Berichte über Warnungen und andere Aktivitäten erstellen

Prozedur

1. In der Server- und Workload Protection-Konsole gehen Sie zur Registerkarte Events & Reports und klicken Sie dann im linken Bereich auf Generate Reports → Single Report.
2. Wählen Sie in der Melden-Liste den Berichtstyp aus, den Sie erstellen möchten. Abhängig von den verwendeten Schutzmodulen können diese Berichte verfügbar sein:
   • Alert Report: Liste der häufigsten Warnungen
   • Anti-Malware Report: Liste der 25 am stärksten infizierten Computer
   • Attack Report: Zusammenfassungstabelle mit Analyseaktivitäten, unterteilt nach Modus. Weitere Informationen zu den enthaltenen Inhalten finden Sie unter Über Angriffsberichte.
   • Computer Report: Zusammenfassung jedes Computers, der auf der Registerkarte Computer aufgeführt ist
   • DPI Rule Recommendation Report: Empfehlungen für Eindringungsschutzregeln. Dieser Bericht kann nur für eine Sicherheitsrichtlinie oder einen Computer gleichzeitig ausgeführt werden
   • Firewall Report: Protokoll der Firewall-Regel und zustandsbehafteten Konfigurationsaktivität
   • Forensic Computer Audit Report: Konfiguration eines Agenten auf einem Computer
   • Integrity Monitoring Baseline Report: Basislinie des Computers/der Computer zu einem bestimmten Zeitpunkt, die Typ, Schlüssel und Fingerabdruckdatum anzeigt

     Hinweis Für Kunden, die Server- und Workload Protection am oder vor dem 12. Juli 2021 abonniert haben und die Agentenversion 20.0.0-2593 + verwenden, wurde die Basislinie entfernt und das Integrity Monitoring Baseline Report ist nicht mehr verfügbar. Für Kunden, die vor dem 12. Juli 2021 abonniert haben, wird der Bericht ab dem 1. Januar 2022 nicht mehr verfügbar sein. Weitere Informationen finden Sie unter Entfernung des "Integrity Monitoring Baseline Report" von Server- und Workload Protection.

   • Integrity Monitoring Detailed Change Report: Details zu den erkannten Änderungen
   • Integrity Monitoring Report: Zusammenfassung der erkannten Änderungen
   • Intrusion Prevention Report: Aufzeichnung der Aktivitäten der Eindringungspräventionsregel
   • Log Inspection Detailed Report: Details der gesammelten Protokolldaten
   • Log Inspection Report: Zusammenfassung der gesammelten Protokolldaten
   • Recommendation Report: Aufzeichnung der Empfehlung für die DURCHSUCHEN-Aktivität
   • Recommendation Summary Report: Konsolidierte Zusammenfassung der Server- und Workload Protection-Aktivität
   • Security Module Usage Report: Aufschlüsselung der Verbrauchsstunden nach Cloud-Konto
   • Suspicious Application Activity Report: Informationen über verdächtige bösartige Aktivitäten
   • System Event Report: Aufzeichnung der Systemaktivität (nicht sicherheitsrelevant)
   • User and Contact Report: Inhalt und Aktivitätsdetails für Benutzer und Kontakte
   • Web Reputation Report: Liste der Computer mit den meisten Web Reputation-Ereignissen
3. Wählen Sie das Format für den Bericht aus, entweder PDF oder RTF. (Der "Sicherheitsmodul-Nutzungsbericht" ist eine Ausnahme und wird immer als CSV-Dateien ausgegeben.)
4. Sie können auch ein optionales Classification zu PDF- oder RTF-Berichten hinzufügen: BLANK, TOP SECRET, SECRET, CONFIDENTIAL, NUR FÜR DEN DIENSTGEBRAUCH, NUR FÜR DIE STRAFVERFOLGUNG (LES), EINGESCHRÄNKTE VERTEILUNG, UNCLASSIFIED, NUR FÜR DEN INTERNEN GEBRAUCH.
5. Sie können den Bereich Tag Filter verwenden, um die Berichtsdaten mithilfe von Ereignis-Tags zu filtern (wenn Sie einen Bericht ausgewählt haben, der Ereignisdaten enthält). Wählen Sie !!All!! für alle Ereignisse, Untagged für nur ungetaggte Ereignisse oder wählen Sie Tag(s) und geben Sie ein oder mehrere Tags an, um nur jene Ereignisse mit Ihren ausgewählten Tags einzuschließen.

   Hinweis Wenn Sie mehrere widersprüchliche Tags anwenden, heben sich die Tags gegenseitig auf, anstatt sich zu kombinieren. Wenn Sie beispielsweise "Benutzer angemeldet" und "Benutzer abgemeldet" auswählen, gibt es keine Systemereignisse.

6. Sie können den Bereich Time Filter verwenden, um einen Zeitfilter für jeden Zeitraum festzulegen, für den Aufzeichnungen existieren. Dies ist nützlich für Sicherheitsüberprüfungen. Zeitfilteroptionen:
   • Last 24 Hours: Enthält Ereignisse der letzten 24 Stunden, beginnend und endend zur vollen Stunde. Wenn Sie beispielsweise am 5. Dezember um 10:14 Uhr einen Bericht erstellen, erhalten Sie einen Bericht über Ereignisse, die zwischen dem 4. Dezember um 10:00 Uhr und dem 5. Dezember um 10:00 Uhr aufgetreten sind.
   • Last 7 Days: Enthält Ereignisse der vergangenen Woche. Wochen beginnen und enden um Mitternacht (00:00). Wenn Sie beispielsweise am 5. Dezember um 10:14 Uhr einen Bericht erstellen, erhalten Sie einen Bericht über Ereignisse, die zwischen dem 28. November um 0:00 Uhr und dem 5. Dezember um 0:00 Uhr aufgetreten sind.
   • Previous Month: Beinhaltet Ereignisse des letzten vollständigen Kalendermonats, beginnend und endend um Mitternacht (00:00). Wenn Sie diese Option beispielsweise am 15. November auswählen, erhalten Sie einen Bericht über Ereignisse, die zwischen Mitternacht am 1. Oktober und Mitternacht am 1. November aufgetreten sind.
   • Custom Range: Ermöglicht es Ihnen, Ihren eigenen Datums- und Zeitraum für den Bericht festzulegen. Im Bericht kann die Startzeit auf Mitternacht geändert werden, wenn das Startdatum mehr als zwei Tage zurückliegt.

   Hinweis Berichte verwenden in Zählern gespeicherte Daten. Zähler sind Daten, die periodisch aus Ereignissen aggregiert werden. Zählerdaten werden stündlich für die letzten 60 Stunden aggregiert. Daten aus der aktuellen Stunde sind in Berichten nicht enthalten. Daten, die älter als 60 Stunden sind, werden in Zählern gespeichert, die täglich aggregiert werden. Aus diesem Grund kann der Zeitraum, den Berichte für die letzten 60 Stunden abdecken, auf stündlicher Ebene angegeben werden, aber über 60 Stunden hinaus kann der Zeitraum nur auf täglicher Ebene angegeben werden.

7. Wählen Sie im Bereich Computer Filter die Computer aus, deren Daten in den Bericht aufgenommen werden sollen.
   • All Computers: Jeder Computer in Server- und Workload Protection
   • My Computers: Wenn der angemeldete Benutzer aufgrund der Rechteeinstellungen seiner Benutzerrolle eingeschränkten Zugriff auf Computer hat, sind dies die Computer, auf die der angemeldete Benutzer ein Zugriffsrecht zur Ansicht hat.
   • In Group: Die Computer in einer Server- und Workload Protection-Gruppe.
   • Using Policy: Die Computer verwenden eine spezifische Schutzrichtlinie.
   • Computer: Ein einzelner Computer.

   Hinweis Um einen Bericht über bestimmte Computer aus mehreren Computergruppen zu erstellen, richten Sie einen Benutzer ein, der nur über Ansichtsrechte für die betreffenden Computer verfügt. Erstellen Sie dann entweder eine geplante Aufgabe, um regelmäßig einen "Alle Computer"-Bericht für diesen Benutzer zu generieren, oder melden Sie sich als dieser Benutzer an und führen Sie einen "Alle Computer"-Bericht aus. Nur die Computer, für die dieser Benutzer Ansichtsrechte hat, werden im Bericht enthalten sein.

8. Im Bereich Verschlüsselung können Sie den Bericht mit dem Passwort des aktuell angemeldeten Benutzers oder mit einem neuen Passwort nur für diesen Bericht schützen:
   • Disable Report Password:-Bericht ist nicht passwortgeschützt.
   • Use Current User's Report Password: Verwenden Sie das PDF-Berichtspasswort des aktuellen Benutzers. Um das PDF-Berichtspasswort des aktiven Benutzers zu ändern, klicken Sie innerhalb von Server- und Workload Protection oben auf dem Bildschirm auf User Properties und dann auf die Registerkarte Einstellungen. Wählen Sie im Abschnitt Password Protected Reports das Kontrollkästchen Reports generated by this user are password protected aus, falls erforderlich, und geben Sie das neue Passwort ein und bestätigen Sie es.
   • Use Custom Report Password: Erstellen Sie ein einmaliges Passwort für diesen Bericht. Das Passwort hat keine Komplexitätsanforderungen.