Jak skonfigurować powiadomienia w Bitdefender GravityZone

Konsola Bitdefender GravityZone wyświetla powiadomienia dotyczące zdarzeń bezpieczeństwa w prawym górnym rogu pod ikoną dzwonka. Można tam skonfigurować jakie rodzaje zdarzeń mają być wyświetlane w panelu oraz wysyłane na wskazany adres mailowy.

Konfiguracja powiadomień Bitdefender GravityZone

Aby skonfigurować adres mailowy dla powiadomień oraz wybrać, które mają być wyświetlane/wysyłane kliknij ikonę dzwonka po prawej stronie konsoli, a następnie koło zębate.

Otworzy się okno Ustawienia powiadomień. W górnej części należy wpisać adres email, na który wskazane w tabeli poniżej zdarzenia będą miały być wysyłane mailowo.

W dolnej części wybierz, które powiadomienia mają być otrzymywane i w jaki sposób. Nie wystarczy zaznaczyć pozycji „ptaszkiem”! Każdy wiersz z osobna trzeba kliknąć myszką i otworzą się dla niego osobne ustawienia. Aby konsola wysyłała wybrane powiadomienia należy zaznaczyć odpowiednią pozycję w sekcji Widoczność.

Rodzaje powiadomień

Epidemia malware

To powiadomienie jest wysyłane do użytkowników, którzy mają co najmniej 5% wszystkich zarządzanych obiektów sieciowych zainfekowanych tym samym szkodliwym oprogramowaniem. Próg można skonfigurować zgodnie z potrzebami w oknie Ustawienia powiadomień.

Licencja wygasa

Powiadomienie wysyłane jest na 90, 30, 7 oraz jeden dzień przed wygaśnięciem licencji. Będą zawierać informacje o firmie, nazwę produktu, wygasłe klucze licencyjne i przydatne adresy URL.

Osiągnięto lub przekroczono limit licencji podczas wdrożenia

Jest wysyłane, gdy wszystkie dostępne licencje zostaną wykorzystane. W przypadku, gdy liczba instalacji przekracza limit,  pokazuje nielicencjonowane punkty końcowe z  24 godzin.

Limit wykorzystania licencji został prawie osiągnięty

Powiadomienie to jest wysyłane w przypadku wykorzystania 90% dostępnych licencji.

limit wykorzystania licencji serwerowych został prawie osiągnięty

To powiadomienie jest wysyłane, gdy liczba chronionych serwerów osiągnie limit określony w kluczu licencyjnym.

Limit licencji serwerów wkrótce zostanie osiągnięty

Zostaje wysyłane, gdy wykorzysta się 90% dostępnych stanowisk licencyjnych dla serwerów.

limit wykorzystania licencji Exchange został osiągnięty

Pojawia się za każdym razem, gdy liczba chronionych skrzynek pocztowych z serwerów Exchange osiągnie limit określony w kluczu licencyjnym.

Nieważne poświadczenia użytkownika Exchange

Jest wysyłane, gdy nie można uruchomić zadania skanowania na żądanie serwerze Exchange z powodu nieprawidłowych poświadczeń użytkownika Exchange.

Zaawansowany Anty-Exploit

Informuje, gdy Zaawansowany Anty-Exploit wykryje próby exploitowania w sieci.

Zdarzenie Antyphishing

Wyświetla się za każdym razem, gdy agent punktu końcowego blokuje dostęp do znanej strony internetowej, która wyłudza informacje. Zawiera też szczegóły punktu końcowego, który próbował uzyskać dostęp do niebezpiecznej witryny (nazwa i adres IP), zainstalowany agent lub zablokowany adres URL.

Zdarzenie Zapory sieciowej

Informuje za każdym razem, gdy moduł zapory zainstalowanego agenta blokuje skanowanie portów lub dostęp aplikacji do sieci, zgodnie z zastosowaną polityką.

Zdarzenie ATC/IDS

To powiadomienie jest wysyłane za każdym razem, gdy na punkcie końcowym w sieci zostanie wykryta potencjalnie niebezpieczna aplikacja. Zawiera szczegółowe informacje na temat typu aplikacji, nazwy i ścieżki, identyfikator i proces nadrzędny oraz linię poleceń, która uruchomiła ten proces.

Zdarzenie kontroli użytkownika

Jest wyzwalane za każdym razem, gdy aktywność użytkownika, taka jak przeglądanie stron internetowych lub aplikacja, jest blokowana zgodnie z zastosowaną polityką.

Uwaga:

Powiadomienia o zdarzeniach Kontroli użytkownika nie mogą być wysyłane e-mailem. Ze względu na wydajność można je wysyłać wyłącznie za pośrednictwem interfejsu API do platformy SIEM.

Zdarzenie modułów produktów

Pojawia się, gdy moduł bezpieczeństwa zainstalowanego agenta zostanie włączony lub wyłączony.

Zdarzenie Statusu Serwera Bezpieczeństwa

Ten typ powiadomienia dostarcza informacji o zmianach statusu określonego Serwera Bezpieczeństwa zainstalowanego w Twojej sieci. Odnoszą się one do następujących zdarzeń: wyłączenie/włączenie, aktualizacja produktu, aktualizacja treści zabezpieczających i wymagane ponowne uruchomienie.

Zdarzenie przeciążenia Serwera Bezpieczeństwa

Jest wysyłane, gdy obciążenie skanowaniem serwera bezpieczeństwa przekracza zdefiniowany próg.

Zdarzenie rejestracji produktu

Informuje o zmianie statusu rejestracji agenta zainstalowanego w sieci.

Zdarzenie licencji Amazon EC2

To powiadomienie informuje Cię, że subskrypcja Amazon EC2 została pomyślnie aktywowana.

Wersja próbna Amazon EC2 wygasa za 7 dni

Informuje, że subskrypcja próbna Amazon EC2 wygaśnie za 7 dni.

Wersja próbna Amazon EC2 wygasa jutro

To powiadomienie jest wysyłane na jeden dzień przed wygaśnięciem Twojej subskrypcji próbnej Amazon EC2.

Audyt uwierzytelnienia

Pojawia się kiedy inne konto GravityZone z tej samej firmy, z wyjątkiem Twojego, zostało użyte do zalogowania się do konsoli z nierozpoznanego urządzenia. Jeśli zaznaczysz pole wyboru Otrzymuj powiadomienia dla firm podrzędnych, powiadomienia będą wysyłane także dla kont GravityZone należących do zarządzanych przez Ciebie firm.

Logowanie z nowego urządzenia

To powiadomienie informuje, że Twoje konto GravityZone zostało użyte do zalogowania się do konsoli z urządzenia, którego wcześniej nie było używane w tym celu. Jest automatycznie skonfigurowane tak, aby było widoczne zarówno w panelu, jak i w wiadomości e-mail. Można je tylko przeglądać. Obejmuje też adres e-mail używanego konta.

Status zadań

Pokazuje się przy każdej zmianie statusu zadania lub tylko przy jego zakończeniu , zgodnie z preferencjami.

Nieaktualny serwer aktualizacji

To powiadomienie jest wysyłane, gdy serwer aktualizacji w sieci zawiera nieaktualne treści zabezpieczające.

Zdarzenie Incydentów Sieciowych

Wyświetla się za każdym razem, gdy moduł Ochrony przed atakami sieciowymi wykryje próbę takiego ataku. Informuje też, czy próba ataku została przeprowadzona spoza sieci, czy z zaatakowanego punktu końcowego. Inne szczegóły obejmują dane o punkcie końcowym, technice ataku, adresie IP atakującego i działaniach podjętych przez Ochronę przed atakami sieciowymi.

Stan integracji sensora

Informuje o zmianach statusu integracji czujnika. Można je skonfigurować, aby ostrzegało w konsoli, poprzez e-mail lub oba na raz.

Domyślnie jest wysyłane co 2 godziny, jeśli problem z integracją czujnika nadal występuje. Można jednak dostosować ten przedział.

Wykrycie Analizatora Sandbox

Powiadamia za każdym razem, gdy Analizator Sandbox wykryje nowe zagrożenie wśród automatycznie przesłanych próbek. Wyświetlane są szczegółowe informacje, takie jak nazwa firmy, nazwa hosta lub adres IP punktu końcowego, godzina i data wykrycia, typ zagrożenia, ścieżka, nazwa, rozmiar plików oraz działania zaradcze podjęte w stosunku do każdego z nich.

Nie pojawia się w przypadku przesyłania ręcznego.

Uwaga:

Nie są otrzymywane powiadomienia o czystych, przeanalizowanych próbkach. Informacje te dostępne są w raporcie wyników Analizator Sandbox. Są one też dostępne z poziomu konsoli w zakładce Analizator Sandbox.

Aktywność HyperDetect

Jest wyzwalane, gdy HyperDetect znajdzie w sieci jakiekolwiek zdarzenia chroniące przed złośliwym oprogramowaniem lub odblokowane zdarzenia. Jest wysyłane dla każdego zdarzenia HyperDetect i zawiera następujące szczegóły:

– Informacje o punkcie końcowym, którego dotyczy problem (nazwa, adres IP, zainstalowany agent)

– Typ i nazwa złośliwego oprogramowania

– Ścieżka zainfekowanego pliku i procesu nadrzędnego. W przypadku ataków bez plików podawana jest nazwa użytego pliku wykonywalnego

– Stan infekcji

– Hash SHA256 pliku wykonywalnego

– Rodzaj zamierzonego ataku (atak ukierunkowany, oprogramowanie Grayware, exploity, oprogramowanie ransomware, podejrzane pliki i ruch sieciowy

– Poziom detekcji (zezwalający, normalny, agresywny)

– Godzina i data wykrycia

– Typ wykrywania

– Zalogowany użytkownik

– Nazwa firmy

– Używana linia poleceń

Problem z integracją usługi Active Directory

Opisuje problemy wpływające na synchronizację z Active Directory.

Problem brakującej aktualizacji

Pojawia się, gdy na punktach końcowych w sieci brakuje jednej lub większej liczby dostępnych poprawek.

GravityZone automatycznie wysyła powiadomienie zawierające wszystkie ustalenia w ciągu ostatnich 24 godzin. Zostanie ono wysłane do wszystkich Twoich kont użytkowników.

Można zobaczyć, które punkty końcowe znajdują się w tej sytuacji, klikając przycisk Wyświetl raport w szczegółach tego powiadomienia.

Domyślnie odnosi się do poprawek zabezpieczeń, ale można je skonfigurować tak, aby informowało też o tych niezwiązanych z bezpieczeństwem.

Nowy incydent

Informuje o wystąpieniu nowego incydentu. Po włączeniu jest generowane za każdym razem, gdy w sekcji Incydenty w konsoli wyświetlane jest nowe zdarzenie.

Przydzielono Ci nowy incydent

Pojawia się, gdy zostanie przydzielone nowe zdarzenie. Zawiera jego numer oraz dodatkowe istotne szczegóły.

Powiązany incydent

Informuje, że przypisane do zdarzenie jest powiązane z innym zdarzeniem. Zawiera przypisany numer  i powiązany numer zdarzenia nadrzędnego.

Wykrycie ransomware

Pojawia się w trakcie wykrycia ataku ransomware w sieci. Otrzymasz szczegółowe informacje dotyczące docelowego punktu końcowego, zalogowanego użytkownika, źródła ataku, liczby zaszyfrowanych plików oraz godziny i daty tego ataku.

W momencie otrzymania powiadomienia sam atak jest już zablokowany.

Link w powiadomieniu przekieruje na stronę Aktywność ransomware, gdzie można wyświetlić listę zaszyfrowanych plików i w razie potrzeby je przywrócić.

Antymalware pamięci masowej

Wyświetla się w przypadku wykrycia złośliwego oprogramowania na urządzeniu pamięci masowej zgodnym z ICAP. Jest tworzone po każdym wykryciu  i zawiera szczegółowe informacje na temat zainfekowanego urządzenia (nazwa, adres IP, typ), wykrytego złośliwego oprogramowania i czasu wykrycia.

Aktywność rozwiązywania problemów

Informuje o zakończeniu zdarzenia związanego z rozwiązywaniem problemów w sieci. Można wyświetlić szczegółowe informacje o typie i stanie zdarzenia, celu rozwiązywania problemów, lokalizacji przechowywania, w której można znaleźć archiwum z logami i inne.

Nowa aktywność plików dochodzeniowych

Jest wyzwalane, gdy pojawią się nowe żądania dotyczące:

– Gromadzenia danych dochodzeniowych

– Przesyłania lub pobierania przy użyciu funkcji Remote Shell

Można włączyć powiadomienia o przesyłaniu i pobieraniu przez remote shell lub obu przypadkach. Te o przesyłaniu przez remote shell pojawiają się, gdy pliki zostaną pomyślnie przesłane do docelowego punktu końcowego. Te o pobraniu przez remote shell wyświetlają się, gdy pliki są dostępne do pobrania w siatce aktywności plików dochodzeniowych.

Status aktualizacji kontenera bezpieczeństwa

Poinformuje, gdy zmienia się status aktualizacji produktu dla kontenera bezpieczeństwa zainstalowanego w sieci.

Wygasanie hasła włączone

Wyświetli się, kiedy na koncie włączona jest funkcja wygasania hasła.

Przypomnienie o wygasaniu hasła

Jest wysyłane codziennie, zaczynając na 10 dni przed wygaśnięciem hasła GravityZone, aby przypomnieć, że trzeba je zmienić.

Aby szybko zaktualizować hasło, kliknij przycisk Moje konto w powiadomieniu w konsoli.

Blokowanie konta włączone

Konto zablokowane

Jest przesyłane mailem, gdy konto zostało zablokowane z powodu wielokrotnych prób logowania przy użyciu nieprawidłowych haseł.