A teljes infrastruktúra egységesített felügyelete és védelme
Hálózati réteg Fájlrendszer réteg Alkalmazás réteg Követő technikák (az ismert fenyegetettségek ellen) Követő technikák (az ismert fenyegetettségek ellen) Megelőző technikák (az ismeretlen fenyegetettségek ellen) Megelőző technikák (az ismeretlen fenyegetettségek ellen) Antimalware Dynamic Translation & Emulation Behavior Monitoring Windows Resource Protection Data Execution Protection AppLocker Address Space Layer Randomization Windows Firewall Centralized Management FEP 2010 Windows 7 Internet Explorer 8 SmartScreen Microsoft Malware Protection Center Dynamic Signature Service Network Inspection System
Frissítés Minta Ügyfél számítógépe MMPC
A hálózati sebezhetőség detektálása Ártó kód forgalmazása A vezérlés megszerzése Az AM és a frissítések letiltása A sebezhetőség letöltése és terítése
A NIS a hálózat szintjén képes megakadályozni a Conficker terjedését, ezáltal csökkenti annak káros hatását!
Primary Site Secondary Site Central Site
Jelentéskezelő komponens FEP Site Server szerepkör FEP DB FEP DW FEP konzol kiegészítés FEP kliens
3 rd party detektálás A 3 rd party szoftver eltávolítása FEP kliens telepítése Szabályok beállítása Frissítések terítése
First Install Signature Version: Engine Version: Signature Version: Engine Version: Signature Version: Engine Version: Signature Version: Engine Version: Full Package BDE Package Delta Package Signature Version: Engine Version: Signature Version: Engine Version: A jelenleg elérhető FEP frissítés az Microsoft Update-en Signature Version: Engine version : Signature Version: Engine version : BDD Package
Munkafelület Működési állapot monitorozása: FEP kliens terítés és egészségi állapot FEP szabályok terítési állapota FEP AM aktivitási állapot FEP megfelelőségi szintek konfigurációja Tervezési alapelvek Az SCCM konzollal való integráció DCM ellenőrző csomagok használata a megfelelőségi elemzésekhez Az SCCM dinamikus célcsoportjaira épül, ezáltal biztosítva, hogy a megfelelő gépekre jusson érvényre az adott szabály RiasztásokJelentések Biztonsági és megfelelőségi jelentések: Védelmi állapotok és trendek Biztonsági incidensek (malware detektálások) Riasztás történet Tervezési alapelvek: Az FCS v.1 képességeivel megegyező jelentések Az SQL Reporting Services-re épül Ütemezett jelentések, -alapú feliratkozási lehetőséggel Rendszergazda A Configuration Manager-t napi üzemeltetési feladatokra használja „Mi a FEP rendszer aktuális állapota?” Biztonsági szakértő Biztonsági megfelelőségek elemzése A FEP-pel kapcsolatos ROI elemzések Configuration Manager konzol alapú riasztások Jelentéseken keresztüli elemzések Rendszeres, - alapú státuszüzenetek Értesítés biztonsági incidensekről: Malware detektálási esemény és a végrehajtott akció állapota Tervezési alapelvek Rendszergazda által konfigurálható küszöbértékek alapú feliratkozások
AM motor FEP kliens SCCM DCM SCCM Site SCCM DB FEP DWH OLAP FEP munkafelület FEP jelentések FEP riasztások FEP szolgáltatás SSRS Eseménynapló Új fenyegetettség detektálása: 1.Az AM motor blokkolja a malware-t 2.10 percen belül az automatikus akció végrehajtódik 3.Az esemény a kliens eseménynaplójában rögzül A FEP DCM jelentés formájában (WMI) értesítést küld az eseményről: 1.Az SCCM DCM kliens lekéri az adatokat a FEP klienstől (WMI) 2.A DCM jelentést elküldi az SCCM szervernek A FEP konzoljában lévő adatok az SCCM csoportjaira épülnek A rendszergazda manuálisan is frissítheti a csoportokat, ezáltal a FEP munkafelülete is frissül Minden 15. percben a háttérben a FEP DB-ben tárolt adatok szinkronizálódnak a FEP DWH adatbázisával 10 percenként a FEP szolgáltatás megvizsgálja a malware aktivitást és ha szükséges, riasztást generál FEP DB Az OLAP kocka aggregált formában eltárolja a történeti adatokat A jelentések futtatásakor a FEP mind a két adatbázisát használja a rendszer Kliens Site Server FEP Adatbázis Reporting Server FEP Adatbázis Site Server
A FEP szerverekre való kiterjesztése SCOM MP integráció: Események valós időben látszódnak Azonnali javítási akciók A szerver üzemeltetési folyamataiba integrálható Kiszolgálókra optimalizálható, pl. sqlwriter.exe és a *.db fájlok kizárhatóak az ellenőrzésből