今天來講 關於network較常用功能的小心得
network 是端點狀態 一般是排查端點 針對端點做更新、掃描
一開始建立時 可以在樹狀圖下 加入AD 但AD下必須要有endpoint 只會拉有endpoint的OU
對端點name 按右鍵:
Investigate > Malware scan:安排各種掃描任務
Configure > Assign policy:分配政策
isolate endpoint 緊急時使用 隔離端點 對內對外的網路都中斷 只有agelt跟雲端有通連
IOC scan:自己有情資可以加入後掃描
repair agent:agent有異常 或 更新上、模組啟用有異常 可以先透過這個做自動修復 不行才會連到本機
run network discovery 裝好一台端點 用這台去掃出同網段內未安裝的端點
對端點name 按左鍵:
Protection(保護)頁籤:查看更新狀態、查看模組啟用狀態、查看偵測狀態(本機和網路)、
上方:目前agent的產品版本、病毒特徵碼(security contnet安全內容)
中間:模組啟用狀態
下方:EDR、其他 有金嘆號異常可以先用repair agent修復看看
Policy:查看目前政策
troubleshooting:收集log給原廠分析用
左邊是較簡易 無時間限制(較常用) 右邊是較深層 有時間可選
接本機端用命令行界面(CLI)也可以收log
裝好agent後在安裝路徑會有Product Console.exe 裡面會有參數可以下
有時候第一次收完log 原廠分析完會說 還需要到本機 用指令的方式去收集
上方的搜尋欄位篩選條件是須注意的,有時候找不到某的端點不是沒有這台,有可能是篩選的設定不對。
有納管 沒納管、是實體機還是虛擬機、角色是哪一種都要選對。
可以在Executive summary > Managed endpoints 看全部的管理端點 再選擇需要的欄位與篩選條件
依照代理商講師的建議,可以多選擇 IP、Active policy、logged-in users、Last seen方便識別。
篩選在網頁最右上角的小鈴鐺下方 open settings 跟 show or hide filters都要打開才會看的到。
左下也有一些原廠設定好的分類:
MANAGEMENT > General view、Managed endpoints、Unmanaged endpoints等等。
SAVED > 自己篩選好 Save as(功能按鈕也在右上角)會在這個分類。
請先 登入 以發表留言。