Jak skonfigurować powiadomienia w Bitdefender GravityZone
Krzysztof B.
25 września 2023
Konsola Bitdefender GravityZone wyświetla powiadomienia dotyczące zdarzeń bezpieczeństwa w prawym górnym rogu pod ikoną dzwonka. Można tam skonfigurować jakie rodzaje zdarzeń mają być wyświetlane w panelu oraz wysyłane na wskazany adres mailowy.
Konfiguracja powiadomień Bitdefender GravityZone
Aby skonfigurować adres mailowy dla powiadomień oraz wybrać, które mają być wyświetlane/wysyłane kliknij ikonę dzwonka po prawej stronie konsoli, a następnie koło zębate.
Otworzy się okno Ustawienia powiadomień. W górnej części należy wpisać adres email, na który wskazane w tabeli poniżej zdarzenia będą miały być wysyłane mailowo.
W dolnej części wybierz, które powiadomienia mają być otrzymywane i w jaki sposób. Nie wystarczy zaznaczyć pozycji „ptaszkiem”! Każdy wiersz z osobna trzeba kliknąć myszką i otworzą się dla niego osobne ustawienia. Aby konsola wysyłała wybrane powiadomienia należy zaznaczyć odpowiednią pozycję w sekcji Widoczność.
Rodzaje powiadomień
Epidemia malware
To powiadomienie jest wysyłane do użytkowników, którzy mają co najmniej 5% wszystkich zarządzanych obiektów sieciowych zainfekowanych tym samym szkodliwym oprogramowaniem. Próg można skonfigurować zgodnie z potrzebami w oknie Ustawienia powiadomień.
Licencja wygasa
Powiadomienie wysyłane jest na 90, 30, 7 oraz jeden dzień przed wygaśnięciem licencji. Będą zawierać informacje o firmie, nazwę produktu, wygasłe klucze licencyjne i przydatne adresy URL.
Uwaga: Wymaga uprawnień Zarządzania firmami.Osiągnięto lub przekroczono limit licencji podczas wdrożenia
Jest wysyłane, gdy wszystkie dostępne licencje zostaną wykorzystane. W przypadku, gdy liczba instalacji przekracza limit, pokazuje nielicencjonowane punkty końcowe z 24 godzin.
Uwaga: Wymaga uprawnień Zarządzania firmami.Limit wykorzystania licencji został prawie osiągnięty
Powiadomienie to jest wysyłane w przypadku wykorzystania 90% dostępnych licencji.
Uwaga: Wymaga uprawnień Zarządzania firmami.limit wykorzystania licencji serwerowych został prawie osiągnięty
To powiadomienie jest wysyłane, gdy liczba chronionych serwerów osiągnie limit określony w kluczu licencyjnym.
Uwaga: Wymaga uprawnień Zarządzania firmami.Limit licencji serwerów wkrótce zostanie osiągnięty
Zostaje wysyłane, gdy wykorzysta się 90% dostępnych stanowisk licencyjnych dla serwerów.
Uwaga: Wymaga uprawnień Zarządzania firmami.limit wykorzystania licencji Exchange został osiągnięty
Pojawia się za każdym razem, gdy liczba chronionych skrzynek pocztowych z serwerów Exchange osiągnie limit określony w kluczu licencyjnym.
Nieważne poświadczenia użytkownika Exchange
Jest wysyłane, gdy nie można uruchomić zadania skanowania na żądanie serwerze Exchange z powodu nieprawidłowych poświadczeń użytkownika Exchange.
Zaawansowany Anty-Exploit
Informuje, gdy Zaawansowany Anty-Exploit wykryje próby exploitowania w sieci.
Zdarzenie Antyphishing
Wyświetla się za każdym razem, gdy agent punktu końcowego blokuje dostęp do znanej strony internetowej, która wyłudza informacje. Zawiera też szczegóły punktu końcowego, który próbował uzyskać dostęp do niebezpiecznej witryny (nazwa i adres IP), zainstalowany agent lub zablokowany adres URL.
Zdarzenie Zapory sieciowej
Informuje za każdym razem, gdy moduł zapory zainstalowanego agenta blokuje skanowanie portów lub dostęp aplikacji do sieci, zgodnie z zastosowaną polityką.
Zdarzenie ATC/IDS
To powiadomienie jest wysyłane za każdym razem, gdy na punkcie końcowym w sieci zostanie wykryta potencjalnie niebezpieczna aplikacja. Zawiera szczegółowe informacje na temat typu aplikacji, nazwy i ścieżki, identyfikator i proces nadrzędny oraz linię poleceń, która uruchomiła ten proces.
Zdarzenie kontroli użytkownika
Jest wyzwalane za każdym razem, gdy aktywność użytkownika, taka jak przeglądanie stron internetowych lub aplikacja, jest blokowana zgodnie z zastosowaną polityką.
Uwaga:
Powiadomienia o zdarzeniach Kontroli użytkownika nie mogą być wysyłane e-mailem. Ze względu na wydajność można je wysyłać wyłącznie za pośrednictwem interfejsu API do platformy SIEM.
Zdarzenie modułów produktów
Pojawia się, gdy moduł bezpieczeństwa zainstalowanego agenta zostanie włączony lub wyłączony.
Zdarzenie Statusu Serwera Bezpieczeństwa
Ten typ powiadomienia dostarcza informacji o zmianach statusu określonego Serwera Bezpieczeństwa zainstalowanego w Twojej sieci. Odnoszą się one do następujących zdarzeń: wyłączenie/włączenie, aktualizacja produktu, aktualizacja treści zabezpieczających i wymagane ponowne uruchomienie.
Zdarzenie przeciążenia Serwera Bezpieczeństwa
Jest wysyłane, gdy obciążenie skanowaniem serwera bezpieczeństwa przekracza zdefiniowany próg.
Zdarzenie rejestracji produktu
Informuje o zmianie statusu rejestracji agenta zainstalowanego w sieci.
Zdarzenie licencji Amazon EC2
To powiadomienie informuje Cię, że subskrypcja Amazon EC2 została pomyślnie aktywowana.
Wersja próbna Amazon EC2 wygasa za 7 dni
Informuje, że subskrypcja próbna Amazon EC2 wygaśnie za 7 dni.
Wersja próbna Amazon EC2 wygasa jutro
To powiadomienie jest wysyłane na jeden dzień przed wygaśnięciem Twojej subskrypcji próbnej Amazon EC2.
Audyt uwierzytelnienia
Pojawia się kiedy inne konto GravityZone z tej samej firmy, z wyjątkiem Twojego, zostało użyte do zalogowania się do konsoli z nierozpoznanego urządzenia. Jeśli zaznaczysz pole wyboru Otrzymuj powiadomienia dla firm podrzędnych, powiadomienia będą wysyłane także dla kont GravityZone należących do zarządzanych przez Ciebie firm.
Logowanie z nowego urządzenia
To powiadomienie informuje, że Twoje konto GravityZone zostało użyte do zalogowania się do konsoli z urządzenia, którego wcześniej nie było używane w tym celu. Jest automatycznie skonfigurowane tak, aby było widoczne zarówno w panelu, jak i w wiadomości e-mail. Można je tylko przeglądać. Obejmuje też adres e-mail używanego konta.
Status zadań
Pokazuje się przy każdej zmianie statusu zadania lub tylko przy jego zakończeniu , zgodnie z preferencjami.
Nieaktualny serwer aktualizacji
To powiadomienie jest wysyłane, gdy serwer aktualizacji w sieci zawiera nieaktualne treści zabezpieczające.
Zdarzenie Incydentów Sieciowych
Wyświetla się za każdym razem, gdy moduł Ochrony przed atakami sieciowymi wykryje próbę takiego ataku. Informuje też, czy próba ataku została przeprowadzona spoza sieci, czy z zaatakowanego punktu końcowego. Inne szczegóły obejmują dane o punkcie końcowym, technice ataku, adresie IP atakującego i działaniach podjętych przez Ochronę przed atakami sieciowymi.
Stan integracji sensora
Informuje o zmianach statusu integracji czujnika. Można je skonfigurować, aby ostrzegało w konsoli, poprzez e-mail lub oba na raz.
Domyślnie jest wysyłane co 2 godziny, jeśli problem z integracją czujnika nadal występuje. Można jednak dostosować ten przedział.
Wykrycie Analizatora Sandbox
Powiadamia za każdym razem, gdy Analizator Sandbox wykryje nowe zagrożenie wśród automatycznie przesłanych próbek. Wyświetlane są szczegółowe informacje, takie jak nazwa firmy, nazwa hosta lub adres IP punktu końcowego, godzina i data wykrycia, typ zagrożenia, ścieżka, nazwa, rozmiar plików oraz działania zaradcze podjęte w stosunku do każdego z nich.
Nie pojawia się w przypadku przesyłania ręcznego.
Uwaga:
Nie są otrzymywane powiadomienia o czystych, przeanalizowanych próbkach. Informacje te dostępne są w raporcie wyników Analizator Sandbox. Są one też dostępne z poziomu konsoli w zakładce Analizator Sandbox.
Aktywność HyperDetect
Jest wyzwalane, gdy HyperDetect znajdzie w sieci jakiekolwiek zdarzenia chroniące przed złośliwym oprogramowaniem lub odblokowane zdarzenia. Jest wysyłane dla każdego zdarzenia HyperDetect i zawiera następujące szczegóły:
– Informacje o punkcie końcowym, którego dotyczy problem (nazwa, adres IP, zainstalowany agent)
– Typ i nazwa złośliwego oprogramowania
– Ścieżka zainfekowanego pliku i procesu nadrzędnego. W przypadku ataków bez plików podawana jest nazwa użytego pliku wykonywalnego
– Stan infekcji
– Hash SHA256 pliku wykonywalnego
– Rodzaj zamierzonego ataku (atak ukierunkowany, oprogramowanie Grayware, exploity, oprogramowanie ransomware, podejrzane pliki i ruch sieciowy
– Poziom detekcji (zezwalający, normalny, agresywny)
– Godzina i data wykrycia
– Typ wykrywania
– Zalogowany użytkownik
– Nazwa firmy
– Używana linia poleceń
Problem z integracją usługi Active Directory
Opisuje problemy wpływające na synchronizację z Active Directory.
Problem brakującej aktualizacji
Pojawia się, gdy na punktach końcowych w sieci brakuje jednej lub większej liczby dostępnych poprawek.
GravityZone automatycznie wysyła powiadomienie zawierające wszystkie ustalenia w ciągu ostatnich 24 godzin. Zostanie ono wysłane do wszystkich Twoich kont użytkowników.
Można zobaczyć, które punkty końcowe znajdują się w tej sytuacji, klikając przycisk Wyświetl raport w szczegółach tego powiadomienia.
Domyślnie odnosi się do poprawek zabezpieczeń, ale można je skonfigurować tak, aby informowało też o tych niezwiązanych z bezpieczeństwem.
Nowy incydent
Informuje o wystąpieniu nowego incydentu. Po włączeniu jest generowane za każdym razem, gdy w sekcji Incydenty w konsoli wyświetlane jest nowe zdarzenie.
Przydzielono Ci nowy incydent
Pojawia się, gdy zostanie przydzielone nowe zdarzenie. Zawiera jego numer oraz dodatkowe istotne szczegóły.
Powiązany incydent
Informuje, że przypisane do zdarzenie jest powiązane z innym zdarzeniem. Zawiera przypisany numer i powiązany numer zdarzenia nadrzędnego.
Wykrycie ransomware
Pojawia się w trakcie wykrycia ataku ransomware w sieci. Otrzymasz szczegółowe informacje dotyczące docelowego punktu końcowego, zalogowanego użytkownika, źródła ataku, liczby zaszyfrowanych plików oraz godziny i daty tego ataku.
W momencie otrzymania powiadomienia sam atak jest już zablokowany.
Link w powiadomieniu przekieruje na stronę Aktywność ransomware, gdzie można wyświetlić listę zaszyfrowanych plików i w razie potrzeby je przywrócić.
Antymalware pamięci masowej
Wyświetla się w przypadku wykrycia złośliwego oprogramowania na urządzeniu pamięci masowej zgodnym z ICAP. Jest tworzone po każdym wykryciu i zawiera szczegółowe informacje na temat zainfekowanego urządzenia (nazwa, adres IP, typ), wykrytego złośliwego oprogramowania i czasu wykrycia.
Aktywność rozwiązywania problemów
Informuje o zakończeniu zdarzenia związanego z rozwiązywaniem problemów w sieci. Można wyświetlić szczegółowe informacje o typie i stanie zdarzenia, celu rozwiązywania problemów, lokalizacji przechowywania, w której można znaleźć archiwum z logami i inne.
Nowa aktywność plików dochodzeniowych
Jest wyzwalane, gdy pojawią się nowe żądania dotyczące:
– Gromadzenia danych dochodzeniowych
– Przesyłania lub pobierania przy użyciu funkcji Remote Shell
Można włączyć powiadomienia o przesyłaniu i pobieraniu przez remote shell lub obu przypadkach. Te o przesyłaniu przez remote shell pojawiają się, gdy pliki zostaną pomyślnie przesłane do docelowego punktu końcowego. Te o pobraniu przez remote shell wyświetlają się, gdy pliki są dostępne do pobrania w siatce aktywności plików dochodzeniowych.
Status aktualizacji kontenera bezpieczeństwa
Poinformuje, gdy zmienia się status aktualizacji produktu dla kontenera bezpieczeństwa zainstalowanego w sieci.
Wygasanie hasła włączone
Wyświetli się, kiedy na koncie włączona jest funkcja wygasania hasła.
Przypomnienie o wygasaniu hasła
Jest wysyłane codziennie, zaczynając na 10 dni przed wygaśnięciem hasła GravityZone, aby przypomnieć, że trzeba je zmienić.
Aby szybko zaktualizować hasło, kliknij przycisk Moje konto w powiadomieniu w konsoli.
Blokowanie konta włączone
Informuje o włączonej blokadzie konta.Konto zablokowane
Jest przesyłane mailem, gdy konto zostało zablokowane z powodu wielokrotnych prób logowania przy użyciu nieprawidłowych haseł.
Źródło: https://www.bitdefender.com/business/support/en/77209-94322-notifications-types.html#UUID-e739330c-2f12-f77b-0b36-df0ae19a5429Autor
Krzysztof B.
Artykuły które mogą Ci się spodobać
Jak zintegrować Bitdefender GravityZone Security for Mobile z Microsoft Azure Sentinel
Arkadiusz K
19 września 2024