Mcafee企业版维护手册(for EPO4.5)目录1. 前言 42. 使用仪表盘监视 52.1 默认仪表盘 52.2 其它仪表板 62.2.1 执行仪表板 62.2.2 产品部署 72.2.3 VSE:趋势数据 82.2.4 VSE:当前检测数 92.3 配置仪表板的刷新频率 92.4 创建仪表板 103. 创建自动响应 113.1 配置电子邮件服务器 113.2 新建联系人 123.3 配置自动响应 123.3.1 描述规则 123.3.2 设置规则过滤器 133.3.3 设置规则阀值 143.3.4 设置自动响应规则 153.4 常见问题 164. 系统报告 164.1 共享组 174.2 我的组 184.2.1 自定义预先配置 184.2.2 创建托管系统查询 204.2.3 转换“VSE DAT 版本“查询为饼图 224.2.4 创建可显示合规性的布尔饼图 244.2.5 创建可显示VirusScan Enterprise DAT 合规性的信息显示板监视器 274.3 导出报告 285. 维护ePO数据库 305.1 定期维护SQL Server 数据库 305.2 备份和还原ePolicy Orchestrator 数据库 305.3 更改SQL Server 信息 311. 前言在对系统进行部署之后,即可以通过系统的日常运行来管理我们的网络,经过一段时间的运行,系统中将积累大量的数据。
因此,如果来有效管理这样一个网络,使系统稳定运行,以及如何来更加深入地保护我们的网络,则需要对系统进行合理的维护在本文档里,将对一些后续系统的日常维护做一些简单的介绍2. 使用仪表盘监视在ePO4.5的系统中,附带了多个默认的仪表板,每个仪表板都有其各自的默认监视器,提供了有关环境的当前数据,是进行系统监控,状态分析的最直观的地方2.1 默认仪表盘默认仪表盘通常为“ePO 摘要”仪表板,是唯一可见的提供概要信息的监视器Ø MyAvert Threat Advisory - 显示可用的保护、报告的所有新威胁、最新提供的DAT 和引擎,以及(如果它们位于“我的存储库”中)一个指向“MyAvert Security Threats”页面的链接和最近检查时间Ø 按最高层级组列出的系统- 显示根据最高层级系统树组来组织的托管系统的条形图Ø 快速系统搜索- 可以按系统名称、IP 地址、MAC 地址、用户名或代理GUID 搜索系统Ø McAfee 链接- 显示指向McAfee 技术支持、提升工具、病毒信息库等更多内容的链接Ø McAfee Agent 和VirusScan Enterprise (用于Windows) 遵从性摘要- 按VirusScan Enterprise(用于Windows)、McAfee Agent 和DAT 文件的版本显示环境中遵从或不遵从的托管系统的布尔饼图。
Ø 恶意软件检测历史记录- 显示上一季度内部病毒检测数量的折线图2.2 其它仪表板ePO4.5提供了其它的仪表板,但都需要激活才会显示,要激活仪表板,在“仪表板”页中单击“选项”|“选择活动仪表板”,然后从“可用仪表板”中进行选择2.2.1 执行仪表板执行仪表板是一组监视器,提供一些有关安全威胁和遵从性的概要报告,包含指向更具体的产品特定信息和McAfee 特定信息的链接此仪表板中包括以下监视器:Ø MyAvert Threat Advisory - 显示可用的保护、报告的所有新威胁、最新提供的DAT 和引擎,以及(如果它们位于“我的存储库”中)一个指向“MyAvert Security Threats”页面的链接和最近检查时间Ø 恶意软件检测历史记录- 显示上一季度内部病毒检测数量的折线图Ø 过去24 小时内的产品部署- 显示过去24 小时内所有产品部署的布尔饼图成功的部署用绿Ø 色显示Ø 过去24 小时内的产品更新- 显示过去24 小时内所有产品更新的布尔饼图成功的更新用绿色显示2.2.2 产品部署产品部署仪表板概述网络中的产品部署和更新活动此仪表板中包括以下监视器:Ø 过去24 小时内的产品部署- 显示过去24 小时内所有产品部署的布尔饼图。
成功的部署用绿色显示Ø 过去24 小时内的产品更新- 显示过去24 小时内所有产品更新的布尔饼图成功的更新用绿色显示Ø 过去24 小时内失败的产品部署- 显示过去24 小时内所有已失败产品部署的单组条形图,按产品代码进行分组Ø 快速系统搜索- 可以按系统名称、IP 地址、MAC 地址、用户名或代理GUID 搜索系统Ø 过去24 小时内失败的产品更新- 显示过去24 小时内所有已失败产品更新的单组条形图,按产品代码进行分组Ø 过去7 天内尝试的代理卸载- 显示过去7 天内所有代理卸载客户端事件的单组条形图,按日期进行分组2.2.3 VSE:趋势数据2.2.4 VSE:当前检测数2.3 配置仪表板的刷新频率使用此任务可以配置仪表板的刷新频率(分钟)每个用户帐户的刷新频率设置都各不相同Ø 单击“菜单”|“报告”|“仪表板”,然后单击“选项”|“编辑仪表板首选项”此时会出现“仪表板首选项”页Ø 在“仪表板页面刷新间隔”旁,键入两次刷新间隔的分钟数最大页面刷新时间间隔为60 分钟Ø 单击“保存”2.4 创建仪表板Ø 单击“菜单”|“报告”|“仪表板”,然后单击“选项”|“管理仪表板”此时会出现“管理仪表板”页。
Ø 单击“新建仪表板”Ø 输入名称,然后选择仪表板的大小Ø 对于每个监视器,单击“新建监视器”,选择要在仪表板中显示的监视器,然后单击“确定”Ø 单击“保存”,然后选择是否激活此仪表板活动仪表板随后会显示在“仪表板”的选项卡栏上Ø (可选)可以通过在“管理仪表板”页中单击“公开”来公开此仪表板附注:所有的新仪表板都将保存到专用的“我的仪表板”类别中3. 创建自动响应3.1 配置电子邮件服务器Ø 单击“菜单”|“配置”|“服务器设置”,然后在“设置类别”列表中单击“电子邮件服务器”Ø 单击“编辑”此时会出现“编辑电子邮件服务器”页Ø 键入SMTP 服务器名称和SMTP 服务器端口(选择用公共邮箱来发送的话,SMTP服务器名称填写邮箱的SMTP服务器,如,而SMTP服务器端口,通常都为25)Ø 选择是否要通过电子邮件服务器的身份验证,并且如果选择“身份验证”,请提供凭据(通常为您用来发邮件的邮箱用户和密码)Ø 键入ePolicy Orchestrator 发送的邮件上显示为返回地址的电子邮件地址Ø 单击“保存”,然后选择“电子邮件服务器”Ø 在“测试电子邮件”旁的内容区域中,键入接收电子邮件的有效电子邮件地址,然后单击“测试”验证设置,如果能收到邮件,则服务器配置成功。
3.2 新建联系人Ø 单击“菜单”|“用户管理”|“联系人”Ø 点击“新建联系人”Ø 在新建页里面输入联系人的姓名及邮件地址3.3 配置自动响应3.3.1 描述规则Ø 单击“菜单”|“自动”|“自动响应”,然后单击“操作”|“新建响应”,或者单击现有规则旁的“编辑”此时会打开“响应生成器”向导Ø 在“描述”页上,键入该规则的唯一名称和任何注释附注:每个服务器上的规则名称必须是唯一的例如,如果某个用户创建一个名为“紧急警报”的规则,则其他用户(包括全局管理员)就不能创建同名规则Ø 从“语言”菜单中,选择该规则所使用的语言Ø 选择触发此响应的“事件组”和“事件类型”Ø 在“状态”旁选择规则是“已启用”还是“已禁用”,单击“下一步”3.3.2 设置规则过滤器Ø 从“可用属性”列表中,选择所需的属性,并指定用来过滤响应结果的值附注:可用属性取决于在该向导的“描述”页上选择的事件类型和事件组Ø 单击“下一步”3.3.3 设置规则阀值Ø 在“累积”旁,选择 “针对每个事件触发此响应”(当需要对特定时间内的事件通过邮件的形式发送到指定邮箱,需要在过滤器项中定义检查时间,此处选择此项) Ø 如果选择“如果此时间内发生多个事件,则触发此响应”,则可以选择在符合指定的条件时触发响应。
这些条件是以下条件的任意组合(此选项一般针对特殊事件,如大规模病毒发生进行邮件报警,如在特定时间累积到100条等等)ü 当事件属性的非重复值的数量至少为某个值时当选择了事件属性实例的非重复值时,将使用此条件ü 当事件数量至少为键入所定义的事件数量附注:可以选择一项或两项都选例如,可以将规则设置为在所选事件属性实例的非重复值超过300 或事件数量超过3,000 时(超过任何一个阈值即可)触发此响应Ø 在“分组”旁,选择是否对累积事件进行分组如果选择对累积事件分组,请指定要作为这些事件分组依据的事件属性Ø 如果需要,请在“限制”旁,选择“触发此响应的最大间隔时间”,定义必须经过多长时间该规则才能再次发送通知消息时间以分钟、小时或天为单位Ø 单击“下一步”3.3.4 设置自动响应规则在响应规则里,有创建问题、执行计划任务、运行外部命令、发送SNMP陷阱、发送电子邮件几个选项,可以根据需要进行配置,在此我们将对电子邮件进行配置:从下拉列表中选择“发送电子邮件”Ø 在“收件人”旁,单击“...”,然后选择邮件的收件人这个可用收件人列表来自“联系人”(“菜单”|“用户管理”|“联系人”)另外,可以手动键入逗号分隔的电子邮件地址。
Ø 选择通知电子邮件的重要性Ø 键入邮件的“主题”可选)您可以将任何可用变量直接插入主题Ø 键入要在邮件“正文”中显示的任何文本可选)您可以将任何可用变量直接插入正文Ø 完成后,请单击“下一步”,或单击“+”再添加一个通知(可以同时将一个事件进行多种处理,如在发送电子邮件的同时,将事件记入到问题管理里)3.4 常见问题如果为病毒检测设置了响应规则,是否有必要针对在病毒发作期间所接收的每个事件都收到一则通知消息?不必,可以这样配置规则,即只有在指定的时段内发生指定数量的事件时才发送一次通知,或者在指定时间内最多只能发送一次通知(即在过滤器中添加检测日期)是否可以创建一条对多个收件人生成通知的规则?可以,在“响应生成器”向导中输入多个收件人的电子邮件地址是否可以创建一条生成多个通知类型的规则?可以,ePolicy Orchestrator 的通知功能在每条规则中支持以下通知类型的任意组合:ü 电子邮件(包括标准SMTP、SMS 和文本寻呼机)ü SNMP 服务器(通过SNMP 陷阱)ü 安装在ePolicy Orchestrator 服务器上的任何外部工具ü 问题ü 计划的服务器任务4. 系统报告ePO包括可用来报告网络情况并对网络进行管理的预先配置的查询,以便生成有关ePO 服务器的报告,报告中包括以下类型的信息:ü 在整个网络中部署的托管产品。
例如,McAfee Agent 或McAfee VirusScan Enterpriseü ePO 服务器上的用户操作例如,在过去的30 天内服务器上的登录企图失败的次数ü 策略分配例如,为网络中的每个系统分配哪些策略对预先配置的查询取决于已经安装的托管产品预先配置的查询使用各种图表类型来显示查询结果,而且。