringer. Før du begynner Du må kjøre dashbordprosessen Komme i gang for å opprette en produktdistribuering, eller opprette en produktdistribuering manuelt. 1 Finne den første opprettede produktdistribueringen: velg Meny Produktdistribuering. Den første opprettede produktdistribueringen bruker navnet på Systemtre-gruppen du konfigurerte i dashbordprosessen Komme i gang, og er oppført i listen Oppsummering av distribuering som Første distribuering i min gruppe. 184 McAfee epolicy Orchestrator programvare Produktveiledning

185 Distribuering av produkter Distribuere produkter ved bruk av et produktdistribusjonsprosjekt 12 2 Hvis du vil vise detaljene om produktdistribusjonen, velger du navnet på produktdistribusjonen som ble tildelt den første URL-en for produktdistribusjon du opprettet. Denne siden endres for å vise detaljer om produktdistribusjonskonfigurasjonen. Ikke endre denne standard produktdistribusjonen. Denne distribueringen kjøres daglig for å oppdatere de administrerte systemene hvis noen av produktene eller McAfee Agent oppdateres. Nå vet du plasseringen og konfigurasjonen av den første opprettede produktdistribusjonen. Du kan duplisere denne produktdistribusjonen for å eksempelvis distribuere McAfee Agent på plattformer som bruker ulike operativsystemer. Du kan også endre den første opprettede klientoppgaven du ga navn til, for eksempel Første distribuering i min gruppe. Du finner klientoppgaven ved å velge Meny Klientoppgavekatalog. Den er oppført i Klientoppgavetyper under Produktdistribuering. Distribuere produkter ved bruk av et produktdistribusjonsprosjekt Med et distribueringsprosjekt kan du enkelt velge produkter som skal distribueres i målsystemene, og planlegge distribueringen. Utløpte produkter vises i listen over pakker. Du kan avinstallere dem fra målsystemer i Handlinger. 1 Velg Meny Programvare Produktdistribuering. 2 Velg Ny distribuering for å starte et nytt prosjekt. 3 Skriv inn et navn og en beskrivelse av distribusjonen. Navnet vises på siden Produktdistribuering etter at du har lagret distribueringen. 4 Velg typen distribuering: Kontinuerlig Bruker systemtregruppene eller taggene dine til å konfigurere systemene som mottar distribusjonen. Denne funksjonen tillater at disse systemene endres over tid når de legges til eller fjernes fra gruppene eller taggene. Fast Bruker et fast (definert) sett med systemer som mottar distribueringen. Systemvalget gjøres ved hjelp av systemtreet eller resultatene fra spørringer mot administrerte systemer. 5 Hvis du vil at produktene skal oppdateres automatisk, merker du av for Automatisk oppdatering. Hvis det ikke er merket av for det alternativet, vil produktene fremdeles bli oppdatert med de nyeste oppdateringene, hurtigreparasjonene og innholdspakkene, men hovedversjoner og mindre versjonsutgivelser ignoreres. Under en ny distribusjon ser McAfee Agent etter nye oppdateringer, hurtigreparasjoner og innholdspakker for alle installerte produkter på klienten. Du finner mer informasjon i McAfee Agent-dokumentasjonen. McAfee epolicy Orchestrator programvare Produktveiledning 185

186 12 Distribuering av produkter Overvåke og redigere distribueringsprosjekter 6 Angi hvilken programvare som skal distribueres eller avinstalleres, ved å velge et produkt i listen Pakke. Klikk på + eller - for å legge til eller fjerne pakker. Programvaren må være sjekket inn i master-programdatabasen før den kan distribueres. Feltene Språk og Gren fylles ut automatisk, da disse feltene bestemmes av stedet og språket som er angitt i master-programdatabasen. 7 Velg Installer eller Avinstaller fra listen Handlinger. 8 Angi eventuelle kommandolinjealternativer for installering i tekstfeltet Kommandolinje. Du finner informasjon om kommandolinjealternativer i produktdokumentasjonen for programvaren du distribuerer. 9 Klikk på Velg systemer under Velg systemene. Dialogboksen Systemvalg er et filter som du kan bruke for å velge grupper i systemtreet, med disse fanene: Systemtre Velg systemtre-grupper eller undergrupper og deres tilhørende systemer. Tagger Velg grupper eller undergrupper for tagger og deres tilhørende systemer. Valgte systemer: Viser alle valgene du gjorde på hver fane, for å opprette målsystemene for distribueringen. Eksempel: Hvis systemtreet inneholder Gruppe A, som inkluderer både servere og arbeidsstasjoner, kan du rette distribueringen mot hele gruppen. Du kan også rette distribueringen kun mot serverne eller kun mot arbeidsstasjonene (hvis de er tagget riktig), eller et undersett av en av systemtypene i gruppe A. For faste distribueringer er maksimalt antall systemer som kan motta distribueringen 500. Konfigurer følgende ved behov: Kjør ved hver policyhåndhevelse (kun Windows) Gi sluttbrukere mulighet til å utsette denne distribusjonen (kun Windows) Maksimalt antall tillatte utsettelser Muligheten til å utsette går ut etter Vis denne teksten 10 Under Velg et starttidspunkt velger du tidsplan for distribueringen: Kjør umiddelbart Starter distribusjonsoppgaven under neste ASCI. Én gang eller Daglig Åpner planleggeren, der du kan konfigurere startdato og -tidspunkt og randomisering. 11 Klikk på Lagre øverst på siden. Siden Produktdistribuering åpnes. Her er det nye prosjektet lagt til i listen over distribueringer. Når du har opprettet et distribusjonsprosjekt, opprettes en klientoppgave automatisk med distribueringsinnstillingene. Overvåke og redigere distribueringsprosjekter Bruk siden Produktdistribuering til å opprette, spore og endre distribueringsprosjekter. 186 McAfee epolicy Orchestrator programvare Produktveiledning

187 Distribuering av produkter Overvåke og redigere distribueringsprosjekter 12 1 Velg Meny Programvare Produktdistribusjon. 2 Filtrer listen over distribueringsprosjekter ved å bruke følgende: Type Filtrerer distribueringene som vises etter Alle, Kontinuerlig eller Faste. Status Filtrerer distribueringene som vises etter Alle, Fullført, Pågår, Venter, Kjører eller Stoppet. 3 Klikk på en distribuering i listen til venstre på siden for å vise detaljene på høyre side. Hvis en pakke i denne distribueringen utløper, ugyldiggjøres distribueringen. Hvis du holder musen over distribueringen, ser du denne meldingen: Pakken(e) i denne distribueringen er flyttet, slettet eller utløpt. 4 Bruk fremdriftsdelen i detaljvisningen til å vise følgende: En kalender som viser startdato for ventende, kontinuerlig og faste distribueringer. Et søylediagram som viser systemene og installeringstiden for faste distribueringer. En statuslinje som viser fremdriften for distribuering og avinstallering av systemer. Under statuslinjen vises oppgavestatusen Vellykket, Mislykket og Venter for antallet målsystemer i parentes. 5 Klikk på Handling og en av disse handlingene for å endre en distribuering: Rediger Fortsett Slett Stopp Dupliser Avinstaller Merk som fullført 6 I detaljdelen klikker du på Vis oppgavedetaljer for å vise og endre innstillingene for distribueringen. 7 I tabellen Systemer velger du et alternativ i listen Filter for å endre hvilke systemer som vises. Alternativene i listen varierer avhengig av statusen for distribueringen. Handlingen Avinstaller har filtrene Alle, Pakker fjernet, Venter og Mislykket. Alle andre handlinger har filtrene Alle, Installering vellykket, Venter og Mislykket. 8 I tabellen Systemer kan du gjøre følgende: Sjekk statusen for hver rad i målsystemene i kolonnen Status. En statuslinje i tre deler angir fremdriften for distribueringen. Sjekk taggene som er knyttet til målsystemene, i kolonnen Tagger. Klikk på Systemhandlinger for å utføre systemspesifikke handlinger på de valgte systemene. McAfee epolicy Orchestrator programvare Produktveiledning 187

188 12 Distribuering av produkter Distribuere nytt produkteksempel Distribuere nytt produkteksempel Etter installering av McAfee epo og første produktdistribuering må eventuelle nye produktdistribueringer opprettes ved hjelp av et produktdistribueringsprosjekt eller manuelt ved hjelp av et klientoppgaveobjekt. Dette eksemplet leder deg gjennom prosessen med å opprette et produktdistribueringsprosjekt for McAfee Endpoint Security. 1 Velg Meny Programvare Produktdistribusjon, og klikk på Ny distribuering. 2 Konfigurer følgende innstillinger på siden Ny distribuering. Alternativ Navn og Beskrivelse Type Beskrivelse Skriv inn et navn og en beskrivelse av distribusjonen. Dette navnet vises på siden Distribuering etter at distribueringen er lagret. Velg Kontinuerlig fra listen. Denne typen bruker systemtregruppene eller taggene til å konfigurere systemene som mottar distribueringen. Når du velger denne typen, kan systemene endres over tid når de legges til eller fjernes fra gruppene eller taggene. Hvis du vil oppdatere sikkerhetsproduktene automatisk, velger du Automatisk oppdatering. Dette distribuerer også hurtigreparasjonene og oppdateringene for produktet automatisk. Du kan ikke avinstallere et produkt hvis du har valgt Automatisk oppdatering. Pakke Språk og Gren Kommandolinje Velg systemene Velg VirusScan Enterprise fra listen. Hvis du ikke bruker standardinnstillingene, velger du språket og grenen. Angi eventuelle kommandolinjealternativer for installering i tekstfeltet. Du finner mer informasjon i installasjonsveiledningen for McAfee Endpoint Security. Klikk på Velg systemer for å åpne dialogboksen Systemvalg. Dialogboksen Systemvalg er et filter som du kan bruke til å velge grupper i systemtreet, tagger eller et undersett av grupperte eller taggede systemer. Valgene du gjør i hver enkelt kategori i denne dialogboksen, settes sammen for å filtrere hele settet med målsystemer for distribusjonen. Konfigurer følgende ved behov: Kjør ved hver policyhåndhevelse (kun Windows) Gi sluttbrukere mulighet til å utsette denne distribusjonen (kun Windows) Maksimalt antall tillatte utsettelser Muligheten til å utsette går ut etter Vis denne teksten 188 McAfee epolicy Orchestrator programvare Produktveiledning

189 Distribuering av produkter Global oppdatering 12 Alternativ Velg et starttidspunkt Beskrivelse Velg et starttidspunkt eller en tidsplan for installeringen: Kjør umiddelbart: Starter distribueringsoppgaven etter neste ASCI. Én gang: Åpner planleggeren slik at du kan konfigurere startdato og -tidspunkt og randomisering. Lagre Når du er ferdig, klikker du på Lagre øverst på siden. Siden Produktdistribusjon åpnes. Her er det nye prosjektet lagt til i listen over distribueringer. Når du har opprettet et distribusjonsprosjekt, opprettes en klientoppgave automatisk med distribueringsinnstillingene. 3 På siden Produktdistribuering bekrefter du at produktdistribueringsprosjektet fungerer som det skal ved å sjekke denne informasjonen. Alternativ Distribueringssammendrag Beskrivelse Klikk på produktdistribusjonsprosjektet du opprettet i forrige trinn. Detaljene vises til høyre på siden. Fordi det er snakk om kontinuerlig distribusjon, vises uendelighetssymbolet under Pågår. Distribueringsdetaljer Dette gjør det mulig å: Klikk på Handlinger for å endre den valgte distribusjonen. Vis Fremdrift, Status og Detaljer for den valgte distribusjonen. Vis Systemer, Systemhandlinger, Status og Tagger knyttet til den valgte distribusjonen. Global oppdatering Global oppdatering automatiserer reproduksjonen til de distribuerte programdatabasene og holder de administrerte systemene oppdatert. Reproduksjons- og oppdateringsoppgaver er ikke nødvendig. Innsjekking av innhold i master-programdatabasen starter en global oppdatering. Hele prosessen fullføres innen en time i de fleste miljøer. Du kan også angi hvilke pakker og oppdateringer som starter en global oppdatering. Når du angir at et bestemt innhold starter en global oppdatering, må du opprette en reproduksjonsoppgave for å distribuere innhold som ikke ble valgt. Anbefalt fremgangsmåte: Når du bruker global oppdatering, bør du planlegge en vanlig pull-oppgave (for å oppdatere master-programdatabasen) på et tidspunkt med minimal nettverkstrafikk. Selv om global oppdatering er mye raskere enn andre metoder, økes nettverkstrafikken under oppdateringen. Global oppdateringsprosess 1 Innhold sjekkes inn i master-programdatabasen. 2 Serveren utfører en inkrementell reproduksjon til alle distribuerte programdatabaser. 3 Serveren utsteder et vekkesignal til SuperAgent for alle SuperAgenter i miljøet. 4 SuperAgenten kringkaster en global oppdateringsmelding til alle agenter innenfor SuperAgent-undernettet. McAfee epolicy Orchestrator programvare Produktveiledning 189

190 12 Distribuering av produkter Distribuere oppdateringspakker automatisk med global oppdatering 5 Når kringkastingen mottas, får agenten minimum katalogversjon som er nødvendig for oppdateringen. 6 Agenten søker de distribuerte programdatabasene etter et område som har minimum katalogversjon. 7 Når en egnet programdatabase blir funnet, kjører agenten oppdateringsoppgaven. Hvis agenten ikke mottar kringkastingen, får agenten minimum katalogversjon ved neste agent-til-server-kommunikasjon. Hvis agenten mottar et varsel fra en SuperAgent, får agenten listen over oppdaterte pakker. Hvis agenten finner den nye katalogversjonen ved neste agent-til-server-kommunikasjon, får den ikke listen over oppdateringspakker og oppdaterer derfor alle tilgjengelige pakker. Krav Disse kravene må oppfylles for å implementere global oppdatering: En SuperAgent må bruke samme nøkkel for sikker agent-til-server-kommunikasjon (ASSC) som agentene som mottar vekkesignalene. En SuperAgent er installert på hvert kringkastingssegment. Administrerte systemer kan ikke motta et vekkesignal til SuperAgent hvis det ikke finnes noen SuperAgent på samme kringkastingssegment. Global oppdatering bruker vekkesignal til SuperAgent for å varsle agenter om at nye oppdateringer er tilgjengelige. Distribuerte programdatabaser konfigureres i hele miljøet. Vi anbefaler å bruke SuperAgent-programdatabaser, men de er ikke påkrevd. Global oppdatering fungerer med alle typer distribuerte programdatabaser. Hvis du bruker SuperAgent-programdatabaser, må administrerte systemer ha tilgang til programdatabasen som oppdateringene kommer fra. Selv om en SuperAgent kreves på hvert kringkastingssegment for at systemet skal motta vekkesignalet, er SuperAgent-programdatabaser ikke påkrevd på hvert kringkastingssegment. Distribuere oppdateringspakker automatisk med global oppdatering Du kan aktivere global oppdatering på serveren for å distribuere brukerspesifikke oppdateringspakker på administrerte systemer automatisk. 1 Klikk på Meny Konfigurasjon Serverinnstillinger, velg Global oppdatering og klikk på Rediger nederst på siden. 2 På siden Rediger global oppdatering ved siden av Status, velger du Aktivert. 190 McAfee epolicy Orchestrator programvare Produktveiledning

191 Distribuering av produkter Distribuere oppdateringspakker automatisk med global oppdatering 12 3 Rediger Randomiseringsintervall, hvis ønskelig. Hver klientoppdatering skjer på et tilfeldig valgt tidspunkt i randomiseringsintervallet, noe som bidrar til å distribuere belastningen i nettverket. Standard er 20 minutter. Hvis du for eksempel oppdaterer 1000 klienter ved bruk av standard randomiseringsintervall på 20 minutter, oppdateres omtrent 50 klienter hvert minutt i løpet av intervallet. Denne randomisering reduserer belastingen på nettverket og serveren. Uten randomisering vil alle 1000 klienter forsøke å oppdatere på samme tid. 4 Ved siden av Pakketyper velger du hvilke pakker som starter oppdateringen. Global oppdatering starter en oppdateringen bare hvis nye pakker for komponentene som er angitt her, sjekkes inn i Master-programdatabase eller flyttes til en annen gren. Velg komponenter med omhu. Signaturer og motorer Velg Host Intrusion Prevention-innhold, hvis nødvendig. Valg av pakketype avgjør hva som starter en global oppdatering (ikke hva som oppdateres under den globale oppdateringsprosessen). Agentene mottar en liste over oppdaterte pakker under den globale oppdateringsprosessen. Agentene bruker denne listen bare til å installere nødvendige oppdateringer. Eksempel: Agentene oppdaterer pakker som er endret siden forrige oppdatering, og ikke alle pakkene. 5 Klikk på Lagre når du er ferdig. Når global oppdatering er aktivert, startes en oppdatering neste gang du sjekker inn hvilken som helst av de valgte pakkene eller flytter pakkene til en annen gren. Husk å kjøre en Pull nå-oppgave og planlegge en periodisk oppgave for Programdatabase-pull, når du er klar til å starte den automatiserte oppdateringen. McAfee epolicy Orchestrator programvare Produktveiledning 191

192 12 Distribuering av produkter Distribuere oppdateringspakker automatisk med global oppdatering 192 McAfee epolicy Orchestrator programvare Produktveiledning

193 13 Tildeling av policyer Policyer sikrer at produktfunksjonene er riktig konfigurert på administrerte systemer. Innhold Om policyer Policytildelingsregler Opprette og administrere policyer Flytte og dele policyer mellom McAfee epo-servere Opprette og administrere policytildelingsregler Policyadministrasjonsbrukere Tildele policyer i administrerte systemer Kopier and lim inn policytildelinger Vise policyinformasjon Om policyer En policy er en samling av innstillinger som du oppretter, konfigurerer og deretter håndhever. Policyer er organisert etter produkt, og så etter kategoriene innenfor hvert produkt. McAfee Agent-produktet inkluderer kategorier for Generell, Programdatabase og Feilsøking. Hvis du vil se policyer i en bestemt policykategori, velger du Meny Policy Policykatalog og velger et produkt og en kategori fra rullegardinlistene. På Policykatalog-siden kan brukere kun se policyene for de produktene de har tillatelse til. Hver kategori inneholder to standard policyer, McAfee Default ogmy Default. Du kan ikke slette, redigere, eksportere eller endre navn på disse policyene, men du kan kopiere dem og redigere kopiene. Når policyer brukes Policyer brukes i systemer i henhold til intervaller for agent-til-server-kommunikasjon og policyhåndhevelse. Når du konfigurer policyinnstillinger, brukes de nye innstillingene på angitte administrerte systemer ved neste agent-til-server-kommunikasjon. Som standard utføres agent-til-server-kommunikasjon hvert 60. minutt. Du kan justere dette intervallet på Generelt-fanen på McAfee Agent-policysidene. Avhengig av hvordan du implementerer agent-til-server-kommunikasjon, kan du eventuelt endre intervallet for agent-til-server-kommunikasjon ved å bruke en klientoppgave av typen McAfee Agent-vekking. Når policyinnstillinger har trådt i kraft i de administrerte systemene, fortsetter McAfee Agent å håndheve policyinnstillinger i henhold til policyhåndhevelsesintervallet. Som standard utføres policyhåndhevelsen hvert 60. minutt. Du kan justere dette intervallet også på Generelt-fanen. McAfee epolicy Orchestrator programvare Produktveiledning 193

194 13 Tildeling av policyer Policytildelingsregler Slik anvendes policyer Policyer kan brukes i et system på to måter, arv eller tildeling. Du kan tildele en policy i policykatalogen til alle grupper og systemer. Gjennom tildeling kan du definere policyinnstillinger én gang for et bestemt behov, og deretter bruke policyen på flere steder. Arv bestemmer om policyinnstillingene og klientoppgavene for en gruppe eller et system skal hentes fra overordnet gruppe eller system. Arv aktiveres som standard i hele systemtreet. Når du kopierer og limer inn policytildelinger, limes bare ekte tildelinger inn. Hvis kildeplasseringen arvet en policy som du valgte å kopiere, er det arveegenskapen som ble limt inn på målet. Målet arver så policyen (for den bestemte policykategorien) fra sin overordnede. Den arvede policyen kan være en annen policy enn kildepolicyen. Låsing av tildeling Du kan låse tildelingen av en policy i alle grupper og systemer. Låsing av tildeling hindrer at andre brukere utilsiktet erstatter en policy. Låsing av tildeling arves via policyinnstillingene. Låsing av tildeling er nyttig når du vil tildele til bestemt policy øverst i systemtreet og kontrollere at ingen andre brukere flytter den. Låsing av tildeling hindrer ikke policyeieren fra å endre policyinnstillinger. Hvis du ønsker å låse en policytildeling, må du derfor sørge for at du selv eier policyen. Policyeierskap Hver policy er knyttet til en eier, som er brukeren som opprettet den. Du må ha de riktige tillatelsene for å redigere en policy du ikke eier. Hvis du ønsker å bruke en policy som en annen bruker eier, anbefaler vi derfor at du dupliserer policyen og deretter bruker den dupliserte versjonen. Duplisering av policyer forhindrer at uforutsette policyendringer påvirker nettverket ditt. Hvis du tildeler en policy som du ikke eier, og eieren endrer policyen, mottar alle systemene som ble tildelt policyen, endringene. Du kan angi flere brukere som eiere av én og samme policy. Policytildelingsregler Policytildelingsregler reduserer kostnadene med å administrere flere policyer for individuelle brukere eller systemer som oppfyller spesifikke kriterier, samtidig som mer generelle policyer opprettholdes i systemtreet. Dette detaljnivået i policytildelingene begrenser forekomsten av brutt arv i systemtreet for å håndtere policyinnstillingene som de bestemte brukerne eller systemene trenger. Policytildelinger kan baseres på brukerspesifikke eller systemspesifikke kriterier: Brukerbaserte policyer Policyer som inkluderer minst ett brukerspesifikt kriterium. Du kan for eksempel opprette en policytildelingsregel som håndheves for alle brukerne i din teknikergruppe. Du kan opprette en annen policytildelingsregel for medlemmer av IT-avdelingen. Denne regelen tillater at de kan logge på datamaskinen i teknikernettverket med de nødvendige tilgangsrettigheter for å feilsøke problemer på et bestemt system i nettverket. Brukerbaserte policyer kan også omfatte systembaserte kriterier. Systembaserte policyer Policyer som inneholder bare systembaserte policyer. Du kan for eksempel opprette en policytildelingsregel som håndheves for alle servere på nettverket basert på taggene du brukte, eller alle systemene som har en bestemt plassering i systemtreet. Systembaserte policyer kan ikke omfatte brukerbaserte kriterier. 194 McAfee epolicy Orchestrator programvare Produktveiledning

195 Tildeling av policyer Policytildelingsregler 13 Prioritet for policytildelingsregel Policytildelingsregler kan prioriteres for å forenkle administrasjonen av policytildelinger. Når du angir prioritet for en regel, håndheves dette før andre tildelinger som har lavere prioritet. I noen tilfeller kan dette føre til at enkelte regelinnstillinger overstyres. Tenk deg for eksempel en bruker eller et system som er inkludert i to policytildelingsregler, regel A og regel B. Regel A har prioritetsnivå 1 og gir inkluderte brukere ubegrenset brukertilgang til webinnhold. Regel B har prioritetsnivå 2 og begrenser sterkt den samme brukerens tilgang til webinnhold. I dette tilfellet håndheves regel A fordi den har høyere prioritet. Systemet gir dermed ubegrenset tilgang til webinnhold. Slik fungerer policyer med flere plasseringer sammen med regelprioriteringer for policytildelingsregler Regelprioriteringer tas ikke hensyn til for policyer med flere plasseringer. Når en regel som inneholder policyer med flere plasseringer for samme produktkategori, brukes, kombineres alle innstillingene for policyene med flere plasseringer. På samme måte kombineres alle innstillingene for policyer med flere plasseringer hvis flere regler som inneholder policyer med flere plasseringer, brukes. Dermed er den anvendte policyen er kombinasjon av innstillingene for hver enkelt regel. Når policyer med flere plasseringer samles, er det bare policyer av samme type som inngår i en samling. Men policyer med flere plasseringer som tildeles ved bruk av policytildelingsregler, samles ikke med policyer som er tildelt i systemtreet. Policyer med flere plasseringer som tildeles ved bruk av policytildelingsregler, overstyrer policyer som er tildelt i systemtreet. Dessuten har brukerbaserte policyer prioritet foran systembaserte policyer. Scenario: Bruke policyer med flere plasseringer for kontroll av webtilgang I systemtreet finner du en teknisk gruppe som består av systemer som er merket med IsServer eller IsLaptop. Policy A er tildelt til alle systemene i denne gruppen i systemtreet. Ved å tildele policy B til en plassering i systemtreet over den tekniske gruppen ved bruk av en policytildelingsregel, overstyres innstillingene for policy A, og systemer merket IsLaptop får Internett-tilgang. Ved å tildele policy C til en gruppe i systemtreet over den tekniske gruppen, får brukere i adminbrukergruppen tilgang til Internett fra alle systemer, inkludert dem i den tekniske gruppen som er merket med IsServer. Policytype Tildelingstype Policynavn Policyinnstillinger Generisk policy Policy tildelt i systemtreet A Hindrer Internett-tilgang fra alle systemer som har denne policyen. Systembasert Policytildelingsregel B Tillater Internett-tilgang fra systemer med taggen "IsLaptop". Systembasert Policytildelingsregel C Tillater ubegrenset Internett-tilgang for alle brukere i brukergruppen Admin for alle systemer. Brukerbasert Policytildelingsregel C Tillater ubegrenset Internett-tilgang for alle brukere i brukergruppen Admin for alle systemer. Ekskludere Active Directory-objekter fra samling av policyer. Regler som består av policyer med flere plasseringer, brukes på tildelte systemer uten hensyn til prioritet, og det kan derfor hende at du i noen tilfeller må forhindre samling av policyinnstillinger. Du kan forhindre samling av brukerbaserte innstillinger for policyer med flere plasseringer på tvers av flere policytildelingsregler ved å ekskludere en bruker (eller andre aktive Active Directory-objekter som f.eks. en gruppe eller en organisasjonsenhet) når du oppretter regelen. Du finner mer informasjon om policyer med flere plasseringer som kan brukes i policytildelingsregler, i produktdokumentasjon for det administrerte produktet du bruker. McAfee epolicy Orchestrator programvare Produktveiledning 195

196 13 Tildeling av policyer Opprette og administrere policyer Brukerbasert policytildeling Med brukerbaserte policytildelingsregler kan du opprette brukerspesifikke policytildelinger. Disse tildelingene håndheves på målsystemet når en bruker logger seg på. Når en bruker logger seg på et administrert system for første gang, kan det oppstå en liten forsinkelse mens McAfee Agent kontakter den tildelte serveren for å hente policytildelingene som gjelder for den aktuelle brukeren. I dette tidsrommet har brukeren kun tilgang til funksjonene som er tillatt i henhold til standard maskinpolicy, som vanligvis er den mest sikre. På et administrert system har agenten en oversikt over brukerne som logger på nettverket. Policytildelingene du oppretter for hver enkelt bruker, sendes til systemet som brukeren logger seg på, og bufres under hver agent-til-server-kommunikasjon. McAfee epo-serveren bruker policyene du har tildelt hver enkelt bruker. Hvis du vil bruke brukerbaserte policytildelinger, registrerer og konfigurerer du en registrert LDAP-server for bruk med McAfee epo-serveren. Systembaserte policytildelinger Med systembaserte policytildelinger kan du tildele policyer basert på plasseringen i systemtreet eller tagger. Systembaserte policyer tildeles på bakgrunn av valgkriterier du kan definere ved hjelp av policytildelingsbyggeren. Alle policytildelingsregler krever at plasseringen i systemtreet er angitt. Taggbaserte policytildelinger er nyttige når du ønsker at alle systemer av en bestemt type har samme sikkerhetspolicy, uavhengig av plasseringen i systemtreet. Scenario: Opprette nye SuperAgenter ved hjelp av tagger Du har bestemt deg for å opprette et nytt sett med SuperAgenter i miljøet, men har ikke tid til å manuelt identifisere systemene i systemtreet som skal være vert for disse SuperAgentene. Du kan i stedet bruke taggbyggeren til å tagge alle systemer som oppfyller et bestemt sett med kriterier, med en ny tagg: "issuperagent". Når du har bygd taggen, kan du opprette en policytildelingsregel som tar i bruk SuperAgent-policyinnstillingene dine på alle systemer som er tagget med "issuperagent." Når taggen er opprettet, kan du bruke handlingen Kjør taggekriterier på siden Taggkatalog for å tildele den nye policyen. Etter hvert som systemene med den nye taggen oppretter kontakt på regelmessige tidspunkt, får de tildelt en ny policy på bakgrunn av policytildelingsregelen "issuperagent". Opprette og administrere policyer McAfee epo har en rekke verktøy for administrasjon av policyer, bl.a. Policykatalog, Policyhistorie og Policysammenligning. 196 McAfee epolicy Orchestrator programvare Produktveiledning

197 Tildeling av policyer Opprette og administrere policyer 13 r Opprette en policy på siden Policykatalog på side 197 Egendefinerte policyer som er opprettet ved hjelp av Policykatalog, blir ikke tildelt grupper og systemer. Du kan opprette policyer før eller etter at et produkt distribueres. Håndheve produktpolicyer på side 198 Policyhåndhevelse er aktivert som standard, og arves i systemtreet, men du kan aktivere eller deaktivere håndhevelse manuelt i angitte systemer. Håndheve policyer for et produkt i en systemtregruppe på side 198 Aktivere eller deaktivere policyhåndhevelse i en gruppe. Håndheve policyer for et produkt i et system på side 198 Aktivere eller deaktivere policyhåndhevelse på et administrert system. Administrere policyhistorie på side 199 Du kan vise og sammenligne policyhistorieoppføringene, eller reversere til en tidligere versjon av en policy. Redigere tillatelsessett for policyhistorie på side 200 Konfigurer tillatelsessettene for produktene slik at brukere kan gå tilbake til tidligere versjoner av policyer på siden for policyhistorie. Sammenlign policyer på side 200 Med policysammenligning kan du identifisere forskjellene mellom lignende policyer. Endre eiere av en policy på side 201 Som standard tildeles eierskapet brukeren som opprettet policyen. Hvis du har nødvendige tillatelser, kan du endre eierskapet til en policy. Opprette en policy på siden Policykatalog Egendefinerte policyer som er opprettet ved hjelp av Policykatalog, blir ikke tildelt grupper og systemer. Du kan opprette policyer før eller etter at et produkt distribueres. 1 Åpne dialogboksen Ny policy. a Velg Meny Policy Policykatalog. b Velg produkt og kategori fra rullegardinlisten. Alle policyer som er opprettet for den valgte kategorien, vises i ruten Detaljer. c Klikk på Ny policy. 2 Velg policyen du vil duplisere, i rullegardinlisten Opprett en Opprett en policy basert på denne eksisterende policyen. 3 Skriv inn et navn på den nye policyen, og klikk på OK. Policyen vises i policykatalogen. 4 Klikk på navnet for den nye policyen. Bygger for policyinnstillinger åpnes. 5 Rediger policyinnstillingene etter behov. 6 Klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 197

198 13 Tildeling av policyer Opprette og administrere policyer Håndheve produktpolicyer Policyhåndhevelse er aktivert som standard, og arves i systemtreet, men du kan aktivere eller deaktivere håndhevelse manuelt i angitte systemer. Du kan administrere policyhåndhevelse fra disse stedene: Fanen Tildelte policyer i systemtreet: Velg hvorvidt du vil håndheve policyer for produkter eller komponenter for den valgte gruppen. Siden Policykatalog Vis policytildelinger og håndhevelse. Du kan også låse policyhåndhevelsen for å forhindre endringer under den låste noden. Hvis policyhåndhevelse er slått av, mottar ikke systemene i den angitte gruppen oppdaterte Sitelist-filer under en agent-til-server-kommunikasjon. Dermed er det ikke sikkert at de administrerte systemene i gruppen fungerer som forventet. Du kan for eksempel konfigurere administrerte systemer slik at de kommuniserer med agentbehandler A. Hvis du deaktiverer policyhåndhevelse, mottar ikke det administrerte systemet den nye Sitelist-filen med denne informasjonen, og systemet rapporterer til en annen agentbehandler i en utløpt Sitelist-fil. Håndheve policyer for et produkt i en systemtregruppe Aktivere eller deaktivere policyhåndhevelse i en gruppe. 1 Velg Meny Systemer Systemtre, klikk på kategorien Tildelte policyer og velg en gruppe i systemtreet. 2 Velg ønsket produkt, og klikk deretter på koblingen ved siden av Håndhevelsesstatus. 3 For å endre håndhevelsesstatus må du først velge alternativet Bryt arven og tildel policyen og innstillingene nedenfor. 4 Velg henholdsvis Håndhever eller Håndhever ikke ved siden av Håndhevelsesstatus. 5 Du kan velge å låse policyarven. Låsing av arv for policyhåndhevelse forhindrer at håndhevelsen brytes for grupper og systemer som arver denne policyen. 6 Klikk på Lagre. Håndheve policyer for et produkt i et system Aktivere eller deaktivere policyhåndhevelse på et administrert system. 1 Velg Meny Systemer Systemtre, klikk på kategorien Systemer og velg gruppen under Systemtre som systemet tilhører. Listen over systemer som tilhører denne gruppen, vises i detaljer-ruten. 2 Velg et system, og klikk deretter på Handlinger Endre policyer på ett system. Siden Policytildeling vises. 198 McAfee epolicy Orchestrator programvare Produktveiledning

199 Tildeling av policyer Opprette og administrere policyer 13 3 Velg et produkt, og klikk deretter på Håndhever ved siden av Håndhevelsesstatus. Siden Håndhevelse vises. 4 Hvis du vil endre håndhevelsesstatus, må du først velge alternativet Bryt arven og tildel policyen og innstillingene nedenfor. 5 Velg henholdsvis Håndhever eller Håndhever ikke ved siden av Håndhevelsesstatus. 6 Klikk på Lagre. Administrere policyhistorie Når du endrer en policy fra Policykatalog, opprettes en oppføring i Policyhistorie der du kan beskrive endringen for fremtidig referanse. Policyhistorie-oppføringer vises på tre ulike steder: Policyhistorie, Detaljer for serveroppgavelogg og Detaljer om revisjonslogg. Bare policyer du oppretter i Policykatalog, har oppføringer i Policyhistorie. Husk å legge inn en kommentar når du endrer en policy. Konsekvent kommentering gir en solid endringshistorikk. Når du skal registrere policyrevisjoner, skriver du en kommentar i tekstfeltet ved siden av Dupliser i bunnteksten på siden Policykatalog. Hvis du har policybrukere konfigurert til å opprette og redigere policyer, varierer alternativene i Status-kolonnen etter tillatelse. Eksempel: McAfee epo-administratorer har full kontroll over alle policyhistoriefunksjoner. Policyadministratorer kan Godkjenne eller Avslå endringer sendt inn av policybrukere. Policybrukere kan overvåke statusen for sine policyer. Statusene erventer på vurdering, Godkjent eller Avslått. Administrere policyhistorie Du kan vise og sammenligne policyhistorieoppføringene, eller reversere til en tidligere versjon av en policy. Før du begynner Du må ha riktige tillatelser for å tilbakestille til en tidligere policyhistorieoppføring. Du trenger bare visningstillatelse for å vise policyhistorieoppføringer. 1 Velg Meny Policy Policyhistorie for å vise Policyhistorie. Ingen Policyhistorie-oppføringer vises for McAfee Default-policyer. Det kan hende du må bruke sidefilteret til å velge en opprettet eller duplisert McAfee Default-policy. 2 Bruk filtrene Produkt, Kategori og Navn til å velge oppføringer i policyhistorien. McAfee epolicy Orchestrator programvare Produktveiledning 199

200 13 Tildeling av policyer Opprette og administrere policyer 3 Når du skal behandle en policy eller en oppføring i Policyhistorie, klikker du på Handlinger og velger en handling. Velg kolonner: Åpner en dialogboks der du kan velge hvilke kolonner som skal vises. Sammenlign policy: Åpner siden Policysammenligning der du kan sammenligne to valgte policyer. Gjeldende versjon av en policy har den nyeste datoen. Når du skal sammenligne gjeldende versjon av en policy med en tidligere policyversjon, velger du den nyeste versjonen og en tidligere versjon. Eksporter tabell: Åpner siden Eksporter der du kan angi pakken og formatet for filene med Policyhistorie-oppføringer som skal eksporteres, og send så filen som e-post. Tilbakestill policy: Tilbakestiller policyen til den valgte policyversjonen Du kan bare velge én målpolicy. Når du tilbakestiller en policy, blir du bedt om å legge til en kommentar til oppføringen i policyhistorien. Redigere tillatelsessett for policyhistorie Konfigurer tillatelsessettene for produktene slik at brukere kan gå tilbake til tidligere versjoner av policyer på siden for policyhistorie. Før du begynner Du må ha nødvendige tillatelser for å endre tillatelsessett. 1 Velg Meny Brukeradministrasjon Tillatelsessett. 2 Klikk på Rediger i Tillatelse-raden for produktet knyttet til policyen, i høyre rute. Velg for eksempel EEFF-policytillatelse for å endre McAfee Endpoint Encryptionpolicytillatelser for filer og mapper. 3 Klikk på Vis og endre policy- og oppgaveinnstillinger og deretter på Lagre. Nå kan du tilbakestille eksisterende policyer til oppføringer i policyhistorien på siden for policyhistorie. Sammenlign policyer Med policysammenligning kan du identifisere forskjellene mellom lignende policyer. Mange av verdiene og variablene inkludert på siden Policysammenligning er spesifikke for hvert enkelt produkt. Se i dokumentasjonen for produktet som leverer policyen du vil sammenligne, for definisjoner av alternativer som ikke er inkludert i tabellen. 1 VelgMeny Policysammenligning. Velg deretter en produktkategori og innstillinger for Vis fra listene. Anbefalt fremgangsmåte: Vil du redusere omfanget data som vises, kan du endre innstillingene for Vis fra Alle policyinnstillinger til Policyforskjeller eller Policysamsvar. Disse innstillingene fyller ut policyene for sammenligning i listene Policy 1 og Policy McAfee epolicy Orchestrator programvare Produktveiledning

201 Tildeling av policyer Flytte og dele policyer mellom McAfee epo-servere 13 2 Velg policyene som skal sammenlignes i raden Sammenlign policyer fra kolonnelistene Policy 1 og Policy 2. De to øverste radene av tabellen viser antall innstillinger som er forskjellige og identiske. 3 Klikk på Skriv ut for å åpne en utskriftsvennlig visning av sammenligningen. Endre eiere av en policy Som standard tildeles eierskapet brukeren som opprettet policyen. Hvis du har nødvendige tillatelser, kan du endre eierskapet til en policy. 1 Velg Meny Policy Policykatalog, og velg Produkt og Kategori. Alle opprettede policyer for den valgte kategorien vises i detaljer-ruten. 2 Finn ønsket policy, og klikk på eieren av policyen. Siden for policyeierskap vises. 3 Velg policyeiere i listen, og klikk deretter på OK. Flytte og dele policyer mellom McAfee epo-servere I miljøer med flere McAfee epo-servere kan du flytte og dele policyer for å slippe å opprette dem på nytt på hver server. Du kan bare flytte og dele policyer med like eller eldre versjoner av McAfee epo. Du kan for eksempel dele en policy opprettet på en versjon 5.3-server med en 5.1 server, men du kan ikke dele en policy fra en 5.1-server på en 5.3 server. r Registrere servere for policydeling på side 201 Registrer servere for policydeling. Angi policyer for deling på side 202 Du kan utpeke en policy for deling blant flere McAfee epo-servere. Planlegge serveroppgaver for å dele policyer på side 202 Serveroppgaven Del policyer sikrer at eventuelle endringer du gjør i delte policyer, overføres til delingsaktiverte McAfee epo-servere. Se også Arbeide med policyer på side 65 Registrere servere for policydeling Registrer servere for policydeling. McAfee epolicy Orchestrator programvare Produktveiledning 201

202 13 Tildeling av policyer Flytte og dele policyer mellom McAfee epo-servere 1 Velg Meny Konfigurasjon Registrerte servere, og klikk deretter på Ny server. Bygger for registrerte servere åpnes på siden Beskrivelse. 2 I menyen Servertype velger du epo, angir et navn og eventuelle merknader, og klikker deretter på Neste. Siden Detaljer vises. 3 Angi detaljer for serveren, og klikk på Aktiver i feltet Policydeling, og klikk deretter på Lagre. Angi policyer for deling Du kan utpeke en policy for deling blant flere McAfee epo-servere. 1 Velg Meny Policy Policykatalog, klikk deretter på menyen Produkt, og velg produktet du vil dele policyene for. 2 I kolonnen Handlinger for policyen som skal deles, klikker du på Del. Delte policyer sendes automatisk via push til McAfee epo-servere når policydeling er aktivert. Når du klikker på Del i trinn 2, blir policyen umiddelbart sendt via push til alle registrerte McAfee epo-servere som har aktivert policydeling. Endringer i delte policyer blir også sendt via push. Planlegge serveroppgaver for å dele policyer Serveroppgaven Del policyer sikrer at eventuelle endringer du gjør i delte policyer, overføres til delingsaktiverte McAfee epo-servere. Hvis du har angitt et langt serveroppgaveintervall eller deaktiverer serveroppgaven Del policyer, anbefaler vi at du kjører oppgaven manuelt når du har redigert delte policyer. 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 På siden Beskrivelse angir du navnet på oppgaven og eventuelle notater. Deretter klikker du på Neste. Nye serveroppgaver aktiveres som standard. Hvis du ikke vil at denne oppgaven skal aktiveres, velger du Deaktivert i feltet Tidsplanstatus. 3 Velg Del policyer fra rullegardinlisten Handlinger og klikk på Neste. 4 Angi tidsplanen for denne oppgaven og klikk på Neste. 5 Gjennomgå sammendragsdetaljene, og klikk deretter på Lagre. 202 McAfee epolicy Orchestrator programvare Produktveiledning

203 Tildeling av policyer Opprette og administrere policytildelingsregler 13 Opprette og administrere policytildelingsregler Konfigurer policytildelingsregler for å forenkle policyadministrasjon. r Opprette policytildelingsregler på side 203 Ved å opprette policytildelingsregler kan du håndheve policyer for brukere eller systemer basert på konfigurerte regelkriterier. Administrere policytildelingsregler på side 203 Utføre vanlige administrasjonsoppgaver når du arbeider med policytildelingsregler. Opprette policytildelingsregler Ved å opprette policytildelingsregler kan du håndheve policyer for brukere eller systemer basert på konfigurerte regelkriterier. 1 Åpne policytildelingsbygger. a Velg Meny Policy Policytildelingsregler. b Klikk på Ny tildelingsregel. 2 Angi detaljene for denne policytildelingsregelen, herunder: Et unikt navn og en beskrivelse. Regeltypen du angir, bestemmer hvilke kriterier som er tilgjengelige på siden Utvalgskriterier. Prioriteten for nye policytildelingsregler er som standard tildelt sekvensielt, basert på antallet eksisterende regler. Når regelen er opprettet, kan du redigere prioriteten ved å klikke på Rediger prioritet på siden Policytildelingsregler. 3 Klikk på Neste. 4 Klikk på Legg til policy for å velge policyene du vil håndheve med denne policytildelingsregelen. 5 Klikk på Neste. 6 Angi kriteriene du vil bruke i denne regelen. De valgte kriteriene bestemmer hvilke systemer eller brukere som er tildelt denne policyen. 7 Se gjennom sammendraget, og klikk på Lagre. Administrere policytildelingsregler Utføre vanlige administrasjonsoppgaver når du arbeider med policytildelingsregler. McAfee epolicy Orchestrator programvare Produktveiledning 203

204 13 Tildeling av policyer Policyadministrasjonsbrukere 1 Velg Meny Policy Policytildelingsregler. 2 Utfør en av disse oppgavene: Rediger en policytildelingsregel: Utfør disse trinnene: 1 Klikk på valgt tildeling. Policytildelingsbyggeren åpnes. 2 Jobb gjennom hver side for å endre denne policytildelingsregelen, og klikk på Lagre. Slette en policytildelingsregel: Klikk på Slett i den valgte tildelingsraden. Redigere prioritet for en policytildelingsregel: Utfør disse trinnene: 1 Velg Handlinger Rediger prioritetog Rediger prioritet-siden åpnes. 2 Ta tak i spaken og dra raden opp eller ned i listen for å endre prioriteten, og klikk på Lagre. Vis sammendraget for en policytildelingsregel: Klikk på > i den valgte tildelingsraden. Raden utvides for å vise sammendragsinformasjonen. Policyadministrasjonsbrukere Som McAfee epo-administrator kan du tildele ulike tillatelsessett til ulike policybrukere, slik at de kan opprette og endre spesifikke produktpolicyer. Noen brukere kan godkjenne eller avslå policyendringer i policyer sendt inn av andre brukere. Policyer kan administreres av tre brukere med ulike tillatelser. McAfee epo-administratoren oppretter de to andre brukernivåene og tillatelsene. Som McAfee epo-administrator kan du opprette brukere med hierarkiske nivåer av policytillatelser. Du kan for eksempel opprette disse policybrukerne: Policyadministrator: Kan godkjenne policyer opprettet og endret av andre brukere. Policybruker: Kan duplisere og opprette policyer som de sender til policyadministratoren for godkjenning før bruk. Oversikt over oppretting av forskjellige policybrukere Som McAfee epo-administrator følger du denne fremgangsmåten for å opprette policyadministrator og policybruker: 1 I Serverinnstillinger, aktiver Policyadministrasjon. 2 Opprett forskjellige tillatelsessett for policyadministratoren og policybrukeren i Tillatelsessett. 3 Opprett policyadministrator og policybruker i Brukeradministrasjon og tildel dem manuelt de forskjellige tillatelsessettene. Oversikt over policybruker- og policyadministratorprosesser Når policybrukeren og policyadministratoren er opprettet, kan de utføre disse policyoppgavene: 204 McAfee epolicy Orchestrator programvare Produktveiledning

205 Tildeling av policyer Policyadministrasjonsbrukere 13 Policybrukeren: 1 Kan duplisere, endre eller opprette policyer i policykatalogen for sine tildelte typer, og sende dem til policyadministratoren for godkjenning. 2 Kan overvåke statusen for godkjenningen fra policyadministratoren i policyhistorien. Policyadministratoren kan gjøre alt som policybrukeren kan gjøre, pluss å godkjenne eller avslå policyendringer sendt inn av policybrukere, på siden Policyhistorie. Anbefalt fremgangsmåte: Angi policyadministrasjon globalt Som administrator kan du bruke serverinnstillinger til å konfigurere Policyadministrasjon globalt, slik at brukere kan endre eller opprette policyer med eller uten administratorgodkjenning. Før du begynner Du må ha administratorrettigheter for å endre policyadministrasjon. 1 Endre innstillingene for Policyadministrasjon ved å velge Meny Konfigurasjon Serverinnstillinger. Deretter velger du Policyadministrasjon og klikker på Rediger. 2 Velg ett av følgende alternativer i Rediger policyadministrasjon og klikk på Lagre: Tabell 13-1 Definisjoner av alternativer Alternativ Må godkjennes av administrator Definisjon Tvinger brukerne til å be om godkjenning fra administratoren før de kan lagre en ny eller endret policy. Administratorer kan gi brukere tillatelse til å godkjenne eller avslå policyendringer i Tillatelsessett under Policyadministrasjon. Må ikke godkjennes av administrator Tillater at brukeren lagrer en ny eller endret policy uten administratorgodkjenning. 3 (Valgfritt) Opprett tillatelsessett for policyadministrasjon for å endre policyadministrasjon for enkeltbrukere. Se også Opprette tillatelsessett for policyadministrasjon på side 205 Opprette tillatelsessett for policyadministrasjon Som administrator kan du opprette tillatelsessett for forskjellige policybrukernivåer. Tillatelsessett gir noen policybrukere tillatelse til å opprette og endre policyer, og noen policybrukere får tillatelse til å godkjenne eller avslå policyer opprettet av andre brukere. Før du begynner Du må ha administratorrettigheter for å endre Tillatelsessett. Som hjelp til å administrere policyopprettingen, kan du opprette tillatelsessett for brukere som kan opprette og endre spesifikke produktpolicyer. Du kan for eksempel opprette tillatelsessett som tillater én bruker å endre policyer, og gir en annen bruker tillatelse til å godkjenne eller avslå disse endringene. McAfee epolicy Orchestrator programvare Produktveiledning 205

206 13 Tildeling av policyer Policyadministrasjonsbrukere Denne fremgangsmåten beskriver hvordan du oppretter to forskjellige tillatelsessett: Sett for policybrukere (policyuserps): Gir policybrukeren tillatelse til å opprette og endre spesifikke produktpolicyer, men policyendringer må godkjennes før policyen lagres. Tillatelsessett for policyadministrator (policyadminps): Gir policyadministratoren tillatelse til å opprette og endre spesifikke produktpolicyer samt å godkjenne eller avslå endringene opprettet av policybrukere. 1 Opprett de to tillatelsessettene ved å velge Meny Brukeradministrasjon Tillatelsessett og klikke på Nye tillatelsessett. 2 Opprett tillatelsessettet for policyadministrator fra siden Nytt tillatelsessett ved å skrive navnet, for eksempel policyadminps, og klikke på Lagre. 3 Merk policyadminps-tillatelsessettet, bla ned til raden Policyadministrasjon og klikk på Rediger. 4 Velg Kan lagre policyendringer direkte og godkjenne eller avslå policyendringer sendt inn av andre brukere på siden Rediger tillatelsessett policyadminps: Policyadministrasjon og klikk på Lagre. Dette gir policyadministratoren tillatelse til å godkjenne eller avslå policyendringer for andre brukere uten administratorgodkjenning. 5 Kontroller at tillatelsessettet policyadminps fremdeles er merket, og bla ned til en innstilling, for eksempel raden Endpoint Security Common, og klikk på Rediger. 6 På siden Rediger tillatelsessett policyadminps: Endpoint Security Common, velg Vis og endre policy- og oppgaveinnstillinger og klikk på Lagre. Dette gir policyadministratoren tillatelse til å foreta policyendringer i policyene for Endpoint Security Common. Fortsett å velge innstillinger og konfigurere redigeringstillatelsene etter behov. 7 Når du skal duplisere tillatelsessettet for policyadministratoren og opprette tillatelsessettet for policybrukeren, klikker du på Handlinger Dupliser. 8 Skriv navnet på tillatelsessettet for policybrukeren i popup-vinduet Handlinger: Dupliser, for eksempel policyuserps, og klikk på OK. Disse to trinnene oppretter et duplikat av tillatelsessettet for policyadministrator. Den følgende endringen oppretter tillatelsessettet for policybrukeren (policyuserps). 9 Klikk på tillatelsessettet policyuserps opprettet i trinn 7, i listen Tillatelsessett. 10 Bla ned til raden Policyadministrasjon og klikk på Rediger. 11 Velg policygodkjenningsinnstillingen Ingen tillatelser på siden Rediger tillatelsessett policyuserps: Policyadministrasjon og klikk på Lagre: Denne innstillingen tvinger brukerne tildelt til dette tillatelsessettet til å be om godkjenning fra administratoren før de kan lagre en ny eller endret policy. Nå har du opprettet de to tillatelsessettene som skal brukes når du oppretter de to brukerne policybruker og policyadministrator. Se også Opprette policyadministrasjonsbrukere på side McAfee epolicy Orchestrator programvare Produktveiledning

207 Tildeling av policyer Policyadministrasjonsbrukere 13 Opprette policyadministrasjonsbrukere Som administrator kan du opprette forskjellige policybrukernivåer med forskjellige tillatelsessett, slik at en bruker kan opprette og endre policyer og en administratorbruker kan godkjenne eller avslå policyendringer. Før du begynner Du må ha administratorrettigheter for å opprette brukere i Brukeradministrasjon. Denne fremgangsmåten beskriver hvordan du oppretter to forskjellige brukere: Policybruker (policyuser): policyuser kan opprette og endre spesifikke produktpolicyer, men policyendringene må godkjennes av policyadministrator før policyen lagres. Policyadministrator (policyadmin): policyadmin kan opprette og endre spesifikke produktpolicyer samt godkjenne eller avslå endringene opprettet av policybrukere. 1 Åpne siden Brukeradministrasjon: Klikk på Meny Brukeradministrasjon Brukere. 2 Følg denne fremgangsmåten for å opprette policybrukeren (policyuser). a Klikk på Ny bruker. b c d e f g Skriv et brukernavn. For eksempel policyuser. Velg Aktiver for kontoens påloggingsstatus. Velg om den nye kontoen skal bruke McAfee epo-godkjenning, Windows-godkjenning eller Sertifikatbasert godkjenning, oppgi nødvendig legitimasjon eller bla gjennom og velg sertifikatet. Alternativt kan du oppgi brukerens fullstendige navn, e-postadresse og telefonnummer og en beskrivelse i tekstboksen Notater. Velg tillatelsessettet for policybruker du opprettet i Administrator oppretter tillatelsessett for brukerpolicyadministrasjon. Velg for eksempel policyuserps. Klikk på Lagre for å gå tilbake til fanen Brukere. Den nye policybrukeren vises i listen Brukere på siden Brukeradministrasjon. 3 Følg denne fremgangsmåten for å opprette policyadministratoren (policyadmin). a Klikk på Ny bruker. b c d e f g Skriv et brukernavn. For eksempel policyadmin. Velg Aktiver for kontoens påloggingsstatus. Velg om den nye kontoen skal bruke McAfee epo-godkjenning, Windows-godkjenning eller Sertifikatbasert godkjenning, oppgi nødvendig legitimasjon eller bla gjennom og velg sertifikatet. Alternativt kan du oppgi brukerens fullstendige navn, e-postadresse og telefonnummer og en beskrivelse i tekstboksen Notater. Velg tillatelsessettet for policybruker du opprettet i Opprette tillatelsessett for policyadministrasjon. Velg for eksempel policyadminps. Klikk på Lagre for å gå tilbake til fanen Brukere. Den nye policyadministratoren vises i listen Brukere på siden Brukeradministrasjon. McAfee epolicy Orchestrator programvare Produktveiledning 207

208 13 Tildeling av policyer Policyadministrasjonsbrukere Nå har du to policybrukere. Én policybruker som kan endre policyer, og en policyadministrator som kan godkjenne eller avslå disse endringene. Sende policyendringer til godkjenning Policybrukere som ikke er administratorer, kan opprette og endre policyer, Men hvis administratoren har konfigurert det, kan det hende de må sende policyen til gjennomgang av administratoren eller en policyadministrator. Før du begynner Du må ha konfigurert serverinnstillinger og brukertillatelsessett for å tillate brukere å sende inn policyer for godkjenning. 1 Opprett og vedlikehold policyer. Policybrukere har bare tilgang til policyer og innstillinger konfigurert av administratoren i sitt tildelte tillatelsessett. 2 Når du kommer til trinnet der du skal lagre policyen i policyprosessen, klikker du på Send til gjennomgang. Dette sender policyen til administratoren for å bli godkjent eller avslått. 3 Hvis du vil sjekke statusen for policygodkjenningen, velger du Meny Policy Policyhistorie. 4 Bruk filtrene Produkt, Kategori og Navn til å velge oppføringer i policyhistorien som skal sjekkes. 5 I Status-kolonnen vil du se en av disse oppføringene som beskriver administratorens handling: Venter på gjennomgang: Er ikke gjennomgått. Avslått: Er avslått og ikke lagret. Godkjent: Er godkjent og lagret. Se også Opprette og administrere policyer på side 196 Opprette tillatelsessett for policyadministrasjon på side 205 Godta policyendringer Som policyadministrator må du godkjenne eller avslå forespørsler sendt inn av policybrukere. Før du begynner Du må ha konfigurert serverinnstillinger og brukertillatelsessett for å tillate brukere å sende inn policyer for godkjenning. 208 McAfee epolicy Orchestrator programvare Produktveiledning

209 Tildeling av policyer Tildele policyer i administrerte systemer 13 1 Når du skal endre statusen for policyen som er sendt tinn til gjennomgang, velger du Meny Policy Policyhistorie. 2 Bruk filtrene Produkt, Kategori og Navn til å velge oppføringer i policyhistorien som skal sjekkes. 3 Velg en av disse koblingene relatert til den innsendte policyen, i kolonnen Policystatus: Godtatt: Policyen er lagret og klar til bruk. Avslått: Policyen er avslått og ikke lagret. Tildele policyer i administrerte systemer Tildel policyer til en gruppe eller til spesifikke systemer i systemtreet. Du kan tildele policyer før eller etter at et produkt distribueres. Vi anbefaler at du tildeler policyer på så høyt nivå som mulig, slik at gruppene og undergruppene under arver policyen. r Tildele en policy til en systemtregruppe på side 209 Tildele en policy til en bestemt gruppe i systemtreet. Tildele en policy til et administrert system på side 210 Tildele en policy til et bestemt administrert system. Tildele en policy til systemer i en systemtregruppe på side 210 Tildele en policy til flere administrerte systemer innen en gruppe. Tildele en policy til en systemtregruppe Tildele en policy til en bestemt gruppe i systemtreet. 1 Velg Meny Systemer Systemtre, klikk på kategorien Tildelte policyer og velg et produkt. Hver tildelte policy vises i detaljer-ruten per kategori. 2 Finn ønsket policykategori, og klikk deretter på Rediger tildeling. 3 Velg Bryt arv og tildel policyen og innstillingene nedenfor ved siden av Arvet fra hvis policyen er arvet. 4 Velg policyen fra rullegardinlisten Tildelt policy. Fra denne plasseringen kan du også redigere innstillingene for den valgte policyen eller opprette en policy. McAfee epolicy Orchestrator programvare Produktveiledning 209

210 13 Tildeling av policyer Tildele policyer i administrerte systemer 5 Du kan velge å låse policyarven. Låsing av policyarv forhindrer at systemer som arver denne policyen, kan få tildelt en annen policy i stedet. 6 Klikk på Lagre. Tildele en policy til et administrert system Tildele en policy til et bestemt administrert system. 1 Velg Meny Systemer Systemtre, klikk på kategorien Systemer og velg en gruppe under Systemtre. Alle systemer i denne gruppen (ikke undergrupper) vises i detaljer-ruten. 2 Velg et system, og klikk deretter på Handlinger Agent Endre policyer på ett system. Siden Policytildeling for det aktuelle systemet åpnes. 3 Velg et produkt. Kategoriene for det valgte produktet er angitt sammen med systemets tildelte policy. 4 Finn ønsket policykategori, og klikk deretter på Rediger tildelinger. 5 Velg Bryt arv og tildel policyen og innstillingene nedenfor ved siden av Arvet fra hvis policyen er arvet. 6 Velg policyen fra rullegardinlisten Tildelt policy. Her kan du også redigere innstillingene for den valgte policyen eller opprette en policy. 7 Du kan velge å låse policyarven. Låsing av policyarv forhindrer at systemer som arver denne policyen, kan få tildelt en annen policy i stedet. 8 Klikk på Lagre. Tildele en policy til systemer i en systemtregruppe Tildele en policy til flere administrerte systemer innen en gruppe. 1 Velg Meny Systemer Systemtre, klikk på kategorien Systemer og velg en gruppe i systemtreet. Alle systemer i denne gruppen (ikke undergrupper) vises i detaljer-ruten. 2 Velg ønskede systemer, og klikk på Handlinger Agent Angi policy og arv. Siden Tildel policy vises. 3 Velg Produkt, Kategori, og Policy fra rullegardinlisten. 4 Velg enten Tilbakestill arv eller Bryte arv, og klikk på Lagre. 210 McAfee epolicy Orchestrator programvare Produktveiledning

211 Tildeling av policyer Kopier and lim inn policytildelinger 13 Kopier and lim inn policytildelinger Kopier og lim inn policytildelinger mellom grupper og systemer fra ulike deler av systemtreet. r Kopiere policytildelinger fra en gruppe på side 211 Du kan bruke Kopier tildelinger til å kopiere policytildelinger fra en gruppe i systemtreet. Kopiere policytildelinger fra et system på side 211 Du kan bruke Kopier tildelinger til å kopiere policytildelinger fra et bestemt system. Lime inn policytildelinger i en gruppe på side 211 Du kan lime inn policytildelinger i en gruppe etter at du har kopiert dem fra en gruppe eller et system. Lime inn policytildelinger til et spesifikt system på side 212 Du kan lime inn policytildelinger i et bestemt system etter at du har kopiert policytildelingene fra en gruppe eller et system. Kopiere policytildelinger fra en gruppe Du kan bruke Kopier tildelinger til å kopiere policytildelinger fra en gruppe i systemtreet. 1 Velg Meny Systemer Systemtre, klikk på kategorien Tildelte policyer og velg en gruppe i systemtreet. 2 Klikk på Handlinger Kopier tildelinger. 3 Velg produktene eller funksjonene der du vil kopiere policytildelinger, og klikk på OK. Kopiere policytildelinger fra et system Du kan bruke Kopier tildelinger til å kopiere policytildelinger fra et bestemt system. 1 Velg Meny Systemer Systemtre, klikk på kategorien Systemer og velg en gruppe i systemtreet. Systemene som tilhører den valgte gruppen, vises i detaljer-ruten. 2 Velg et system, og klikk deretter på Handlinger Agent Endre policyer på ett system. 3 Klikk på Handlinger Kopier tildelinger, velg produktene eller funksjonene der du vil kopiere policytildelinger, og klikk på OK. Lime inn policytildelinger i en gruppe Du kan lime inn policytildelinger i en gruppe etter at du har kopiert dem fra en gruppe eller et system. McAfee epolicy Orchestrator programvare Produktveiledning 211

212 13 Tildeling av policyer Vise policyinformasjon 1 Velg Meny Systemer Systemtre, klikk på kategorien Tildelte policyer og velg ønsket gruppe i systemtreet. 2 Klikk på Handlinger og velg Lim inn tildelinger i detaljruten. Hvis gruppen allerede har policyer angitt for enkelte kategorier, vises siden Overstyr policytildelinger. Når du limer inn policytildelinger, vises policyen Håndheve policyer og oppgaver i listen. Denne policyen kontrollerer håndhevelsesstatusen for andre policyer. 3 Velg policykategoriene du vil erstatte med de kopierte policyene, og klikk deretter på OK. Lime inn policytildelinger til et spesifikt system Du kan lime inn policytildelinger i et bestemt system etter at du har kopiert policytildelingene fra en gruppe eller et system. 1 Velg Meny Systemer Systemtre, klikk på kategorien Systemer og velg en gruppe i systemtreet. Alle systemene som tilhører den valgte gruppen, vises i detaljer-ruten. 2 Velg systemet du vil lime inn policytildelinger i, og klikk deretter på Handlinger Agent Endre policyer på ett system. 3 I detaljer-ruten klikker du på Handlinger Lim inn tildelinger. Hvis systemet allerede har tildelte policyer for noen kategorier, vises siden Overstyre policytildelinger. Når du limer inn policytildelinger, vises policyen Håndheve policyer og oppgaver i listen. Denne policyen kontrollerer håndhevelsesstatusen for andre policyer. 4 Bekreft erstatningen av tildelinger. Vise policyinformasjon Vis detaljert informasjon om policyer, herunder policyeiere, tildelinger og arv. 212 McAfee epolicy Orchestrator programvare Produktveiledning

213 Tildeling av policyer Vise policyinformasjon 13 r Vise grupper og systemer hvor en policy er tildelt på side 213 Vis tildelingssiden for Policykatalog for å se gruppen eller systemene som arver policyen. Vis policyinnstillinger på side 213 Vise detaljer for en policy som er tildelt en produktkategori eller et system. Vise policyeierskap på side 214 Vise eiere av en policy. Vise tildelinger hvor policyhåndhevelse er deaktivert på side 214 Vise tildelinger hvor policyhåndhevelse, per policykategori, er deaktivert. Vise policyer som er tildelt en gruppe på side 214 Vis policyer som er tildelt en Systemtregruppe, sortert etter produkt. Vise policyer som er tildelt et spesifikt system på side 214 Vis en liste over alle policyene tildelt til et system, fra én sentral plassering i systemtreet. Vise policyarv for en gruppe på side 215 Vis policyarven for en bestemt gruppe. Vise og tilbakestille brutt arv på side 215 Identifiser grupper og systemer der policyarven er brutt. Opprette spørringer for policyadministrasjon på side 215 Hent policyene som er tildelt et administrert system, eller brutte policyer i systemhierarkiet. Vise grupper og systemer hvor en policy er tildelt Vis tildelingssiden for Policykatalog for å se gruppen eller systemene som arver policyen. Den overordnede Policykatalog-siden viser bare antallet policytildelinger, ikke gruppen eller systemet som arver policyen. Eksempel: I den generelle kategorien for McAfee Default-policy i McAfee Agent-produktet i Produktkatalogen er denne policyen som standard tildelt den globale rotnode- og gruppenodetypen. 1 Velg Meny Policy Policykatalog, og velg produkt og kategori. Alle opprettede policyer for den valgte kategorien vises i detaljer-ruten. 2 Under Tildelinger på raden til policyen klikker du på koblingen som angir antallet grupper eller systemer policyen er tildelt (for eksempel, 6 tildelinger). På siden Tildelinger vises hver gruppe eller hvert system hvor policyen er tildelt, sammen med nodenavn og nodetype. Vis policyinnstillinger Vise detaljer for en policy som er tildelt en produktkategori eller et system. Policyen tildelt til en Systemtre-gruppe eller et system, kan for eksempel fortelle deg håndhevelsesintervallet for policyen, videresendingsintervallet for prioritert hendelse eller om node-til-node-kommunikasjon er aktivert. 1 Velg Meny Policy Policykatalog, og velg produkt og kategori. Alle opprettede policyer for den valgte kategorien vises i detaljer-ruten. McAfee epolicy Orchestrator programvare Produktveiledning 213

214 13 Tildeling av policyer Vise policyinformasjon 2 Klikk på policynavnkoblingen. Policysiden og innstillingene for disse vises. Du kan også vise denne informasjonen når du åpner tildelte policyer for en bestemt gruppe. Du får tilgang til denne informasjonen ved å velge Meny Systemer Systemtre, klikke på Tildelte policyer-fanen og deretter klikke på koblingen for den valgte policyen i Policy-kolonnen. Vise policyeierskap Vise eiere av en policy. 1 Velg Meny Policy Policykatalog, og velg produkt og kategori. Alle opprettede policyer for den valgte kategorien vises i detaljer-ruten. 2 Eierne av policyen vises under Eier. Vise tildelinger hvor policyhåndhevelse er deaktivert Vise tildelinger hvor policyhåndhevelse, per policykategori, er deaktivert. Vanligvis vil du ha policyhåndhevelse aktivert. Bruk denne oppgaven til å finne eventuelle policyer som ikke håndheves, og endre konfigurasjonen deres. 1 Velg Meny Policy Policykatalog, og velg produkt og kategori. Alle opprettede policyer for den valgte kategorien vises i detaljer-ruten. 2 Klikk på koblingen ved siden av Produkthåndhevelsesstatus, som angir antall tildelinger hvor håndhevelse er deaktivert, hvis noen. Siden Håndhevelse for <policy name> vises. 3 Gå til Systemtre Tildelte policyer-siden for å endre håndhevelsespolicy for den oppførte policyen. Vise policyer som er tildelt en gruppe Vis policyer som er tildelt en Systemtregruppe, sortert etter produkt. Hvis du for eksempel har forskjellige policyer tildelt til servere og arbeidsstasjongrupper, bruker du denne oppgaven til å bekrefte at disse policyene er riktig angitt. 1 Velg Meny Systemer Systemtre, klikk på kategorien Tildelte policyer og velg en gruppe i systemtreet. Alle tildelte policyer vises i detaljer-ruten, organisert etter produkt. 2 Klikk på en policykobling for å vise policyinnstillingene. Vise policyer som er tildelt et spesifikt system Vis en liste over alle policyene tildelt til et system, fra én sentral plassering i systemtreet. Hvis du for eksempel har forskjellige policyer tildelt til bestemte systemer, bruker du denne oppgaven til å bekrefte at disse policyene er riktig angitt. 214 McAfee epolicy Orchestrator programvare Produktveiledning

215 Tildeling av policyer Vise policyinformasjon 13 1 VelgMeny Systemer Systemtre, klikk på Systemer-fanen, og velg deretter en gruppe i systemtreet. Alle systemer som tilhører denne gruppen, vises i detaljer-ruten. 2 Klikk på navnet på et system for å vise detaljer på siden Systeminformasjon. Klikk deretter på fanen Brukte policyer. Vise policyarv for en gruppe Vis policyarven for en bestemt gruppe. Hvis du for eksempel har policyarv konfigurert for forskjellige grupper, bruker du denne oppgaven til å bekrefte at policyarven er riktig stilt inn. 1 Velg Meny Systemer Systemtre. 2 Klikk på kategorien Tildelte policyer. Alle tildelte policyer vises i detaljer-ruten, organisert etter produkt. Policyraden, under Arv fra, viser navnet på gruppen som policyen ble arvet fra. Vise og tilbakestille brutt arv Identifiser grupper og systemer der policyarven er brutt. Hvis du for eksempel har konfigurert policyer med brutt arv for noen grupper, bruker du denne oppgaven til å bekrefte at policyene er riktig stilt inn. 1 Velg Meny Systemer Systemtre og klikk på kategorien Tildelte policyer. Alle tildelte policyer vises i detaljer-ruten, organisert etter produkt. Policyraden, under Brutt arv, viser antallet grupper og systemer hvor policyens arv er brutt. Dette er antallet grupper eller systemer hvor policyarven er brutt, ikke antallet systemer som ikke arver policyen. Hvis én gruppe for eksempel ikke arver denne policyen vises 1 arver ikke, uansett antallet systemer i denne gruppen. 2 Klikk på koblingen som angir antallet underordnede grupper eller systemer som har brutt arv. Siden Vis brutt arv viser en liste over navnene på disse gruppene og systemene. 3 Hvis du vil tilbakestille arv for noen av disse, velger du avmerkingsboksen ved siden av navnet, klikker deretter på Handlinger og velger Tilbakestill arv. Opprette spørringer for policyadministrasjon Hent policyene som er tildelt et administrert system, eller brutte policyer i systemhierarkiet. Du kan opprette en av følgende policyadministrasjonsspørringer: Tildelte policyer Henter policyer som er tildelt et angitt administrert system. Brutt arv Henter informasjon om policyer som er brutt i systemhierarkiet. McAfee epolicy Orchestrator programvare Produktveiledning 215

216 13 Tildeling av policyer Vise policyinformasjon 1 Velg Meny Rapportering Spørringer og rapporter, og klikk på Ny spørring. Spørringsbygger åpnes. 2 Velg Policyadministrasjon i listen Funksjonsgruppe på siden Resultattype. 3 Velg en resultattype og klikk på Neste for å åpne siden Diagram: Anvendte klientoppgaver Tildelte policyer Brutt arv for klientoppgavetildeling Brutt arv for policytildeling 4 Velg typen diagram eller tabell hovedresultatene fra spørringen skal vises i, og klikk på Neste. Siden Kolonner åpnes. Hvis du velger Boolsk sektordiagram, konfigurerer du kriteriene du vil inkludere i spørringen. 5 Velg kolonnene som skal inkluderes i spørringen, og klikk på Neste. Siden Filter åpnes. 6 Velg egenskaper for å avgrense søkeresultatene og klikk på Kjør. Resultatene fra spørringen vises på siden for ikke-lagrede spørringer. Du kan utføre handlinger på disse resultatene. Valgte egenskaper vises i innholdsruten. Her vises også operatorer som kan angi kriterier som avgrenser dataene som returneres for de aktuelle egenskapene. 7 På siden for ikke-lagrede spørringer kan du foreta tilgjengelige handlinger på elementer i en tabell eller detaljvisningstabell. Hvis spørringen ikke ga de forventede resultatene, kan du klikke på Rediger spørring for å gå tilbake til spørringsbyggeren og redigere detaljene for spørringen. Klikk på Lukk hvis du ikke vil lagre spørringen. Hvis du vil bruke denne spørringen på nytt, kan du klikke på Lagre og fortsette til neste trinn. 8 På siden for lagring av spørring kan du skrive et navn på spørringen, legge til eventuelle merknader og velge ett av følgende: Ny gruppe Angi det nye gruppenavnet, og velg enten: Privat gruppe (mine grupper) Offentlig gruppe (delte grupper) Eksisterende gruppe Velg gruppen i listen over Delte grupper. 9 Klikk på Lagre. 216 McAfee epolicy Orchestrator programvare Produktveiledning

217 14 Server- og klientoppgaver Bruk server- og klientoppgaver til å automatisere McAfee epo og administrere systemprosesser. McAfee epo inkluderer forhåndskonfigurerte serveroppgaver og handlinger. De fleste ekstra programvareproduktene du administrerer med McAfee epo, legger også til forhåndskonfigurerte server- og klientoppgaver. Innhold Serveroppgaver Klientoppgaver Serveroppgaver Serveroppgaver er konfigurerbare handlinger som kjøres på McAfee epo etter en tidsplan. Bruk serveroppgaver til å automatisere repeterende oppgaver. McAfee epo inkluderer forhåndskonfigurerte serveroppgaver og handlinger. De fleste ekstra programvareproduktene du administrerer med McAfee epo, legger også til forhåndskonfigurerte serveroppgaver. Vise serveroppgaver Serveroppgaveloggen viser statusen for serveroppgaven, og viser eventuelle feil som har oppstått. 1 Åpne serveroppgaveloggen: Velg Meny Automatisering Serveroppgavelogg. 2 Sorter og filtrer tabellen for å fokusere på relevante oppføringer. Klikk på Velg kolonner for å endre hvilke kolonner som vises. Klikk på en kolonnetittel for å sortere tabelloppføringer. Hvis du vil skjule urelaterte oppføringer, velg et filter fra rullegardinlisten. 3 Klikk på en oppføring for å vise flere detaljer. Serveroppgavestatus Status for hver serveroppgave vises i Status-kolonnen i serveroppgaveloggen. Status Venter Pågår Definisjon Serveroppgaven venter på at andre oppgaver skal fullføres. Serveroppgaven pågår, men er ikke fullført. McAfee epolicy Orchestrator programvare Produktveiledning 217

218 14 Server- og klientoppgaver Serveroppgaver Status Stoppet midlertidig Stoppet Mislyktes Fullført Venter på avslutning Avsluttet Definisjon En bruker har satt serveroppgaven på pause. En bruker har stoppet serveroppgaven. Serveroppgaven startet, men ble ikke vellykket fullført. Serveroppgaven er fullført. En bruker har bedt om å avslutte serveroppgaven. En bruker lukket serveroppgaven manuelt før den var fullført. Opprette en serveroppgave Opprett serveroppgaver for å planlegge en rekke handlinger som skal kjøres etter en bestemt tidsplan. Hvis du vil at McAfee epo skal kjøre bestemte handlinger uten manuell inngripen, er en serveroppgave den beste løsningen. 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 Gi oppgaven et egnet navn, fastsett om oppgaven har en tidsplanstatus og klikk på Neste. Hvis du vil at oppgaven skal kjøres automatisk, angir du Tidsplanstatus til Aktivert. 3 Velg og konfigurer handlingen for oppgaven, og klikk deretter på Neste. 4 Velg tidsplantypen (hyppigheten), startdatoen, sluttdatoen og tidsplanen for når oppgaven skal kjøres, og klikk på Neste. Tidsplanopplysningene blir bare brukt hvis du aktiverer Tidsplanstatus. 5 Klikk på Lagre for å lagre serveroppgaven. Den nye oppgaven vises i listen Serveroppgaver. Fjerne foreldede serveroppgaver fra serveroppgaveloggen: Anbefalt fremgangsmåte Fjern regelmessig foreldede serveroppgaveoppføringer fra serveroppgaveloggen for å forbedre databaseytelsen. Elementer som fjernes fra serveroppgaveloggen, slettes for godt. 1 Åpne serveroppgaveloggen: Velg Meny Automatisering Serveroppgavelogg. 2 Klikk på Tøm. 218 McAfee epolicy Orchestrator programvare Produktveiledning

219 Server- og klientoppgaver Serveroppgaver 14 3 Oppgi et tall i dialogboksen Tøm, og velg en tidsenhet. 4 Klikk på OK. Alle elementer med denne alderen eller eldre slettes, også elementer som ikke vises. Antall fjernede elementer vises nederst til høyre på siden. Opprett en serveroppgave for å fjerne foreldede elementer automatisk. Fjerne foreldede loggelementer automatisk Bruk en serveroppgave til å fjerne gamle oppføringer automatisk fra en tabell eller logg, for eksempel avsluttede problemer eller foreldede brukerhandlingsoppføringer. Elementer som fjernes fra en logg, slettes for godt. 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 Angi et navn på og en beskrivelse av serveroppgaven. 3 Aktiver eller deaktiver tidsplanen for serveroppgaven og klikk på Neste. Serveroppgaven kjører ikke før den er aktivert. 4 Velg en tømmehandling fra rullegardinlisten, for eksempel Tøm serveroppgavelogg. 5 Skriv et tall og velg en tidsenhet ved siden av Tøm oppføringer eldre enn, og klikk på Neste. 6 Planlegg serveroppgaven, og klikk på Neste. 7 Gjennomgå detaljene for serveroppgaven. Klikk på Tilbake for å gjøre endringer. Klikk på Lagre hvis alt er riktig. Den nye serveroppgaven vises på siden Serveroppgaver. Foreldede elementer fjernes fra den angitte tabellen eller loggen når den planlagte oppgaven kjører. Godtatt Cron-syntaks ved planlegging av serveroppgave Hvis du velger alternativet Tidsplantype Avansert når du planlegger en serveroppgave, kan du angi en tidsplan med Cron-syntaksen. Cron-syntaksen er sammensatt av seks eller sju felter atskilt av et mellomrom. Følgende tabell viser godtatte Cron-syntakser sortert etter felter i synkende rekkefølge. De fleste Cron-syntakser godtas, men i enkelte tilfeller støttes de ikke. Du kan for eksempel ikke angi både verdier for ukedag og dag i måneden. Feltnavn Tillatte verdier Tillatte spesialtegn Sekunder 0 59, - * / Minutter 0 59, - * / Timer 0 23, - * / McAfee epolicy Orchestrator programvare Produktveiledning 219

220 14 Server- og klientoppgaver Klientoppgaver Feltnavn Tillatte verdier Tillatte spesialtegn Dag i måneden 1 31, - *? / L W C Måned 1 12 eller JAN DES, - * / Ukedag 1 7 eller SØN LØR, - *? / L C # År (valgfritt) Tom eller , - * / Tillatte spesialtegn Komma (,) kan brukes til å angi flere verdier. Eksempel: "5, 10, 30" eller "MAN., ONS., FRE.". Stjerne (*) brukes for "hver" Eksempel: "*" i minuttfeltet er "hvert minutt". Spørsmålstegn (?) er tillatt for å angi ingen bestemt verdi i feltene Ukedag eller Dag i måneden. Spørsmålstegnet må brukes i ett av disse feltene, men kan ikke brukes i begge. Skråstrek (/) identifiserer økninger. Eksempel: "5/15" i minuttfeltet betyr at oppgaven kjører ved 5, 20, 35 og 50 minutter. Bokstaven L betyr "til slutt" i feltene Ukedag eller Dag i måneden. Eksempel: " ? * 6L" betyr siste fredag i hver måned klokken Bokstaven "W" betyr "ukedag". Hvis du har opprettet en dag i måneden som "15W", betyr dette ukedagen som er nærmest den 15. i måneden. Du kan også angi "LW", som betyr siste ukedag i måneden. Tegnet "#" angir forekomsten av dagen i måneden. Eksempel: når du bruker "6#3" i ukedagfeltet, betyr dette tredje fredag i hver måned, "2#1" er første mandag, og "4#5" er femte onsdag. Hvis måneden ikke har fem onsdager, kjører ikke oppgaven. Klientoppgaver Opprett og planlegg klientoppgaver for å automatisere hvordan du administrerer systemene i nettverket ditt. Klientoppgaver brukes ofte til disse aktivitetene. Produktdistribusjon Produktets funksjonalitet Oppgraderinger og oppdateringer Du finner informasjon om hvilke klientoppgaver som er tilgjengelige, og hva du kan bruke dem til, i dokumentasjonen for de administrerte produktene. Slik fungerer klientoppgavekatalogen Bruk klientoppgavekatalogen til å opprette klientoppgaveobjekter som kan brukes på nytt i håndteringen av systemene i nettverket ditt. Klientoppgavekatalogen bruker konseptet med logiske objekter for McAfee epo-klientoppgaver. Du kan opprette klientoppgaveobjekter for ulike formål uten at du må tildele dem individuelt. Som et resultat av dette kan du håndtere disse gjenbrukbare komponentene når du tildeler og planlegger klientoppgaver. 220 McAfee epolicy Orchestrator programvare Produktveiledning

221 Server- og klientoppgaver Klientoppgaver 14 Klientoppgaver kan tildeles på alle nivåer i systemtreet. Gruppene og systemene som er lavere på treet arver klientoppgaver. Du kan bryte arven for en tildelt klientoppgave, på samme måte som for policyer og policytildelinger. Klientoppgaver kan deles på tvers av flere registrerte McAfee epo-servere i miljøet ditt. Når klientoppgaveobjekter er angitt for deling, mottar hver enkelt registrerte server en kopi etter at serveroppgaven Del klientoppgave kjører. Endringer i oppgavene oppdateres hver gang oppgaven kjører. Når et klientoppgaveobjekt deles, er det bare eieren av objektet som kan endre innstillingene. Administratorer for målserveren som mottar en delt oppgave, er ikke eieren av den delte oppgaven. Ingen av brukerne på målserveren eier noen av de delte oppgavene som målet mottar. Distribueringsoppgaver Distribueringsoppgaver er klientoppgaver som brukes til å distribuere administrerte sikkerhetsprodukter i systemer fra master-programdatabasen. Du kan opprette og administrere individuelle distribueringsoppgaveobjekter ved å bruke klientoppgavekatalog. Deretter kan du tildele dem til å kjøre i grupper eller individuelle systemer. Du kan eventuelt opprette produktdistribueringsprosjekter for å distribuere produkter til systemene. Produktdistribueringsprosjekter automatiserer prosessen med å opprette og planlegge klientoppgaveobjekter individuelt. De gir også ytterligere automatisert administrasjonsfunksjon. Viktige hensyn Ta hensyn til følgende når du avgjør hvordan du skal strukturere produktdistribueringen: Pakkestørrelse og tilgjengelig båndbredde mellom master-programdatabasen og administrerte systemer. Hvis produktene distribueres til mange systemer, kan det føre til at McAfee epo-serveren eller nettverket overbelastes og gjør feilsøking vanskeligere. Vurder en faset utrulling, der du installerer produktene gruppevis. Hvis nettverkskoblingen er rask, kan du prøve å distribuere på flere hundre klienter samtidig. Prøv mindre grupper hvis du har en langsommere eller mindre pålitelig nettverkstilkobling. Overvåk distribusjonen, kjør rapporter for å bekrefte at distribusjonen var vellykket, og feilsøk eventuelle problemer med enkeltsystemer, etter hvert som du distribuerer til gruppene. Distribuere produkter på valgte systemer Hvis du distribuerer McAfee-produkter eller -komponenter som er installert på et delsett av de administrerte systemene, gjør du følgende: 1 Bruk en tagg for å identifisere disse systemene. 2 Flytt de taggede systemene til en gruppe. 3 Konfigurer en klientoppgave for produktdistribuering for gruppen. Distribueringspakker for produkter og oppdateringer Infrastrukturen til McAfee epo-programvaredistribusjonen støtter både distribuering og oppdatering av programvare og komponenter og oppdatering av disse. Alle produkter som McAfee epo kan distribuere, kommer i en.zip-fil med produktdistribusjonspakken..zip-filen inneholder distribueringsfilene for produktet, som er komprimert i et sikkert format. McAfee epo-serveren kan distribuere disse pakkene i et hvilket som helst administrert system. Programvaren bruker disse.zip-filene både for påvisningsdefinisjonspakker (DAT) og motoroppdateringspakker. McAfee epolicy Orchestrator programvare Produktveiledning 221

222 14 Server- og klientoppgaver Klientoppgaver Du kan konfigurere innstillinger for produktpolicy før eller etter distribusjon. Det anbefales at du konfigurerer policyinnstillingene før du distribuerer produktet i nettverkssystemer. Konfigurering av policyinnstillingene sparer tid, og sikrer at systemene beskyttes raskest mulig. Disse pakketypene kan sjekkes inn i master-programdatabasen via pull-oppgaver eller manuelt. Støttede pakketyper Pakketype Beskrivelse Opprinnelse SuperDAT-filer (sdat.exe) Filtype: SDAT.exe Tilleggsfiler for påvisningsdefinisjon (Extra.DAT) Filtype: Extra.DAT SuperDAT-filer inneholder både DAT-filer og motorfiler i én oppdateringspakke. Hvis båndbredde er et problem, anbefales det å oppdatere DAT-filene og motorfilene separat. ExtraDAT-filene håndterer én eller flere spesifikke trusler som har forekommet siden sist gang DAT-filen ble lagt inn. Hvis trusselen har høy alvorlighet, distribueres Extra.DAT-filene umiddelbart, i stedet for å vente til signaturen legges til i den neste DAT-filen. ExtraDAT-filer er fra McAfee webområde. Du kan distribuere dem via McAfee epo. Pull-oppgaver henter ikke Extra.DAT-filer. McAfee webområde. Last ned og sjekk inn SuperDAT-filene i master-programdatabasen manuelt. McAfee webområde. Last ned og sjekk inn tilleggs-dat-filene i master-programdatabasen manuelt. Produktdistribusjons- og oppdateringspakker Filtype: zip McAfee Agent-språkpakker Filtype: zip En produktdistribusjonspakke inneholder installeringsprogramvaren. EnMcAfee Agent-språkpakke inneholder filer som er nødvendige for å vise McAfee Agent-informasjonen på det lokale språket. Produkt-CD eller nedlastet.zip-fil for produkt. Sjekk inn produktdistribusjonspakkene i master-programdatabasen manuelt. Se dokumentasjonen for det enkelte produktet for bestemte plasseringer. Master-programdatabase: Sjekket inn ved installering. For fremtidige versjoner av McAfee Agent må du sjekke McAfee Agent-språkpakkene inn i master-programdatabasen manuelt. Pakkesignering og sikkerhet Alle pakker som er opprettet og distribuert av McAfee, er signert med et nøkkelpar ved bruk av systemet for bekreftelse av signatur DSA (Digital Signature Algorithm). Pakkene er kryptert ved bruk av 168-biters 3DES-kryptering. En nøkkel brukes til å kryptere eller dekryptere sensitive data. Du varsles når du sjekker inn pakker som ikke er signert av McAfee. Hvis du er sikker på innholdet og at pakken er gyldig, kan du fortsette innsjekkingsprosessen. Disse pakkene er sikret på samme måte som beskrevet tidligere, men signeres av McAfee epo når de sjekkes inn. McAfee Agent klarerer bare pakkefiler signert av McAfee epo eller McAfee. Denne funksjonen beskytter nettverket ditt mot å motta pakker fra usignerte eller upålitelige kilder. Pakkerekkefølge og avhengigheter Hvis én produktoppdatering er avhengig av en annen oppdatering, må du sjekke inn oppdateringspakkene i master-programdatabasen i riktig rekkefølge. Hvis for eksempel oppdatering 2 krever oppdatering 1, må du sjekke inn oppdatering 1 før oppdatering 2. Pakker kan ikke bestilles på 222 McAfee epolicy Orchestrator programvare Produktveiledning

223 Server- og klientoppgaver Klientoppgaver 14 nytt etter at de er sjekket inn. Du må fjerne dem og sjekke dem inn på nytt i riktig rekkefølge. Hvis du sjekker inn en pakke som erstatter en eksisterende pakke, fjernes den eksisterende pakken automatisk. Produkt- og oppdateringsdistribuering Med McAfee epo-infrastrukturen for programdatabaser kan du distribuere produkt- og oppdateringspakker i de administrerte systemene fra en sentral plassering. Selv om samme programdatabase brukes, kan det oppstå ulikheter. Produktdistribuering versus oppdateringspakker Pakker for produktdistribuering Må sjekkes inn i master-programdatabasen manuelt. Kan reproduseres til master-programdatabasen og installeres automatisk i administrerte systemer ved bruk av en distribueringsoppgave. Hvis global oppdatering ikke er implementert for produktdistribuering, må det konfigureres og planlegges en distribueringssoppgave slik at administrerte systemer henter pakken. Oppdateringspakker Oppdateringspakker for DAT og motor kan kopieres fra kildeområdet automatisk med en pull-oppgave. Alle andre oppdateringspakker må sjekkes inn i master-programdatabasen manuelt. Kan reproduseres til de master-programdatabasen og installeres automatisk i administrerte systemer ved å utføre en global oppdatering. Hvis global oppdatering ikke er implementert for produktoppdatering, må en klientoppdateringsoppgave konfigureres og planlegges for administrerte systemer til å hente pakken. Produktdistribuerings- og oppdateringsprosessen Følg denne høynivåprosessen for å distribuere DAT-oppdateringspakker og motoroppdateringspakker. 1 Sjekk inn oppdateringspakkene i master-programdatabasen via en pull-oppgave eller manuelt. 2 Gjør ett av følgende: Hvis du bruker global oppdatering, bør du opprette og planlegge en oppdateringsoppgave for systemer for bærbare datamaskiner som forlater nettverket. Hvis du ikke bruker global oppdatering, utfører du følgende oppgaver. 1 Bruk en reproduksjonsoppgave til å kopiere innholdet i master-programdatabasen. 2 Opprett og planlegg en oppdateringsoppgave for agenter for å hente og installere oppdateringen i administrerte systemer. Distribusjonstagger Når en distribusjonsoppgave opprettes, opprettes automatisk en tagg med oppgavenavnet og brukes i systemene som oppgaven utføres i. Disse taggene opprettes bare for faste distribusjoner. Gjelder ikke kontinuerlig distribuering. Disse taggene legges til i Distribusjonstagger-gruppen på Taggkatalog-siden hver gang en distribueringsoppgave opprettes og brukes i systemer. Denne gruppen er skrivebeskyttet, og tagger i denne gruppen kan ikke brukes, endres eller slettes manuelt eller brukes i en vilkårskonfigurasjon til å filtrere systemer. Bruk Produktdistribuering-oppgaven for å distribuere produkter på administrerte systemer Distribuer produkter på administrerte systemer med Produktdistribuering-klientoppgaven. Du kan opprette denne oppgaven for et enkelt system, eller for grupper av systemtreet. McAfee epolicy Orchestrator programvare Produktveiledning 223

224 14 Server- og klientoppgaver Klientoppgaver r Konfigurere en distribusjonsoppgave for grupper av administrerte systemer på side 224 Konfigurer en produktdistribusjonsoppgave for å distribuere produkter til grupper av administrerte systemer i systemtreet. Konfigurere distribusjonsoppgaven for å installere produkter på et administrert system på side 225 Distribuer produkter til ett enkelt system ved å bruke oppgaven for produktdistribusjon. Konfigurere en distribusjonsoppgave for grupper av administrerte systemer Konfigurer en produktdistribusjonsoppgave for å distribuere produkter til grupper av administrerte systemer i systemtreet. 1 Åpne dialogboksen Ny oppgave. a b Velg Meny Policy Klientoppgavekatalog. Velg et produkt under Klientoppgavetyper og klikk på Ny oppgave. 2 Velg Produktdistribuering og klikk deretter på OK. 3 Skriv inn et navn for oppgaven du oppretter, og legg til eventuelle merknader. 4 Velg typene plattformer du vil bruke distribueringen på, ved siden av Målplattformer. 5 Angi følgende ved siden av Produkter og komponenter: Velg et produkt fra den første rullegardinlisten. Produktene i listen er produktene du allerede har sjekket inn i master-programdatabasen. Hvis produktet du vil distribuere, ikke finnes i listen, sjekker du inn produktpakken. Sett Handling til Installer, og velg deretter Språk for pakken og Gren. I tekstfeltet Kommandolinje angir du eventuelle installasjonsalternativer for kommandolinjen. Du finner informasjon om kommandolinjealternativene for produktet du installerer, i dokumentasjonen for produktet. Du kan klikke på + eller for å legge til eller fjerne produkter og komponenter i den viste listen. 6 Hvis du vil oppdatere sikkerhetsproduktene automatisk, velger du Automatisk oppdatering. Dette distribuerer også hurtigreparasjonene og oppdateringene for produktet automatisk. Hvis du angir at sikkerhetsproduktet skal oppdateres automatisk, kan du ikke sette Handling til Fjern. 7 (Bare Windows) Velg om du vil kjøre denne oppgaven for alle policyprosessene, ved siden av Alternativer. Klikk deretter på Lagre. 8 Velg Meny Systemdel Systemtre Tildelte klientoppgaver, og velg ønsket gruppe i systemtreet. 9 Velg Forhåndsinnstilt-filteret som Produktdistribusjon (McAfee Agent). Hver tildelte klientoppgave for hver valgt kategori vises i detaljer-ruten. 10 Klikk på Handlinger Ny klientoppgavetildeling. 224 McAfee epolicy Orchestrator programvare Produktveiledning

225 Server- og klientoppgaver Klientoppgaver Åpne siden Velg oppgave og velg Produkt som McAfee Agent og type som Produktdistribusjon. Velg deretter oppgaven du opprettet for å distribuere produktet. 12 Velg plattformene du distribuerer pakkene til, ved siden av Tagger. Klikk deretter på Neste: Send denne oppgaven til alle datamaskiner Send denne oppgaven kun til datamaskiner som har følgende kriterier Klikk på Rediger ved siden av kriteriet du vil konfigurere. Velg taggruppen, velg taggene som skal brukes i kriteriet, og klikk deretter på OK. Du begrenser listen til bestemte tagger ved å skrive taggnavnet i tekstboksen under Tagger. 13 På siden Tidsplan velger du om tidsplanen skal aktiveres. Angi detaljene for tidsplanen, og klikk på Neste. 14 Se gjennom sammendraget, og klikk deretter på Lagre. Ved hver planlagte kjøring installerer distribueringsoppgaven den nyeste sensorpakken i systemer som oppfyller de angitte kriteriene. Konfigurere distribusjonsoppgaven for å installere produkter på et administrert system Distribuer produkter til ett enkelt system ved å bruke oppgaven for produktdistribusjon. Opprett en klientoppgave for produktdistribusjon for ett enkelt system når systemet krever: Et produkt som er installert og som andre systemer i samme gruppe ikke krever. En annen tidsplan enn andre systemer i gruppen. For eksempel, hvis et annet system er plassert i en annen tidssone enn de andre systemene. 1 Åpne dialogboksen Ny oppgave. a Velg Meny Policy Klientoppgavekatalog. b Velg et produkt under Klientoppgavetyper og klikk på Ny oppgave. 2 Kontroller at Produktdistribuering er valgt, og klikk på OK. 3 Skriv inn et navn for oppgaven du oppretter, og legg til eventuelle merknader. 4 Velg typene plattformer du vil bruke distribueringen på, ved siden av Målplattformer. 5 Angi følgende ved siden av Produkter og komponenter: Velg et produkt fra den første rullegardinlisten. Produktene i listen er produktene du allerede har sjekket inn en pakke i master-programdatabasen for. Hvis du ikke ser produktet du vil distribuere i listen, må du først sjekke inn produktpakken. Sett Handling til Installer, og velg deretter Språk og Gren for pakken. I tekstfeltet Kommandolinje angir du eventuelle installasjonsalternativer for kommandolinjen. Du finner informasjon om kommandolinjealternativene for produktet du installerer, i dokumentasjonen for produktet. Du kan klikke på + eller for å legge til eller fjerne produkter og komponenter i den viste listen. McAfee epolicy Orchestrator programvare Produktveiledning 225

226 14 Server- og klientoppgaver Klientoppgaver 6 Hvis du automatisk vil oppdatere sikkerhetsprodukter som allerede er distribuert, velger du Automatisk oppdatering. Hvis du angir at sikkerhetsproduktet skal oppdateres automatisk, kan du ikke sette Handling til Fjern. 7 Ved siden av Alternativer velger du om du ønsker å kjøre denne oppgaven for alle prosessene for policyhåndhevelse (kun Windows). Klikk deretter på Lagre. 8 Velg Meny Systemer Systemtre Systemer, velg systemet der du vil distribuere et produkt og klikk deretter på Handlinger Agent Endre oppgaver på ett system. 9 Klikk på Handlinger Ny klientoppgavetildeling. 10 Åpne siden Velg oppgave, og velg Produkt som McAfee Agent og type som Produktdistribuering. Velg deretter oppgaven du opprettet for produktdistribuering. 11 Ved siden av Tagger velger du plattformene du vil distribuere pakkene til. Klikk deretter på Neste: Send denne oppgaven til alle datamaskiner Send denne oppgaven kun til datamaskiner som har følgende kriterier Klikk på Rediger og velg taggruppen og taggene som skal brukes i kriteriet, og klikk deretter på OK. Du begrenser listen til bestemte tagger ved å skrive taggnavnet i tekstboksen under Tagger. 12 På siden Tidsplan velger du om tidsplanen skal aktiveres. Angi detaljene for tidsplanen, og klikk på Neste. 13 Se gjennom sammendraget, og klikk deretter på Lagre. Oppdateringsoppgaver Hvis du ikke bruker global oppdatering, bestemmer du når agenter i administrerte systemer skal oppdateres. Du kan opprette og oppdatere klientoppgaver for å styre når og hvordan administrerte systemer mottar oppdateringspakker. Hvis du bruker global oppdatering, er ikke dette nødvendig, men du kan likevel opprette en daglig oppgave for redundans. Hensyn som må tas ved oppretting eller oppdatering av klientoppgaver Vurder følgende når du planlegger klientoppdateringsoppgaver: Opprett en klientoppgave for daglig oppdatering på det høyeste nivået i systemtreet, slik at alle systemer arver oppgaven. Hvis organisasjonen er stor, kan du bruke randomiseringsintervaller for å redusere påvirkningen på båndbredden. For store nettverk med kontorer i ulike tidssoner kan man balansere nettverksbelastningen ved å kjøre oppgaven i den lokale systemtidssonen på det administrerte systemet i stedet for samtidig for alle systemer. Hvis du bruker planlagte reproduksjonsoppgaver, bør du planlegge oppgaven minst en time etter den planlagte reproduksjonsoppgaven. Kjør oppdateringsoppgaver for DAT-filer og motorfiler minst én gang daglig. Administrerte systemer kan være logget av nettverket og dermed gå glipp av den planlagte oppgaven. Kjør oppgaven ofte for å sikre at disse systemene mottar oppdateringen. Maksimer båndbreddeeffektiviteten og opprett flere planlagte klientoppdateringsoppgaver som oppdaterer separate komponenter og kjører på forskjellige tidspunkter. Du kan for eksempel opprette en oppgave for bare å oppdatere DAT-filer og opprette en annen oppgave for å oppdatere både DAT-filer og motorfiler ukentlig eller månedlig (motorpakker utgis sjeldnere). 226 McAfee epolicy Orchestrator programvare Produktveiledning

227 Server- og klientoppgaver Klientoppgaver 14 Opprette og planlegge flere oppgaver for å oppdatere produkter som ikke bruker McAfee Agent for Windows. Opprett en oppgave for å oppdatere hovedprogrammer for arbeidsstasjon for å sikre at alle mottar oppdateringsfilene. Planlegg kjøring daglig eller flere ganger daglig. Vis tildelt klientoppgave Under den første produktdistribueringen oppretter McAfee epo automatisk en klientoppgave for produktdistribuering. Du kan bruke denne tildelte klientoppgaven som grunnlag for andre klientoppgaver for produktdistribuering. Før du begynner Du må kjøre Første produktdistribuering for å opprette klientoppgaven for den første produktdistribueringen. 1 Hvis du vil se klientoppgaven for første produktdistribusjon, velg Meny Klientoppgavekatalog. 2 Slik finner du klientoppgaven for første produktdistribuering: Velg listen Klientoppgavetyper og velg deretter McAfee Agent Produktdistribuering. Den første opprettede klientoppgaven for produktdistribuering bruker navnet på systemtregruppen du konfigurerte i URL for agentdistribusjon som InitialDeployment_<groupName>. For eksempel, "initialdeployment_allewindows-systemer". Denne oppgaven vises i kolonnen Navn i tabellen McAfee Agent produktdistribuering. 3 For å åpne klientoppgaven og se detaljene kan du klikke på navnet til oppgaven som er konfigurert i URL for agentdistribusjon. 4 Klikk på Avbryt for å lukke siden. Nå vet du plasseringen og konfigurasjonen av standardklientoppgaven for produktdistribusjon. Du kan duplisere denne klientoppgaven for å eksempelvis distribuere McAfee Agent til plattformer som bruker ulike operativsystemer. Oppdatere administrerte systemer jevnlig med en planlagt oppdateringsoppgave Opprette og konfigurere oppdateringsoppgaver. Hvis du bruker global oppdatering, anbefales det at du bruker en daglig klientoppgave for oppdatering for å sikre at systemene er oppdatert med de nyeste DAT-filene og motorfilene. 1 Åpne dialogboksen Ny oppgave. a Velg Meny Policy Klientoppgavekatalog. b Velg et produkt under Klientoppgavetyper og klikk på Ny oppgave. 2 Bekreft at Produktoppdatering er valgt og klikk på OK. McAfee epolicy Orchestrator programvare Produktveiledning 227

228 14 Server- og klientoppgaver Klientoppgaver 3 Skriv inn et navn for oppgaven du oppretter, og legg til eventuelle merknader. 4 Ved siden av dialogboksen Oppdatering pågår velger du om du vil at brukerne skal være klar over at en oppdatering pågår, og om du vil at de skal kunne utsette prosessen. 5 Velg en pakketype, og klikk deretter på Lagre. Når du konfigurerer individuelle signaturer og motorer, og du velger Motor og opphever valget for DAT når den nye motoren er oppdatert, oppdateres en ny DAT automatisk for å sikre fullstendig beskyttelse. 6 Velg Meny Systemer Systemtre, klikk på katalogen Systemer og velg systemet du vil distribuere produktoppdateringen til. Så klikker du på Handlinger Agent Endre oppgaver på ett system. 7 Klikk på Handlinger Ny klientoppgavetildeling. 8 Gjør følgende valg på siden Velg oppgave: Produkt Velg McAfee Agent. type Velg Produktoppdatering. Deretter velger du oppgaven du opprettet for distribuering av produktoppdateringen. 9 Ved siden av Tagger velger du plattformene du vil distribuere pakkene til. Klikk deretter på Neste: Send denne oppgaven til alle datamaskiner. Send denne oppgaven kun til datamaskiner som har følgende kriterier Klikk på Rediger ved siden av kriteriet du vil konfigurere. Velg taggruppen, velg taggene som skal brukes i kriteriet, og klikk deretter på OK. Du begrenser listen til bestemte tagger ved å skrive taggnavnet i tekstboksen under Tagger. 10 På siden Tidsplan velger du om tidsplanen skal aktiveres. Angi detaljene for tidsplanen, og klikk på Neste. 11 Se gjennom sammendraget, og klikk deretter på Lagre. n legges til i listen med klientoppgaver for gruppene og systemene den brukes på. Agentene mottar den nye oppdateringsoppgaveinformasjonen neste gang de kommuniserer med serveren. Hvis oppgaven er aktivert, kjøres oppdateringsoppgaven ved neste forekomst av planlagt dag og tid. Hvert system oppdaterer fra relevant programdatabase, avhengig av hvordan policyene for den aktuelle klientagenten er konfigurert. Evaluere nye DAT-er og motorer før distribusjon Det kan være lurt å teste DAT-filer og motorfiler på et par systemer før du distribuerer dem i hele organisasjonen. Du kan teste oppdateringspakker ved å bruke Evaluering-grenen i master-programdatabasen. McAfee epo-programvaren har tre programdatabasegrener for dette formålet. 228 McAfee epolicy Orchestrator programvare Produktveiledning

229 Server- og klientoppgaver Klientoppgaver 14 1 Opprett en planlagt programdatabase-pulloppgave som kopierer oppdateringspakker i Evaluering-grenen i master-programdatabasen. Planlegg den for kjøring etter at McAfee lanserer oppdaterte DAT-filer. 2 Opprett eller velg en evalueringsgruppe i systemtreet, og opprett en McAfee Agent-policy for systemene bare for bruk i Evaluering-grenen. a Velg Evaluering-grenen i kategorienoppdateringer i delen Oppdateringsvalg for programdatabasegren. Policyene trer i kraft neste gang McAfee Agent kaller opp serveren. Neste gang agenten oppdateres, hentes policyene fra Evaluering-grenen. 3 Opprett en planlagt klientoppgave for oppdatering for evalueringssystemene som oppdaterer DATog motorfilene fra Evaluering-grenen i programdatabasen. Planlegg at den kjører én eller to timer etter at oppgaven Programdatabase-pull er planlagt å starte. Evalueringsoppdateringsoppgaven som er opprettet på evalueringsgruppenivå, gjør at den kjører bare for denne gruppen. 4 Overvåke systemene i evalueringsgruppen inntil du er fornøyd. 5 Flytt pakkene fra Evaluering-grenen til Aktuell-grenen i master-programdatabasen. Velg Meny Programvare Master-programdatabase for å åpne siden Master-programdatabase. Når du legger dem til i Aktuell-grenen, blir de tilgjengelige for produksjonsmiljøet. Neste gang en klientoppgave henter pakker fra Aktuell-grenen, distribueres de nye DAT-filene og motorfilene til systemer som bruker oppgaven. Administrere klientoppgaver Opprette og vedlikeholde klientoppgaver. r Opprette klientoppgaver på side 229 Bruk klientoppgaver til å utføre produktoppdateringer automatisk. Prosessen er den samme for alle klientoppgavene. Redigere klientoppgaver på side 230 Du kan redigere tidligere konfigurerte klientoppgaveinnstillinger eller tidsplaninformasjon. Sammenlign klientoppgaver på side 230 Verktøyet Klientoppgavesammenligning fastslår hvilke klientoppgaveinnstillinger som er forskjellige og hvilke som er like. Vise klientoppgaver tildelt til et bestemt system på side 231 Vis en liste over alle klientoppgavene tildelt til et system, fra én sentral plassering i systemtreet. Opprette klientoppgaver Bruk klientoppgaver til å utføre produktoppdateringer automatisk. Prosessen er den samme for alle klientoppgavene. I enkelte tilfeller må du opprette en ny klientoppgavetildeling for å knytte en klientoppgave til en systemtregruppe. McAfee epolicy Orchestrator programvare Produktveiledning 229

230 14 Server- og klientoppgaver Klientoppgaver 1 Åpne dialogboksen Ny oppgave. a Velg Meny Policy Klientoppgavekatalog. b Velg et produkt under Klientoppgavetyper og klikk på Ny oppgave. 2 Velg en oppgavetype fra listen, og klikk på OK for å åpne klientoppgavebyggeren. 3 Skriv et navn på oppgaven, legg til en beskrivelse, og konfigurer innstillingene som gjelder for oppgavetypen du oppretter. Konfigurasjonsalternativene er avhengig av den valgte oppgavetypen. 4 Se gjennom oppgaveinnstillingene, og klikk deretter på Lagre. n legges til i listen over klientoppgaver for den valgte klientoppgavetypen. Redigere klientoppgaver Du kan redigere tidligere konfigurerte klientoppgaveinnstillinger eller tidsplaninformasjon. 1 Velg Meny Policy Klientoppgavekatalog. 2 Velg klientoppgavetypen i navigasjonstreet til venstre. Tilgjengelige klientoppgaver vises i vinduet til høyre. 3 Klikk på klientoppgavenavnet for å åpne dialogboksen for Klientoppgavekatalog. 4 Rediger oppgaveinnstillingene etter behov, og klikk deretter på Lagre. De administrerte systemene mottar endringene du konfigurerte neste gang agentene kommuniserer med serveren. Sammenlign klientoppgaver Verktøyet Klientoppgavesammenligning fastslår hvilke klientoppgaveinnstillinger som er forskjellige og hvilke som er like. Mange av verdiene og variablene på denne siden er spesifikke for hvert enkelt produkt. Hvis du ikke finner definisjoner for alternativene i tabellen, kan du se i produktdokumentasjonen for produktet som inneholder klientoppgaven du vil sammenligne. 1 Velg Meny Klientoppgavesammenligning, velg et produkt og en klientoppgavetype og vis innstillinger fra listene. Disse innstillingene fyller ut klientoppgavene for sammenligning i listene Klientoppgave 1 og Klientoppgave McAfee epolicy Orchestrator programvare Produktveiledning

231 Server- og klientoppgaver Klientoppgaver 14 2 Velg klientoppgavene for sammenligning i Sammenlign klientoppgaver-raden fra kolonnelistene Klientoppgave 1 og Klientoppgave 2. De to øverste radene av tabellen viser antall innstillinger som er forskjellige og identiske. Hvis du vil redusere mengden data, kan du endre Vis-innstillingen fra Alle klientoppgaveinnstillinger til Klientoppgaveforskjeller og Klientoppgavesamsvar. 3 Klikk på Skriv ut for å åpne en utskriftsvennlig visning av denne sammenligningen. Vise klientoppgaver tildelt til et bestemt system Vis en liste over alle klientoppgavene tildelt til et system, fra én sentral plassering i systemtreet. 1 VelgMeny Systemer Systemtre, klikk på Systemer-fanen, og velg deretter en gruppe i systemtreet. Alle systemer som tilhører denne gruppen, vises i detaljer-ruten. 2 Klikk på navnet til et system for å navigere til siden Systeminformasjon. Deretter klikker du på fanen Brukte klientoppgaver. McAfee epolicy Orchestrator programvare Produktveiledning 231

232 14 Server- og klientoppgaver Klientoppgaver 232 McAfee epolicy Orchestrator programvare Produktveiledning

233 15 Konfigurering av automatiske responser Reager raskt på trusler og utbrudd, ved å automatisk starte McAfee epo-prosesser når hendelsen oppstår. McAfee epo responderer når forholdene for automatiske responsregler møtes. Du angir handlingene som utgjør responsen, samt typen og antall hendelser som må oppfylle betingelsen for å utløse responsen. Som standard kan en regel for automatisk respons inneholde disse handlingene: Opprett et problem. Kjør systemkommandoer. Kjør serveroppgaver. Send en e-postmelding. Kjør eksterne kommandoer. Send SNMP-feller. Du kan også konfigurere eksterne verktøy som er installert på McAfee epo-serveren, for å kjøre en ekstern kommando. Administrerte produkter øker antall handlinger du kan velge. Produktene du administrerer med McAfee epo bestemmer hvilke handlingstyper du kan opprette en automatisk responsregel for. Her er noen vanlige betingelser som kan utløse en automatisk respons: Antivirusprogrammet påviser trusler. Utbrudd. For eksempel at det påvises 1000 virusangrep på fem minutter. Høyt overholdelsesnivå for McAfee epo-serverhendelser. For eksempel en mislykket oppdateringseller reproduksjonsoppgave for en programdatabase. Innhold Bruke automatiske responser Hendelsesterskler Standardregler for automatisk respons Responsplanlegging Bestemme hvordan hendelser videresendes Konfigurere automatiske responser Velge et varselintervall Opprette og redigere automatiske responsregler McAfee epolicy Orchestrator programvare Produktveiledning 233

234 15 Konfigurering av automatiske responser Bruke automatiske responser Bruke automatiske responser Du kan angi hvilke hendelser som utløser en respons, og hva den responsen er. Hvilke hendelsestyper du kan konfigurere automatiske responser for, avhenger av hvilke programvareprodukter du administrerer med McAfee epo. Responsen kan som standard omfatte følgende handlinger: Opprett problemer. Kjør systemkommandoer. Utfør serveroppgaver. Send en e-postmelding til flere mottakere. Kjør eksterne kommandoer. Send SNMP-feller. Du kan også konfigurere eksterne verktøy installert på McAfee epo-serveren til å kjøre en ekstern kommando. Funksjonen fører til at det opprettes brukerkonfigurerte varsler og handlinger når bestemte betingelser er oppfylt. Disse betingelsene omfatter, men er ikke begrenset til, følgende: Antivirusprogrammets påvisninger av trusler. Utbrudd. For eksempel at det påvises 1000 virusangrep på fem minutter. Høyt overholdelsesnivå for McAfee epo-serverhendelser. For eksempel en mislykket oppdateringseller reproduksjonsoppgave for en programdatabase. Hendelsesterskler Ved å angi hendelsesterskler kan du skreddersy hyppigheten av automatiske responser etter behovene i miljøet. Aggregasjon Bruk aggregasjon til å angi antallet hendelser som skal oppstå før en automatisk respons utløses. Du kan for eksempel konfigurere en regel for automatisk respons til å sende en e-postmelding når en av disse tersklene nås: Serveren mottar minst 1000 viruspåvisningshendelser fra ulike systemer på én time. Serveren mottar minst 100 viruspåvisningshendelser fra ett system på én time. Begrensing Når du har konfigurert regelen til å varsle deg om et potensielt utbrudd, kan du bruke begrensning til å sørge for at du ikke mottar for mange varsler. Hvis du sikrer et stort nettverk, kan du motta titusenvis av hendelser på en time, noe som genererer tusenvis av e-postmeldinger. Med begrensning kan du begrense antall varselmeldinger du mottar, basert på én regel. Du kan for eksempel angi i en responsregel at du ikke ønsker å motta flere enn én varselmelding i timen. Gruppering Bruk gruppering til å kombinere flere samlede hendelser. Hendelser med samme alvorlighetsgrad kan for eksempel kombineres i én gruppe. Gruppering har disse fordelene: Du kan respondere på alle hendelser med samme eller høyere alvorlighetsgrad samtidig. Du kan prioritere hendelser som genereres. 234 McAfee epolicy Orchestrator programvare Produktveiledning

235 Konfigurering av automatiske responser Standardregler for automatisk respons 15 Standardregler for automatisk respons Aktiver standardresponsreglene i McAfee epo for umiddelbar bruk mens du finner ut mer om funksjonen. Utfør disse handlingene før du aktiverer noen av standardreglene: Angi e-postserveren (velg Meny Konfigurasjon Serverinnstillinger) som varselmeldingene sendes fra. Kontroller at mottakerens e-postadresse er riktig. Denne adressen konfigureres på siden Handlinger i byggeren for automatiske responser. Regelnavn Tilknyttede hendelser E-post sendes når... Oppdatering eller reproduksjon av distribuert programdatabase mislyktes Skadelig programvare påvist Oppdatering eller reproduksjon av distribuert programdatabase mislyktes Alle hendelser fra ukjente produkter En oppdatering eller reproduksjon mislyktes. Disse kriteriene oppfylles: Antallet hendelser per time overskrider Antallet valgte separate verdier er 500. Maksimalt én gang annenhver time. E-postmeldingen inkluderer kildesystemets IP-adresse, navn på trusler, produktinformasjon og andre parametere. Oppdatering eller reproduksjon av master-programdatabase mislyktes Ikke-kompatibel datamaskin oppdaget Oppdatering eller reproduksjon av master-programdatabase mislyktes Ikke-kompatibel datamaskin oppdaget-hendelser En oppdatering eller reproduksjon mislyktes. Hendelser mottas fra serveroppgaven Generer overholdelseshendelse. Responsplanlegging Før du oppretter regler for automatisk respons, må du tenke på hvilke handlinger du vil at McAfee epo-serveren skal utføre. Plan for disse elementene: Hendelsestypene som utløser meldinger i miljøet. Hvem som mottar hvilke meldinger. Det kan for eksempel hende at det ikke er nødvendig å varsle alle administratorene om en mislykket produktoppgradering, men det kan være ønskelig å varsle alle om at det ble oppdaget en infisert fil. Hvilke terskeltyper og -nivåer vil du angi for hver regel? Du ønsker for eksempel kanskje ikke å motta en e-post hver gang det oppdages en infisert fil i forbindelse med et utbrudd. I stedet kan du velge å sende én melding for hver hendelse. Hvilke kommandoer eller registrerte kjørbare filer skal kjøre når vilkårene for en regel innfris? Hvilken serveroppgave skal kjøre når vilkårene for en regel innfris? McAfee epolicy Orchestrator programvare Produktveiledning 235

236 15 Konfigurering av automatiske responser Bestemme hvordan hendelser videresendes Bestemme hvordan hendelser videresendes Bestem når hendelser skal videresendes, og hvilke hendelser som skal videresendes umiddelbart. Serveren mottar hendelsesvarsler fra agenter. Du kan konfigurere McAfee Agent-policyer slik at de videresender hendelser til serveren enten umiddelbart eller ved intervaller for agent-til-server-kommunikasjon. Hvis du velger å videresende hendelser umiddelbart (angitt som standard), videresender McAfee Agent alle hendelser når de mottas. Hvis du velger at ikke alle hendelser skal sendes umiddelbart, videresender McAfee Agent bare hendelser som er angitt med høy prioritet av det utstedende produktet, umiddelbart Andre hendelser sendes bare ved agent-til-server-kommunikasjon. r Bestemme hvilke hendelser som videresendes umiddelbart på side 236 Bestem hvorvidt hendelser skal videresendes umiddelbart eller bare under agent-til-server-kommunikasjon. Bestemme hvilke hendelser som videresendes til server på side 236 Du kan bestemme hvilke hendelser som skal videresendes til serveren, ved å bruke serverinnstillinger og hendelsesfiltrering. Bestemme hvilke hendelser som videresendes umiddelbart Bestem hvorvidt hendelser skal videresendes umiddelbart eller bare under agent-til-server-kommunikasjon. Hvis den gjeldende policyen ikke er angitt for umiddelbar opplasting av hendelser, kan du enten redigere den gjeldende policyen eller opprette en ny McAfee Agent-policy. Denne innstillingen konfigureres på Trusselhendelseslogg-siden. 1 Velg Meny Policy PolicykatalogVelg deretter produktet McAfee Agent og kategorien Generelt. 2 Klikk på en eksisterende agentpolicy. 3 Gå til kategorien Hendelser, og velg Aktiver prioritert videresending av hendelser. 4 Velg hendelsens alvorlighet. Hendelser med den valgte alvorligheten (eller høyere) videresendes umiddelbart til serveren. 5 Du kan regulere trafikk ved å fylle ut Intervall mellom opplastinger (i minutter). 6 Du kan regulere trafikkomfang ved å fylle ut Maksimalt antall hendelser per opplasting. 7 Klikk på Lagre. Bestemme hvilke hendelser som videresendes til server Du kan bestemme hvilke hendelser som skal videresendes til serveren, ved å bruke serverinnstillinger og hendelsesfiltrering. Disse innstillingene påvirker båndbredden i miljøet, samt resultatene av hendelsesbaserte spørringer. 236 McAfee epolicy Orchestrator programvare Produktveiledning

237 Konfigurering av automatiske responser Konfigurere automatiske responser 15 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Hendelsesfiltrering og klikk på Rediger nederst på siden. 2 Velg hendelsene du vil videresende, enten alle eller enkelthendelser. Hvis du vil videresende alle tilgjengelige hendelser, velger du Alle hendelser til serveren. Merk alle og Fjern all merking deaktiveres når du velger Alle hendelser til serveren. Hvis du vil videresende bare angitte hendelser, velger du Bare utvalgte hendelser til serveren. 3 Velg hvor du vil lagre de valgte hendelsene. Hvis du vil lagre alle de valgte hendelsene på serveren: Klikk på Lagre valgte i epo: Lagre alle valgte hendelser i McAfee epo-databasen. Klikk på Lagre valgte i SIEM: Lagre alle valgte hendelser i databasen for sikkerhetsinformasjonsog hendelsesadministrasjon (SIEM). Klikk på Lagre valgte i begge: Lagre alle valgte hendelser i både McAfee epo- og SIEM-databasen. Dette er standardinnstillingen. Hvis du vil lagre alle de valgte hendelsene på individuelt valgte servere: Klikk på Lagre i epo: Lagre hendelse i McAfee epo-databasen. Klikk på Lagre i SIEM: Lagre hendelse i SIEM-databasen. Klikk på Lagre i begge: Lagre hendelse i McAfee epo- og SIEM-databasen. Hvis en produktutvidelse har et alternativ for hendelseslagring for en hendelsestype under registrering, lagres det alternativet for hendelseslagring. Hvis en produktutvidelse ikke har et alternativ for hendelseslagring for en hendelsestype under registrering, er standardinnstillingen å lagre hendelsene i både McAfee epo- og SIEM-databasen. 4 Velg hendelseskilde. Hendelser fra alle kilder: Alle kilder inkluderer bl.a. McAfee Agent og McAfee epo. Hendelser som ble generert av avsenderagenten: Bare hendelser generert av McAfee Agent. 5 Klikk på Lagre. Endringer i disse innstillingene trer ikke i kraft før alle agenter har kommunisert med McAfee epo-serveren. Konfigurere automatiske responser Konfigurer nødvendige ressurser for å kunne dra full nytte av automatiske responser. McAfee epolicy Orchestrator programvare Produktveiledning 237

238 15 Konfigurering av automatiske responser Konfigurere automatiske responser r Tildele tillatelser til varsler på side 238 Med varseltillatelser kan brukerne vise, opprette og redigere registrerte kjørbare. Tildele tillatelser til automatiske responser på side 238 Tilordne tillatelser til responser når du må begrense typen responser brukerne kan lage. Administrere SNMP-servere på side 239 Konfigurere responser for bruk med SNMP-serveren (Simple Network Management Protocol). Administrere registrerte kjørbare filer og eksterne kommandoer på side 240 De registrerte kjørbare filene du konfigurerer, kjøres når betingelsene til en regel er oppfylt. Automatiske responser utløser kjøring av de registrerte kjørbare kommandoene. Tildele tillatelser til varsler Med varseltillatelser kan brukerne vise, opprette og redigere registrerte kjørbare. 1 Velg Meny Brukeradministrasjon TillatelsessettOpprett deretter et tillatelsessett eller velg et eksisterende sett. 2 Ved siden av Hendelsesvarsler klikker du på Rediger. 3 Velg ønskede tillatelser for varsler: Ingen tillatelser Vis registrerte kjørbare Opprett og rediger registrerte kjørbare Vis regler og varsler for hele systemtreet (overstyrer systemtregruppens tilgangstillatelser) 4 Klikk på Lagre. 5 Hvis du opprettet et tillatelsessett, velger du Meny Brukeradministrasjon Brukere. 6 Velg en bruker du vil tildele det nye tillatelsessettet til, og klikk deretter på Rediger. 7 Merk av for tillatelsessettet som har ønskede tillatelser, ved siden av Tillatelsessett. Klikk deretter på Lagre. Tildele tillatelser til automatiske responser Tilordne tillatelser til responser når du må begrense typen responser brukerne kan lage. Før du begynner Hvis du vil opprette en responsregel, trenger brukere tillatelser til funksjoner i trusselhendelsesloggen, systemtreet, serveroppgaver og påviste systemer. 238 McAfee epolicy Orchestrator programvare Produktveiledning

239 Konfigurering av automatiske responser Konfigurere automatiske responser 15 1 Velg Meny Brukeradministrasjon TillatelsessettOpprett deretter et tillatelsessett eller velg et eksisterende sett. 2 Klikk på Rediger ved siden av Automatiske responser. 3 Velg ønsket tillatelse for automatisk respons: Ingen tillatelser Vise responser og vise responsresultater i serveroppgaveloggen Opprette, redigere, vise og avbryte responser, vise responsresultater i serveroppgaveloggen 4 Klikk på Lagre. 5 Hvis du opprettet et tillatelsessett, velger du Meny Brukeradministrasjon Brukere. 6 Velg en bruker du vil tildele det nye tillatelsessettet til, og klikk deretter på Rediger. 7 Merk av for tillatelsessettet som har ønskede tillatelser for automatisk respons, ved siden av Tillatelsessett. Klikk deretter på Lagre. Administrere SNMP-servere Konfigurere responser for bruk med SNMP-serveren (Simple Network Management Protocol). Du kan konfigurere responsene slik at de sender SNMP-feller til SNMP-serveren. Du kan motta SNMP-feller på samme plassering, der du kan bruke nettverksadministrasjonsprogrammet til å vise detaljert informasjon om systemene i miljøet. Du trenger ikke foreta andre konfigurasjoner eller starte tjenester for å konfigurere denne funksjonen. SNMP-serverhandlinger 1 Velg Meny Konfigurasjon Registrerte servere. 2 Velg en SNMP-server fra listen over registrerte servere. Klikk på Handlinger og en endring tilgjengelig fra siden Registrerte servere. Handling Rediger Slett Beskrivelse Rediger serverinformasjon etter behov, og klikk deretter på Lagre. Sletter den valgte SNMP-serveren. Klikk på Ja når du blir bedt om det. Importere.mib-filer Importer.mib-filer før du konfigurerer regler for å sende varselsmeldinger til en SNMP-server via en SNMP-felle. Du må importere tre.mib-filer fra \Program Files\McAfee\ePolicy Orchestrator\MIB. Filene må importeres i følgende rekkefølge: 1 NAI-MIB.mib 2 TVD-MIB.mib 3 EPO-MIB.mib McAfee epolicy Orchestrator programvare Produktveiledning 239

240 15 Konfigurering av automatiske responser Konfigurere automatiske responser Med disse filene kan programmet for nettverksbehandling dekode dataene i SNMP-fellene til meningsfylt tekst. EPO-MIB.mib-filen er avhengig av de to andre filene for å definere følgende feller: epothreatevent: Denne fellen sendes når det utløses en automatisk respons på en McAfee epo-trusselhendelse. Den inneholder variabler som tilsvarer egenskapene til trusselhendelsen. epostatusevent: Denne fellen sendes når det utløses en automatisk respons for en McAfee epo-statushendelse. Den inneholder variabler som tilsvarer egenskapene til en (server-)statushendelse. epoclientstatusevent: Denne fellen sendes når det utløses en automatisk respons for en McAfee epo-klientstatushendelse. Den inneholder variabler som tilsvarer egenskapene til klientstatushendelsen. epotestevent: Dette er en testfelle som sendes når du klikker på Send testfelle på sidene Ny SNMP-server eller Rediger SNMP-server. Hvis du vil ha instruksjoner for import og implementering av.mib-filer, kan du lese produktdokumentasjonen til programmet for nettverksbehandling. Administrere registrerte kjørbare filer og eksterne kommandoer De registrerte kjørbare filene du konfigurerer, kjøres når betingelsene til en regel er oppfylt. Automatiske responser utløser kjøring av de registrerte kjørbare kommandoene. Du kan kjøre registrerte kjørbare kommandoer bare på konsollprogrammer. 1 Velg Meny Konfigurasjon Registrerte kjørbare filer. 2 Velg en av disse handlingene. Handling Legg til en registrert kjørbar fil Trinn 1 Klikk på Handlinger Registrert kjørbar. 2 Angi et navn for den registrerte kjørbare filen. 3 Angi banen, og velg den registrerte kjørbare filen som du vil at en regel skal utføre når den utløses. 4 Endre brukerlegitimasjonen ved behov. 5 Test den kjørbare filen og bekreft at den fungerer med revisjonsloggen. 6 Klikk på Lagre. Den nye registrerte kjørbare filen vises i listen Registrerte kjørbare. Rediger en registrert kjørbar fil 1 Finn den registrerte kjørbare filen du vil redigere på siden Registrert kjørbar, og klikk deretter på Rediger. 2 Endre informasjonen etter behov, og klikk deretter på Lagre. 240 McAfee epolicy Orchestrator programvare Produktveiledning

241 Konfigurering av automatiske responser Velge et varselintervall 15 Handling Dupliser en registrert kjørbar fil Slett en registrert kjørbar fil Trinn 1 Finn den registrerte kjørbare filen du vil duplisere på siden Registrert kjørbar, og klikk deretter på Dupliser. 2 Angi et navn for den registrerte kjørbare filen, og klikk på OK. Den dupliserte registrerte kjørbare filen vises i listen Registrerte kjørbare. 1 Finn den registrerte kjørbare filen du vil slette på siden Registrert kjørbar, og klikk deretter på Slett. 2 Klikk på OK i spørsmålet som vises. Den slettede registrerte kjørbare filen vises ikke lenger i listen Registrerte kjørbare. Velge et varselintervall Denne innstillingen bestemmer hvor ofte systemet for automatisk respons varsles om at det har oppstått en hendelse. Disse hendelsene genererer varsler: Klienthendelser: Hendelser som oppstår på administrerte systemer. Eksempel: produktoppdatering fullført. Trusselhendelser: Hendelser som angir at mulige trusler er oppdaget. Eksempel: Virus oppdaget. Serverhendelser: Hendelser som oppstår på serveren. Eksempel: programdatabase-pull mislyktes. En automatisk respons kan bare utløses etter at systemet for automatisk respons har mottatt et varsel. Angi et kort intervall for sending av varsler, og velg et evalueringsintervall som er hyppig nok til å sikre at systemet for automatisk respons kan respondere på en hendelse til riktig tid. Intervallet bør imidlertid ikke være så hyppig at det legger for stort beslag på båndbredden. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Hendelsesvarsler fra Innstillingskategorier, og klikk deretter på Rediger. 2 Angi en verdi mellom 1 og 9999 minutter for Evalueringsintervallet (1 minutt som standard), og klikk deretter på Lagre. Opprette og redigere automatiske responsregler Definer når og hvordan en hendelse skal besvares. Automatiske responsregler har ingen avhengighetsrekkefølge. McAfee epolicy Orchestrator programvare Produktveiledning 241

242 15 Konfigurering av automatiske responser Opprette og redigere automatiske responsregler r Definere en regel på side 242 Når du oppretter en regel, inkluderer du informasjon som andre brukere kan trenge for å forstå formålet med eller effekten av regelen. Angi filtre for regelen på side 242 For å begrense hendelsene som kan utløse responsen, kan du angi filtrene for responsregelen på siden Filtre i responsbyggeren. Angi Aggregasjon og grupperingskriterier for regelen på side 242 Definer når hendelser utløser en regel, på siden Aggregasjon i responsbyggeren. Konfigurere handlingene for regler for automatisk respons på side 243 Konfigurer responsene som utløses av regelen på siden Handlinger i Responsbygger. Definere en regel Når du oppretter en regel, inkluderer du informasjon som andre brukere kan trenge for å forstå formålet med eller effekten av regelen. 1 Velg Meny Automatisering Automatiske responser og klikk på Ny respons, eller klikk på Rediger ved siden av en eksisterende regel. 2 Skriv et unikt navn på og eventuelle notater om regelen, på siden Beskrivelse. Et godt navn gir brukere en generell idé om hva regelen gjør. Bruk notater til å gi en mer detaljert beskrivelse. 3 Velg språket regelen bruker, i menyen Språk. 4 Velg hendelsesgruppen og hendelsestype som utløser denne responsen. 5 Velg Aktivert eller Deaktivert ved siden av Status. Standard er Aktivert. 6 Klikk på Neste. Angi filtre for regelen For å begrense hendelsene som kan utløse responsen, kan du angi filtrene for responsregelen på siden Filtre i responsbyggeren. 1 Fra listen Tilgjengelige egenskaper velger du en egenskap og angir verdien for filtrering av responsresultatet. Tilgjengelige egenskaper avhenger av hendelsestypen og hendelsesgruppen du har valgt på siden Beskrivelse. 2 Klikk på Neste. Angi Aggregasjon og grupperingskriterier for regelen Definer når hendelser utløser en regel, på siden Aggregasjon i responsbyggeren. Grenseverdien for en regel er en kombinasjon av aggregasjon, begrensing og gruppering. 242 McAfee epolicy Orchestrator programvare Produktveiledning

243 Konfigurering av automatiske responser Opprette og redigere automatiske responsregler 15 1 Velg et aggregasjonsnivå ved siden av Aggregasjon. Hvis du vil utløse responsen for hver hendelse, velger du Utløs denne responsen for hver hendelse. Hvis du vil utløse responsen etter at flere hendelser har oppstått, utfører du disse trinnene. 1 Velg Utløs denne responsen hvis flere hendelser oppstår innen. Deretter definerer du perioden i minutter, timer eller dager. 2 Velg aggregasjonsvilkår. Når antallet distinkte verdier for en hendelsesegenskap har en minimumsverdi: Denne betingelsen brukes når en distinkt verdi for en hendelsesegenskap er valgt. Når antallet hendelser er minst: Skriv et definert antall hendelser. Du kan for eksempel angi at responsen skal utføres etter det som skjer først av at en forekomst av den valgte hendelsesegenskapen overskrider 300, og at antallet hendelser overskrider Ved siden av Gruppering kan du angi om du vil gruppere de samlet hendelsene. I så fall må du angi egenskapen for hendelsen de grupperes etter. 3 Velg om nødvendig Utløs denne responsen høyst én gang hver ved siden av Begrensning, og definer hvor langt tid det må gå før denne regelen kan sende en ny varselmelding. Tidsperioden kan defineres i minutter, timer eller dager. 4 Klikk på Neste. Konfigurere handlingene for regler for automatisk respons Konfigurer responsene som utløses av regelen på siden Handlinger i Responsbygger. Konfigurer flere handlinger ved å bruke knappene + og - ved siden av rullegardinlisten for typen varsel. 1 Konfigurer hver handling som oppstår, som del av responsen. Når du har konfigurert alternativene for en handling, klikker du på Neste hvis du er ferdig eller på + for å legge til en handling til. Hvis du vil sende en e-postmelding som del av responsen, velger du Send e-post fra rullegardinlisten. 1 Klikk på... ved siden av Mottakere, og velg mottakerne for meldingen. Listen over tilgjengelige mottakere hentes fra Kontakter (Meny Brukeradministrasjon Kontakter). Du kan også skrive inn e-postadressene manuelt, atskilt med komma. 2 Velg viktigheten for e-posten. 3 Skriv meldingens Emne eller sett inn en av de tilgjengelige variablene direkte i emnet. 4 Skriv meldingsteksten eller sett inn en av de tilgjengelige variablene direkte i brødteksten. McAfee epolicy Orchestrator programvare Produktveiledning 243

244 15 Konfigurering av automatiske responser Opprette og redigere automatiske responsregler Hvis du vil sende en SNMP-felle, velger du Send SNMP-felle i rullegardinlisten. 1 Velg en SNMP-server i rullegardinlisten. 2 Velg verditypene du vil sende i SNMP-fellen. Noen hendelser inneholder ikke all angitt informasjon. Hvis valget ditt ikke er tilgjengelig, finnes ikke informasjonen i hendelsesfilen. Hvis du vil kjøre en ekstern kommando, velger du Kjør ekstern kommando i rullegardinlisten. 1 Velg Registrerte kjørbare filer, og skriv inn eventuelle argumenter for kommandoen. Hvis du vil opprette et problem, velger du Opprett problem i rullegardinlisten. 1 Velg problemtypen du vil opprette. 2 Skriv et unikt navn på og eventuelle merknader til problemet, eller sett inn en av de tilgjengelige variablene direkte i navnet og beskrivelsen. 3 Velg Status, Prioritet, Alvorlighet og Løsning for problemet fra de respektive rullegardinlistene. 4 Skriv inn navnet på tildelt person i tekstboksen. 5 Klikk på Neste hvis du er ferdig, eller på + for å legge til et varsel til. Hvis du vil kjøre en planlagt oppgave, velger du Utfør serveroppgave i rullegardinlisten. 1 Velg oppgaven du vil kjøre, i rullegardinlisten for som skal utføres. 2 Klikk på Neste hvis du er ferdig, eller på + for å legge til et varsel til. 2 Bekreft informasjonen på siden Oppsummering, og klikk deretter på Lagre. Den nye regelen vises i listen Responser. Regler for automatisk respons har ingen avhengighetsrekkefølge. 244 McAfee epolicy Orchestrator programvare Produktveiledning

245 16 16 Agent-til-server-kommunikasjon Klientsystemer bruker McAfee Agent og agent-til-server-kommunikasjon til å kommunisere med McAfee epo-serveren. Se produktveiledningen for McAfee Agent for å få versjonsspesifikk informasjon om agentene. Innhold Hvordan agent-til-server-kommunikasjon fungerer Anbefalt fremgangsmåte: Beregning og justering av ASCI Administrere agent-til-server-kommunikasjon Siden Oppdater nå Hvordan agent-til-server-kommunikasjon fungerer McAfee Agent kommuniserer jevnlig med McAfee epo-serveren gjennom agent-til-server-kommunikasjon for å sende hendelser og sikre at alle innstillingene er oppdatert. Under en agent-til-server-kommunikasjon samler McAfee Agent inn gjeldende systemegenskaper, samt hendelser som ennå ikke er sendt, og sender alt dette til serveren. Serveren sender nye eller endrede policyer og oppgaver til McAfee Agent, og programdatabaselisten hvis den har blitt endret etter siste agent-til-server-kommunikasjon. Se produktveiledningen for McAfee Agent for å få mer informasjon om: Hvordan agent-til-server-kommunikasjon fungerer Hvordan SuperAgenter fungerer for å bruke båndbredde og McAfee epo-ytelse Samle inn McAfee Agent-statistikk Spørringer fra McAfee Agent McAfee epolicy Orchestrator programvare Produktveiledning 245

246 16 Agent-til-server-kommunikasjon Anbefalt fremgangsmåte: Beregning og justering av ASCI Anbefalt fremgangsmåte: Beregning og justering av ASCI Du må kanskje beregne og justere intervallet for agent-til-server-kommunikasjon (ASCI) i nettverket ditt avhengig av antallet systemer i det administrerte miljøet ditt. Beregne optimalt ASCI: Anbefalt fremgangsmåte For å forbedre McAfee epo-serverytelsen må du kanskje justere ASCI-innstillingen for det administrerte nettverket ditt. For å avgjøre om du bør endre ASCI, kan du tenke på hvor ofte det oppstår endringer i endepunktpolicyene på McAfee epo-serveren. Når policyene er på plass, endres de ikke ofte i de fleste organisasjoner. Noen organisasjoner endrer endepunktpolicyen sjeldnere enn annenhver måned. Det betyr at hvis et system ser etter policyendringer hvert 60. minutt rundt åtte ganger i løpet av en vanlig arbeidsdag er dette i overkant. Hvis agenten ikke finner noen nye policyer å laste ned, venter den til neste agent-server-kommunikasjon og sjekker på nytt ved neste planlagte innsjekkingstidspunkt. Ved beregning av ASCI er ikke bekymringen eventuelt misbruk av båndbredde, ettersom agent-til-server-kommunikasjon bare bruker noen få kilobyte for hver hendelse. Bekymringen er belastningen på McAfee epo-serveren fra hver kommunikasjon fra hver agent i større miljøer. Alle agentene må kommunisere minst to ganger hver dag med McAfee epo-serveren. Dette krever et ASCI på minutter i de fleste organisasjoner. For organisasjoner med færre enn noder, er ikke en standard ASCI-innstilling på 60 minutter et problem. Men i organisasjoner med over noder bør du endre standardinnstillingen på 60 minutter til rundt 3 4 timer. For organisasjoner med mer enn noder er ASCI-innstillingen mye viktigere. Hvis McAfee epo-serveren din ikke har ytelsesproblemer, kan du bruke ASCI-intervallet på 4 timer. Hvis det oppstår ytelsesproblemer, bør du vurdere å øke ASCI-intervallet til 6 timer, kanskje enda mer. Denne endringen reduserer antallet agenter som forsøker å koble til McAfee epo-serveren samtidig, og forbedrer serverytelsen. Du kan finne ut hvor mange tilkoblinger som gjøres til McAfee epo-serveren ved bruk av McAfee epo-ytelsestellerne. Denne tabellen viser grunnleggende ASCI-retningslinjer. Nodeantall Anbefalt ASCI minutter minutter eller fler minutter Konfigurere ASCI-innstillingen: Anbefalt fremgangsmåte Når du har beregnet den beste ASCI-innstillingen, kan du rekonfigurere innstillingen i McAfee epo-serveren. ASCI er angitt som 60 minutter som standard. Hvis dette intervallet er for hyppig for organisasjonen din, kan du endre det. 246 McAfee epolicy Orchestrator programvare Produktveiledning

247 Agent-til-server-kommunikasjon Administrere agent-til-server-kommunikasjon 16 1 Velg Meny Policy Policykatalog og velg McAfee Agent fra Produkt-listen og Generelt fra Kategori-listen. 2 Klikk på navnet til policyen du vil endre og Generelt-fanen. 3 Ved siden av Intervall for agent-til-server-kommunikasjon skriver du inn antallet minutter mellom oppdateringer. Dette eksempelet viser intervallet angitt til 60 minutter. 4 Klikk på Lagre. Hvis du sender en policyendring eller legger til en klientoppgave umiddelbart, kan du utføre et vekkesignal til agent. Administrere agent-til-server-kommunikasjon Endre McAfee epo-innstillinger for å tilpasse agent-til-server-kommunikasjon etter behovene i miljøet. Tillate bufring av legitimasjon for agentdistribusjon Administratorer må oppgi legitimasjon for å kunne distribuere agenter fra McAfee epo-serveren på systemer i nettverket. Du kan velge om du vil tillate bufring av legitimasjon for agentdistribusjon for hver bruker. Når en brukers legitimasjon bufres, kan brukeren distribuere agenter uten å måtte oppgi legitimasjonen flere ganger. Legitimasjonen bufres per bruker, og det betyr at en bruker som ikke har oppgitt sin legitimasjon tidligere, ikke kan distribuere agenter uten å måtte oppgi sin egen legitimasjon først. 1 Velg Meny Konfigurasjon ServerinnstillingerVelg Legitimasjon for agentdistribusjon i Innstillingskategorier, og klikk på Rediger. 2 Velg avmerkingsboksen slik at du tillater bufring av legitimasjon for agentdistribusjon. Endre agentkommunikasjonsporter Du kan endre enkelte av portene som brukes til agentkommunikasjon på McAfee epo-serveren. Du kan endre innstillingene for følgende agentkommunikasjonsporter: Sikker agent-til-server-kommunikasjonsport Kommunikasjonsport for agentvekking Kommunikasjonsport for agentkringkasting McAfee epolicy Orchestrator programvare Produktveiledning 247

248 16 Agent-til-server-kommunikasjon Siden Oppdater nå 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Porter i Innstillingskategorier, og klikk på Rediger. 2 Velg om du vil aktivere port 443 som sikkert port for agent-til-server-kommunikasjon. Angi portene som skal brukes til vekkesignaler til agent, og klikk deretter på Lagre. Siden Oppdater nå På denne siden kan du velge hvilke pakketyper som oppdateres til dette systemet. Tabell 16-1 Definisjoner av alternativer Alternativ Oppdater systemene Pakketyper Definisjon Viser navnet på systemet eller systemene som oppdateres. Alle pakker: Velg for å oppdatere alle pakketyper på siden fra master-programdatabasen. Valgte pakker: Velg de bestemte pakketypene som du vil oppdatere fra master-programdatabasen, herunder: Signaturer og motorer: Velg signaturene og motorene du vil oppdatere. Programoppdateringer og Service Packs: Velg elementene du vil oppdatere. 248 McAfee epolicy Orchestrator programvare Produktveiledning

249 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Du kan opprette spørringer og oppgaver som skal kjøres automatisk for å forbedre serverytelsen, gjøre vedlikehold enklere og overvåke trusler. Når du endrer en policy, en konfigurasjon, en klient- eller serveroppgave, en automatisk respons eller en rapport, bør du eksportere innstillingene før og etter endringen. Innhold Anbefalt fremgangsmåte: Finne systemer med samme GUID Gode fremgangsmåter: Automatisk tømming av hendelser Gode fremgangsmåter: Oppretting av automatisk innholdspulling og -reproduksjon Gode fremgangsmåter: Filtrering av og 1059-hendelser Gode fremgangsmåter: Finne systemer som trenger en ny agent Finne inaktive systemer: Anbefalt fremgangsmåte Gode fremgangsmåter for måling av skadelig programvarehendelser Finne skadelig programvare-hendelser for hvert undernett: Anbefalt fremgangsmåte Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport Anbefalt fremgangsmåte: Finne systemer med samme GUID Du kan bruke forhåndskonfigurerte serveroppgaver som kjører spørringer og målretter mot systemer med samme GUID. Denne oppgaven ber agenten om å generere GUID-en på nytt og løse problemet. 1 Velg Meny Automatisering Serveroppgaver for å åpne Serveroppgavebygger. 2 Klikk på Rediger i Handlinger-kolonnen for en av de følgende forhåndskonfigurerte serveroppgavene. Duplisert agent-guid Fjern feiltelling Duplisert agent-guid Fjern systemer som potensielt bruker samme GUID 3 På Beskrivelse-siden velger du Aktivert og klikker på: Lagre Aktiver serveroppgaven og kjør den fra Serveroppgave-siden. Neste Planlegg at serveroppgaven kjører på et bestemt tidspunkt og utfør oppgaven. Dette fjerner feiltellingen og fjerner eventuelle systemer med samme GUID, og tildeler systemet en ny GUID. McAfee epolicy Orchestrator programvare Produktveiledning 249

250 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter: Automatisk tømming av hendelser Gode fremgangsmåter: Automatisk tømming av hendelser Tøm jevnlig hendelsene som sendes til McAfee epo-serveren daglig. Disse hendelsene kan redusere ytelsen til McAfee epo-serveren og SQL-servere. Hendelser kan være alt fra en trussel som oppdages til en oppdatering som fullføres. I miljøer med noen hundre noder kan du tømme hendelsene hver natt. Men i miljøer der tusenvis av noder rapporterer til McAfee epo-serveren, er det viktig å slette disse hendelsene etter hvert som de mister sin relevans. I slike store miljøer påvirker databasestørrelsen ytelsen til McAfee epo-serveren, og du må ha en renset database. Du må angi en lagringsperiode for hendelsesdataene. Lagringsperioden kan være alt fra én måned til et helt år. De fleste organisasjoner bruker en lagringsperiode på rundt seks måneder. I et slik tilfelle slettes hendelsene fra databasen seks måneder etter at de inntreffer. McAfee epo har ikke en forhåndskonfigurert serveroppgave for tømming av hendelser. Dette betyr at mange brukere aldri oppretter en oppgave for å tømme disse hendelsene. Dermed vokser SQL-databasen for McAfee epo-severen i en høy hastighet, og blir aldri renset. Se også Rapporteringsfunksjoner på side 359 Opprette en serveroppgave for tømming av hendelser Opprett en automatisert serveroppgave som sletter alle gamle og unødvendige hendelser i databasen. Noen organisasjoner har spesielle policyer for hendelsesbevaring eller krav til rapportering. Kontroller at innstillingene for tømming samsvarer med disse policyene. 1 For å åpne dialogboksen for Serveroppgavebyggeren velger du Meny Automatisering Serveroppgaver og klikker deretter påhandlinger Ny oppgave. 2 Skriv inn et navn for oppgaven, for eksempel Slett klienthendelser, legg til en beskrivelse og klikk på Neste. 3 Konfigurer disse handlingene fra listen på Handlinger-fanen: Tøm revisjonslogg tøm etter 6 måneder. Tøm klienthendelser tøm etter 6 måneder. Tøm serveroppgavelogg tøm etter 6 måneder. 250 McAfee epolicy Orchestrator programvare Produktveiledning

251 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter: Automatisk tømming av hendelser 17 Tøm trusselhendelsesloggen tøm hver dag. Tøm SiteAdvisor Enterprise-hendelser: Tøm etter 10 dager. Du kan kjede sammen handlingene i én oppgave slik at du ikke trenger å opprette flere oppgaver. Dette eksempelet tømmer SiteAdvisor Enterprise-hendelser fordi de ikke er inkludert i tabellen for normale hendelser, og krever en egen tømmeoppgave. SiteAdvisor Enterprise-hendelsene beholdes bare i 10 dager fordi de samler inn alle URLene som besøkes av de administrerte systemene. Disse hendelsene kan lagre en stor mengde data i miljøer med mer enn systemer. Derfor lagres disse dataene i mye kortere tid sammenlignet med andre hendelsestyper. 4 Klikk på Neste og planlegg at oppgaven skal kjøres hver dag utenfor arbeidstiden. 5 Klikk på fanen Oppsummering, bekreft at innstillingene for serveroppgaven er riktige og klikk på Lagre. Tøm hendelser etter spørring Du kan bruke en tilpasset konfigurert spørring som grunnlag for å slette klienthendelser. Før du begynner Du må ha opprettet en spørring for å finne hendelsene du vil tømme før du starter denne oppgaven. Det kan være ulike årsaker til at du kanskje må tømme data eller hendelser basert på en spørring. For eksempel kan mange spesifikke hendelser overbelaste databasen. I dette eksempelet vil du kanskje ikke vente på at hendelsen blir foreldet, hvis du lagrer hendelser i seks måneder før de slettes. I stedet vil du slette denne spesifikke hendelsen umiddelbart eller hvert natt. Tømming av disse hendelsene kan forbedre ytelsen til McAfee epo-serveren og databasen betydelig. Konfigurer tømming av data basert på resultatene av en spørring. 1 Velg Meny Automatisering Serveroppgaver og klikk deretter påhandlinger, Ny oppgave for å åpne Serveroppgavebygger. 2 Skriv inn et navn for oppgaven, for eksempel Slett 1059-klienthendelser. På Handlinger-fanen klikker du deretter på Tøm klienthendelser fra Handlinger-listen. 3 Klikk på Tøm etter spørring og velg den tilpassede spørringen du opprettet. Denne menyen fylles ut automatisk når tabellspørringene er opprettet for klienthendelser. 4 Planlegg at oppgaven skal kjøres hver dag utenfor arbeidstiden, og klikk på Lagre. Se også Opprette egendefinerte tabellspørringer: Anbefalt fremgangsmåte på side 367 McAfee epolicy Orchestrator programvare Produktveiledning 251

252 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter: Oppretting av automatisk innholdspulling og -reproduksjon Gode fremgangsmåter: Oppretting av automatisk innholdspulling og -reproduksjon Henting av innhold fra de offentlige McAfee-serverne er en av hovedfunksjonene til McAfee epo-serveren. Jevnlig innholdshenting holder beskyttelsessignaturene for McAfee-produktene oppdaterte. Henting av de nyeste DAT- og innholdsfilene holder beskyttelsessignaturene for McAfee-produkter som VirusScan Enterprise og Host Intrusion Prevention oppdaterte. Hovedtrinnene er følgende: 1 Hent innhold fra McAfee til master-programdatabasen, som alltid er McAfee epo-serveren. 2 Reproduser dette innholdet til de distribuerte programdatabasene dine. Dette sikrer at flere kopier av innholdet er tilgjengelige og synkroniserte. Dette gjør også at klientene kan oppdatere innholdet sitt fra den nærmeste programdatabasen. Det viktigste innholdet er DAT-filene for VirusScan Enterprise som frigis rundt klokken Eastern Time (19.00 UTC eller GMT). Alternativt velger mange brukere med større miljøer å teste DAT-filene i miljøet sitt før de distribuerer dem til alle systemene. Hente innhold automatisk: Anbefalt fremgangsmåte Hent McAfee-innhold fra de offentlige McAfee-serverne. Denne pull-oppgaven holder beskyttelsessignaturene dine oppdaterte. Du må angi at pull-oppgavene (hentingsoppgavene) skal kjøre minst én gang om dagen etter kl Eastern Time (19.00 UTC eller GMT). I følgende eksempel er hentingen planlagt å kjøre to ganger daglig. Hvis det oppstår et nettverksproblem klokken 17.00, kjøres oppgaven på nytt klokken Noen brukere velger å hente oppdateringer oftere, så ofte som hvert 15. minutt. Hyppig henting av DAT-filer er ofte aggressivt og unødvendig ettersom DAT-filer vanligvis bare frigis én gang om dagen. Det holder å hente filene to til tre ganger om dagen. Hvis du vil teste DAT-filene før du distribuerer dem, trenger du en forutsigbar hentingsplan. 1 Velg Meny Automatisering Serveroppgaver og klikk på Handlinger Ny oppgave. 2 I dialogboksen for Serveroppgavebygger skriver du inn et oppgavenavn og klikker på Neste. 3 Angi hvilken signatur som skal inkluderes i pull-oppgaven. a I dialogboksen Handlinger, fra Handlinger-listen, velger du Programdatabase-pull og klikker på Valgte pakker. b Velg signaturene som gjelder miljøet ditt. Anbefalt fremgangsmåte: Når du oppretter en pull-oppgave for innhold (henting), må du bare velge pakkene som gjelder for miljøet ditt, i stedet for å velge Alle pakker. Dette gjør at din Master-programdatabase forblir håndterbar. Det reduserer også båndbredden som brukes under hentingen fra McAfee-webområdet og under reproduksjon til de distribuerte programdatabasene. 4 Klikk på Neste. 252 McAfee epolicy Orchestrator programvare Produktveiledning

253 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter: Filtrering av og 1059-hendelser 17 5 Du må angi at pull-oppgaven (hentingsoppgaven) skal kjøre minst én gang om dagen etter kl Eastern Time. Klikk deretter på Neste. 6 Klikk på fanen Oppsummering, bekreft at innstillingene for serveroppgaven er riktige og klikk på Lagre. Nå har du opprettet en serveroppgave som automatisk henter McAfee-DAT-filer og innhold fra de offentlige McAfee-serverne. Gode fremgangsmåter: Filtrering av og 1059-hendelser og 1059-hendelser kan utgjøre 80 % av hendelsene som er lagret i databasen din. Hvis disse hendelsene er aktiverte, må du sørge for at du tømmer dem jevnlig. Hvis du ikke har sjekket Hendelsesfiltrering på McAfee epo-serveren på lenge, bør du kjøre Spørringen for hendelsessammendrag og sjekke utdataene. De to vanligste hendelsene vi ser i kundemiljøer er: 1051 Kunne ikke skanne passordbeskyttet fil 1059 Skanningen fikk tidsavbrudd Disse to hendelsene kan aktiveres på McAfee epo-serveren. Hvis du aldri deaktiverte dem, kan du finne et betydelig antall av slike hendelser når du kjører Spørringen for hendelsessammendrag. Disse to hendelsene kan for noen brukere utgjøre 80 % av hendelsene i databasen, ta opp veldig mye plass og påvirke databasens ytelse hendelser indikerer at en fil ikke ble skannet, men at brukeren ble gitt tilgang. Deaktivering av 1059-hendelsen betyr at du mister innsikt i en sikkerhetsrisiko. Så hvorfor er disse hendelsene der? Disse hendelsene har historisk betydning. De ble opprettet for flere år siden og er ment å fortelle deg at en fil ikke ble skannet av VirusScan Enterprise. Det kan være to grunner til at filen ikke ble skannet: Skanningen fikk tidsavbrudd grunnet filens størrelse, en 1059-hendelse. Den var umulig å få tilgang til grunnet passordbeskyttelse eller kryptering av filen, en 1051-hendelse. Deaktiver disse to hendelsene under hendelsesfiltrering for å unngå at disse hendelsene overbelaster databasen din. Når du deaktiverer disse hendelsene, forteller du agenten at disse hendelsene ikke lenger skal sendes til McAfee epo. VirusScan Enterprise loggfører fortsatt disse hendelsene i loggfilen for tilgangsskanning på den lokale klienten. Alternativt kan du deaktivere flere hendelser, men dette er vanligvis ikke nødvendig ettersom de fleste andre hendelsene er viktige og genereres i håndterbare mengder. Du kan også aktivere flere hendelser, så lenge du overvåker spørringen for hendelsessammendrag for å kontrollere at den nye hendelsen du aktiverte, ikke overbelaster databasen. Gode fremgangsmåter: Filtrer og 1059-hendelser Deaktiver og 1059-hendelser hvis du finner et stort antall av dem når du kjører spørringen for hendelsessammendrag. McAfee epolicy Orchestrator programvare Produktveiledning 253

254 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter: Finne systemer som trenger en ny agent 1 Velg Meny Konfigurasjon Serverinnstillinger. I listeninnstillingskategorier velger du Hendelsesfiltrering og klikker på Rediger. 2 I listen Agenten videresender på siden Rediger hendelsesfiltrering ruller du ned til du ser disse hendelsene og opphever merkingen for dem: 1051: Kunne ikke skanne, passordbeskyttet (middels) 1059: Skanningen fikk tidsavbrudd (middels) Denne figuren viser og 1059-hendelser som merkingen er opphevet for på siden Serverinnstillinger. Figur 17-1 Opphevet merking for og 1059-hendelser 3 Klikk på Lagre. Nå lagres ikke lenger disse to hendelsene i McAfee epo-serverdatabasen når de videresendes fra agenter. Gode fremgangsmåter: Finne systemer som trenger en ny agent Hvis du mistenker at noen av dine administrerte systemer ikke har samme McAfee Agent installert, kan du utføre disse oppgavene for å finne systemer med eldre agentversjoner og velge disse systemene for en McAfee Agent-oppgradering. 254 McAfee epolicy Orchestrator programvare Produktveiledning

255 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter: Finne systemer som trenger en ny agent 17 Gode fremgangsmåter for å opprette en spørring for agentversjonssammendrag Finn systemer med gamle McAfee Agent-versjoner ved bruk av en spørring for å generere en liste over alle agentversjonene som er eldre enn den gjeldende versjonen. 1 For å duplisere spørringen for agentversjon-sammendrag må du velge Meny Rapportering Spørringer og rapporter, og deretter finne spørringen agentversjon-sammendrag i listen. 2 I Handlinger-kolonnen i spørringen for agentversjon-sammendrag klikker du på Dupliser. I dialogboksen Dupliser må du endre navnet, velge en gruppe som skal motta kopien av spørringen og klikke på OK. 3 Naviger til den dupliserte spørringen du opprettet. Klikk deretter på Rediger i Handlinger-kolonnen for å vise den forhåndskonfigurerte Spørringsbyggeren. 4 I fanen Diagram, i listen Vis resultater som, utvider du Liste og velger Tabell. 5 For å konfigurere "Sorter etter felter" på siden Konfigurer diagram: Tabell må du velge Produktversjon (Agent) under Agentegenskaper. I listen klikker du på Verdi (synkende) og deretter på Neste. 6 I fanen Kolonner fjerner du alle forhåndskonfigurerte kolonner utenom Systemnavn. Klikk deretter på Neste. 7 I Filter-fanen konfigurerer du disse kolonnene og klikker på Kjør: a For Egenskaper-kolonnen velger du Produktversjon (Agent) fra listentilgjengelige egenskaper. b c For Sammenligning-kolonnen velger du Mindre enn. For Verdi-kolonnen skriver du inn gjeldende McAfee Agent-versjonsnummer. Når du skriver inn det gjeldende agentnummeret finner spørringen bare versjoner som er eldre enn dette versjonsnummeret. Nå kan den nye spørringen din kjøres fra en produktdistribusjon for å oppdatere de eldre McAfee Agent-versjonene. Oppdatere McAfee-agenter med et prosjekt for produktdistribusjon: Anbefalt fremgangsmåte Oppdater de gamle McAfee Agent-versjonene med en spørring for Agentversjon-sammendrag og en Produktdistribusjon-oppgave. 1 Velg Meny Programvare Produktdistribusjon og klikk på Ny distribusjon. 2 Konfigurer følgende innstillinger fra siden Ny distribuering. a Skriv inn et navn og en beskrivelse av distribusjonen. Navnet vises på siden Produktdistribuering etter at distribusjonen er lagret. b Ved siden av Type velger du Fast. McAfee epolicy Orchestrator programvare Produktveiledning 255

256 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Finne inaktive systemer: Anbefalt fremgangsmåte c d e Ved siden av Pakke velger du McAfee Agent som du vil installere på systemene. Velg språk og programdatabasegrenen (Evaluering, Aktuell ellerforrige) som du vil distribuere fra. Ved siden av Kommandolinje angir du eventuelle installasjonsalternativer for kommandolinje. Se produktveiledningen for McAfee Agent for informasjon om kommandolinjealternativer. I gruppen Velg systemene klikker du på Velg systemer, og fra dialogboksen klikker du på Spørringer-fanen og konfigurerer disse alternativene. Klikk deretter på OK: Velg tabellspørringen for agentversjon-sammendraget som du opprettet. Velg systemnavnene som vises i Systemer-listen. Totalt-feltet viser antallet valgte systemer. f Ved siden av Velg et starttidspunkt velger du Kjør umiddelbart fra listen. 3 Klikk på Lagre. Produktdistribuering-prosjektet begynner å kjøre og lar deg overvåke distribusjonsprosessen og -statusen. Se også Overvåke og redigere distribueringsprosjekter på side 186 Finne inaktive systemer: Anbefalt fremgangsmåte De fleste miljøer er i konstant endring nye systemer legges til og gamle fjernes. Disse endringene skaper inaktive McAfee Agent-systemer som kan gjøre overholdelsesrapportene dine skjeve om du ikke sletter dem. Når systemer tas ut av drift eller blir borte grunnet langvarig reising, brukere som er borte eller andre grunner, bør disse fjernes fra Systemtreet. Et eksempel på en skeiv rapport kan være DAT-rapporten om overholdelse. Hvis du har systemer i Systemtreet som ikke har rapportert til McAfee epo-serveren på 20 dager, vises de som utdaterte med 20 dager, og påvirker overholdelsesrapportene dine. Grunnleggende feilsøking Når et system ikke kommuniserer med McAfee epo-serveren, kan du prøve disse trinnene: 1 Fra Systemtreet velger og klikker du på Handlinger Agenter Vekk agent. Konfigurer et Intervall for å prøve på nytt på for eksempel 3 minutter. 2 For å slette enheten fra McAfee epo uten å fjerne agenten i Systemtreet velger du systemet og klikker på Handlinger Katalogadministrasjon Slett. Ikke velg Fjern agent ved neste agent-til-server-kommunikasjon. 3 Vent på at systemet kommuniserer med McAfee epo igjen. Systemet vises i Systemtre Hittegods-gruppe. Håndtering av inaktive systemer Du kan opprette en spørring og rapport for å filtrere ut systemer som ikke har kommunisert med McAfee epo-serveren på X dager. Eventuelt kan spørringen og rapporten slette eller automatisk flytte disse systemene. 256 McAfee epolicy Orchestrator programvare Produktveiledning

257 Automatisering og optimalisering av McAfee epo-arbeidsflyten Finne inaktive systemer: Anbefalt fremgangsmåte 17 Det er mest effektivt å enten slette eller automatisk flytte disse systemene. De fleste organisasjoner velger en frist på dager med ingen kommunikasjon før systemene slettes eller flyttes. For eksempel hvis et system ikke har kommunisert med McAfee epo-serveren etter denne fristen, kan du gjøre følgende: Slette systemet. Flytte systemet til en gruppe i treet som du kan tildele som f.eks. Inaktive agenter. En forhåndskonfigurert Renseoppgave for inaktiv agent finnes. Den er deaktivert som standard, men du kan redigere den og aktivere den på serveren din. Endre spørringen for inaktive agenter: Anbefalt fremgangsmåte Hvis standardspørringen for inaktive agenter ikke er konfigurert slik at den passer til behovene dine, kan du duplisere spørringen og bruke den som et utgangspunkt for å opprette en egendefinert spørring. Sletting av inaktive agenter som ikke har kommunisert i løpet av den siste måneden, er standardinnstillingen for den forhåndskonfigurerte spørringen for inaktive agenter. Hvis du vil endre innstillingen for standardtiden, må du lage en kopi av spørringen for inaktive agenter. Instruksjonene i denne oppgaven beskriver hvordan du kan lage en kopi av den eksisterende inaktive agenter-spørringen for å endre fristen til to uker. 1 For å duplisere inaktive agenter-spørringen velger du Meny Rapportering Spørringer og rapporter, og så finner du inaktive agenter-spørringen i listen. 2 I Handlinger-kolonnen til inaktive agenter-spørringen, klikker du på Dupliser. 3 I Dupliser-dialogboksen endrer du navnet, velger en gruppe for å motta kopien av spørringen og klikker deretter på OK. 4 Naviger til duplikatspørringen du opprettet. I Handlinger-kolonnen klikker du på Rediger for å vise den forhåndskonfigurerte spørringsbyggeren. 5 For å endre innstillingene i Filter-fanen fra én gang i måneden til hver andre uke må du angi Siste kommunikasjon-egenskapen Er ikke innenfor siste-sammenligningen til verdien 2 uker. Ikke endre egenskapen Administrert tilstand, Er lik-sammenligningen eller Administrert-verdien. 6 Klikk på Lagre. Nå er den nye inaktive agenter-spørringen klar til å kjøres fra en serveroppgave for å slette systemer med inaktive agenter. McAfee epolicy Orchestrator programvare Produktveiledning 257

258 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Finne inaktive systemer: Anbefalt fremgangsmåte Slette inaktive systemer: Anbefalt fremgangsmåte Bruk serveroppgaven Inaktive agenter-rensing med den forhåndskonfigurerte spørringen Inaktive agenter for å slette inaktive systemer automatisk. Før du begynner Du må ha aktivert eller duplisert spørringen Inaktive agenter. Sletting av et system i Systemtreet sletter bare oppføringen for systemet fra McAfee epo-databasen. Hvis systemet fysisk eksisterer, fortsetter det å jobbe som normalt med de siste policyene mottatt fra McAfee epo-serveren for aktuelle produkter. 1 For å duplisere Renseoppgave for inaktiv agent velger du Meny Automatisering Serveroppgaver og finner Renseoppgave for inaktiv agent i serveroppgavelisten. 2 Klikk på den forhåndskonfigurerte Renseoppgave for inaktiv agent, klikk på Handlinger Dupliser. 3 I dialogboksen Dupliser endrer du navnet på serveroppgaven og klikker på OK. 4 I serveroppgaveraden du opprettet, klikker du på Rediger for å vise Serveroppgavebygger-siden. 5 Fra fanen Beskrivelser skriver du inn eventuelle nødvendige merknader, klikker på Aktivert i Tidsplanstatus og klikker på Neste. 6 Konfigurer disse innstillingene i fanen Handlinger: a Fra listen Handlinger velger du Kjør spørring. b c d e For Spørring klikker du på... for å åpne dialogboksen Velg en spørring fra listen. Klikk på gruppefanen der du lagret kopien av Inaktive agenter-spørringen, velg spørringen din og klikk på OK. Velg ditt språk. I Underhandlinger velger du Slett systemer fra listen. Ikke klikk på Fjern agent. Denne innstillingen gjør at McAfee epo sletter McAfee Agent fra de inaktive systemene når de fjernes fra systemtreet. Uten agenten installert kan ikke det fjernede systemet automatisk starte kommunikasjonen med McAfee epo-serveren og gjenoppta plassen i systemtreet når systemet kobler til nettverket på nytt. (Valgfritt) I stedet for å bruke standardunderhandlingen Slett systemer, kan du velge Flytt systemer til en annen gruppe. Dette flytter systemene som er funnet av spørringen til en angitt gruppe, for eksempel Inaktive systemer i Systemtre. 7 Klikk på Neste, planlegg når du vil at denne serveroppgaven skal kjøre, og lagre deretter serveroppgaven. Nå fjernes inaktive systemer fra McAfee epo-serveren og systemoverholdelsesrapportene gir mer nøyaktig informasjon. 258 McAfee epolicy Orchestrator programvare Produktveiledning

259 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter for måling av skadelig programvarehendelser 17 Gode fremgangsmåter for måling av skadelig programvarehendelser Ved å telle skadelig programvare-hendelser får du en oversikt over angrep og trusler som oppdages og stoppes. Med denne informasjonen kan du måle tilstanden til nettverket ditt over tid, og gjøre endringer etter behov. Oppretting av en spørring som teller totalt antall infiserte systemer som renses hver uke, er første trinn i å finne en referanseverdi du kan bruke når du tester statusen for skadelig programvare i nettverket. Denne spørringen teller hvert system når en skadelig programvare-hendelse inntreffer. Den teller systemet kun én gang selv om det genererer tusenvis av hendelser. Når denne spørringen er opprettet, kan du gjøre følgende: Legge den til som et dashbord for å effektivt overvåke angrep fra skadelig programvare i nettverket ditt. Opprette en rapport for nettverksstatuser over tid. Opprette en automatisk respons som varsler deg hvis du når en terskel for antallet systemer som er påvirket av skadelig programvare. Gode fremgangsmåter for å opprette en spørring som teller antallet systemer som renses hver uke Oppretting av en spørring for å telle antallet systemer som renses hver uke, er en god metode for vurdere nettverkets generelle status. 1 Velg Meny Rapportering Spørringer og rapporter og klikk deretter på Handlinger Ny. 2 På fanen Spørringsveiviser Resultattyper for Funksjonsgruppen velger du Hendelser. I rutenresultattyper klikker du på Trusselhendelser og deretter på Neste. 3 På Diagram-fanen i listen Vis resultater som velger du Diagram med én linje. 4 I ruten Konfigurer diagram: Diagram med én linje konfigurerer du innstillingene og klikker på Neste: I Tidsgrunnlaget er velger du Tidspunkt for generering av hendelse. I Tidsenhet velger du Uke. I Tidssekvensen er velger du Eldste først. I Linjeverdiene er velger du Antall. Velg Trusselmålets vertsnavn. Klikk på Vis total. 5 I fanen Kolonner i listen Tilgjengelige kolonner velger du å vise disse kolonnene og klikker deretter på Neste: Tidspunkt for generering av hendelse Hendelseskategori Trusselmålets vertsnavn Trusselalvorlighet Trusselmålets IPv4-adresse Trusselnavn McAfee epolicy Orchestrator programvare Produktveiledning 259

260 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Finne skadelig programvare-hendelser for hvert undernett: Anbefalt fremgangsmåte 6 I fanenfilter i listen Tilgjengelige egenskaper må du konfigurere disse Obligatoriske kriteriene: For Tidspunkt for generering av hendelse må du velge disse innstillingene fra listen Er innenfor siste, 3 og Måneder. For Hendelseskategori må du velge disse innstillingene fra Tilhører-listen, Skadelig programvare. For Handling utført, må du velge disse innstillingene fra listene Er lik og Slettet. 7 Klikk på Lagre for å vise Lagre spørring-siden. Konfigurer deretter disse innstillingene: For Spørringsnavn må du skrive inn et navn på spørringen, for eksempel Totalt antall infiserte systemer renset hver uke. For Spørringsbeskrivelse må du skrive inn en beskrivelse av hva denne spørringen gjør. For Spørringsgruppe klikker du på Ny gruppe. Skriv inn navnet på spørringsgruppen og klikk på Offentlig. 8 Klikk på Lagre. Når du kjører denne spørringen, får du se antallet infiserte systemer som renses hver uke. Denne informasjonen er et mål på nettverkets generelle status. Finne skadelig programvare-hendelser for hvert undernett: Anbefalt fremgangsmåte Ved å finne trusler etter undernett-ip-adresser kan du se om en bestemt gruppe brukere trenger prosessendringer eller ytterligere beskyttelse på det administrerte nettverket ditt. Hvis du for eksempel har fire undernett, og bare ett undernett genererer trusselhendelser kontinuerlig, kan du begrense årsaken til disse truslene. Det kan være at brukere i det undernettet har delt infiserte USB-stasjoner. Gode fremgangsmåter for å opprette en spørring for å finne skadelig programvare-hendelser for hvert undernett Opprett en spørring for å finne skadelig programvare-hendelser og sorter dem etter undernett. Denne spørringen hjelper deg med å finne nettverk i miljøet ditt som er under angrep. 1 For å duplisere den eksisterende spørringen Trusselhendelsesbeskrivelser de siste 24 timene må du velge Meny Rapporter Spørringer og rapporter, og deretter finne og velge spørringen Trusselmålets IP-adresse i listen. 2 Klikk på Handlinger Dupliser. I dialogboksen Dupliser må du redigere navnet, velge gruppen som skal motta kopien og klikke på OK. 3 I listen Spørringer finner du den nye spørringen du opprettet, og klikker på Rediger. Den dupliserte spørringen vises i Spørringsbyggeren med Diagram-fanen valgt. 4 I listen Vis resultater som må du velge Tabell under Liste. 5 I dialogboksen Konfigurer diagram: Tabell må du velge Trusselmålets IPv4-adresse fra sorter etter-listen og Verdi (synkende), og deretter klikke på Neste. 260 McAfee epolicy Orchestrator programvare Produktveiledning

261 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport 17 6 I fanen Kolonner kan du bruke de forhåndsvalgte kolonnene. Det kan hjelpe å flytte Trusselmålets IPv4-adresse nærmere venstre side av tabellen og deretter klikke på Neste. Ikke endre standardinnstillingene i Filter-fanen. 7 Klikk på fanen Oppsummering, bekreft at innstillingene for spørringen er riktige og klikk på Lagre. 8 I listen Spørringer finner du spørringen du opprettet og klikker på Kjør. Nå har du en spørring for å finne hendelser med skadelig programvare og sortere dem etter IP-undernettadresse. Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport Du kan opprette en overholdelsesspørring og -rapport for å finne ut hvilke av de administrerte systemene dine som oppfyller bestemte kriterier. For eksempel kan du finne systemer som ikke har de nyeste DAT-filene, eller som ikke har kontaktet McAfee epo-serveren på over 30 dager. Bruk følgende oppgaver for å finne denne viktige informasjonen automatisk. r Gode fremgangsmåter for å opprette en serveroppgave for å kjøre overholdelsesspørringer på side 261 Du må opprette en serveroppgave for å kjøre overholdelsesspørringen ukentlig for å automatisere genereringen av overholdelsesrapporten for dine administrerte systemer. Gode fremgangsmåter for å opprette en rapport som inkluderer spørringsutdataene på side 263 Når spørringsdataene er lagret, må du opprette en rapport med informasjonen fra spørringene du kjørte, før du kan sende det til administrator-teamet. Opprette en serveroppgave for å kjøre og levere en rapport: Anbefalt fremgangsmåte på side 263 Du må opprette en serveroppgave for å automatisk kjøre rapporten og sende overholdelsesrapporten til administratorene dine. Gode fremgangsmåter for å opprette en serveroppgave for å kjøre overholdelsesspørringer Du må opprette en serveroppgave for å kjøre overholdelsesspørringen ukentlig for å automatisere genereringen av overholdelsesrapporten for dine administrerte systemer. Følg denne fremgangsmåten for å opprette en serveroppgave som kjører overholdelsesspørringene hver søndag morgen klokken Når du kjører spørringer søndag morgen, kan du kjøre rapporten mandag morgen klokken og levere den til administratorene via e-post. McAfee epolicy Orchestrator programvare Produktveiledning 261

262 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport 1 Velg Meny Automatisering Serveroppgaver og klikk på Handlinger Ny oppgave. 2 I Serveroppgavebygger: a I fanen Beskrivelser skriver du inn navn og notater. b c I Tidsplanstatus klikker du på Aktivert. Klikk på Neste. 3 Konfigurer disse innstillingene i fanen Handlinger. a I listen Handlinger må du velge Kjør spørring og konfigurere disse innstillingene: For Spørring velger du VSE: overholdelse i de siste 30 dagene. Velg ditt språk. For Underhandlinger velger du Eksporter til fil og klikker på OK. For C:\reports\ må du skrive inn et gyldig filnavn. For Hvis filen finnes velger du Overskriv. For Eksporter velger du Kun diagramdata. For Format velger du CSV. b Klikk på + for å opprette en ny handling, og i den andre Handlinger-listen velger du Kjør spørring. Konfigurer disse innstillingene og klikk på Neste. For Spørring velger du Inaktive agenter. Velg ditt språk. For Underhandlinger velger du Eksporter til fil. For C:\reports\ må du skrive inn et gyldig filnavn. For Hvis filen finnes velger du Overskriv. For Eksporter velger du Kun diagramdata. For Format velger du CSV. 4 Endre disse innstillingene på Tidsplan-fanen og klikk på Neste. a For Tidsplantype klikker du på Ukentlig. b c For Startdato velger du dags dato. For Sluttdato klikker du på Ingen sluttdato. d Endre innstillingene for Tidsplan for å konfigurere oppgaven for kjøring på mandag klokken Du kan angi at oppgaven kjøres når og så ofte du vil. e Bekreft at alle innstillingene er korrekte i fanen Oppsummering. Klikk deretter på Lagre. Det fullfører opprettelsen av serveroppgaven for å automatisk kjøre de to overholdelsesspørringene og lagre utdataene fra spørringene i CSV-filer. 262 McAfee epolicy Orchestrator programvare Produktveiledning

263 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport 17 Gode fremgangsmåter for å opprette en rapport som inkluderer spørringsutdataene Når spørringsdataene er lagret, må du opprette en rapport med informasjonen fra spørringene du kjørte, før du kan sende det til administrator-teamet. Før du begynner Du må kjenne til formatet for spørringene du legger til i rapporten. I dette eksemplet har spørringene disse formatene: VSE: overholdelse i de siste 30 dagene Diagram Inaktive agenter Tabell Opprett en rapport som inneholder dataene hentet fra overholdelsesspørringene, som kjøres automatisk ved bruk av en serveroppgave og sendes til administratorene hver mandag morgen. 1 Velg Meny Rapportering Spørringer og rapporter og velg deretter Rapport-fanen. 2 Klikk på Handlinger Ny. En tom Rapportutforming-side vises. 3 Klikk på Navn og skriv inn et navn for rapporten, klikk på Beskrivelse og skriv eventuelt inn en beskrivelse. Klikk på Gruppe og velg gruppen som skal motta rapporten, og klikk på OK. 4 Dra og slipp disse spørringsinndataformatene til ruten Rapportutforming fra Verktøyboks-listen: For diagramspørringen VSE: overholdelse i de siste 30 dagene drar du Spørringsdiagram-verktøyet til ruten Rapportutforming. I listen Spørringsdiagram velger du deretter VSE: overholdelse i de siste 30 dagene og klikker påok. For tabellspørringen Inaktive agenter drar du Spørringstabell-verktøyet til Rapportutforming-ruten. Fra Spørring-tabellisten velger du Inaktive agenter og klikker på OK. 5 Klikk på Lagre. Den nye overholdelsesrapporten oppføres i Rapporter-fanen. 6 For å bekrefte at rapporten din er konfigurert riktig, må du klikke på Kjør i Handlinger-kolonnen for rapporten, og bekrefte at Siste kjøringsstatus viser Vellykket. 7 For å se rapporten klikker du på koblingen i Siste kjøringsresultat-kolonnen og åpner eller lagrer rapporten. Det fullfører opprettelsen av rapporten for å vise de to overholdelsesspørringene og lagre utdataene i en PDF-fil. Opprette en serveroppgave for å kjøre og levere en rapport: Anbefalt fremgangsmåte Du må opprette en serveroppgave for å automatisk kjøre rapporten og sende overholdelsesrapporten til administratorene dine. Før du begynner Dette må du allerede ha gjort: McAfee epolicy Orchestrator programvare Produktveiledning 263

264 17 Automatisering og optimalisering av McAfee epo-arbeidsflyten Gode fremgangsmåter for å opprette en automatisk overholdelsesspørring og -rapport Opprettet og planlagt en serveroppgave som kjører overholdelsesspørringene. Opprettet rapporten som omfatter utdataene fra disse spørringene. Følg denne fremgangsmåten for å gjøre følgende: Automatisk kjøre en rapport som inneholder data hentet fra overholdelsesspørringene. Bruke en serveroppgave til å sende rapporten via e-post til administratorene hver mandag morgen klokken Velg Meny Automatisering Serveroppgaver og klikk på Handlinger Ny oppgave. 2 Konfigurer disse innstillingene i Serveroppgavebygger og klikk på Neste. a I fanen Beskrivelser skriver du inn navn og notater. b I Tidsplanstatus klikker du på Aktivert. 3 Velg Kjør rapport på fanen Handlinger, konfigurer disse innstillingene og klikk på Neste. a Velg overholdelsesrapporten du konfigurerte, under Velg en rapport som skal kjøres. b c d Velg ditt språk. For Underhandlinger velger du E-postfil. For Mottakere skriver du inn e-postadressene til administratorene dine. Skill flere e-postadresser med komma. e For Emne skriver du inn informasjonen du vil skal vises i emnelinjen i e-posten. 4 Endre disse innstillingene på Tidsplan-fanen og klikk på Neste. a For Tidsplantype klikker du på Ukentlig. b c For Startdato velger du dags dato. For Sluttdato klikker du på Ingen sluttdato. d Endre innstillingene for Tidsplan for å konfigurere oppgaven til å kjøre på mandag klokken Du kan angi at oppgaven kjøres når og så ofte du vil. e Bekreft at alle innstillingene er korrekte i fanen Oppsummering. Klikk deretter på Lagre. Det fullfører den endelige oppgaven for å opprette en overholdelsesrapport som kjører automatisk og leveres til administratorene hver mandag morgen klokken Se også Gode fremgangsmåter for å opprette en rapport som inkluderer spørringsutdataene på side McAfee epolicy Orchestrator programvare Produktveiledning

265 18 18 Programdatabaser Programdatabaser inneholder dine sikkerhetsprogramvarepakker og oppdateringer for distribusjon til dine administrerte systemer. Sikkerhetsprogramvare er kun effektivt hvis de nyeste oppdateringene er installert. Hvis for eksempel DAT-filene er utdaterte, kan selv ikke den beste antivirusprogramvaren oppdage nye trusler. Det er avgjørende at du utvikler en sterk oppdateringsstrategi for å holde sikkerhetsprogramvaren så oppdatert som mulig. Den fleksible arkitekturen for McAfee epo-programdatabaser sikrer at distribusjon og oppdatering av programvare er så enkelt og automatisert som miljøet tillater. Når infrastrukturen for programdatabaser er på plass, kan du opprette oppdateringsoppgaver som bestemmer hvordan, hvor og når programvaren oppdateres. Innhold Hva gjør programdatabaser Programdatabasetyper og hva de gjør Programdatabasegrener og formålet med dem Bruke programdatabaser Konfigurere programdatabaser for første gang Gode fremgangsmåter for å administrere kilde- og reserveområder Gode fremgangsmåter for å bekrefte tilgang til kildeområdet Gode fremgangsmåter for å konfigurere innstillinger for globale oppdateringer Gode fremgangsmåter for å konfigurere agentpolicyer for bruk av distribuert programdatabase Bruke SuperAgent-forekomster som distribuerte programdatabaser Opprette og konfigurere programdatabaser på FTP- eller HTTP-servere og UNC-delinger Bruke UNC-delinger som distribuerte programdatabaser Bruke lokalt distribuerte programdatabaser som ikke er administrerte Arbeide med filene i programdatabaselisten Endre legitimasjon for flere distribuerte programdatabaser Pulling av oppgaver Reproduksjonsoppgaver Programdatabaseutvalg McAfee epolicy Orchestrator programvare Produktveiledning 265

266 18 Programdatabaser Hva gjør programdatabaser Hva gjør programdatabaser Agentene i de administrerte systemene henter sikkerhetsinnhold fra programdatabaser på McAfee epo-serveren. Dette innholdet holder miljøet ditt oppdatert. Programdatabasens innhold kan omfatte det følgende: Distribuert programvare for distribuering til klientene Sikkerhetsinnhold, som DAT-filer og signaturer Oppdateringer og andre programvarer som kreves for klientoppgaver du oppretter med McAfee epo En utbredt misforståelse er at en programdatabase blir opprettet ved å installere en McAfee epo-server i et system. I motsetning til serveren administrerer programdatabaser ikke policyer, samler hendelser eller har koden installert på seg En programdatabase er bare en delt filressurs plassert i miljøet som klientene har tilgang til. Programdatabasetyper og hva de gjør For å levere produkter og oppdateringer i nettverket inneholder McAfee epo-programvaren flere typer programdatabaser som skaper en sterk infrastruktur for oppdateringer. Slik samarbeider programdatabasekomponenter Programdatabaser samarbeider i nettverket for å levere oppdateringer og programvare til administrerte systemer. Avhengig av størrelse og geografisk distribusjon for ditt nettverk kan det hende at du trenger distribuerte programdatabaser. Figur 18-1 Kildeområder og programdatabaser som leverer pakker til systemer 266 McAfee epolicy Orchestrator programvare Produktveiledning

267 Programdatabaser Programdatabasetyper og hva de gjør 18 Kildeområde: Kildeområdet oppdateres daglig av McAfee. Master-programdatabase: Master-programdatabasen puller jevnlig DAT- og motoroppdateringsfiler fra kildeområdet. Distribuerte programdatabaser: Master-programdatabasen reproduserer pakkene til distribuerte programdatabaser i nettverket. Administrerte systemer: De administrerte systemene i nettverket henter oppdateringer fra den distribuerte programdatabasen. Reserveområde: Hvis administrerte systemer ikke får tilgang til de distribuerte programdatabasene eller master-programdatabasen, hentes oppdateringer fra reserveområdet. Disse komponentene gir fleksibilitet til å utvikle en oppdateringsstrategi, slik at systemene alltid er oppdaterte. Kildeområde Kildeområdet besørger alle oppdateringene for master-programdatabasen. Standard kildeområde er McAfees http-oppdateringsområde, men du kan endre kildeområdet eller opprette flere kildeområder. Det anbefales at du bruker McAfees http- eller McAfees ftp-oppdateringsområde som kildeområde. Kildeområder er ikke obligatorisk. Du kan laste ned oppdateringer manuelt og sjekke dem inn i master-programdatabasen. Denne prosessen automatiseres imidlertid hvis du bruker et kildeområde. McAfee legger ut programvareoppdateringer på disse områdene jevnlig. DAT-filer legges for eksempel ut daglig. Oppdater master-programdatabasen med oppdateringene så snart de er tilgjengelige. Bruk pull-oppgaver til å kopiere kildeområdeinnholdet til master-programdatabasen. McAfee-oppdateringsområder gir oppdateringer av påvisningsdefinisjonsfiler (DAT) og skannemotorfiler, samt enkelte språkpakker. Sjekk inn alle andre pakker og oppdateringer manuelt, herunder service pack-filer og programrettelser, i master-programdatabasen. Master-programdatabase Master-programdatabasen har de siste versjonene av sikkerhetsprogramvaren og oppdateringene for miljøet ditt. Denne programdatabasen er kilde for resten av miljøet. Som standard bruker McAfee epo proxy-innstillinger fra Microsoft Internet Explorer. Distribuerte programdatabaser Distribuerte programdatabaser er vert for kopier av master-programdatabasen. Vurder å ta i bruk distribuerte programdatabaser og plassere dem strategisk i nettverket. Denne konfigurasjonen sikrer at administrerte systemer oppdateres samtidig som nettverkstrafikken minimeres, spesielt ved langsomme tilkoblinger. Når du oppdaterer master-programdatabasen, reproduserer McAfee epo innholdet til de distribuerte programdatabasene. McAfee epolicy Orchestrator programvare Produktveiledning 267

268 18 Programdatabaser Programdatabasegrener og formålet med dem Reproduksjon kan forekomme: Automatisk når de angitte pakketypene sjekkes inn i master-programdatabasen, så lenge global oppdatering er aktivert. I regelmessige intervaller med reproduksjonsoppgaver. Manuelt ved kjøring av oppgaven Reproduser nå. Ikke konfigurer distribuerte programdatabaser slik at de henviser til samme katalog som master-programdatabasen. Dette låser filene i master-programdatabasen. Dette kan føre til feil ved pull og pakkeinnsjekkinger, og kan sette master-programdatabasen i en ubrukelig tilstand. En stor organisasjon kan ha flere steder med begrenset båndbreddetilkobling mellom stedene. Distribuerte programdatabaser bidrar til å redusere oppdateringstrafikken over tilkoblinger med lav båndbredde eller på eksterne områder med endepunkter. Hvis du oppretter en distribuert programdatabase på den eksterne plasseringen og konfigurerer systemene på den aktuelle plasseringen slik at de oppdaterer fra denne distribuerte programdatabasen, kopieres oppdateringene kun én gang ved den langsomme tilkoblingen til den distribuerte programdatabasen i stedet for én gang til hvert system på den eksterne plasseringen. Hvis global oppdatering er aktivert, oppdaterer distribuerte programdatabaser de administrerte systemene automatisk når de valgte oppdateringene og pakkene sjekkes inn i master-programdatabasen. Oppdateringsoppgaver er ikke nødvendige. Men hvis du ønsker automatisk oppdatering, må du opprette SuperAgent-forekomster i miljøet. Opprett og konfigurer programdatabasene og oppdateringsoppgavene. Hvis distribuerte programdatabaser er konfigurert for å reprodusere bare utvalgte pakker, blir den nylig innsjekkede pakken reprodusert som standard. For å unngå reproduksjon av en nylig innsjekket pakke velger du den bort fra hver distribuert programdatabase eller deaktiverer reproduksjonsoppgaven før du sjekker inn pakken. Reserveområde Reserveområdet er et kildeområde som er aktivert som reserveområde. Administrerte systemer kan hente oppdateringer når de vanlige programdatabasene er utilgjengelige. Ved nettverksfeil eller virusutbrudd kan det for eksempel være vanskelig å få tilgang til den etablerte plasseringen. Administrerte systemer kan holdes oppdaterte ved hjelp av et reserveområde. Standard reserveområde er McAfee http-oppdateringsområdet. Du kan kun aktivere ett reserveområde. Hvis administrerte systemer bruker en proxy-server til å få tilgang til Internett, må du konfigurere agentpolicyinnstillingene slik at de kan bruke proxy-servere ved tilgang til reserveområdet. Se også Unngå reproduksjon av valgte pakker på side 293 Deaktivere reproduksjon av valgte pakker på side 293 Programdatabasegrener og formålet med dem Du kan bruke de tre programdatabasegrenene for McAfee epo til å vedlikeholde opptil tre versjoner av pakkene i master-programdatabasene og de distribuerte programdatabasene. Programdatabasegrenene er Aktuell, Forrige og Evaluering. McAfee epo bruker som standard bare Aktuell-grenen. Du kan angi grener når du legger til pakker i master-programdatabasen. Du kan også angi grener når du kjører eller planlegger oppdaterings- og distribueringsoppgaver for å distribuere forskjellige versjoner til forskjellige deler av nettverket. 268 McAfee epolicy Orchestrator programvare Produktveiledning

269 Programdatabaser Programdatabasegrener og formålet med dem 18 Oppdateringsoppgaver kan hente oppdateringer fra enhver gren i programdatabasen, men du må velge en annen gren enn Aktuell-grenen når du sjekker inn pakker i master-programdatabasen. Hvis det ikke er konfigurert noen annen gren enn Aktuell, vil du ikke se noen annen gren enn Aktuell-grenen. Hvis du skal bruke Evaluering- og Forrige-grener til andre pakker enn oppdateringer, må du konfigurere dette i serverinnstillingene for programdatabasepakker. Aktuell-gren Aktuell-grenen er hoved-programdatabasegrenen for de nyeste pakkene og oppdateringene. Produktdistribueringspakker kan bare legges til i Aktuell-grenen, med mindre det er aktivert støtte for de andre grenene. Evaluering-gren Det kan være lurt å teste nye DAT- og motoroppdateringer på noen få nettverkssegmenter eller systemer før du distribuerer dem til hele organisasjonen. Angi Evaluering-grenen når du sjekker inn nye DAT-er og motorer i master-programdatabasen, og distribuer dem deretter i noen få testsystemer. Når du har overvåket testsystemene i noen timer, kan du legge til de nye DAT-ene i Aktuell-grenen og distribuere dem til hele organisasjonen. Forrige-gren Bruk Forrige-grenen til å lagre og oppbevare tidligere DAT- og motorfiler før de nye legges til i Aktuell-grenen. Hvis det oppstår problemer med de nye DAT- eller motorfilene i miljøet, har du en kopi av en tidligere versjon som om nødvendig kan distribueres på nytt til systemene. McAfee epo lagrer bare den siste versjonen av hver filtype. Du kan fylle ut Forrige-grenen ved å velge Flytt eksisterende pakker til Forrige-gren når du legger til nye pakker i master-programdatabasen. Alternativet er tilgjengelig når du henter oppdateringer fra et kildeområde og når du sjekker inn pakker manuelt til Aktuell-grenen. Dette flytdiagrammet beskriver når du skal bruke disse tre ulike grenene av master-programdatabasen. McAfee epolicy Orchestrator programvare Produktveiledning 269

270 18 Programdatabaser Programdatabasegrener og formålet med dem 270 McAfee epolicy Orchestrator programvare Produktveiledning

271 Programdatabaser Bruke programdatabaser 18 Bruke programdatabaser Distribuerte programdatabaser fungerer som delte filressurser som lagrer og distribuerer sikkerhetsinnhold for de administrerte endepunktene. Programdatabaser spille en viktig rolle i McAfee epo-infrastrukturen. Hvordan du konfigurerer programdatabaser og distribuerer dem, avhenger av miljøet. Distribuerte programdatabasertyper Før du oppretter distribuerte programdatabaser, er det viktig å forstå hvilke type programdatabase du bør bruke i det administrerte miljøet. McAfee epo-serveren fungerer alltid som master-programdatabasen. Den oppbevarer hovedkopien av alt innhold som kreves av agentene. Serveren reproduserer innholdet til hver av programdatabasene som er distribuert i miljøet. Som resultat av dette kan agentene dine hente oppdatert innhold fra en alternativ og nærmere kilde. McAfee epo -serveren krever ikke konfigurasjon for å gjøre den til en master-programdatabase. Det er som standard master-programdatabasen. Typer av distribuerte programdatabaser omfatter: FTP-programdatabaser HTTP-programdatabaser UNC-delingsprogramdatabaser SuperAgent-forekomster Vurder følgende når du planlegger distribuerte programdatabaser: McAfee epo-serveren krever at du bruker visse protokoller for programdatabaser, men enhver serverleverandør kan levere disse protokollene. Hvis du for eksempel bruker en HTTP-programdatabase, kan du bruke enten Microsoft Internet Information Services (IIS) eller Apache-server (Apache er raskere). Det er ingen operativsystemkrav for systemene som er vert for programdatabasen. Så lenge McAfee epo-serveren kan få tilgang til mapper som du angir at innholdet skal kopieres til, og så lenge agentene kan koble til mappene du vil laste ned oppdateringene til, fungerer alt som forventet. Agentoppdateringene og McAfee epo-reproduksjonsoppgavene er kun så gode som programdatabasene. Hvis du allerede bruker en av disse programdatabasene og miljøet fungerer godt, skal du ikke endre konfigurasjonen. Hvis du starter med en ny installasjon uten programdatabaser, skal du bruke en SuperAgent, fordi disse er enkle å konfigurere og er pålitelige. Uadministrerte programdatabaser Hvis du ikke kan bruke administrerte systemer som distribuerte programdatabaser, kan du opprette og vedlikeholde distribuerte programdatabaser som er uadministrerte, men en lokal administrator må holde de distribuerte filene oppdaterte manuelt. Når den distribuerte programdatabasen er opprettet, kan du bruke McAfee epo til å konfigurere administrerte systemer for en bestemt Systemtre-gruppe for å oppdatere fra den. Administrer alle distribuerte programdatabaser gjennom McAfee epo. Dette sikrer at det administrerte systemet er oppdatert. Bruk uadministrerte distribuerte programdatabaser kun hvis nettverkets eller organisasjonens policy ikke tillater administrerte distribuerte programdatabaser. McAfee epolicy Orchestrator programvare Produktveiledning 271

272 18 Programdatabaser Bruke programdatabaser FTP-programdatabaser FTP-servere kan være vert for en distribuert McAfee epo-serverprogramdatabase. Du kan allerede ha FTP-servere i miljøet ditt, og du kan da lagre McAfee-innhold der også. FTP-programdatabaser: er hurtige kan administrere omfattende belastninger fra klientenes pull-data er nyttige i en DMZ der HTTP kanskje ikke er optimalt og UNC-delinger ikke kan brukes Ved bruk av FTP-servere trenger ikke klientene dine godkjenning og kan bruke en anonym pålogging for å pulle innhold. Ingen godkjenning reduserer sjansen for at en klient mislykkes i å pulle innhold. Du kan bruke en FTP-server som vertskap for en distribuert programdatabase. Bruk FTP-programvare, som for eksempel Microsoft Internet Information Services (IIS), til å opprette en mappe og områdeplassering for den distribuerte programdatabasen. Se dokumentasjonen på webserveren for detaljer. HTTP-programdatabaser HTTP-servere kan være vert for en distribuert McAfee epo-serverprogramdatabase. Du kan allerede ha HTTP-servere i miljøet ditt. HTTP-servere kan raskt levere filer til store miljøer. HTTP-serverne dine tillater at klienter puller innholdet uten godkjenning, noe som reduserer risikoen for at en klient ikke kan pulle innholdet. Du kan bruke en HTTP-server som vertskap for en distribuert programdatabase. Bruk HTTP-programvare, som for eksempel Microsoft IIS, til å opprette en mappe og områdeplassering for den distribuerte programdatabasen. Se dokumentasjonen på webserveren for detaljer. Gode fremgangsmåter for UNC-delingsprogramdatabaser Universal Naming Convention (UNC)-delinger kan være vert for McAfee epo-serverprogramdatabasen. Du kan opprette en delt UNC-mappe som vert for en distribuert programdatabase på en eksisterende server. Kontroller at mappen er aktivert for deling på nettverket, slik at McAfee epo-serveren kan kopiere filer til den og at agentene får tilgang til den for oppdateringer. Du må angi riktige tillatelser for å gi tilgang til mappen. De fleste administratorer er kjent med konseptet med UNC-delinger, derfor kan UNC-delinger virke som den enkleste metoden. Men det er ikke alltid tilfellet. Hvis du bruker UNC-delinger som vert for McAfee epo-serverprogramdatabasen, må du konfigurere kontoene og -delingene korrekt. Du finner mer informasjon i KnowledgeBase-artikkel KB70999: Recommendations for download credentials when using UNC shares as software repositories in epolicy Orchestrator. Hvis du velger å bruke UNC-delinger, må du: 1 Opprett mappen. 2 Juster delingstillatelser. 3 Endre NTFS-tillatelsene. 4 Opprett to kontoer, en med lesetilgang og en med skrivetilgang. Hvis IT-avdelingen har passordregler, for eksempel endring av passord hver 30. dag selv for tjenestekontoer, kan det være tungvint å endre disse passordene i McAfee epo. Du må endre passordet for tilgang til hver av den distribuerte programdatabasendelene i Windows-operativsystemet 272 McAfee epolicy Orchestrator programvare Produktveiledning

273 Programdatabaser Bruke programdatabaser 18 og i konfigurasjonsinnstillingene for hver av de UNC-distribuerte programdatabasene i McAfee epo. Få tilgang til innstillinger for McAfee epo UNC distribuerte programdatabaser fra Meny Programvare Distribuerte programdatabaser. Figur 18-2 Side for UNC-programdatabaselegitimasjon Alle disse oppgavene øker risikoen for feil, fordi prosessene må fullføres manuelt. Agentene dine blir kanskje ikke riktig oppdatert hvis de ikke kan ikke godkjennes mot UNC-delingen fordi de ikke er del av domenet eller legitimasjonen er feil. Gode fremgangsmåter: SuperAgent-programdatabaser Du kan opprette en SuperAgent-programdatabase som fungerer som et mellomledd mellom McAfee epo-serveren og andre agenter. SuperAgent bufrer informasjon som mottas fra en McAfee epo-server, master-programdatabasen eller en speilet distribuert programdatabase, og distribuerer informasjonen til agentene. Inaktiv bufring-funksjonen gir bare SuperAgent-forekomster mulighet til å hente data fra McAfee epo-servere når en lokal agentnode ber om det. Oppretting av et hierarki av SuperAgent-forekomster samt inaktiv bufring sparer båndbredde og minimerer trafikken på fjernnettet. En SuperAgent kringkaster også vekkesignaler til andre agenter som bruker SuperAgent-programdatabasen. Når SuperAgent mottar et vekkesignal fra McAfee epo-serveren, vekker den agentene ved hjelp av programdatabasetilkoblingen. Dette er et alternativ til å sende vanlige vekkesignaler til hver enkelt agent i nettverket eller sende en agentvekkingsoppgave til hver enkelt datamaskin. Se McAfee Agent-produktveiledningen for detaljert informasjon om SuperAgent-forekomster og hvordan du konfigurerer dem. McAfee epolicy Orchestrator programvare Produktveiledning 273

274 18 Programdatabaser Bruke programdatabaser SuperAgent-programdatabaser Bruk systemer som er vertskap for SuperAgent-forekomster, som distribuerte programdatabaser. SuperAgent-programdatabaser har flere fordeler sammenlignet med andre typer distribuerte programdatabaser: Mappeplasseringer opprettes automatisk i vertssystemet før programdatabasen legges til i programdatabaselisten. SuperAgent-programdatabaser krever ikke ytterligere reproduksjon eller oppdatering av legitimasjon, og kontotillatelser opprettes når agenten konverteres til en SuperAgent. Selv om funksjonene for SuperAgent-kringkastede vekkesignaler krever en SuperAgent i hvert kringkastingssegment, er ikke dette nødvendig for at SuperAgent-programdatabasen skal fungere på riktig måte. Men administrerte systemer må ha tilgang til systemet som er vert for programdatabasen. SuperAgent-hensyn Når du konfigurerer systemene som SuperAgent-forekomster, følger du disse retningslinjene. Bruk eksisterende filprogramdatabaser i miljøet, for eksempel Microsoft System Center Configuration Manager (SCCM). Du trenger ikke en SuperAgent i alle undernett. Slå av global oppdatering for å forhindre uønskede oppdateringer av nye motorer eller oppdateringer fra master-programdatabasen. SuperAgent og dets hierarki Et SuperAgent-hierarki kan betjene agenter i samme nettverk med et minimum av nettverkstrafikkbruk. En SuperAgent bufrer innholdsoppdateringene fra McAfee epo-serveren eller den distribuerte programdatabasen, og distribuerer innholdsoppdateringene til agentene i nettverket. Dette reduserer trafikken på fjernnettverket. Det er alltid lurt å ha flere enn én SuperAgent for å balansere nettverksbelastningen. Du bruker programdatabasepolicyen til å opprette SuperAgent-hierarkiet. Vi anbefaler at du har et trenivåshierarki av SuperAgent-forekomster i nettverket. Se McAfee Agent produktveiledningen for mer informasjon om hvordan du oppretter et hierarki med SuperAgent-forekomster, SuperAgent-bufring (inaktiv bufring) og kommunikasjonsproblemer. Opprett en SuperAgent Oppretting av en SuperAgent krever disse oppgavene. 1 Opprett en ny SuperAgent-policy. 2 Opprett en ny gruppe i Systemtre, for eksempel kalt SuperAgent-forekomster 3 Tilordne den nye SuperAgent-policyen til den nye SuperAgent-gruppen. 4 Dra et system inn i den nye SuperAgent-gruppen. Når du har opprettet den nye SuperAgent-gruppen, kan du dra ethvert system til gruppen. Neste gang den kommuniserer med McAfee epo-serveren, blir den en SuperAgent. Se også Gode fremgangsmåter: Begrensning av global oppdatering på side McAfee epolicy Orchestrator programvare Produktveiledning

275 Programdatabaser Bruke programdatabaser 18 Opprette SuperAgent policy Hvis du vil konvertere endepunkter til SuperAgent-forekomster, må du tilordne en SuperAgent-policy til systemene. 1 Velg Meny Policy Policykatalog for å åpne siden Policykatalog. 2 Du kan duplisere My Default-policyen fra Produkt-rullegardinlisten ved å velge McAfee Agent og deretter velge Generelt fra Kategori-rullegardinlisten. 3 I My Default-policyraden, under Handlinger-kolonnen, klikker du på Dupliser. Du kan ikke endre McAfee Default-policyen. 4 I dialogen Dupliser eksisterende policy endrer du policynavnet, legger til eventuelle merknader for referanse og klikker på OK. 5 På siden Policykatalog klikker du på kategorien SuperAgent-forekomster, velger Konverter agenter til SuperAgent-forekomster for å konvertere agenten til en SuperAgent og oppdatere programdatabasen med det nyeste innholdet. 6 Velg Bruk systemer som kjører SuperAgent-forekomster som distribuerte programdatabaser for å bruke systemene som er vert for SuperAgent-forekomster, som oppdateringsprogramdatabaser for systemene i kringkastingssegmentet. Oppgi deretter banen til programdatabasen. 7 Velg alternativet Aktivering av inaktiv bufring for å la SuperAgent-forekomster bufre innhold når det mottas fra McAfee epo-serveren. 8 Klikk på Lagre. Gode fremgangsmåter: Opprette en gruppe i systemtreet Når du legger til en SuperAgent-gruppe i systemtreet, kan du tilordne en SuperAgent-policy til gruppen. 1 Velg Meny Systemdel Systemtre, klikk på Systemtrehandlinger Nye undergrupper og gi gruppen et beskrivende navn, for eksempel SuperAgent-forekomster. 2 Klikk på OK. Den nye gruppen vises i systemtre-listen. Gode fremgangsmåter: Tildele nye SuperAgent-policyer til den nye SuperAgentgruppen Tildeling av SuperAgent-policyen til den nye gruppen fullfører konfigurasjonen av SuperAgent-gruppen. McAfee epolicy Orchestrator programvare Produktveiledning 275

276 18 Programdatabaser Bruke programdatabaser 1 I Systemtre velger du SuperAgent-gruppen du opprettet, velger kategorien Tildelte policyer, velger deretter McAfee Agent i produktlisten. 2 I Handlinger-kolonne for kategorien Generelt klikker du på Rediger tildeling. 3 På siden McAfee Agent: Generelt klikker du på Bryt arven og tildel policyen og innstillingene nedenfor. Velg SuperAgent-policyen du opprettet, fra Tildelt policy-listen, og klikk deretter på Lagre. Gode fremgangsmåter: Tildele et system til den nye SuperAgent-gruppen Når SuperAgent-gruppen er konfigurert, kan du tildele SuperAgent-policyer til individuelle endepunkter ved å dra dem til den gruppen. Disse policyene konverterer endepunktene til SuperAgent-forekomster. 1 I Systemtre klikker du på Systemer og finner systemet som du vil endre til en SuperAgent-programdatabase. 2 Dra raden med systemnavnet og slipp den i den nye SuperAgent-gruppen du opprettet i systemtreet. Når systemet kommuniserer med McAfee epo-serveren, endres den til en SuperAgent-programdatabase. 3 Du bekrefter at systemet er nå en SuperAgent-programdatabase ved å velge Meny Programvare Distribuerte programdatabaser og velge SuperAgent fra Filter-listen. Den nye SuperAgent-programdatabasen vises i listen. Før systemet vises som en SuperAgent i gruppen, må to agent-til-server-kommunikasjonsøkter gjennomføres. Først må systemet motta policyendringen, og deretter må agenten svare tilbake til McAfee epo-serveren som er nå en SuperAgent. Denne konverteringen kan ta litt tid, avhengig av ASCI-innstillingene. Programdatabaselistefiler Programdatabaselistefiler (SiteList.xml og SiteMgr.xml) inneholder navnene på alle programdatabasene du administrerer. Programdatabaselisten inkluderer plasseringen og kryptert nettverkslegitimasjon som administrerte systemer bruker til å velge programdatabase og hente oppdateringer. Serveren sender programdatabaselisten til McAfee Agent under agent-til-server-kommunikasjon. Ved behov kan du eksportere programdatabaselisten til eksterne filer (SiteList.xml eller SiteMgr.xml). De to filene har ulike bruksområder: SiteList.xml-filen Importere til en McAfee Agent under installering. SiteMgr.xml-filen 276 McAfee epolicy Orchestrator programvare Produktveiledning

277 Programdatabaser Bruke programdatabaser 18 Sikkerhetskopiere og gjenopprette de distribuerte programdatabasene og kildeområdene hvis du må installere serveren på nytt. Importere distribuerte programdatabaser og kildeområder fra en tidligere installasjon av McAfee epo-programvaren. Gode fremgangsmåter: Hvor du kan plassere programdatabaser Du må avgjøre hvor mange programdatabaser som er nødvendig i miljøet, og hvor du kan finne dem. For å kunne besvare disse spørsmålene må du se på dine McAfee epo-serveradministrerte systemer og nettverksgeografien. Vurder følgende faktorer: Hvor mange noder administrerer du med McAfee epo-serveren? Er disse nodene plassert på forskjellige geografiske plasseringer? Hva slags tilkobling har du til programdatabasene? Husk at hensikten med en programdatabase er å tillate klienter å laste ned store mengder data i programvareoppdateringer lokalt i stedet for å koble til McAfee epo-serveren, og laste ned oppdateringene via langsommere WAN-koblinger. Som et minimum brukes programdatabasen til å oppdatere signaturen din eller DAT-filer for VirusScan Enterprise daglig. I tillegg brukes programdatabasen av agentene til å laste ned ny programvare, produktoppdateringer og annet innhold, for eksempel Host Intrusion Prevention-innhold. Vanligvis kan du opprette en programdatabase for hvert store geografiske område, men vær obs på disse advarslene. Du må også unngå de mest vanlige feilene; å ha for mange eller for få programdatabaser og overbelaste nettverkets båndbredde. Hvor mange programdatabaser trenger du? Hvor mange programdatabaser du trenger, avhenger av servermaskinvare, antall noder, nettverkstopologi og hvor programdatabasene er installert. Programdatabaser har ingen streng teknisk begrensning for hvor mange noder de kan håndtere. Med en riktig utformet oppdateringsoppgave for klientene, kan programdatabasene oppdatere et stort antall noder. Følgende diagram er et anslag over oppdateringene som en programdatabase kan håndtere og maskinvaren som kreves. Mange faktorer kan påvirke disse spesifikasjonene, for eksempel hvordan du oppdaterer innhold, produkter og oppdateringer. Servermaskinvare Noder oppdatert Dedikert eller delt klientmaskinvare Enkel 3 GHz prosessor med 4 GB minne 3000 Delt med andre programmer Enkel 3 GHz prosessor med 4 GB minne Dedikert Maskinvare i serverklasse, dual-quad-prosessor og 8 GB minne Dedikert Påkrevd diskplass for en programdatabase er sjelden en bekymring med dagens lagringsstandarder. Selv om du har sjekket inn flere McAfee-endepunktprodukter, for eksempel McAfee Endpoint Encryption, SiteAdvisor Enterpriseog Policy Auditor, er programdatabasens diskplass på rundt 1 GB. Du kan finne den eksakte størrelsen på produktinstallasjonsfilene i Windows Utforsker ved å høyreklikke på installasjonsmappen og klikke på Egenskaper. Produktfilene finner du med denne standardbanen: McAfee epolicy Orchestrator programvare Produktveiledning 277

278 18 Programdatabaser Bruke programdatabaser C:\Program Files(X86)\McAfee\ePolicy Orchestrator\DB\Software\Current\<ProduktNamn> \Install\ Disse eksemplene viser tre vanlige organisasjonsstørrelser og deres programdatabasestørrelse. Eksempel 1: Organisasjon med 3000 noder med ett kontor Dette eksempelet beskriver programdatabasespesifikasjoner for en organisasjon med 3000 noder i ett kontor. Organisasjonen har følgende egenskaper: Ca noder for arbeidsstasjoner og servere. Bruker VirusScan Enterprise, Host Intrusion Prevention, McAfee Endpoint Encryption og Host Data Loss Prevention. Har et liten datasenter i samme bygning som enhetene, slik at det ikke er noen WAN-koblinger og alle klientene er på et 100 MB-lokalnettverk. I dette eksemplet kan du bruke den primære McAfee epo-serveren som den eneste programdatabasen. McAfee epo-serveren er alltid master-programdatabasen som standard. For 3000 klienter kan McAfee epo-serveren håndtere: Policydistribusjon Hendelseinnsamling Distribuere alle oppdateringer og programvare Eksempel 2: Organisasjon med noder med fire kontorer Dette eksempelet beskriver programdatabasespesifikasjoner for en organisasjon med noder og fire kontorer. Organisasjonen har følgende egenskaper: Omtrent noder for arbeidsstasjoner og servere. Har ett datasenter i New York, der all Internett-trafikk skal rutes gjennom. Fire kontorer i USA, i New York, San Francisco, Dallas og Orlando. Hvert kontor har ca noder og en T1-tilkobling (1,544 Mb/s) tilbake til New York-kontoret. McAfee epo-server, som er plassert i New York, administrerer alle noder for policyer og hendelser for McAfee Endpoint Encryption, VirusScan Enterprise, Host Intrusion Prevention og Application Control. En dedikert SuperAgent-programdatabase er plassert i hvert av de tre store kontorer som kobler til datasenteret. Disse programdatabasene er dedikerte SuperAgent-programdatabaser som kobler til datasenteret i New York med servere med maskinvare i mellomklassen, for eksempel en 3 GHz CPU med enkeltprosessor og 4 GB RAM. SuperAgent-forekomstenes eneste oppgave jobb er å fordele filer til McAfee Agent ved hvert kontor. Når du har flere programdatabaser, kan du angi i hvilken rekkefølge agentene skal få tilgang til programdatabasene. I dette eksemplet ville du plassere programdatabasene i en rekkefølge slik at dedikerte SuperAgent-programdatabaser som kobler til datasenteret i New York, er tilgjengelige først. Du kan også deaktivere tilgang til andre programdatabaser som du ikke vil at agentene skal bruke. 278 McAfee epolicy Orchestrator programvare Produktveiledning

279 Programdatabaser Bruke programdatabaser 18 Eksempel 3: Organisasjon med noder med flere globale kontorer Dette eksempelet beskriver programdatabasespesifikasjoner for en organisasjon med noder og flere globale kontorer. Organisasjonen har følgende egenskaper: Omtrent noder for arbeidsstasjoner og servere. Tre store regionskontorer i USA, kontorer, med et datasenter i New York og ytterligere tre kontorer over hele landet. Hvert kontor har ca noder. Den ene McAfee epo-serveren i New York-datasenteret kjører VirusScan Enterprise, Host Intrusion Prevention og SiteAdvisor Enterprise. Det største kontoret i USA, utenom datasenteret i New York, har en agentbehandler installert. Kontorene i Europa, Midtøsten og Afrika (EMEA) har et annet datasenter i Storbritannia, med flere andre kontorer i hele EMEA. Disse andre kontorene varierer fra 200 noder til 3000 noder. Kontorene i Asia og Stillehavet (APAC)-regionen omfatter to små kontorer. Region Kontor Antall noder Servere USA New York, datasenter 7000 McAfee epo-server USA Kontor Programdatabase USA Kontor Programdatabase og agentbehandler USA Kontor Programdatabase EMEA Storbritannia, Datasenter 3000 Programdatabase EMEA Kontor EMEA Kontor Programdatabase EMEA Kontor Programdatabase APAC Kontor APAC Kontor servere i USA-regionen Plasser en klient i serverklassen, for eksempel dual-prosessorer på 3 GHz og 8 GB RAM, på hvert område i USA. servere i EMEA-regionen Bruk Systems Management Server (SMS) og installer SuperAgent-forekomster ved hvert kontor i EMEA-regionen, siden de er mindre områder. Programdatabasen din behøver ikke være dedikert til McAfee, så lenge den ikke leverer filer til flere tusen agenter. servere i APAC-regionen De små kontorer i APAC-regionen bruker trege WAN-koblinger tilbake til McAfee epo-serveren i New York. Disse WAN-koblingene er dessuten allerede mettet med trafikk. Disse koblingene betyr at reproduksjon fra McAfee epo-serveren til en APAC-programdatabase ikke er mulig med mindre det utføres utenfor arbeidstid. Dette alternativet er rimelig hvis du vil plassere SuperAgent-forekomster i APAC. Heldigvis har APAC-kontorene sine egne raske, dedikerte tilkoblinger ut til Internett, og trenger ikke å sende Internett-trafikken tilbake til datasenteret i New York. Dette gir to mulige løsninger: McAfee epolicy Orchestrator programvare Produktveiledning 279

280 18 Programdatabaser Bruke programdatabaser Du kan justere klientoppgavene i APAC til å gå til nest nærmeste programdatabase, som kan være i California. Du må fullstendig randomisere oppdateringsplanen for agentene, slik at du sprer oppdateringer utover dagen. Du kan plassere en SuperAgent i DMZ (offentlig tilgjengelig på Internett) i ett av datasentrene. Deretter justerer du APAC-klientoppgavene for å tvinge dem til bare å oppdatere fra denne SuperAgent-forekomsten i DMZ. Fordi SuperAgent-forekomsten er lokal til datasenteret, går reproduksjon fra McAfee epo raskt. Siden agentene ikke trenger å bruke en WAN-kobling og kan gå rett til Internett, er problemene med treg WAN-båndbredde er løst. Deaktiver server for master-programdatabase I store miljøer kan du forbedre ytelsen til McAfee epo-serveren ved å ekskludere master-programdatabasen fra å levere agentoppdateringer. Før du begynner Du må ha en annen programdatabase konfigurert før du kan deaktivere master-programdatabasen på McAfee epo-serveren. I store miljøer er McAfee epo-serveren allerede opptatt med å distribuere policyer og samle inn hendelser. Du kan forbedre ytelsen ved å endre McAfee Agent-policyen, slik at agenter ikke henter innhold fra McAfee epo-serveren direkte. I stedet for å hente innhold fra master-programdatabasen, går agenter til egne programdatabaser som er opprettet for lokal tilgang. Denne endringen tvinger agentene til å bare bruke programdatabasene du opprettet manuelt. Du kan angi hvilke programdatabaser agenter skal søke tilgang til når du velger en programdatabase i en policy. I mindre miljøer med færre administrerte noder er det ikke behov for denne endringen. Serveren kan håndtere alle disse oppgavene uten at ytelsen påvirkes. 1 Du åpner Policykatalog ved å velge Meny Policy Policykatalog. 2 Velg McAfee Agent i listen Produkt. Deretter velger du Programdatabase fra listen Kategori og klikker så på policynavnet du vil endre. 3 Klikk på fanen Programdatabaser. 280 McAfee epolicy Orchestrator programvare Produktveiledning

281 Programdatabaser Bruke programdatabaser 18 4 Klikk på Deaktiver i Handlinger-kolonnen for McAfee epo-serveren i Programdatabaseliste. Dette diagrammet viser McAfee epo-serveren deaktivert. Figur 18-3 Programdatabaser med McAfee epo-server deaktivert 5 Klikk på Lagre. Nå har du forbedret McAfee epo-serverytelsen, siden agentene er ikke lenger søker tilgang til den for oppdateringer. Gode fremgangsmåter: Begrensning av global oppdatering Global oppdatering er en kraftig funksjon, men brukt feil kan den ha negativ innvirkning på miljøet. Global oppdatering brukes til oppdatering av programdatabasene så raskt som mulig når master-programdatabasen endres. Global oppdatering er flott om du har et mindre miljø (færre enn 1000 noder) uten WAN-koblinger. Global oppdatering genererer en stor trafikkmengde som kan innvirke på nettverkets båndbredde. Hvis miljøet er i et lokalnett og båndbredde ikke er et problem, bør du bruke global oppdatering. Hvis du administrerer et større miljø og båndbredde er avgjørende, bør du deaktivere global oppdatering. Global oppdatering er deaktivert som standard når du installerer McAfee epo-programvaren. Hvis du vil bekrefte innstillingen for global oppdatering, velger du Meny Konfigurasjon Serverinnstillinger og velger så global oppdatering fra listen Innstillingskategorier Bekreft at status er deaktivert. Hvis ikke klikker du på Rediger og endrer status. Hvis du er en bruker med et stort miljø der båndbredde er avgjørende, kan du tilfredsstille WAN-koblingene hvis global oppdatering er aktivert. Det kan hende du tror at du kan motta DAT-filer raskere hvis global oppdatering er aktivert. Men før eller siden vil McAfee frigi f.eks. en oppdatering til McAfee Endpoint Security-motoren som kan være på flere megabyte, sammenlignet med DAT-filer på 400 kb. Denne motoroppdateringen oppstår typisk to ganger i året. Når frigivelsen inntreffer, vil McAfee epo-serveren pulle motoren fra McAfee, starte å reprodusere til distribuerte programdatabaser McAfee epolicy Orchestrator programvare Produktveiledning 281

282 18 Programdatabaser Konfigurere programdatabaser for første gang og starte å våkne opp agenter, slik at de kan motta den nye motoren med en gang. Denne motoroppdateringen kan også tilfredsstille WAN-koblingene og rulle ut en motor som du kan foretrekke å oppgradere i en trinnvis frigivelse. Hvis du har et stort miljø, kan du fremdeles bruke global oppdatering, men du må deaktivere den når en ny motor- eller produktoppdatering frigis. Hvis ikke kan oppdateringene kan tilfredsstille WAN-koblingene. Hvis du vil ha mer informasjon, se følgende KnowledgeBase-artikler: Slik hindrer du at McAfee epo 5.X automatisk oppdateres til sist publiserte motor, KB77901 epolicy Orchestrator distribuerer McAfee-produktprogramvareoppdatering, KB77063, for tidlig Slik fungerer global oppdatering Hvis McAfee epo-serveren er planlagt å pulle de nyeste DAT-filene fra McAfee-webområdet kl Eastern time (og den planlagte pull-handlingen endrer innholdet i master-programdatabasen), starter serveren automatisk den globale oppdateringsprosessen for å reprodusere det nye innholdet i alle de distribuerte programdatabasene. Hendelsene i prosessen for global oppdatering forekommer i denne rekkefølgen: 1 Innhold eller pakker sjekkes inn i master-programdatabasen. 2 McAfee epo-serveren utfører en inkrementell reproduksjon til alle distribuerte programdatabaser. 3 McAfee epo-serveren utfører et vekkesignal til SuperAgent for alle SuperAgent-er i miljøet. 4 SuperAgent-forekomsten kringkaster en global oppdateringsmelding til alle agenter i SuperAgent-undernettet. 5 Når kringkastingen mottas, får agenten minimum katalogversjon som er nødvendig. 6 Agenten søker de distribuerte programdatabasene etter et område som har minimum katalogversjon. 7 Når en egnet programdatabase blir funnet, kjører agenten oppdateringsoppgaven. Konfigurere programdatabaser for første gang Følg disse overordnede trinnene når du oppretter programdatabaser for første gang. 1 Bestem hvilke typer programdatabaser som skal brukes, og hvor de skal plasseres. 2 Opprett og fyll programdatabasene. Gode fremgangsmåter for å administrere kilde- og reserveområder Du kan endre standard kilde- og reserveområder fra serverinnstillingene. Du kan for eksempel redigere innstillinger og slette eksisterende kilde- og reserveområder eller bytte mellom dem. Du må være administrator eller ha nødvendige tillatelser for å definere, endre eller slette kilde- eller reserveområder. Bruk kilde- og reserveområdene som er angitt som standard. Hvis du har behov for å bruke andre områder til dette formålet, kan du opprette nye. 282 McAfee epolicy Orchestrator programvare Produktveiledning

283 Programdatabaser Gode fremgangsmåter for å administrere kilde- og reserveområder 18 r Opprette kildeområder på side 283 Opprett et kildeområde i serverinnstillingene. Gode fremgangsmåter for å bytte mellom kilde- og reserveområder på side 284 Bruk serverinnstillingene til å endre kilde- og reserveområder. Gode fremgangsmåter for å redigere kilde- og reserveområder på side 284 Bruk serverinnstillingene til å redigere innstillingene for kilde- eller reserveområder, for eksempel URL-adresse, portnummer og godkjenningslegitimasjon for nedlasting. Gode fremgangsmåter for sletting av kildeområder eller deaktivering av reserveområder på side 284 Hvis et kilde- eller reserveområde ikke lenger er i bruk, kan det slettes eller deaktiveres. Opprette kildeområder Opprett et kildeområde i serverinnstillingene. 1 Velg Meny Konfigurasjon Serverinnstillinger, og velg deretter Kildeområder. 2 Klikk på Legg til kildeområde. Veiviseren for kildeområdebygger vises. 3 Skriv inn et unikt programdatabasenavn på siden Beskrivelse, og velg HTTP, UNC eller FTP, og klikk deretter på Neste. 4 Skriv inn nettadressen og portinformasjonen til området på siden Server, og klikk på Neste. HTTP- eller FTP-servertype: I rullegardinlisten URL velger du DNS-navn, IPv4 eller IPv6 som type serveradresse. Deretter angir du adressen. Alternativ DNS-navn IPv4 IPv6 Definisjon Angir DNS-navnet til serveren. Angir IPv4-adressen til serveren. Angir IPv6-adressen til serveren. Angi portnummeret til serveren: FTP-standard er 21, HTTP-standard er 80. UNC-servertype: Angi nettverkskatalogbanen der programdatabase befinner seg. Bruk dette formatet: \ \<COMPUTER>\<FOLDER>. 5 På siden Legitimasjon oppgir du nedlastingslegitimasjonen som ble brukt av administrerte systemer for å koble til denne programdatabasen. Bruk legitimasjon med skrivebeskyttet tillatelse til HTTP-serveren, FTP-serveren eller UNC-delingen som er vert for programdatabasen. HTTP- eller FTP-servertype: Velg Anonym for å bruke en ukjent brukerkonto. Velg FTP eller HTTP-godkjenning (hvis serveren krever godkjenning), angi deretter brukerkontoinformasjonen. McAfee epolicy Orchestrator programvare Produktveiledning 283

284 18 Programdatabaser Gode fremgangsmåter for å administrere kilde- og reserveområder UNC-servertype: Skriv inn domene- og brukerkontoinformasjon. 6 Klikk på Test legitimasjon. Etter noen sekunder vises en bekreftelse om at området er tilgjengelig for systemer som bruker godkjenningsinformasjon. Sjekk følgende hvis legitimasjonen er feil: Brukernavn og passord. URL-adresse eller bane på forrige panel i veiviseren. HTTP-, FTP- eller UNC-området på systemet. 7 Klikk på Neste. 8 Se gjennom siden Sammendrag og klikk på Lagre for å legge til området i listen. Gode fremgangsmåter for å bytte mellom kilde- og reserveområder Bruk serverinnstillingene til å endre kilde- og reserveområder. Avhengig av nettverkskonfigurasjonen kan du bytte kilde- og reserveområde hvis du syns at HTTPeller FTP-oppdatering fungerer bedre. 1 Velg Meny Konfigurasjon Serverinnstillinger. 2 Velg Kildeområder og klikk på Rediger. Siden Rediger kildeområder åpnes. 3 Finn området du vil angi som reserve i listen, og klikk deretter på Aktiver reserve. Gode fremgangsmåter for å redigere kilde- og reserveområder Bruk serverinnstillingene til å redigere innstillingene for kilde- eller reserveområder, for eksempel URL-adresse, portnummer og godkjenningslegitimasjon for nedlasting. 1 Velg Meny Konfigurasjon Serverinnstillinger. 2 Velg Kildeområder, og klikk på Rediger. 3 Finn området i listen, og klikk deretter på navnet på området. 4 Rediger innstillingene i Kildeområdebygger etter behov, og klikk deretter på Lagre. Gode fremgangsmåter for sletting av kildeområder eller deaktivering av reserveområder Hvis et kilde- eller reserveområde ikke lenger er i bruk, kan det slettes eller deaktiveres. 284 McAfee epolicy Orchestrator programvare Produktveiledning

285 Programdatabaser Gode fremgangsmåter for å bekrefte tilgang til kildeområdet 18 1 Velg Meny Konfigurasjon Serverinnstillinger. 2 Velg Kildeområder og klikk på Rediger. Siden Rediger kildeområder åpnes. 3 Klikk på Slett ved siden av det ønskede kildeområdet. Dialogboksen Slett kildeområde vises. 4 Klikk på OK. Området fjernes fra siden Kildeområder. Gode fremgangsmåter for å bekrefte tilgang til kildeområdet Du må kontrollere at master-programdatabasen og administrerte systemer for McAfee epo har tilgang til Internett når du bruker McAfeeHttp- og McAfeeFtp-områder som kilde- og reserveområde. Dette avsnittet beskriver trinnene for konfigurering av tilkobling som McAfee epo-master-programdatabasen og McAfee Agent bruker for tilkobling til nedlastingsområdet direkte eller via proxy. Standardvalget er Ikke bruk proxy. r Konfigurere proxy-innstillinger på side 285 Konfigurer proxy-innstillinger til å hente DAT-er for oppdatering av programdatabasene. Konfigurere proxy-innstillinger for McAfee Agent på side 286 Konfigurer proxy-innstillingene McAfee Agent bruker for å koble til nedlastingsområde. Konfigurere proxy-innstillinger Konfigurer proxy-innstillinger til å hente DAT-er for oppdatering av programdatabasene. 1 Velg Meny Konfigurasjon Serverinnstillinger. 2 Velg Proxy-innstillinger i listen over innstillingskategorier, og klikk deretter på Rediger. 3 Velg Konfigurer proxy-innstillingene manuelt. a Ved siden av proxy-serverinnstillinger velger du om du vil bruke enten én proxy-server for all kommunikasjon, eller ulike proxy-servere for HTTP og FTP. Skriv deretter inn IP-adressen eller det fullstendig kvalifiserte domenenavnet og portnummeret til proxy-serveren. Hvis du bruker standard kilde- og reserveområder, eller hvis du konfigurerer et annet HTTP-kildeområde og FTP-reserveområde, konfigurer du informasjonen for både HTTP- og FTP-proxy-godkjenning her. b Ved siden av Proxy-godkjenning konfigurerer du innstillingene etter om du henter oppdateringer fra HTTP-programdatabaser, FTP-programdatabaser eller begge deler. McAfee epolicy Orchestrator programvare Produktveiledning 285

286 18 Programdatabaser Gode fremgangsmåter for å bekrefte tilgang til kildeområdet c d Ved siden av Utelukkelser velger du Omgå lokale adresser, og angir deretter hvilke distribuerte programdatabaser serveren kan koble til direkte, ved å skrive inn IP-adresse eller fullstendig kvalifisert domenenavn for disse systemene, atskilt med semikolon. Ved siden av Utelukkelser velger du Omgå lokale adresser, og angir deretter hvilke distribuerte programdatabaser serveren kan koble til direkte, ved å skrive inn IP-adresse eller fullstendig kvalifisert domenenavn for disse systemene, atskilt med semikolon. 4 Klikk på Lagre. Konfigurere proxy-innstillinger for McAfee Agent Konfigurer proxy-innstillingene McAfee Agent bruker for å koble til nedlastingsområde. 1 Velg Meny Policy Policykatalog, og fra Produkt-listen klikker du deretter på McAfee Agent, og velg Programdatabase i Kategori-listen. En liste med agenter som er konfigurert for McAfee epo-serveren, vises. 2 På Min standard agent klikker du på Rediger innstillinger. Siden Rediger innstillinger vises for agenten Min standard. 3 Klikk på kategorien Proxy. Siden Proxy-innstillinger vises. 4 Velg Bruk Internet Explorer-innstillinger (kun Windows) for Windows-systemer, og velg eventuelt alternativet for å tillate bruker å konfigurere proxy-innstillinger. Du kan konfigurere Internet Explorer for bruk med proxyer på flere måter. McAfee har veiledning for konfigurering og bruk av McAfee-produkter, men ikke instruksjoner for produkter leveres av andre enn McAfee. Du finner informasjon om konfigurering av proxy-innstillinger i hjelpefunksjonen for Internet Explorer og på 5 Velg Konfigurer proxy-innstillingene manuelt for å konfigurere proxy-innstillingene for agenten manuelt. 6 Skriv inn IP-adressen eller det fullstendig kvalifiserte domenenavnet samt portnummeret for HTTPeller FTP-kilden der agenten henter oppdateringer. Velg Bruk disse innstillingene for alle proxy-typer for å gjøre disse innstillingene til standard for alle proxy-typer. 7 Velg alternativet for å angi unntak for å angi systemer som ikke krever tilgang til proxyen. Bruk et semikolon til å skille unntakene. 8 Velg Bruk HTTP proxy-godkjenning og/eller Bruk FTP proxy-godkjenning, og oppgi deretter brukernavn og legitimasjon. 9 Klikk på Lagre. 286 McAfee epolicy Orchestrator programvare Produktveiledning

287 Programdatabaser Gode fremgangsmåter for å konfigurere innstillinger for globale oppdateringer 18 Gode fremgangsmåter for å konfigurere innstillinger for globale oppdateringer Globale oppdateringer automatiserer reproduksjon av programdatabaser i nettverket. Du kan bruke serverinnstillingen Global oppdatering til å konfigurere innholdet som skal distribueres til programdatabaser under en global oppdatering. Globale oppdateringer er deaktivert som standard. Vi anbefaler at du aktiverer og bruker disse oppdateringene som en del av oppdateringsstrategien. Du kan angi et randomiseringsintervall og pakketyper som skal distribueres under oppdateringen. Randomiseringsintervallet angir tidsperioden for oppdatering av systemene. Systemer oppdateres tilfeldig i det angitte intervallet. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Global oppdatering i Innstillingskategorier, og klikk på Rediger. 2 Angi statusen til Aktivert og angi et randomiseringsintervall mellom 0 og minutter. 3 Angi hvilke pakketyper som skal inkluderes i de globale oppdateringene: Alle pakker Velg dette alternativet for å inkludere alle signaturer og motorer samt alle programoppdateringer og Service Packs. Valgte pakker Velg dette alternativet for å begrense antallet signaturer og motorer samt antallet programoppdateringer og Service Packs som inkluderes i den globale oppdateringen. Når du bruker global oppdatering, bør du planlegge en vanlig pull-oppgave (for å oppdatere master-programdatabasen) på et tidspunkt med minimal nettverkstrafikk. Selv om global oppdatering er mye raskere enn andre metoder, økes nettverkstrafikken under oppdateringen. Se også Produkt- og oppdateringsdistribuering på side 223 Gode fremgangsmåter for å konfigurere agentpolicyer for bruk av distribuert programdatabase Tilpass hvordan agenter velger distribuerte programdatabaser for å redusere båndbreddebruken. 1 Velg Meny Policy Policykatalog, velg deretter produktet som McAfee Agent og Kategori som programdatabase. 2 Klikk på en eksisterende agentpolicy, og velg deretter kategorien Programdatabaser. 3 Fra Valg av programdatabaseliste velger du alternativet Bruk denne programdatabaselisten eller Bruk en annen programdatabaseliste. McAfee epolicy Orchestrator programvare Produktveiledning 287

288 18 Programdatabaser Bruke SuperAgent-forekomster som distribuerte programdatabaser 4 I Velg programdatabase etter angir du metoden for sortering av programdatabaser: Ping-tidspunkt Sender et ICMP-ping til de fem nærmeste programdatabasene (basert på undernettverdi), og sorterer dem etter responstid. Undernettavstand: Sammenligner IP-adressene for endepunktene og alle programdatabasene, og sorterer programdatabasene basert på graden av bitsamsvar. Jo mer IP-adressene ligner på hverandre, jo høyere opp i listen plasseres programdatabasen. Ved behov kan du angi Maksimalt antall hopp. Bruker rekkefølgen i programdatabaselisten Velger programdatabaser basert på rekkefølgen i listen. 5 Endre innstillingene i programdatabaselisten etter behov: Deaktivere programdatabaser ved å klikke på Deaktiver i feltet Handlinger. Klikk på Flytt til toppen eller Flytt til bunnen for å angi rekkefølgen du vil at endepunktene skal velge distribuerte programdatabaser i. 6 Klikk på Lagre når fullført. Bruke SuperAgent-forekomster som distribuerte programdatabaser Opprette og konfigurere distribuerte programdatabaser på systemer som er vert for SuperAgent-forekomster. SuperAgent-forekomster kan minimere nettverkstrafikk. Agenter som skal konverteres til en SuperAgent, må være del av et Windows-domene. r Opprette distribuerte SuperAgent-programdatabaser på side 288 En McAfee Agent må være installert og kjøres på SuperAgent-systemet for å opprette en SuperAgent-programdatabase. Det anbefales at du bruker SuperAgent-programdatabaser med global oppdatering. Reprodusere pakker til SuperAgent-programdatabaser på side 289 Velg hvilke programdatabasespesifikke pakker som skal reproduseres til distribuerte programdatabaser. Slette distribuerte SuperAgent-programdatabaser på side 290 Fjerne distribuerte SuperAgent-programdatabaser fra vertssystemet og programdatabaselisten (SiteList.xml). Nye konfigurasjoner trer i kraft ved neste agent-til-server-kommunikasjon. Opprette distribuerte SuperAgent-programdatabaser En McAfee Agent må være installert og kjøres på SuperAgent-systemet for å opprette en SuperAgent-programdatabase. Det anbefales at du bruker SuperAgent-programdatabaser med global oppdatering. Denne oppgaven forutsetter at du vet hvor SuperAgent-systemene finnes i systemtreet. Det anbefales at du oppretter en SuperAgent-tagg, slik at du enkelt kan finne SuperAgent-systemene på siden Taggkatalog eller ved å kjøre en spørring. 288 McAfee epolicy Orchestrator programvare Produktveiledning

289 Programdatabaser Bruke SuperAgent-forekomster som distribuerte programdatabaser 18 1 I McAfee epo-konsollen velger du Meny Policy Policykatalog. I listen Produkt klikker du deretter på McAfee Agent, og velger Generelt i listen Kategori. Det vises en liste over tilgjengelige generelle kategoripolicyer som er tilgjengelig for bruk på McAfee epo-serveren. 2 Opprett en policy, dupliser en eksisterende policy, eller åpne en policy som allerede er brukt for systemer som er vert for en SuperAgent, på plasseringen du ønsker å angi som vert for SuperAgent-programdatabaser. 3 Velg kategorien Generelt, og kontroller deretter at Konverter agenter til SuperAgenter (kun Windows) er valgt. 4 Velg alternativet for å bruke systemer som kjører SuperAgent-forekomster som distribuerte programdatabaser, og skriv deretter inn en mappebaneplassering for programdatabasen. Dette er plasseringen der master-programdatabasen kopierer oppdateringer under reproduksjon. Du kan bruke en standard Windows-bane, for eksempel C:\SuperAgent\Repo. Alle forespurte filer fra agentsystemet leveres fra denne plasseringen ved bruk av agentens innebygde HTTP-webserver. 5 Klikk på Lagre. 6 Tildel denne policyen til hver system som du vil skal være vert for en SuperAgent-programdatabase. Den nye policyen hentes neste gang agenten kaller opp serveren. Hvis du ikke vil vente til neste agent-til-server-kommunikasjonsintervall, kan du sende et vekkesignal til agent til systemene. Når den distribuerte programdatabasen opprettes, opprettes den angitte mappen i systemet, hvis den ikke finnes. I tillegg legges nettverksplasseringen til i programdatabaselisten i filen SiteList.xml. Denne nettverksplasseringen gjør området tilgjengelig for oppdatering av systemene i ditt administrerte miljø. Reprodusere pakker til SuperAgent-programdatabaser Velg hvilke programdatabasespesifikke pakker som skal reproduseres til distribuerte programdatabaser. 1 Velg Meny Programvare Distribuerte programdatabaser. En liste over alle distribuerte programdatabaser vises. 2 Finn og klikk på SuperAgent-programdatabasen. Bygger for distribuerte programdatabaser åpnes. McAfee epolicy Orchestrator programvare Produktveiledning 289

290 18 Programdatabaser Bruke SuperAgent-forekomster som distribuerte programdatabaser 3 På siden Pakketyper velger du de påkrevde pakketypene. Kontroller at alle pakker som er påkrevd av administrerte systemer som bruker denne programdatabasen, er valgt. Administrerte systemer henter alle pakkene i én programdatabase, og oppgaven mislykkes for systemer som forventer å finne en pakketype som ikke er tilgjengelig. Denne funksjonen sikrer at pakker som kun brukes av noen få systemer, ikke reproduseres i hele miljøet. 4 Klikk på Lagre. Slette distribuerte SuperAgent-programdatabaser Fjerne distribuerte SuperAgent-programdatabaser fra vertssystemet og programdatabaselisten (SiteList.xml). Nye konfigurasjoner trer i kraft ved neste agent-til-server-kommunikasjon. 1 I McAfee epo-konsollen klikker du på Meny Policy Policykatalog, og klikker så på navnet til SuperAgent-policyen du vil endre. 2 I kategorien Generelt opphever du valget Bruke systemer som kjører SuperAgent-forekomster som distribuerte programdatabaser, og klikk på Lagre. Hvis du vil slette et begrenset antall distribuerte SuperAgent-programdatabaser, kan du duplisere McAfee-policyen som er tildelt disse systemene, og oppheve valget for å bruke systemer som kjører SuperAgent-forekomster som distribuerte programdatabaser, før du lagrer den. Tildel denne nye policyen etter behov. SuperAgent-programdatabasen slettes og fjernes fra programdatabaselisten. Agenten fungerer imidlertid fortsatt som en SuperAgent så lenge du lar valget for å konvertere agenter til SuperAgent-forekomster være valgt. Agenter som ikke har mottatt en ny Sitelist etter policyendringen, fortsetter å oppdatere fra SuperAgent-forekomsten som ble fjernet. 290 McAfee epolicy Orchestrator programvare Produktveiledning

291 Programdatabaser Opprette og konfigurere programdatabaser på FTP- eller HTTP-servere og UNC-delinger 18 Opprette og konfigurere programdatabaser på FTP- eller HTTPservere og UNC-delinger Du kan la eksisterende FTP- og HTTP-servere, eller eksisterende UNC-delinger, være vert for distribuerte programdatabaser. Selv om det ikke kreves en dedikert server, bør systemet være solid nok til å håndtere belastningen når de administrerte systemene kobler til for oppdateringer. r Opprett en mappeplassering på side 291 Opprett mappen som er vert for programdatabaseinnholdet på det distribuerte programdatabasesystemet. Ulike prosesser brukes for UNC-delingsprogramdatabaser og FTP- eller HTTP-programdatabaser. Legg til den distribuerte programdatabasen til McAfee epo på side 291 Legg en oppføring til i programdatabaselisten, og angi mappen den nye distribuerte programdatabasen skal bruke. Unngå reproduksjon av valgte pakker på side 293 Hvis distribuerte programdatabaser er konfigurert for å reprodusere bare utvalgte pakker, blir den nylig innsjekkede pakken reprodusert som standard. Avhengig av kravene dine for testing og validering kan det hende at du bør unngå reproduksjon av enkelte pakker i de distribuerte programdatabasene dine. Deaktivere reproduksjon av valgte pakker på side 293 Hvis distribuerte programdatabaser er konfigurert for å reprodusere bare utvalgte pakker, blir den nylig innsjekkede pakken reprodusert som standard. Hvis du vil deaktivere den kommende reproduksjonen av en pakke, må du deaktivere reproduksjonsoppgaven før du sjekker inn pakken. Aktivere mappedeling for UNC- og HTTP-programdatabaser på side 294 I HTTP- eller UNC-distribuerte programdatabaser må du aktivere mappen for deling på hele nettverket, slik at McAfee epo-serveren kan kopiere filer til programdatabasen. Redigere distribuerte programdatabaser på side 294 Redigere konfigurasjonen for en distribuert programdatabase, godkjenning og pakkevalgalternativer etter behov. Slette distribuerte programdatabaser på side 294 Slett HTTP-, FTP- eller UNC-distribuerte programdatabaser. Dette sletter også innholdet i de distribuerte programdatabasene. Opprett en mappeplassering Opprett mappen som er vert for programdatabaseinnholdet på det distribuerte programdatabasesystemet. Ulike prosesser brukes for UNC-delingsprogramdatabaser og FTP- eller HTTP-programdatabaser. For UNC-delingsprogramdatabaser kan du opprette mappen på systemet og aktivere deling. For FTP- eller HTTP-programdatabaser kan du bruke eksisterende FTP- eller HTTP-serverprogramvare, for eksempel Microsoft Internet Information Services (IIS), til å opprette en mappe og områdeplassering. Se dokumentasjonen på webserveren for detaljer. Legg til den distribuerte programdatabasen til McAfee epo Legg en oppføring til i programdatabaselisten, og angi mappen den nye distribuerte programdatabasen skal bruke. Ikke konfigurer distribuerte programdatabaser slik at de henviser til samme katalog som master-programdatabasen. Dette fører til at filene i master-programdatabasen blir låst, noe som igjen fører til at pull-handlinger og innsjekking av pakker mislykkes, noe som gjør at master-programdatabasen ikke kan brukes skikkelig. McAfee epolicy Orchestrator programvare Produktveiledning 291

292 18 Programdatabaser Opprette og konfigurere programdatabaser på FTP- eller HTTP-servere og UNC-delinger 1 Velg Meny Programvare Distribuerte programdatabaser, og klikk deretter på Handlinger Ny programdatabase. Bygger for distribuerte programdatabaser åpnes. 2 Skriv inn et unikt navn på siden Beskrivelse, og velg HTTP, UNC eller FTP, og klikk deretter på Neste. Navnet på programdatabasen må ikke være navnet på systemet som er vert for programdatabasen. 3 Konfigurer én av følgende servertyper på siden Server. HTTP-servertype eller FTP-servertype I rullegardinlisten URL velger du DNS-navn, IPv4 eller IPv6 som type serveradresse. Deretter angir du adressen. Alternativ DNS-navn IPv4 IPv6 Definisjon Angir DNS-navnet til serveren. Angir IPv4-adressen til serveren. Angir IPv6-adressen til serveren. Angi portnummeret til serveren: HTTP-standard er 80. FTP-standard er 21. For HTTP-servertyper angir du banen til reproduksjons-unc for HTTP-mappen. UNC-servertype Angi nettverkskatalogbanen der programdatabase befinner seg. Bruk dette formatet: \ \<COMPUTER>\<FOLDER>. 4 Klikk på Neste. 5 På siden Legitimasjon: a Angi Nedlastingslegitimasjon. Bruk legitimasjon med skrivebeskyttet tillatelse til HTTP-serveren, FTP-serveren eller UNC-delingen som er vert for programdatabasen. HTTP- eller FTP-servertype Velg Anonym for å bruke en ukjent brukerkonto. Velg FTP eller HTTP-godkjenning (hvis serveren krever godkjenning), angi deretter brukerkontoinformasjonen. UNC-servertype Velg Bruk legitimasjon for pålogget konto for å bruke legitimasjonen til brukeren som er pålogget for øyeblikket. Velg Skriv inn nedlastingsinformasjon, deretter angir du domene- og brukerkontoinformasjonen. b Klikk på Test legitimasjon. Etter noen få sekunder vises en bekreftelse om at området er tilgjengelig for systemer som bruker godkjenningsinformasjon. Hvis legitimasjonen er feil, kontrollerer du følgende: Brukernavn og passord URL-adresse eller bane på forrige panel i byggeren HTTP-, FTP- eller UNC-område på systemet 292 McAfee epolicy Orchestrator programvare Produktveiledning

293 Programdatabaser Opprette og konfigurere programdatabaser på FTP- eller HTTP-servere og UNC-delinger 18 6 Angi Reproduksjonslegitimasjon. Serveren bruker denne legitimasjonen når den reproduserer DAT-filer, motorfiler og andre produktoppdateringer fra master-programdatabasen til den distribuerte programdatabasen. Denne legitimasjonen må ha både lese- og skrivetillatelser for den distribuerte programdatabasen: For FTP angir du brukerkontoinformasjonen. For HTTP eller UNC angir du domene- og brukerkontoinformasjon. Klikk på Test legitimasjon. Etter noen sekunder vises en bekreftelse om at området er tilgjengelig for systemer som bruker godkjenningsinformasjon. Hvis legitimasjonen er feil, kontrollerer du følgende: Brukernavn og passord URL-adresse eller bane på forrige panel i byggeren HTTP-, FTP- eller UNC-område på systemet 7 Klikk på Neste. Siden Pakketyper vises. 8 Velg om du vil reprodusere alle pakker eller valgte pakker til denne distribuerte programdatabasen, og klikk deretter på Neste. Hvis du valgte alternativet Valgte pakker, må du manuelt velge de Signaturer og motorer og Produkter, programoppdateringer, Service Packs osv. du vil reprodusere. Du kan alternativt velge Reproduser eldre DAT-filer. Kontroller at alle pakker som kreves av administrerte systemer som bruker denne programdatabasen, er avmerket. Administrerte systemer henter alle pakkene fra en programdatabase. Hvis en nødvendig pakketype ikke finnes i programdatabasen, blir oppgaven mislykket. Denne funksjonen sikrer at pakker som bare brukes av noen få systemer, ikke reproduseres i hele miljøet. 9 Se gjennom innholdet på siden Sammendrag, og klikk deretter på Lagre for å legge til i programdatabasen. McAfee epo-programvaren legger til den nye distribuerte programdatabasen i sin database. Unngå reproduksjon av valgte pakker Hvis distribuerte programdatabaser er konfigurert for å reprodusere bare utvalgte pakker, blir den nylig innsjekkede pakken reprodusert som standard. Avhengig av kravene dine for testing og validering kan det hende at du bør unngå reproduksjon av enkelte pakker i de distribuerte programdatabasene dine. 1 Velg Meny Programvare Distribuerte programdatabaser, og klikk deretter på en programdatabase. Veiviseren for bygger for distribuerte programdatabaser åpnes. 2 Opphev valget av pakken du ikke ønsker å reprodusere, på siden Pakketyper. 3 Klikk på Lagre. Deaktivere reproduksjon av valgte pakker Hvis distribuerte programdatabaser er konfigurert for å reprodusere bare utvalgte pakker, blir den nylig innsjekkede pakken reprodusert som standard. Hvis du vil deaktivere den kommende reproduksjonen av en pakke, må du deaktivere reproduksjonsoppgaven før du sjekker inn pakken. McAfee epolicy Orchestrator programvare Produktveiledning 293

294 18 Programdatabaser Opprette og konfigurere programdatabaser på FTP- eller HTTP-servere og UNC-delinger 1 Klikk på Meny Automatisering Serveroppgaver, og velg deretter Rediger ved siden av en serveroppgave for reproduksjon. Siden Serveroppgavebygger åpnes. 2 Velg siden Beskrivelse, sett Tidsplanstatus som Deaktivert, og klikk på Lagre. Aktivere mappedeling for UNC- og HTTP-programdatabaser I HTTP- eller UNC-distribuerte programdatabaser må du aktivere mappen for deling på hele nettverket, slik at McAfee epo-serveren kan kopiere filer til programdatabasen. Du aktiverer mappedeling kun for reproduksjonsformål. Administrerte systemer som er konfigurert til å bruke den distribuerte programdatabasen, bruker riktig protokoll (HTTP-, FTP- eller Windows-fildeling) og krever ikke mappedeling. 1 Finn mappen du opprettet, på det administrerte systemet ved bruk av Windows Utforsker. 2 Høyreklikk på mappen, og velg deretter Deling. 3 I kategorien Deling velger du Del denne mappen. 4 Konfigurere delingstillatelser etter behov. Systemer som oppdateres fra programdatabasen, trenger bare lesetilgang, mens administratorkontoer, herunder kontoen som brukes av McAfee epo-servertjenesten, krever skrivetilgang. Du finner informasjon i Windows-dokumentasjonen om hvordan du konfigurerer riktige sikkerhetsinnstillinger for delte mapper. 5 Klikk på OK. Redigere distribuerte programdatabaser Redigere konfigurasjonen for en distribuert programdatabase, godkjenning og pakkevalgalternativer etter behov. 1 Velg Meny Programvare Distribuerte programdatabaser, og klikk deretter på en programdatabase. Veiviseren for bygger for distribuerte programdatabaser åpnes, og viser detaljer for den distribuerte programdatabasen. 2 Endre konfigurasjon, godkjenning og pakkevalgalternativer etter behov. 3 Klikk på Lagre. Slette distribuerte programdatabaser Slett HTTP-, FTP- eller UNC-distribuerte programdatabaser. Dette sletter også innholdet i de distribuerte programdatabasene. 294 McAfee epolicy Orchestrator programvare Produktveiledning

295 Programdatabaser Bruke UNC-delinger som distribuerte programdatabaser 18 1 Klikk på Meny Programvare Distribuerte programdatabaser, og klikk deretter på Slett ved siden av en programdatabase. 2 Klikk på OK i dialogboksen Slett programdatabase. Når du sletter programdatabasen, slettes ikke pakkene på systemet som er vert for programdatabasen. Slettede programdatabaser fjernes fra programdatabaselisten. Bruke UNC-delinger som distribuerte programdatabaser Følg disse retningslinjene når du bruker UNC-delinger som distribuerte programdatabaser. UNC-delinger bruker Microsoft-protokollen Server Message Block (SMB) til å opprette en delt stasjon. Opprett brukernavn og passord for å få tilgang til denne delingen. Konfigurere delingen riktig Kontroller at UNC-delingen er riktig konfigurert. Bruk en alternativ metode til å skrive til programdatabasen: Logg på serveren på andre måter (en annen deling, RDP, lokalt) for å skrive til programdatabasen. Ikke bland programdatabasen du leser fra, med programdatabasen du skriver til. Leselegitimasjon deles med endepunkter og skrivelegitimasjon brukes utelukkende av McAfee epo-serveren til å oppdatere distribuert programdatabaseinnhold. Ikke bruk en deling på domenekontrolleren Opprett en deling utenfor domenekontrolleren. En lokal bruker på en domenekontroller er en domenebruker. Sikre kontoen du bruker til å lese fra UNC-delingen Følg disse retningslinjene for å sikre at kontoen som brukes til å få tilgang til UNC-delingen, er sikker. Gi UNC-delingskontoen skrivebeskyttede rettigheter for alle unntatt McAfee epo-serverens master-programdatabase Når du setter opp delingen, må du kontrollere at kontoen du opprettet, har skrivebeskyttede rettigheter til katalogen og til delingstillatelsene. Ikke gi ekstern skrivetillatelse til delingen (selv for administratorer eller andre kontoer). Den eneste kontoen som skal ha tilgang, er kontoen du nylig opprettet. McAfee epo-serverens master-programdatabase må kunne skrive filer til UNC-delingskontoen. Opprett kontoen lokalt: Opprett kontoen på fildelingen, ikke på domenet. Kontoer opprettet lokalt, gir ikke rettigheter til systemet i domenet. Bruk en bestemt konto Opprett en konto spesifikt for deling av programdatabasedata. Ikke del denne kontoen med flere funksjoner. Gi kontoen lavt tilgangsnivå Ikke legg til denne kontoen i grupper den ikke trenger. Dette gjelder også administrator- og brukergrupper. McAfee epolicy Orchestrator programvare Produktveiledning 295

296 18 Programdatabaser Bruke lokalt distribuerte programdatabaser som ikke er administrerte Deaktiver uvedkommende tilgangsnivåer: Denne kontoen trenger ikke å logge på en server. Det er en plassholder for å komme til filene. Undersøk denne kontoens tillatelser og deaktiver eventuelle unødvendige tilgangsnivåer. Bruk et sterkt passord Bruk et passord med 8 12 tegn og flere ulike tegnattributter (små og store bokstaver, symboler og tall). Vi anbefaler at du bruker en generator av vilkårlige passord slik at passordet blir komplekst. Beskytte og vedlikeholde UNC-delingen Beskytt delingen med en brannmur Blokker alltid unødvendig trafikk. Vi anbefaler at du blokkerer utgående og innkommende trafikk. Du kan bruke en programvarebrannmur på serveren eller en maskinvarebrannmur i nettverket. Aktiver filrevisjon Aktiver alltid sikkerhetsrevisjonslogger for å spore tilgang til nettverksdelingene. Disse loggene viser hvem som bruker delingen, når de gjorde det og hva de gjorde. Endre passordene: Endre passordet ofte. Kontroller at det nye passordet er sterkt, og husk å oppdatere McAfee epo-konfigurasjonen med det nye passordet. Deaktiver kontoen og delingen hvis den ikke brukes lenger Hvis du bytter til en annen programdatabasetype enn UNC, må du huske å deaktivere eller slette kontoen og lukke og fjerne delingen. Bruke lokalt distribuerte programdatabaser som ikke er administrerte Kopier innhold fra master-programdatabasen til den uadministrerte distribuerte programdatabasen. Når du har opprettet en uadministrert database, må du konfigurere administrerte systemer manuelt for å gå til den uadministrerte programdatabasen for filer. 1 Kopier alle filene og undermappen i master-programdatabase-mappen fra serveren. Dette er for eksempel standardbanen på serveren når du bruker Windows 2008 R2 Server: C: \Program Files (x86)\mcafee\epolicy Orchestrator\DB\Software 2 Lim inn de kopierte filene og undermappene i programdatabasemappen i systemet for distribuert programdatabase. 3 Konfigurer en agentpolicy for administrerte systemer til å bruke den nye uadministrerte distribuerte programdatabasen: a Velg Meny Policy Policykatalog, velg deretter produktet som McAfee Agent og Kategori som programdatabase. b Klikk på en eksisterende agentpolicy eller opprett en agentpolicy. Policyarv kan ikke brytes på nivået for alternativkategorier som utgjør en policy. Når du bruker denne policyen på systemer, må du derfor sikre at bare ønskede systemer mottar og arver policyen for å bruke den uadministrerte distribuerte programdatabasen. c Klikk på Legg til i kategorien Programdatabaser. 296 McAfee epolicy Orchestrator programvare Produktveiledning

297 Programdatabaser Arbeide med filene i programdatabaselisten 18 d Skriv inn et navn i tekstfeltet Programdatabasenavn. Navnet trenger ikke å være navnet på systemet som er vert for programdatabasen. e f g h i j Velg typen programdatabase under Hent filer fra. Angi plasseringen av programdatabasen under Konfigurasjon, og bruk riktig syntaks for programdatabasetypen. Legg inn et portnummer eller behold standardporten. Konfigurer godkjenningslegitimasjon etter behov. Klikk på OK for å legge til den nye distribuerte programdatabasen i listen. Velg den nye programdatabasen i listen. Typen Lokal angir at den ikke administreres av McAfee epo-programvaren. Når en uadministrert programdatabase er valgt i Programdatabaseliste, aktiveres knappene Rediger og Slett. k Klikk på Lagre. Alle systemene som skal bruke denne policyen, mottar den nye policyen ved neste agent-til-server-kommunikasjon. Arbeide med filene i programdatabaselisten Du kan eksportere programdatabaselistefilene. SiteList.xml Brukes av agenten og støttede produkter. SiteMgr.xml Brukes ved ny installering av McAfee epo-servere eller ved import til andre McAfee epo-servere som bruker samme distribuerte programdatabaser eller kildeområder. r Eksportere programdatabaselistefilen SiteList.xml på side 297 Eksporter programdatabaselistefilen (SiteList.xml) for manuell levering til systemer, eller for import under installasjon av støttede produkter. Eksporterer programdatabaselisten for sikkerhetskopiering eller bruk med andre servere på side 298 Bruk den eksporterte SiteMgr.xml-filen til å gjenopprette distribuerte programdatabaser og kildeområder. Gjenopprett når du installerer McAfee epomcafee epo-serveren på nytt, eller når du vil dele distribuerte programdatabaser eller kildeområder med en annen McAfee epo-server. Importere distribuerte programdatabaser fra programdatabaselisten på side 298 Importer distribuerte programdatabaser fra SiteMgr.xml-filen etter at du har installert en server på nytt, eller hvis du vil at en server skal bruke samme distribuerte programdatabaser som en annen server. Importere kildeområder fra SiteMgr.xml-filen på side 299 Når du har installert en server på nytt, og når du vil at to servere skal bruke samme distribuerte programdatabaser, kan du importere kildeområder fra en programdatabaselistefil. Eksportere programdatabaselistefilen SiteList.xml Eksporter programdatabaselistefilen (SiteList.xml) for manuell levering til systemer, eller for import under installasjon av støttede produkter. McAfee epolicy Orchestrator programvare Produktveiledning 297

298 18 Programdatabaser Arbeide med filene i programdatabaselisten 1 Velg Meny Programvare Master-programdatabase, og klikk på Handlinger Eksporter Sitelist. Dialogboksen Filnedlasting åpnes. 2 Klikk på Lagre, bla til plasseringen for lagring av SiteList.xml-filen, og klikk på Lagre. Når du har eksportert denne filen, kan du importere den under installasjonen av støttede produkter. Du finner instruksjoner i installasjonsveiledningen for det aktuelle produktet. Du kan også distribuere programdatabaselisten til administrerte systemer, og deretter bruke programdatabaselisten på agenten. Eksporterer programdatabaselisten for sikkerhetskopiering eller bruk med andre servere Bruk den eksporterte SiteMgr.xml-filen til å gjenopprette distribuerte programdatabaser og kildeområder. Gjenopprett når du installerer McAfee epomcafee epo-serveren på nytt, eller når du vil dele distribuerte programdatabaser eller kildeområder med en annen McAfee epo-server. Du kan eksportere denne filen enten fra siden Distribuerte programdatabaser eller siden Kildeområder. Når du importerer denne filen til disse sidene, importeres imidlertid bare elementene fra filen som er angitt på den aktuelle siden. Eksempel: Når denne filen importeres på siden Distribuerte programdatabaser, importeres bare de distribuerte programdatabasene i filen. Hvis du vil importere både distribuerte programdatabaser og kildeområder, må du importere filen to ganger, én gang fra hver side. 1 Velg Meny Programvare Distribuerte programdatabaser (eller Kildeområder), og klikk på Handlinger Eksporter programdatabaser (eller Eksporter kildeområder). Dialogboksen Filnedlasting åpnes. 2 Klikk på Lagre, bla gjennom til plasseringen der du vil lagre filen. Klikk deretter på Lagre. Importere distribuerte programdatabaser fra programdatabaselisten Importer distribuerte programdatabaser fra SiteMgr.xml-filen etter at du har installert en server på nytt, eller hvis du vil at en server skal bruke samme distribuerte programdatabaser som en annen server. 1 Velg Meny Programvare Distribuerte programdatabaser, og klikk på Handlinger Importer programdatabaser. Siden Importere programdatabaser vises. 298 McAfee epolicy Orchestrator programvare Produktveiledning

299 Programdatabaser Endre legitimasjon for flere distribuerte programdatabaser 18 2 Bla gjennom for å velge den eksporterte SiteMgr.xml-filen, og klikk på OK. Den distribuerte programdatabasen importeres til serveren. 3 Klikk på OK. De valgte programdatabasene legges til i listen over programdatabaser på denne serveren. Importere kildeområder fra SiteMgr.xml-filen Når du har installert en server på nytt, og når du vil at to servere skal bruke samme distribuerte programdatabaser, kan du importere kildeområder fra en programdatabaselistefil. 1 Velg Meny Konfigurasjon ServerinnstillingerI listen Innstillingskategorier velger du Kildeområder og klikker på Rediger. 2 Klikk på Importer. 3 Bla gjennom for å velge den eksporterte SiteMgr.xml-filen, og klikk på OK. 4 Velg ønskede kildeområder for å importere til denne serveren, og klikk deretter på OK. De valgte kildeområdene legges til i listen over programdatabaser på denne serveren. Endre legitimasjon for flere distribuerte programdatabaser Endre legitimasjoner for flere distribuerte programdatabaser av samme type. Dette er nyttig i miljøer med mange distribuerte programdatabaser. 1 Velg Meny Distribuerte programdatabaser. 2 Klikk på Handlinger, og velg Endre legitimasjon. Veiviseren for Endre legitimasjon åpnes på siden Programdatabasetype. 3 Velg den typen distribuert programdatabase du vil endre legitimasjonen for, og klikk deretter på Neste. 4 Velg ønskede distribuerte programdatabaser, og klikk på Neste. 5 Rediger legitimasjoner etter behov, og klikk deretter på Neste. 6 Gjennomgå informasjonen, og klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 299

300 18 Programdatabaser Pulling av oppgaver Pulling av oppgaver Bruk pull-oppgaver til å oppdatere master-programdatabasen med DAT- og motoroppdateringspakker fra kildeområdet. DAT-filer og motorfiler må oppdateres ofte. McAfee lanserer nye DAT-filer daglig og motorfiler noe sjeldnere. Distribuer disse pakkene i administrerte systemer så snart som mulig, for å beskytte dem mot de nyeste truslene. Du kan angi hvilke pakker som kopieres fra kildeområdet til master-programdatabasen. Extra.DAT-filene må sjekkes inn i master-programdatabasen manuelt. De er tilgjengelige fra McAfees webområde. En planlagt serveroppgave for programdatabase-pull kjører automatisk og regelmessig på klokkeslettet og dagene du har angitt. Du kan for eksempel programmere en ukentlig programdatabase-pull-oppgave kl hver torsdag. Du kan også bruke Pull nå-oppgaven for å sjekke eventuelle oppdateringer inn i master-programdatabasen umiddelbart. Eksempel: Når McAfee varsler deg om virus som spres raskt, og lanserer nye DAT-filer for å beskytte mot disse. Dersom en pull-oppgave feiler, må du sjekke inn pakkene i master-programdatabasen manuelt. Så snart du har oppdatert master-programdatabasen, kan du distribuere disse oppdateringene til systemene automatisk med global oppdatering eller med reproduksjonsoppgaver. Hensyn som må tas ved planlegging av en pull-oppgave Vurder følgende ved planlegging av pull-oppgaver: Båndbredde og nettverksbruk Hvis du bruker global oppdatering, som anbefalt, bør du planlegge å kjøre en pull-oppgave når båndbreddebruken fra andre ressurser er lav. Med global oppdatering, blir oppdateringsfilene distribuert automatisk etter at pull-oppgaven er fullført. Hyppighet av oppgaven DAT-filer lanseres daglig, men du vil muligens ikke bruke ressursene dine daglig for oppdatering. Reproduksjon og oppdateringsoppgaver Programmer reproduksjonsoppgaver og klientoppdateringsoppgaver for å sikre at oppdateringsfilene distribueres i miljøet. Reproduksjonsoppgaver Bruker reproduksjonsoppgaver til å kopiere innholdet i master-programdatabasen til distribuerte programdatabaser. Med mindre du har reprodusert innhold fra master-programdatabase i alle distribuerte programdatabaser, er det enkelte systemer som ikke mottar innholdet. Kontroller at alle distribuerte programdatabaser er oppdatert. Hvis du bruker global oppdatering for alle dine oppdateringer, er det ikke sikkert at du trenger å bruke reproduksjonsoppgaver for miljøet, selv om det er anbefalt for redundans. Hvis du imidlertid ikke bruker global oppdatering for dine oppdateringer, må du planlegge en serveroppgave for reproduksjon av programdatabase eller kjøre oppgaven Reproduser nå. 300 McAfee epolicy Orchestrator programvare Produktveiledning

301 Programdatabaser Programdatabaseutvalg 18 Planlegging av jevnlige serveroppgaver for reproduksjon av programdatabase er den beste måten å kontrollere at de distribuerte programdatabasene er oppdatert på. Planlegging av daglige reproduksjonsoppgaver sikrer at de administrerte systemene er oppdaterte. Du kan bruke oppgaver for reproduksjon av programdatabaser for å automatisere reproduksjon til dine distribuerte programdatabaser. I enkelte tilfeller kan du sjekke inn filer i master-programdatabasen som du ønsker å reprodusere til distribuerte programdatabaser umiddelbart, i stedet for å vente på neste planlagte reproduksjon. Kjør oppgaven Reproduser nå for å oppdatere dine distribuerte programdatabaser manuelt. Full kontra inkrementell reproduksjon Når du oppretter en reproduksjonsoppgave, velger du Inkrementell reproduksjon eller Full reproduksjon. Inkrementell reproduksjon bruker mindre båndbredde og kopierer kun nye oppdateringer i master-programdatabasen som ennå ikke finnes i den distribuerte programdatabasen. Full reproduksjon kopierer hele innholdet i master-programdatabasen. Planlegg daglige inkrementelle reproduksjonsoppgaver. Planlegg full reproduksjonsoppgave hver uke, hvis det er mulig, for filer som slettes fra den distribuerte programdatabasen utenfor reproduksjonsfunksjonaliteten for McAfee epo-programvaren. Programdatabaseutvalg Nye distribuerte programdatabaser legges til i programdatabaselistefilen som inneholder alle tilgjengelige distribuerte programdatabaser. Agenten for et administrert system oppdaterer denne filen hver gang den kommuniserer med McAfee epo-serveren. Agenten foretar programdatabaseutvalg hver gang agenten (McAfee Framework-tjeneste) startes, og når programdatabaselisten endres. Selektiv reproduksjon gir mer kontroll over oppdateringen av individuelle programdatabaser. Når du planlegger reproduksjonsoppgaver, kan du velge følgende: Bestemte distribuerte programdatabaser som oppgaven gjelder for. Reproduksjon til ulike distribuerte programdatabaser til ulike tider, reduserer påkjenningen på bredbåndsressurser. Disse programdatabasene kan angis når du oppretter eller redigerer reproduksjonsoppgaven. Bestemte filer og signaturer som reproduseres til de distribuerte programdatabasene. Ved kun å velge den typen filer som kreves for hvert system som sjekker inn i den distribuerte programdatabasen, reduseres påkjenningen på bredbåndsressurser. Når du definerer eller redigerer de distribuerte programdatabasene, kan du velge hvilke pakker du ønsker å reprodusere til den distribuerte programdatabasen. Denne funksjonen er beregnet på kun å oppdatere produkter som er installert på flere systemer i miljøet, som for eksempel VirusScan Enterprise. Du kan bruke funksjonen til å distribuere disse oppdateringene kun til de distribuerte programdatabasene som disse systemene bruker. Slik velger agenter programdatabaser Agenter kan som standard forsøke å oppdatere fra enhver programdatabase i filen med programdatabaselisten. Agenten kan bruke ICMP-ping eller sammenligningsalgoritmer for undernettadresse på nettverket til å finne den distribuerte programdatabasen med raskest responstid. Vanligvis er dette den distribuerte programdatabasen som ligger nærmest systemet på nettverket. McAfee epolicy Orchestrator programvare Produktveiledning 301

302 18 Programdatabaser Programdatabaseutvalg Du kan også nøye kontrollere hvilke distribuerte programdatabaser agenter bruker for oppdatering. Dette gjøres ved å aktivere eller deaktivere distribuerte programdatabaser i agentens policyinnstillinger. Ikke deaktiver programdatabaser i policyinnstillingene. Ved å tillate at agenter oppdaterer fra enhver distribuert programdatabase kan du forsikre deg om at de mottar oppdateringene. 302 McAfee epolicy Orchestrator programvare Produktveiledning

303 19 Agentbehandlere Agentbehandlere håndterer kommunikasjon mellom agenter og din McAfee epo-server. Hver McAfee epo-server inneholder en master-agentbehandler. Ytterligere agentbehandlere kan installeres på systemer i hele nettverket ditt. Konfigurering av flere agentbehandlere gir følgende fordeler. Bidrar til å administrere et økt antall produkter og systemer som administreres av én logisk McAfee epo-server i situasjoner der CPU-en på databaseserveren ikke er overbelastet. Gir feiltolerant og belastningsbalansert kommunikasjon med mange agenter, også geografisk distribuerte agenter. Innhold Hvordan agentbehandlere fungerer Agentbehandlerdetaljer Agentbehandlerfunksjonalitet Gode fremgangsmåter: Installering og konfigurering av agentbehandler Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ Koble en agentbehandler i DMZ til en McAfee epo-server i et domene Behandlergrupper og prioritet Tildele McAfee-agenter til agentbehandlere Administrere agentbehandlertildelinger Opprette agentbehandlergrupper Administrere agentbehandlergrupper Flytte agenter mellom behandlere Vanlige spørsmål Hvordan agentbehandlere fungerer Agentbehandlere fordeler nettverkstrafikk som er generert av agent-til-server-kommunikasjon. Dette skjer ved at administrerte systemer eller systemgrupper tildeles rapporteringsansvar til en bestemt agentbehandler. Når tildelingen er gjort, kommuniserer et administrert system med den tildelte agentbehandleren i stedet for med McAfee epo-hovedserveren. Behandleren har oppdaterte sitelist-filer, policyer og policytildelingsregler, akkurat som McAfee epo-serveren. I tillegg bufrer behandleren master-programdatabasen, slik at agenten kan innhente oppdateringspakker, DAT-filer og annen nødvendig informasjon. Hvis behandleren ikke har de nødvendige oppdateringene når en agent sjekker inn, vil behandleren innhente dem fra den tildelte programdatabasen, bufre dem og sende oppdateringen til agenten. McAfee epolicy Orchestrator programvare Produktveiledning 303

304 19 Agentbehandlere Hvordan agentbehandlere fungerer Dette diagrammet viser noen av de vanlige tilkoblingene mellom agentbehandlere, McAfee epo-serveren og McAfee epo SQL-serveren. Figur 19-1 Agentbehandlere i et bedriftsnettverk I dette diagrammet gjelder dette for alle agentbehandlere: De er koblet til McAfee epo SQL-serveren med høyhastighetskoblinger med kort ventetid Ligger nær databasen de skriver til Har failover konfigurert mellom agentbehandlere De er administrert fra McAfee epo-serveren Agentbehandlere i disse byene har spesifikke konfigurasjoner. Ventetiden frem og tilbake for en høyhastighetskobling med kort ventetid må være mindre enn ca. 10 ms. Bruk tracert-kommandoen i Windows til å bekrefte tidsbruken frem og tilbake (RTT) fra agentbehandleren til McAfee epo SQL-serveren. Boston agentbehandleren for Boston er konfigurert med failover-støtte for agentbehandleren for Philadelphia. Philadelphia de to agentbehandlerne har lastbalansering konfigurert. Washington DC: Agentbehandleren bruker spesifikke porter til å koble til McAfee epo-serveren bak en brannmur. 304 McAfee epolicy Orchestrator programvare Produktveiledning

305 Agentbehandlere Agentbehandlerdetaljer 19 Agentbehandleren må kunne godkjenne domenelegitimasjon. Eller agentbehandleren bruker SQL-godkjenning til å godkjenne databasen. Du finner mer informasjon om Windows og SQL-godkjenning i dokumentasjonen for Microsoft SQL Server. Du finner mer informasjon om endring av godkjenningsmoduser i dokumentasjonen for Microsoft SQL Server. Hvis du gjør det, må du også oppdatere informasjonen om SQL Server-tilkoblingen. Kjør spørringen Systemer etter agentbehandler for å vise alle agentbehandlere som er installert, samt antallet agenter som hver agentbehandler administrerer. Når en agentbehandler avinstalleres, vises den ikke i dette diagrammet. Hvis en agentbehandlertildelingsregel tildeler agenter eksklusivt til en agentbehandler, og denne agentbehandleren er avinstallert, vises den i diagrammet med Avinstallert agentbehandler sammen med antallet agenter som fremdeles prøver å kontakte denne agentbehandleren. Hvis agentbehandlerne ikke er installert riktig, vises meldingen Avinstallert agentbehandler, noe som betyr at behandleren ikke kan kommunisere med bestemte agenter. Klikk på listen for å vise hvilke agenter som ikke kan kommunisere med behandleren. Flere agentbehandlere Du kan ha mer enn én agentbehandler i nettverket. Du har muligens mange administrerte systemer fordelt på flere geografiske områder eller over flere politiske grenser. Uansett kan du organisere de administrerte systemene ved å tildele bestemte grupper til ulike behandlere. Agentbehandlerdetaljer Agentbehandlere har bestemte funksjoner som kan hjelpe deg med å utvide nettverket til å omfatte mange flere administrerte systemer. Når du skal bruke agentbehandlere Det er mange grunner til å bruke agentbehandlere i nettverket. Billigere maskinvare: Servermaskinvaren på midterste nivå som brukes for agentbehandlere, er billigere enn de avanserte serverne som brukes for McAfee epo-servere. Skalerbarhet: Etter hvert som nettverket vokser, kan agentbehandlere legges til for å redusere belastningen på McAfee epo-serveren. Ikke koble mer enn fem agentbehandlere til én McAfee epo-server med maksimalt noder koblet til hver agentbehandler. Nettverkstopologi: Agentbehandlere kan administrere agentforespørsler bak en brannmur eller i et eksternt nettverk. Failover: Agenter kan gå gjennom failover mellom agentbehandlere med en konfigurert reserveprioritetsliste. Lastbalansering: Flere agentbehandlere kan lastbalansere McAfee Agent-forespørslene i et stort, eksternt nettverk. Når du skal ikke bruke agentbehandlere I enkelte tilfeller skal man ikke bruke agentbehandlere. McAfee epolicy Orchestrator programvare Produktveiledning 305

306 19 Agentbehandlere Agentbehandlerdetaljer Som distribuerte programdatabaser: Programdatabaser, for eksempel SuperAgent-forekomster, distribuerer store filer i en hel organisasjon. Programdatabaser inneholder ingen logikk. Agentbehandlere bruker logikk for å kommunisere hendelser tilbake til databasen. Disse hendelsene forteller McAfee Agent når du laster ned nye produkter fra de distribuerte programdatabasene. Agentbehandlere kan bufre filer fra de distribuerte programdatabasene, men bruker dem ikke til å erstatte distribuerte programdatabaser. Agentbehandlere brukes til å redusere belastningen av hendelsesadministrasjon på McAfee epo-serveren. Gjennom en treg eller ustabil tilkobling: Agentbehandlere krever en tilkobling med relativt høy hastighet og lav ventetid til databasen for å levere hendelser som sendes av agentene. For å spare båndbredde: Agentbehandlere sparer ikke båndbredde. De øker faktisk bruken av båndbredde over WAN-tilkoblingen som kobler klientene til agentbehandleren. Bruk distribuerte programdatabaser for å spare båndbredde. Slik fungerer agentbehandlere Agentbehandlere bruker en arbeidskø i McAfee epo-databasen som primær kommunikasjonsmekanisme. Agentbehandlere sjekker serverens arbeidskø hvert 10. sekund og utfører den ønskede handlingen. Typisk handlinger inkluderer vekkesignal, forespørsler om produktdistribuering og datakanalmeldinger. Denne hyppige kommunikasjonen til databasen krever en tilkobling med relativt høy hastighet og kort ventetid mellom agentbehandleren og McAfee epo-databasen. 306 McAfee epolicy Orchestrator programvare Produktveiledning

307 Agentbehandlere Agentbehandlerdetaljer 19 En agentbehandlerinstallering inkluderer kun Apache Server- og hendelsesanalysetjenester. Du kan distribuere agentbehandlere på egen maskinvare, eller virtuelle maskiner, som eksisterer sammen i én logisk McAfee epo-infrastruktur. Figur 19-2 Funksjonalitetsdiagram for agentbehandler Dette diagrammet viser to ulike nettverkskonfigurasjoner og deres agentbehandlere. Enkelt nettverk: Den primære agentbehandleren blir installert som en del av McAfee epo-serveren. Dette er tilstrekkelig for mange små McAfee epo-installeringer, hvor det ikke er nødvendig å installere ytterligere agentbehandlere. Komplekst nettverk: Flere eksterne agentbehandlere blir installert på separate servere koblet til McAfee epo-serveren. Når ytterligere agentbehandlere er installert, blir de automatisk konfigurert til å arbeide med McAfee epo-serveren for å distribuere innkommende agentforespørsler. McAfee epo-konsollen brukes også til å konfigurere regler for agentbehandlertildeling for å støtte mer komplekse scenarioer. For eksempel en agentbehandler bak DMZ, brannmur eller som bruker NAT (Network Address Translation). Administratorer kan overstyre agentbehandlerens standardvirkemåte ved å opprette regler som er spesifikke for agentbehandlerens miljø. Se også Konfigurere agentbehandlerprioritet på side 317 McAfee epolicy Orchestrator programvare Produktveiledning 307

308 19 Agentbehandlere Agentbehandlerfunksjonalitet Gode fremgangsmåter: Agentbehandlere fjerne flere McAfee epo-servere Bruk agentbehandlere i ulike geografiske områder i stedet for flere McAfee epo-servere. Bruk av flere McAfee epo-servere forårsaker problemer med administrasjon, databaseduplisering og vedlikehold. Bruk Agentbehandlere til: Utvide den nåværende McAfee epo-infrastrukturen for å håndtere flere agenter, flere produkter eller en høyere belastning grunnet hyppigere agent-til-server-kommunikasjon. Sjekke at agenter fortsetter å koble til og motta policy, oppgaver og produktoppdateringer selv om McAfee epo-serveren er utilgjengelig. Utvide McAfee epo-administrasjon i frakoblede nettverkssegmenter med koblinger med høy båndbredde til McAfee epo-databasen. Vanligvis er det mer effektivt og rimeligere å legge til en agentbehandler fremfor en McAfee epo-server. Bruk en separat McAfee epo-server for separate IT-infrastrukturer, separate administrative grupper eller test-miljøer. Agentbehandlerfunksjonalitet Agentbehandlere gir horisontal nettverksskalerbarhet, failover-beskyttelse og lastbalansering, og gir deg mulighet til å administrere klienter bak en DMZ, brannmur eller som bruker NAT (Network Address Translation). Gi skalerbarhet Agentbehandlere kan gi skalerbarhet for administrerte McAfee epo-nettverk når antall klienter og administrerte produkter øker. En McAfee epo-serveren kan enkelt administrere opptil systemer med bare VirusScan Enterprise-produktet installert. Men, i takt med at administrerte systemer og antall produkter som er integrert med McAfee epo-serveren øker, øker også forsøk på å motta policyer eller sende hendelser til serveren. Denne økte belastningen reduserer også maksimalt antall systemer som kan administreres med samme McAfee epo-servermaskinvare. Agentbehandlere lar deg skalere McAfee epo-infrastrukturen for å administrere flere klienter og produkter. Dette gjør du ved å legge til agentbehandlere for å administrere et likt eller større antall agenter med én logisk McAfee epo-distribuering. Når du installerer agentbehandlerprogramvaren på en server brukes som standard alle agentbehandlere på samme rekkefølgenivå med mindre det er opprettet egendefinerte tildelingsregler. 308 McAfee epolicy Orchestrator programvare Produktveiledning

309 Agentbehandlere Agentbehandlerfunksjonalitet 19 Gode fremgangsmåter for failover-beskyttelse med agentbehandlere Agentbehandlere tillater at enhver McAfee Agent mottar policy- og oppgaveoppdateringer og rapporterer hendelser og endringer i egenskaper hvis McAfee epo-e-postserveren er utilgjengelig. For eksempel en oppgradering eller nettverksfeil. Når flere agentbehandlere distribueres, er de tilgjengelige for agenter som failover-kandidater. Så lenge agentbehandleren er koblet til databasen, kan den fortsette å betjene agenter. Dette inkluderer alle policy- eller oppgaveendringer som oppstår fra agentegenskaper eller fra administratorendringer før McAfee epo-serveren går offline. Konfigurasjonsfilen delt med McAfee Agent inneholder en konfigurerbar reserveliste for agentbehandlere. Om nødvendig, prøver McAfee Agent å koble seg til gjennom listen over agentbehandlere inntil den når slutten av listen eller den kan kontakte en gyldig, aktivert agentbehandler. Failover mellom agentbehandlere er konfigurert på en av to måter. Enkel distribusjons-failover I enkel distribusjons-failover kan to agentbehandlere distribueres som primær og sekundær. Alle agenter starter kommunikasjon med den primære agentbehandleren, og bruker bare den sekundære agentbehandleren hvis den primære er utilgjengelig. Denne distribueringen er fornuftig hvis den primære agentbehandleren har bedre maskinvare og kan håndtere belastningen for hele infrastrukturen. Figur 19-3 Enkel agentbehandler-failover McAfee epolicy Orchestrator programvare Produktveiledning 309

310 19 Agentbehandlere Agentbehandlerfunksjonalitet Failover ved lastbalansering Den andre distribueringen kombinerer failover ved lastbalansering. Flere agentbehandlere er konfigurert i samme agentbehandler-gruppe. McAfee epo-serveren setter hver agentbehandler i gruppen inn i listen over agentbehandlere på samme rekkefølgenivå. McAfee Agent randomiserer agentbehandlere på samme rekkefølgenivå, noe som fører til tilsvarende belastning over alle agentbehandlere i en bestemt gruppe. Figur 19-4 Failover med agentbehandler-lastbalansering Agenter går gjennom failover mellom alle agentbehandlere i en gruppe før failover fortsetter til neste agentbehandler i tildelingslisten. Bruk av agentbehandler-grupper gir fordeler for både lastbalansering og failover. 310 McAfee epolicy Orchestrator programvare Produktveiledning

311 Agentbehandlere Agentbehandlerfunksjonalitet 19 Gode fremgangsmåter: Nettverkstopologi og distribusjonshensyn Agentbehandlere gir fleksibilitet i nettverkskonfigurasjonen, men ytterligere planlegging kan forbedre nettverksytelsen. Bruk av agentbehandlere bak en DMZ, brannmur eller i NAT-nettverk: gode fremgangsmåter Uten agentbehandlere kan enhver McAfee Agent bak en DMZ, brannmur eller i et NAT-nettverk vises med McAfee epo-serveren. Men du kan ikke administrere eller direkte manipulere disse systemene i NAT-nettverket. Med en agentbehandler bak DMZ kan du adressere systemer i NAT-regionen for vekkesignaler, datakanaltilgang og mer til. Denne agentbehandlertilkoblingen krever tilgang til både SQL-databasen og McAfee epo-serveren. Noen brannmurregler er nødvendige for denne konfigurasjonen. Dette diagrammet viser en agentbehandler med administrerte systemer bak DMZ og disse koblingene: Datakanaltilkobling til McAfee epo-server Høyhastighetskoblinger til SQL-databasen med kort ventetid Failover i tilkobling mellom agentbehandlerne Figur 19-5 Agentbehandlere bak DMZ McAfee epolicy Orchestrator programvare Produktveiledning 311

312 19 Agentbehandlere Agentbehandlerfunksjonalitet Denne tabellen viser alle porter som brukes av McAfee epo-serveren og andre nettverkskomponenter. Portene som kobler agentbehandleren til McAfee epo-serveren og SQL-databasen, må være åpne for å koble agentbehandleren til via en brannmur. Tabell 19-1 Standardporter brukt Server Retning Tilkobling Port McAfee epo Til Nettleser HTTPS 8443 McAfee epo Til SQL-database JDBC/SSL 1433 Agentbehandler Fra McAfee epo HTTPS 8443 (installer), HTTPS 8444 Agentbehandler Begge McAfee epo HTTP 80 Agentbehandler Til SQL-database ADO/SSL 1433 Agentbehandler Til Klienter HTTP 8081 Agentbehandler Fra Klienter HTTP 80, HTTPS 443 Roaming med agentbehandlere Agentbehandlere tillater brukere som roamer mellom bedriftsnettverkområder, å koble til nærmeste agentbehandler. Roaming er kun mulig hvis agentbehandlerne fra alle stedene er konfigurert i McAfee Agent-failover-listen. Du kan endre policy- og systemsortering slik at roamende systemer kan motta en ulik policy for hvert sted. Programdatabasebuffer og hvordan den fungerer Agentbehandlere bufrer automatisk innholds- og produktoppdateringer hvis en McAfee Agent ikke får tilgang til innholdet direkte fra master-programdatabasen på McAfee epo-serveren. McAfee Agent bruker, som standard, den primære McAfee epo-serveren (samme server som Tomcat) som master-programdatabase. Agenter faller tilbake til agentbehandleren hvis de ikke kan kommunisere med den konfigurerte eksterne programdatabasen for å pulle innholds- og produktoppdateringer. Siden agentbehandleren kanskje ikke kjører på samme server som den virkelige master-programdatabasen (på McAfee epo-serveren), administrerer agentbehandleren disse forespørslene. Agentbehandlere håndterer forespørsler om programvare på en transparent måte og bufrer de nødvendige filene etter nedlasting fra master-programdatabasen. Ingen konfigurasjon er nødvendig. 312 McAfee epolicy Orchestrator programvare Produktveiledning

313 Agentbehandlere Agentbehandlerfunksjonalitet 19 Dette diagrammet viser hvordan agentbehandlere bufrer produktoppdateringsinnholdet hvis den konfigurerte eksterne programdatabasen er ikke tilgjengelig for eksterne systemer. Figur 19-6 Bufring av agentbehandlerprogramdatabasen System 1 og 2 forsøker å pulle innholds- eller produktoppdateringer fra den konfigurerte eksterne programdatabasen, og forsøket mislykkes. For System 1 er som standard McAfee Agent konfigurert til å bruke primær agentbehandler 1 som er en del av McAfee epo-serveren. Hvis tilkoblingen til den eksterne programdatabasen mislykkes, forespør system 1 om innholdet eller produktoppdateringene direkte fra master-programdatabasen på McAfee epo-serveren. For System 2 er McAfee Agent som standard konfigurert til å bruke sekundær agentbehandler 2, hvis tilkoblingen til den eksterne programdatabasen mislykkes. Sekundær agentbehandler 2 forespør innholdet eller produktoppdateringene fra master-programdatabasen. Sekundær agentbehandler 2 bufrer disse oppdateringene, for eventuelle senere forespørsler og leverer dem til System 2. McAfee epolicy Orchestrator programvare Produktveiledning 313

314 19 Agentbehandlere Gode fremgangsmåter: Installering og konfigurering av agentbehandler Gode fremgangsmåter: Installering og konfigurering av agentbehandler Du kan konfigurere servere på midterste nivå, som finnes i nettverket, som agentbehandlere, ved å installere agentbehandler-programvare og tildele systemer for administrasjon. Du kan også gruppere agentbehandlere, angi deres failover-prioritet og opprette virtuelle agentbehandlere bak en DMZ, brannmur eller i NAT-nettverk. Når du endrer en policy, konfigurasjon, klient- eller serveroppgave, automatisk respons eller rapport, bør du eksportere innstillingene før og etter endringen. Hensyn ved distribuering Før du distribuerer agentbehandlere i det utvidede nettverket, må du vurdere helsen til den eksisterende McAfee epo-serveren og databasemaskinvaren. Hvis denne maskinvaren allerede er overbelastet, vil det å legge til agentbehandlere faktisk føre til redusert McAfee epo-ytelse. En fullstendig konfigurert agentbehandler har omtrent samme maskinvare- og databasekrav som en McAfee epo-server. Når du avgjør hvor mange agentbehandlere du trenger, må du først undersøke databasebruken. Hvis belastningen på databasen som betjener McAfee epo-serveren, er stor, vil ytelsen ikke bli bedre ved å legge til agentbehandlere. Oppgrader SQL-servermaskinvaren for å dra nytte av flere agentbehandlere. Hvis databasen for øyeblikket har moderat til lav belastning, kan ytterligere agentbehandlere hjelpe deg med å utvide den logiske McAfee epo-infrastrukturen. McAfee-tester viser at det å legge til agentbehandlere forbedrer ytelsen inntil McAfee epo-databasens CPU-belastning overskrider 70 prosent. Siden hver agentbehandler fører til økt trafikk, for eksempel databasetilkoblinger og administrasjonspørringer i databasen, bidrar det å legge til agentbehandlere utover 70 prosent av databasens CPU-belastning, ikke på ytelsen. Oversikt over konfigurering av agentbehandler Agentbehandlere kan konfigureres til å lastbalansere i grupper og som virtuelle agentbehandlere. Virtuelle agentbehandlere gjør det mulig for klienter å finne dem ved bruk av ulike IP-adresser på mer enn ett nettverkssegment med prioritetstildelingsregler. Prioritetstildelingsregler gjør det mulig for klienter å finne virtuelle agentbehandlere når agentbehandlerne bruker ulike IP-adresser på flere nettverkssegmenter. Installasjonsveiledningen for McAfee epolicy Orchestrator inneholder instruksjoner for installering av ekstern agentbehandlerprogramvare 314 McAfee epolicy Orchestrator programvare Produktveiledning

315 Agentbehandlere Gode fremgangsmåter: Installering og konfigurering av agentbehandler 19 Side for konfigurering av agentbehandlere Du konfigurerer alle agentbehandleradministrasjonsoppgaver ved å velge Meny Konfigurasjon Agentbehandlere. Figur 19-7 Side for konfigurering av agentbehandlere Behandlerstatus: Viser antall installerte agentbehandlere og om de er aktive. Ny tildeling: Åpner siden Agentbehandlertildeling hvor du kan opprette en agentbehandlertildeling. Rediger prioritet: Åpner siden Rediger prioritet. Her kan du endre prioritet for agentbehandlertildelinger. McAfee epolicy Orchestrator programvare Produktveiledning 315

316 19 Agentbehandlere Gode fremgangsmåter: Installering og konfigurering av agentbehandler Systemer per agentbehandler: Angir antallet agenter som er tildelt hver agentbehandler. Du kan se en detaljert liste over agentene som er tildelt til en agentbehandler, ved å klikke på agentbehandlerens navn i listen eller agentbehandlerens korresponderende farge i sektordiagrammet. Behandlergrupper: Angir antallet agentbehandlergrupper som administreres av McAfee epo-serveren. Behandlertildelingsregler: Viser listen over agentbehandlertildelinger i miljøet, med prioritet og detaljer for regelinnstillingene. Konfigurere agentbehandlerlisten Hvis du vil se en liste over agentbehandlerne og detaljert informasjon for disse, bruker du Liste over behandlere fra dashbordet. 1 Velg Meny Konfigurasjon Agentbehandlere for å konfigurere en agentbehandler. 2 Klikk på agentbehandlere-nummeret i Behandlerstatus på dashbordet for å se en liste over dine agentbehandlere og detaljert informasjon for disse. 3 Klikk på innstillingen i Handlinger-kolonnen for å deaktivere, aktivere og slette agentbehandlere. 4 Klikk på Agentbehandler-navnet i Behandlerens DNS-navn-kolonnen for å konfigurere agentbehandlerinnstillinger. 5 Konfigurer disse egenskapene fra siden Agentbehandlerinnstillinger. Publisert DNS-navn Publisert IP-adresse 6 Klikk på Lagre Konfigurere agentbehandlergrupper og virtuelle grupper Du kan konfigurere agentbehandlerne i grupper og opprette virtuelle behandlere som kan brukes bak en DMZ, brannmur eller i NAT-nettverk. 316 McAfee epolicy Orchestrator programvare Produktveiledning

317 Agentbehandlere Gode fremgangsmåter: Installering og konfigurering av agentbehandler 19 1 Velg Meny Konfigurasjon Agentbehandlere og, i Behandlergruppe-dashbordet, klikk på Ny gruppe for å opprette Agentbehandler-grupper. 2 På siden Agentbehandlere Legg til / rediger gruppe konfigurerer du disse gruppeinnstillingene: Gruppenavn: Angi et navn for agentbehandler-gruppen. Inkluderte behandlere: Lar deg: Klikk på Bruk lastbalanserer for å bruke en tredjeparts lastbalanserer, og skriv deretter inn Virtuelt DNS-navn og Virtuell IP-adresse i feltene (begge er obligatoriske). Klikk på Bruk tilpasset behandlerliste og bruk + og for å legge til og fjerne ytterligere agentbehandlere. Bruk dra-og-slipp-verktøyet til å endre prioriteten for agentbehandlerne. 3 Klikk på Lagre Konfigurere agentbehandlerprioritet Du kan konfigurere failover-prioriteten for agentbehandlerne ved å angi deres failover-prioriteter. Når du har flere agentbehandlere, konfigurerer du den primære agentbehandleren i McAfee epo-serveren som agentbehandleren med laveste prioritet. Denne prioriteten: Tvinger systemene til å koble til alle andre agentbehandlere før de kobler til den primære McAfee epo-serveragentbehandleren Reduserer belastningen på McAfee epo-serveren, slik at den kan utføre andre oppgaver, som å vise brukergrensesnittet for McAfee epo-konsollen og kjøre rapporter og serveroppgaver 1 Velg Meny Konfigurasjon Agentbehandlere, og klikk deretter på Rediger prioritet for å opprette agentbehandlergrupper. 2 Klikk på og dra agentbehandlere for å opprette prioritetslisten du trenger for nettverket. Dette skjermbildet viser McAfee epo-serveren, vist som "epo 1", konfigurert som prioritet 2, og "Agentbehandler 1" konfigurert som prioritet 1. 3 Klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 317

318 19 Agentbehandlere Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ Konfigurere tildelinger for agentbehandlere Du kan tildele agenter som skal bruke agentbehandlere individuelt eller som grupper. Ved tildeling av systemer til agentbehandlere må det tas hensyn til geografisk nærhet for å redusere unødvendig nettverkstrafikk. 1 Velg Meny Konfigurasjon Agentbehandlere, og klikk deretter på Ny tildeling for å endre tildelinger for agentbehandlere. 2 Konfigurer disse innstillingene fra siden Agentbehandlertildeling: Tildelingsnavn: Skriv inn et navn for tildelingen. Agentkriterier: Velg én av disse metodene for å tildele agenter til agentbehandlere: Systemtreplassering: Klikk på Systemtre, velg Systemtregruppe i dialogboksen, og klikk deretter på OK. Agentundernett: Skriv inn IPv4/IPv6-adresse, IPv4/IPv6-adresseområder, nettverksmasker eller undernettmaskeområder. Behandlerprioritet: Du konfigurerer prioriteten som brukes av McAfee Agent, ved å velge: Bruk alle agentbehandlere: Agentene velger tilfeldig hvilke behandlere de vil kommunisere med. Bruk tilpasset behandlerliste: Bruk + og for å legge til flere eller fjerne agentbehandlere. Bruk dra-og-slipp-verktøyet til å endre prioriteten for behandlerne. 3 Klikk på Lagre. Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ Agentbehandlere i DMZ lar deg direkte administrere systemer med en McAfee Agent installert. Uten en agentbehandler installert i DMZ, kan du kun vise disse systemene med McAfee epo-serveren. Agentbehandleren du installerer i DMZ, har spesifikk maskinvare- og programvarekrav. Disse kravene er like McAfee epo-serverkravene. Se denne informasjonen før du begynner: Se veiledningen for gode fremgangsmåter for informasjon om krav til servermaskinvare for maskinvare- og operativsystemkrav til agentbehandler. Dette er hovedtrinnene for å konfigurere en agentbehandler i DMZ. 1 Installer Windows Server-maskinvaren og -programvaren i DMZ mellom nettverkene som er interne og eksterne for McAfee epo. 2 Konfigurer alle porter i brannmuren mellom McAfee epo-serveren og SQL-databasen og agentbehandleren. 3 Installer McAfee epo ekstern agentbehandler-programvare som beskrevet i McAfee epolicy Orchestrator-installasjonsveiledningen. 4 Om nødvendig, opprett en undergruppe av systemer som skal kommunisere med McAfee epo-serveren via agentbehandleren. 318 McAfee epolicy Orchestrator programvare Produktveiledning

319 Agentbehandlere Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ 19 5 Opprett en agentbehandler-tildeling. 6 Konfigurer agentbehandler-prioritetslisten og aktiver agentbehandleren i DMZ. Se også Bruk av agentbehandlere bak en DMZ, brannmur eller i NAT-nettverk: gode fremgangsmåter på side 311 Konfigurere maskinvare, operativsystem og porter Installering av maskinvare og programvare for agentbehandlerserveren samt konfigurering av brannmurportene er de første trinnene før du bruker McAfee epo til å administrere systemer bak en DMZ. Før du begynner Kontroller at agentbehandlerserveren oppfyller alle krav til maskinvare og programvare. 1 Bygg agentbehandlerservermaskinvaren med Microsoft Windows Server-operativsystemet. 2 Installer serveren i DMZ bak brannmuren i det beskyttede nettverket. 3 Konfigurer Domain Name System (DNS)-serveren til å legge til agentbehandlerserveren bak brannmuren i det beskyttede nettverket. 4 Konfigurer disse portene på den interne siden av brannmuren for å kommunisere mellom McAfee epo-serveren og agentbehandleren i DMZ: Port 80 toveis Port 8443 toveis Port 8444 toveis Port 443 toveis 5 Valgfritt: Hvis SQL-databasen er installert på en annen server enn McAfee epo-serveren, kan du konfigurere disse to portene på den intern siden av brannmuren for tilkoblingen til agentbehandleren: Port 1433 TCP toveis Port 1434 UDP toveis 6 Konfigurer disse portene på den offentlige siden av brannmuren for å kommunisere mellom McAfee epo-serveren og agentbehandler i DMZ: Port 80 TCP innkommende Port 443 TCP innkommende Port 8081 TCP innkommende Port 8082 UDP innkommende McAfee epolicy Orchestrator programvare Produktveiledning 319

320 19 Agentbehandlere Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ Installere programvare og konfigurere agentbehandler Når du fullfører installering og konfigurering av McAfee epo-agentbehandlerprogramvaren, lar agentbehandleren deg administrere systemene direkte bak DMZ. Før du begynner Du må ha installert agentbehandlermaskinvaren og operativsystemet i DMZ for det eksterne nettverket. Du må ha tilgang til kjørbare McAfee epo filer i de nedlastede McAfee epo-installasjonsfilene. 1 Installer McAfee epo ekstern agentbehandlerprogramvare. Se installasjonsveiledningen for McAfee epolicy Orchestrator. 2 Bruk én av disse metodene til å kommunisere gjennom agentbehandleren til McAfee epo-serveren: Opprett en undergruppe av systemer. Denne oppgaven bruker en undergruppe, NAT-systemer, i systemtreet bak DMZ. I agentundernettet, skriv inn IP-adresser, IP-adresseområder eller undernettmasker, atskilt med komma, mellomrom eller linjeskift. 3 Du starter konfigurering av agentbehandleren på McAfee epo-serveren ved å velge Meny Konfigurasjon Agentbehandlere. 4 Du åpner siden Agentbehandlertildeling ved å velge Ny tildeling. Figur 19-8 Siden Agentbehandlertildeling 320 McAfee epolicy Orchestrator programvare Produktveiledning

321 Agentbehandlere Gode fremgangsmåter: Legge til en ekstern agentbehandler i DMZ 19 5 Konfigurer disse innstillingene: a Skriv inn et tildelingsnavn. For eksempel NAT-systemtildeling. b c d Ved siden av Agentkriterier klikker du på Legg til treplasseringer og "..." for å velge en Systemtre-gruppe (for eksempel NAT-systemer), og klikk på OK. Velg for eksempel gruppen NAT-systemer. Ved siden av Behandlerprioritet, klikk på Bruk tilpasset behandlerliste og Legg til behandlere. I listen velger du Agentbehandler for å håndtere disse valgte systemene. Se bort fra advarselen som vises. e Klikk på Lagre. 6 Du kan konfigurere du agentbehandleren som høyeste prioritet for systemene bak DMZ ved å klikke på Rediger prioritet og konfigurere disse innstillingene, fra siden for konfigurasjon av agentbehandler: a Flytt agentbehandleren til toppen av prioritetslisten ved å flytte agentbehandlernavnene. b Klikk på Lagre. 7 På siden for konfigurasjon av agentbehandler, på Behandlerstatus-dashbordet, klikker du på nummeret for agentbehandleren som skal åpne Agentbehandlerliste-siden. Figur 19-9 Siden Agentbehandlerinnstillinger 8 På siden Agentbehandlerinnstillinger konfigurerer du disse innstillingene og klikker på Lagre: Alternativ Beskrivelse Publisert DNS-navn Publisert IP-adresse Skriv inn det konfigurerte navnet for agentbehandleren. Skriv inn den konfigurerte IP-adressen for agentbehandleren. 9 På siden Liste over behandlere, i raden for agentbehandler i DMZ, klikker du på Aktiver i Handlinger-kolonnen. Systemene som er utpekt for å bruke agentbehandleren, begynner å motta endringer i løpet av de neste par agent-til-server-kommunikasjonene. McAfee epolicy Orchestrator programvare Produktveiledning 321

322 19 Agentbehandlere Koble en agentbehandler i DMZ til en McAfee epo-server i et domene 10 Bekreft at agentbehandleren i DMZ administrerer systemene bak DMZ: a På siden for konfigurasjon av agentbehandlere, på dashbordet Systemer etter agentbehandler, klikker du på agentbehandlerens navn i listen eller dennes korresponderende farge i sektordiagrammet. b På siden Agenter for agentbehandler bekrefter du at riktige systemer vises i listen. Det kan ta flere forekomster av agent-til-server-kommunikasjon før alle systemene vises på listen. Figur Agentbehandler-systemside Med agentbehandlere i DMZ og konfigurert med McAfee epo-serveren kan du nå direkte administrere systemer med McAfee Agent installert bak DMZ. Koble en agentbehandler i DMZ til en McAfee epo-server i et domene Når McAfee epo-serveren er i et domene, kan ikke en agentbehandler installert i DMZ, koble til SQL-databasen i McAfee epo. Det er fordi agentbehandleren ikke kan bruke domenelegitimasjon. For å forbigå denne begrensningen konfigurerer du agentbehandleren til å bruke kontolegitimasjon for systemadministrator (sa) for SQL-databasesystemet. 1 Aktiver systemadministratorkontoen. a Åpne SQL Management Studio, utvid Sikkerhet Pålogginger, og dobbeltklikk på sa-kontoen. b Angi og bekreft passordet i Generelt-kategorien. 322 McAfee epolicy Orchestrator programvare Produktveiledning

323 Agentbehandlere Behandlergrupper og prioritet 19 c d Sett Pålogging til Aktivert i Status-kategorien og klikk på OK. Høyreklikk på navnet på databaseforekomsten, og klikk på Egenskaper. Systemadministratorkontoen er aktivert. 2 Endre systemadministratorkontoen for å koble til McAfee epo-databasen. a Åpne en nettleser, og gå til er konsollkommunikasjonsporten. Hvis du bruker en annen port til å få tilgang til McAfee epo-konsollen, tar du med dette portnummeret i adressen i stedet. b c d e Logg på med McAfee epo-legitimasjon. Slett oppføringen i feltet Brukerdomene, og skriv sa. Oppgi et passord for systemadministratorkontoen og klikk på Test tilkobling. Klikk på Bruk hvis testen er vellykket. Hvis testen ikke er vellykket, skriver du inn passordet og klikker på Test tilkobling på nytt. Agentbehandleren bruker systemadministratorlegitimasjon til å kommunisere med McAfee epo-databasen. Behandlergrupper og prioritet Når du bruker flere agentbehandlere i nettverket, kan du gruppere og prioritere dem for å sikre best mulig nettverkstilkobling. Behandlergrupper Når du har flere agentbehandlere i nettverket, kan du opprette behandlergrupper. Du kan også angi prioritet for behandlere i en gruppe. Behandlerprioritet forteller agentene hvilken behandler de skal kommunisere med først. Hvis behandleren med den høyeste prioriteten ikke er tilgjengelig, går agenten videre til neste behandler på listen. Denne prioritetsinformasjonen finnes i programdatabaselisten (sitelist.xml) i hver enkelt agent. Når du endrer behandlertildelinger, oppdateres denne filen som en del av kommunikasjonsprosessen mellom agent og server. Når tildelingene mottas, venter agenten med å implementere dem til neste planlagte kommunikasjon. Du kan utføre et umiddelbart vekkesignal til agent for å oppdatere agenten med én gang. Du kan tilpasse gruppering av behandlere og tildeling av prioritet slik at du kan oppfylle behovene til ditt bestemte miljø. Følgende er to vanlige scenarioer for gruppering av behandlere: McAfee epolicy Orchestrator programvare Produktveiledning 323

324 19 Agentbehandlere Tildele McAfee-agenter til agentbehandlere Bruke flere behandlere for lastbalansering Det kan hende at du har mange administrerte systemer i nettverket ditt og at du ønsker å distribuere arbeidsbelastningen for agent-til-server-kommunikasjon og policyhåndhevelse mellom disse. Du kan konfigurere behandlerlisten slik at agentene tilfeldig velger behandleren de kommuniserer med. Opprette en reserveplan for å sikre agent-til-server-kommunikasjon Det kan hende at du har systemer som er distribuert over et større geografisk område. Du kan tildele en prioritet for hver behandler i dette området, slik at du kan angi hvilken behandler agentene skal kommunisere med, og i hvilken rekkefølge. Dette kan bidra til å sikre at administrerte systemer i nettverket holdes oppdaterte ved at det opprettes en reserveagentkommunikasjon, på samme måte som reserveprogramdatabaser sikrer at nye oppdateringer er tilgjengelige for agentene. Hvis behandleren med den høyeste prioriteten ikke er tilgjengelig, bruker agenten behandleren med nest høyeste prioritet. I tillegg til å tildele behandlerprioritet innenfor en gruppe behandlere kan du også angi prioritet for behandlertildeling mellom flere behandlergrupper. Dette tilfører miljøet ekstra redundans, noe som bidrar til å sikre at agentene alltid mottar den informasjonen de trenger. Sitelist-filer Agenten bruker filene sitelist.xml og sitelist.info til å bestemme hvilken behandler den skal kommunisere med. Hver gang behandlertildelinger og -prioriteter oppdateres, blir disse filene oppdatert i det administrerte systemet. Når filene oppdateres, implementerer agenten den nye tildelingen eller prioriteten ved neste planlagte agent-til-server-kommunikasjon. Tildele McAfee-agenter til agentbehandlere Tildele agenter til bestemte behandlere. Du kan tildele systemer enkeltvis, etter gruppe og etter undernett. Behandlertildelinger kan angi enten én individuell behandler eller en liste over behandlere som kan brukes. Listen du angir, kan bestå av individuelle behandlere eller grupper av behandlere. 1 Velg Meny Konfigurasjon Agentbehandlere, og klikk på Handlinger Ny tildeling. 2 Angi et unikt navn for denne tildelingen. 3 Angi agentene for denne tildelingen ved å angi ett eller begge følgende alternative Agentkriterier: Bla til en Systemtreplassering. Angi IP-adressen, IP-området eller nettverksmasken for administrerte systemer, i feltet Agentundernett. 324 McAfee epolicy Orchestrator programvare Produktveiledning

325 Agentbehandlere Administrere agentbehandlertildelinger 19 4 Angi Behandlerprioritet ved å velge: Bruk alle agentbehandlere Agentene velger tilfeldig hvilke behandlere de vil kommunisere med. Bruk tilpasset behandlerliste Når du bruker en tilpasset behandlerliste, velger du behandler eller behandlergruppe fra rullegardinmenyen. Når du bruker en tilpasset behandlerliste, bruker du + og - for å legge til og fjerne flere agentbehandlere i listen (en agentbehandler kan inkluderes i flere enn én gruppe). Bruk dra-og-slipp-verktøyet til å endre prioriteten for behandlerne. Prioriteten avgjør hvilken behandler agenten først forsøker å kommunisere med. Administrere agentbehandlertildelinger Fullfør vanlige administrasjonsoppgaver for agentbehandlertildelinger. For å utføre disse handlingene velger du Meny Konfigurasjon Agentbehandlere, og deretter klikker du på Handlinger i Behandlertildelingsregler. For å gjøre dette Gjør du dette... Slette behandlertildeling Slett en behandlertildeling Klikk på Slett i valgt tildelingsrad. Klikk på Rediger for den valgte tildelingen. Åpner siden Agentbehandlertildeling der du kan angi: Tildelingsnavn Et unikt navn som identifiserer denne behandlertildelingen. Agentkriterier Systemer som er inkludert i denne tildelingen. Du kan legge til eller fjerne systemtregrupper eller endre systemlisten i tekstboksen. Behandlerprioritet Velger om du vil bruke alle agentbehandlere eller en tilpasset behandlerliste. Agentene velger tilfeldig hvilke behandlere de vil kommunisere med når Bruk alle agentbehandlere er valgt. Bruk dra-og-slipp-verktøyet til raskt å endre prioritet for behandlere i den tilpassede behandlerlisten. Eksportere behandlertildelinger Importere behandlertildelinger Redigere prioritet for behandlertildelinger Vise sammendraget av detaljene for behandlertildeling Klikk på Eksporter. Åpner siden Last ned agentbehandlertildelinger. Her kan du vise eller laste ned filen AgentHandlerAssignments.xml. Klikk på Importer. Åpner dialogboksen Importer agentbehandlertildelinger. Her kan du bla gjennom til en tidligere nedlastet AgentHandlerAssignments.xml-fil. Klikk på Rediger prioritet. Siden Agentbehandlertildeling Rediger prioritet åpnes. Her kan du endre prioritet for behandlertildelinger ved bruk av dra-og-slipp-verktøyet. Klikk på > i valgt tildelingsrad. Opprette agentbehandlergrupper Behandlergrupper gjør det enklere å administrere flere behandlere i nettverket, og kan spille en rolle i reservestrategien din. McAfee epolicy Orchestrator programvare Produktveiledning 325

326 19 Agentbehandlere Administrere agentbehandlergrupper 1 Velg Meny Konfigurasjon AgentbehandlereKlikk deretter på Ny gruppe i Behandlergrupper. Siden Legg til / rediger gruppe åpnes. 2 Angi gruppenavn og detaljer om inkluderte behandlere: Klikk på Bruk lastbalanserer for å bruke en tredjeparts lastbalanserer, og skriv deretter inn Virtuelt DNS-navn og Virtuell IP-adresse (begge er obligatorisk). Klikk på Bruk tilpasset behandlerliste for å angi hvilke agentbehandlere som er inkludert i denne gruppen. Når du bruker en tilpasset behandlerliste, velger du behandlere fra rullegardinlisten Inkluderte behandlere. Bruk + og - til å legge til og fjerne ytterligere agentbehandlere i listen (en agentbehandler kan inkluderes i flere enn én gruppe). Bruk dra-og-slipp-verktøyet til å endre prioriteten for behandlerne. Prioriteten avgjør hvilken behandler agenten først forsøker å kommunisere med. 3 Klikk på Lagre. Administrere agentbehandlergrupper Fullfør vanlige administrasjonsoppgaver for agentbehandlergrupper. For å utføre disse handlingene velger du Meny Konfigurasjon Agentbehandlere, og klikker på overvåkeren for Behandlergrupper. Handling Slette behandlergruppe Redigere behandlergruppe Trinn Klikk på Slett i den valgte grupperaden. Klikk på behandlergruppen. Siden Innstillinger for agentbehandlergruppe åpnes. Her kan du angi: Virtuelt DNS-navn Et unikt navn som identifiserer behandlergruppen. Virtuell IP-adresse IP-adressen knyttet til denne gruppen. Inkluderte behandlere Velg om du vil bruke en lastbalanserer fra tredjepart eller en tilpasset behandlerliste. Bruk en tilpasset behandlerliste til å angi hvilke behandlere, og i hvilken rekkefølge, agenter som er tilordnet denne gruppen skal kommunisere med. Aktivere eller deaktivere en behandlergruppe Klikk på Aktiver eller Deaktiver i den valgte grupperaden. Flytte agenter mellom behandlere Tildele agenter til bestemte behandlere. Du kan tildele systemer ved å bruke regler for agentbehandlertildeling, prioritet for agentbehandlertildeling eller individuelt ved å bruke systemtreet. Behandlertildelinger kan angi enten én individuell behandler eller en liste over behandlere som kan brukes. Listen du angir, kan bestå av individuelle behandlere eller grupper av behandlere. 326 McAfee epolicy Orchestrator programvare Produktveiledning

327 Agentbehandlere Flytte agenter mellom behandlere 19 r Gruppering av agenter ved bruk av agentbehandler-tildelinger på side 327 Opprette agentbehandlertildelinger for å gruppere McAfee Agent sammen. Gruppere agenter etter tildelingsprioritet på side 328 Gruppere agenter sammen og tilordne dem til en agentbehandler som bruker tildelingsprioritet. Gruppere agenter ved bruk av systemtreet på side 328 Grupper agenter og tildel dem til en agentbehandler som bruker systemtre. Gruppering av agenter ved bruk av agentbehandler-tildelinger Opprette agentbehandlertildelinger for å gruppere McAfee Agent sammen. Behandlertildelinger kan angi enten én individuell behandler eller en liste over behandlere som kan brukes. Listen du angir, kan bestå av individuelle behandlere eller grupper av behandlere. Ved tildeling av agenter til Agentbehandlere, må geografisk avstand tas i betraktning for å redusere unødvendig trafikk på nettverket. 1 Velg Meny Konfigurasjon Agentbehandlere, og klikk på den påkrevde Behandlertildelingsregelen. Siden for agentbehandlertildeling vises. Hvis Standard tildelingsregler er eneste tildeling i listen, må du opprette en tildeling. 2 Skriv inn et navn for Tildelingsnavn. 3 Du kan konfigurere Agentkriterier etter systemtreplassering, etter agentundernett eller individuelt ved bruk av følgende: Systemtreplasseringer Velg gruppen fra systemtreplassering. Du kan bla gjennom for å velge andre grupper fra dialogboksen Velg systemtregruppe og bruke + og - for å legge til og fjerne systemtregrupper som vises. Agentundernett Skriv inn IP-adresser, IP-områder eller undernettmasker i tekstfeltet. Individuelt Skriv inn IPv4/IPv6-adressen for et bestemt system i tekstfeltet. 4 Du kan konfigurere Behandlerprioritet til Bruk alle agentbehandlere eller Bruk tilpasset behandlerliste. Klikk på Bruk tilpasset behandlerliste og endre deretter behandleren på én av følgende måter: Endre den tilknyttede behandleren ved å legge til en annen behandler i listen og slette den tidligere tilknyttede behandleren. Legg til ytterligere behandlere i listen og angi prioriteten agenten bruker til å kommunisere med behandlerne. Ved bruk av en tilpasset behandlerliste bruker du + og - for å legge til og fjerne ytterligere agentbehandlere fra listen (en agentbehandlerkan inkluderes i mer enn én gruppe). Bruk dra-og-slipp-verktøyet til å endre prioriteten for behandlerne. Prioriteten avgjør hvilken behandler agenten først forsøker å kommunisere med. 5 Klikk på Lagre. McAfee epolicy Orchestrator programvare Produktveiledning 327

328 19 Agentbehandlere Flytte agenter mellom behandlere Gruppere agenter etter tildelingsprioritet Gruppere agenter sammen og tilordne dem til en agentbehandler som bruker tildelingsprioritet. Behandlertildelinger kan angi enten én individuell behandler eller en liste over behandlere som kan brukes. Listen du angir, kan bestå av individuelle behandlere eller grupper av behandlere. Denne listen definerer i hvilken rekkefølge agentene skal prøve å kommunisere ved hjelp av en spesifikk agentbehandler. Ved tildeling av systemer til agentbehandlere må det tas hensyn til geografisk nærhet for å redusere unødvendig nettverkstrafikk. 1 Velg Meny Konfigurasjon Agentbehandlere. Hvis Standard tildelingsregler er eneste tildeling i listen, må du opprette en ny tildeling. 2 Rediger tildelinger ved hjelp av trinnene i oppgaven Gruppere agenter etter tildelingsregler. 3 Om nødvendig kan prioriteten eller hierarkiet for tildelingene endres ved å klikke på Handlinger Rediger prioritet. Hvis en tildeling flyttes til en prioritet som er lavere enn en annen tildeling, skapes et hierarki hvor den lavere tildelingen faktisk er en del av den høyere tildelingen. 4 Du kan endre prioritet for en tildeling som vises i kolonnen Prioritet til venstre, ved å gjøre ett av følgende: Bruk dra-og-slipp Bruk dra-og-slipp-håndtaket til å dra tildelingsraden opp eller ned til en annen posisjon i kolonnen Prioritet. Klikk på Flytt til toppen I Hurtighandlingerklikker du på Flytt til toppen for at den valgte tildelingen automatisk skal flyttes til høyeste prioritet. 5 Når tildelingsprioritet konfigureres korrekt, klikk på Lagre. Gruppere agenter ved bruk av systemtreet Grupper agenter og tildel dem til en agentbehandler som bruker systemtre. Behandlertildelinger kan angi enten én individuell behandler eller en liste over behandlere som kan brukes. Listen du angir, kan bestå av individuelle behandlere eller grupper av behandlere. Ved tildeling av systemer til agentbehandlere må det tas hensyn til geografisk nærhet for å redusere unødvendig nettverkstrafikk. 1 Velg Meny Systemer Systemtre Systemer. 2 I kolonnen Systemtre navigerer du til systemet eller gruppen du vil flytte. 3 Bruk dra-og-slipp håndtaket til å flytte systemer fra den nåværende konfigurerte systemgruppen til målsystemgruppen. 4 Klikk på OK. 328 McAfee epolicy Orchestrator programvare Produktveiledning

329 Agentbehandlere Vanlige spørsmål 19 Vanlige spørsmål Her får du svar på vanlige spørsmål. Hvilke data sendes til McAfee epo-serveren, og hvilke sendes til databasen? En datakanal er en mekanisme som McAfee-produkter bruker for å utveksle meldinger mellom endepunktenes plugin-moduler og administrasjonsutvidelsene. Datakanalen gir mest data sendt fra agentbehandleren til programserveren. Den brukes internt av McAfee epo-serveren for agentdistribusjon og meldinger om vekkingsfremdrift. Andre funksjoner som agentegenskaper, tagging og policysammenligninger utføres direkte mot McAfee epo-databasen. Hvis McAfee epo-serveren er ikke definert i programdatabaselisten, skjer reproduksjon likevel? Ja, hvis agenten kontakter agentbehandleren for programvarepakker, henter agentbehandleren dem fra McAfee epo-serverens master-programdatabase. Hvor mye båndbredde brukes for kommunikasjon mellom databasen og agentbehandleren? Båndbredde mellom agentbehandleren og databasen varierer basert på antall agenter som kobler til denne agentbehandleren. Hver agentbehandler legger imidlertid en faste belastningene på databaseserveren for: Hjerteslag (hvert minutt) Arbeidskø (sjekkes hvert 10. sekund) Databasekoblinger holdes åpne mot databasen (to tilkoblinger per CPU for EventParser pluss fire tilkoblinger per CPU for Apache) Hvor mange agenter kan én agentbehandler støtte? Agentbehandlere for skalerbarhet ikke er nødvendig før en distribuering når noder. Agentbehandlere for topologi eller failover kan være nødvendig på alle trinn. En god regel er én agentbehandler per noder. Hvilken maskinvare og hvilket operativsystem bør jeg bruke for en agentbehandler? Bruk Microsoft Serve- operativsystem (2008 SP2+-server eller biters server). Operativsystemversjoner uten servere har strenge (ca. 10) begrensninger for antall innkommende nettverkstilkoblinger. Se også Bruk av agentbehandlere bak en DMZ, brannmur eller i NAT-nettverk: gode fremgangsmåter på side 311 Programdatabasebuffer og hvordan den fungerer på side 312 McAfee epolicy Orchestrator programvare Produktveiledning 329

330 19 Agentbehandlere Vanlige spørsmål 330 McAfee epolicy Orchestrator programvare Produktveiledning

331 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Når McAfee epo-serveren er konfigurert og beskytter systemene, er det noen oppgaver du kan utføre for å sørge for at serveren kjører optimalt. Innhold Vedlikehold av McAfee epo-serveren Administrere SQL-databaser Båndbreddebruk Vedlikehold av McAfee epo-serveren Generelt trenger ikke McAfee epo-serveren regelmessig vedlikehold, men hvis ytelsen endrer seg, bør du bruke følgende tiltak før du kontakter teknisk støtte. SQL-databasen som brukes av McAfee epo-serveren krever jevnlig vedlikehold og sikkerhetskopieringer for å sikre at McAfee epo fungerer på riktig måte. Gode fremgangsmåter: Overvåking av serverytelse Sjekk regelmessig hvor hardt McAfee epo-serveren jobber slik at du kan opprette referanseverdier og unngå ytelsesproblemer. Hvis du mistenker at McAfee epo-serveren har ytelsesproblemer, bruker du Windows behandling og Windows Server Pålitelighets- og ytelsesovervåking for å sjekke ytelsen. Bruk av Windows behandling Det første du må gjøre hvis McAfee epo-serveren har ytelsesproblemer, er å starte Windows behandling på serveren og sjekke McAfee epo-serverytelsen. Forekommer det overdreven sideveksling? Er det fysiske minnet overbelastet? Er CPU-en overbelastet? Se How to use and troubleshoot issues with Windows Task Manager ( ) for mer informasjon. McAfee epolicy Orchestrator programvare Produktveiledning 331

332 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Bruk av Windows Pålitelighets- og ytelsesovervåking Når du installerer McAfee epo-serveren, legges tilpassede tellere til i den innebygde Windows Pålitelighets- og ytelsesovervåkingen. Disse tellerne er informative og kan gi deg en pekepinn på hvor hardt McAfee epo-serveren jobber. Du må bruke 32-bit-versjonen av Pålitelighets- og ytelsesovervåking som du finner på C:\Windows \SysWOW64\perfmon.exe. Standard 64-bit-versjonen av Pålitelighets- og ytelsesovervåking har ikke tilpassede McAfee epo-tellere. Se disse koblingene for informasjon om Microsoft Windows Ytelsesmåler: Konfigurere Ytelsesmåler-visningen ( cc aspx) Arbeide med ytelseslogger ( Finne og bruke ytelsesmåleren For å bruke de tilpassede McAfee epo-tellerne med Windows Ytelsesmåler må du bruke 32-bit-versjonen av verktøyet. Dette diagrammet viser hvordan du finner og bruker Windows Ytelsesmåler. Figur 20-1 Windows Ytelsesmåler viser epolicy Orchestrator Server-tellerne For å finne 32-bit-versjonen av Windows Ytelsesmåler bruker du Windows Utforsker og navigerer til C:\Windows\SysWOW64. Finn og dobbeltklikk på perfmon.exe. For å bekrefte at du åpnet 32-bit-versjonen av Ytelsesmåler, klikker du på Overvåkingsverktøy Ytelsesmåler, Legg til tellere og klikker på +-tegnet for å åpne dialogboksen Legg til tellere. For å finne McAfee epo-servertellere ruller du ned i listen over tellere, finnerepolicy Orchestrator Server og utvider listen. 332 McAfee epolicy Orchestrator programvare Produktveiledning

333 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Nå kan du begynne å bruke tellerne til å teste og opprette referansepunkter for ytelsen til McAfee epo-serveren. Bruke perfmon med McAfee epo: Anbefalt fremgangsmåte 32-bitersversjonen av Windows Pålitelighets- og ytelsesovervåking (perfmon) er et verktøy som hjelper deg med å finne referanseverdier for serveren, som kan brukes til å styre serverytelsen. 1 Start Windows Ytelsesmåler. 2 I listen Legg til tellere blar du gjennom eller ruller ned til tellervalget for epolicy Orchestrator-server og klikker på + for å utvide listen over tellere. 3 For å vise utdataene som en rapport klikker du på Endre graftype-ikonet og velger Rapport fra listen. Åpne epo Agent-tilkoblinger-telleren viser deg for eksempel hvor mange agenter som kommuniserer med McAfee epo-serveren samtidig. En sunn McAfee epo-server har et relativt lavt antall, vanligvis under 20. En McAfee epo-server med problemer har ofte over 200 (maks er 250), og dette antallet forblir høyt og går sjelden under Klikk på Legg til for å flytte den valgte telleren til listen over tillagte tellere og klikk på OK. 5 For å finne ut hva belastningen på McAfee epo-serveren er, og hvor raskt den kan behandle hendelser fra alle agentene dine, legger du til de følgende tellerne og klikker deretter på OK. Fullførte Agent-forespørsler/sek Maks hendelsesanalysetråder Hendelsesanalysetråder som kjører nå Åpne epo Agent-tilkoblinger Datakanal-metning Behandlede hendelser/sek Datakanal-tråder Lengde på kø for statiske hendelser Lenge på hendelseskø Testene oppført her, er bare noen få av dem du kan utføre med McAfee epo-serveren ved bruk av Windows Ytelsesmåler. Se følgende Microsoft-webområder for mer informasjon om Windows Ytelsesmåler: Konfigurere Ytelsesmåler-visningen ( cc aspx) Arbeide med ytelseslogger ( Sjekk hendelsesbehandling: Anbefalt fremgangsmåte Antallet hendelser som vises i McAfee epo-databasemappen for hendelser, indikerer ytelsen til McAfee epo-serveren. 1 Bruk Windows Utforsker til å navigere til følgende mappe: C:\Program Files (x86)\mcafee\epolicy Orchestrator\DB\Events Denne mappen kan til enhver tid vise noen titalls eller hundretalls hendelser. I større miljøer behandler denne mappen tusenvis av hendelser hvert minutt. McAfee epolicy Orchestrator programvare Produktveiledning 333

334 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 2 Klikk på Oppdater-ikonet flere ganger, og sjekk statusraden for å se om antallet filer i mappen endrer seg raskt. Hvis det ligger tusenvis av filer i denne mappen og McAfee epo ikke klarer å behandle dem, skyldes det trolig at serveren sliter med å behandle hendelsene i en rimelig hastighet. Det er vanlig at antallet hendelser i Hendelser-mappen svinger avhengig av tidene på døgnet. Men hvis det ligger tusenvis av filer i mappen, og antallet øker hele tiden, indikerer dette sannsynligvis et ytelsesproblem. 3 Sjekk at hendelsene ikke oppstår raskere enn det som er mulig for hendelsesanalysen å håndtere. Dette gjør at mappen vokser raskt. Følg denne fremgangsmåten for å sjekke at hendelsesanalysen kjører. a For å åpne Windows-tjenestebehandlingen og bekrefte at hendelsesanalysen kjører, klikker du på Start, Kjør, skriver inn services.msc og klikker på OK. b Finn McAfee epolicy Orchestrator hendelsesanalyse i tjenestebehandlingslisten og kontroller at den er startet. 4 Sjekk om hendelsesanalyseloggfilen inneholder feil ved å følge denne fremgangsmåten. a Gå til loggfilmappen med denne banen: C:\Program Files (x86)\mcafee\epolicy Orchestrator\DB\Logs b Åpne loggfilen og se etter feil: eventparser_<servername>.log 5 Bruk denne fremgangsmåten hvis hendelsene fortsatt genereres raskere enn det hendelsesanalysen klarer å håndtere. a Åpne tjenestebehandlingslisten på nytt og stopp alle disse tre McAfee epo-tjenestene midlertidig: McAfee epolicy Orchestrator programserver McAfee epolicy Orchestrator hendelsesanalyse McAfee epolicy Orchestrator server b Flytt innholdet i C:\Program Files (x86)\mcafee\epolicy Orchestrator\DB\Events \-mappen til en annen plassering, eller slett hendelsene hvis du ikke er bekymret for å miste data. Vedlikehold av SQL-databasen For at McAfee epo-serveren skal fungere på riktig måte, må du ha en velfungerende SQL-database. Databasen er den sentrale lagringsplassen for alle dataene som McAfee epo-serveren bruker, og den trenger vedlikehold. Vedlikehold av McAfee epo SQL-databasen: Anbefalt fremgangsmåte SQL-databasen krever jevnlig vedlikehold og sikkerhetskopieringer for å sikre at McAfee epo fungerer på riktig måte. McAfee epo SQL-databasen inneholder alt McAfee epo bruker for å fungere: systemtrestrukturen, policyer, administratorer, klientoppgaver og konfigurasjonsinnstillinger. Utfør disse oppgavene jevnlig for å vedlikeholde SQL-serveren: 334 McAfee epolicy Orchestrator programvare Produktveiledning

335 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Sikkerhetskopier McAfee epo SQL-databasen og transaksjonsloggen regelmessig. Indekser databasen på nytt regelmessig. Gjenoppbygg databasen regelmessig. Tøm eldre hendelser med serveroppgaver. Sikkerhetskopier SQL-databasen regelmessig i tilfelle SQL-databasen eller McAfee epo-servermiljøet svikter. Hvis McAfee epo-serveren må gjenoppbygges eller gjenopprettes, sikrer gjeldende sikkerhetskopier at en sikker versjon er tilgjengelig. Hvis du bruker informasjonen på Microsoft-webområdet Full Database Backups (SQL Server) ( library/ms aspx), kan dessuten transaksjonslogen fortsette å vokse i det uendelige til en fullstendig sikkerhetskopiering utføres. Tabelldatafragmentering Ett av de største ytelsesproblemene i databaser, er tabelldatafragmentering. Tabellfragmentering kan sammenlignes med en indeks bak i en stor bok. Én indeksoppføring i denne boken kan vise til flere sider på ulike steder i boken. Du må skanne hver av disse sidene for å finne den bestemte informasjonen du ser etter. Denne fragmenterte indeksen er ulik indeksen i en telefonkatalog der dataene er lagret i en sortert rekkefølge. Et typisk søk etter navnet "Hansen" kan gå over flere påfølgende sider, men navnene er alltid i en bestemt rekkefølge. I en database starter du med data som ligner på en telefonkatalog, men som over tid blir mer og mer like dataene i indeksen på en stor bok. Med jevne mellomrom må du sortere dataene på nytt for å gjenskape telefonkatalog-rekkefølgen. Det er i dette steget indeksering og gjenoppbygging av McAfee epo SQL-databasen er kritisk. Databasen blir mer fragmentert over tid, spesielt om den administrer et større miljø der tusenvis av hendelser oppstår hver dag. Det tar bare noen få minutter å konfigurere en vedlikeholdsoppgave som automatisk gjenoppbygger og indekserer McAfee epo SQL-databasen på nytt. n er likevel svært viktig for at McAfee epo-serveren skal yte optimalt. Du kan inkludere ny indeksering som en del av den vanlige sikkerhetskopieringsplanen, slik at du kombinerer alt i én oppgave. Ikke krymp databasen. Datafilkrymping forårsaker alvorlig indeksfragmentering. Krymping av databasen er en vanlig feil mange administratorer gjør når de oppretter vedlikeholdsoppgaven. Mer informasjon For mer informasjon om hvordan du oppretter vedlikeholdsoppgaven kan du se KnowledgeBase-artikkelen Anbefalt vedlikeholdsplan for McAfee epo-databasen med SQL Server Management Studio, KB For å finne ut mer om databasefragmentering og hvordan du avgjør fragmenteringen i databasen din, kan du bruke DBCC-kommandoen som du finner i Understanding SQL Server's DBCC SHOWCONTIG ( Se følgende dokumenter for å finne ut mer om å vedlikeholde og optimalisere SQL-databasen: McAfee epolicy Orchestrator programvare Produktveiledning 335

336 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Forbedre McAfee epo-ytelsen ved å optimere SQL ( DOC-2926) McAfee epo-vedlikeholdsverktøy ( Gode fremgangsmåter: Test tilkoblingen til SQL-databasen med test.udlfilen Ved problemer med databasetilkoblingen kan du bruke test.udl-filen til å bekrefte databaselegitimasjonen som brukes for å få tilgang til McAfee epo-serveren. Før du begynner Du må kjenne til navnet på SQL-databaseserveren og databasenavnet på serveren. Bruk URLen for å finne denne informasjonen. Hvis du feilsøker problemer med McAfee epo-databasetilkoblingen, får du kanskje se denne feilen i orion.log-filen: Påloggingen mislyktes for brukeren. Brukeren er ikke knyttet til en klarert SQL Server-tilkobling 1 På McAfee epo-serveren må du opprette en fil kalt test.udl. 2 Dobbeltklikk på filen du opprettet for å vise brukergrensesnittet for Datakoblingsegenskaper. 3 Klikk på Leverandør-fanen, velg Microsoft OLE DB-leverandør for SQL Server fra OLE DB-leverandør-listen og klikk på Neste. 4 Konfigurer følgende informasjon på Tilkobling-fanen: Velg eller skriv inn et servernavn Skriv inn servernavn, forekomst og port i følgende format: <servernavn>\<forekomstnavn>,<port>. Hvis det ikke er brukt noen navngitt databaseforekomst, bruker du følgende format: <servernavn>,<port> Oppgi informasjon for å logge på serveren Skriv inn legitimasjonen for SQL-databasen. Velg databasen på serveren Skriv inn databasenavnet. 5 Klikk på Test tilkobling. Dialogboksen for Microsoft-datakobling bør vise Test-tilkobling vellykket. Gode fremgangsmåter: Anbefalte oppgaver McAfee anbefaler at du utfører bestemte oppgaver daglig, ukentlig og månedlig for å sikre at dine administrerte systemer er beskyttet og at McAfee epo-serveren fungerer som den skal. Ettersom alle nettverk er ulike, kan det hende miljøet ditt trenger flere, mer detaljerte tiltak, eller færre tiltak enn det som er beskrevet i dette avsnittet. Dette er foreslåtte fremgangsmåter, og garanterer ikke 100 % beskyttelse mot sikkerhetsrisikoer. 336 McAfee epolicy Orchestrator programvare Produktveiledning

337 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 De skisserte prosessene deler følgende funksjoner: Når du blir vant med prosessene, tar det ikke lang tid å utføre dem. Dette er repeterbare, administrerbare og effektive fremgangsmåter. De er basert på innspill fra McAfee-eksperter og IT-ansvarlige. McAfee epolicy Orchestrator programvare Produktveiledning 337

338 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Anbefalte daglige oppgaver: Anbefalt fremgangsmåte Utfør disse anbefalte McAfee-oppgavene minst én gang om dagen for å sikre at dine McAfee epo-serveradministrerte systemer er beskyttet mot trusler og at McAfee epo-serveren fungerer som den skal. Før du gjennomfører store endringer i policyer eller oppgaver, anbefaler McAfee at du sikkerhetskopierer databasen eller tar et øyeblikksbilde av oppføringene i McAfee epo-databasen. Figur 20-2 Foreslåtte daglige McAfee epo-oppgaver Hver av de anbefalte daglige oppgavene er beskrevet i mer detalj i den følgende tabellen. Noen av disse oppgavene kan automatiseres der det er angitt. Instruksjonene for dette er inkludert i denne veiledningen. 338 McAfee epolicy Orchestrator programvare Produktveiledning

339 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Tabell 20-1 Detaljer for anbefalte daglige McAfee epo-oppgaver Daglige trusseloppgaver Sjekk McAfee epo-dashbord for trusselhendelser regelmessig. Undersøk produktspesifikke rapporter som VirusScan Enterprise, Endpoint Security, tilgangsbeskyttelse eller McAfee Host IPS for trusselhendelser Reager på varsler. Beskrivelse Gjennom dagen må du se gjennom dashbordene dine og fange opp trusler, oppdagelser og trender. Konfigurer automatiske responser for å sende e-poster til administratorer når tersklene for trusselaktivitet nås. Undersøk rapporter for hendelser som kan indikere ny sårbarhet i miljøet. Opprett en serveroppgave for å planlegge spørringer og sende resultatene til deg. Med disse dataene kan du lage policyer eller redigere eksisterende policyer. Hvis du finner nye varsler, må du følge selskapets interne prosedyrer for håndtering av skadelig programvare. Samle inn og send eksempler til McAfee, og jobb med å rense opp i miljøet. Sjekk at signaturfiler er oppdaterte, og kjør skanninger på forespørsel slik det er nødvendig. Se artikkel KB53094: Troubleshooting procedure for finding possible infected files. Kjør spørringer eller se gjennom dashbordene regelmessig for å sjekke varsler som er samlet fra de administrerte enhetene. Hold også et øye med følgende tegn på trusler: Høyt CPU-forbruk på prosesser som ikke kan identifiseres Uvanlig stor økning i nettverkstrafikk Tjenester som er lagt til eller slettet av andre enn deg Nettverk eller administrative deler du ikke får tilgang til Programmer eller filer som slutter å fungere Ukjente registernøkler som er lagt til for å starte et program Eventuell hjemmeside i nettleser som er endret utenfor din kontroll Undersøk VSE: Datatrender-dashbordet og se på informasjonen om VSE: DAT-distribusjon for å avgjøre om signaturfilene er oppdaterte. Filer som opprettes eller endres på et endepunkt (se gjennom tilgangsbeskyttelsesregler). Gjennomgå McAfee Global Threat Intelligence (GTI) på området for McAfee Labs-trusler minst én gang om dagen. Sjekk "topp ti"-rapportene for infiseringer på område-, gruppe-, system- og brukernivå. Daglige oppgaver for sikkerhetsvedlikehold For å få tilgang til området for McAfee Labs-trusler velger du Meny Rapportering Dashbord. Velg dashbordet epo-sammendrag. I McAfee-koblinger klikker du på Global Threat Intelligence. McAfee epo gir en forhåndskonfigurert liste over "topp ti"-rapportene med statistikk over infiseringene i miljøet ditt. Avgjør hvilke brukere, systemer og deler av nettverket som er mest infisert eller sårbart. Disse rapportene kan avsløre svakheter i nettverket der policyene må endres. McAfee epolicy Orchestrator programvare Produktveiledning 339

340 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Tabell 20-1 Detaljer for anbefalte daglige McAfee epo-oppgaver (fortsatt) Se gjennom rapportene for DAT-distribusjon. Sjekk overholdelsesspørringer og -rapporter. Beskrivelse Det er viktig at den nyeste DAT-filen er distribuert til 100 % av alle administrerte systemer. Kontroller at klientene har en oppdateringsoppgave konfigurert til å kjøre flere ganger om dagen for å holde DAT-filen oppdatert. Kjør spørringene VSE: DAT-innføring og VSE: DAT-innføring de siste 24 timene eller spørringen VSE: DAT-distribusjon regelmessig i løpet av dagen for å sikre at systemene kjører de nyeste DAT-filene. I Spørringer og rapporter finner du overholdelsesspørringene som identifiserer systemer der en administrert produktversjon ikke er oppdatert med en aktuell motor, hurtigreparasjon eller oppdatering. Opprett en prosess for å kontrollere at systemene er oppdaterte. Kjør for eksempel en oppdaterings- eller distribusjonsoppgave for å sikre overholdelse. Antallet systemer med manglende overholdelse går ned inntil alle systemene har sjekket inn og oppdatert programvaren. Gjennomgå loggen over inaktive agenter for å finne ut hvilke systemer som ikke rapporterer til McAfee epo. Sjekk at Active Directoryeller NT-synkroniseringen fungerer. I Serveroppgaver kjører du Renseoppgave for inaktiv agent. Denne oppgaven identifiserer systemer som ikke har koblet til McAfee epo-serveren på et angitt antall dager, uker eller måneder. Du kan bruke denne oppgaven til å flytte inaktive systemer til en ny gruppe i systemtreet, tagge systemene, slette systemene eller sende en rapport via e-post. Hvis systemene er på nettverket men har problemer med å sjekke inn på McAfee epo-serveren, kan du utføre én av disse tre handlingene: Bruk ping agent eller et vekkesignal til agent for å sjekke om et system et på nettet og kan utføre agent-til-server-kommunikasjon med McAfee epo-serveren. Installer McAfee Agent på nytt for å sjekke at systemet kommuniserer med McAfee epo-serveren. Active Directory- eller NT-domenesynkronisering henter en liste over nye systemer og beholdere som må administreres av McAfee epo. Bekreft at synkroniseringsoppgaven konfigureres til å kjøre minst én gang om dagen, og fungerer. Hvis synkroniseringen mislykkes, er systemene sårbare i nettverket og risikoen for infeksjon er stor. Bekreft at en skann av minneprosesser inntreffer minst én gang om dagen. Sjekk Rogue System Detection Bruk Trusseldashbordet til å bekrefte at resultatene av disse skanningene ikke indikerer en økning i antallet trusler. Kjør skanninger av minneprosessene jevnlig disse er raske og lite forstyrrende. Rogue System Detection viser deg hvilke enheter som er knyttet til nettverket. Det rapporterer uadministrerte systemer slik at disse kan bli funnet og fjernet raskt fra nettverket. 340 McAfee epolicy Orchestrator programvare Produktveiledning

341 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Tabell 20-1 Detaljer for anbefalte daglige McAfee epo-oppgaver (fortsatt) Daglige SQL-database-oppgaver Utfør en trinnvis sikkerhetskopiering av McAfee epo-databasen. Beskrivelse Bruk Microsoft SQL Enterprise Manager til å sikkerhetskopiere McAfee epo-databasen. Bekreft at sikkerhetskopieringen var vellykket når den er fullført. Du kan bruke McAfee epo-funksjonen for gjenoppretting etter katastrofe til å opprette et øyeblikksbilde av oppføringene i McAfee epo-databasen for om nødvendig å raskt gjenopprette eller installere programvare på nytt. Se disse dokumentene for ytterligere informasjon: Denne veiledningen for detaljer om gjenoppretting etter katastrofe. How to back up and restore the epo database using SQL Server Management Studio, KB52126 McAfee epo server backup and disaster recovery procedure, KB66616 Se også Komponenter for gjenoppretting etter katastrofe på side 106 McAfee epolicy Orchestrator programvare Produktveiledning 341

342 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Anbefalte ukentlige oppgaver: Anbefalt fremgangsmåte Utfør de foreslåtte McAfee-oppgavene minst én gang i uken for å sikre at dine McAfee epo-serveradministrerte systemer er beskyttet mot trusler og at McAfee epo-serveren fungerer som den skal. Figur 20-3 Foreslåtte ukentlige McAfee epo-oppgaver Hver av de anbefalte ukentlige oppgavene er beskrevet i mer detalj i den følgende tabellen. Noen av disse oppgavene kan automatiseres der det er angitt. Instruksjonene for dette er inkludert i denne veiledningen. 342 McAfee epolicy Orchestrator programvare Produktveiledning

343 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Tabell 20-2 Detaljer for anbefalte ukentlige McAfee epo-oppgaver Ukentlige McAfee epo-oppgaver Sjekk om det finnes McAfee-hurtigreparasjoner, -utvidelser og -oppdateringer på McAfee-webområdet eller i Programvarebehandling. Beskrivelse McAfee frigir regelmessig oppdateringer og hurtigreparasjoner, så vel som DAT-filer og motoroppdateringer. Sjekk McAfee-webområdet og McAfee epo-programvarebehandling ofte for oppdateringer som skal sjekkes inn i McAfee epo-konsollen for lokal miljøtesting. Du kan også bruke Programvarebehandling til å laste ned og sjekke inn disse oppdateringene. DAT- og motorfiler oppdateres ikke med Programvarebehandling. Kjør en full reproduksjon til alle distribuerte programdatabaser. Distribuerte programdatabaser kan bli korrupte på grunn av ufullstendige reproduksjonsoppgaver. Fjern korrupte filer i programdatabasene ved å kjøre en full reproduksjon til alle distribuerte programdatabaser én gang i uken. Fullstendige reproduksjonsoppgaver sletter det eksisterende innholdet i programdatabasen og erstatter det med nye filer. Trinnvise reproduksjonsoppgaver kopierer bare nye eller ikke-eksisterende filer, og kan ikke fikse korrupte filer. Kjør distribuert programdatabasestatus Planlegg Skanning på forespørsel av alle systemene i miljøet ditt. Velg Meny Rapporter Spørringer og rapporter. Finn og kjør rapporter for Distribuert programdatabasestatus for å avgjøre hvorvidt det har oppstått feil i oppdateringene av distribuerte programdatabaser. Hvis det har oppstått feil, må du kjøre reproduksjonen på nytt og sikre at den ikke feiler. Planlegg en skanning på forespørsel av alle systemene i miljøet ditt, som kjører utenom arbeidstiden. Se disse dokumentene for ytterligere informasjon: Best Practices for On-Demand Scans in VirusScan Enterprise 8.8, KB74059 Best Practices for On-Demand Scans in VirusScan Enterprise 8.8, TU30280 Tutorial. VirusScan Enterprise 8.8-produktveiledningen for mer informasjon om konfigurasjon av skanning på forespørsel How to create a McAfee epo validation report for the event '1203, KB Ukentlige SQL-database-oppgaver McAfee epolicy Orchestrator programvare Produktveiledning 343

344 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Tabell 20-2 Detaljer for anbefalte ukentlige McAfee epo-oppgaver (fortsatt) Sikkerhetskopier McAfee epo SQL-databasen. Beskrivelse Bruk Microsoft SQL Enterprise Manager til å sikkerhetskopiere McAfee epo-databasen. Bekreft at sikkerhetskopieringen var vellykket når den er fullført. Ukentlige oppgaver for Windows Server-operativsystemet Fjern inaktive systemer fra Active Directory. Du kan bruke McAfee epo-gjenoppretting etter katastrofe-funksjonen til å opprette et øyeblikksbilde av oppføringene i McAfee epo-databasen for å raskt gjenopprette eller installere programvare på nytt om nødvendig. Se disse dokumentene for ytterligere informasjon: How to back up and restore the epo database using SQL Server Management Studio, KB52126 McAfee epo server backup and disaster recovery procedure, KB66616 Active Directory henter en liste over nye systemer og beholdere som må administreres av McAfee epo. Bekreft at synkroniseringsoppgaven er konfigurert til å kjøre minst én gang om dagen, og at den fungerer. Hvis synkroniseringen mislykkes, er systemene sårbare i nettverket og risikoen for infeksjon er stor. Se også Hva inneholder programvarebehandlingen? på side 161 Reproduksjonsoppgaver på side 300 Komponenter for gjenoppretting etter katastrofe på side McAfee epolicy Orchestrator programvare Produktveiledning

345 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Anbefalte månedlige oppgaver: Anbefalt fremgangsmåte Utfør de foreslåtte McAfee-oppgavene minst én gang i måneden for å sikre at dine McAfee epo-serveradministrerte systemer er beskyttet mot trusler og at McAfee epo-serveren fungerer som den skal. Figur 20-4 Foreslåtte månedlige McAfee epo-oppgaver Hver av de anbefalte månedlige oppgavene er beskrevet i mer detalj i den følgende tabellen. Noen av disse oppgavene kan automatiseres der det er angitt. Instruksjonene for dette er inkludert i denne veiledningen. Tabell 20-3 Detaljer for anbefalte månedlige McAfee epo-oppgaver Månedlige McAfee epo-oppgaver Tøm hendelser for å redusere databasens størrelse. Fjern og oppdater dupliserte GUID-er. Beskrivelse Tøm hendelser automatisk. Kjør serveroppgaven "duplisert agent-guid" for å finne og rette opp i eventuelle dupliserte GUID-er i miljøet ditt. Kjør også følgende serveroppgaver: Duplisert agent-guid: Tøm feiltelling Duplisert agent-guid: Fjern systemer med potensielt dupliserte GUID-er McAfee epolicy Orchestrator programvare Produktveiledning 345

346 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren Tabell 20-3 Detaljer for anbefalte månedlige McAfee epo-oppgaver (fortsatt) Gjennomgå revisjonslogger. Valider McAfee epo-administrator og anmelder-id-er SQL-database-oppgaver Kjør vedlikeholdsplanen for McAfee epo SQL-databasen. Beskrivelse Månedlige oppgaver for Windows Server-operativsystemet Bekreft at Microsoft-operativsystemet og andre leverandøroppdateringer på McAfee epo-serveren er aktuelle. Gjennomgå McAfee epo-revisjonsloggene for å sikre at personer med administrative rettigheter bare utfører godkjente endringer i systemkonfigurasjoner, oppgaver og policyer. Bekreft at kun autoriserte ansatte med admintilgang har konfigurerte ID-er med tilhørende tillatelsessett i McAfee epo-systemet. Konfigurer og kjør den månedlige SQL-vedlikeholdsplanen. Du finner mer informasjon i artikkel KB67184: Anbefalt vedlikeholdsplan for McAfee epo-databasen med SQL Server Management Studio. Gjennomgå og implementer alle Microsoft-oppdateringer for å eliminere sårbarheter og redusere risiko. Andre leverandøroppdateringer kan også frigis og trenge oppdateringer for å redusere sårbarheter i miljøet. Se også Gode fremgangsmåter: Automatisk tømming av hendelser på side 250 Tøm hendelser etter spørring på side 251 Anbefalt fremgangsmåte: Finne systemer med samme GUID på side 249 Revisjonsloggen på side 151 Regelmessige oppgaver: Anbefalt fremgangsmåte Utføring av regelmessige oppgaver er viktig for å sikre at McAfee epo-serveren fungerer som den skal. Det er ikke nødvendig å utføre hver oppgave daglig, ukentlig eller månedlig. Men regelmessige oppgaver er viktige for å sikre at generell områdetilstand, sikkerhet og planer for gjenoppretting etter katastrofe er oppdaterte. Opprett en regelmessig vedlikeholdslogg for å dokumentere datoene vedlikehold utføres på, hvem som utførte oppgaven, samt eventuelle vedlikeholdsrelaterte kommentarer om oppgaven. Gjennomgå ditt miljø, dine policyer og policytildelinger regelmessig for å bekrefte at de fortsatt er aktuelle. Gjennomgå eksisterende klientoppgaver og oppgavetildelinger for å sjekke at det fortsatt er behov for dem. Gjennomgå eksisterende tagger og taggekriterier for å sikre at de fortsatt er relevante for miljøet. Beskrivelse Organisasjonens behov kan endre seg. Gjennomgå både eksisterende policyer og policytildelinger regelmessig for å kontrollere at de fortsatt er aktuelle for miljøet. Færre policyer gjør serveradministrasjonen enklere. Klientoppgaver kjører skanninger, distribuerer produktoppdateringer og hurtigreparasjoner med mer til systemene som administreres av McAfee epo. Fjern ubrukte oppgaver for å redusere kompleksiteten i systemet, som kan påvirke databasens størrelse. Bruk tagger som et alternativ til Systemtre-grupper for å kombinere eller velge en gruppe systemer som en oppgave skal brukes for. Dette kan være å sende oppdateringer, distribuere McAfee-administrerte produkter eller kjøre skanninger. Tagging kan være nyttig, men du må overvåke tagger for å sikre at de er nyttige og har ønsket virkning. 346 McAfee epolicy Orchestrator programvare Produktveiledning

347 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Vedlikehold av McAfee epo-serveren 20 Gjennomgå produktutelukkelser (for eksempel VirusScan Enterprise) og inkluderer/utelukker (for eksempel tilgangsbeskyttelsesregler) regelmessig for å sjekke relevansen. Gjør eventuelle maskinvareendringer eller fjern programdatabaser du vil ta ut av drift. Sjekk at du har påkrevd programvare, slik som den nyeste versjonen av McAfee Agent. Fjern eventuell programvare som ikke støttes, eller programvare for produkter du ikke bruker, fra master-programdatabasen og distribuerte programdatabaser. Valider Systemtreet og fjern eventuelle agenter som ikke har kommunisert med McAfee epo-serveren på 30 dager, eller er tatt ut av drift. Fjern serveroppgaver som ikke lenger brukes. Fjern Automatiske responser som ikke lenger er relevante. Slett ufullstendige systemer ved bruk av en McAfee epo-serveroppgave. Overvåk databasens størrelse Beskrivelse Du må holde utelukkelsene så spesifikke som mulig i miljøet ditt. Produktendringer kan påvirke utelukkelsene du har konfigurert. Gjennomgå utelukkelser regelmessig for å sikre at de fortsatt fungerer som nødvendig. I tillegg kan du bruke konfigurasjoner for høyrisiko- og lavrisiko-tilgangsskanning som et supplement til utelukkelsene. Strukturer Systemtreet eller bruk tagger som en annen metode for å kontrollere utelukkelsene. Etterhvert som nettverket og organisasjonen din endres, finner du kanskje ut at endring av plasseringen til og typen programdatabaser du bruker, er en mer effektiv metode. Bruk alltid de nyeste versjonene av McAfee-administrerte produkter for å sikre at du har teknisk støtte for disse produktene. I tillegg har du de nyeste funksjonene og løsningene tilgjengelig. Begrenser diskplassen til et minimum og fjerner rot fra McAfee epo-serveren og distribuerte programdatabaser. Behold kun produkter du bruker aktivt i miljøet ditt i master-programdatabasen. Hold Systemtreet organisert og slett systemer som ikke er i bruk, eller rapporterer til McAfee epo. Et ryddig Systemtre sikrer at rapportene ikke inneholder unødvendig informasjon. Angi en serveroppgave for å slette inaktive systemer. Behold bare serveroppgavene du planlegger å bruke i oppgaveoppføringen. Du kan alltid deaktivere en ubrukt oppgave som du vil beholde, men som du ikke bruker regelmessig. Opprettholdelse av et minimalt antall oppgaver som du bruker regelmessig, reduserer McAfee epo-kompleksiteten. Automatiske responser konfigureres for å varsle individer, spesielt systemadministratorer, når problemer knyttet til skadelig programvare-trusler, klienttrusler eller overholdelse må løses. Slett systemer med ufullstendig eller manglende system- og produktegenskaper fra Systemtreet. Disse systemene skaper skjevheter i rapporter og spørringer og tar opp unødvendig plass i McAfee epo-databasen. Sjekk størrelsen på McAfee epo-databasen og avgjør hvorvidt og hvor ofte tømmehendelser rapporteres til McAfee epo. Se artikkelen How to identify why the epolicy Orchestrator database is very large, KB Du finner informasjon om hvordan du tømmer hendelser i databasen og hvordan du tømmer Revisjonslogg, serveroppgaveloggen og trusselhendelsesloggen i KnowledgeBase-artikkel KB68961: How to remove old events and shrink the epolicy Orchestrator database. McAfee epolicy Orchestrator programvare Produktveiledning 347

348 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Administrere SQL-databaser Administrere SQL-databaser Sikkerhetskopiere, gjenopprette, vedlikeholde og administrere SQL Server-databasene. Gode fremgangsmåter: Vedlikeholde SQL-databaser McAfee epo-databasene krever regelmessig vedlikehold for å sikre optimal funksjonalitet og beskyttelse av dataene. Bruk Microsoft-administrasjonsverktøyet som er egnet for din versjon av SQL: SQL-versjon SQL 2008 og 2012 SQL Express Administrasjonsverktøy SQL Server Management Studio SQL Server Management Studio Express Avhengig av distribueringen av McAfee epo-programvaren bør du bruke noen timer hver uke på jevnlig sikkerhetskopiering og vedlikehold av databasen. Utfør disse oppgavene regelmessig, enten ukentlig eller daglig. Men dette er ikke de eneste tilgjengelige vedlikeholdsoppgavene. Du finner informasjon i SQL-dokumentasjonen om hva annet du kan gjøre for å vedlikeholde databasen. Bruk en ekstern kommando for å fastsette server- og navn for Microsoft SQL-databasen Følgende eksterne McAfee epo-kommando brukes til å fastsette server- og databasenavnet for Microsoft SQL-databasen. 1 Angi følgende ekstern kommando i adressefeltet i nettleseren: I denne kommandoen: <localhost> Er navnet på McAfee epo-serveren. :8443 Er standard servertportnummer til McAfee epo. Det kan hende at serveren er konfigurert til å bruke et annet portnummer. 2 Lagre følgende informasjon som vises på siden Konfigurer databaseinnstillinger: Vertsnavn eller IP-adresse Databasenavn Konfigurere et øyeblikksbilde og gjenopprette SQL-databasen Konfigurer lagring av et øyeblikksbilde for gjenoppretting etter katastrofe for raskt å kunne installere en McAfee epo-server på nytt. Alternativt må du bekrefte at et øyeblikksbilde lagres i SQL-databasen. Deretter sikkerhetskopierer du SQL-databasen som inneholder øyeblikksbildet, og kopierer databasesikkerhetskopifilen til en SQL Server for gjenoppretting. En rask reinstallering av McAfee epo-serveren krever disse oppgavene. 348 McAfee epolicy Orchestrator programvare Produktveiledning

349 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Administrere SQL-databaser 20 r Konfigurere serveroppgave for gjenoppretting etter katastrofe på side 349 Bruk serveroppgaven for øyeblikksbilde for gjenoppretting etter katastrofe for å endre de planlagte automatiske øyeblikksbildene av McAfee epo-serverkonfigurasjonen som er lagret i SQL-databasen. Bruke Microsoft SQL til å sikkerhetskopiere og gjenopprette databasen på side 349 Du kan lagre Øyeblikksbilde for gjenoppretting etter katastrofe med McAfee epo-serverens konfigurasjonsinformasjon ved å bruke Microsoft SQL Server-prosedyrene. Konfigurere serveroppgave for gjenoppretting etter katastrofe Bruk serveroppgaven for øyeblikksbilde for gjenoppretting etter katastrofe for å endre de planlagte automatiske øyeblikksbildene av McAfee epo-serverkonfigurasjonen som er lagret i SQL-databasen. Den forhåndskonfigurerte statusen for serveroppgaven for øyeblikksbilde for gjenoppretting etter katastrofe avhenger av SQL-databasen som McAfee epo-serveren bruker. Øyeblikksbilde for gjenoppretting etter katastrofe er som standard aktivert på alle Microsoft SQL Server. Du kan bare kjøre ett Øyeblikksbilde for gjenoppretting etter katastrofe om gangen. Hvis du kjører flere øyeblikksbilder, opprettes det bare utdata fra det siste Øyeblikksbildet og tidligere øyeblikksbilder overskrives. Du kan endre den standard serveroppgaven Gjenoppretting etter katastrofe ved behov. 1 Velg Meny Automatisering Serveroppgaver, og velg Øyeblikksbildeserver for gjenoppretting etter katastrofe fra listen Serveroppgaver, og klikk på Rediger. 2 Fra Beskrivelser i serveroppgavebyggeren for Gjenoppretting etter katastrofe i kategorien Tidsplanstatus, klikker du på Aktivert eller Deaktivert etter behov. 3 På kategorien Tidsplan endrer du følgende innstillinger etter behov: Tidsplantype Angi hyppigheten for lagring av øyeblikksbilde. Startdato og Sluttdato Angi start- og sluttdatoer for lagring av øyeblikksbilder, eller klikk på Ingen sluttdato for å la oppgaven kjøre kontinuerlig. Tidsplan: Angi tidspunktet for lagring av øyeblikksbilde. n for øyeblikksbilde kjøres som standard klokken daglig. Anbefalt fremgangsmåte: Kjør serveroppgaven for gjenoppretting etter katastrofe utenfor arbeidstid for å minimere endringer i databasen under prosessen for oppretting av øyeblikksbilde. 4 Bekreft at serveroppgaven er konfigurert på riktig måte i kategorien Sammendrag, og klikk deretter på Lagre. Bruke Microsoft SQL til å sikkerhetskopiere og gjenopprette databasen Du kan lagre Øyeblikksbilde for gjenoppretting etter katastrofe med McAfee epo-serverens konfigurasjonsinformasjon ved å bruke Microsoft SQL Server-prosedyrene. Før du begynner For å fullføre denne oppgaven må du ha tilkobling og autorisasjon til å kopiere filer mellom din primære McAfee epo SQL Server og gjenopprettingsserveren. McAfee epolicy Orchestrator programvare Produktveiledning 349

350 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Administrere SQL-databaser Når du har opprettet et øyeblikksbilde av McAfee epo-serverkonfigurasjonen, må du gjøre følgende: 1 Opprett en Microsoft SQL Server-sikkerhetskopi av databasen ved å bruke: Microsoft SQL Server Management Studio Microsoft Transact-SQL Du finner detaljer for hvordan du fullfører disse prosessene i dokumentasjonen for Microsoft SQL Server. 2 Kopier sikkerhetskopifilen til SQL-gjenopprettingsserveren. 3 Gjenopprett sikkerhetskopien for den primære SQL-databasen som inkluderer registreringene av øyeblikksbilde for gjenoppretting etter katastrofe ved å bruke: Microsoft SQL Server Management Studio Microsoft Transact-SQL Du finner detaljer for hvordan du fullfører disse prosessene i dokumentasjonen for Microsoft SQL Server. Dette oppretter en duplikat SQL Server klar for gjenoppretting, hvis nødvendig, ved å koble den til en ny McAfee epo-installasjon ved å bruke alternativet Gjenopprett. Bruk Microsoft SQL Server Management Studio til å finne informasjon om McAfee epo-serveren Bruk Microsoft SQL Server Management Studio til å finne eksisterende informasjon om McAfee epo-serveren. 1 Bruk ekstern skrivebordtilkobling til å logge deg på Microsoft SQL databaseserveren med vertsnavn eller IP-adresse. 2 Åpne Microsoft SQL Server Management Studio, og koble til SQL Server. 3 I listen Objektutforsker klikker du på <Database Server Name> Databaser <Database name> Tabeller. 4 Bla ned for å finne tabellen EPOServerInfo, høyreklikk på tabellnavnet, og velg Edit top 200 Rows i listen. 5 Finn og lagre informasjonen i disse oppføringene i databasen. epoversion For eksempel <three-digit epolicy Orchestrator version>. DNSName For eksempel epo-2k8.servercom. ComputerName For eksempel EPO-2K8. LastKnownTCPIP For eksempel RmdSecureHttpPort For eksempel Kontroller at du har denne informasjonen i tilfelle du må gjenopprette McAfee epo-programvaren. 350 McAfee epolicy Orchestrator programvare Produktveiledning

351 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Administrere SQL-databaser 20 Trusselhendelsesloggen Bruk trusselhendelsesloggen for raskt å vise og sortere hendelser i databasen. Loggen kan bare tømmes etter alder. Du kan velge hvilke kolonner som vises i tabellen som kan sorteres. Du kan velge mellom flere hendelsesdata som kan brukes som kolonner. Du kan også utføre bestemte handlinger på hendelsen, avhengig av hvilke produkter du administrerer. Handlingene er tilgjengelige i menyen Handlinger nederst på siden. Felles hendelsesformat De fleste administrerte produkter bruker nå et felles hendelsesformat. Feltene til dette formatet kan brukes som kolonner i trusselhendelsesloggen. Dette feltene omfatter: Handling utført Handlingen som ble utført av produktet som svar på trusselen. Agent-GUID Unik identifikator for agenten som videresendte hendelsen. DAT-versjon DAT-versjonen på systemet som sendte hendelsen. Påvisningsproduktets vertsnavn Navnet på systemet som er vert for påvisningsproduktet. Påvisningsproduktets ID ID-en til påvisningsproduktet. Påvisningsproduktets IPv4-adresse IPv4-adressen til systemet som er vert for påvisningsproduktet (hvis aktuelt). Påvisningsproduktets IPv6-adresse IPv6-adressen til systemet som er vert for påvisningsproduktet (hvis aktuelt). Påvisningsproduktets MAC-adresse MAC-adressen til systemet som er vert for påvisningsproduktet. Påvisningsproduktets navn Navnet til det administrerte påvisningsproduktet. Påvisningsproduktets versjon Versjonsnummeret til påvisningsproduktet. Motorversjon Versjonsnummeret til påvisningsproduktets motor (hvis aktuelt). Hendelseskategori Kategorien til hendelsen. Mulige kategorier avhenger av produktet. Tidspunkt for generering av hendelse (UTC) Tidspunktet i Coordinated Universal Time da hendelsen ble påvist. Hendelses-ID Unik identifikator for hendelsen Tidspunkt for mottak av hendelse (UTC) Tidspunkt i Coordinated Universal Time for når McAfee epo mottok hendelsen. Filbane Filbanen til systemet som sendte hendelsen. Vertsnavn Navnet på systemet som sendte hendelsen. IPv4-adresse IPv4-adressen til systemet som sendte hendelsen. IPv6-adresse IPv6-adressen til systemet som sendte hendelsen. MAC-adresse MAC-adressen til systemet som sendte hendelsen. Nettverksprotokoll Trusselmålprotokollen for trusselklasser som tilhører nettverket. Portnummer Trusselmålporten for trusselklasser som tilhører nettverket. Prosessnavn Målets prosessnavn (hvis aktuelt). McAfee epolicy Orchestrator programvare Produktveiledning 351

352 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Administrere SQL-databaser Server-ID Server-ID-en som sendte hendelsen. Trusselnavn Navnet på trusselen. Trusselkildens vertsnavn Systemnavnet som trusselen stammer fra. Trusselkildens IPv4-adresse IPv4-adressen til systemet som trusselen stammer fra. Trusselkildens IPv6-adresse IPv6-adressen til systemet som trusselen stammer fra. Trusselkildens MAC-adresse MAC-adressen til systemet som trusselen stammer fra. Trusselkildens URL URL-en som trusselen stammer fra. Trusselkildens brukernavn Brukernavnet som trusselen stammer fra. Trusseltype Trusselens klasse. Brukernavn Trusselkildens brukernavn eller e-postadresse. Vise og tømme trusselhendelsesloggen Du bør vise og tømme trusselhendelsesloggen fra tid til annen. 1 Velg Meny Rapportering Trusselhendelseslogg. 2 Velg en av disse handlingene. Handling Trinn Vis trusselhendelseslogg. 1 Klikk på kolonnetitlene for å sortere hendelsene. Du kan også velge Handlinger Velg kolonner og siden Velg kolonner som skal vises, vises. 2 I listen over Tilgjengelige kolonner velger du ulike tabellkolonner som oppfyller behovene dine, og klikk på Lagre. 3 Velg hendelser i tabellen, og klikk på Handlinger og velg Vis relaterte systemer for å se detaljene for systemene som sendte de valgte hendelsene. Tøm trusselhendelser. 1 Velg Handlinger Tøm. 2 Skriv et tall og velg en tidsenhet ved siden av Tøm oppføringer eldre enn i dialogboksen Tøm. 3 Klikk på OK. Oppføringer eldre enn den angitte alderen, slettes for godt. Gode fremgangsmåter: Planlegge tømming av trusselhendelsesloggen Du kan opprette en serveroppgave for å tømme trusselhendelsesloggen automatisk. 352 McAfee epolicy Orchestrator programvare Produktveiledning

353 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Båndbreddebruk 20 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 Gi navn til og beskriv oppgaven. Ved siden av Tidsplanstatus velger du Aktivert, og deretter klikker du på Neste. 3 Velg Tøm trusselhendelsesloggen fra rullegardinlisten. 4 Velg om du vil tømme etter alder eller fra spørringsresultater. Hvis du tømmer etter spørring, velger du en spørring som resulterer i en hendelsestabell. 5 Klikk på Neste. 6 Planlegg oppgaven etter behov og klikk på Neste. 7 Gjennomgå detaljene for oppgaven, og klikk deretter på Lagre. Båndbreddebruk McAfee epo-serveren bruker LAN- og WAN-båndbredde til å motta hendelser fra dine administrerte klienter, og til å laste ned programvare til de administrerte klientene. Det er viktig at du forstår disse kravene for å kunne konfigurere McAfee epo-serveren slik at den bruker båndbredden effektivt. Anbefalt fremgangsmåte: Agentdistribusjon og båndbredde Når du installerer en McAfee epo-server i miljøet ditt, må du distribuere agenter, komponenter og sikkerhetsprodukter for å administrere og beskytte systemene i nettverket. Under den første konfigureringen av det administrerte miljøet vil distribuering av McAfee Agent generere nok nettverkstrafikk til at vi anbefaler å planlegge distribueringen. Selv om installasjonspakken for McAfee Agent er mindre enn for andre produkter (som VirusScan Enterprise), må agenten distribueres i hvert klientsystem som du vil administrere. McAfee Agent-distribusjonstrafikk oppstår direkte mellom McAfee epo-serveren og klientsystemene der agenten distribueres. Denne tabellen viser den totale båndbredden som brukes på en McAfee Agent-server, et klientsystem og en McAfee Agent SQL-databaseserver for McAfee Agent 4.8-distribusjon. Tabell 20-4 McAfee Agent-båndbreddebruk Agentdistribusjon Totalt (MB) Overføring (MB) Mottak (MB) McAfee epo-server SQL-databaseserver Klientsystem McAfee epolicy Orchestrator programvare Produktveiledning 353

354 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Båndbreddebruk Den faktiske distribusjonen Den første og mest krevende bruken av båndbredde skjer når McAfee Agent-installasjonspakken distribueres til klientsystemene. Du kan distribuere McAfee Agent-installasjonspakken fra McAfee epo-serverkonsollen til områder, grupper eller utvalgte systemer i systemtreet. Uavhengig av hvilken metode du bruker, vil distribusjon av agentinstallasjonspakken i nettverket generere trafikk til hvert av systemene. Måten du distribuerer McAfee Agent på, avhenger av tre faktorer. Antallet klientsystemer som skal administreres Systemenes plassering i nettverkstopologien Båndbredden som er tilgjengelig mellom McAfee epo-serveren og systemene McAfee anbefaler at du distribuerer agenter på følgende måter: Trinnvis ikke bruk mer enn 80 % av nettverket til én gruppe ressurser. Til individuelle områder eller grupper dette er viktig hvis du har flere båndbreddebegrensende faktorer slik som trege tilkoblinger mellom geografiske områder. Gode fremgangsmåter for beregning av båndbredde for klientoppdateringer Nye produktoppdateringer bruker ytterligere båndbredde. Beregn kravene før du oppdaterer produktene dine. Du kan beregne båndbredden hvis du kjenner til størrelsen på oppdateringen eller produktet som lastes ned. For å finne den eksakte størrelsen på produktinstallasjonsfilene i Windows Utforsker høyreklikker du på installasjonsmappen og klikker på Egenskaper. Produktfilene finner du med denne standardbanen: C:\Program Files(X86)\McAfee\ePolicy Orchestrator\DB\Software\Current\<ProductName> \Install\ Som et minimum må hver av klientene dine i snitt laste ned DAT-filer tilsvarende 400 KB daglig. De følgende eksemplene viser hvordan du beregner båndbredden som brukes til klientoppdateringer ved bruk av denne formelen: (Størrelse på oppdateringsfilen) x (antall noder) = Datamengden som hentes daglig Det følgende eksempelet bruker denne formelen til å beregne mengden data som hentes daglig og gir informasjon hvis oppretting av en lokal programdatabase reduserer båndbredden. Eksempel 1 et lite kontor i India Det lille kontoret i India må laste ned 400 KB daglig for DAT-filene til de 200 nodene. Ved bruk av formelen: (400 kb) x (200 noder) = ca. 80 MB data pulles vilkårlig til India daglig På det lille kontoret i India kan du legge til en programdatabase, men du må reprodusere DAT-filen fra McAfee epo-serveren til programdatabasen. Denne filreproduksjonen bruker ca. 70 MB båndbredde om dagen over en treg WAN-kobling. Dette kan påvirke WAN-koblingen til India negativt, fordi alt skjer på én gang. Derfor kan du i stedet få agentene til å kobles over WAN-koblingen til den nest nærmeste programdatabasen for å laste ned DAT-fil-oppdateringer. Den neste programdatabasen kan være på et større kontor, for eksempel i Tokyo. Agentene kan vilkårlig hente DAT-filene i løpet av dagen og total båndbreddebruk er bare 80 MB. I dette tilfellet bør du ikke bruke en programdatabase i India. 354 McAfee epolicy Orchestrator programvare Produktveiledning

355 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Båndbreddebruk 20 Eksempel 2 et stort kontor i Tokyo Det store kontoret i Tokyo må laste ned 400 KB daglig for DAT-filer til 4000 noder. Bruk formelen: (400 kb) x (4000 noder) = ca. 1,6 GB data pulles vilkårlig til Tokyo daglig Det store kontoret i Tokyo med 4000 noder bruker 1,6 GB data daglig for å oppdatere DAT-filene alene. Fordi reproduksjonen av DAT-filen til Tokyo bare bruker 70 MB båndbredde daglig, er det mye mer effektivt å ha en programdatabase på Tokyo-kontoret. Nå pulles alle DAT-filer over LAN-nettverket i stedet for den tregere WAN-koblingen. Eksempel 3 et stort kontor i New York Det store kontoret i New York må laste ned en oppdatering på 23 MB for VirusScan Enterprise til 1000 noder. Bruk formelen: (23 MB) x (1000 noder) = ca. 23 GB data pulles til New York-kontoret Denne oppdateringen på 23 MB er større enn de daglige DAT-filene som tilsvarer 400 kb. Du har antakeligvis en programdatabase i New York avhengig av hastigheten til WAN-koblingen til New York og hvor mye oppdateringen haster. Du kan finne en balanse hvis du lager klientoppgavene med omhu slik at de puller oppdateringer gradvis i stedet for å distribuere oppdateringen til alle nodene på én dag. Konklusjoner Noen McAfee epo-brukere legger til en programdatabase på geografiske steder som bare har noen titalls noder. Hvis området ditt ikke har minst noder, får det ikke utbytte av båndbredden som spares ved bruk av en programdatabase. Uten en lokal programdatabase går agentene til den nest nærmeste programdatabasen for oppdateringene. Denne programdatabasen kan koble til serveren via en WAN-kobling, men den bruker fortsatt mindre båndbredde fordi du ikke trenger å reprodusere hele programdatabasen over WAN-nettverket. Unntaket er hvis du distribuerer en større programvarepakke. VirusScan Enterprise-klientprogramvaren er for eksempel 56 MB. I dette tilfellet er det mer effektivt å plassere en midlertidig programdatabase på et mindre sted slik at klientens programvare kan laste ned filen på 56 MB lokalt. Deretter kan denne programdatabasen deaktiveres. Anbefalt fremgangsmåte: Båndbreddeanbefalinger for programdatabasedistribusjon Hvis McAfee epo-serveren administrerer systemene i et fjernnett (WAN), anbefaler vi at du oppretter minst én distribuert programdatabase per lokalnettverk (LAN) for klientoppdateringer. Du må konfigurere når disse handlingene skal inntreffe, etter at du har installert den distribuerte programdatabasen. Når programdatabasene oppdateres fra McAfee epo-serverens Master-programdatabase Når de administrerte systemene henter oppdateringer fra den distribuerte programdatabasen Disse oppgavene må ha konfigurerte randomiseringsintervaller slik at det ikke oppstår båndbreddemetning i nettverket. Antallet programdatabaser som trengs per LAN Denne tabellen viser et foreslått antall programdatabaser som kan være nødvendig avhengig av systemene i LAN-nettverket og nettverksbåndbredden. McAfee epolicy Orchestrator programvare Produktveiledning 355

356 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Båndbreddebruk Tabell 20-5 Antall distribuerte programdatabaser Systemer i LAN-nettverket Nettverksbåndbredde (LAN) 100 Mbit/s 1 Gbit/s programdatabase 1 programdatabase programdatabaser 1 programdatabase programdatabaser 1 programdatabase programdatabaser 1 programdatabase programdatabaser 1 programdatabase programdatabaser 2 programdatabaser programdatabaser 2 programdatabaser programdatabaser 3 programdatabaser Innstilling for randomiseringsintervall for reproduksjon av programdatabase i henhold til WAN-båndbredde Du må ta WAN-båndbredde i betraktning før du angir et randomiseringsintervall for automatisk reproduksjon av programdatabasen. Bruk trinnene i denne informasjonen for å automatisere reproduksjon av programdatabasen i nettverket ditt. 1 Opprett en trinnvis reproduksjonsoppgave for hver distribuerte programdatabase i hvert LAN-nettverk. 2 I henhold til WAN-båndbredden i Mbit/s angir du at hver oppgave skal kjøres sekvensielt i minimum antall minutter i det aktuelle randomiseringsintervallet, slik at du unngår overlapping. Tabell 20-6 Innstilling for randomiseringsintervall for McAfee epo-serveren (minutter) WAN-båndbredde i Mbit/s 6 Mbit/s 1 5 Mbit/s 2 4 Mbit/s 3 3 Mbit/s 4 2 Mbit/s 5 1 Mbit/s 6 Randomiseringsintervall (minutter) Randomiseringsintervall for klientoppdateringsoppgave Klientoppdateringsoppgaven du oppretter, sikrer at systemene har de nyeste DAT- og motorfilene. Denne oppgaven krever et randomiseringsintervall med disse variablene: Nettverksbåndbredde Systemer i LAN-nettverket Distribuerte programdatabaser i LAN-nettverket Følg denne fremgangsmåten for å opprette klientoppdateringsoppgaven. 356 McAfee epolicy Orchestrator programvare Produktveiledning

357 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Båndbreddebruk 20 1 Legg den distribuerte programdatabasen til programdatabaselisten i agentpolicyen. 2 Velg den nærmeste programdatabasen ved bruk av ping-tidspunkt. 3 Opprett en agentoppdateringsoppgave med et randomiseringsintervall angitt i henhold til disse tabellene. Tabell 20-7 Anbefalt intervall (minutter) for nettverksbåndbredde på 1 Gbit/s Systemer i LAN-nettverket Distribuerte programdatabaser i LAN-nettverket Anbefalt randomiseringsintervall (minutter) Tabell 20-8 Anbefalt intervall (minutter) for nettverksbåndbredde på 100 Mbit/s Systemer i LAN-nettverket Distribuerte programdatabaser i LAN-nettverket Anbefalt randomiseringsintervall (minutter) Se også Gode fremgangsmåter for å konfigurere innstillinger for globale oppdateringer på side 287 Oppdateringsoppgaver på side 226 Gode fremgangsmåter for beregning av båndbredde for reproduksjon av programdatabase og produktoppdateringer Reproduksjon av programdatabasen tar opp verdifull båndbredde i alle typer miljøer. Før du installerer programdatabaser bør du beregne båndbredden som er nødvendig for å reprodusere dem. Hvis bedriftsnettverket ditt har et geografisk mangfold av nettverk og WAN-nettverkshastigheter som varierer, må du beregne oppdateringsbåndbredden som trengs fra McAfee epo-serveren til de administrerte systemene dine. Dette er to systemoppdateringskrav. Forholdsvis små, daglige DAT-filoppdateringer Store, sjeldne programvareoppdateringer McAfee epolicy Orchestrator programvare Produktveiledning 357

358 20 Vedlikehold av McAfee epo-serveren, SQL-databaser og båndbredde Båndbreddebruk Beregning av båndbreddebruk for DAT-filer Hvis du bare reproduserer DAT-filer, brukes ca. 70 MB av båndbredden daglig til reproduksjon. Agenter bruker ikke alle DAT-filene som kopieres til programdatabasen, men det er 35 inkrementelle DAT-filer som må være tilgjengelige for alle agentene i tilfelle de er på etterskudd med DAT-filene. Når du skal avgjøre hvorvidt du trenger en programdatabase på et bestemt sted, må du vurdere hva som bruker mest båndbredde. Du kan reprodusere 70 MB data til en programdatabase, eller gi agentene beskjed om å gå til den nest nærmeste programdatabasen, som kanskje ikke er i nærheten av agentene. Følgende eksempel bruker oppdatering av DAT-filene for VirusScan Enterprise, som frigis daglig. Dette er tallene som brukes til å avgjøre hvorvidt en programdatabase trengs på stedet: 400 KB gjennomsnittlig størrelse på daglig DAT-fil-nedlasting 100 antallet systemagenter som må laste ned de daglige DAT-filene Eksempel 1: Direkte nedlasting fra McAfee epo-hovedserveren For å vilkårlig laste ned daglige DAT-filer fra McAfee epo-hovedserveren til systemagentene trengs følgende båndbredde: 100 agenter * 400 kb filer = ca. 40 MB båndbredde Eksempel 2: Nedlasting av DAT-filene til en lokal programdatabase For at McAfee epo-serveren skal kunne reprodusere DAT-filen til hver programdatabase hver dag, trengs minst 70 MB båndbredde. I de tidligere eksemplene er det bortkastet å bruke 70 MB båndbredde for å laste ned en DAT-fil til en programdatabase for kun 100 systemagenter. Disse 100 systemagentene kan laste ned den samme filen med båndbredde tilsvarende 40 MB. Beregning av båndbreddebruk for produktoppdatering Beregn alltid hvor mye båndbredde distribusjonen krever ved å gange størrelsen på distribusjonspakken med antallet noder det målrettes mot, delt på antallet programdatabaser som brukes. For eksempel utgjør VirusScan Enterprise 8.8, som er 56 MB, distribuert til 1000 noder, hentet fra tre programdatabaser, rundt 56 GB data. Disse dataene tilsvarende 56 GB hentes fra tre programdatabaser, noe som tilsvarer 19 GB per programdatabase. Randomisering er viktig for alle klientoppgaver som bruker båndbredde. 56 MB (VSE) * 1000 (noder) = 56 GB (totalt) / 3 (programdatabaser) = ca. 19 GB per programdatabase Følgende formel beregner båndbredden som trengs for å flytte dataene på 19 GB per programdatabase vilkårlig i løpet av en 9-timers arbeidsdag. Totalen tilsvarer rundt 2,1 GB data per time med henting fra hver programdatabase. 19 GB (per programdatabase) / 9 (timer) = ca. 2,1 GB per time 358 McAfee epolicy Orchestrator programvare Produktveiledning

359 21 Rapportering med spørringer McAfee epo har innebygde funksjoner for spørring og rapportering. Disse er svært tilpasningsbare, fleksible og enkle å bruke. Både Spørringsbyggeren og Rapportbyggeren oppretter og kjører spørringer og rapporter som organiserer bruker-konfigurerte data i bruker-spesifiserte diagrammer og tabeller. Dataene for disse spørringene og rapportene kan hentes ut fra alle registrerte interne eller eksterne databaser som brukes med McAfee epo-systemet. Innhold Rapporteringsfunksjoner Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer Samlingsspørring for flere servere Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Rapporteringsfunksjoner Du kan bruke forhåndskonfigurerte spørringer, opprette tilpassede spørringer, bruke utdataene fra spørringene til å utføre oppgaver og opprette rapporter som utdata. Når du endrer en policy, konfigurasjon, klient- eller serveroppgave, automatisk respons eller rapport, bør du eksportere innstillingene før og etter endringen. Klikk på Kjør for å se én av de forhåndskonfigurerte spørringene. Deretter kan du utføre følgende oppgaver: Lagre utdataene som en rapport. Duplisere spørringen og endre utdataene. Se resultatene i spørringssystemet. Iverksette tiltak for resultatene, slik du ville ha gjort i Systemtreet. Etter hvert som du legger til nye produkter med utvidelser til McAfee epo, blir nye forhåndskonfigurerte spørringer og rapporter tilgjengelige. Rapportforsinkelser Når du kjører McAfee epo-spørringsrapporter, bør du være klar over at rapportene innebærer en viss forsinkelse. Denne forsinkelsen betyr at informasjon ikke legges til i rapporten i den perioden rapporten faktisk kjøres. Denne informasjonsforsinkelsen starter når du kjører spørringen og varer til spørringen er fullført. Den varierer dermed i henhold til hvor lang til det tar å kjøre spørringen. Eksempel på rapportforsinkelse: McAfee epolicy Orchestrator programvare Produktveiledning 359

360 21 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer Du kjører en spørring hver time, og det tar ti minutter å kjøre spørringen. Hendelser som inntreffer i løpet av disse ti minuttene når spørringen kjøres, inkluderes ikke i rapporten, men skrives til databasen. Disse hendelsene vises i den neste spørringsrapporten en time senere. Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer Det er enkelt å opprette tilpassede spørringer på McAfee epo-serveren. I tillegg kan du duplisere og endre eksisterende spørringer til å passe dine behov. Du kan opprette tilpassede spørringer ved bruk av Spørringsbygger-veiviseren. For å få tilgang til Spørringsbygger-veiviseren klikker du på Meny Rapportering Spørringer og rapportering og klikker på Ny spørring. Du kan bruke to tilnærminger til tilpassede spørringer: 1 Du kan bestemme nøyaktig hva slags type spørring du vil opprette, før du oppretter den. 2 Du kan utforske Spørringsbygger-veiviseren og teste ulike variabler for å se de ulike typene av tilgjengelige spørringer. Begge tilnærmingene er gyldige og kan gi interessante data om miljøet ditt. Hvis dette er første gang du bruker spørringssystemet, kan du forsøke å utforske ulike variabler for å se hva slags typer data McAfee epo henter. Når du har opprettet rapporten, kan du iverksette tiltak i henhold til resultatene. Typen handling du bruker, avhenger av typen utdata rapporten lager. Du kan bruke alle handlingene du også kan bruke i Systemtre, slik som å vekke systemer, oppdatere dem, slette dem eller flytte dem til en annen gruppe. Vekkehandlingen er nyttig når du kjører rapporter på systemer som: Ikke har kommunisert med McAfee epo-serveren i det siste Du mistenker ikke fungerer som de skal når du forsøker å vekke dem Trenger en ny agent distribuert direkte fra McAfee epo Opprett tilpassede hendelsesspørringer Du kan opprette en tilpasset spørring fra bunnen av eller duplisere og endre en eksisterende spørring. 1 Velg Meny Rapportering Spørringer og rapporter og deretter Ny spørring. Spørringsveiviseren åpnes og viser fanen Resultattyper. 360 McAfee epolicy Orchestrator programvare Produktveiledning

361 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer 21 Resultattypene er organisert i grupper på venstre side av siden. Avhengig av hvilke utvidelser som er sjekket inn i McAfee epo, kan disse gruppene variere. De fleste resultattypene er selvforklarende, men to av de viktigste resultattypene er Trusselhendelser og Administrerte systemer. Du kan få tilgang til disse to hendelsestypene som beskrevet i de følgende eksemplene. Trusselhendelser i Funksjonsgruppen velger du Hendelser. Under Resultattyper velger du Trusselhendelser. Figur 21-1 Spørringsbygger med Trusselhendelser valgt McAfee epolicy Orchestrator programvare Produktveiledning 361

362 21 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer Administrerte systemer i Funksjonsgruppe velger dusystemadministrasjon. Under Resultattyper velger du Administrerte systemer. Figur 21-2 Spørringsbygger med Administrerte systemer valgt 2 Velg diagramtype. Det er flere diagramtyper å velge mellom noen er mer komplekse enn andre. De to enkleste diagrammene er sektordiagrammet og oppsummeringstabellen for enkeltgrupper. Sektordiagrammet sammenligner flere verdier i et grafisk format, mens oppsummeringstabellen viser et datasett med over 20 resultater. Du oppretter et sektordiagram ved å klikke Sektordiagram under Diagramtype. 3 Velg etiketten eller variabelen du vil at rapporten skal vise. Ofte trenger ikke rapporten å returnere data om McAfee-produkter. Du kan for eksempel rapportere om operativsystemversjonene som brukes i miljøet. I listen Etikettene er klikker du på OS-type. 4 Velg kolonnene du vil se når du ser på en variabel i rapporten i detalj. Valg av kolonner er ikke en kritisk del av å lage en spørring, og kan justeres senere. Du kan også dra og slippe kolonner fra venstre til høyre, og legge til og fjerne kolonner som skal vises. Hvis du vil bruke standardkolonnene, klikker du på Neste. Du kan filtrere dataene du vil at spørringen skal hente. Du kan la filterfeltet være tomt for å hente alle enhetene i treet. Eventuelt kan du angi resultatene du er interessert i. Eksempler på filteralternativer er: En gruppe i Systemtreet der rapporten brukes. For eksempel et geografisk området eller et kontor. Inkluder bare bærbar datamaskiner eller skrivebordsystemer. 362 McAfee epolicy Orchestrator programvare Produktveiledning

363 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer 21 Kun spesifikke operativsystemplattformer. For eksempel servere eller arbeidsstasjoner. Inkluder bare systemer med en eldre DAT-versjon. Inkluder bare systemer med en eldre versjon av VirusScan Enterprise. Vis bare systemer som har kommuniser med McAfee epo-serveren i løpet av de siste 14 dagene. 5 Klikk på Neste for å ikke opprette noen filtre, men vise alle operativsystemene. 6 Klikk på Kjør for å generere rapporten og se resultatene. Når du har opprettet rapportene og vist utdataene, kan du finjustere rapporten uten å starte fra begynnelsen av. For å gjøre dette klikker du på Rediger spørring. Når du klikker på Rediger, kan du gå tilbake og justere rapporten og kjøre den på nytt i løpet av sekunder. Når du har gjort alle endringene i rapporten, klikker du på Lagre for å lagre den permanent. Nå er denne spørringen inkludert i dashbordet og kan kjøres når som helst. Gode fremgangsmåter for slik fungerer spørringer for hendelsessammendrag Klienthendelser og trusselhendelser utgjør mesteparten av hendelsesdataene i databasen din. Med spørringer kan du spore hvor mange hendelser som er lagret i databasen din. Spørringer for hendelsessammendrag hjelper deg med å håndtere ytelsesproblemer som disse hendelsene kanskje skaper for McAfee epo-serveren og databasen din. Klienthendelser fra agentene dine sendes oppgavestatusen til McAfee epo. Elementer som oppdatering fullført, oppdatering mislyktes, distribusjon fullført eller kryptering startet, anses som klienthendelser. Trusselhendelser omfatter virus funnet, DLP-hendelse utløst eller angrep oppdaget. Avhengig av hvilke produkter du har installert og hvilke hendelser du samler inn, kan det være tusenvis eller til og med millioner av hendelser i databasen din. Gode fremgangsmåter: Opprette spørringer for hendelsessammendrag for klienter For å vise hendelser som sendes fra agentene dine til McAfee epo må du opprette spørringer for sammendrag av klienthendelser som sender trusselvarsler til administratoren din. Dette eksempelet oppretter en spørring for sammendrag av klienthendelser. Det viser hendelser sent fra hver McAfee Agent til McAfee epo. Elementer som oppdatering fullført, oppdatering mislyktes, distribusjon fullført eller kryptering startet, anses som klienthendelser. 1 For å opprette en spørring for sammendrag av klienthendelser velger du Meny Rapportering Spørringer og rapporter. 2 På siden Spørringer klikker du på Ny spørring. McAfee epolicy Orchestrator programvare Produktveiledning 363

364 21 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer 3 I Spørringsbygger begynner du med kategorien Resultattyper. Klikk på Hendelser i Funksjoner-gruppen, Klienthendelser i Resultattyper og klikk på Neste. Figur 21-3 Spørringsbygger med Klienthendelser valgt 4 På Diagram-siden under Sammendrag klikker du på Oppsummeringstabell for enkeltgruppe for å vise det totale antallet av alle klienthendelsene i hendelsestabellen. 5 Du kan opprette et filter med en god, leselig beskrivelse av hendelsene ved å klikke på Hendelsesbeskrivelse i Etikettene er-listen under Trusselhendelsesbeskrivelser. Alternativt kan du filtrere etter Hendelses-ID som er nummeret som representerer klienthendelsesdata i McAfee epo. For detaljer om administrerte produktgenererte hendelses-id-er oppført i McAfee epo, kan du se KnowledgeBase-artikkelen McAfee-punktproduktgenererte hendelses-id-er i epo, KB Hvis det er nødvendig, kan du justere kolonneinformasjonen basert på typen du vil vise. Dette steget er ikke strengt nødvendig for opprettelsen av spørringen. 7 Klikk på Neste. Siden Filter åpnes. Du trenger ingen filtrering ettersom du vil at alle klienthendelsene skal vises i databasen. Eventuelt kan du opprette en spørring basert på hendelser generert i løpet av en gitt tidsperiode, for eksempel de siste 24 timene eller de siste 7 dagene. 364 McAfee epolicy Orchestrator programvare Produktveiledning

365 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer 21 8 Klikk på Kjør for å vise spørringsrapporten. Figur 21-4 Spørringsbygger-utdata I dette eksempelet er det totalt 308 klienthendelser. Du kan klikke på en hendelse og gå i dybden for å se mer informasjon om den. 9 Klikk på Lagre og skriv inn et passende navn på rapporten. For eksempel Alle klienthendelser etter hendelsesbeskrivelse. Opprette en spørring for trusselhendelsesoppsummering: Anbefalt fremgangsmåte For å kunne sende trusselvarsler til administratorene dine må du opprette en spørring for sammendrag av trusselhendelser som viser trusselhendelser sent fra agentene dine til McAfee epo-serveren. I dette eksempelet inneholder trusselhendelsene et oppdaget virus, en utløst beskyttelseshendelse for datatap eller et oppdaget angrep. 1 For å starte spørringskonfigurasjonen velger du Meny Rapportering Spørringer og rapporter. 2 Fra Spørringer-siden klikker du på Ny spørring. 3 Fra Spørringsveiviser-siden starter du med fanen Resultattyper. Klikk på Hendelser i Funksjoner-gruppen og på Trusselhendelser i Resultattype og til slutt på Neste. 4 Klikk på Oppsummeringstabell for enkeltgruppe under Sammendrag på diagramsiden for å vise totalt antall trusselhendelser i hendelsestabellen. McAfee epolicy Orchestrator programvare Produktveiledning 365

366 21 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer 5 Hvis du vil opprette et filter med en god, leselig beskrivelse av hendelsene, klikker du på Hendelsesbeskrivelse i Etikettene er-listen under Trusselhendelsesbeskrivelser. Alternativt kan du filtrere etter Hendelses-ID som er nummeret som representerer klienthendelsesdata i McAfee epo. For detaljer om administrerte produktgenererte hendelses-id-er oppført i McAfee epo, kan du se KnowledgeBase-artikkelen McAfee-punktproduktgenererte hendelses-id-er i epo, KB Hvis det er nødvendig, kan du justere kolonneinformasjonen basert på typen du vil vise og klikke på Neste. 7 På Filtrer-siden trenger du ingen filtrering ettersom du vil at alle klienthendelsene skal vises i databasen. Eventuelt kan du opprette en spørring basert på hendelser generert i løpet av en gitt tidsperiode, for eksempel de siste 24 timene eller de siste 7 dagene. Klikk på Kjør for å vise spørringsrapporten. 8 For å avgjøre hvor mange hendelser du bør ha i nettverket kan du bruke følgende formel: ( noder) x (5 millioner hendelser) = beregnet antall hendelser Hvis du for eksempel har noder, er området ditt 25 millioner klient- og trusselhendelser totalt. Dette tallet varierer mye avhengig av antallet produkter og policyer du har, samt dine datalagringsinnstillinger. Ikke få panikk om du overskrider dette tallet. Hvis du overskrider dette tallet kraftig, må du finne ut hvorfor du har så mange hendelser. Noen ganger er det normalt med så mange hendelser hvis du mottar et betydelig antall virus i ubegrensede nettverk, som på universiteter eller høyskoler. En annen årsak til et høyt hendelsesantall kan være tiden du beholder hendelser i databasen før du tømmer den. Dette bør du sjekke: Tømmer du hendelsene regelmessig? Er det en bestemt hendelse i spørringen som omfatter de fleste hendelsene dine? Husk at det er vanlig å glemme å ta med en tømmeoppgave. Dette gjør at McAfee epo beholder alle hendelsene som har inntruffet etter at McAfee epo-serveren ble laget. Du kan løse dette enkelt ved å opprette en tømmeoppgave. Hvis du oppdager at én eller to hendelser utgjør en uforholdsmessig stor andel av hendelsene, kan du finne ut hva disse er ved å undersøke hendelsene i dybden. Hvis du for eksempel ser at hendelsen med flest forekomster er en tilgangsbeskyttelsesregel fra VirusScan Enterprise. Dette er en vanlig hendelse. Hvis du dobbeltklikker på tilgangsbeskyttelsesregelen for å finne årsaken, kan du se at flere tilgangsbeskyttelsesregler utløses gjentatte ganger på VirusScan Enterprise. 9 Nå kan du avgjøre om disse er viktige hendelser i organisasjonen din, og om administratorene skal se på dem. Det er vanlig at noen administratorer ignorerer enkelte hendelser. Når du skal håndtere et overdrevent antall hendelser i databasen, må du følge denne prosessen: a Opprett en spørring som viser alle hendelsene du stiller spørsmål ved, og bruk informasjonen i denne delen for å analysere disse trusselhendelsene. b c d Finn ut om noen har undersøkt det overdrevne antallet hendelser i første omgang. Hvis hendelsene ikke blir analysert, må du endre policyen din slik at videresendingen av hendelser stoppes. Hvis det dreier seg om en viktig hendelse, må du sørge for å overvåke antallet hendelser. 366 McAfee epolicy Orchestrator programvare Produktveiledning

367 Rapportering med spørringer Anbefalt fremgangsmåte: Slik brukes tilpassede spørringer 21 Hvis ingen undersøker disse hendelsene, bør du vurdere å deaktivere dem fullstendig i VirusScan Enterprise-tilgangsbeskyttelsespolicyen for å hindre at de sendes til McAfee epo-serveren. Eventuelt kan du justere policyen slik at bare tilgangsbeskyttelseshendelsene du er bekymret for sendes, i stedet for mange hendelser som ikke analyseres. Hvis du ikke vil se disse hendelsene, kan du la policyen forbli slik den er konfigurert, men bekrefte at du følger reglene om tømming av hendelser fra McAfee epo-serveren slik at disse hendelsene ikke overbelaster databasen din. Se også Gode fremgangsmåter for slik fungerer spørringer for hendelsessammendrag på side 363 Gode fremgangsmåter: Automatisk tømming av hendelser på side 250 Gode fremgangsmåter: Filtrering av og 1059-hendelser på side 253 Opprette egendefinerte tabellspørringer: Anbefalt fremgangsmåte Opprett en spørring som viser resultatene i en tabell, slik at du kan bruke spørringsresultatene. Det kan for eksempel være nødvendig å tømme data eller hendelser basert på spørringen. Du har kanskje hendelser av en bestemt type som overbelaster databasen, slik som og 1059-hendelser. Du kan også bruke denne teknikken til å tømme andre trusselhendelser basert på de tilpassede tabellspørringene du oppretter. En tabellspørring brukes til å returnere data i et enkelt tabellformat uten grafer eller diagrammer. Serveroppgaver kan utføres på enkle tabelldata. Du kan for eksempel slette disse dataene automatisk. Denne oppgaven oppretter en tilpasset spørring som henter alle og 1059-hendelsene i databasen. 1 For å åpne dialogboksen for spørringer velger du Meny Rapportering Spørringer og rapporter og klikker deretter på Ny spørring. 2 Klikk på Hendelser i Funksjoner-gruppen og Klienthendelser i Resultattyper, og klikk på Neste. 3 I ruten Vis resultater som klikker du på Liste og deretter påtabell. Klikk på Neste. 4 Klikk på Neste for å hoppe over Kolonner-dialogboksen. Du kan hoppe over dette trinnet fordi McAfee epo ikke bruker kolonnene du velger i serveroppgaven. 5 I Tilgjengelige egenskaper under Klienthendelser klikker du på Hendelses-ID for å opprette et hendelses-id-filter. En hendelses-id-rad legges til i Filter-ruten. 6 Klikk på plusstegnet, +, til høyre for å legge til en ny sammenligningsrad for hendelses-id, velg er lik i Sammenligning-kolonnen, legg til 1051 og 1059 i Verdi-kolonnen og klikk på Lagre og Kjør. 7 (Valgfritt) Du kan velge alle disse og 1059-hendelsene og klikke på Handlinger Tøm for å tømme dem i sanntid. Du kan filtrere hvilke hendelser du tømmer basert på hendelser som er eldre enn X dager, uker, måneder eller år. Alternativt kan du tømme ved bruk av en tidligere definert spørring. I stedet for å tømme hendelsene i sanntid under arbeidstiden kan du opprette en serveroppgave som kjører tømmingen om natten når ingen jobber. McAfee epolicy Orchestrator programvare Produktveiledning 367

368 21 Rapportering med spørringer Samlingsspørring for flere servere 8 Når du skal opprette en serveroppgave, velger du Meny Automatisering Serveroppgaver og klikker på Handlinger Ny oppgave. 9 Gi oppgaven et passende navn og beskrivelse, og klikk på Neste. For eksempel Tøm og 1059-hendelser hver natt. 10 Klikk på Tøm trusselhendelsesloggen fra Handlinger-listen og klikk på Tøm etter spørring. 11 Finn og klikk på den tilpassede spørringen du opprettet, i listen. 12 Angi at oppgaven skal kjøre hver natt og klikk på Lagre. Samlingsspørring for flere servere McAfee epo inneholder en funksjon for å kjøre spørringer som inkluderer sammendragsdata fra flere databaser. Bruk disse resultattypene i spørringsbyggeren for denne spørringstypen: Samlede trusselhendelser Samlede administrerte systemer Samlede klienthendelser Samlede tildelte policyer Samlet overholdelseshistorikk Handlingskommandoer kan ikke genereres fra samlingsresultattyper. Slik fungerer det For å samle data for bruk i samlingsspørringer, må du registrere hver enkelt server (også den lokale serveren) som du vil skal inngå i spørringen. Når serverne er registrert, må du konfigurere serveroppgaven for samledata på rapporteringsserveren (serveren som rapporterer fra flere servere). Serveroppgaven for samledata henter informasjon fra alle databasene som er involvert i rapporteringen, og fyller ut EPORollup_-tabellene på rapporteringsserveren. Samlingsspørringene målretter mot disse databasetabellene på rapporteringsserveren. Før du kan kjøre en spørring for samlet overholdelseshistorikk, må du utføre to forberedende handlinger på hver av serverne du vil inkludere data fra: Opprett en spørring for å definere overholdelse. Generer en overholdelseshendelse. 368 McAfee epolicy Orchestrator programvare Produktveiledning

369 Rapportering med spørringer Samlingsspørring for flere servere 21 Opprette en serveroppgave for samlingsdata Serveroppgaver for samlingsdata henter data fra flere servere samtidig. Før du begynner Registrer hver McAfee epo-rapporteringsserver som skal inkluderes i samlingsrapporteringen. Hver enkelt server må registreres for at det skal kunne samles inn sammendragsdata fra disse serverne. Disse dataene fylles inn i EPORollup-tabeller på samlingsrapporteringsserveren. Rapporteringsserveren må også registreres for at sammendragsdataene skal inkluderes i samlingsrapporteringen. Du kan ikke samle data fra registrerte McAfee epo-servere med versjoner som ikke støttes lenger. Du kan for eksempel ikke samle data fra McAfee epo-servere med versjon 4.5 eller eldre. 1 Åpne Serveroppgavebygger. a Velg Meny Automatisering Serveroppgaver. b Klikk på Ny oppgave. 2 Skriv inn et navn og en beskrivelse for oppgaven på siden Beskrivelse. Velg om du vil aktivere oppgaven, og klikk på Neste. 3 Klikk på Handlinger og velg Samlingsdata. 4 I rullegardinmenyen Samledata fra: velger du Alle registrerte servere eller Velg registrerte servere. 5 Hvis du velger Velg registrerte servere, klikker du på Velg. Velg serverne du vil hente data fra, i dialogboksen Velg registrerte servere. Klikk deretter på OK. 6 Velg datatypen du vil bruke i samlingen, og klikk på Neste. Klikk på + i slutten av tabelloverskriften for å velge flere datatyper. Datatypene Trusselhendelser, Klienthendelser og Tildelte policyer kan konfigureres ytterligere, slik at de inkluderer egenskapene Tøm, Filter og Samlingsmetode. Dette gjør du ved å klikke på Konfigurer i raden som beskriver de tilgjengelige egenskapene. 7 Planlegg oppgaven, og klikk deretter på Neste. Siden Sammendrag åpnes. Hvis du rapporterer samlede overholdelseshistorikkdata, må du kontrollere at tidsenheten for spørringen samlet overholdelseshistorikk samsvarer med tidsplantypen for serveroppgavene for generering av overholdelseshendelse på de registrerte serverne. 8 Se gjennom innstillingene, og klikk deretter på Lagre. Opprette en spørring for å definere overholdelse Overholdelse ved spørringer er påkrevd på McAfee epo-servere der data brukes i samlingsspørringer. McAfee epolicy Orchestrator programvare Produktveiledning 369

370 21 Rapportering med spørringer Samlingsspørring for flere servere 1 Velg Meny Rapportering Spørringer og rapporter, og klikk på Ny spørring. 2 Velg Systemadministrasjon for Funksjonsgruppe og Administrerte systemer for Resultattyper på siden Resultattype, og klikk på Neste. 3 Velg Boolsk sektordiagram fra listen Vis resultater som, og klikk på Konfigurer kriterier. 4 Velg egenskapene som skal inkluderes i spørringen, og angi operatorer og verdier for hver egenskap. Klikk på OK. Når siden Diagram åpnes, klikker du på Neste. Egenskapene definerer overholdelse for systemer som administreres av denne McAfee epo-serveren. 5 Velg kolonnene som skal inkluderes i spørringen, og klikk på Neste. 6 Velg filtre som skal legges til i spørringen, klikk på Kjør og deretter på Lagre. Generere overholdelseshendelser Overholdelseshendelser brukes i samlingsspørringer for å samle data i én enkelt rapport. Klikk på? i grensesnittet for definisjon av alternativer. 1 Velg Meny Automatisering Serveroppgaver, og klikk på Handlinger Ny oppgave. 2 Skriv inn et navn og en relevant beskrivelse for den nye oppgaven på siden Beskrivelse, og klikk deretter på Neste. 3 Velg Kjør spørring fra rullegardinmenyen Handlinger. 4 Klikk på bla (...) ved siden av Spørring-feltet, og velg en spørring. Dialogboksen Velg en spørring fra listen vises med kategorien Mine grupper aktiv. 5 Velg den overholdelsesangitte spørringen. Dette kan være en standardspørring, som McAfee Agent-overholdelsessammendrag i delen McAfee-grupper, eller en brukeropprettet spørring, som for eksempel en beskrevet i Opprette en spørring for å definere overholdelse. 6 Fra rullegardinmenyen Sub-handlinger velger du Generere overholdelseshendelse og angir prosentdelen eller antallet målsystemer, og klikker deretter på Neste. Hendelser kan genereres av oppgaven generere overholdelseshendelse hvis prosentdelen eller antallet systemer overstiger grensen for overholdelse av regler og standarder. 7 Planlegg oppgaven for nødvendige tidsintervall for Rapportering om overholdelseshistorikk. Hvis for eksempel overholdelse må samles inn hver ukentlig, planlegger du oppgaven til å kjøre ukentlig. Klikk på Neste. 8 Gjennomgå detaljene, og klikk på Lagre. 370 McAfee epolicy Orchestrator programvare Produktveiledning

371 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 Eksportere spørringsresultater til andre formater Spørringsresultatene kan eksporteres til en rekke formater, inkludert HTML, PDF, CSV og XML. Eksportering av spørringsresultater er ikke det samme som oppretting av en rapport. For det første legges det ikke til ekstra informasjon i eksportutdataene, slik det gjør når du oppretter en rapport. Bare utdataene legges til i rapporten. For det andre støttes flere formater. Eksporterte resultater av spørringer kan brukes til videre behandling via maskinvennlige formater som XML og CSV. Rapportene er utviklet for å være lesbare, og kommer derfor som PDF-filer. I motsetning til spørringsresultater i konsollen, kan du ikke foreta handlinger i eksporterte data. 1 Velg Meny Rapportering Spørringer og rapportervelg en spørring og klikk på Kjør. 2 Når spørringen er kjørt, klikker du på Alternativer Eksporter data. Siden Eksporter åpnes. 3 Velg hva som skal eksporteres. For diagrambaserte spørringer velger du Kun diagramdata eller Diagramdata med detaljerte tabeller. 4 Velg om datafilene skal eksporteres enkeltvis eller i en enkelt arkivfil (ZIP-fil). 5 Velg formatet for eksportfilen. CSV lagre dataene i et regnearkprogram (f.eks. Microsoft Excel). XML omdann dataene til andre formål. HTML: Bruk dette rapportformatet for å vise eksporterte resultater som en webside. PDF skriv ut resultatene. 6 Hvis du eksporterer til en PDF-fil, konfigurer følgende: Velg Sidestørrelse og Sideretning. (Valgfritt) Vis filterkriterier. (Valgfritt) Inkluder en forside med denne teksten og skriv inn teksten du trenger. 7 Velg om filene skal sendes som vedlegg i e-post til valgte mottakere, eller om de skal lagres på serveren som du får en kobling til. Du kan åpne eller lagre filen på en annen plassering ved å høyreklikke på den. 8 Klikk på Eksporter. Filene sendes som vedlegg i e-post til mottakerne, eller du går til en side der du har tilgang til filene via koblinger. Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Med McAfee epo API-rammeverket kan du kjøre kommandoer fra en web-url eller bruke et skriptspråk for å opprette kommandolinjeskript for å automatisere vanlige administrasjonsaktiviteter. Dette avsnittet beskriver oppretting av web-url-er for kjøring av spørringer. Se McAfee epolicy Orchestrator Skriptveiledning for web-api for detaljerte eksempler av kommandolinjeskript og -verktøy. McAfee epolicy Orchestrator programvare Produktveiledning 371

372 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Bruke web-url-api eller McAfee epo-brukergrensesnittet Du kan kjøre spørringer med programmeringsgrensesnittet (API) for web-url i stedet for å bruke McAfee epo-brukergrensesnittet. Med web-url-api eller McAfee epo-brukergrensesnittet kan du: Kjøre URL-en og vise utdataene som en liste med tekst Manipulere tekstutdataene med andre skript og verktøy Endre spørringen Filtrere utdataene med boolske operatorer som ikke er tilgjengelig i brukergrensesnittet Du kan for eksempel kjøre spørringen Nye agenter lagt til i epo per uke i McAfee epo-brukergrensesnittet og hente disse utdataene. Figur 21-5 Spørringsutdata med brukergrensesnittet Kjør denne spørringen ved å velge Meny Rapportering Spørringer og rapporter, velge spørringen Nye agenter lagt til i epo per uke og klikke på Handlinger Kjør. Eller du kan lime inn denne web-url-spørringen i adresselinjen i nettleseren. OK: count Completion Time (Week) /27/14-5/3/14 2 5/4/14-5/10/14 6 5/11/14-5/17/14 1 5/18/14-5/24/ McAfee epolicy Orchestrator programvare Produktveiledning

373 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 McAfee epo-kommandorammeverk: Anbefalt fremgangsmåte Strukturen til McAfee epo-rammeverket gjør at du kan få tilgang til alle McAfee epo-kommandoobjekter og tilhørende parametere ved bruk av API-et eller brukergrensesnittet. For å forstå McAfee epo-rammeverket kan du sammenligne hvordan AppliedTag-kommandoen kan brukes fra flere steder i McAfee epo-brukergrensesnittet og web-url-en. Kommandoen AppliedTag er tilgjengelig fra siden Systemtre i McAfee epo-brukergrensesnittet. Du kan finne gyldige AppliedTag-kommandoparametere ved å bruke denne core.listtables-web-url-kommandoen: Følgende web-url-kommandostruktur og delene i den brukes til å finne AppliedTags-kommandoen. Følgende er deler av web-url-kommandoen Grunnleggende URL: URL-en for ekstern konsolltilkobling. Standardportnummer er Kommandonavn: Vises før? og er oppført i web-api-hjelpedelen. Kommandoargument: Vises etter? og skilles med & (&-tegn). Du kan også legge til S-uttrykk i kommandoene. Se også Bruke web-url-hjelp: Anbefalt fremgangsmåte på side 373 Bruk av S-uttrykk i web-url-spørringer: Anbefalt fremgangsmåte på side 375 Bruke web-url-hjelp: Anbefalt fremgangsmåte Bruk web-url-hjelp for å lære hvilke forhåndskonfigurerte spørringer, SQL-tabeller og argumenter som er tilgjengelige for dine McAfee epo-web-url-spørringer. Bruk disse hjelpekommandoene når du oppretter web-url-spørringer: Bruk av core.help-kommandoen Alle kommandoene og tilhørende grunnleggende parametere for McAfee epo-web-urler er oppført i core.help-kommandoutdataene. Skriv inn denne kommandoen for å se hjelp. Bruk av hjelpekommandoen core.listqueries For å kjøre en eksisterende spørring ved bruk av McAfee epo-web-url bruker du spørrings-id-nummeret lagt til i core.executequery-kommandoen. Skriv inn denne kommandoen for å se listqueries-hjelpen. McAfee epolicy Orchestrator programvare Produktveiledning 373

374 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Skriv inn følgende kommando for å utføre spørring med en ID: Bruk av hjelpekommandoen core.executequery Før du kan opprette en McAfee epo-web-url-spørring, eller endre spørringsparametere eksportert fra en eksisterende spørring, må du vite hvilke kommandoer og argumenter som er tilgjengelige. Skriv inn denne kommandoen for å se core.executequery-hjelpen. Denne tabellen viser core.executequery-hjelp. Valgfrie parametere og alternativer vises i hakeparenteser "[...]". Tabell 21-1 Web-URL-core.executeQuery-hjelp Kommando Argumenter Parametere Alternativer Beskrivelse core.executequery queryid Kjører en SQUID-spørring. Returnerer dataene fra kjøringen av spørringen eller vises ved feil. [database=<>] Navnet på den eksterne databasen; hvis dette er tomt, brukes standarddatabasen for den gitte datatypen. core.executequery target= SQUIDs måltype i spørringen. Alternativt kan du legge til "." og databasetypen før målet. For eksempel databasetype.target. [select=<>] [where=<>] [order=<>] [group=<>] [database=<>] [depth=<>] SQUID select-setningen til spørringen; hvis denne er tom, returneres alle kolonnene. SQUID where-setningen til spørringen; hvis denne er tom, returneres alle radene. SQUID order-by-setningen til spørringen; hvis denne er tom, returneres databaserekkefølgen. SQUID group-by-setningen til spørringen; hvis denne er tom, utføres ingen gruppering. Navnet på den eksterne databasen; hvis dette er tomt, brukes standarddatabasen for den gitte datatypen. SQUID-dybden for å hente underresultater. (standard: 5). [jointables=<>] Den kommadelte listen over SQUID-mål som skal kobles sammen med måltypen; * betyr koble sammen med alle typer. 374 McAfee epolicy Orchestrator programvare Produktveiledning

375 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 Bruk av hjelpekommandoen core.listtables For å opprette en web-url-spørring for McAfee epo eller for å endre spørringsparametere eksportert fra en eksisterende spørring, må du kjenne til navnene på SQL-tabellene og tilhørende parametere. Disse tre kommandoene gir denne informasjonen. Viser alle SQL-tabeller og tilhørende parametere Viser et sammendrag av alle SQL-tabellene og tilhørende parametere Viser alle argumentene for en spesifikk SQL-tabell Skriv inn denne kommandoen for å se core.listtables-hjelpen. For å vise bare parametere for en bestemt tabell i en liste bruker du følgende kommando: Se også Kjøre spørring med ID-nummer: Anbefalt fremgangsmåte på side 380 Bruk av S-uttrykk i web-url-spørringer: Anbefalt fremgangsmåte Du kan bruke S-uttrykk (symbolske uttrykk) i web-url-kommandoer for McAfee epo til å velge spesifikke kommandoobjekter og tilhørende parametere for å sammenføye tabeller, og deretter gruppere og sortere utdataene. Bruk core.executequery-kommandoen med [select=<>]-alternativet for å opprette S-uttrykk. Dette diagrammet viser grunnleggende krav til en kvalifisert S-uttrykksspørring. Figur 21-6 Web-URL-spørring med S-uttrykk Et kvalifisert S-uttrykk har disse delene: McAfee epolicy Orchestrator programvare Produktveiledning 375

376 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et select=(select...) Formatet for S-uttrykket-funksjonen. <tablename>.<argumentname> Navnene på SQL-tabellkolonnene du vil vise og manipulere. EPOLeafNode.NodeName er for eksempel navnet på et administrert system, og EPOBranchNode.NodeName er et Systemtre-gruppenavn. I dette eksempelet på en web-url-spørring er EPOLeafNode- og EPOBranchNode-tabellene sammenføyd automatisk for å fullføre spørringen. De to tabellene i dette eksempelet må være kvalifiserte, eller relaterte for at den automatiske sammenføyningen skal fungere. Finn de gyldige parameterne for måltabellene og bekreft tabellrelasjonene. Grupper, sorter og filtrer utdata fra web-url-spørringer Inne i S-uttrykkene for web-url-spørringer kan du gruppere, sortere og filtrere web-url-spørringer ved bruk av argumentene oppført for core.executequery-kommandoen. Sortering av utdata Før du kan konfigurere en sorteringsrekkefølge for web-url-spørringen, må du avgjøre om dataene i en tabellkolonne kan sorteres. Bruk denne kommandoen for å bekrefte at kolonnedataene kan sorteres i rekkefølge. Dette eksempelet bekrefter at du kan sortere EPOBranchNode-tabellens NodeName-kolonnedata. I NodeName-raden er True (Sann) oppført i Rekkefølge?-kolonnen. Denne kommandoen viser denne hjelpen. OK: Navn: Grupper Mål: EPOBranchNode Type: sammenføying Databasetype: Beskrivelse: null Columns: Name Type Select? Condition? GroupBy? Rekkefølge? Number? AutoID group False True False True True NodeName string True False True True False L1ParentID group False False True True True L2ParentID group False False True True True Type int False False False True True BranchState int False False False True True Notes string True True False True False NodePath string False False False True False NodeTextPath string_lookup True True True True False NodeTextPath2 string_lookup True True True True False Related Tables: Name ---- Sekundærnøkkel: Ingen Denne Rekkefølge-kommandoen brukes til å sortere McAfee epo-grennodene, eller Systemtregruppenavn i synkende rekkefølge. target=epoleafnode&:output=terse&select=(select EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName&order=(order(desc EPOBranchNode.NodeName) Dette er kommandoutdataene. OK: Systemnavn Tagger Gruppenavn DP-2K12R2S-SRVR-Server SuperAgenter DP-2K8ER2EPO510-Server Servere DP-W7PIP-1 Arbeidsstasjon NAT-systemer DP-W7PIP-2 Arbeidsstasjon NAT-systemer DP-W7PIP-3 Arbeidsstasjon NAT-systemer DP-EN-W7E1XP-2 Hittegods DP-2K8AGTHDLR Server, test Agentbehandlere 376 McAfee epolicy Orchestrator programvare Produktveiledning

377 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 Gruppering av utdataene Denne kommandoen teller systemtrenavnene og grupperer dem etter McAfee epo-grennoder eller Systemtregruppenavn. target=epoleafnode&:output=terse&select=(select EPOBranchNode.NodeName (count))&group=(group EPOBranchNode.NodeName) Dette er kommandoutdataene. OK: Gruppenavn antall Agentbehandlere 1 Hittegods 1 NAT-systemer 3 Servere 1 SuperAgenter 1 Filtrering av utdata ved bruk av en streng Denne kommandoen filtrerer Systemtre-systemnavn slik at de bare viser navnene med strengen "2k8" i navnet. target=epoleafnode&:output=terse&select=(select EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)&where=(contains EPOLeafNode.NodeName "2k8") Dette er kommandoutdataene som bare viser navnene som inneholder "2k8". OK: Systemnavn Tagger Gruppenavn DP-2K8ER2EPO510-Server Servere DP-2K8AGTHDLR-Server, test Agentbehandlere Filtrering av utdata ved bruk av de øverste <nummer> i listen Denne kommandoen filtrerer Systemtre-systemnavn slik at bare de tre øverste navnene i listen vises. target=epoleafnode&:output=terse&select=(select (top 3) EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName) Dette er kommandoutdataene som bare viser de tre øverste navnene i listen. OK: Systemnavn Tagger Gruppenavn DP-2K8ER2EPO510 Server Servere DP-2K12R2S-SRVR Server SuperAgenter DP-EN-W7E1XP-2 Hittegods Filtrering av utdata ved bruk av felles attributter Denne kommandoen filtrerer Systemtre-systemene slik at bare et bestemt antall felles attributter vises. target=epoleafnode&:output=terse&select=(select EPOLeafNode.NodeName EPOLeafNode.Tags EPOBranchNode.NodeName)&where=(hasTag EPOLeafNode.AppliedTags 4) Dette er kommandoutdataene med fire felles attributter. OK: Systemnavn Tagger Gruppenavn DP-W7PIP-1 7, Arbeidsstasjon Arbeidsstasjon DP-W7PIP-2 7, Arbeidsstasjon Arbeidsstasjon DP-W7PIP-3 7, Arbeidsstasjon Arbeidsstasjon McAfee epolicy Orchestrator programvare Produktveiledning 377

378 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Du kan kombinere filtre Du kan bruke de mest vanlige filtrene AND og OR. Eksempel: (AND <uttrykk> <uttrykk> ) (OR <uttrykk> <uttrykk> ) De kan brukes i hvilken som helst kombinasjon. For eksempel: (AND (hastag EPOLeafNode.AppliedTags 3) (contains EPOLeafNode.NodeName 100 )) Parentesene må samsvare. Du kan også bruke filtre som ikke kan konstrueres i McAfee epo-brukergrensesnittet. Eksempel: (OR (AND (hastag EPOLeafNode.AppliedTags 3) (contains EPOLeafNode.NodeName 100 )) (AND (hastag EPOLeafNode.AppliedTags 4) (contains EPOLeafNode.NodeName 100 )) ) Se også Bruke web-url-hjelp: Anbefalt fremgangsmåte på side 373 Analyse av spørringseksportdata for oppretting av web-urlspørring: Anbefalt fremgangsmåte Du kan bruke data som er eksportert fra eksisterende spørringer til å opprette gyldige web-url-spørringer og S-uttrykk. Det følgende eksempelet er eksporterte data fra den forhåndskonfigurerte VSE: DAT-distribusjon-spørringen. Denne eksporterte filen brukes til å beskrive trinnene og prosessene i opprettingen av web-url-spørringer. <list id="1"> <query id="2"> <dictionary id="3"/> <name>vse: DAT-distribusjon</name> <description>viser de tre høyeste DAT-versjonene og én sektor for alle de andre versjonene.</ description> <target>epoleafnode</target> <table-uri>query:table? orion.table.columns=epocomputerproperties.computername%3aepocomputerproperties.domainname %3AEPOLeafNode.os%3AEPOComputerProperties.Description%3AEPOLeafNode.Tags %3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix %3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever %3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver %3AEPOLeafNode.LastUpdate&orion.table.order.by=EPOComputerProperties.ComputerName %3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description %3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion %3AEPOProdPropsView_VIRUSCAN.hotfix%3AEPOProdPropsView_VIRUSCAN.servicepack %3AEPOProdPropsView_VIRUSCAN.enginever %3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver %3AEPOLeafNode.LastUpdate&orion.table.order=az</table-uri> <condition-uri>query:condition?orion.condition.sexp=%28+where+%28+version_ge +EPOProdPropsView_VIRUSCAN.productversion+%228%22+%29+%29</condition-uri> <summary-uri>query:summary? pie.slice.title=epoprodpropsview_viruscan.datver&pie.count.title=epoleafnode&orion.query.type=pi summary-uri> </query> </list> Den eksporterte spørringen inneholder strenger som er URL-kodet. Bruk denne tabellen til å konvertere de URL-kodede tegnene til gyldige tegn for web-url-spørringen. Tabell 21-2 Konverter URL-kodede tegn til tegn for web-url-spørringen URL-kodede tegn Tegn for Webområde-URL-spørring %22 anførselstegn ""..."" "+" mellomrom " " 378 McAfee epolicy Orchestrator programvare Produktveiledning

379 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 Tabell 21-2 Konverter URL-kodede tegn til tegn for web-url-spørringen (fortsatt) URL-kodede tegn Tegn for Webområde-URL-spørring %28 startparentes "(" %29 sluttparentes ")" &amp &-tegn "&" az (i en sorteringskommando) "asc" = stigende rekkefølge za (i en sorteringskommando) "desc" = synkende rekkefølge Struktur for XML-spørringsdatafil XML-spørringsdatafilen er delt inn i ulike datadeler. Noen deler brukes ikke i den endelige web-url-spørringen, mens andre deler kan brukes omtrent slik de vises. Figur 21-7 Sammenligning av eksportert spørring og web-url-spørring Kommandoene i <summary-uri>query:-koden oppretter sektordiagrammet, og brukes ikke til å opprette utdataene for web-url-spørringen. Parameteren order=desc vises som et sortering- og grupperingseksempel i den endelige web-url-spørringen. Denne tabellen viser tallene vist i figuren, hoveddelene i den eksporterte spørringen og den endelige web-url-spørringen, samt hvordan de brukes. McAfee epolicy Orchestrator programvare Produktveiledning 379

380 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et Tabell 21-3 Konverter URL-kodede tegn til tegn for web-url-spørringen Nummer Eksportert spørring <target>...</ target> Webområde-URL-spørring Beskrivelse target=... Viser tabellen analysert i spørringen. sexp=... select=(select... Viser S-uttrykk-kommandoobjektene, tilhørende parametere og sammenslåtte tabeller. order=... order=(order(... Viser sorteringsrekkefølgen brukt i utdataene. Web-URL-spørringen delt opp Ved bruk av informasjonen i den eksisterende eksporterte XML-spørringsfilen kan du opprette denne filen, med linjeskift for god lesbarhet. target=epoleafnode& select=(select EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)& :output=terse& order=(order(desc EPOLeafNode.NodeName))? og & indikerer de ulike delene av web-url-spørringen. Når du fjerner linjeskiftene, er eksempelet en endelig web-url-spørring. EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)&:output=terse& order=(order(desc EPOLeafNode.NodeName)) Følgende er utdataene fra web-url-spørringen: OK: Systemnavn DAT-versjon (VirusScan Enterprise) DP-W7PIP DP-W7PIP DP-W7PIP DP-EN-W7E1XP-2 DP-2K8ER2EPO DP-2K8AGTHDLR DP-2K12R2S-SRVR Kjøre spørring med ID-nummer: Anbefalt fremgangsmåte Den raskeste metoden for å kjøre en spørring ved bruk av web-url er å bruke den forhåndskonfigurerte spørrings-id-en, så bruke utdataene fra nettleseren i andre skript eller i en e-post. Før du begynner Du må ha administratortillatelser for å kjøre spørringen. Det er raskere å kjøre web-api-spørringer enn å kjøre en spørring med McAfee epo-brukergrensesnittet. I tillegg kan du bruke utdataene fra spørringen i skript og omdirigere utdataene og portere dem for videre behandling. Du kan for eksempel få tilgang til spørringen Nye agenter lagt til i epo per uke ved å brukemcafee epo-brukergrensesnittet, velge Meny Rapporter Spørringer og rapporter, velge spørringen Nye agenter lagt til i epo per uke og klikke på Handlinger Kjør. 380 McAfee epolicy Orchestrator programvare Produktveiledning

381 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 Disse web-url-utdataene ligner spørringsutdataene som genereres med brukergrensesnittet. I tillegg kan du bruke utdataene i et annet skript eller manipulere dem som nødvendig. Som et alternativ kan du lime inn queryid=34 i adresseraden til en nettleser for å vise disse URL-utdataene. 1 Bruk nettleseren din for å logge på McAfee epo-serveren. 2 Skriv denne URL-en inn i adresselinjen i nettleseren og klikk på Enter for å se en liste over forhåndskonfigurerte spørringer og tilhørende ID-numre. 3 Finn spørringen du vil kjøre fra listqueries-kommandoutdataene. I dette eksempel er argumentet queryid=34 lagt til web-url-en core.executequery?queryid=<number> for å kjøre spørringen Nye agenter lagt til i epo per uke. Kjøre spørring med XML-data: Anbefalt fremgangsmåte Eksportering av eksisterende XML-spørringsdefinisjoner er en god metode for å lære å opprette web-url-spørringer. I dette eksempelet må du eksportere definisjonsfilen "VSE: DAT-distribusjon-XML" og bruke tabellobjektene for å opprette en liste over VirusScan Enterprise-DAT-filversjonene for hvert system i nettverket ditt. 1 Eksporter den eksisterende XML-filen for spørringsdefinisjonen og åpne den i et tekstredigeringsprogram. Eksport-filene dine ligner på denne "VSE: DAT-distribusjon-XML"-definisjonsfilen. <list id="1"> <query id="2"> <dictionary id="3"/> <name>vse: DAT-distribuering</name> <description>viser de tre høyeste DAT-versjonene og én sektor for alle de andre versjonene.</description> <target>epoleafnode</target> <table-uri>query:table? orion.table.columns=epocomputerproperties.computername%3aepocomputerproperties.domainname %3AEPOLeafNode.os%3AEPOComputerProperties.Description%3AEPOLeafNode.Tags %3AEPOProdPropsView_VIRUSCAN.productversion%3AEPOProdPropsView_VIRUSCAN.hotfix %3AEPOProdPropsView_VIRUSCAN.servicepack%3AEPOProdPropsView_VIRUSCAN.enginever %3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver %3AEPOLeafNode.LastUpdate&orion.table.order.by=EPOComputerProperties.ComputerName %3AEPOComputerProperties.DomainName%3AEPOLeafNode.os%3AEPOComputerProperties.Description %3AEPOLeafNode.Tags%3AEPOProdPropsView_VIRUSCAN.productversion %3AEPOProdPropsView_VIRUSCAN.hotfix%3AEPOProdPropsView_VIRUSCAN.servicepack %3AEPOProdPropsView_VIRUSCAN.enginever %3AEPOProdPropsView_VIRUSCAN.enginever64%3AEPOProdPropsView_VIRUSCAN.datver %3AEPOLeafNode.LastUpdate&orion.table.order=az</table-uri> <condition-uri>query:condition?orion.condition.sexp=%28+where+%28+version_ge +EPOProdPropsView_VIRUSCAN.productversion+%228%22+%29+%29</condition-uri> <summary-uri>query:summary? pie.slice.title=epoprodpropsview_viruscan.datver&pie.count.title=epoleafnode&orion.query.type summary-uri> </query> </list> McAfee epolicy Orchestrator programvare Produktveiledning 381

382 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 2 Åpne en eksisterende web-url-spørring-fil som du vil bruke som mal, og lagre den med et nytt navn. For eksempel URL_mal. Følgende er et eksempel på en eksisterende web-url-mal. target=<tabletarget>& select=(select <tableobjectnames>) 3 I XML-filen med spørringsdefinisjonen finner du spørringsmålet oppført mellom måltaggene. For eksempel <target>epoleafnode</target>. Lim måltabellnavnet inn i target= i din mal-url. Dette er mal-url-en med måltabellnavnet lagt til. target=epoleafnode& select=(select <tableobjectnames>) 4 I XML-filen med spørringsdefinisjonen finner du S-uttrykk-funksjonen oppført mellom start- og sluttaggene<condition-uri>... </condition-uri>. Utfør deretter følgende trinn: a I URL-malen limer du inn objektnavnene i select=(select-parameteren og sluttparentesen. Dette eksempelet legger til EPOLeafNode.NodeName (systemnavn) og EPOProdPropsView_VIRUSCAN.datver (VirusScan Enterprise-DAT-versjon) fra EPOLeafNode (Systemtre)-tabellen. target=epoleafnode& select=(select EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver) b Legg til funksjonen for sorteringsrekkefølgen. For å sortere utdataene etter systemnavn legger du for eksempel til strengen "& order=(order(desc EPOProdPropsView_VIRUSCAN.datver)" i det eksisterende S-uttrykket. Følgende eksempel sorterer utdataene etter VirusScan Enterprise-DAT-versjon. target=epoleafnode& select=(select EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver& order=(order(asc EPOProdPropsView_VIRUSCAN.datver)) 5 Bytt ut <localhost>-variabelen med DNS-navnet for McAfee epo-serveren eller IP-adressen, og lim inn URLen i adresselinjen i nettleseren. Utdataene dine bør ligne på disse, men med mange oppføringer. OK: Systemnavn: DP-2K12R2S-SRVR DAT-versjon (VirusScan Enterprise): Systemnavn: DP-EN-W7E1XP-2 DAT-versjon (VirusScan Enterprise): Systemnavn: DP-W7PIP-2 DAT-versjon (VirusScan Enterprise): Systemnavn: DP-W7PIP-1 DAT-versjon (VirusScan Enterprise): McAfee epolicy Orchestrator programvare Produktveiledning

383 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 6 (Valgfritt) For at informasjonen skal vises i tabellformatet, må du lime inn strengen :output=terse& før &-tegnet i URL-en, og kjøre kommandoen på nytt. Dette er eksempel på malfilen din med :output=terse& lagt til. target=epoleafnode&:output=terse&select=(select EPOLeafNode.NodeName EPOProdPropsView_VIRUSCAN.datver)& order=(order(desc EPOLeafNode.NodeName)) Sjekk at utdataene dine ligner på det følgende eksemplet. OK: Systemnavn DAT-versjon (VirusScan Enterprise) DP-2K12R2S-SRVR DP-EN-W7E1XP-2 DP-W7PIP DP-W7PIP DP-2K8AGTHDLR DP-2K8ER2EPO DP-W7PIP Du har opprettet en web-url-spørring ved bruk av informasjonen eksportert fra en eksisterende XML-spørringsdefinisjon. Se også Bruk av S-uttrykk i web-url-spørringer: Anbefalt fremgangsmåte på side 375 Analyse av spørringseksportdata for oppretting av web-url-spørring: Anbefalt fremgangsmåte på side 378 Kjøre spørring med tabellobjekter, kommandoer og argumenter: Anbefalt fremgangsmåte Du kan opprette web-url-spørringer ved bruk av en mal for web-url-spørringer og web-url-hjelpen. Dette eksempelet beskriver oppretting av en enkel web-url-spørring som viser følgende informasjon om dine administrerte systemer: Systemnavn VirusScan Enterprise-produktfamilie McAfee Agent-versjon VirusScan Enterprise-versjon Når agenten sist ble oppdatert Viser informasjonen i en tabell 1 For å finne navnet på SQL-tabellen med mest av informasjonen din, kan du bruke denne hjelpekommandoen. 2 Skriv inn denne web-url-malkommandoen i tekstredigeringsprogrammet ditt. <columns>) 3 Bruk informasjonen fra denne kommandoen til å finne argumentene for systemnavnene, McAfee Agent-versjon og når den sist ble oppdatert. Denne kommandoen viser denne informasjonen som du trenger til web-url-spørringen: Spørrings-"mål" EPOLeafNode Systemnavn EPOLeafNode.NodeName McAfee epolicy Orchestrator programvare Produktveiledning 383

384 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et McAfee Agent-versjon EPOLeafNode.AgentVersion Når agenten sist ble oppdatert EPOLeafNode.LastUpdate Produkter installert i hvert system EPOProductPropertyProducts OK: Name: Managed Systems Target: EPOLeafNode Type: target Database Type: Description: Retrieves information about systems that have been added to your System Tree. Columns: Name Type Select? Condition? GroupBy? Order? Number? AutoID int False False False True True Tags string True False False True False ExcludedTags string True False False True False AppliedTags applied_tags False True False False False LastUpdate timestamp True True True True False os string True False False False False products string False False False False False NodeName string True True True True False ManagedState enum True True False True False AgentVersion string_lookup True True True True False AgentGUID string True False False True False Type int False False False True False ParentID int False False False True True ResortEnabled boolean True True False True False ServerKeyHash string True True False True False NodePath string_lookup False False False True False TransferSiteListsID isnotnull True True False True False SequenceErrorCount int True True False True True SequenceErrorCountLastUpdate timestamp True True False True False LastCommSecure string_enum True True True True False TenantId int False False False True True Related Tables: Name EPOProdPropsView_EEFF EPOProdPropsView_VIRUSCAN EPOProductPropertyProducts EPOProdPropsView_PCR EPOBranchNode EPOProdPropsView_EPOAGENT EPOComputerProperties EPOComputerLdapProperties EPOTagAssignment EPOProdPropsView_TELEMETRY Foreign Keys: Source table Source Columns Destination table Destination columns Allows inverse? One-to-one? Many-to-one? EPOLeafNode AutoID EPOComputerProperties ParentID False False True EPOLeafNode AutoID EPOTagAssignment LeafNodeID False False True EPOLeafNode ParentID EPOBranchNode AutoID False False True EPOLeafNode AutoID EPOComputerLdapProperties LeafNodeId False False True EPOLeafNode AutoID EPOProductPropertyProducts ParentID False False True 4 Legg til argumentene fra trinn 3 til web-url-malkommandoen og test den. Bekreft at kommandoen din ligner på dette eksempelet. EPOLeafNode.NodeName EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate) Sjekk at utdataene dine ligner på dette eksempelet. OK: Systemnavn: DP-2K8ER2EPO510 Agentversjon (avskrevet): Siste kommunikasjon: 13/06/14 9:21:49 AM PDT Systemnavn: DP-2K12R2S-SRVR Agentversjon (avskrevet): Siste kommunikasjon: 13/06/14 9:55:19 AM PDT Systemnavn: DP-EN-W7E1XP-2 Agentversjon (avskrevet): null Siste kommunikasjon: null... 5 Bruk hjelpekommandoen core.listtables én gang til, men med tabellen EPOProdPropsView_VIRUSCAN. Denne tabellen inneholder VirusScan Enterprise-produkter og versjoner installert i hvert system. Bekreft at kommandoen din ligner på dette eksempelet McAfee epolicy Orchestrator programvare Produktveiledning

385 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 21 6 Ved bruk av utdataene fra trinn 5 legger du til disse parameterne i web-url-kommandoen og tester den. VirusScan Enterprise-produktfamilie EPOProdPropsView_VIRUSCAN.ProductFamily VirusScan Enterprise-versjon EPOProdPropsView_VIRUSCAN.productversion Bekreft at ditt eksempel ligner på det følgende. EPOLeafNode.NodeName EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate EPOProdPropsView_VIRUSCAN.ProductFamily EPOProdPropsView_VIRUSCAN.productversion) Bekreft at dine eksempelutdata ligner på de følgende. OK: Systemnavn: DP-2K8ER2EPO510 Agentversjon (avskrevet): Siste kommunikasjon: 13/06/14 10:21:50 AM PDT ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Produktversjon (VirusScan Enterprise): Systemnavn: DP-2K12R2S-SRVR Agentversjon (avskrevet): Siste kommunikasjon: 13/06/14 10:55:19 AM PDT ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Produktversjon (VirusScan Enterprise): Systemnavn: DP-EN-W7E1XP-2 Agentversjon (avskrevet): null Siste kommunikasjon: null ProdProps.productFamily (VirusScan Enterprise): VIRUSCAN Produktversjon (VirusScan Enterprise):... 7 Til slutt, for å se utdataene som en tabell, legger du til kommandoen :output=terse& etter det første &-tegnet. Så kjører du kommandoen på nytt. Bekreft at din eksempelkommando ligner på det følgende. target=epoleafnode&:output=terse&select=(select EPOLeafNode.NodeName EPOLeafNode.AgentVersion EPOLeafNode.LastUpdate EPOProdPropsView_VIRUSCAN.ProductFamily EPOProdPropsView_VIRUSCAN.productversion) Bekreft at dine eksempelutdata ligner på de følgende. OK: Systemnavn Agentversjon (avskrevet) Siste kommunikasjon ProdProps.productFamily (VirusScan Enterprise) Produktversjon (VirusScan Enterprise) DP-2K8ER2EPO /13/14 10:21:50 AM PDT VIRUSCAN DP-2K12R2S-SRVR /13/14 10:55:19 AM PDT VIRUSCAN DP-EN-W7E1XP-2 null null VIRUSCAN DP-W7PIP /13/14 10:37:20 AM PDT VIRUSCAN DP-W7PIP /13/14 10:36:56 AM PDT VIRUSCAN DP-W7PIP /13/14 10:37:00 AM PDT VIRUSCAN DP-2K8AGTHDLR /13/14 10:25:10 AM PDT VIRUSCAN Se også Bruke web-url-hjelp: Anbefalt fremgangsmåte på side 373 McAfee epolicy Orchestrator programvare Produktveiledning 385

386 21 Rapportering med spørringer Anbefalt fremgangsmåte: Kjøring av rapporter med web-api-et 386 McAfee epolicy Orchestrator programvare Produktveiledning

387 A Tilleggsinformasjon Innhold Åpne en tilkobling til fjernstyringskonsoll Planlegge gjenoppretting etter katastrofe Registrerte servere Problemer SSL-sertifikater Konfigurering av Product Improvement Program Gjenopprette administratorrettigheter Oversikt over porter Åpne en tilkobling til fjernstyringskonsoll Ved å bruke McAfee epo-servernavnet eller IP-adressen samt portnummeret for serverkommunikasjon, kan du koble til og konfigurere McAfee epo fra enhver støttet Internett-nettleser. Når du kobler til McAfee epo ved bruk av en ekstern tilkobling, er enkelte konfigurasjonsendringer ikke tillatt. Du kan for eksempel ikke kjøre registrerte kjørbare filer fra en ekstern tilkobling. For å konfigurere en ekstern tilkobling må du fastslå McAfee epo-servernavnet eller IP-adressen samt portnummeret for serverkommunikasjon. Legg merke til adressen som vises i nettleseren når du åpner McAfee epo mens du er logget på den fysiske McAfee epo-serveren. Bekreft at dette ligner på: I denne eksempel-url-en: McAfee epolicy Orchestrator programvare Produktveiledning 387

388 A Tilleggsinformasjon Planlegge gjenoppretting etter katastrofe win-2k8-epo59 Er navnet på McAfee epo-serveren :8443: Portnummeret for kommunikasjon mellom konsoll-til-programserver brukt av McAfee epo. Standardportnummeret er "8443" med mindre du endrer det. 1 Åpne en hvilken som helst nettleser som støtter McAfee epo. Du finner en liste over støttede nettlesere i installasjonsveiledningen for McAfee epo. 2 Angi ett av følgende i adressefeltet i nettleseren, og klikk på Enter: Eksempel: 3 Logg på McAfee epo og du har etablert en tilkobling til fjernstyringskonsoll. I skriptveiledningen for web-api i McAfee epo finner du eksempler på utvidede kommandoer du kan kjøre fra en ekstern konsolltilkobling. Planlegge gjenoppretting etter katastrofe Konfigurer McAfee epo-serveren for et scenario med gjenoppretting etter katastrofe så snart som mulig etter at installeringen er fullført. Gjenoppretting etter katastrofe Funksjonen for gjenoppretting etter katastrofe hjelper deg til raskt å gjenopprette eller installere McAfee epo-programvaren på nytt. Gjenoppretting etter katastrofe bruker en øyeblikksbildefunksjon som jevnlig lagrer konfigurasjon, utvidelser, nøkler og annet for McAfee epo i øyeblikksbildeoppføringer i McAfee epo-databasen. Du finner mer informasjon i KnowledgeBase-artikkel KB66616: McAfee epo server backup and disaster recovery procedure. Oppføringene som lagres i øyeblikksbildet, inneholder hele McAfee epo-konfigurasjonen på det tidspunktet øyeblikksbildet blir tatt. Når øyeblikksbildeoppføringene er lagret i databasen, kan du bruke Microsoft SQL-sikkerhetskopifunksjonen til å lagre hele McAfee epo-databasen og gjenopprette den til en annen SQL-server. Konfigureringen av gjenoppretting etter katastrofe for McAfee epo-programvaren omfatter denne generelle fremgangsmåten på den primære McAfee epo-serveren: 1 Ta et øyeblikksbilde av konfigurasjonen av McAfee epo-serveren og lagre det i den primære SQL-databasen. Du kan opprette dette øyeblikksbildet manuelt eller gjennom en standard serveroppgave for dette formålet. 2 Sikkerhetskopier SQL-databasen ved å bruke Microsoft SQL Server Management Studio eller kommandolinjeprosessen BACKUP (Transact-SQL). 3 Kopier sikkerhetskopifilen for SQL-databasen som ble opprettet i trinn 2, til den dupliserte SQL-serveren som brukes til å gjenopprette databasen. 4 Installer McAfee epo-programvaren på nytt med alternativet Gjenopprett når oppsettet av McAfee epo starter. 388 McAfee epolicy Orchestrator programvare Produktveiledning

389 Tilleggsinformasjon Planlegge gjenoppretting etter katastrofe A Serverklynger for gjenoppretting etter katastrofe Hvis du må ha null driftsavbrudd når det oppstår en maskinvarefeil, kan du sette McAfee epo-serveren og SQL-serverne i klynge. Men null driftsavbrudd krever ytterligere maskinvare, og øker implementeringskostnadene. Du kan velge å bare sette SQL-serverne i klynge for å minimere driftsavbruddstiden. Hvis McAfee epo-serveren svikter på grunn av en maskinvarefeil, kan du installere operativsystemet på nytt, noe som bare tar noen få timer, og peke McAfee epo-serveren til SQL-databasen. Prosedyrene for fullstendig gjenoppretting er beskrevet i KnowledgeBase-artikkel KB66616: Prosedyre for sikkerhetskopiering av McAfee epo-server og gjenoppretting etter katastrofe. Kalde og varme reserver på ett fysisk sted Hvis det store produksjonsmiljøet krever minimalt med driftsavbrudd, kan du bruke en kald eller varm McAfee epo-reserveserver. Reserveserveren kjører en gjenopprettet installasjon av McAfee epo og peker til SQL-databasen. Hvis du bare har ett fysisk sted, kan du sette SQL-serverne i klynge. Hvis McAfee epo-serveren svikter, er det bare å endre IP-adressen til McAfee epo-reserveserveren til IP-adressen til McAfee epo-serveren som sviktet. Dette IP-adresseområdet er synlig for agentene og gir minst driftsavbrudd i en katastrofesituasjon. Du må ha en sikkerhetskopi av SQL-databasen som du vet fungerer, for at denne IP-adresseendringen skal virke. Kalde og varme reserver på to fysiske steder For total gjenoppretting etter katastrofe bruker du to fysiske steder, ett primært og ett sekundært sted. Primærstedet har en SQL-server i klynge og en McAfee epo-server. McAfee anbefaler at det sekundære stedet bruker en varm eller kald McAfee epo-reserveserver og en SQL-database. Vi anbefaler at du plasserer den sekundære McAfee epo-serveren på et annet fysisk sted som har en annen IP-adresse og et annet DNS-navn. Du kan bruke SQL-reproduksjon eller SQL-loggsending til å kopiere McAfee epo-databasen fra det primære stedet til det sekundære stedets SQL-server på nattlig eller ukentlig basis utenfor arbeidstid. Så kontrollerer du at den sekundære McAfee epo-serveren velger den sekundære SQL-serveren. Du finner mer informasjon i Microsoft-artikkelen Types of Replication ( Figur A-1 Konfigurasjon av primært og sekundært McAfee epo-sted Hvis det primære stedet ikke kan kommunisere, konfigurerer du alle agentene som tidligere kommuniserte med den primære McAfee epo-serveren, til å kommunisere med den sekundære serveren. Agentene finner McAfee epo-serveren ved å kommunisere ti IP-adressen dens først, og hvis det mislykkes, bruker de DNS-navnet. Hvis agentene finner at IP-adressen til den primære McAfee epo-serveren ikke er tilgjengelig, skjer følgende. McAfee epolicy Orchestrator programvare Produktveiledning 389

390 A Tilleggsinformasjon Registrerte servere 1 Agentene spør om DNS-en der du endret IP-adressen for den primære serveren. 2 Agentene velger IP-adressen til den sekundære serveren. 3 Agentene forsøker å koble til den sekundære McAfee epo-serveren og SQL-databasen. Registrerte servere Du kan få tilgang til flere servere ved å registrere dem med McAfee epo-serveren. Ved hjelp av registrerte servere kan du integrere programvaren med andre eksterne servere. Du kan for eksempel registrere en LDAP-server for tilkobling til Active Directory-serveren. McAfee epo kan kommunisere med: Andre McAfee epo-servere SNMP-servere Andre eksterne databaseservere Syslog-servere LDAP-servere Hver registrerte servertype støtter eller bidrar til funksjonaliteten i McAfee epo og andre utvidelser og produkter fra McAfee og tredjeparter. Vi anbefaler at du bruker sertifikater med RSA offentlig nøkkel med lengde på 2048 biter eller større for de registrerte serverne som kobler til McAfee epo. Du finner mer informasjon, inkludert om ytterligere støttede algoritmer for offentlige nøkler og lengder på nøkler, i KnowledgeBase-artikkel KB Innhold Registrere McAfee epo-servere Bruke databaseservere Registrere SNMP-servere Registrer syslog-server Registrere LDAP-servere Speile en LDAP-server Dele objekter mellom servere Registrere McAfee epo-servere Du kan registrere flere McAfee epo-servere for bruk med McAfee epo-hovedserveren til å samle inn eller samle data eller for å muliggjøre overføring av administrerte systemer mellom de registrerte serverne. Før du begynner Hvis du vil registrere én McAfee epo-server for bruk med en annen, må du vite detaljert informasjon om McAfee epo-serverens SQL-database for serveren du registrerer. Du kan bruke følgende eksterne kommando til bl.a. å fastsette server- og databasenavnet for Microsoft SQL-databasen: Dette er variablene i den eksterne kommandoen: <server_name>: DNS-servernavnet eller IP-adressen til den eksterne McAfee epo-serveren <port>: Nummeret på den tildelte McAfee epo-serverporten, vanligvis 8443 med mindre serveren er konfigurert til å bruke et annet portnummer 390 McAfee epolicy Orchestrator programvare Produktveiledning

391 Tilleggsinformasjon Registrerte servere A 1 Velg Meny Konfigurasjon Registrerte servere, og klikk deretter på Ny server. 2 I menyen Servertype på siden Beskrivelse velger du epo, angir et unikt navn og eventuelle merknader og klikker deretter på Neste. 3 Angi følgende alternativer for å konfigurere serveren: Alternativ Godkjenningstype Klientoppgavedeling Databasenavn Databaseport Databaseserver epo-versjon Passord Policydeling SQL Server-forekomst Definisjon Angir typen godkjenning som skal brukes for denne databasen, herunder: Windows-godkjenning SQL-godkjenning Angir om klientoppgaver skal aktiveres eller deaktiveres for denne serveren. Angir navnet på denne databasen. Angir porten for denne databasen. Angir navnet på databasen for denne serveren. Du kan angi en database-mcafee epo ved å bruke DNS-navn eller IP-adresse (IPv4 eller IPv6). Angir versjonen av serveren som registreres. Angir passordet for denne private serveren. Angir om policydeling skal aktiveres eller deaktiveres for denne serveren. Brukes til å angi om dette er standard server eller en bestemt forekomst, ved å angi forekomstnavnet. Kontroller at SQL-nettlesertjenesten kjører før du kobler til en bestemt SQL-forekomst ved å bruke forekomstens navn. Angi portnummeret hvis SQL-nettlesertjenesten ikke kjører. Velg Standard SQL-serverforekomst og angi portnummeret for tilkobling til SQL-serverforekomsten. SSL-kommunikasjon med databaseserver Test tilkobling Angir om McAfee epo bruker SSL-kommunikasjon (Secure Socket Layer) med denne databaseserveren, inkludert: Prøv å bruke SSL Bruk alltid SSL Bruk aldri SSL Kontrollerer tilkoblingen for den angitte serveren. Denne informasjonsadvarselen vises hvis du registrerer en server med en annen McAfee epo-versjon: Advarsel: Manglende versjonssamsvar! McAfee epolicy Orchestrator programvare Produktveiledning 391

392 A Tilleggsinformasjon Registrerte servere Alternativ Overfør systemer Definisjon Angir om muligheten til å overføre systemer skal aktiveres eller deaktiveres for denne serveren. Når aktivert, velger du Automatisk Sitelist-import eller Manuell Sitelist-import. Når du velger Manuell Sitelist-import, kan dette føre til at eldre versjoner av McAfee Agent (versjon 4.0 og eldre) ikke kan kontakte agentbehandleren sin. Dette kan skje når: Systemer overføres fra denne McAfee epo-serveren til den registrerte McAfee epo-serveren Et agentbehandlernavn vises alfanumerisk før McAfee epo-servernavnet i den angitte sitelist-filen Eldre agenter bruker denne agentbehandleren Bruk NTLMv2 Brukernavn Du kan eventuelt velge å bruke godkjenningsprotokollen for NT LAN Manager. Velg dette alternativet når serveren du registrerer, bruker denne protokollen. Angir brukernavnet for denne serveren. 4 Klikk på Lagre. Bruke databaseservere McAfee epo kan hente inn data fra ikke bare egne databaser, men også fra enkelte utvidelser. Det kan være nødvendig å registrere flere ulike servertyper for å fullføre oppgaver i McAfee epo. Dette kan for eksempel være godkjenningsservere, Active Directory-kataloger, McAfee epo-servere og databaseservere som fungerer med bestemte utvidelser du har installert. Databasetyper Utvidelser kan registrere databasetyper, også kjent som oppsett og struktur, i McAfee epo. I så fall kan utvidelsen mate spørringer, rapporter, dashbordovervåkere og serveroppgaver med data. Du må registrere serveren i McAfee epo for å bruke disse dataene. Databaseserver En databaseserver er en kombinasjon av en server og en databasetype som er installert på den aktuelle serveren. En server kan være vert for mer enn én databasetype, og en databasetype kan være installert på flere servere. Alle individuelle kombinasjoner av de to må registreres separat, og omtales som en databaseserver. Når du har registrert en databaseserver, kan du hente data fra databasen til spørringer, rapporter, dashbordovervåkere og serveroppgaver. Hvis det er registrert flere databaser for samme databasetype, må du velge en av dem som standard for den aktuelle databasetypen. Registrere en databaseserver Før McAfee epo kan hente data, må du registrere den med databaseserveren. 392 McAfee epolicy Orchestrator programvare Produktveiledning

393 Tilleggsinformasjon Registrerte servere A 1 Åpne siden Registrerte servere: Velg Meny Konfigurasjon Registrerte servere og klikk på Ny server. 2 Velg Databaseserver i Servertype -rullegardinlisten, skriv inn et servernavn og en valgfri beskrivelse og klikk deretter på Neste. 3 Velg en Databasetype fra rullegardinlisten over registrerte typer. Angi om du vil at databasetypen skal være standard. Hvis det allerede finnes en standard tildelt database for denne databasetype, angis dette i raden Gjeldende standard database for databasetype. 4 Angi Databaseleverandør. For øyeblikket støttes bare Microsoft SQL Server og MySQL. 5 Angi tilkoblingsdetaljene og påloggingslegitimasjonen for databaseserveren. 6 Du sjekker at tilkoblingsinformasjonen og påloggingslegitimasjonen er angitt korrekt ved å klikke på Test tilkobling. En statusmelding angir om dette var vellykket. 7 Klikk på Lagre. Endre en databaseregistrering Hvis tilkoblingsinformasjonen eller påloggingslegitimasjonen for en databaseserver endres, må du endre registreringen slik at den reflekterer den aktuelle tilstanden. 1 Åpne siden Registrerte servere ved å velge Meny Konfigurasjon Registrerte servere. 2 Velg databasen du vil redigere, og klikk deretter på Handlinger Rediger. 3 Endre navnet eller merknadene for serveren, og klikk deretter på Neste. 4 Endre informasjonen etter behov. Klikk på Test tilkobling for å bekrefte databasetilkoblingen. 5 Klikk på Lagre for å lagre endringene. Fjerne en registrert database Du kan fjerne databaser fra systemet når de ikke lenger behøves. 1 Åpne siden Registrerte servere: velg Meny Konfigurasjon Registrerte servere. 2 Velg en database du vil slette, og klikk på Handlinger Slett. 3 Når dialogboksen med bekreftelse vises, klikker du på Ja for å slette databasen. Databasen er slettet. Spørringer, rapporter eller andre elementer i McAfee epo som brukte den slettede databasen, merkes som ugyldige, inntil de oppdateres til å bruke en annen database. McAfee epolicy Orchestrator programvare Produktveiledning 393

394 A Tilleggsinformasjon Registrerte servere Registrere SNMP-servere Du må legge til SNMP-serverinformasjonen for å motta en SNMP-felle, slik at McAfee epo vet hvor fellen skal sendes. 1 Velg Meny Konfigurasjon Registrerte servere, og klikk deretter på Ny server. 2 I menyen Servertype på siden Beskrivelse velger du SNMP-server, angir navnet og eventuell ytterligere informasjon om serveren, og klikker deretter på Neste. 3 Fra URL-rullegardinlisten velger du én av disse serveradressetypene, og deretter angir du adressen: DNS-navn: Angir DNS-navnet til den registrerte serveren. IPv4: Angir IPv4-adressen til den registrerte serveren. IPv6: Angir DNS-navnet til den registrerte serveren som har en IPv6-adresse. 4 Velg SNMP-versjonen serveren bruker: Hvis du velger SNMPv1 eller SNMPv2c som SNMP-serverversjon, skriver du inn samfunnsstrengen til serveren under Sikkerhet. Hvis du velger SNMPv3, oppgir du SNMPv3-sikkerhetsdetaljene. 5 Klikk på Send testfelle for å teste konfigurasjonen. 6 Klikk på Lagre. SNMP-serveren som er lagt til, vises på siden Registrerte servere. Registrer syslog-server Du kan aktivere McAfee epo til å synkronisere med syslog-serveren. En syslog er en måte for nettverksenheter å sende hendelsesmeldinger på til en egen server for logging. Du kan for eksempel bruke syslog for å samle inn informasjon om bestemte trusselhendelser. Før du begynner Du må ha domenenavnet eller IP-adressen til syslog-serveren. 1 Velg Meny Konfigurasjon Registrerte servere, og klikk deretter på Ny server. 2 Fra menyen Servertype på siden Beskrivelse må du velge Syslog-server, angi et unikt navn og eventuelle opplysninger og deretter klikke på Neste. 3 Du kan konfigurere disse innstillingene fra siden Bygger for registrerte servere: a Servernavn: Bruk domenenavnet av DNS-typen (eksempelvis internaldomain.com) og fullt kvalifiserte domenenavn eller IP-adresser for servere. (for eksempel server1.internaldomain.com eller ) b TCP-portnummer: Angi TCP-porten for syslog-serveren. Standardverdien er McAfee epolicy Orchestrator programvare Produktveiledning

395 Tilleggsinformasjon Registrerte servere A c d Aktiver videresending av hendelser: Klikk for å aktivere videresending av hendelser fra agentbehandler til denne syslog-serveren. Test: Klikk på Test tilkobling for å bekrefte tilkoblingen til syslog-serveren. 4 Klikk på Lagre. Når du har registrert syslog-serveren, kan du angi at McAfee epo skal sende hendelser til syslog-serveren. Disse hendelsene lagres som standard på agentbehandleren på følgende bane: C: \Program Files (x86)\mcafee\agent Handler\DB\Logs\server_<serverNamn>.log. Denne loggfilen inkluderer eventuelle syslog-serverfeil som kan oppstå. Registrere LDAP-servere Du må ha en registrert LDAP-server (Lightweight Directory Access Protocol) for å bruke policytildelingsregler, for å aktivere dynamisk tildelte tillatelsessett og for å aktivere Active Directory-brukerpålogging. 1 Velg Meny Konfigurasjon Registerte servere og klikk deretter på Ny server. 2 Fra menyen Servertype på siden Beskrivelse må du velge LDAP-server, angi et unikt navn og eventuelle opplysninger og deretter klikke på Neste. 3 Velg om det er en OpenLDAP- eller Active Directory-server i listen LDAP-servertype. I fortsettelsen av disse instruksjonene, antas det at det er en Active Directory-server som blir konfigurert. OpenLDAP-spesifikk informasjon inkluderes der det er nødvendig. 4 Velg om du angir et domenenavn eller et spesifikt servernavn under Servernavn. Bruk domenenavn av DNS-typen. For eksempel internaldomain.com og fullt kvalifiserte domenenavn eller IP-adresser for servere, og server1.internaldomain.com eller Hvis du bruker domenenavn, får du failover-støtte og du kan velge servere fra et bestemt område hvis du ønsker det. OpenLDAP-servere kan bare bruke servernavn og kan ikke angis etter domene. 5 Velg om du ønsker å bruke global katalog. Dette alternativet er valgt bort som standard. Hvis du velger å bruke global katalog, kan dette gi betydelige ytelsesfordeler. Dette alternativet bør bare velges hvis det registrerte domenet er overordnet for utelukkende lokale domener. Hvis ikke-lokale domener inkluderes, kan letingen etter referanser resultere i ikke-lokal nettverkstrafikk og dermed påvirke ytelsen betydelig. Bruk av global katalog er ikke tilgjengelig for OpenLDAP-servere. 6 Hvis du har valgt bort bruk av global katalog, må du velge om du vil letet etter referanser eller ikke. Leting etter referanser kan forårsake ytelsesproblemer hvis det fører til ikke-lokal nettverkstrafikk, enten en global katalog brukes eller ikke. 7 Velg om du vil bruke SSL eller ikke når du kommuniserer med denne serveren. 8 Hvis du konfigurerer en OpenLDAP-server, må du angi porten. McAfee epolicy Orchestrator programvare Produktveiledning 395

396 A Tilleggsinformasjon Registrerte servere 9 Oppgi brukernavn og passord som angitt. Denne legitimasjonen skal være knyttet til en administratorkonto på serveren. Bruk formatet domain\username for Active Directory og cn=user,dc=realm,dc=com for OpenLDAP. 10 Skriv inn et områdenavn for serveren eller velg det ved å klikke på Bla og finn frem til det. 11 Klikk på Test tilkobling for å bekrefte kommunikasjon med serveren som angitt. Endre informasjonen som nødvendig. 12 Klikk på Lagre for å registrere serveren. Speile en LDAP-server LDAP-serverspeiling til McAfee epo-databasen øker ytelsen på ethvert produkt som bruker brukerbaserte policyer (UBP), og tillater LDAP-tilgang til agentbehandlere bak en DMZ. Dette diagrammet viser standardprosessen for tilkobling av LDAP-server til agentbehandler og den speilede LDAP-tilkoblingsprosessen. Figur A-2 Standard og LDAP-speilede tilkoblingsprosesser Standardprosess for tilkobling fra den konfigurerte LDAP-serveren til agentbehandleren. Speilet LDAP-tilkobling med serveroppgaven LDAP-synkronisering som ber om brukerinformasjonen fra LDAP-serveren. Viser LDAP-serverens brukerinformasjon speilet til McAfee epo-databasen. Viser en agentbehandler bak DMZ med tilgang til speilet LDAP-serverinformasjon i McAfee epo-databasen. 396 McAfee epolicy Orchestrator programvare Produktveiledning

397 Tilleggsinformasjon Registrerte servere A Hvorfor bruke LDAP-speiling? Når LDAP-serverens brukerinformasjon er speilet til McAfee epo-databasen: Middels til store organisasjoner har tilgang til denne brukerinformasjonen som brukes av agentbehandleren fra databasen for å tilfredsstille LDAP-forespørsler om UBP-er raskere. Agentbehandlere bak en DMZ kan få tilgang til LDAP-brukerinformasjon. LDAP-informasjonen i databasen er ikke tilgjengelig og kan ikke søkes etter fra McAfee epo-brukergrensesnittet. Som standard oppdateres LDAP-informasjon i databasen hver 8. time av LdapSync: Synkroniser over brukere fra LDAP-serveroppgaven, med mindre: Et "LDAP-endringsvarsel" sendes til agentbehandleren fra McAfee epo-serveren. Som standard oppdateres LDAP-brukerinformasjonsbufferen i agentbehandleren hvert 30. minutt. Du kjører serveroppgaven manuelt. Dele objekter mellom servere Ofte er den enkleste og raskeste måten å reprodusere virkemåte fra én McAfee epo-server til en annen på, å eksportere elementet som beskriver virkemåten, og importere det til den andre serveren. Eksportere objekter og data fra McAfee epo-serveren Eksporterte objekter og data kan brukes til å sikkerhetskopiere viktige data, og til å gjenopprette eller konfigurere McAfee epo-servere i ditt miljø. De fleste objekter og data som brukes på serveren, kan eksporteres eller lastes ned for så å vises, transformeres eller importeres til en annen server eller andre programmer. Følgende tabell viser de forskjellige elementene du kan gjøre noe med. Hvis du vil vise data, eksporterer du tabellene som HTML- eller PDF-filer. Hvis du vil bruke dataene i andre programmer, eksporterer du tabellene til CSVeller XML-filer. En eksportert XML-fil inneholder vanligvis et element med navnet <list> hvis flere elementer eksporteres. Hvis bare ett objekt eksporteres, kan dette elementet få navn etter objektet. (For eksempel spørring). Eventuelt mer detaljert innhold varierer avhengig av den eksporterte elementtypen. Følgende elementer kan eksporteres. Installerte utvidelser kan legge til elementer i denne listen. Se dokumentasjonen for utvidelsen for å få mer informasjon. Dashbord Serveroppgaver Tillatelsessett Brukere Spørringer Automatiske responser Rapporter Du kan også eksportere elementer fra: Policykatalog Klientoppgavekatalog Taggkatalog McAfee epolicy Orchestrator programvare Produktveiledning 397

398 A Tilleggsinformasjon Problemer Følgende elementer kan ha en tabell med gjeldende innhold eksportert. Revisjonslogg Problemer 1 Klikk på Handlinger og velg et alternativ på siden som viser objektene eller dataene. Når du for eksempel eksporterer en tabell, velger du Eksporter tabell og klikker på Neste. 2 Når du eksporterer innhold som kan lastes ned i flere formater, for eksempel spørringsdata, åpnes en Eksporter-side med konfigurasjonsalternativer. Angi ønskede innstillinger og klikk på Eksporter. 3 Når du eksporterer objekter eller definisjoner, for eksempel klientoppgaveobjekter eller -definisjoner, skjer noe av følgende: Et nettleservindu åpnes. Der kan du velge om du vil Åpne eller Lagre. Siden Eksporter med en kobling til filen åpnes. Venstreklikk på koblingen for å vise filen i nettleseren, eller høyreklikk på koblingen for å lagre filen. Importere elementer til McAfee epo Elementer som er eksportert fra en McAfee epo-server, kan importeres til en annen server. McAfee epo eksporterer elementer i XML-format. XML-filene inneholder nøyaktige beskrivelser av de eksporterte elementene. Importere elementer Visse regler følges ved importering av elementer til McAfee epo: Alle elementene, bortsett fra brukerne, importeres med privat synlighet som standard. Andre tillatelser kan legges til enten under eller etter importeringen. Hvis det allerede finnes et element med samme navn, legges ordet "(imported)" eller "(copy)" til i elementets navn. Importerte elementer som krever en utvidelse eller et produkt som ikke finnes på den nye serveren, blir merket som ugyldig. McAfee epo importerer bare XML-filer som er eksportert av McAfee epo. Du finner detaljert informasjon om hvordan du importerer ulike elementer i dokumentasjonen for de ulike elementene. Problemer Problemer er handlingselementer som kan prioriteres, tildeles og spores. Innhold Problemer og hvordan de fungerer Vise problemer Fjerne avsluttede problemer fra Problemer-tabellen Opprette problemer manuelt Konfigurere responser for å opprette problemer automatisk Administrere problemer 398 McAfee epolicy Orchestrator programvare Produktveiledning

399 Tilleggsinformasjon Problemer A Bruke billetter med McAfee epo Problemer og hvordan de fungerer Problemer administreres av brukere med tilstrekkelige tillatelser samt de installerte utvidelsene for administrerte produkter. Et problems tilstand, prioritet, alvorlighet, løsning, tildelte person og forfallsdato, kan defineres av brukere og endres når som helst. Du kan også angi standardrespons på problemer fra siden Automatiske responser. Disse standardinnstillingene brukes automatisk når et problem opprettes, på bakgrunn av en brukerkonfigurert respons. Responser lar også hendelser bli samlet til ett enkelt problem slik at McAfee epo-serveren ikke overveldes av et stort antall problemer. Problemer kan slettes manuelt. Lukkede problemer kan både tømmes på bakgrunn av alder og tømmes automatisk ved hjelp av en brukerkonfigurert serveroppgave. Vise problemer Siden Problemer inneholder en liste over aktuelle og avsluttede problemer. 1 Åpne siden Problemer: Velg Meny Automatisering Problemer. 2 Sorter og filtrer tabellen for å fokusere på relevante oppføringer. Klikk på Velg kolonner for å endre hvilke kolonner som vises. Klikk på en kolonnetittel for å sortere tabelloppføringer. Hvis du vil skjule urelaterte oppføringer, velg et filter fra rullegardinlisten. 3 Klikk på en oppføring for å vise flere detaljer. Fjerne avsluttede problemer fra Problemer-tabellen Fjern regelmessig avsluttede problemer fra Problemer-tabellen for å forbedre databaseytelsen. Elementer som fjernes fra Problemer-tabellen, slettes for godt. 1 Åpne siden Problemer: Velg Meny Automatisering Problemer. 2 Klikk på Tøm. 3 Oppgi et tall i dialogboksen Tøm, og velg en tidsenhet. 4 Klikk på OK. Alle elementer med denne alderen eller eldre slettes, også elementer som ikke vises. Antall fjernede elementer vises nederst til høyre på siden. Opprett en serveroppgave for å fjerne foreldede elementer automatisk. McAfee epolicy Orchestrator programvare Produktveiledning 399

400 A Tilleggsinformasjon Problemer Opprette problemer manuelt Opprett et problem når du har et element som administratorer må håndtere. Oppgi nok informasjon, slik at andre brukere forstår hvorfor du har opprettet problemet. 1 Velg Meny Automatisering Problemer og klikk på Nytt problem. 2 Velg en problemtype fra rullegardinlisten Opprett problem av type i dialogboksen Nytt problem og klikk på OK. Hvis du er usikker på hvilken problemtype du skal velge, velger du Grunnleggende. 3 Konfigurer det nye problemet. Eventuelle forfallsdatoer du angir, må være i fremtiden. 4 Klikk på Lagre. Konfigurere responser for å opprette problemer automatisk Bruk responser for å opprette problemer automatisk når bestemte hendelser oppstår. 1 Åpne Responsbygger. a Velg Meny Automatisering Automatiske responser. b Klikk på Ny respons. 2 Fyll ut feltene og klikk på Neste. 3 Velg egenskaper for å avgrense hvilke hendelser som utløser responsen, og klikk deretter på Neste. 4 Angi disse nye detaljene, og klikk deretter på Neste. Hyppigheten for hendelser som kreves for å generere en respons. En metode for å gruppere hendelser. Den maksimale tidsperioden du vil at denne responsen skal forekomme innenfor. 5 Velg Opprett problem i rullegardinlisten, og velg deretter problemtypen du vil opprette. Dette valget bestemmer hvilke alternativer som vises på denne siden. 6 Angi et navn på og en beskrivelse av problemet. Velg eventuelt én eller flere variabler for navnet og beskrivelsen. Denne funksjonen inneholder en rekke variabler med informasjon som kan hjelpe deg å løse problemet. 7 Skriv inn eller velg eventuelt flere alternativer for responsen, og klikk deretter på Neste. 8 Se gjennom detaljene for responsen, og klikk deretter på Lagre. Administrere problemer Du kan legge til kommentarer, tildele, slette, redigere og vise detaljer for problemene. 400 McAfee epolicy Orchestrator programvare Produktveiledning

401 Tilleggsinformasjon Problemer A 1 Velg Meny Automatisering Problemer. 2 Utfør en av de følgende oppgavene: Alternativ Legge til kommentarer i problemer Definisjon 1 Velg avmerkingsboksen ved siden av hvert problem du vil kommentere, og klikk deretter på Handling Legg til kommentar. 2 I ruten Legg til kommentar skriver du inn kommentaren du vil legge til i de valgte problemene. 3 Klikk på OK for å legge til kommentaren. Tildele problemer Vise nødvendige kolonner på siden Problemer Slette problemer Merk av for hvert problem du vil tildele, og klikk på Tildel til bruker. Klikk på Handlinger Velg kolonner. Velg datakolonnene som skal vises på siden Problemer. 1 Velg avmerkingsboksen ved siden av hvert problem du vil slette, og klikk deretter på Slett. 2 Klikk på OK for å slette de valgte problemene. Redigere problemer 1 Velg avmerkingsboksen ved siden av et problem, og klikk deretter på Rediger. 2 Rediger problemet etter behov. 3 Klikk på Lagre. Eksportere problemlisten Vise problemdetaljer 1 Klikk på Handlinger Eksporter tabell for å åpne siden Eksporter. 2 Fra siden Eksporter kan du angi formatet for filene som skal eksporteres samt hvordan de pakkes. Velg et problem. Siden Problemdetaljer viser alle innstillingene for problemet, samt aktivitetsloggen for problemer. Bruke billetter med McAfee epo Når du skal integrere automatisk billettering med McAfee epo, kan du eller McAfee Professional Services bruke Utsted API-er til å konfigurere en ekstern server. Se skriptveiledningen for web-api for McAfee epolicy Orchestrator for å få detaljert informasjon om bruk av Web-API og eksempler. McAfee epolicy Orchestrator programvare Produktveiledning 401

402 A Tilleggsinformasjon SSL-sertifikater SSL-sertifikater Nettleserne som støttes av McAfee epo, viser en advarsel om en servers SSL-sertifikat hvis nettleseren ikke kan bekreftes hvorvidt sertifikatet er signert av en TrustedSource. Oppretting av et selvsignert sertifikat med OpenSSL stopper nettleseradvarselen. Oppretting av et selvsignert sertifikat kan gi den grunnleggende sikkerheten og funksjonaliteten som trengs for systemer som brukes på interne nettverk, eller hvis du ikke vil vente på at en sertifiseringsmyndighet autoriserer et sertifikat. Opprette et egensignert sertifikat med OpenSSL Enkelte ganger kan det hende at du ikke kan, eller ikke vil, vente på at et sertifikat skal godkjennes av en sertifiseringsmyndighet. Under innledende testing eller for systemer som brukes på interne nettverk, kan et selvsignert sertifikat gi den grunnleggende sikkerheten og funksjonaliteten som trengs. Før du begynner Du må installere programvaren OpenSSL for Windows for å opprette et selvsignert sertifikat. OpenSSL er tilgjengelig her: products/win32openssl.html Du må bruke programvaren OpenSSL for Windows for å opprette og selvsignere et sertifikat for bruk med McAfee epo-serveren. Du kan bruke mange verktøy til å opprette et selvsignert sertifikat. Denne oppgaven beskriver prosessen ved bruk av OpenSSL. Hvis du vil at en tredjepart, for eksempel VeriSign- eller Microsoft Windows Enterprise-sertifiseringsmyndighet, skal opprette et signert sertifikat for McAfee epo, finner du mer informasjon i KnowledgeBase-artikkel KB72477: How to generate a custom SSL certificate for use with epo using the OpenSSL toolkit. Følgende filstruktur brukes i denne oppgaven: OpenSSL oppretter ikke disse mappene som standard. De brukes i disse eksemplene, og kan opprettes for å gjøre det lettere å finne utdatafilene. C:\ssl\ : Installasjonsmappe for OpenSSL. C:\ssl\certs\ : Brukes for å lagre de opprettede sertifikatene. 402 McAfee epolicy Orchestrator programvare Produktveiledning

403 Tilleggsinformasjon SSL-sertifikater A C:\ssl\keys\ : Brukes for å lagre de opprettede nøklene. C:\ssl\requests\ : Brukes for å lagre de opprettede sertifiseringsforespørslene. Vi anbefaler at du bruker sertifikater med RSA offentlig nøkkel med lengde på 2048 biter eller høyere. 1 Angi følgende kommando på kommandolinjen for å generere den innledende sertifikatnøkkelen: C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 2048 Følgende skjermbilde vises. Loading 'screen' into random state - done Generating RSA private key, 2048 bit long modulus kan ikke skrive "tilfeldig tilstand" e er (ox10001) Enter pass phrase for keys/ca.key: Verifying - Enter pass phrase for keys/ca.key: C:\ss\bin> 2 Angi en passfrase når du blir bedt om det i første trinn, og bekreft passfrasen i neste trinn. Noter deg passfrasen du angir. Du trenger den senere i prosessen. Filnavnet ca.key genereres og lagres i banen C:\ssl\keys\. Nøkkelen ligner på følgende eksempel. 3 Angi følgende kommando på kommandolinjen for å egensignere sertifikatnøkkelen du opprettet: openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer Følgende skjermbilde vises. McAfee epolicy Orchestrator programvare Produktveiledning 403

404 A Tilleggsinformasjon SSL-sertifikater Angi den nødvendige informasjonen etter følgende kommandoledetekst: Navn på land (kode på to bokstaver) [AU]: State or Province Name (full name) [Some-State]: Stedsnavn (f.eks. by) []: Organisasjonsnavn (f.eks. selskap) [Internet Widgits Pty Ltd]: Navn på organisasjonens underenhet (f.eks. avdeling) []: Vanlig navn (f.eks. DITT navn) []: Etter denne kommandoledeteksten angir du navnet på serveren, for eksempel McAfee epo-servernavnet. Address []: Filnavnet ca.cer genereres og lagres i banen C:\ssl\certs\. Det egendefinerte sertifikatet ligner på følgende eksempel. 4 Hvis du vil laste opp selvsignert sertifikat, åpner du siden Rediger serversertifikat. a Velg Meny Konfigurasjon Serverinnstillinger. b Velg Serversertifikat fra listen Innstillingskategorier og klikk på Rediger. 404 McAfee epolicy Orchestrator programvare Produktveiledning

405 Tilleggsinformasjon SSL-sertifikater A 5 Bla gjennom til serversertifikatfilen og klikk på Åpne. I dette eksemplet blar du til C:\ssl\certs\ og velger ca.cer. 6 Skriv om nødvendig PKCS12-sertifikatpassordet. 7 Om nødvendig, skriv inn sertifikatets aliasnavn. 8 Bla gjennom til den private nøkkel-filen, og klikk deretter på Åpne. I dette eksemplet blar du til C:\ssl\keys\ og velger ca.key. 9 Skriv eventuelt inn passordet for privat nøkkel, og klikk så på Lagre. 10 Start McAfee epo på nytt for at endringen skal tre i kraft. Andre nyttige OpenSSL-kommandoer Du kan bruke andre OpenSSL-kommandoer for å hente ut og kombinere nøklene i genererte PKCS12-sertifikater. Du kan også konvertere en passordbeskyttet privat PEM-nøkkelfil til en ikke-passordbeskyttet fil. Kommandoer som kan brukes med PKCS12-sertifikater Bruk disse kommandoene for å opprette et PKCS12-sertifikat med både sertifikatet og nøkkelen i én fil. Beskrivelse Oppretter et sertifikat og en nøkkel i én fil Eksporterer PKCS12-versjonen av sertifikatet OpenSSL-kommandoformat openssl req -x509 -nodes -days 365 -newkey rsa: config path \openssl.cnf -keyout path \pkcs12example.pem -out path \pkcs12example.pem openssl pkcs12 -export -out path \pkcs12example.pfx -in path \pkcs12example.pem -name " user_name_string " Bruk disse kommandoene for å skille sertifikatet og nøkkelen fra et PKCS12-sertifikat med disse kombinert. Beskrivelse OpenSSL-kommandoformat Trekker ut.pem-nøkkelen fra.pfx openssl pkcs12 -in pkcs12examplekey.pfx -out pkcs12examplekey.pem Fjerner passord for nøkkel openssl rsa -in pkcs12examplekey.pem -out pkcs12examplekeynopw.pem McAfee epo-serveren kan så bruke pkcs12examplecert.pem som sertifikat og pkcs12examplekey.pem som nøkkel (eller nøkkelen uten passord pkcs12examplekeynopw.pem). Kommandoer for å konvertere en passordbeskyttet privat PEM-nøkkelfil Angi følgende for å konvertere en passordbeskyttet privat PEM-nøkkelfil til en ikke-passordbeskyttet fil: openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem I det forrige eksempelet er C:\ssl\keys inndata- og utdatabanene for filnavnene key.pem og keynopassword.pem. McAfee epolicy Orchestrator programvare Produktveiledning 405

406 A Tilleggsinformasjon SSL-sertifikater Konvertere en eksisterende PVK-fil til en PEM-fil McAfee epo-programvaren støtter PEM-kodede private nøkler. Dette inkluderer både passordbeskyttede og ikke-passordbeskyttede private nøkler. Du kan bruke OpenSSL til å konvertere en PVK-formatert nøkkel til et PEM-format. Før du begynner Du må installere programvaren OpenSSL for Windows for å konvertere den PVK-formaterte filen. Denne programvaren er tilgjengelig fra: Bruk programvaren OpenSSL for Windows til å konvertere sertifikatet i PVK-format til PEM-format. 1 Angi følgende på kommandolinjen for å konvertere en tidligere opprettet PVK-fil til en PEM-fil: openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl \keys\myprivatekey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd I det foregående eksempelet er argumentene " passin" og " passout" valgfrie. 2 Angi passordet som du brukte da du opprinnelig opprettet PVK-filen, hvis du blir bedt om det. Hvis " passout" argumentet ikke brukes i det foregående eksempelet, passordbeskyttes ikke den nylig opprettede PEM-formaterte nøkkelen. Sikkerhetsnøkler og hvordan de fungerer McAfee epo-serveren er avhengig av tre sikkerhetsnøkkelpar. De tre sikkerhetsnøkkelparene brukes til å: Godkjenne agent-til-server-kommunikasjon. Bekrefte innholdet på lokale programdatabaser. Bekrefte innholdet på eksterne programdatabaser. Den hemmelige nøkkelen til hvert par signerer meldinger eller pakker i kilden, mens den offentlige nøkkelen bekrefter meldingene eller pakkene i målet. Nøkler for sikker kommunikasjon mellom agent og server (ASSC) Første gang agenten kommuniserer med serveren, sender agenten den offentlige nøkkelen til serveren. Fra da av bruker serveren den offentlige nøkkelen til agenten til å bekrefte meldinger som er signert med agentens hemmelige nøkkel. Serveren bruker sin egen hemmelige nøkkel til å signere meldinger til agenten. Agenten bruker serverens offentlige nøkkel til å bekrefte serverens melding. Du kan ha flere nøkkelpar for sikker kommunikasjon, men bare én nøkkel kan være angitt som hovednøkkel. 406 McAfee epolicy Orchestrator programvare Produktveiledning

407 Tilleggsinformasjon SSL-sertifikater A Når oppdateringsoppgaven for klientagentnøkkelen kjøres (McAfee epo Agent Key Updater), mottar agenter som bruker ulike offentlige nøkler, den aktuelle offentlige nøkkelen. Når du oppgraderer, overføres eksisterende nøkler til McAfee epo-serveren. Lokalt nøkkelpar for master-programdatabase Den hemmelige nøkkelen i programdatabasen signerer pakken før den sjekkes inn i programdatabasen. Den offentlige nøkkelen for programdatabasen bekrefter innholdet i programdatabasepakken. Agenten henter tilgjengelig nytt innhold hver gang oppgaven for klientoppdatering kjører. Dette nøkkelparet er unikt for hver enkelt server. Ved å eksportere og importere nøkler mellom servere, kan du bruke samme nøkkelpar i et miljø med flere servere. Andre nøkkelpar for programdatabase Den hemmelige nøkkelen til en klarert kilde signerer kildens innhold når det legges inn i dens eksterne programdatabase. Klarerte kilder omfatter nedlastingsområdet for McAfee og McAfee-programdatabasen Security Innovation Alliance (SIA). Hvis nøkkelen er slettet, kan du ikke gjennomføre en pull, selv om du importerer en nøkkel fra en annen server. Før du overskriver eller sletter denne nøkkelen, må du sørge for å sikkerhetskopiere den på et trygt sted. Den offentlige nøkkelen til McAfee Agent bekrefter innholdet som mottas fra den eksterne programdatabasen. Nøkkelpar for master-programdatabase Den private nøkkelen for master-programdatabasen signerer alt usignert innhold i master-programdatabasen. Agenter bruker den offentlige nøkkelen til å godkjenne programdatabaseinnholdet som har opphav i master-programdatabasen på denne McAfee epo-serveren. Hvis innholdet er usignert, eller signert med en ukjent privatnøkkel for programdatabase, behandles det nedlastede innholdet som ugyldig og slettes. Dette nøkkelparet er unikt for hver serverinstallering. Ved å eksportere og importere nøkler kan du imidlertid bruke samme nøkkelpar i et miljø med flere servere. Dette sikrer at agenter alltid kan koble til én av master-programdatabasene, selv om en annen programdatabase er nede. Andre offentlige nøkler for programdatabase Nøkler som ikke er masternøkkel-paret, er offentlige nøkler som agenter bruker til å verifisere innhold fra andre masterprogramdatabaser i miljøet eller fra McAfee-kildeområder. Hver agent som rapporterer til denne serveren bruker nøklene i listen Andre offentlige nøkler for programdatabase for å verifisere innhold som stammer fra andre McAfee epo-servere i organisasjonen eller fra McAfee-kilder. Dersom en agent laster ned innhold som stammer fra en kilde hvor agenten ikke har den riktige offentlige nøkkelen, vil agenten avvise innholdet. Disse nøklene er en ny funksjon og kun 4.0-agenter og senere kan brukes til de nye protokollene. Administrere programdatabasenøkler Du kan administrere programdatabasenøkler ved å bruke disse oppgavene. McAfee epolicy Orchestrator programvare Produktveiledning 407

408 A Tilleggsinformasjon SSL-sertifikater r Bruke ett nøkkelpar for Master-programdatabasen for alle servere på side 408 Du kan sikre at alle McAfee epo-servere og agenter bruker det samme nøkkelparet for master-programdatabase i et miljø med flere servere, ved å bruke serverinnstillinger. Bruke nøkler for master-programdatabase i miljø med flere servere på side 408 Kontroller at agentene kan bruke innhold som kommer fra alle McAfee epo-serverne i miljøet, ved å bruke Serverinnstillinger. Bruke ett nøkkelpar for Master-programdatabasen for alle servere Du kan sikre at alle McAfee epo-servere og agenter bruker det samme nøkkelparet for master-programdatabase i et miljø med flere servere, ved å bruke serverinnstillinger. Denne prosessen består av at du først eksporterer nøkkelparet du vil at alle serverne skal bruke, og deretter importerer du nøkkelparet til alle serverne i miljøet. 1 Velg Meny Konfigurasjon ServerinnstillingerVelg Sikkerhetsnøkler i listen Innstillingskategorier, og klikk deretter på Rediger. 2 Klikk på Eksporter nøkkelpar ved siden av Lokalt nøkkelpar for master-programdatabase, fra Rediger sikkerhetsnøkler. 3 Klikk på OK. Dialogboksen Filnedlasting åpnes. 4 Klikk på Lagre og bla til en plassering som er tilgjengelig for den andre serverne, der du vil lagre zip-filen som inneholder nøkkelfilene for sikker kommunikasjon. Klikk deretter på Lagre. 5 Klikk på Importer ved siden av Importere og sikkerhetskopiere nøkler. 6 Bla til zip-filen som inneholder de eksporterte nøkkelfiler for master-programdatabase, og klikk på Neste. 7 Kontroller at dette er nøklene du vil importere, og klikk på Lagre. Det importerte nøkkelparet for master-programdatabasen erstatter det eksisterende nøkkelparet på denne serveren. Agentene begynner å bruke det nye nøkkelparet etter at neste oppdateringsoppgave for agenten er fullført. Når nøkkelparet for master-programdatabasen er endret, må det utføres en agent-til-server-kommunikasjon (ASSC) før agenten kan bruke den nye nøkkelen. Bruke nøkler for master-programdatabase i miljø med flere servere Kontroller at agentene kan bruke innhold som kommer fra alle McAfee epo-serverne i miljøet, ved å bruke Serverinnstillinger. Serveren signerer alt usignert innhold som er sjekket inn i programdatabasen, ved hjelp av den private nøkkelen for master-programdatabasen. Agenter bruker offentlige nøkler for programdatabase til å bekrefte innholdet som er hentet fra programdatabaser i organisasjonen eller fra McAfee kildeområder. Nøkkelparet for master-programdatabasen er unikt for hver installasjon av McAfee epo. Hvis du bruker flere servere, har alle serverne forskjellige nøkler. Hvis agentene dine kan laste ned innhold som stammer fra forskjellige master-programdatabaser, må du kontrollere at agentene gjenkjenner innholdet som gyldig. 408 McAfee epolicy Orchestrator programvare Produktveiledning

409 Tilleggsinformasjon SSL-sertifikater A Du kan fullføre denne prosessen på to måter: Bruk samme nøkkelpar for master-programdatabasen for alle servere og agenter. Kontroller at alle agenter er konfigurert for å gjenkjenne alle offentlige nøkler for programdatabasen som brukes i ditt miljø. Denne oppgaven eksporterer nøkkelparet fra én McAfee epo-server til en McAfee epo-målserver. Deretter importeres og overskrives det eksisterende nøkkelparet på McAfee epo-målserveren. 1 Velg Meny Konfigurasjon Serverinnstillinger på McAfee epo-serveren med nøkkelpar for master-programdatabasen, velg Sikkerhetsnøkler fra listen Innstillingskategorier og klikk på Rediger. 2 Klikk på Eksporter nøkkelpar ved siden av Lokalt nøkkelpar for master-programdatabase og klikk på OK. 3 Klikk på Lagre i dialogboksen Filnedlasting. 4 Bla til en plassering på McAfee epo-målserveren for å lagre zip-filen. Endre om nødvendig navnet på filen og klikk på Lagre. 5 Velg Meny Konfigurasjon Serverinnstillinger på McAfee epo-målserveren der du vil laste nøkkelparet for master-programdatabasen, velg Sikkerhetsnøkler fra listen Innstillingskategorier og klikk på Rediger. 6 På siden Rediger sikkerhetsnøkler: a Klikk på Importer ved siden av Importere og sikkerhetskopiere nøkler. b c Ved siden av Velg fil blar du gjennom og velger master-nøkkelparfilen du lagret. Klikk deretter på Neste. Hvis sammendragsinformasjonen er riktig, klikker du på Lagre. Det nye master-nøkkelparet vises i listen ved siden av Nøkler for sikker kommunikasjon mellom agent og server. 7 I listen velger du filen som du importerte i forrige trinn, og klikker på Velg som master. Denne innstillingen endrer det eksisterende master-nøkkelparet til det nye nøkkelparet du importerte. 8 Klikk på Lagre for å fullføre prosessen. Nøkler for sikker kommunikasjon mellom agent og server (ASSC) Agenter bruker ASSC-nøkler for å kommunisere sikkert med serveren. Du kan velge hvilket som helst ASSC-nøkkelpar som master. Dette er nøkkelparet som for øyeblikket er tildelt til alle distribuerte agenter. Eksisterende agenter som bruker andre nøkler i listen over nøkler for sikker kommunikasjon mellom agent og server, endres ikke til den nye master-nøkkelen med mindre en nøkkeloppdateringsoppgave for klientagent er planlagt og kjører. Vent til alle agenter har oppdatert til den nye hovednøkkelen før du sletter eldre nøkler. Administrere ASSC-nøkler Generer, eksporter, importer eller slett nøkler for sikker kommunikasjon fra agent til server (ASSC) fra siden Serverinnstillinger. McAfee epolicy Orchestrator programvare Produktveiledning 409

410 A Tilleggsinformasjon SSL-sertifikater 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Sikkerhetsnøkler og klikk på Rediger. 2 Velg en av disse handlingene. Handling Generere og bruke nye ASSC-nøkkelpar Trinn 1 Ved siden av listen Nøkler for sikker kommunikasjon mellom agent og server, klikker du på Ny nøkkel. I dialogboksen skriver du inn navnet på sikkerhetsnøkkelen. 2 Hvis du ønsker at eksisterende agenter skal bruke den nye nøkkelen, velger du nøkkelen fra listen og klikker deretter på Velg som master. Agentene begynner å bruke den nye nøkkelen etter at neste McAfee Agent-oppdateringsoppgave er fullført. Kontroller at det finnes en agentnøkkeloppdateringspakke for hver versjon av McAfee Agent som administreres av McAfee epo. I store installasjoner bør generering og bruk av nye hovednøkkelpar bare utføres når du har en god grunn til å gjøre det. Vi anbefaler at du utfører denne prosedyren i faser, slik at du kan overvåke prosessen. 3 Når alle agenter har sluttet å bruke den gamle nøkkelen, sletter du den. I listen over nøkler vises antallet agenter som bruker denne nøkkelen for øyeblikket, til høyre for hver nøkkel. 4 Sikkerhetskopier alle nøkler. Eksportere ASSC-nøkler Eksporter ASSC-nøkler fra én McAfee epo-server til en annen McAfee epo-server, slik at agenter får tilgang til den nye McAfee epo-serveren. 1 Velg en nøkkel fra listen Nøkler for sikker kommunikasjon mellom agent og server, og klikk deretter på Eksporter. 2 Klikk på OK. Nettleseren ber deg om å laste ned filen sr<servername>.zip til den angitte plasseringen. Hvis du har angitt en standardplassering for alle nettlesernedlastinger, kan det hende at denne filen lagres på den plasseringen automatisk. Importere ASSC-nøkler Importer ASSC-nøkler som ble eksportert fra en annen McAfee epo-server, slik at agenter fra den serveren får tilgang til denne McAfee epo-serveren. 1 Klikk på Importer. 2 Bla gjennom til og velg nøkkelen fra plasseringen der du lagret den (standardplasseringen er skrivebordet), og klikk deretter Åpne. 3 Klikk på Neste, og se gjennom informasjonen på siden Importer nøkler. 4 Klikk på Lagre. 410 McAfee epolicy Orchestrator programvare Produktveiledning

411 Tilleggsinformasjon SSL-sertifikater A Handling Angi et ASSC-nøkkelpar som master Trinn Endre hvilket nøkkelpar som er angitt som master. Angi et masternøkkelpar etter at du har importert eller generert et nytt nøkkelpar. 1 Velg en nøkkel fra listen Nøkler for sikker kommunikasjon mellom agent og server, og klikk deretter på Velg som master. 2 Opprett oppdateringsoppgave som kjøres umiddelbart for agentene, slik at agentene oppdateres etter neste agent-til-server-kommunikasjon. Kontroller at agentnøkkeloppdateringspakken er sjekket inn i master-programdatabasen for McAfee epo. Agentene begynner å bruke det nye nøkkelparet etter at neste oppdateringsoppgave for McAfee Agent er fullført. Du kan når som helst se hvilke agenter som bruker hvilke ASSC-nøkkelpar i listen. 3 Sikkerhetskopier alle nøkler. Slette ASSC-nøkler Ikke slett nøkler som er i bruk av en agent. Hvis du sletter slike nøkler, kan ikke agentene kommunisere med McAfee epo-serveren. 1 Velg nøkkelen du vil slette, i listen over nøkler for sikker kommunikasjon mellom agent og server, og klikk på Slett. 2 Klikk på OK for å slette nøkkelparet fra denne serveren. Vise systemer som bruker et ASSC-nøkkelpar Du kan vise systemene hvis agenter bruker et spesifikt nøkkelpar for sikker kommunikasjon mellom agent og server i listen Nøkler for sikker kommunikasjon mellom agent og server. Etter at et spesifikt nøkkelpar har blitt gjort til hovednøkler, kan det hende du ønsker å vise systemene som fremdeles brukes det forrige nøkkelparet. Ikke slett nøkkelparet før du vet at ingen agenter fremdeles bruker det. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Sikkerhetsnøkler i listen Innstillingskategorier, og klikk deretter på Rediger. 2 Velg en nøkkel fra listen Nøkler for sikker kommunikasjon mellom agent og server, og klikk deretter på Vis agenter. Siden Systemer som bruker denne nøkkelen viser alle systemer hvis agenter bruker den valgte nøkkelen. Bruke samme ASSC-nøkkelpar for alle servere og agenter Kontroller at alle McAfee epo-serverne og agentene bruker det samme nøkkelparet for sikker agent-til-server-kommunikasjon (ASSC). Hvis du har et stort antall administrerte systemer i miljøet ditt, anbefaler McAfee at du utfører denne prosessen i faser, slik at du kan overvåke agentoppdateringer. 1 Opprett en agentoppdateringsoppgave. 2 Eksporter de valgte nøklene fra den angitte McAfee epo-serveren. McAfee epolicy Orchestrator programvare Produktveiledning 411

412 A Tilleggsinformasjon SSL-sertifikater 3 Importer de eksporterte nøklene til alle andre servere. 4 Angi den importerte nøkkelen som hovednøkkel på alle servere. 5 Utfør to vekkesignal til agent. 6 Når alle agentene bruker de nye nøklene, kan du slette alle ubrukte nøkler. 7 Sikkerhetskopier alle nøkler. Bruke et annet ASSC-nøkkelpar for hver McAfee epo-server Du kan bruke et annet ASSC-nøkkelpar for hver McAfee epo-server for å sikre at alle agentene kan kommunisere med de nødvendige McAfee epo-servere i et miljø der hver enkelt server må ha et unikt nøkkelpar for sikker kommunikasjon mellom agent og server. Agenter kan kommunisere med bare én server om gangen. McAfee epo-serveren kan ha flere nøkler for å kommunisere med ulike agenter, men det gjelder ikke motsatt vei. Hvis du sletter slike nøkler, kan ikke agentene kommunisere med McAfee epo-serveren. 1 Fra hver McAfee epo-server i miljøet kan du eksportere hovednøkkelparet for sikker kommunikasjon mellom agent og server til en midlertidig plassering. 2 Importer hvert av disse nøkkelparene i hver McAfee epo-server. Sikkerhetskopiere og gjenopprette nøkler Sikkerhetskopier alle sikkerhetsnøkler med jevne mellomrom, og ta alltid en sikkerhetskopi før du endrer innstillingene for nøkkeladministrasjon. Lagre sikkerhetskopien på en sikker nettverksplassering slik at nøklene lett kan gjenopprettes hvis de mot formodning skulle mistes fra McAfee epo-serveren. 1 Velg Meny Konfigurasjon Serverinnstillinger, velg Sikkerhetsnøkler i listen Innstillingskategorier, og klikk deretter på Rediger. 2 Velg en av følgende handlinger på siden Rediger sikkerhetsnøkler. 412 McAfee epolicy Orchestrator programvare Produktveiledning

413 Tilleggsinformasjon Konfigurering av Product Improvement Program A Handling Sikkerhetskopiere alle sikkerhetsnøkler Trinn 1 Klikk på Sikkerhetskopier alle nær bunnen av siden. Dialogboksen Sikkerhetskopier nøkkellager vises. 2 Du kan eventuelt angi et passord for å kryptere ZIP-filen med nøkkellageret eller klikk på OK for å lagre filene som ukryptert tekst. 3 Fra dialogboksen for nedlasting av fil klikker du på Lagre for å opprette en ZIP-fil av alle sikkerhetsnøkler. Dialogboksen Lagre som vises. 4 Bla til en sikker nettverksplassering der du kan lagre ZIP-filen, og klikk på Lagre. Gjenopprette sikkerhetsnøkler. 1 Klikk på Gjenopprett alle nede på skjermen. Siden Gjenopprett sikkerhetsnøkler åpnes. 2 Bla til ZIP-filen som inneholder sikkerhetsnøklene, velg den og klikk på Neste. Veiviseren for gjenoppretting av sikkerhetsnøkler åpnes på siden Sammendrag. 3 Bla gjennom til nøklene du ønsker å erstatte dine eksisterende nøkler med, og klikk deretter på Neste. 4 Klikk på Gjenopprett. Siden Rediger sikkerhetsnøkler vises på nytt. 5 Bla til en sikker nettverksplassering der du kan lagre ZIP-filen, og klikk på Lagre. Gjenopprette sikkerhetsnøkler fra en sikkerhetskopifil. 1 Klikk på Gjenopprett alle nede på skjermen. Siden Gjenopprett sikkerhetsnøkler åpnes. 2 Bla til ZIP-filen som inneholder sikkerhetsnøklene, velg den og klikk på Neste. Veiviseren for gjenoppretting av sikkerhetsnøkler åpnes på siden Sammendrag. 3 Bla til og velg ZIP-filen for sikkerhetskopien og klikk på Neste. 4 Klikk på Gjenopprett alle nederst på siden. Veiviseren for gjenoppretting av sikkerhetsnøkler åpnes. 5 Bla til og velg ZIP-filen for sikkerhetskopien og klikk på Neste. 6 Kontroller at nøklene i denne filen er nøklene du vil overskrive de eksisterende nøklene med, og klikk deretter på Gjenopprett alle. Konfigurering av Product Improvement Program McAfee Product Improvement Program bidrar til å forbedre McAfee-produkter. Programmet henter inn data proaktivt fra klientsystemene som administreres av McAfee epo-serveren. McAfee Product Improvement Program henter følgende typer data: McAfee epolicy Orchestrator programvare Produktveiledning 413

414 A Tilleggsinformasjon Gjenopprette administratorrettigheter Systemmiljøet (detaljer om programvare og maskinvare) Effektiviteten av installerte McAfee-produktfunksjoner McAfee produktfeil og relaterte Windows-hendelser 1 Velg Meny Konfigurasjon Serverinnstilling, og velg Product Improvement Program fra Innstillingskategorier, og klikk deretter på Rediger. 2 Velg Ja for å la McAfee hente anonyme diagnose- og bruksdata, og klikk deretter på Lagre. Hvis du vil vite mer om McAfee Product Improvement Program, kan du gå til r Avinstallere McAfeeProduct Improvement Program på side 414 McAfeeProduct Improvement Program kan avinstalleres når som helst. Avinstallere McAfeeProduct Improvement Program McAfeeProduct Improvement Program kan avinstalleres når som helst. 1 Logg på McAfee-serveren som administrator. 2 Velg Meny Policy Klientoppgavekatalog, velg McAfee Agent Produktdistribuering son Klientoppgavetyper, og klikk på Handlinger Ny oppgave. 3 Opprett en oppgave for å avinstallere McAfeeProduct Improvement Program fra klientsystemene. 4 Tilordne oppgaven til klientsystemene og send et vekkesignal til agent. 5 Klikk på Meny Programvare Master-programdatabase, klikk på Slett ved siden av McAfeeProduct Improvement Program-pakken. Klikk deretter på OK. 6 Klikk på Meny Programvare Utvidelser, og velg McAfee Product Improvement Program. 7 Klikk på Fjern, og klikk deretter på OK. Gjenopprette administratorrettigheter Opprett en midlertidig administratorkonto når du er låst ute av systemet og ingen andre administratorkontoer er tilgjengelig. Før du begynner Du må kunne logge på serveren direkte og få tilgang til McAfee epo med localhost-adressen. Du må ha gjeldende databaselegitimasjon for McAfee epo. 414 McAfee epolicy Orchestrator programvare Produktveiledning

415 Tilleggsinformasjon Oversikt over porter A 1 Åpne en nettleser på localhost:8080 fra serveren. Påloggingssiden for McAfee Foundation Services åpnes. 2 Klikk på Gjenopprett administratortilgang. Siden Gjenopprett administratortilgang åpnes. 3 Oppgi gjeldende brukernavn og passord under Databaselegitimasjon. Databasebrukernavn:: Det aktuelle brukernavnet for databasen. Databasepassord:: Det aktuelle passordet for databasen. 4 Oppgi brukernavnet og passordet for den nye, midlertidige administratorkontoen under Administratorlegitimasjon. Brukernavn:: Brukernavnet for den nye kontoen. Passord:: Passordet for den nye kontoen. Bekreft passord:: Oppgi passordet for den nye kontoen på nytt for å bekrefte det. 5 Klikk på Send. Systemet oppretter den nye midlertidige kontoen. Du har nå tilgang til McAfee epo med den nye administratorkontoen. Bruk kontoen til å gjenopprette tilgang for administratorbrukerne. Når de har fått tilgang, kan du slette den midlertidige administratorkontoen. Oversikt over porter Følg disse retningslinjene når du skal tilpasse portene som McAfee epo-serveren bruker. Endre kommunikasjonsport for konsoll-til-programserver Følg denne framgangsmåten for å angi en annen port hvis McAfee epo-kommunikasjonsporten for konsoll-til-programserver brukes av en annen app. Før du begynner Sikkerhetskopier registeret og gjør deg kjent med gjenopprettingsprosessen. Se Microsoft-dokumentasjonen for ytterligere informasjon. Kontroller at du bare kjører.reg-filer som ikke er bekreftet å være ekte registerimportfiler. Dette emnet inneholder informasjon om åpning eller endring av registeret. Denne informasjonen er bare ment for nettverks- og systemadministratorer. Registerendringer kan ikke omgjøres og kan føre til systemsvikt hvis de gjøres feil. McAfee epolicy Orchestrator programvare Produktveiledning 415

416 A Tilleggsinformasjon Oversikt over porter 1 Stopp McAfee epo-tjenestene: a Lukk alle McAfee epo-konsoller. b c Klikk på Start Kjør, skriv services.msc og klikk på OK. Høyreklikk på hver av disse tjenestene og velg Stopp: McAfee epolicy Orchestrator-programserver McAfee epolicy Orchestrator-hendelsesanalyse McAfee epolicy Orchestrator-server 2 Velg denne nøkkelen i registerredigeringsprogrammet: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall \{53B73DFD AFBE A1 777FE404B6AF}] 3 Dobbeltklikk på TomcatSecurePort.SQL i høyre rute og endre verdien for å gjenspeile det nødvendige portnummeret (standardverdien er 8443). 4 Åpne et tekstredigeringsprogram og lim inn disse linjene i et tomt dokument: UPDATE EPOServerInfo SET rmdsecurehttpport =8443 Endre 8443 til dert nye portnummeret. 5 Gi filen navnet TomcatSecurePort.sql og lagre den på et midlertidig sted på SQL Server. 6 Bruk Microsoft SQL Server Management Studio til å installere filen TomcatSecurePort.SQL som du opprettet. a Klikk på Start Alle programmer Microsoft SQL Server Management Studio. b c d e f Klikk på Koble til i dialogboksen Koble til server. Utvid Databaser og velg epo-database. Velg Ny spørring fra verktøylinjen. Klikk på Fil Åpne Fil... og naviger til filen TomcatSecurePort.sql. Velg filen og klikk på Åpne Utfør. 7 Bla til denne katalogen i Windows Utforsker: \Program Files (x86)\mcafee\epolicy Orchestrator\Server\conf\ 8 Åpne Server.xml i Notisblokk og erstatt alle oppføringer av port 8443 med det nye portnummeret. 9 Klikk på Start Kjør, skriv services.msc og klikk på OK. 10 Høyreklikk på hver av disse tjenestene og velg Start: McAfee epolicy Orchestrator-programserver McAfee epolicy Orchestrator-hendelsesanalyse McAfee epolicy Orchestrator-server 416 McAfee epolicy Orchestrator programvare Produktveiledning

417 Tilleggsinformasjon Oversikt over porter A Endre port for agent-til-server-kommunikasjon Følg denne fremgangsmåten for å endre porten for agent-til-server-kommunikasjon. Før du begynner Dette emnet inneholder informasjon om åpning eller endring av registeret. Denne informasjonen er bare for nettverks- og systemadministratorer. Registerendringer kan ikke omgjøres og kan føre til systemsvikt hvis de gjøres feil. Vi anbefaler på det sterkeste at du sikkerhetskopierer registeret og at du gjør deg kjent med gjenopprettingsprosessen. Se Microsoft-dokumentasjonen for ytterligere informasjon. Kontroller at du bare kjører.reg-filer som er bekreftet å være ekte registerimportfiler. Endring av agent-til-server-kommunikasjonsporten krever fem trinn og ett alternativt trinn hvis du benytter eksterne agentbehandlere. 1 Stopp McAfee epo-tjenestene 2 Endre portverdien i registret 3 Endre verdien i McAfee epo-databasen 4 Endre portverdien i McAfee epo-konfigurasjonsfilene 5 Start McAfee epo-tjenestene på nytt 6 (Valgfritt) Endre innstillinger på eksterne agentbehandlere 1 Stopp McAfee epo-tjenestene: a Lukk alle McAfee epo-konsoller. b c Klikk på Start Kjør, skriv services.msc og klikk på OK. Høyreklikk på hver av disse tjenestene og velg Stopp: McAfee epolicy Orchestrator-programserver McAfee epolicy Orchestrator-hendelsesanalyse McAfee epolicy Orchestrator-server 2 Endre portverdien i registret: a Klikk på Start Kjør, skriv regedit og klikk på OK. b c Naviger til nøkkelen som svarer til McAfee epo: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion \Uninstall\{ 53B73DFD-AFBE A1-777FE404B6AF}] Endre strengverdien AgentPort slik at den gjenspeiler riktig port. Deretter lukker du registerredigeringsprogrammet. Standardverdien for denne porten er 80. McAfee epolicy Orchestrator programvare Produktveiledning 417

418 A Tilleggsinformasjon Oversikt over porter 3 Endre verdien i McAfee epo-databasen: a Åpne et tekstredigeringsprogram og legg inn disse linjene i det tomme dokumentet: UPDATE EPOServerInfo ServerHTTPPort=80 b c d e f g h Lagre filen som DefaultAgentPort.SQL på en midlertidig plassering på SQL Server. Klikk på Start Alle programmer Microsoft SQL Server Management Studio hvis du vil bruke Microsoft SQL Server Management Studio til å installere filen DefaultAgentPort.sql. Klikk på Koble til i dialogboksen Koble til server. Utvid Databaser og velg epo-database. Velg Ny spørring fra verktøylinjen. Klikk på Fil Åpne Fil, bla til og velg filen DefaultAgent.SQL og klikk på Åpne Kjør. Lim inn denne linjen i et tomt dokument: UPDATE EPOServerInfo SET ServerHTTPPort =80 Endre 80 til det nye portnummeret. i j Gi filen navnet DefaultAgentPort.SQL og lagre den på et midlertidig sted på SQL Server. Bruk Microsoft SQL Server Management Studio til å installere filen DefaultAgentPort.SQL. Klikk på Start Alle programmer Microsoft SQL Server Management Studio. Klikk på Koble til i dialogboksen Koble til server. Utvid Databaser og velg epo-database. Velg Ny spørring fra verktøylinjen. Klikk på Fil Åpne Fil, bla til og velg filen DefaultAgentPort.SQL og klikk på Åpne Kjør. 4 Endre portverdien i McAfee epo-konfigurasjonsfilene: a Gå til C:\Program Files (x86)\mcafee\epolicy Orchestrator\DB\... b c d Åpne Server.ini i et tekstredigeringsprogram og endre verdien for HTTPPort=80 til det nye nummeret, og lagre filen. Åpne Siteinfo.ini i et tekstredigeringsprogram og endre verdien for HTTPPort=80 til det nye nummeret, og lagre filen. Gå til C:\Program Files (x86)\mcafee\epolicy Orchestrator\Apache2\conf\..., åpne httpd.conf og endre disse linjene for å gjenspeile det nye portnummeret: Listen 80 ServerName<DittServerNavn>: 80 Hvis du bruker VirtualHosts, endrer du følgende: NameVirtualHost *:80 <VirtualHost *:80> e Lagre filen og avslutt tekstredigeringsprogrammet. 418 McAfee epolicy Orchestrator programvare Produktveiledning

419 Tilleggsinformasjon Oversikt over porter A 5 Start McAfee epo-tjenestene på nytt: a Klikk på Start Kjør, skriv services.msc og klikk på OK. b Høyreklikk på hver av disse tjenestene og velg Start: McAfee epolicy Orchestrator-programserver McAfee epolicy Orchestrator-hendelsesanalyse McAfee epolicy Orchestrator-server 6 (Valgfritt) Endre innstillinger på eksterne agentbehandlere: a Kontroller at alle McAfee epo-konsoller er lukket og klikk på Start Kjør, skriv services.msc og klikk på OK. b Høyreklikk på hver av disse tjenestene og velg Start: McAfee epolicy Orchestrator-hendelsesanalyse McAfee epolicy Orchestrator-server Denne serveren kan være oppført som MCAFEEAPACHESRV hvis serveren ikke har vært startet på nytt etter at agentbehandleren ble installert. c Gå til C:\Program Files (x86)\mcafee\epolicy Orchestrator\Apache2\conf\..., åpne httpd.conf i et tekstredigeringsprogram og endre disse linjene for å gjenspeile det nye portnummeret: Listen 80 ServerName<DittServerNavn>: 80 Hvis du bruker VirtualHosts, endrer du følgende: NameVirtualHost *:80 <VirtualHost *:80> d e f Lagre filen og avslutt tekstredigeringsprogrammet. Klikk på Start Kjør, skriv services.msc og klikk på OK. Høyreklikk på hver av disse tjenestene og velg Start. McAfee epolicy Orchestrator-hendelsesanalyse McAfee epolicy Orchestrator-server Denne serveren kan være oppført som MCAFEEAPACHESRV hvis serveren ikke ble startet på nytt etter at agentbehandleren ble installert. Hvis du tidligere har distribuert agenter til klienter, installerer du agenten på nytt på alle klientene med bryteren /forceinstall for å overskrive den eksisterende Sitelist.xml-filen. Se McAfeeKnowledgeBase-artikkel KB60555 hvis du vil ha mer informasjon om spesifikke McAfee Agent-versjoner som kan bruke bryteren /forceinstall. McAfee epolicy Orchestrator programvare Produktveiledning 419

420 A Tilleggsinformasjon Oversikt over porter Porter som kreves for kommunikasjon gjennom en brannmur Bruk disse portene til å konfigurere en brannmur slik at den tillater trafikk til og fra McAfee epo-serveren. Relevante begreper Toveis Tilkoblingen startes av et lokalt eller eksternt system. Innkommende Tilkoblingen startes av et eksternt system. Utgående Tilkoblingen startes av et lokalt system. Tabell A-1 McAfee epo-server Port Standard Beskrivelse Trafikkretning Port for agent-til-server-kommunikasjon Agent som kommuniserer over SSL (kun agenter av versjon 4.5 og nyere) Kommunikasjonsport for agentvekking, SuperAgent-programdatabaseport Kommunikasjonsport for agentkringkasting Kommunikasjonsport for konsoll-til-programserver Godkjent klient-til-server-kommunikasjonsport 80 TCP-port åpnet av McAfee epo-servertjenesten for å motta forespørsler fra agenter. 443 Som standard må 4.5-agenter kommunisere over SSL (443 som standard). Denne porten brukes også av Ekstern agentbehandler til å kommunisere med McAfee epo-master-programdatabasen TCP-port åpnet av agenter for å motta forespørsler om agentvekking fra McAfee epo-serveren. TCP-port åpnet for å reprodusere programdatabaseinnhold til en SuperAgent-programdatabase UDP-port åpnet av SuperAgent for å videresende meldinger fra McAfee epo-serveren og agentbehandleren HTTPS-port åpnet av McAfee epo-programserveren for å tillate tilgang til nettleserkonsoll Brukes av agentbehandleren til å kommunisere med McAfee epo-serveren for å få nødvendig informasjon (for eksempel LDAP-servere). TCP-port for SQL Server 1433 TCP-port som brukes til å kommunisere med SQL Server. Denne porten angis eller fastsettes automatisk under installeringsprosessen. Toveis mellom agentbehandleren og McAfee epo-serveren og innkommende fra McAfee Agent til agentbehandlere og McAfee epo-server. Innkommende tilkobling til McAfee epo-serveren fra agenter eller agentbehandlere til master-programdatabasen. Innkommende tilkobling: Agent til McAfee epo Agentbehandler til master-programdatabase McAfee epo til master-programdatabase Agent til agentbehandler Utgående tilkobling fra McAfee epo-serveren og Agentbehandler til McAfee Agent. Utgående tilkobling fra SuperAgenten til andre agenter. Innkommende tilkobling til McAfee epo-serveren fra McAfee epo-konsollen. Utgående tilkobling fra eksterne agentbehandlere til McAfee epo-serveren. Utgående tilkobling fra McAfee epo-serveren og agentbehandleren til SQL Server. 420 McAfee epolicy Orchestrator programvare Produktveiledning

421 Tilleggsinformasjon Oversikt over porter A Tabell A-1 McAfee epo-server (fortsatt) Port Standard Beskrivelse Trafikkretning UDP-port for SQL-server 1434 UDP-port som brukes til å be om TCP-porten som brukes av SQL-forekomsten som er vert for McAfee epo-databasen. Standard LDAP-serverport 389 LDAP-tilkobling til å slå opp datamaskiner, brukere, grupper og organisasjonsenheter for brukerbaserte policyer. Standard LDAP-serverport for SSL 636 Brukerbaserte policyer bruker LDAP-tilkoblingen til å slå opp datamaskiner, brukere, grupper og organisasjonsenheter. Utgående tilkobling fra McAfee epo-serveren og agentbehandleren til SQL Server. Utgående tilkobling fra McAfee epo-serveren og agentbehandleren til en LDAP-server. Utgående tilkobling fra McAfee epo-serveren og agentbehandleren til en LDAP-server. Hurtigreferanse for trafikk Bruk denne informasjonen om port og trafikkretning til å konfigurere en brannmur slik at den tillater trafikk til og fra McAfee epo-serveren. Relevante begreper Toveis Et lokalt eller eksternt system kan initiere tilkoblingen. Innkommende Tilkoblingen startes av et eksternt system. Utgående Tilkoblingen startes av et lokalt system. Tabell A-2 Agentbehandler Standardport Protokoll Trafikkretning på McAfee epo-server 80 TCP Toveis tilkobling til og fra McAfee epo-server. 389 TCP Utgående tilkobling fra McAfee epo-server. 443 TCP Innkommende tilkobling til McAfee epo-server. 636 TCP Utgående tilkobling fra McAfee epo-server TCP Utgående tilkobling fra McAfee epo-server UDP Utgående tilkobling fra McAfee epo-server TCP Utgående tilkobling fra McAfee epo-server TCP Innkommende tilkobling til McAfee epo-server TCP Innkommende tilkobling til McAfee epo-server. Trafikkretning på agentbehandler Toveis tilkobling til og fra agentbehandler. Utgående tilkobling fra agentbehandler. Innkommende tilkobling til agentbehandler. Utgående tilkobling fra agentbehandler. Utgående tilkobling fra agentbehandler. Utgående tilkobling fra agentbehandler. Utgående tilkobling fra agentbehandler. Utgående tilkobling fra agentbehandler. Tabell A-3 McAfee Agent Standardport Protokoll Trafikkretning 80 TCP Utgående tilkobling til McAfee epo-server og agentbehandler. 443 TCP Utgående tilkobling til McAfee epo-serveren og agentbehandler. McAfee epolicy Orchestrator programvare Produktveiledning 421

422 A Tilleggsinformasjon Oversikt over porter Tabell A-3 McAfee Agent (fortsatt) Standardport Protokoll Trafikkretning 8081 TCP Innkommende tilkobling fra McAfee epo-serveren og agentbehandler. Hvis agenten er en SuperAgent-programdatabase, er den innkommende tilkoblingen fra andre agenter UDP Innkommende tilkobling til agenter. Innkommende og utgående tilkobling er fra eller til en SuperAgent. Tabell A-4 SQL Server Standardport Protokoll Trafikkretning 1433 TCP Innkommende tilkobling fra McAfee epo-server og agentbehandler UDP Innkommende tilkobling fra McAfee epo-server og agentbehandler. 422 McAfee epolicy Orchestrator programvare Produktveiledning

423 B Legge til systemer som er koblet til over VPN Når systemer kobler til McAfee epo med en VPN-server, bruker de VPN-serverens MAC-adresse for alle tilkoblede systemer. Dette gjør at enkelte av systemene som er koblet til VPN, forsvinner fra systemtreet fordi de vises som dupliserte MAC-adresser. Dette diagrammet og beskrivelsen forklarer hvorfor noen systemer som kobler til McAfee epo over en VPN, forsvinner fra systemtreet fordi de har samme MAC-adresse. Klient A kobler til McAfee epo over VPN-tilkoblingen. McAfee epo forbinder VPN-serverens MAC-adresse, 00:12:3F:11:11:11, med klient A i stedet for klientens faktiske MAC-adresse. Klient B kobler til McAfee epo over VPN-tilkoblingen. McAfee epo forbinder VPN-serverens MAC-adresse, også 00:12:3F:11:11:11, med klient B. Begge klientene har nå VPN-serverens MAC-adresse. Klient A slettes fra systemtreet, fordi begge klientene ser ut til å ha samme MAC-adresse. Hvis du vil hindre McAfee epo i å bruke VPN-serverens MAC-adresse som gyldig samsvarende kriterium og slette systemer, må du: McAfee epolicy Orchestrator programvare Produktveiledning 423

424 B Legge til systemer som er koblet til over VPN Fastslå OUI for tilkoblet VPN-server 1 finne VPN-serverens MAC-adresse for å finne ut den unike organisasjonsidentifikatoren (OUI), eller leverandørnummer. OUI er de første seks tegnene i VPN-serverens MAC-adresse. 2 Bruk SQL Server Management Studio til å sette inn VPN-serverens OUI i McAfee epo virtuelle verdier for MAC-leverandør for å hindre at OUI brukes som første gyldige samsvarende kriterium. Denne endringen gjør at McAfee epo bruker klient-guid som gyldig samsvarende kriterium i stedet for MAC-adressen for alle systemer som kobler til med VPN-serverens OUI. Innhold Fastslå OUI for tilkoblet VPN-server Bruk systemtreet til å finne VPN-serverens MAC-adresse Gode fremgangsmåter for opprette en rapport for å finne VPN-serverens MAC-adresse Gode fremgangsmåter: Bruke SQL Server Management Studio til å legge til virtuell ID-verdi for MAC-leverandør Fastslå OUI for tilkoblet VPN-server Du må finne ut OUI for VPN-serveren for å hindre McAfee epo i å bruke serverens MAC-adresser som gyldig samsvarende kriterium. Den unike organisasjonsidentifikatoren (OUI) er de første seks tegnene i VPN-serverens MAC-adresse. Dette er to måter å finne ut VPN-serverens OUI på. Bruk systemtreet til å finne VPN-serverens MAC-adresse Den beste måten å finne VPN-serverens MAC-adresse på, er å finne et system som kobler til McAfee epo gjennom denne VPN-serveren. Før du begynner Du må ha en ekstern tilkobling til systemet som kobler til McAfee epo gjennom den VPN-serveren. 1 Koble eksternt til et system som kobler til McAfee epo gjennom den VPN-serveren. 2 Bruk en av disse prosessene for å vise McAfee Agent-statusovervåking: Hvis McAfee Agent-ikonet vises i systemstatusfeltet, klikk på ikonet. Hvis McAfee Agent-ikonet ikke vises i systemstatusfeltet, kan du bruke følgende fremgangsmåte for å vise McAfee Agent-statusovervåking: 1 Fra ledeteksten endrer du mappene til denne standardmappen: C:\Program Files\McAfee\Common Framework\ 2 Hvis du vil vise McAfee Agent-statusovervåking, skriv inn denne kommandoen: CmdAgent.exe /s 3 I McAfee Agent-statusovervåking klikker du på Samle inn og send egenskaper. Denne prosessen henter systemegenskaper og sender dem til McAfee epo-serveren. 424 McAfee epolicy Orchestrator programvare Produktveiledning

425 Legge til systemer som er koblet til over VPN Gode fremgangsmåter for opprette en rapport for å finne VPN-serverens MAC-adresse B 4 I McAfee epo-konsollen velger du Meny Systemer Systemtre. 5 Du viser systeminformasjonen ved å finne systemet som kobler til McAfee epo over VPN-tilkoblingen, og dobbeltklikke på systemnavnet. 6 Klikk på kategorien Systemegenskaper, klikk deretter på Tilpass på høyre side av skjermen. 7 Finn MAC-adresse fra listen Egenskaper, klikk på Flytt til toppen og klikk deretter på Lagre. Det VPN-tilkoblede systemets MAC-adresse vises øverst i listen med systeminformasjon. 8 Noter de første seks tegnene av systemets MAC-adresse, som er VPN-serverens OUI. Gode fremgangsmåter for opprette en rapport for å finne VPNserverens MAC-adresse Du kan opprette en rapport for å vise systemer med samme MAC-adresse. 1 Velg Meny Rapportering Spørringer og rapporter. 2 Klikk på Ny spørring for å vise kategorien Resultattype, konfigurer disse innstillingene og klikk deretter på Neste. I Funksjonsgruppe-listen velger du Systemadministrasjon. I Resultattyper-ruten velger du Administrerte systemer. 3 I kategorien Diagram konfigurerer du disse innstillingene, og klikker deretter på Neste. I listen Vis resultater som velger du Oppsummeringstabell for enkeltgruppe. I listen Etikettene er, under Egenskaper for datamaskin, velger du MAC-adresse. 4 I Kolonner-kategorien, i listen Tilgjengelige kolonner under Egenskaper for datamaskin, velger du MAC-adresse og klikker deretter på Neste 5 I Filter-fanen konfigurerer du disse innstillingene og klikker på Kjør. I listen Tilgjengelige egenskaper utvider du Administrerte systemer og klikker på Administrert tilstand. I Administrert tilstand-innstillingene velger du Er lik fra rullegardinmenyen Sammenligning og Administrert fra rullegardinmenyen Verdier. I listen Tilgjengelige egenskaper utvider du Egenskaper for datamaskin og klikker på MAC-adresse. I MAC-adresse-innstillingene velger du Verdien er ikke tom fra rullegardinlistensammenligning. 6 Finn to systemer med samme MAC-adresse i spørringsresultatet. Denne MAC-adressen tilhører sannsynligvis VPN-serveren som kobler systemene til McAfee epo. 7 Noter de første seks tegnene av systemets MAC-adresse, som er VPN-serverens OUI. McAfee epolicy Orchestrator programvare Produktveiledning 425

426 B Legge til systemer som er koblet til over VPN Gode fremgangsmåter: Bruke SQL Server Management Studio til å legge til virtuell ID-verdi for MAC-leverandør Gode fremgangsmåter: Bruke SQL Server Management Studio til å legge til virtuell ID-verdi for MAC-leverandør Hvis du vil hindre McAfee epo-serveren i å slette systemer som kobler til over en VPN-server, må du legge til VPN-serverens OUI til i McAfee epo Virtual MAC-leverandørverdiene i SQL Server Management Studio. Før du begynner Du må kjenne til den første OUI-en på seks tegn. Du trenger tillatelse for å få tilgang til SQL Server Management Studio. 1 Skriv inn denne kommandoen i nettleseren for å finne navnet på McAfee epo-serveren og -databasen. Erstatt <ServerNamn> med navnet på McAfee epo-serveren og portnummeret for serverkommunikasjon, hvis det ikke er 8443 som standard. 2 Åpne SQL Server Management Studio og koble til McAfee epo SQL-databaseserveren med databasens godkjenningsmetode. Navnet på McAfee epo SQL-databaseserveren er typisk <McAfee_ePO_server_name>\EPOSERVER. 3 I Objektutforsker klikker du på disse objektene: <McAfee_ePO_server_namn>\EPOSERVER Databaser epo_<mcafee_epo_server_namn> Tabeller 4 Rull nedover listen til tabellen dbo.epovirtualmacvendor, høyreklikk på tabellnavnet og velg Skripttabell som SETT inn i vindu for redigering av ny spørring. En SQLQuery1.sql-fil åpnes i den høyre ruten i displayet med standardverdi i epovirtualmacvendor-tabell. 426 McAfee epolicy Orchestrator programvare Produktveiledning

427 Legge til systemer som er koblet til over VPN Gode fremgangsmåter: Bruke SQL Server Management Studio til å legge til virtuell ID-verdi for MAC-leverandør B 5 Standardspørringsverdi, vist i parentes, er <VendorID, nvarchar(8),>. Endre denne verdien til VPN-serverens leverandør-id. Sett heksadesimalverdien på seks tegn i enkle anførselstegn. Dette er et eksempel på standardtabellverdien og den endrede '00123F'-tabellverdien. 6 Hvis du vil kjøre spørringen og legge VPN-serverens OUI-verdi til i EPOVirtualMacVendor-tabellen, klikker du på Spørring Utfør på menylinjen. 7 Bekreft at denne statusen vises i ruten Meldinger under spørringen du oppdaterte: (1 rad(er) berørt(e)) Nå bruker McAfee epo klient-guid som gyldig samsvarende kriterium i stedet for MAC-adresse for alle systemene som kobler til med VPN-serverens OUI. Se også Fastslå OUI for tilkoblet VPN-server på side 424 McAfee epolicy Orchestrator programvare Produktveiledning 427

428 B Legge til systemer som er koblet til over VPN Gode fremgangsmåter: Bruke SQL Server Management Studio til å legge til virtuell ID-verdi for MAC-leverandør 428 McAfee epolicy Orchestrator programvare Produktveiledning

429 C Installer McAfee epo på en AWS-server Installasjon av McAfee epo på en virtuell AWS-server (Amazon Web Services) gjør at du kan endre størrelsen på serveren etterhvert som nettverket utvikler seg, og eliminere sjansene for maskinvaresvikt. Innhold Bruk av en AWS-server med McAfee epo Opprett AWS-serveren Koble til AWS-serveren Installer McAfee epo på en AWS-server Opprett en virtuell agentbehandler McAfee epolicy Orchestrator programvare Produktveiledning 429

430 C Installer McAfee epo på en AWS-server Bruk av en AWS-server med McAfee epo Bruk av en AWS-server med McAfee epo En virtuell AWS-server (Amazon Web Services) har samme funksjoner og ytelse som lokalt konfigurert maskinvare. Dette diagrammet viser de grunnleggende trinnene for oppretting av en AWS-server for å administrere klienter med McAfee epo. Figur C-1 AWS-server med grunnleggende McAfee epo-konfigurasjonstrinn Skaff deg en AWS-konto fra Logg på AWS-administrasjonskonsollen og konfigurer den virtuelle AWS-serveren. 1 Velg og konfigurer den virtuelle serveren med programvare, harddisklagring og minne. Velg den geografiske AWS-regionen for den virtuelle serveren, nærmest de fleste av dine McAfee epo-administrerte systemer. 2 Konfigurer en sikkerhetsgruppe på AWS. I AWS kalles en brannmur en sikkerhetsgruppe. Denne må opprettes for at en McAfee Agent skal kunne koble til McAfee epo-serveren. 3 Registrer det offentlige DNS-navnet for AWS-forekomsten, eller IP-adressen som AWS opprettet. Bruk Eksternt skrivebord og DNS-navnet, eller den offentlige IP-adressen til å koble til AWS-serveren. Installer McAfee epo ved bruk av programvare levert av McAfee og informasjon fra AWS SQL-databaseserveren. 430 McAfee epolicy Orchestrator programvare Produktveiledning

431 Installer McAfee epo på en AWS-server Opprett AWS-serveren C Opprett en virtuell agentbehandler i McAfee epo-konsollen. En virtuell agentbehandler gjør at dine administrerte systemer kan kommunisere med McAfee epo-serveren som er installert på AWS-serveren. Opprett en McAfee Agent-URL eller McAfee Agent-installasjonspakke. McAfee epo-serveren administrerer systemene dine. McAfee epo-serveren administrerer systemene dine. Opprett AWS-serveren Før du kan installere McAfee epo på en AWS-server må du opprette serveren med passende innstillinger og opprette en tilkobling til bedriftsnettverket ditt. Før du begynner Du må ha en Amazon Web Services-konto for å fullføre denne prosessen. Dette eksempelet og de valgte verdiene beskriver oppretting av en McAfee epo-server for å administrere rundt klientsystemer. Verdiene du velger, kan være annerledes. Se installasjonsveiledningen for McAfee epolicy Orchestrator for krav til prosessor, lagring og minne. 1 Logg på AWS-konsollen for å vise AWS-konsollsiden. Figur C-2 AWS-konsollsiden McAfee epolicy Orchestrator programvare Produktveiledning 431

432 C Installer McAfee epo på en AWS-server Opprett AWS-serveren 2 Angi AWS-datasenterregionen som plasseringen nærmest de fleste klientsystemene du skal administrere med McAfee epo. For å velge region klikker du på listen til høyre for navigeringslinjen på AWS-konsollsiden. 3 Under Beregn dobbeltklikker du på EC2 (Amazon Elastic Compute Cloud) for å åpne Trinn 1: Velg Amazon Machine Image (AMI). Figur C-3 Trinn 1: Velg Amazon Machine Image (AMI) I dette eksempelet er serverforekomsten en 64-bit-server med en Microsoft Server 2012 med SQL Standard Edition allerede installert. Velg alltid AMI med en SQL-database inkludert. 432 McAfee epolicy Orchestrator programvare Produktveiledning

433 Installer McAfee epo på en AWS-server Opprett AWS-serveren C 4 Rull til bildet du vil ha og klikk på Velg for å åpne Trinn 2: Velg en forekomsttype. Figur C-4 Trinn 2: Velg en forekomsttype 5 I dette eksempelet med administrering av klienter må du i Familie-kolonnen velge forekomsttypen Generelt formål og konfigurere disse innstillingene: Type m3.2xlarge Forekomstlagring (GB) 2 x 80 (SSD) vcpus 8 EBS-optimalisering tilgjengelig Ja Minne (GiB) 30 Nettverkytelse Høy Forekomsttypen du velger, avhenger av mange faktorer i det administrerte nettverket. For eksempel antallet administrerte klienter, nettverksgeografi og kobling mellom steder. Bruk forslagene til CPU-kjerner til McAfee epo-server, RAM og maskinvare for å velge forekomsttypen som passer. McAfee epolicy Orchestrator programvare Produktveiledning 433

434 C Installer McAfee epo på en AWS-server Opprett AWS-serveren 6 Klikk på Neste: Konfigurer forekomstdetaljer for å åpne Trinn 3: Konfigurer forekomstdetaljer. Figur C-5 Trinn 3: Konfigurer forekomstdetaljer 7 For dette eksempelet konfigurerer du disse innstillingene for forekomstdetaljer: Antall forekomster Skriv inn 1. Kjøpsalternativ Opphev merking for Be om Spot-forekomster. Nettverk Velg Start med EC2-Classic. Tilgjengelighetssone Velg Ingen preferanse. IAM-rolle Velg Ingen fra listen. Avslåingsatferd Velg Stopp. Ikke velg Avslutt. Hvis du velger dette, slettes serverforekomsten når du stopper AWS-serveren og du må konfigurere alt på nytt for å starte igjen. Aktiver avslutningsbeskyttelse: Klikk på Beskytt mot utilsiktet avslutning. Avslutningsbeskyttelse er en annen metode du kan bruke for å unngå at AWS-serveren avsluttes ved et uhell. Overvåking Opphev merkingen for Aktiver detaljert CloudWatch-overvåking. EBS-optimalisert forekomst Klikk på Start som EBS-optimalisert forekomst. 434 McAfee epolicy Orchestrator programvare Produktveiledning

435 Installer McAfee epo på en AWS-server Opprett AWS-serveren C 8 Klikk på Neste: Legg til lagring for å åpne trinn 4: Legg til lagring-siden. Figur C-6 Trinn 4: Legg til lagring-siden 9 I dette eksempelet må følgende lagringsinnstillinger konfigureres: a Type rot: Konfigurer disse innstillingene for operativsystempartisjonen på serveren: Enhet Behold som standard. Øyeblikksbilde Behold som standard. Størrelse (GiB) Skriv inn 100. Volumtype Velg Generelt formål (SSD). IOPS: (Inndata-/utdata-operasjoner per sekund) Godta standardverdien. Slett ved avslutning Opphev merking. b Type: For McAfee epo-serverpartisjonen velger du EBS (Elastic Block Store) og konfigurerer disse innstillingene: Enhet Velg et individuelt enhetsnavn fra listen. Øyeblikksbilde La stå tomt. Størrelse (GiB) Skriv inn 300. Volumtype Velg Generelt formål (SSD). IOPS La stå som standard. Slett ved avslutning Opphev merking. McAfee epolicy Orchestrator programvare Produktveiledning 435

436 C Installer McAfee epo på en AWS-server Opprett AWS-serveren 10 Klikk på Neste: Taggforekomst for å åpne Trinn 5: Taggforekomst-siden. Figur C-7 Trinn 5: Taggforekomst-siden 436 McAfee epolicy Orchestrator programvare Produktveiledning

437 Installer McAfee epo på en AWS-server Opprett AWS-serveren C 11 Konfigurer en bestemt tagg og en verdi som skal brukes til å identifisere denne AWS-serveren, og klikk på Neste: Konfigurer en sikkerhetsgruppe for å åpne Trinn 6: Konfigurer sikkerhetsgruppe-siden. Taggene har ingen semantisk betydning for Amazon EC2, men tolkes bare som en streng av tegn. Taggene tildeles ikke ressursene dine automatisk. Figur C-8 Trinn 6: Konfigurer sikkerhetsgruppe 12 I dette eksempelet må følgende innstillinger for sikkerhetsgruppe konfigureres: Tildel en sikkerhetsgruppe Klikk på Opprett en ny sikkerhetsgruppe. Sikkerhetsgruppenavn Skriv inn et navn på sikkerhetsgruppen. Beskrivelse Oppgi en beskrivelse av sikkerhetsgruppen. Ved bruk av Legg til regel må du konfigurere denne listen over porter og samsvarende protokoller. McAfee epolicy Orchestrator programvare Produktveiledning 437

438 C Installer McAfee epo på en AWS-server Opprett AWS-serveren 13 Klikk på Se gjennom og start for å åpne Trinn 7: Se gjennom forekomststart. Figur C-9 Trinn 7: Se gjennom forekomstsstart 14 Bekreft innstillingene og klikk på Start for å opprette et nytt nøkkelpar. 438 McAfee epolicy Orchestrator programvare Produktveiledning

439 Installer McAfee epo på en AWS-server Opprett AWS-serveren C 15 Opprett et sikkerhetsnøkkelpar med disse innstillingene for å generere et kryptert passord når du logger på denne AWS-serveren for første gang. Figur C-10 Opprett et nytt nøkkelpar Velg Opprett et nøkkelpar fra listen. Skriv inn et navn på.pem-filen for nøkkelparet. McAfee epolicy Orchestrator programvare Produktveiledning 439

440 C Installer McAfee epo på en AWS-server Opprett AWS-serveren Klikk på Last ned nøkkelpar for å kopiere.pem-filen til den lokale datamaskinen. Klikk på Start forekomster når.pem-filen er lagret på datamaskinen. Figur C-11 Oppstartstatus 16 På Oppstartstatus-siden klikker du på Se forekomster for å bekrefte statusen til AWS-serveren. Figur C-12 Status-siden for startet forekomst Når du har klikket på Start forekomst, kan det ta minutter før du kan få tilgang til forekomsten. I løpet av denne tidsperioden vises Initialiserer under Statussjekker. 440 McAfee epolicy Orchestrator programvare Produktveiledning