Configuring Forefront Endpoint Protection Monitoring - IT-professional Community Blog
Zoeken binnen blogs.microsoft.nl

IT-professional Community Blog

Recente posts
Archieven
Links

Blogs.microsoft.nl homepage 
Microsoft Nederland
Persberichten
Trainingen en evenementen
Profielencentrum
Download Center
Ondersteuningsportal
Windows Live Writer

Configuring Forefront Endpoint Protection Monitoring

Nov 03 2010, 08:16 PM

 

In mijn vorig blogs heb ik stil gestaan bij wat Forefront Endpoint Protection is, hoe je deze installeert, hoe je policy’s maakt en hoe je en client distribueert. Ik heb nu een ICT omgeving die beveiligd wordt met Forefront Endpoint Protection. Maar ik wil ook graag weten hoe de status is van mijn client:

  • Is er een virus ontdekt,
  • Zijn alle updates ontvangen,
  • Komt de policy door.

clip_image002

Het dashboard

Forefront Endpoint Protection beschikt over een eigen Dashboard. Dit dashboard vind je op de volgende locatie:

- Start System Center Configuration Manager console
- Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010

Op het moment dat je Forefront Endpoint Protection 2010 selecteert zal in het midden, van het console, het dashboard worden geopend.

clip_image004

Het dashboard is in vijf velden verdeeld:

  • Client Deployment Status, Hierin zie je hoeveel clients er zijn gedeployed, hoeveel er nog moeten gebeuren en welke er zijn mislukt. In een vorige blog ben ik hier al op ingegaan.
  • Malware Activity Status, hierin zie je de activiteiten van malware op je netwerk terug.
  • Definition Status, hierin zie je de status van de definitie updates distributie.
  • Policy Distribution Status, hierin zie je de status van de policy distributie.
  • Forefront Endpoint Protection Baselines, hier kom ik in een latere blog nog op terug.

Malware Activity Status.

clip_image005

In malware activity status zie je dat de laatste 24 uur er 1 malware (virus) gedetecteerd is. Als ik op de 1 klik dan wordt ik doorgewezen naar Site Database (Site)\Computer Management\Collections\FEP collections\Malware activity status\Recently cleaned. Hierin staat 1 computer. Dit is mijn werkplek waarop ik (stiekem) wat virussen heb gedownload. Ik wil nu graag weten welk virus op mijn computer is binnen gekomen.

- Selecteer de computer
- Actions => Start => Windows Event Viewer

De Event Viewer van de computer wordt nu geopend

- Kijk in het System log
- Action => Filter Current Log

Filter op eventid 1116. Je krijgt nu alle Forefront Endpoint Protection Client virus meldingen te zien. In mijn geval zijn het vier meldingen, want ik heb een poging gedaan vier virussen te downloaden.

Definition Status

Elke 3 uur komt er een nieuwe update uit voor Forefront Endpoint Protection. Deze update kun je downloaden via WSUS en distribueren.

Definitie download configureren

Eerst moeten we er voor zorgen dat updates daadwerkelijk worden gedownload.

- Site Database (site)\Site Management\site\Component Configuration
- Selecteer, in het midden, Software Update Point Component
- Action => Properties
- Tabblad: Classifications
- Selecteer: Definition Updates

Updates 1

- OK

Monitoring

WSUS download en distribueert de updates. Op Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010 kunnen we nu gaan kijken welke computers een update krijgen.

clip_image008

In mijn geval heeft 1 computer al maximaal 3 dagen geen updates gekregen. Als ik op de 1 druk word ik weer doorverwezen naar de FEP collections. Hier zie ik dan de betreffende computer staan. Ik kan nu twee dingen doen:

1) Op de computer inloggen en handmatig de update uitvoeren.

- Start Forefront Endpoint Protection Client. Deze vind je terug in je system tray. Je krijgt dan het volgende scherm voor je:

image

- Update tab
- Update knop
Nu wordt de update binnen gehaald.

2) De tweede manier is via een “software update”

- Selecteer de betreffende computer
- Action => Distribute => Software
- Next
- Browse
- Selecteer “Microsoft Corporation Forefront Endpoint Protection 2010 – Operations 1.0 All”
- Ok
- Next
- Selecteer de distributie punt(en)
- Next
- Update Definitions
- Next
- Next
- Next

Laat de advertisement verlopen na een dag. Als de computer na een dag nog steeds niet de update heeft dan zou je moeten gaan onderzoeken wat er mis gaat. Hierbij is het goed om te weten dat de client gebruik maakt van de Windows update mechanisme om updates binnen te halen. Dit is dan ook het onderdeel dat je moet gaan onderzoeken.

- Next
- Assign (wijs) het ”programma” toe en Ignore maintenance Windows
- Next
- Next
- Close

Policy Distribution

Het laatst onderdeel dat ik wil behandelen is de Policy distribution

clip_image014

In een eerder blog heb ik uitgelegd hoe policy’s werken en hoe je ze kunt distribueren. Net als bij de andere twee onderdelen kun je vanuit het dashboard door klikken om te achterhalen welke computers nog een policy moeten krijgen.

Achter distribution failed kun je klikken op het getal . Je komt dan terecht bij FEP collections\Policy distribution\Distribution failed. Vanuit hier kun je de event viewer openen en onderzoek wat er mis is gegaan. Ook kun je kijken of de client in folder C:\ProgramData\Microsoft\Microsoft Security Client\Support. Hier vind je meerdere logfiles. Deze logfiles kunnen je helpen te onderzoeken wat er mis is gegaan tijdens de policy distributie/update.

Email waarschuwing configureren

Met de Forefront Endpoint Protection is het dus mogelijk om centraal te zien welk virus waar is gevonden. Nu zullen de meeste beheerders niet constant kijken naar het dashboard van Forefront Endpoint Protection. Op het moment dat er een virus uitbraak plaatsvindt kan deze dus makkelijk aan de aandacht van een beheerder ontsnappen. In Forefront Endpoint Protection is het mogelijk om een email te versturen als er een virus uitbraak plaatsvindt.

- Start System Center Configuration Manager console
- Site Database (Site)\Computer Management\Forefront Endpoint Protection 2010\Alerts

Malware Outbreak Alert

Er is sprake van een Malware Outbreak als 1 type virus in een snel tempo allemaal computers begint te besmetten.

- Selecteer Malware Outbreak Alert
- Action => Properties

clip_image015

Bij 1 kun je invullen hoeveel computers er besmet moeten zijn als je wilt praten over een virus uitbraak
Bij 2 kun je het interval tussen de detecties aangeven
Bij 3 geef je het email adres op waarnaar gemaild moet worden.

Malware Detection Alert

Er is sprake van een Malware Detection Alert als er een malware gevonden wordt.

- Selecteer Malware Detection Alert
- Action => Properties

clip_image016

Bij 1 geef je aan welke collectie je wilt monitoren
Bij 2 geef je aan wanneer je een melding wilt hebben:

  • Low, alleen als een virus niet verwijderd is
  • Medium, als de melding om een handmatig actie vraagt
  • High, altijd

Bij 3 vul je dan het email adres in.

Email settings

Als laatste moet je aangeven welke server de mail server is.

- Action => Email settings

- clip_image017

- SMTP server (FQDN): geef de FQDN van de Exchange server op.
- Authentication method: Hoe ga je authenticeren bij de exchange
- E-mail from address: Een afzender adres
- OK

Je kunt via Test and Close testen of je alles goed hebt geconfigureerd.

Veel plezier met het monitoren van de omgeving

Martijn Bellaard
Opgeslagen onder: , , , , , , , , ,

Commentaar:

Configuring Forefront Endpoint Protection Monitoring – IT … zei:

PingBack vanaf  Configuring Forefront Endpoint Protection Monitoring – IT …

# November 4, 2010 7:28 AM

Twitter Trackbacks for Configuring Forefront Endpoint Protection Monitoring - IT-professional Community Blog [microsoft.nl] on Topsy.com zei:

PingBack vanaf  Twitter Trackbacks for                 Configuring Forefront Endpoint Protection Monitoring - IT-professional Community Blog         [microsoft.nl]        on Topsy.com

# November 4, 2010 12:42 PM
Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 
CaptchaCube Vraag:


Antwoord: