生成有關警報和其他活動的報告

步驟

1. 在 Server & Workload Security保護 主控台中，前往 Events & Reports 標籤，然後在左側窗格中，點選 Generate Reports → Single Report。
2. 在 Report 列表中，選擇您想要生成的報告類型。根據您使用的保護模組，這些報告可能會可用：
   • Alert Report: 最常見的警報列表
   • Anti-Malware Report: 前 25 名中毒電腦列表
   • Attack Report: 摘要表格包含分析活動，按模式劃分。關於包含的詳細信息，請參閱 關於攻擊報告。
   • Computer Report: 每台列在電腦防護標籤上的電腦摘要
   • DPI Rule Recommendation Report: 入侵防護規則建議。此報告一次只能針對一個安全性政策或電腦防護執行
   • Firewall Report: 防火牆規則和有狀態配置活動的記錄
   • Forensic Computer Audit Report: 在電腦防護上的代理配置
   • Integrity Monitoring Baseline Report: 在特定時間的電腦防護基線，顯示類型、鍵和指紋日期

     注意 對於在 2021 年七月 12 日或之前訂閱 Server & Workload Security保護 並使用代理版本 20.0.0-2593 及以上的客戶，基準已被移除，Integrity Monitoring Baseline Report 不再可用。對於在 2021 年七月 12 日之前訂閱的客戶，報告將於 2022 年一月 1 日起不可用。欲了解詳細資訊，請參閱 從 Server & Workload Security保護 中移除「完整性監控基準報告」。

   • Integrity Monitoring Detailed Change Report: 檢測到的變更詳細資訊
   • Integrity Monitoring Report: 檢測到的變更摘要
   • Intrusion Prevention Report: 入侵防護規則活動記錄
   • Log Inspection Detailed Report: 已收集的日誌資料詳細資訊
   • Log Inspection Report: 已收集日誌資料摘要
   • Recommendation Report: 推薦掃瞄活動記錄
   • Recommendation Summary Report: Server & Workload Security保護 活動的綜合摘要
   • Security Module Usage Report: 雲端帳戶消耗時間的細分
   • Suspicious Application Activity Report: 有關疑似惡意活動的信息
   • System Event Report: 系統（非安全）活動記錄
   • User and Contact Report: 用戶和聯絡人的內容和活動詳情
   • Web Reputation Report: 網頁信譽評等事件最多的電腦列表
3. 選擇報告的Format，可以是 PDF 或 RTF。（「安全模組使用報告」是例外，總是輸出為 CSV 檔案。）
4. 您也可以在 PDF 或 RTF 報告中添加一個可選的 Classification：空白、絕密、機密、保密、僅供官方使用、執法敏感 (LES)、限量分發、未分類、僅供內部使用。
5. 您可以使用Tag Filter區域來使用事件標籤篩選報告資料（如果您選擇了包含事件資料的報告）。選擇All以查看所有事件，選擇Untagged以查看僅未標記的事件，或選擇Tag(s)並指定一個或多個標籤以僅包含具有您選擇標籤的事件。

   注意 如果您應用多個相互矛盾的標籤，這些標籤將會互相抵消，而不是結合。例如，如果您選擇「使用者已登入」和「使用者已登出」，將不會有系統事件。

6. 您可以使用Time Filter區域為存在記錄的任何期間設置時間篩選器。這對於安全審計很有用。時間篩選器選項：
   • Last 24 Hours: 包括過去24小時內的事件，從整點開始和結束。例如，如果您在12月5日上午10:14生成報告，您將獲得12月4日上午10:00至12月5日上午10:00之間發生的事件報告。
   • Last 7 Days: 包含過去一週的事件。每週從午夜（00:00）開始和結束。例如，如果您在十二月五日上午10:14生成報告，您將獲得從十一月二十八日凌晨0:00到十二月五日凌晨0:00之間發生的事件報告。
   • Previous Month: 包括從上個完整日曆月開始到結束的事件，從午夜（00:00）開始和結束。例如，如果您在十一月15日選擇此選項，您將收到從十月1日午夜到十一月1日午夜之間發生的事件報告。
   • Custom Range: 使您能夠為報告指定您自己的日期和時間範圍。在報告中，如果開始日期是兩天前，開始時間可能會更改為午夜。

   注意 報告使用儲存在計數器中的資料。計數器是從事件中定期彙總的資料。計數器資料以每小時為基礎彙總最近60小時的資料。目前小時的資料不包含在報告中。超過60小時的資料儲存在以每日為基礎彙總的計數器中。因此，報告涵蓋的最近60小時的時間範圍可以指定到每小時的粒度，但超過60小時的時間範圍只能指定到每日的粒度。

7. 在Computer Filter區域中，選擇其資料將包含在報告中的電腦。
   • All Computers: 每台電腦防護在 Server & Workload Security保護
   • My Computers: 如果登入的使用者根據其使用者角色的權限設定對電腦有受限的存取權限，這些是登入使用者具有檢視權限的電腦。
   • In Group: 在 Server & Workload Security保護 群組中的電腦。
   • Using Policy: 使用特定保護政策的電腦。
   • Computer: 單一電腦防護。

   注意 要針對多個電腦群組中的特定電腦生成報告，請創建一個僅對相關電腦具有查看權限的用戶，然後創建一個定期為該用戶生成「所有電腦」報告的排程任務，或以該用戶身份登入並運行「所有電腦」報告。報告中只會包含該用戶具有查看權限的電腦。

8. 在加密區域，您可以使用當前登入用戶的密碼或僅針對此報告的新密碼來保護報告：
   • Disable Report Password: 報告未受密碼保護。
   • Use Current User's Report Password: 使用當前用戶的 PDF 報告密碼。若要更改當前用戶的 PDF 報告密碼，請在 Server & Workload Security保護 中，點選螢幕頂部的 User Properties，然後點選 設定 標籤。在 Password Protected Reports 區段中，必要時選取 Reports generated by this user are password protected 核取方塊，然後輸入並確認新密碼。
   • Use Custom Report Password: 為此報告創建一次性密碼。該密碼沒有任何複雜性要求。